29.08.14 - IT Security-Telegramm

Sie sind hier: Das Magazin für alle IT-Security-Themen » IT SecCity-Archiv » IT Security-Telegramm » Jahrgang 2014


Daten werden vor der Speicherung durch zwei voneinander unabhängige Prozesse auf 256-Bit-Basis verschlüsselt
Datev gibt Antworten auf die Frage, mit welchen Mitteln sich der stetig steigenden Bedrohungslage in einer vernetzen Welt begegnen lässt


29.08.14 - Neue DataLocker-Festplatte verschlüsselt doppelt
"DataLocker 3", die externe USB-Security-Festplatte mit Hardware-Verschlüsselung, ist ab sofort in der neuen Variante "DL3 FE" (FIPS Edition) verfügbar, die mit zwei Verschlüsselungs-Chips ausgestattet ist. Erstmals werden die Daten vor der Speicherung dabei durch zwei voneinander unabhängige Prozesse auf 256-Bit-Basis verschlüsselt. Die erste Verschlüsselung erfolgt im so genannten AES-XTS-Modus. Anschließend durchlaufen die Daten eine zweite Verschlüsselung in einem nach dem Standard FIPS 140-2 validierten CBC-Verfahren (Cipher Block Chaining). Sämtliche Informationen sind dadurch mit zwei unterschiedlichen Keys verschlüsselt.
Der neue DataLocker DL3 FE ist wie alle DataLocker-Produkte auf hochsichere Speicherung und Transport von wichtigen Daten ausgelegt. Der externe Security-Datenspeicher, der mit Festplatte oder SSD in verschiedenen Kapazitäten erhältlich ist, wird per USB 3.0 angeschlossen und benötigt keinerlei zusätzliche Software oder Treiber. Im Unterschied zu den anderen DataLocker-3-Modellen- bietet der DL3 FE zusätzlich zwei weitere Security-Features: Die Funktion Auto-Lock sorgt für eine automatische Abmeldung des Geräts nach einer einstellbaren Zeit ohne Aktivität des Anwenders. Außerdem kann der Administrator optional den Nur-Lesen-Modus aktivieren. Der Nutzer kann dann Daten auf der Festplatte lediglich lesen, aber nicht ändern oder löschen.

29.08.14 - "Sina"-Kryptogeräte erhalten Zulassung für höchsten EU-Geheimhaltungsgrad
Der Rat der Europäischen Union hat weitere Verschlüsselungsgeräte der "Sina"-Produktlinie für den Einsatz in der EU zur sicheren Übertragung von Informationen über öffentliche Leitungswege zugelassen. Damit ist secunet Security Networks im Moment die einzige Herstellerin, die IP-basierte Kryptographie-Lösungen für alle EU-Geheimhaltungsgrade bereitstellt. Die Zulassung für die "Sina L3 Box H" für "SECRET UE / EU SECRET" wurde am 11. August veröffentlicht.
Die Sina L3 Box ist als Virtual Private Network Gateway eine zentrale IT-infrastrukturelle Kernkomponente in Hochsicherheitsnetzwerken. Die zwischen den Sina L3 Boxen ausgetauschten Daten werden in verschlüsselten VPN-Tunneln sicher übertragen. Darüber hinaus laufen über Sina L3 Boxen
die Zugriffe von Sina Clients (z.B. der Sina Workstation) auf Serverbereiche. Die von der EU hiermit zugelassene Sina L3 Box H ist mit dem Sina Core ausgestattet, einem von secunet in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten Krypto-Modul. Das leistungsstarke "Sina Core Modul" kann mehrere Krypto-Algorithmen laden und ist dadurch flexibel einsetzbar.

29.08.14 - All-in-One-Security Kit: Komplettlösung für Häusern oder Kleinunternehmen
Mit den neuen Security Kits "SDS-P3022/P3042" will Samsung Techwin in einer Lösung alles bieten, was Anwender brauchen, um ihr Zuhause oder Kleinunternehmen zu sichern. Das Komplettpaket besteht aus einem digitalen Videorekorder (DVR), der Echtzeitaufnahmen in 960H-Auflösung ermöglicht, und wahlweise zwei oder vier Full-HD-Analogkameras, die 720 TV-Linien aufnehmen und eine hervorragende Bildqualität bieten. Die Besonderheit der Out-of-the-Box-Lösung: Sie lässt sich ganz einfach, ohne technischen Support installieren und ist innerhalb kurzer Zeit einsatzbereit. Egal ob in den eigenen vier Wänden, im Büro oder im Einzelhandel: Anwender müssen nur die Kameras an eine Stromquelle anschließen, den DVR mit dem Internet verbinden und können sofort loslegen. Der Netzwerk-Router konfiguriert den Zugang per Mobilgerät oder PC automatisch. Anwender, die das Sicherheitssystem installieren wollen, ohne Netzwerkkabel verlegen zu müssen, können optional einen WiFi-Dongle ordern. Damit werden die Kameras drahtlos mit dem DVR vernetzt. Einfacher kann Plug and Play kaum sein.
Auch die Konfiguration der in dem Sicherheitsset enthaltenen "iPolis"-Software ist dank der intuitiven grafischen Bedienoberfläche selbsterklärend. Mit iPolis hält eine Samsung Techwin-Lösung Einzug in Privathäuser und kleinere Unternehmen, die bislang dem Profibereich vorbehalten war. Anwender können sich dadurch sicher sein, eine hochwertige, bewährte Lösung zu erhalten, die ihr Sicherheitsgefühl in den eigenen vier Wänden nachhaltig steigert.

