Sie sind hier: Home » IT SecCity-Archiv » IT Security-Telegramm » Jahrgang 2015

30.07.15 - IT Security-Telegramm

Trend Micro hat in den gestohlenen Informationen von Hacking Team eine Sicherheitslücke mit der Bezeichnung "CVE-2015-5119" entdeckt, die nach eigener Aussage des italienischen Anbieters von Spionagesoftware "der schönste Flash Bug der vergangenen vier Jahre" ist
Fakt ist, dass bislang zu wenige Unternehmen ihre vertraulichen Geschäftsdokumente verschlüsselt übertragen. Stattdessen werden sie als normaler Anhang an eine E-Mail versendet und können damit zur leichten Beute werden

30.07.15 - Security-Software: Eset ernennt Claudia Ketzer zum Marketing Director D-A-CH
Die Security-Software-Herstellerin Eset holt Claudia Ketzer (49) als Marketing Director D-A-CH an Bord und baut damit das Team in Deutschland weiter aus. Die studierte Kommunikations- und PR-Fachwirtin mit Diplom der BAW verantwortet ab sofort das Marketing in Deutschland, Österreich und der Schweiz. "Ich freue mich sehr auf meine neuen Herausforderungen bei Eset und darauf, die selbst gesteckten Ziele und Ansprüche gemeinsam mit meinem Team zu erreichen", so Claudia Ketzer. Claudia Ketzer besitzt über 13 Jahre IT-Marketing-Erfahrung. 1993 gründete sie die LBM Lichtleit-Fasertechnik und hat diese bis zum erfolgreichen Verkauf im Jahr 1999 zum Marktführer für Faseroptik in Deutschland ausgebaut. Nach dem Verkauf blieb Ketzer bis 2001 Geschäftsführerin der LBM. Im Anschluss arbeitete sie in führenden Positionen in der IT-Branche.

30.07.15 - Bestandsaufnahme und Analyse, um die Zombie-Server zu identifizieren und so schnell wie möglich abzuschalten
Rund ein Drittel aller Server sind in Betrieb, obwohl sie nicht benötigt werden. Diese Zombie-Server verbrauchen nicht nur Strom, sie verursachen auch hohen Arbeitsaufwand und erhebliche Kosten. Dell-Experte Peter Dümig rät daher zu einer konsequenten Bestandsaufnahme und Analyse, um die Zombie-Server zu identifizieren und so schnell wie möglich abzuschalten. Laut einer kürzlich veröffentlichten Studie der Stanford University und der Anthesis Group werden rund ein Drittel aller in Rechenzentren betriebenen Server nicht benötigt und sind damit nutzlose Stromverbraucher. Die Studie bezeichnet diese Server als "komatös" und hat den weltweiten Energiebedarf dieser Systeme auf vier Gigawatt hochgerechnet. "Auch wenn die genauen Prozentzahlen von Unternehmen zu Unternehmen schwanken, beobachten auch wir bei Anwendern insgesamt einen ähnlich hohen Anteil ungenutzter Server, die trotzdem ständig in Betrieb sind", erklärt Peter Dümig, Sr. Server Product Manager bei Dell in Frankfurt am Main.

30.07.15 - Fünf Eckpunkte für die Auswahl einer Verschlüsselungslösung in Unternehmen
Fakt ist, dass bislang zu wenige Unternehmen ihre vertraulichen Geschäftsdokumente verschlüsselt übertragen. Stattdessen werden sie als normaler Anhang an eine E-Mail versendet und können damit zur leichten Beute werden. Wer eine wirksame Verschlüsselungslösung einführen will, muss allerdings einige Eckpunkte beachten. QSC listet die wichtigsten auf. Im heutigen Geschäftsleben bringt der E-Mail-Verkehr zahlreiche Risiken mit sich. Vor Spam können sich Unternehmen heute recht gut schützen, schon etwas schwieriger ist es, das Eindringen und die Verbreitung von Schadsoftware zu verhindern. Dazu sind schon aufwändige Maßnahmen erforderlich. Die größte Gefahr aber geht von einem unverschlüsselten geschäftlichen E-Mailverkehr aus, denn auf dem Weg vom Sender zum Empfänger kann jeder ohne großen Aufwand die Informationen lesen. Wollen Unternehmen das verhindern, müssen sie ihre vertraulichen E-Mails wirksam schützen. FTAPI Software, ein Unternehmen der QSC AG, nennt fünf wichtige Aspekte bei der Auswahl einer effizienten Lösung zur Verschlüsselung von E-Mails.

