WordPress-Nutzer aufgepasst: Update 4.9.3 schießt automatische Aktualisierungen ab

Allen Nutzern des belieb­ten Content-Management-Systems WordPress wird emp­foh­len, das Update auf Version 4.9.4 umge­hend manu­ell ein­zu­spie­len. Das vor­he­ri­ge Update auf Version 4.9.3 war feh­ler­haft und hat die auto­ma­ti­sche Aktualisierung von WordPress abge­schos­sen. Somit wer­den nach Version 4.9.3 kei­ne Fixes Sicherheitslücken mehr auto­ma­tisch ein­ge­spielt. Abhilfe schafft aus­schließ­lich das manu­el­le Update auf 4.9.4 im Backend. Nur so wer­den auch zukünf­ti­ge auto­ma­ti­sche Aktualisierungen sicher­ge­stellt. Nutzer von WordPress soll­ten die­sen Fehler umge­hend manu­ell behe­ben.

Kritische Sicherheitslücke in Browser Firefox

Laut CERT BUND sind alle Versionen des belieb­ten Browsers Firefox vor Version 58.0.1 von einer kri­ti­schen Sicherheitslücke betrof­fen. Bereits der Besuch einer prä­pa­rier­ten Webseite reicht aus, um Schadcode auf den PC des Besuchers zu brin­gen und auzu­füh­ren. Es wird drin­gend gera­ten, das Update auf die Version 58.0.1 zeit­nah durch­zu­füh­ren. Im Zweifel manu­ell anst0ßen, nicht auf das Auto-Update war­ten.

Ausgenommen von der Lücke sind wohl Firefox for Android und Firefox ESR.

 

Schluss, Aus, Weg damit — Besonderes elektronisches Anwaltspostfach (beA) deinstallieren

Seit gerau­mer Zeit rumort es in Anwaltskreisen. Grund ist das beson­de­re elek­tro­ni­sche Postfach, kurz beA genannt. Dies soll­te eigent­lich zum 01.01.2018 ver­pflich­tend zum Einsatz kom­men. Doch dar­aus wur­de nichts. Was mit der Entdeckung eines falsch zur Verfügung gestell­ten Zertifikats Ende 2017 begann (der pri­va­te Schlüssel wur­de mit ver­teilt), fin­det nun sei­nen Höhepunkt. Die Bundesrechtsanwaltskammer (BRAK) emp­fiehlt in einer Pressemeldung die Client Security zu deak­ti­vie­ren, bes­ser den Client gleich kom­plett zu deinstal­lie­ren. Wie es dazu kom­men konn­te, das trotz angeb­li­cher Sicherheitsüberprüfungen ein unsi­che­res Produkt an die Rechtsanwaltszunft ver­teilt wur­de, klärt die Pressemeldung nicht auf.

BRAK-Vizepräsident Abend erklärt, das “beA erst dann wie­der in Betrieb gehen wird, wenn alle rele­van­ten Sicherheitsfragen geklärt sind.”

Frohes Fest und guten Rutsch

Liebe Leser und Leserinnen unse­res Informationssicherheits-Blogs, lie­be Interessenten, Kunden und Geschäftspartner!

2018 hält für für jeden von uns Überraschungen und Neuerungen parat. Unternehmen und Behörden berei­ten sich auf die EU Datenschutz-Grundverordnung vor. Im Kielwasser der DS-GVO zieht das Thema Informationssicherheit nach. Veränderungen in gewohn­ten Arbeitsweisen wer­den die Folge sein. Der Mensch mag nicht immer die Veränderung, gro­ße Herausforderungen ste­hen daher bevor. Doch auch im Privaten wird es Höhen und Tiefen geben. Kinder und Enkelkinder tre­ten bei dem einen oder ande­ren ins Leben, bei ande­ren wird der Verlust von Angehörigen eine nicht zu schlie­ßen­de Lücke rei­ßen. Doch das Leben wird wei­ter­ge­hen, auch wenn es einem im letzt­ge­nann­ten Fall lan­ge nicht so erschei­nen mag.

