Der sehr geschätzte Jens Lange, seines Zeichens Informationssicherheitsbeauftragter der Stadt Kassel hat mit der Webseite https://kommunaler-notbetrieb.de eine ganz tolle Sache ins Leben gerufen. In chronologischer Abfolge informiert Jens […]
Informationssicherheit / ISMS / Norm
Arbeitshilfe Version 5.0 erschienen
Das ursprünglich als Hilfe zur Selbsthilfe gedachte Sicherheitskonzept “Arbeitshilfe” der Innovationsstiftung Bayerische Kommune ist mit Version 5.0 noch erwachsener geworden. Neben der Erweiterung und Vertiefung der Identifikation und […]
Fördermittel / Kommune / Presse
Fördermittel zur Arbeitshilfe für bayerische Kommunen
Im Zuge der aktuellen ISMS-Fördermittelrichtlinie (ISMR) vom 7. März 2022 können bayerische Kommunen Fördermittel für die Einführung der Arbeitshilfe erhalten.
Tipps
Hilfestellung: Anzeige von Antwort-an Reply-to in Outlook
Outlook zeigt die Reply-to / Antworten-an Email-Adresse im Posteingang nicht automatisch an. Mit unserer Anleitung aktivieren Sie diese Anzeige mit wenigen Klicks. Dies hilft bei der Erkennung potentiell gefährlicher Emails. Den Download-Link erhalten Sie im kompletten Beitrags-Text.
Uncategorized
Geruhsame Feiertage und einen Guten Rutsch ins Neue Jahr 2019
Das Jahr neigt sich dem Ende. Die DSGVO Welle ebbt etwas ab. Zeit für etwas Besinnung und Durchschnaufen für das kommende Jahr. Selbst Weihnachten ist von der DSGVO betroffen. Details dazu sowie unsere Weihnachtswünsche finden Sie online im Beitrag unseres Informationssicherheitsblogs.
Tipps
Über Bord mit veralteten starren Passwort-Richtlinien
Starre Passwort-Richtlinien sind nicht praxistauglich und werden der Bedrohungslage nicht gerecht. Aber sie haben sich ja über Jahre bewährt, wieso also ändern? In unserem Blogbeitrag beleuchten wir die Passwort-Mythen zu Passwort-Länge, Passwort-Komplexität, Passwort-Wechsel und Vermeidung einheitlicher Passwörter. Nicht zu Unrecht sind die meisten Anwender von dem Thema genervt und umgehen alle so schön auf Papier formulierte und teilweise erzwungene Passwort-Richtlinien mit aller Kunst und Finesse. Die Maßnahmen des BSI IT-Grundschutzes sind Empfehlungen, die auf die jeweilige Organisation und Bedrohung anzupassen sind. Oftmals werden diese jedoch als fixe Mindestvorgabe gesehen und umgesetzt. Der Effekt für die Sicherheit in der Organisation überschaubar. Wir haben Ihnen einige Tipps zusammengestellt, wie Sie Ihre Anwender vom Praxisnutzen der Sicherheit überzeugen können und gelebte Sicherheit in die Organisation bringen können. Achtung: Bitte lesen Sie den kompletten Blog-Beitrag nicht, wenn Ihr Motto lautet “Haben wir schon immer so gemacht!”. Der Beitrag könnte Ihre Vorurteile gefährden 🙂
Bedrohung / Hacking
Magento-Shops kompromittiert — Kreditkartendaten werden bereits abgegriffen
Mittels Brute-Force-Attacken verschaffen sich Hacker aktuell Zugriff auf den Admin-Bereich von Online-Shops, welche die Software Magento nutzen. Dabei wird ein Javascript-Code eingefügt, der ab sofort in Echtzeit die Eingabedaten der Shop-Kunden mitschreibt und an einen Server in Russland überträgt. Darin sind die Zahlungsinformationen enthalten, die dann mißbraucht werden können.
Informationen, wie Sie als Magento-Shopbetreiber den besagten Schadcode identifizieren können, finden Sie im Sicherheitsbeitrag des Entdeckers dieses Problems. Der Autor gibt darin gleich weitere Tipps zur Absicherung wie die Vergabe gehärteter Admin-Passwörter und viele mehr.
Da dieser Angriff eine meldepflichtige Datenpanne im Sinne der DSGVO darstellt und sich durch den Mißbrauch von Zahlungsinformationen schnell hohe Schadensersatzbeträge aufsummieren können, sollten Sie als Magento-Shopbetreiber zeitnah prüfen, ob Ihr Server entsprechend manipuliert wurde. Mehrere tausend infizierte Shops sind bereits bekannt.
Bedrohung / Schutz / Tipps
WordPress-Nutzer aufgepasst: Update 4.9.3 schießt automatische Aktualisierungen ab
Allen Nutzern des beliebten Content-Management-Systems Wordpress wird empfohlen, das Update auf Version 4.9.4 umgehend manuell einzuspielen. Das vorherige Update auf Version 4.9.3 war fehlerhaft und hat die automatische Aktualisierung von Wordpress abgeschossen. Somit werden nach Version 4.9.3 keine Fixes Sicherheitslücken mehr automatisch eingespielt. Abhilfe schafft ausschließlich das manuelle Update auf 4.9.4 im Backend. Nur so werden auch zukünftige automatische Aktualisierungen sichergestellt. Nutzer von Wordpress sollten diesen Fehler umgehend manuell beheben.
Bedrohung
Kritische Sicherheitslücke in Browser Firefox
Laut CERT BUND sind alle Versionen des beliebten Browsers Firefox vor 58.0.1 von einer kritischen Sicherheitslücke betroffen. Bereits der Besuch einer präparierten Webseite reicht aus, um Schadcode auf den PC des Besuchers zu bringen und auzuführen. Es wird dringend geraten, das Update auf die Version 58.0.1 zeitnah durchzuführen. Im Zweifel manuell anstoßen, nicht auf das Auto-Update warten.
Bedrohung / Presse / Schutz
Schluss, Aus, Weg damit — Besonderes elektronisches Anwaltspostfach (beA) deinstallieren
Seit geraumer Zeit rumort es in Anwaltskreisen. Grund ist das besondere elektronische Postfach, kurz beA genannt. Dies sollte eigentlich zum 01.01.2018 verpflichtend zum Einsatz kommen. Doch daraus wurde nichts. Was mit der Entdeckung eines falsch zur Verfügung gestellten Zertifikats Ende 2017 begann (der private Schlüssel wurde mit verteilt), findet nun seinen Höhepunkt. Die Bundesrechtsanwaltskammer (BRAK) empfiehlt in einer Pressemeldung die Client Security zu deaktivieren, besser den Client gleich komplett zu deinstallieren. Wie es dazu kommen konnte, das trotz angeblicher Sicherheitsüberprüfungen ein unsicheres Produkt an die Rechtsanwaltszunft verteilt wurde, klärt die Pressemeldung nicht auf.
BRAK-Vizepräsident Abend erklärt, das “beA erst dann wieder in Betrieb gehen wird, wenn alle relevanten Sicherheitsfragen geklärt sind.”