29.08.14 - Deniz Bank setzt Kobil-Sicherheitstechnologien im eBanking ein
Kobil Systems und die Deniz Bank, eine der führenden türkischen Banken, haben ihre Kooperation ausgeweitet. Kunden der Deniz Bank können jetzt über ihr Smartphone mit nur einer Display-Berührung auf ihr Konto zugreifen. Ermöglicht wird dies durch "Kobil m-Identity Protection"-Technologie, die in die Banking-App "MobilDeniz" der Deniz Bank integriert wurde, um eine praktischere Abwicklung von Bankgeschäften zu gewährleisten.
m-Identity Protection vereinfacht und sichert die Bankgeschäfte der Kunden der Deniz Bank, die die App MobilDeniz nutzen. Diese Kunden können sich anhand der App mit Benutzername und Passwort in das Online-Banking-System der Deniz Bank einloggen. Um die neue Zwei-Faktor-Authentifizierung zu nutzen, sollte der Nutzer erst ein Passwort vergeben und dann das sogenannte Tek ifre als Standardzugangspunkt für das System angeben. Nach Aktivierung von Tek ifre kann der User mit nur einer Display-Berührung sicher auf sein Bankkonto zugreifen und alle Bankgeschäfte schnell und einfach mit dem Smartphone durchführen. Dabei werden keine Bestätigungen per SMS versandt.

29.08.14 - A10 Networks und Webroot kooperieren: Web-Klassifizierung auf die Application Delivery Controller der "Thunder Serie" von A10 Networks erweitern
A10 Networks und Webroot, Anbieterin der Cloud-basierten Echtzeiterkennung von Internetbedrohungen, geben bekannt, dass A10 Networks den "Webroot BrightCloud Web Classification Service" in die "Application Delivery Controller" (ADC) ihrer "Thunder"-Serie integrieren wird. Somit sollen sich Performance, Wirksamkeit und Compliance bei der Entschlüsselung des SSL-Datenverkehrs verbessern.
Durch die Nutzung des "Webroot BrightCloud Web Classification Service" zusammen mit der SSL-Intercept-Funktion von A10 Networks können Kunden den SSL-Datenverkehr analysieren und sichern, während sie die Verbindung zu sensiblen Seiten - beispielsweise von Banken oder Unternehmen aus dem Gesundheitswesen - umgehen. Die kombinierte Lösung ermöglicht Unternehmen, Endgeräte und Anwendungen zu schützen und gleichzeitig den regulatorischen Anforderungen zu entsprechen, welche die Entschlüsselung und die Erfassung von vertraulichen Daten verbieten.

29.08.14 - Dresdner Start-up CoinBau entwickelt effiziente Bitcoin-Hardware
Die Sicherheit der digitalen Währung Bitcoin wird durch gigantische Rechenoperationen garantiert. Als Vergütung für die Bereitstellung dieser Rechenleistung erhalten die Beteiligten neu ausgeschüttete Bitcoins. Waren an diesem Prozess in den Anfangsjahren noch herkömmliche PCs in aller Welt beteiligt, dominieren mittlerweile eigene Rechenzentren mit spezialisierten Supercomputern, deren Herzstück so genannte ASICs bilden. Das Start-up-Unternehmen CoinBau hat nun laut eigenen Angaben eine "vollkommen neuartige" Implementierung eines Bitcoin-ASICs entwickelt, welche im Vergleich zu den aktuell besten eingesetzten Chips nur die Hälfte der Energie verbrauchen soll.
Für den Bitcoin-Markt ist dies erheblich, denn der Energieverbrauch ist mittlerweile mit Abstand der größte Kostenfaktor. Der neue ASIC "Wolfblood eXtreme Efficieny" erreicht dabei den Bestwert von 0,19 J/GH. Der bisher beste angebotene Wert im Markt beträgt 0,37 J/GH. Noch 2014 sollen Zigtausende CoinBau-ASICs eines der weltweit größten Bitcoin-Rechenzentren bilden, wofür die Initiatoren derzeit Beteiligungen vergeben. Ziel ist ein Marktanteil von 15 Prozent aller "geschürften" Bitcoins.

