News / Blog
Unsere Gedanken rund um das Wesentliche

Sicherheitsrisiko: Kabellose Maus/Tastatur

Jeder kennt sie, jeder nutzt sie: kabellose Eingabegeräte. Doch auch diese bergen Sicherheitsrisiken, wie sich kürzlich herausstellte.

Wird ein USB-Dongle statt einer Bluetooth-Verbindung genutzt, lässt sich der Dongle relativ einfach aus der Ferne kapern. So kann ein potentieller Angreifer beispielsweise alle Eingaben am betroffenen Rechner mitschneiden oder auch selbst eigene Eingaben an den Dongle senden um z.B. ein Root-Kit zu installieren.

In potenziell unsicheren Umgebungen (z.B. Flughafen, Hotel) sollte man daher als Basis-Maßnahme den USB-Dongle abstecken.

Die Hersteller haben z.T. bereits reagiert. So bietet Logitech eine aktualisierte Firmware für die Dongles an, mit der sich die Schwachstelle nicht mehr ausnutzen lässt.

„Möglicherweise hochgefährlicher“ Bug in Linux-Systemen

Ein seit 2008 existierender Bug in der DNS-Adressauflösung der glibc (CVE-2015-7547 ) ist jetzt bekannt gegeben worden. Mit manipulierten DNS-Antworten von einem böswilligen DNS-Server oder von einem Man-in-the-Middle wird ein Buffer Overflow im Client ausgelöst. Das bringt das anfragende Programm zum Absturz und eine Remote Code Execution wird möglich, da über 60kb des Stacks durch den Angreifer kontrollierbar sind.

glibc ist auf Linux-Systemen sehr verbreitet und wird von extrem vielen Modulen genutzt, sodass die Ausnutzung des Bugs schwerwiegende Folgen hervorruft.

RedHat und Debian liefern bereits Patches aus, andere Distributionen folgen sicherlich auch baldmöglichst. Eine temporäre Lösung für Systeme, die nicht gepatcht werden können, ist u.a. das Blockieren von DNS-Paketen mit mehr als 2048 Byte per Firewall-Regeln.

Bitfehler, eine seltene Spezies

Erinnern Sie sich noch an die Zeiten, in denen man Ethernet mit Koaxialkablen („Yellow Cable“ bzw. „Cheapernet“) aufbaute? Oder haben Sie vielleicht einst ein Token-Ring-Netz betrieben? Dann wissen Sie, dass es in diesen Netzen häufig Fehler gab, die auf der Schicht 1 des OSI-Referenzmodells zu suchen waren ….

Den vollständigen Text des Standpunktes finden Sie im Netzwerk Insider

Wenn Sicherheitskomponenten unsicher sind

Firewalls bilden einen wesentlichen Eckpfeiler unserer technischen Infrastruktur der Informationssicherheit und haben sich als Standardwerkzeug zur sicherheitstechnischen Segmentierung von Netzen seit Jahren etabliert ….

Den vollständigen Text des Standpunktes finden Sie im Netzwerk Insider

Kabel ab?

Zugegeben, das hätte ich nicht so schnell erwartet: Im September hat der Hersteller Quantenna seine neue Produktreihe „QSR10“ vorgestellt. Dabei handelt es sich um WLAN Chips, die IEEE 802.3ac „Wave 3“ unterstützen. Das ist also die dritte Welle der Einführung von Gigabit WLAN ….

Den vollständigen Text des Standpunktes finden Sie im Netzwerk Insider

Tag der Informatik 2015

Besuchen Sie uns am 4. Dezember 2015 ab 12:00 Uhr an unserem Stand beim Tag der Informatik im Foyer des Informatikzentrums in der Ahornstraße.

Nacht der Unternehmen 2015

Besuchen Sie uns am 3. November 2015 ab 17:00 Uhr an unserem Stand bei der Nacht der Unternehmen im Technologie Zentrum Aachen.

Safe-Harbor-Abkommen: Angemessener Schutz der Grundrechte vom EuGH angezweifelt

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 6. Oktober 2015 die Entscheidung der Europäischen Kommission, dass die USA bei der Übermittlung personenbezogener Daten ein dem EU-Recht angemessenes Schutzniveau garantieren, aufgehoben. Hiervon betroffen sind das Safe-Harbor-Abkommen sowie ggf. auch die Standard-Vertragsklauseln, die die EU-Kommission zur Verfügung stellt.

Diese Abkommen/Verträge regeln im Wesentlichen

  • die Übertragung personenbezogener Daten zwischen deutschen / EU-Unternehmen und US-Firmen, die zum gleichen Konzern gehören,
  • die Übertragung personenbezogener Daten zwischen verschiedenen Niederlassungen derselben Firma, sofern der Empfänger der Übertragung in den USA sitzt,
  • die Übertragung personenbezogener Daten (auch automatisiert) mit Ausgangspunkt in Deutschland / EU innerhalb einer vorhandenen IT-Infrastruktur, wenn dabei der neue Speicherort in den USA ist.