Nutzen Sie bit­te die geruh­sa­me Zeit “zwi­schen den Jahren” und zum Neujahrsanfang, um Zeit mit Ihren Lieben und Freunden zu ver­brin­gen. Finden Sie Ruhe und holen Sie Luft, für alles, was 2018 für jeden von uns bereit­hal­ten wird. Herzlichen Dank für Ihr Interesse und die gute Zusammenarbeit im nun fast ver­gan­ge­nen Jahr.

Das Team von a.s.k. Datenschutz wünscht Ihnen und Ihren Lieben ein schö­nes Weihnachtsfest und einen guten Rutsch in ein gesun­des und glück­li­ches Jahr 2018.

Auf Wiederlesen im Neuen Jahr

PS: Statt Weihnachtskarten haben wir in die­sem Jahr erneut der Stefan Hahn Kinderstiftung gespen­det. Es gibt nichts Wichtigeres, als unse­ren Kindern die Chance auf einen guten Start ins Leben zu ermög­li­chen.

20. IuK Tage Gunzenhausen — Informationssicherheit in der Verwaltung

Zwei Jahrzehnte IuK-Sicherheit in der Verwaltung

Am 19. und 20. September 2017 (Dienstag und Mittwoch) fin­den die 2o. IuK Tage in Gunzenhausen statt. Die rasan­te tech­ni­sche Entwicklung bie­tet den Behörden enor­me Potentiale. Damit ein­her gehen ent­spre­chen­de Risiken, denen sich eine digi­ta­le Verwaltung stel­len muss.

Programm der 20. IuK Tage Gunzenhausen

Wie jedes Jahr haben sich die Organisatoren, die Bayerische Akademie für Verwaltungsmanagement in Zusammenarbeit mit den Bayerischen Kommunalen Spitzenverbänden zu den recht­li­chen und tech­ni­schen Anforderungen Gedanken gemacht. Als Ergebnis erwar­tet die Teilnehmer ein breit­ge­fä­cher­tes Programm zu aktu­el­len Themen:

  • E-Government in Bayern: Rechtliche und tech­ni­sche Aspekte
  • EU-Datenschutz-Grundverordnung: Auswirkungen auf die IT
  • Der Betrieb eines Informationssicherheitskonzeptes — wie­so es mit der Bestandsaufnahme nicht getan ist
  • Status Quo und Quo Vadis der kom­mu­na­len IT
  • Arbeit 4.0: arbeits- und daten­schutz­recht­li­che Aspekte
  • Die neue Entgeltordnung: Zur Einordnung von IT-Beschäftigten
  • Rechtssicheres Scannen in der Praxis
  • Technik von mor­gen — wie wir uns heu­te schon dar­auf vor­be­rei­ten kön­nen

a.s.k. Datenschutz Referent und Ansprechpartner für das Thema Informationssicherheit

Wir freu­en uns, auch in die­sem Jahr als Referent für das Thema Informationssicherheit und als Teilnehmer der zwei­tä­gi­gen Veranstaltung mit dabei sein zu dür­fen.

Die Stadt Gunzenhausen sorgt — wie jedes Jahr — für ein unter­halt­sa­mes Abendprogramm.

Haben wir Ihr Interesse geweckt? Hier erhal­ten Sie wei­te­re Informationen zu den 20. IuK Tagen Gunzenhausen

 

 

 

 

Entschlüsselungstool für Petya, Goldeneye und Mischa

Vor eini­gen Wochen haben die Entwickler der Kryptotrojaner Petya, Goldeneye und Mischa die Master-Keys für die­se Trojaner ver­öf­fent­licht. Nun hat Malwarebytes ein Entschlüsselungstool her­aus­ge­bracht. Eine Anleitung zur kor­rek­ten Anwendung fin­det sich eben­falls im Malwarebytes-Blog.

Wer sich einen ande­ren aktu­el­len Verschlüsseliungstrojaner gefan­gen hat, dem bleibt nicht viel Spielraum. Sind drin­gend benö­tig­te Daten betrof­fen, bleibt im Zweifel nur die Zahlung des Lösegelds. Ansonsten emp­fiehlt es sich, die betrof­fe­nen Platten aus­zu­bau­en und auf die Seite zu legen. In der Vergangenheit wur­den immer wie­der Master-Schlüssel her­aus­ge­ge­ben oder die genutz­te Verschlüsselung war feh­ler­haft. Dementsprechend gab und gibt es immer wie­der neue Entschlüsselungstools für wei­te­re Varianten der Kryptotrojaner.

