- Anzeigen -


Sie sind hier: Home » Markt » Kommentare & Meinungen

Gemalto: Statement zum T-Mobile Hack


Schutz mit einem datenzentrierten Sicherheitsansatz
Selbst wenn Unternehmen Verschlüsselung einsetzen, könnten Daten kompromittiert werden, wenn die kryptographischen Schlüssel unzureichend geschützt sind

(27.10.15) - Der Cyberangriff auf Experian, einen Dienstleister von T-Mobile in den USA, kann fatale Folgen nach sich ziehen. Die Daten von etwa fünfzehn Millionen Kunden wurden gestohlen. Dies ist nicht besonders kritisch – solange die Daten verschlüsselt sind. Hier finden Sie einen Kommentar von Thorsten Krüger, Regional Sales Director, Identity and Data Protection, Gemalto:

"Der Hackerangriff auf Experian und T-Mobile ist der aktuellste Fall auf einer langen Liste großer Unternehmen, die von Cyberkriminellen angegriffen wurden. Es stellt sich nicht mehr die Frage, ‚ob’ ein Angriff geschehen wird, sondern vielmehr ‚wann’ er passiert. Aus diesem Grund müssen Unternehmen sich von einer traditionellen, auf das Netzwerkperimeter zentrierten Sicherheitsstrategie verabschieden und stattdessen den Ernstfall absichern. Das bedeutet eine ganzheitliche Sicherheitsstrategie mit mehren Stufen einzuführen, die Zugangskontrollen, starke Authentifizierung, Netzwerksicherheit, Verschlüsselung und Key Management umfasst.

Doch selbst wenn Unternehmen Verschlüsselung einsetzen, könnten Daten kompromittiert werden, wenn die kryptographischen Schlüssel unzureichend geschützt sind – das Schlüsselmanagement spielt daher eine große Rolle. Wenn die Verschlüsselung geknackt wird, betrifft das Risiko nicht nur die Daten, sondern auch die Schlüssel selbst. Dies ermöglicht Angreifern die Daten zu entschlüsseln, falsche Identitäten zu erschaffen und nach Wunsch Zertifikate auszustellen. Spezielle Crypto-Prozessoren, die speziell dafür entwickelt wurden, Schlüssel sicher zu verwalten, zu bearbeiten und auf entfernten Web-Servern abzuspeichern, können helfen den Diebstahl der Schlüssel zu verhindern.

Da das Risiko für Datendiebstahl weiter zunimmt, müssen Unternehmen durch einen datenzentrierten Sicherheitsansatz für den Schutz ihrer sensiblen Informationen sorgen. Die Kombination aus starker Authentifizierung in Verbindung mit Verschlüsselungs- und Key-Managementlösungen sorgt dafür, dass Informationen auch im Falle eines Diebstahls unbrauchbar für die Angreifer sind."
(Gemalto: ra)

Gemalto: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Kommentare und Meinungen

  • Volksverschlüsselung muss kommen

    Die Gesellschaft für Informatik e.V. (GI) sieht die vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) entwickelte Volksverschlüsselung auf dem richtigen Weg zur flächendeckend sicheren E-Mail. Mit einer Erweiterung auf Klasse-1-Zertifikate und mit der Anbindung an eine allgemein akzeptierte Zertifizierungsstelle könnte dieses Ziel bei entsprechender Unterstützung durch die Bundesregierung auch zügig erreicht werden. Prof. Dr. Hannes Federrath, Vizepräsident der Gesellschaft für Informatik und IT-Sicherheitsexperte von der Universität Hamburg, sagte: "Trotz jahrelanger Bemühungen gibt es immer noch keine einfache Lösung, mit der sich Nutzer vor der massenhaften Ausforschung ihrer E-Mail-Nachrichten schützen können. Die bisherigen Lösungsansätze zur Verschlüsselung des E-Mail-Verkehrs sind entweder nicht benutzerfreundlich oder es handelt sich um Insellösungen, die nicht mit dem existierenden E-Mail-System kompatibel sind. Daraus resultieren erhebliche Eintritts- und Nutzungsbarrieren, die einer weiten Verbreitung entgegenstehen.

