WordPress-Nutzer aufgepasst: Update 4.9.3 schießt automatische Aktualisierungen ab

Allen Nutzern des belieb­ten Content-Management-Systems Wordpress wird emp­foh­len, das Update auf Version 4.9.4 umge­hend manu­ell ein­zu­spie­len. Das vor­he­ri­ge Update auf Version 4.9.3 war feh­ler­haft und hat die auto­ma­ti­sche Aktualisierung von Wordpress abge­schos­sen. Somit wer­den nach Version 4.9.3 kei­ne Fixes Sicherheitslücken mehr auto­ma­tisch ein­ge­spielt. Abhilfe schafft aus­schließ­lich das manu­el­le Update auf 4.9.4 im Backend. Nur so wer­den auch zukünf­ti­ge auto­ma­ti­sche Aktualisierungen sicher­ge­stellt. Nutzer von Wordpress soll­ten die­sen Fehler umge­hend manu­ell behe­ben.
10. Februar 2018/von Sascha Kuhrau

Kritische Sicherheitslücke in Browser Firefox

Laut CERT BUND sind alle Versionen des belieb­ten Browsers Firefox vor 58.0.1 von einer kri­ti­schen Sicherheitslücke betrof­fen. Bereits der Besuch einer prä­pa­rier­ten Webseite reicht aus, um Schadcode auf den PC des Besuchers zu brin­gen und auzu­füh­ren. Es wird drin­gend gera­ten, das Update auf die Version 58.0.1 zeit­nah durch­zu­füh­ren. Im Zweifel manu­ell ansto­ßen, nicht auf das Auto-Update war­ten.
31. Januar 2018/von Sascha Kuhrau

Schluss, Aus, Weg damit — Besonderes elektronisches Anwaltspostfach (beA) deinstallieren

Seit gerau­mer Zeit rumort es in Anwaltskreisen. Grund ist das beson­de­re elek­tro­ni­sche Postfach, kurz beA genannt. Dies soll­te eigent­lich zum 01.01.2018 ver­pflich­tend zum Einsatz kom­men. Doch dar­aus wur­de nichts. Was mit der Entdeckung eines falsch zur Verfügung gestell­ten Zertifikats Ende 2017 begann (der pri­va­te Schlüssel wur­de mit ver­teilt), fin­det nun sei­nen Höhepunkt. Die Bundesrechtsanwaltskammer (BRAK) emp­fiehlt in einer Pressemeldung die Client Security zu deak­ti­vie­ren, bes­ser den Client gleich kom­plett zu deinstal­lie­ren. Wie es dazu kom­men konn­te, das trotz angeb­li­cher Sicherheitsüberprüfungen ein unsi­che­res Produkt an die Rechtsanwaltszunft ver­teilt wur­de, klärt die Pressemeldung nicht auf.

BRAK-Vizepräsident Abend erklärt, das “beA erst dann wie­der in Betrieb gehen wird, wenn alle rele­van­ten Sicherheitsfragen geklärt sind.”
27. Januar 2018/von Sascha Kuhrau

Frohes Fest und guten Rutsch

Liebe Leser und Leserinnen unse­res Informationssicherheits-Blogs, lie­be Interessenten, Kunden und Geschäftspartner!

2018 hält für für jeden von uns Überraschungen und Neuerungen parat. Unternehmen und Behörden berei­ten sich auf die EU Datenschutz-Grundverordnung vor. Im Kielwasser der DS-GVO zieht das Thema Informationssicherheit nach. Veränderungen in gewohn­ten Arbeitsweisen wer­den die Folge sein. Der Mensch mag nicht immer die Veränderung, gro­ße Herausforderungen ste­hen daher bevor. Doch auch im Privaten wird es Höhen und Tiefen geben. Kinder und Enkelkinder tre­ten bei dem einen oder ande­ren ins Leben, bei ande­ren wird der Verlust von Angehörigen eine nicht zu schlie­ßen­de Lücke rei­ßen. Doch das Leben wird wei­ter­ge­hen, auch wenn es einem im letzt­ge­nann­ten Fall lan­ge nicht so erschei­nen mag.

Nutzen Sie bit­te die geruh­sa­me Zeit “zwi­schen den Jahren” und zum Neujahrsanfang, um Zeit mit Ihren Lieben und Freunden zu ver­brin­gen. Finden Sie Ruhe und holen Sie Luft, für alles, was 2018 für jeden von uns bereit­hal­ten wird. Herzlichen Dank für Ihr Interesse und die gute Zusammenarbeit im nun fast ver­gan­ge­nen Jahr.