Suchmaschine für gehackte Passwörter

Die bis­he­ri­gen Angebote zur Identifizierung gehack­ter Webaccounts funk­tio­nier­ten auf Basis der benutz­ten Email-Adresse. Seit kur­zem ist nun ein neu­er Service des Anbieters HaveIbeenpawned online. Eine Datenbank mit mehr als 306 Millionen (306 000 000) Einträgen gibt Auskunft, ob das eige­ne Lieblingspasswort kom­pro­mit­tiert ist.

Gehackte Accounts und deren Passwörter fin­den schnell Einzug in die Datenbanken von Knacksoftware, die zum auto­ma­ti­sier­ten Angriff und Hacking von Nutzeraccounts (z.B. über Wörterbuch- und Brute-Force-Attacken) genutzt wer­den. Ärgerlich, wenn das eige­ne Passwort dar­in vor­kommt.

Vorsichtige Administratoren las­sen sol­che “bekann­ten” und somit unsi­che­re Passwörter erst gar nicht zur Auswahl durch den Nutzer bei Neuanlage eines Passworts in ihrem Netzwerk zu. Eine ent­spre­chen­de API stellt der Anbieter des Prüfservices, Troy Hunt gleich zur Einbindung bereit.

Wollen Sie nun Ihr eige­nes Lieblingspasswort über­prü­fen, ob die­ses noch sicher ist? Oder Ihren Passwortpool? Dann besu­chen Sie den Service online und füh­ren die Überprüfung Ihres Passworts durch.

Aufatmen bei bayerischen Kommunen — Umsetzungsfrist Informationssicherheitskonzept nach Artikel 8 BayEGovG soll verlängert werden

Nach aktu­el­ler Rechtslage sind baye­ri­sche Kommunen gemäß Artikel 8 BayEGovG ver­pflich­tet, bis zum 01.01.2018 ein Informationssicherheitskonzept ein­zu­füh­ren und zu betrei­ben. Nach Verabschiedung des BayEGovG im Dezember 2015 hat die­se kur­ze Umsetzungsfrist für eini­ge Aufregung unter baye­ri­schen kom­mu­na­len Einrichtungen gesorgt. Doch jetzt ist wahr­schein­lich Aufatmen ange­sagt.

Der Gesetzentwurf der Staatsregierung zur Errichtung des Landesamts für Sicherheit in der Informationstechnik LT-Drs. 17/17726 vom 11.07.2017 sieht nun vor, dass die­se Verpflichtung erst am 01.01.2019 in Kraft tritt (vgl. Ziffer 11 b des Gesetzentwurfs).

Eine sol­che Verlängerung darf jedoch nicht zum Nachlassen der Bemühungen um eine ange­mes­se­ne IT-Sicherheit führen. Vielmehr soll­te die Zeit genutzt wer­den, um eine sorgfältige Auswahl der rich­ti­gen Maßnahmen und des kom­pe­ten­ten Beraters vor­zu­neh­men und eine kosten­be­wuss­te Auftragsvergabe durchzuführen”, so der Bayerische Gemeindetag in sei­ner heu­ti­gen Stellungnahme zum Thema.

Das Team von a.s.k. Datenschutz unter­stützt baye­ri­sche Kommunen bei der Auswahl und Einführung eines geeig­ne­ten Informationssicherheitskonzepts wie BSI IT-Grundschutz, ISIS12, Arbeitshilfe der Innovationsstiftung (Autor Herr Sascha Kuhrau von a.s.k. Datenschutz) oder auch VDS 3473. Zur Sicherstellung des zukünf­ti­gen Betriebs des Sicherheitskonzepts stellt a.s.k. Datenschutz auf Wunsch auch den exter­nen Informationssicherheitsbeauftragten (ISB) für baye­ri­sche Kommunen. Regelmäßige Vor-Ort-Tätigkeiten  (mind. 1 x Monat) und die Zusammenarbeit über Videokonferenzen, voll­ver­schlüs­sel­te Projektplattform, Email und Telefon stel­len den Betrieb des Konzepts und damit die Erhaltung der kom­mu­na­len Investitionen in die­ses Thema sicher.