  • Wenn der Teddybär Geheimnisse ausplaudert

    Der Sicherheitsforscher Troy Hunt hat einen Blogpost veröffentlicht, in dem er beschreibt, wie Hacker über eine ungesicherte Datenbank an vertrauliche Daten gelangen konnten, die von vernetzten Teddybären generierte wurden. In erster Linie handelt es sich dabei um Sprachnachrichten von Kindern und Eltern, mit denen die Kriminellen versuchen könnten, das Herstellerunternehmen zu erpressen. Zwar bestreitet die Firma das Datenleck gegenüber Networkworld und gibt an, dass die öffentlich zugängliche MongoDB-Datenbank, in der sich die Aufnahmen und weitere Anmeldedaten von Nutzern befanden, von einem externen Unternehmen verwaltet wird; sie haben allerdings dennoch allen Nutzern die Änderung des Passworts empfohlen.

  • Lebensdauer von SHA-1 begrenzt

    Durch den erfolgreichen Angriff von Google und CWI ist die Sicherheit oder Unsicherheit des Hash-Algorithmus zur sicheren Signatur von Inhalten "SHA-1" in aller Munde. Manche Publikationen sprechen sogar reißerisch von dessen "Todesstoß". Doch was technisch möglich ist, stellt sich deshalb noch lange nicht als wirtschaftlich sinnvoll heraus. Ja, jetzt steht zwar endgültig fest, dass die Lebensdauer von SHA-1 begrenzt ist. Dennoch liegt kein Grund zur Panik vor. Vielmehr gilt es jetzt, eine nüchterne Risikoanalyse anzustellen und auf deren Basis den Umstieg auf stärkere Hash-Algorithmen zu planen. Je nach Risikoprofil kann und darf sich das durchaus auf Jahre erstrecken.

  • US-Konsulat als verdeckte CIA Hacker-Basis?

    "Was wie ein morbider Krimi klingt, ist bittere Realität.", reagiert Patrick Schiffer, Vorsitzender der Piratenpartei Deutschland, entsetzt auf eine Veröffentlichung der Enthüllungsplattform Wikileaks, zufolge derer von der CIA mitten in Deutschland Computerviren, Trojaner und andere Schadsoftware entwickelt würden. Ziel sei es, neben Computern und Servern auch Steuersoftware für intelligente Heimgeräte zu kompromittieren. Hierzu sei mitten in Deutschland eine spezialisierte Truppe von IT-Experten stationiert, um Computerangriffe gegen Ziele in Europa, Afrika und dem Nahen Osten vorzubereiten. Schiffer: "Entweder hat die amerikanische Administration völlig die Kontrolle über ihre Dienste verloren oder sie knallen komplett durch. Wie lange will sich unsere Regierung noch diesen Weg Richtung Orwell´s 1984 gefallen lassen? Oder weiß sie längst Bescheid und deckt derartige Eingriffe und Grenzüberschreitungen sogar? Hat sie überhaupt nichts aus Eikonal gelernt? Das Vertrauen in die amerikanischen Sicherheitsbehörden ist jedenfalls zerstört!"

  • Geheim gehaltener Hacking-Tools

    8.761 Dateien sind, so wird laut WikiLeaks behauptet, aus dem Cyber Intelligence Center der CIA durchgesickert; das wäre die weitreichendste Veröffentlichung von vertraulichen Dokumenten der CIA jemals. Offensichtlich handelt es sich dabei um die erste in einer Reihe von weiteren Veröffentlichungen. Diese trägt den Namen "Year Zero". Die Veröffentlichung enthält brisante Details zu einer riesigen Schatztruhe bislang geheim gehaltener Hacking-Tools, die die CIA angeblich verwendet, um Informationen zu sammeln. Das CIA hüllte sich direkt nach den WikiLeaks-Veröffentlichungen, die in etlichen führenden Medien verbreitet worden, darunter Politico, Foxnews, AP, The Guardian, Spiegel Online, golem.de und anderen, in Schweigen.