Insbesondere urteilte der EuGH, dass die Europäische Kommission „die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union und der Richtlinie verfügen, weder beseitigen noch auch nur beschränken kann“. Außerdem bemängelt der EuGH, dass die Kommission nicht geprüft hat, ob die Vereinigten Staaten tatsächlich einen angemessenen Schutz der Grundrechte gewährleisten.

Deutsche Datenschutzbehörden, z.B. das LDI NRW, haben eine umfassenden Klärung der Konsequenzen des Urteils angekündigt, d.h. die Datenschutz-Aufsichtsbehörden werden unverzüglich auf Bundesebene sowie auf EU-Ebene beraten und das weitere Vorgehen abstimmen. (LDI-Erklärung)

Vom Wegfall der „Safe Harbor“-Einstufung der USA als Grundlage für die Beurteilung der Rechtmäßigkeit eines Transfers personenbezogener Daten von einem EU-Mitgliedstaat, insbesondere der Bundesrepublik Deutschland, in die USA betroffen sein könnten z.B. IT-Angebote an Dritte, etwa

  • Cloud-Services,
  • Social-Media-Network-Nutzung mit Infrastruktur / Datenaustausch zwischen D/ EU und USA,
  • Verträge im Bereich IT-Services, bei denen zumindest fallweise personenbezogene Daten an einen Leistungserbringungsort in den USA fließen müssen.

Das kann Verträge sowohl für Full Managed Service als auch Wartungsverträge mit 3rd Level Support betreffen, wenn etwa Leistungen direkt aus den USA beigesteuert werden und hierfür personenbezogene Informationen fließen müssen.

Auch Regelungen innerhalb eines Unternehmens/ einer Unternehmensgruppe für derartige Datentransfers zu Unternehmensstandorten in den USA können betroffen sein und müssen evtl. auf eine neue rechtliche Grundlage gestellt werden, sofern sie bislang den Safe-Harbor-Beschluss der EU oder entsprechenden durch die EU-Kommission zur Verfügung gestellten Standard-Vertragsklauseln zugrunde legten. Im Zweifel schadet es nicht, die in Deutschland maßgeblichen Ausführungen des BDSG, insbesondere §4b „Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen“ sowie §4c „Ausnahmen“ genauer zu berücksichtigen – insbesondere die juristischen Details und ihre Tragweite. Datenschutzbeauftragte werden sicher noch eine Weile ein wichtiger Anlaufpunkt für Fragen und Klärungsaufträge sein.

Outsourcing von (IT-)Services – Anforderungen gemäß BDSG: Vorsicht Bußgeldgefahr!

Sobald Fremddienstleistungen eine „Auftragsdatenverarbeitung“ beinhalten, greifen Detailvorgaben des Bundesdatenschutzgesetzes an explizit im Vertrag zu regelnde Details, siehe §11 BDSG. Bereits das Speichern von Daten ist Datenverarbeitung im Sinne des Gesetzes, und damit sind z.B. Verträge mit Cloud-Providern im Fokus von §11 BDSG, sobald zumindest anteilig personenbezogene Daten in der Cloud gespeichert werden könnten.

Gefordert ist eine explizite Formulierung von Vorgaben bzgl. technischer/ organisatorischer Maßnahmen bzgl. Datensicherheit. Dies müssen konkrete Vorgaben sein, ein einfaches Referenzieren oder Zitieren des BDSG reicht nicht. Ist der Vertrag zu unspezifisch, so kann dies als Ordnungswidrigkeit eingestuft werden.

§43 (Bußgeldvorschriften) Abschnitt 2.b lässt erkennen, dass sogar eine Prüfung der Maßnahmen beim AN zu den Pflichten des AG gehört, und nennt eine Bußgeldhöhe bis 50.000 €. Erst kürzlich wurde etwa in Bayern aus solchen Gründen ein Bußgeld in „fünfstelliger Höhe“ verhängt, siehe Pressemitteilung BayLDA Bußgeld wg. unspezifischem Vertrag

ComConsult Communications Index

Der ComConsult Communications Index (CCI), der die Ergebnisse aus Produkttests mit aktuellen UC-Lösungen in einer umfassenden Studie zusammenfasst, ist verfügbar. Der Fokus des CCI liegt ausschließlich auf Bedienbarkeit und Mehrwert von UC-Clients – ein Thema, das in dieser Form noch nicht für den deutschen Gesamtmarkt bewertet wurde.

Der Report wird von ComConsult Research vertrieben: http://www.comconsult-research.de/reports/de/cci.php?preK=Neueste%20Reports