29.08.14 - it-sa 2014: Datev präsentiert Lösungen für Internetschutz und E-Mail-Sicherheit
Ausspäh-Vorfälle, Hacker-Angriffe, Datendiebstahl fast permanent bestimmen derartige Meldungen inzwischen die Schlagzeilen. Antworten auf die Frage, mit welchen Mitteln sich der stetig steigenden Bedrohungslage in einer vernetzen Welt begegnen lässt, liefert die Datev eG auf der IT-Sicherheitsmesse it-sa, Nürnberg vom 07. bis 09. Oktober 2014. Den Messeauftritt der Genossenschaft bestimmen in diesem Jahr die Themen Internetschutz und E-Mail-Sicherheit. Am Stand 425 in Halle 12 zeigt der IT-Dienstleiter dazu unter anderem Lösungen zur E-Mail-Verschlüsselung sowie die Sicherheitsdienstleistung "Datevnet pro", bei der der gesamte Datenverkehr des Anwenders eine mehrstufige Sicherheitszone im Datev-Rechenzentrum durchläuft. Als weiteren wichtigen Aspekt präsentiert Datev Lösungen für die Absicherung des Zugriffs von mobilen Endgeräten auf das Unternehmensnetzwerk.

29.08.14 - Briten und Deutsche zeigen unterschiedliches Privatsphäre-Verhalten bei der Mobiltelefonie
Eine Umfrage unter 1000 englischen und 1000 deutschen Angestellten hatte zum Ergebnis, dass in den beiden Ländern sehr unterschiedliche Einstellungen hinsichtlich der Privatsphäre bestehen. Während englische Angestellte in einem höheren Maße befürchten, dass ihre Mobilkommunikation abgehört wird, sind sie weit weniger als die deutschen Angestellten bereit, Geld für die Privatsphäre auszugeben. Die Umfrage wurde im zweiten Quartal 2014 von Silent Circle bei OnePoll in Auftrag gegeben.
Die Ergebnisse zeigen, dass 88 Prozent der englischen Angestellten glauben, dass ihre Telefonate und Textbotschaften abgehört beziehungsweise mitgelesen werden. In Deutschland sind nur 72 Prozent dieser Meinung. Allerdings würden 33 Prozent der Deutschen ein Mobilgerät oder einen Service kaufen, um ein "Lauschen" zu unterbinden. Überraschenderweise sind nur 23 Prozent der Briten einer solchen Investition aufgeschlossen.


####################

Bestellen Sie hier Ihren persönlichen Newsletter!

Sie wollen täglich informiert sein, haben aber keine Zeit, jeden Morgen durchs Internet zu surfen?

Dann lassen Sie sich durch unseren kostenlosen E-Mail-Service topaktuelle News aus der IT-Securit, Safety- und High Availability-Branche nahebringen.

Das Redaktionsteam von IT SecCity.de hat die wichtigsten tagesaktuellen Meldungen für Sie zusammengetragen - ein Klick auf die entsprechenden Links und Sie befinden sich an den gewünschten Plätzen auf IT SecCity.de und den Schwester-Magazinen SaaS-Magazin.de und Compliance-Magazin.de - einfacher geht's wirklich nicht!

Klicken Sie hier, um den kostenlosen Newsletter-Service zu abonnieren.

Sie erhalten dann in wenigen Minuten eine E-Mail vom System. Bitte klicken Sie auf den Link in der E-Mail und schicken Sie uns eine Bestätigung Ihrer Bestellung.

Der Newsletter wird im html-Format versendet.
Bitte denken Sie daran, den Newsletter bei Ihrem IT-Administrator auf die White-List setzen zu lassen.

####################


Meldungen vom Vortag

28.08.14 - Kostenloses Online-Tool zur Disaster Recovery-Planung vor

28.08.14 - Forscher der Technischen Universität München entwickeln Abwehrsystem gegen Cyberangriffe

28.08.14 - Online-Spionage auch Made in Germany: BKA besitzt zwei Staatstrojaner

28.08.14 - "Jeder USB-Stick kann zur Cyber-Waffe werden" kann man in diesen Tagen häufig in verschiedenen Medien lesen

28.08.14 - Cyberpsychologie-Studie gibt Einblick in das Cyber-Psychogramm von Nutzern und Gamern

28.08.14 - Dieter Schmitt wird Senior Director Channel Sales Central EMEA

28.08.14 - GameOver-Zeus-Varianten nehmen die Ukraine und USA ins Visier

28.08.14 - Tarnkappen-Malware: Botnet-Steuerung per Webmail

Besuchen Sie SaaS-Magazin.de

SaaS, On demand, ASP, Cloud Computing, Outsourcing >>>

Kostenloser Newsletter

Werktäglich informiert mit IT SecCity.de, Compliance-Magazin.de und SaaS-Magazin.de. Mit einem Newsletter Zugriff auf drei Online-Magazine. Bestellen Sie hier

Fachartikel

Grundlagen

Big Data bringt neue Herausforderungen mit sich

Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.

Bösartige E-Mail- und Social-Engineering-Angriffe

Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.

Zertifikat ist allerdings nicht gleich Zertifikat

Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

Datensicherheit und -kontrolle mit CASBs

Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

KI: Neue Spielregeln für IT-Sicherheit

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

DDoS-Angriffe nehmen weiter Fahrt auf

DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

Fluch und Segen des Darkwebs

Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.

Diese Webseite verwendet Cookies - Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Mit dem Klick auf „Erlauben“erklären Sie sich damit einverstanden. Weiterführende Informationen erhalten Sie in unserer Datenschutzerklärung.