Starre Passwort-Richtlinien sind nicht praxistauglich und werden der Bedrohungslage nicht gerecht. Aber sie haben sich ja über Jahre bewährt, wieso also ändern? In unserem Blogbeitrag beleuchten wir die Passwort-Mythen zu Passwort-Länge, Passwort-Komplexität, Passwort-Wechsel und Vermeidung einheitlicher Passwörter. Nicht zu Unrecht sind die meisten Anwender von dem Thema genervt und umgehen alle so schön auf Papier formulierte und teilweise erzwungene Passwort-Richtlinien mit aller Kunst und Finesse. Die Maßnahmen des BSI IT-Grundschutzes sind Empfehlungen, die auf die jeweilige Organisation und Bedrohung anzupassen sind. Oftmals werden diese jedoch als fixe Mindestvorgabe gesehen und umgesetzt. Der Effekt für die Sicherheit in der Organisation überschaubar. Wir haben Ihnen einige Tipps zusammengestellt, wie Sie Ihre Anwender vom Praxisnutzen der Sicherheit überzeugen können und gelebte Sicherheit in die Organisation bringen können. Achtung: Bitte lesen Sie den kompletten Blog-Beitrag nicht, wenn Ihr Motto lautet “Haben wir schon immer so gemacht!”. Der Beitrag könnte Ihre Vorurteile gefährden 🙂
Schluss, Aus, Weg damit — Besonderes elektronisches Anwaltspostfach (beA) deinstallieren
Seit geraumer Zeit rumort es in Anwaltskreisen. Grund ist das besondere elektronische Postfach, kurz beA genannt. Dies sollte eigentlich zum 01.01.2018 verpflichtend zum Einsatz kommen. Doch daraus wurde nichts. Was mit der Entdeckung eines falsch zur Verfügung gestellten Zertifikats Ende 2017 begann (der private Schlüssel wurde mit verteilt), findet nun seinen Höhepunkt. Die Bundesrechtsanwaltskammer (BRAK) empfiehlt in einer Pressemeldung die Client Security zu deaktivieren, besser den Client gleich komplett zu deinstallieren. Wie es dazu kommen konnte, das trotz angeblicher Sicherheitsüberprüfungen ein unsicheres Produkt an die Rechtsanwaltszunft verteilt wurde, klärt die Pressemeldung nicht auf.
BRAK-Vizepräsident Abend erklärt, das “beA erst dann wieder in Betrieb gehen wird, wenn alle relevanten Sicherheitsfragen geklärt sind.”
Suchmaschine für gehackte Passwörter
Statt nach kompromittierten Email-Adressen der eigenen Webaccounts zu suchen, besteht nun auch die Möglichkeit, seine genutzten Passwörter zu überprüfen. Ob diese bei einem Hack erfolgreich geknackt wurden und somit meist in einschlägigen Kreisen bekannt sind, kann durch einen neuen Online-Service geprüft werden. Pfiffige Admins nutzen die bereitgestellte API und schließen diese gehackten Passwörter in eigenen Netz von vornherein aus. Mehr Infos und den Link zum Prüfservice finden Sie im Blogbeitrag.
Fritz!Box — der Spion im eigenen Haus
Wer sich über Hacking informiert, stößt zu Beginn schnell auf Begriffe und Tools wie nmap, Wireshark oder das Hacking-Betriebssystem Kali-Linux (als virtuelle Maschine ready to go zum Herunterladen). Doch so tief muss man gar nicht einsteigen. Die weit verbreitete Fritz!Box enthält eine im Anwender-Handbuch undokumentierte Mitschneide-Möglichkeit des KOMPLETTEN Datenverkehrs im internen Netzwerk (egal ob kabelgebunden oder WLAN). Und das in jedem von uns getesteten Modell und das seit Jahren. Sofern Remote-Zugriffe auf die Fritz!Box möglich sind, kann der Netzwerkverkehr auch von außen abgegriffen werden. Eigentlich eine sinnvolle Funktion zur Fehleranalyse, bringt diese Funktion erhebliches Schadenspotential mit sich. Und die Fritz!Box ist bei Unternehmen, Behörden und Privatanwendern sehr beliebt. Entsprechend hoch die Verbreitung. Wohl dem, der einige Sicherheitsmaßnahmen getroffen hat. Mehr lesen Sie in unserem kompletten Blogbeitrag.