Fritz!Box — der Spion im eigenen Haus

Wer sich mit dem Thema Hacking zum ersten Mal befasst, stößt schnell auf Beiträge zu Tools wie nmap, Wireshark oder gleich das fer­tig kon­fi­gu­rier­ter Hacking-Betriebssystem zum Download Kali-Linux. Doch dabei muss man eigent­lich gar nicht so tief in die Materie ein­drin­gen, steht der Sniffer zum Datenschnüffeln doch bereits in vie­len Haushalten und Organisationen zum Einsatz bereit. Die Rede ist von der AVM Fritz!Box!

Glauben Sie nicht? Sie haben eine Fritz!Box in Ihrem Netzwerk? Dann rufen Sie doch ein­fach mal die fol­gen­de URL auf — http://fritz.box/html/capture.html und stau­nen Sie. Zuerst sieht alles aus wie die nor­ma­le Anmelde-Oberfläche für das Konfigurationsinterface Ihrer Fritz!Box. Sobald Sie sich mit Administrator-Rechten in dem Login ange­mel­det haben, erscheint eine nicht im Anwender-Handbuch der Fritz!Box beschrie­be­ne Funktion samt Oberfläche. Willkommen beim inter­nen Schnüffeltool für Ihr Netzwerk!

Screenshot der Capture-Oberfläche der Fritz!Box

Screenshot Capture Oberfläche der Fritz!Box

Jetzt wäh­len Sie nur noch die Schnittstelle aus (die Auswahlmöglichkeiten enden nicht mit die­sem Screenshot, scrol­len Sie ein­fach mal wei­ter nach unten) und drücken den “Start”-Button. Wenn Sie der Meinung sind, genü­gend Informationen an die­ser Schnittstelle mit­ge­schnit­ten zu haben, klicken Sie auf “Stopp” und laden den Mitschnitt auf Ihr Endgerät her­un­ter. Nun reicht ein nor­ma­ler Textbetrachter — oder kom­for­ta­bler der Import in ein Tool wie Wireshark — und Sie haben die kom­plet­te Netzwerkkommunikation im Klartext vor sich — inklu­si­ve genutz­ter Zugangsdaten und Passwörter. Im Klartext, sofern kei­ne ver­schlüs­sel­ten Netzwerkverbindungen wie https oder ande­re für die Übertragung genutzt wur­den. Zahlreiche Programme und Apps, aber auch nicht sen­si­bi­li­sier­te Anwender über­tra­gen Daten unver­schlüs­selt über das Netzwerk. Nutzern soll­te man stets raten, aus­schließ­lich https-gesicherte Verbindungen im Browser zu nut­zen.

Geht nur mit den gro­ßen Fritz!Boxen von AVM? EIn Trugschluss. Wir haben meh­re­re Modelle begin­nend von der 4020 (ohne DSL Modem) bis hin zur 7490 gete­stet, es geht!

Glauben Sie nicht? Machen Sie doch ein­fach selbst den Test. Aktivieren Sie das Mitschneiden wie oben beschrie­ben an der Schnittstelle, an der Sie mit Ihrem aktu­el­len Gerät ange­schlos­sen sind. Öffnen Sie wei­te­re Browserfenster, sur­fen Sie ein wenig, nut­zen Sie Anmelde- oder Registrierungsformulare. Dann zurück zur Fritz!Box-Oberfläche, Stopp, Download und Textbetrachter anwer­fen.

Normalerweise kann die Funktion nur von inner­halb eines Netzwerks auf­ge­ru­fen wer­den. Sollte jedoch der Web-Zugang zu Ihrer Fritz!Box akti­viert und unsi­cher sein oder ein VPN-Zugang in Ihr inter­nes Netz kom­pro­mit­tiert sein, dann steht die Anmelde-Oberfläche auch ande­ren, eher uner­wünsch­ten Nutzern zur Verfügung. Eigentlich selbst­ver­ständ­lich, die Anmelde-Oberfläche der Fritz!Box mit einem star­ken Passwort zu sichern.