Das Team von a.s.k. Datenschutz wünscht Ihnen und Ihren Lieben ein schö­nes Weihnachtsfest und einen guten Rutsch in ein gesun­des und glück­li­ches Jahr 2018.

Auf Wiederlesen im Neuen Jahr

PS: Statt Weihnachtskarten haben wir in die­sem Jahr erneut der Stefan Hahn Kinderstiftung gespen­det. Es gibt nichts Wichtigeres, als unse­ren Kindern die Chance auf einen guten Start ins Leben zu ermög­li­chen.
22. Dezember 2017/von Sascha Kuhrau

Suchmaschine für gehackte Passwörter

Statt nach kom­pro­mit­tier­ten Email-Adressen der eige­nen Webaccounts zu suchen, besteht nun auch die Möglichkeit, sei­ne genutz­ten Passwörter zu über­prü­fen. Ob die­se bei einem Hack erfolg­reich geknackt wur­den und somit meist in ein­schlä­gi­gen Kreisen bekannt sind, kann durch einen neu­en Online-Service geprüft wer­den. Pfiffige Admins nut­zen die bereit­ge­stell­te API und schlie­ßen die­se gehack­ten Passwörter in eige­nen Netz von vorn­her­ein aus. Mehr Infos und den Link zum Prüfservice fin­den Sie im Blogbeitrag.
7. August 2017/von Sascha Kuhrau

Fritz!Box — der Spion im eigenen Haus

Wer sich über Hacking infor­miert, stößt zu Beginn schnell auf Begriffe und Tools wie nmap, Wireshark oder das Hacking-Betriebssystem Kali-Linux (als vir­tu­el­le Maschine ready to go zum Herunterladen). Doch so tief muss man gar nicht ein­stei­gen. Die weit ver­brei­te­te Fritz!Box ent­hält eine im Anwender-Handbuch undo­ku­men­tier­te Mitschneide-Möglichkeit des KOMPLETTEN Datenverkehrs im inter­nen Netzwerk (egal ob kabel­ge­bun­den oder WLAN). Und das in jedem von uns gete­ste­ten Modell und das seit Jahren. Sofern Remote-Zugriffe auf die Fritz!Box mög­lich sind, kann der Netzwerkverkehr auch von außen abge­grif­fen wer­den. Eigentlich eine sinn­vol­le Funktion zur Fehleranalyse, bringt die­se Funktion erheb­li­ches Schadenspotential mit sich. Und die Fritz!Box ist bei Unternehmen, Behörden und Privatanwendern sehr beliebt. Entsprechend hoch die Verbreitung. Wohl dem, der eini­ge Sicherheitsmaßnahmen getrof­fen hat. Mehr lesen Sie in unse­rem kom­plet­ten Blogbeitrag.
19. Juni 2017/von Sascha Kuhrau

Handlungsbedarf für Owncloud- und Nextcloud-Betreiber — kritische Sicherheitslücke

Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) warnt in einer aktu­el­len Pressemeldung die Administratoren und Nutzer von Owncloud und Nextcloud (einem Fork von Owncloud) vor einer kri­ti­schen Sicherheitslücke. Über 20.000 Installationen in Deutschland sind poten­ti­ell ver­wund­bar. Betroffen sind u.a. gro­ße und mit­tel­stän­di­sche Unternehmen, öffent­li­che und kom­mu­na­le Einrichtungen, Energieversorger, Krankenhäuser, Ärzte, Rechtsanwälte und pri­va­te Nutzer.

Bereits im Februar hat das BSI die Betreiber auf das Sicherheitsrisiko hin­ge­wie­sen. Sehr viel ist seit­her nicht pas­siert, wie man der aktu­el­len Meldung ent­neh­men kann. Lediglich ein Fünftel der infor­mie­ren Einrichtungen hat reagiert und die Schwachstelle geschlos­sen. Ob die eige­ne Cloud-Installation betrof­fen ist, kann mit dem Security-Scanner von Nextcloud online geprüft wer­den. Sollten Sie in Ihrer Organisation oder pri­vat eine Instanz von Owncloud oder Nextcloud betrei­ben, so prü­fen Sie bit­te zeit­nah unter den Links im Blogbeitrag, ob Ihre Installation betrof­fen ist. Generell soll­te eine regel­mä­ßi­ge Prüfung auf Updates und deren Installation selbst­ver­ständ­lich und ein fester wie­der­keh­ren­der Termin im Kalender sein.
18. März 2017/von Sascha Kuhrau