30.07.15 - WhatsApp: Auch nach Verbesserungen mit Vorsicht zu genießen
Im Laufe des vergangenen Jahres hat der Chat-Dienst WhatsApp in Sachen Sicherheit nachgebessert: Die Einführung einer teilweisen Ende-zu-Ende-Verschlüsselung sowie die Möglichkeit, die Sichtbarkeit der Userdaten einzuschränken, sollen den Dienst sicherer machen. Zufrieden zeigt sich IT-Sicherheitsexperte Christian Heutger dennoch nicht: "WhatsApp bedient sich zwar inzwischen an der Ende-zu-Ende-Verschlüsselung des freien Messengers TextSecure aus dem Hause Open Whisper Systems. Die TextSecure-Verschlüsselung ist speziell auf die Anforderungen ausgelegt, die Messenger mit sich bringen. Trotzdem ist WhatsApp noch immer mit Vorsicht zu genießen", lautet das Urteil des Geschäftsführers des Internet-Providers PSW Group. Die Erneuerung der Verschlüsselung – weg von RC4, einem veralteten und vormals verwendeten Verschlüsselungsalgorithmus, hin zu einer mehrfach geprüften, quelloffenen und hoch geschätzten Ende-zu-Ende-Verschlüsselung – ist zwar ein sehr guter Schritt in die richtige Richtung. Dennoch: Sicher verschlüsselt WhatsApp lediglich private Nachrichten. Gruppen-Chats, Foto- oder Videoversand erfolgen noch immer mit alten Methoden. "Wenngleich WhatsApp den Nachrichtenversand nun teilweise verschlüsselt, ist der Messenger noch immer nicht sicher.

30.07.15 - Gefährliche Sicherheitslücke: "Der schönste Flash Bug der vergangenen vier Jahre"
Trend Micro hat in den gestohlenen Informationen von Hacking Team eine Sicherheitslücke mit der Bezeichnung "CVE-2015-5119" entdeckt, die nach eigener Aussage des italienischen Anbieters von Spionagesoftware "der schönste Flash Bug der vergangenen vier Jahre" ist. Leider ist diese Aussage korrekt: Denn von dieser Lücke sind sämtliche Versionen des "Adobe Flash Player" sowohl für Windows als auch Mac betroffen, wie auch ein offizielles Advisory von Adobe bestätigt. Schlimmer noch: Die Cyberkriminellen haben extrem schnell reagiert und nutzen die Lücke bereits über die Exploit-Kits "Angler Exploit Kit", "Nuclear Exploit Pack" und "Neutrino Exploit Kit" aus.

####################

Bestellen Sie hier Ihren persönlichen Newsletter!

Sie wollen täglich informiert sein, haben aber keine Zeit, jeden Morgen durchs Internet zu surfen?

Dann lassen Sie sich durch unseren kostenlosen E-Mail-Service aktuelle News aus der IT-Securit, Safety- und High Availability-Branche nahebringen.

Das Redaktionsteam von IT SecCity.de hat die wichtigsten tagesaktuellen Meldungen für Sie zusammengetragen - ein Klick auf die entsprechenden Links und Sie befinden sich an den gewünschten Plätzen auf IT SecCity.de und den Schwester-Magazinen SaaS-Magazin.de und Compliance-Magazin.de - einfacher geht's wirklich nicht!

Klicken Sie hier, um den kostenlosen Newsletter-Service zu abonnieren.

Sie erhalten dann in wenigen Minuten eine E-Mail vom System. Bitte klicken Sie auf den Link in der E-Mail und schicken Sie uns eine Bestätigung Ihrer Bestellung.

Der Newsletter wird im html-Format versendet.
Bitte denken Sie daran, den Newsletter bei Ihrem IT-Administrator auf die White-List setzen zu lassen.

####################

Meldungen vom Vortag

29.07.15 - Studie zu Smart-Home-Lösungen zeigt: Vernetzte Alarmsysteme sind gefragt

29.07.15 - Tragbares Datenleck: Viele Smartphones sind potentielle Daten-Bomben

29.07.15 - "Reiner Datenzugriffsschutz war gestern. Die Zukunft gehört der Datennutzungskontrolle"

29.07.15 - Gefälschte DHL-Nachrichten: Neue Angriffswelle mit "TorrentLocker" umgeht Sandbox-Tests durch Captcha-Eingabe – Deutschland an fünfter Stelle betroffen

29.07.15 - Auch deutsche Nutzer von variablem Spam-Mail-Angriff betroffen

31.07.15 - IT Security-Telegramm 29.07.15 - IT Security-Telegramm

Fachartikel

Big Data bringt neue Herausforderungen mit sich
Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.
Bösartige E-Mail- und Social-Engineering-Angriffe
Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.
Zertifikat ist allerdings nicht gleich Zertifikat
Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.
Datensicherheit und -kontrolle mit CASBs
Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.
KI: Neue Spielregeln für IT-Sicherheit
Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.