Tag: IT-Sicherheit

Archiv

Kryptographie – Ein leeres Versprechen?

Die Bedeutsamkeit der Kryptographie im Umgang mit sensiblen Daten ist mittlerweile im Bewusstsein vieler Menschen angekommen. Dieser Beitrag soll einen kurzen Überblick über die Gründe geben, warum man sich trotz bester Absichten und dem Wunsch nach sicherer Verschlüsselung häufig durch leere Marketingversprechen in falscher Sicherheit wiegt und worauf als Anwender zu achten ist. Weiterlesen

Sicherheitslücken bei DiGA-Gesundheits-Apps

Der jüngste Test des gemeinnützigen Hacker-Kollektivs „zerforschung“ hat ergeben, dass es zumindest um zwei der Gesundheits-Apps, die als DiGA zur Verfügung stehen, datenschutztechnisch nicht gut bestellt ist bzw. war. Auch wenn die Sicherheitslücken nach Angaben der Unternehmen gleich geschlossen wurden, bleibt die Frage nach der Qualitätssicherung der DiGA-Gesundheits-Apps am Markt. Ein Überblick. Weiterlesen

Follina – Aktuelle Zero-Day-Lücke im Microsoft Standardtool

Zero-Day-Sicherheitslücken sind mitunter einer der schlimmsten Vorfälle für Hersteller und Sicherheitsverantwortliche: Es gibt keinen Patch zum Schließen und oft auch keinen praktikablen Workaround zum Abmildern. Gut, wenn dann ein offener Umgang seitens des betroffenen Herstellers mit der Problematik besteht. Leider ist das bei Microsoft aktuell nicht der Fall. Gleichzeitig sind nahezu alle Windows Versionen betroffen. Weiterlesen

Supply-Chain-Angriffe – Das Einfallstor in der Software-Lieferkette

Gerade in Zeiten der Covid-Pandemie wurde und wird immer wieder über die Wichtigkeit funktionierender Lieferketten gesprochen und welche weitreichenden Folgen mit einer unterbrochenen Lieferkette verbunden sind. Dieser Beitrag befasst sich ebenfalls mit Lieferketten, jedoch bezogen auf die Softwareentwicklung, und wie deren Rolle in Bezug auf die IT-Sicherheit regelmäßig unterschätzt wird. Weiterlesen

IT-Security-Awareness: 10 Erfolgsfaktoren bei der Konzeption

Informationssicherheit ist ein wichtiges Thema für jedes Unternehmen. Selbstverständlich haben die Maßnahmen der Fachabteilungen und Geschäftsleitungen eine wichtige Lenkungsfunktion. Jedoch sind viele dieser Maßnahmen und Investitionen weniger wirksam, wenn der „Faktor“ Mensch nicht ausreichend berücksichtigt wird. Daher sollte jeder Mitarbeitende mitgenommen werden und ein entsprechendes Bewusstsein im Unternehmen implementiert werden. Weiterlesen

Dokumentenklassifizierung: Sinnvolle Umsetzung in der Praxis

Die Dokumentenklassierung wird oft als Synonym von Informationsklassifizierung angesehen. Es handelt sich jedoch um zwei unterschiedliche Konzepte, zwischen denen eine Beziehung besteht. Die Dokumentenklassifizierung ist ein Bestandteil der Informationsklassifizierung, die wiederum der Oberbegriff ist. Unternehmen, die sich nach ISO/IEC 27001 zertifizieren, oder ein ISMS nach 27001 aufbauen möchten, haben die Herausforderungen die Maßnahme der Klassifizierung A.8.2 des Anhanges A umzusetzen. Doch eine sinnvolle Umsetzung der Klassifizierung ist in der Praxis nicht immer einfach. Weiterlesen

Eine Ode an die IT-Sicherheit

Häufig werden Entscheidungen getroffen, die ein Risiko für die IT-Sicherheit und/oder Informationssicherheit darstellen. Dieses Gedicht soll ein Bewusstsein dafür schaffen, dass es im Büroalltag einige Herausforderungen zu meistern gilt. Entdecken Sie die 7 Todsünden? Weiterlesen

Authentifizierung: Verfahren um Zugriffe auf Daten abzusichern

Viele kennen den Vorgang der Authentifizierung aus ihrem privaten Alltag, etwa vom Online-Banking. Aber auch bei den täglichen Geschäftsprozessen sollte man den Zugriff auf Clouddienste zu jeder Zeit streng reglementieren, um die Daten des eigenen Unternehmens und der jeweiligen Kunden zu schützen. Warum dies erforderlich ist und welche Möglichkeiten der Authentifizierung es gibt, zeigt der folgende Beitrag. Weiterlesen

log4j: Hilfe und Umgang mit der kritischen Schwachstelle

Zweifellos haben die meisten unter uns schon von der neusten Sicherheitslücke (CVE-2021-44228) in der log4j-Bibliothek, ein sehr beliebtes Logging-Paket für Java, gehört. Das Paket ist flexibel und leistungsfähig und es wird in fast jeder Java-Anwendung eingesetzt. Am 09.12.2021 wurde ein Proof of Concept veröffentlicht. Erste Angriffe wurden schon Anfang Dezember beobachtet. Was Sie darüber wissen sollten, wie sie Angriffe erkennen können und wie darauf zu reagieren ist, erfahren Sie hier. Weiterlesen