Ändere-Dein-Passwort-Tag: Über Sinn und Unsinn des regelmäßigen Passwortwechsels

Heute ist Ändere-Dein-Passwort-Tag. Doch macht der (regel­mä­ßi­ge) Wechsel von Passwörtern wirk­lich Sinn? Oder ist das ledig­lich gefühl­te Sicherheit? Mehr dazu und wei­te­ren Passwort-Mythen im Blogbeitrag. Vielleicht ein Anlass, bestehen­de Passwort-Richtlinien zu über­den­ken und anzu­pas­sen.
1. Februar 2017/von Sascha Kuhrau

Wir bauen uns einen Erpressungstrojaner per Mausklick

Erpressungstrojaner im Web per Mausklick zusam­men­stel­len und prä­pa­rier­te Word-Makros und Windows-Hilfe-Dateien zur Verbreitung erhal­ten — das bie­ten die Drahtzieher hin­ter der Ransomware Satan. Über das Tor-Netzwerk geht das mit­tels Webinterface. 30% Provision wer­den fäl­lig für die Nutzung. Erste Scanner erken­nen die Bedrohung, doch es gibt noch kei­ne Entwarnung. Details im Blogbeitrag.
24. Januar 2017/von Sascha Kuhrau

Kryptotrojaner Goldeneye greift gezielt Personalabteilungen an, Polizei warnt bundesweit

Verschlüsselungstrojaner “Goldeneye” greift gezielt und mas­siv Personalabteilungen an. Eine Bewerbung in per­fek­tem Deutsch auf teil­wei­se aktu­el­le Stellenangebote sowie unter Nennung orga­ni­sa­ti­ons­in­ter­ner Details soll den Empfänger dazu ver­lei­ten, eine ange­häng­te XLS Tabelle zu öff­nen. Geschieht dies und ist kein Schutz vor Ausführung von Makros aktiv oder wird die­ser vom Nutzer aus­ge­he­belt, ver­rich­tet Goldeneye sei­nen Dienst ana­log zu sei­nem wohl ver­wand­ten Krypto-Kollegen Petya. Als Absender wer­den Email-Adressen eines Ingenieurbüros genutzt, dass unter ande­rem Hilfe bei der Entschlüsselung von befal­le­nen Petya-Systemen anbie­tet. Erfahren Sie mehr im gan­zen Blog-Beitrag und sen­si­bi­li­sie­ren Sie Ihre Mitarbeiter — ger­ne unter Nutzung unse­res Beitragstexts.
7. Dezember 2016/von Sascha Kuhrau

Locky erhält Updates

Locky ändert sei­ne Dateiendung von “.locky” in “.odin”. Schlimmer: Locky ist nicht mehr auf sei­ne Steuerungsserver ange­wie­sen. Jetzt geht der bekann­te Krypto-Trojaner auch off­line ans Werk. Mehr im Blogbeitrag.
20. Oktober 2016/von Sascha Kuhrau

Wie sicher ist Ihre Bank?

SMS TAN sind in Verbindung mit wei­te­ren Schutzmaßnahmen eine gute Möglichkeit, Online Banking sicher zu nut­zen. Doch wenn die benö­tig­te SMS auf­grund der SMS Formatierung bereits im Sperrbildschirm des Endgeräts abruf­bar ist, ohne den PIN Code für das Endgerät ken­nen zu müs­sen, dann läuft was schief. Was eini­ge Banken bereits cle­ver gelöst haben (die TAN steht ein­fach am Ende der SMS und nicht gleich zu Beginn), stellt ande­re Banken vor Probleme. Oder sie wäl­zen das Problem ein­fach auf den Nutzer ab mit dem Tipp “Schalten Sie ein­fach die Benachrichtigungen für den Sperrbildschirm ab”. In die­sem Fall geht das nur, wenn man die Anzeige aller SMS im Sperrbildschirm deak­ti­viert. Wie hält es Ihre Bank damit? Wir freu­en uns auf Ihre Kommentare. Lesen Sie den gan­zen Beitrag online im Blog
15. August 2016/von Sascha Kuhrau