Arbeitshilfe zur Erstellung eines Informationssicherheitskonzepts für bayerische Kommunen gemäß Art. 8 BayEGovG
Arbeitshilfe zur Erstellung eines Informationssicherheitskonzepts für bayerische Kommunen gemäß Art. 8 BayEGovG online. Die Arbeitshilfe unterstützt bayerische Kommunen, aber auch jede andere Organisation bei der Erstellung eines Konzepts für Informationssicherheit gemäß Artikel 8 des Gesetzes über die elektronische Verwaltung in Bayern (BayEGovG). Dort wird gefordert, die Sicherheit der informationstechnischen Systeme der Behörden durch angemessene technische und organisatorische Maßnahmen im Sinn des Artikels 7 des Bayerischen Datenschutzgesetzes sicherzustellen und die erforderlichen Informationssicherheitskonzepte zu erstellen. Alle Kommunen in Bayern müssen bis zum 1. Januar 2018 den Nachweis führen können, einen systematischen Ansatz zur dauerhaften Gewährung der Informationssicherheit eingeführt zu haben und auch zu betreiben.
Im Frühjahr 2017 werden für die Verantwortlichen in den Kommunen, die sich mit der Thematik Informationssicherheit auseinandersetzen müssen, Online-Seminar-Angebote geplant.
Die Arbeitshilfe wird in zwei Ausführungen zur Verfügung gestellt: PDF Version zum Drucken ohne Anlagen sowie Arbeitsversion mit Anlagen als ZIP.
Link zum Download im Beitrag.
Ausfall des Telekom-Netzes, Hinweise auf Hacker-Angriff
Hunderttausende Anschlüsse (die Rede ist von 900.000) bundesweit sind betroffen, kein Netz — kein Telefon, kein Internet, kein IP-Fernsehen. Wurden bisher die Ursachen im Telekom-Netz oder bei den Routern auf Kundenseite vermutet, bestätigt jetzt ein Sprecher der Telekom den Verdacht eines Hacker-Angriffs: “Wir haben erste Hinweise darauf, dass wir möglicherweise Opfer eines Hackerangriffs geworden sind.”
Im Moment rät die Telekom dazu, den kundenseitigen Router vom Stromnetz zu trennen und einige Zeit ausgeschaltet zu lassen. Möglicherweise verbindet sich der Router nach erneutem Einschalten wieder mit dem Telekom-Netz.
Online Passwort Speicher Lastpass mit Sicherheitslücke
Entgegen aller nachvollziehbaren Bedenken werden Online Passwort Speicher nach wie vor gerne genutzt. Dabei liegen die gesammelten Passwörter nicht mehr im Einflussbereich des jeweiligen Inhabers, sondern auf (meist amerikanischen) Servern. Die Nutzerzahlen lassen den Schluss zu, die Anwender vertrauen diesen Services ungebrochen gerne ihre Passwörter an. Gesichert sind diese dort mit einem Masterpasswort und diversen Techniken wie Verschlüsselung etc.
Doch ist das Vertrauen in solche Services gerechtfertigt. Aktuell steht der Online Passwort Dienst LastPass in der Kritik. Jedoch nicht mit einem neuen Sicherheitsproblem, sondern mit einem älteren, das nicht konsequent beseitigt wurde. Lesen Sie mehr im Blogbeitrag.
Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten des BSI
Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) hat einen Anforderungskatalog Cloud Computing veröffentlicht: “Es gibt auf dem Markt verschiedene Standards und Zertifizierungen, die von vielen Cloud-Anbietern mit großem Aufwand parallel genutzt und aufrechterhalten werden. Die Vielzahl an verschiedenen Zertifizierungen ist für Kunden jedoch schwer zu überschauen. Mit diesem Anforderungskatalog soll den Kunden eine Hilfestellung für einen besseren Überblick zu mehr Sicherheit gegeben und Mehrfachprüfungen vermieden werden.” Der Katalog ist als PDF verfügbar. Link zum Download im Artikel.
Chronologie des Bundestag-Hacks veröffentlicht
Netzpolitik.org veröffentlicht Timeline zum Bundestag-Hack
Online-Supermarkt für Schadsoftware
Laut einem Bericht von Spiegel.de NETZWELT hat das russische IT-Sicherheitsunternehmen Kaspersky einen Online-Shop für Schadsoftware entdeckt. Auslöser war eine Spear-Phishing-Attacke auf ein Bankhaus in Singapur. Im Rahmen der […]