Eigentlich ist die­se Funktion zur Fehleranalyse inte­griert. Wie so oft bei sol­chen Funktionen, kann die­se jedoch auch zu bös­ar­ti­gen Zwecken genutzt wer­den. Sobald Zugang zur Oberfläche der Fritz!Box besteht, ist ein Mitschneiden des Datenverkehrs ALLER ange­schlos­se­nen Geräte mög­lich.

Wer sich nun frisch ans Werk macht, egal ob in sei­ner Behörde, sei­nem Unternehmen oder daheim im Privatnetzwerk, dem sei der Blick auf die Paragraphen 202a, 202b, 202c (Vorbereiten des Ausspähens und Abfangens von Daten), 303a sowie 303b Strafgesetzbuch nahe­ge­legt. Es han­delt sich hier um kein Kavaliersdelikt, son­dern um eine Straftat. Und das gilt auch für den Einsatz im hei­mi­schen pri­va­ten Netzwerk ohne Kenntnis der ande­ren Familienmitglieder / Nutzer. Auch im dienst­li­chen / geschäft­li­chen Umfeld soll­te der Einsatz zuvor mit der Behörden-/Unternehmensleitung, sowie dem Personal-/Betriebsrat und dem Datenschutz- sowie dem Informationssicherheitsbeauftragten abge­klärt wer­den. Der Einsatz durch einen Mitarbeiter außer­halb der IT und ohne Abstimmung ver­bie­tet sich von selbst.

Update vom 18.02.2018:

AVM hat sich bei uns auf­grund die­ses Artikels gemel­det und betont, die­se Funktion sei für Support- und Diagnose-Zwecke gedacht. Das wird auch nicht bestrit­ten. Leider hat die Medaille zwei Seiten und so kann die­se Funktion auch miß­bräuch­lich zum Einsatz kom­men.

Tipps:

  • Fritz!Box stets mit siche­rem Passwort schüt­zen.
  • Prüfen, ob alle Anwendungen im inter­nen Netz ver­schlüs­selt kom­mu­ni­zie­ren. Wenn nicht, ent­spre­chend kon­fi­gu­rie­ren. Denn nur unver­schlüs­sel­ter Netzverkehr kann im Klartext mit­ge­le­sen wer­den.
  • Anwender dafür sen­si­bi­li­sie­ren, aus­schließ­lich Programme und Apps zu nut­zen, die Verschlüsselung aktiv anbie­ten und nut­zen. Dabei auch das Thema SSL-Verschlüsselung zum siche­ren Aufruf von Webseiten (https) nicht ver­ges­sen.

Es war nicht unse­re Absicht, dem Hersteller die Absicht zu unter­stel­len, hier ein Spionage-Tool in Netzwerke ein­zu­schleu­sen. Die Funktion kann jedoch miß­bräuch­lich ver­wen­det wer­den.

Benötigt meine Organisation einen Informationssicherheitsbeauftragten?

Immer wie­der ein Thema bei Veranstaltungen oder auch Webinaren zur Informationssicherheit ist die Frage “Muss ich einen Informationssicherheitsbeauftragten bestel­len?” oder auch “Ist denn ein Informationssicherheitsbeauftragter in mei­ner Organisation not­wen­dig?”.

Wieso Sie an der Bestellung eines Informationssicherheitsbeauftragten (oder wie auch immer Sie die­se Funktion in Ihrer Organisation benen­nen) nicht vor­bei­kom­men und wie die­ser Ihre Investitionen (Zeit und Geld) in Informationssicherheit absi­chert, zei­gen wir Ihnen in unse­rem aktu­el­len Webvideo zum Thema

Der Informationssicherheitsbeauftragte

oder

Einer muss es ja am Laufen hal­ten

auf unse­rem Youtube-Channel.

Dabei beleuch­ten wir die Notwendigkeiten einer sol­chen Funktion z.B. auf Basis des BayEGovG für baye­ri­sche Kommunen aber auch für Unternehmen abge­lei­tet aus der EU-Datenschutzgrundverordnung (EU-DSGVO).