News / Blog
Unsere Gedanken rund um das Wesentliche

Kernprozess der operativen IT-Sicherheit: Management von Sicherheitsvorfällen

Ein falscher Doppel-Click auf einen E-Mail-Anhang, ein Click auf einen Link in einer E-Mail und schon ist es passiert: Eine schadenstiftende Software gelangt trotz Virenschutz zur Ausführung. Im Falle der im Moment grassierenden Verschlüsselungstrojaner sind plötzlich alle Daten verschlüsselt ….

Den vollständigen Text des Standpunktes finden Sie im Netzwerk Insider

Manchmal sind es die einfachen Dinge ….

Der Bagger hatte die Glasfaser durchtrennt. Und natürlich waren die Fasern beider Provider davon betroffen. Der Standort war also von der Welt abgetrennt, obwohl man bei der Planung auf höchste Verfügbarkeit geachtet hatte. Es gab zwei Provider-Übergabepunkte, zwei getrennte Trassen, ein im Norden, die andere im Süden des Standortes und zwei separate Hauseinführungen. Redundanz schützt eben grundsätzlich nicht vor Schaden. Soweit – so schlecht ….

Den vollständigen Text des Standpunktes finden Sie im Netzwerk Insider

Sicherheitsrisiko: Kabellose Maus/Tastatur

Jeder kennt sie, jeder nutzt sie: kabellose Eingabegeräte. Doch auch diese bergen Sicherheitsrisiken, wie sich kürzlich herausstellte.

Wird ein USB-Dongle statt einer Bluetooth-Verbindung genutzt, lässt sich der Dongle relativ einfach aus der Ferne kapern. So kann ein potentieller Angreifer beispielsweise alle Eingaben am betroffenen Rechner mitschneiden oder auch selbst eigene Eingaben an den Dongle senden um z.B. ein Root-Kit zu installieren.

In potenziell unsicheren Umgebungen (z.B. Flughafen, Hotel) sollte man daher als Basis-Maßnahme den USB-Dongle abstecken.

Die Hersteller haben z.T. bereits reagiert. So bietet Logitech eine aktualisierte Firmware für die Dongles an, mit der sich die Schwachstelle nicht mehr ausnutzen lässt.

„Möglicherweise hochgefährlicher“ Bug in Linux-Systemen

Ein seit 2008 existierender Bug in der DNS-Adressauflösung der glibc (CVE-2015-7547 ) ist jetzt bekannt gegeben worden. Mit manipulierten DNS-Antworten von einem böswilligen DNS-Server oder von einem Man-in-the-Middle wird ein Buffer Overflow im Client ausgelöst. Das bringt das anfragende Programm zum Absturz und eine Remote Code Execution wird möglich, da über 60kb des Stacks durch den Angreifer kontrollierbar sind.

glibc ist auf Linux-Systemen sehr verbreitet und wird von extrem vielen Modulen genutzt, sodass die Ausnutzung des Bugs schwerwiegende Folgen hervorruft.

RedHat und Debian liefern bereits Patches aus, andere Distributionen folgen sicherlich auch baldmöglichst. Eine temporäre Lösung für Systeme, die nicht gepatcht werden können, ist u.a. das Blockieren von DNS-Paketen mit mehr als 2048 Byte per Firewall-Regeln.

Bitfehler, eine seltene Spezies

Erinnern Sie sich noch an die Zeiten, in denen man Ethernet mit Koaxialkablen („Yellow Cable“ bzw. „Cheapernet“) aufbaute? Oder haben Sie vielleicht einst ein Token-Ring-Netz betrieben? Dann wissen Sie, dass es in diesen Netzen häufig Fehler gab, die auf der Schicht 1 des OSI-Referenzmodells zu suchen waren ….

Den vollständigen Text des Standpunktes finden Sie im Netzwerk Insider

Wenn Sicherheitskomponenten unsicher sind

Firewalls bilden einen wesentlichen Eckpfeiler unserer technischen Infrastruktur der Informationssicherheit und haben sich als Standardwerkzeug zur sicherheitstechnischen Segmentierung von Netzen seit Jahren etabliert ….

Den vollständigen Text des Standpunktes finden Sie im Netzwerk Insider

Kabel ab?

Zugegeben, das hätte ich nicht so schnell erwartet: Im September hat der Hersteller Quantenna seine neue Produktreihe „QSR10“ vorgestellt. Dabei handelt es sich um WLAN Chips, die IEEE 802.3ac „Wave 3“ unterstützen. Das ist also die dritte Welle der Einführung von Gigabit WLAN ….

Den vollständigen Text des Standpunktes finden Sie im Netzwerk Insider

Tag der Informatik 2015

Besuchen Sie uns am 4. Dezember 2015 ab 12:00 Uhr an unserem Stand beim Tag der Informatik im Foyer des Informatikzentrums in der Ahornstraße.

Nacht der Unternehmen 2015

Besuchen Sie uns am 3. November 2015 ab 17:00 Uhr an unserem Stand bei der Nacht der Unternehmen im Technologie Zentrum Aachen.

Safe-Harbor-Abkommen: Angemessener Schutz der Grundrechte vom EuGH angezweifelt

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 6. Oktober 2015 die Entscheidung der Europäischen Kommission, dass die USA bei der Übermittlung personenbezogener Daten ein dem EU-Recht angemessenes Schutzniveau garantieren, aufgehoben. Hiervon betroffen sind das Safe-Harbor-Abkommen sowie ggf. auch die Standard-Vertragsklauseln, die die EU-Kommission zur Verfügung stellt.

Diese Abkommen/Verträge regeln im Wesentlichen

  • die Übertragung personenbezogener Daten zwischen deutschen / EU-Unternehmen und US-Firmen, die zum gleichen Konzern gehören,
  • die Übertragung personenbezogener Daten zwischen verschiedenen Niederlassungen derselben Firma, sofern der Empfänger der Übertragung in den USA sitzt,
  • die Übertragung personenbezogener Daten (auch automatisiert) mit Ausgangspunkt in Deutschland / EU innerhalb einer vorhandenen IT-Infrastruktur, wenn dabei der neue Speicherort in den USA ist.

Insbesondere urteilte der EuGH, dass die Europäische Kommission „die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union und der Richtlinie verfügen, weder beseitigen noch auch nur beschränken kann“. Außerdem bemängelt der EuGH, dass die Kommission nicht geprüft hat, ob die Vereinigten Staaten tatsächlich einen angemessenen Schutz der Grundrechte gewährleisten.

Deutsche Datenschutzbehörden, z.B. das LDI NRW, haben eine umfassenden Klärung der Konsequenzen des Urteils angekündigt, d.h. die Datenschutz-Aufsichtsbehörden werden unverzüglich auf Bundesebene sowie auf EU-Ebene beraten und das weitere Vorgehen abstimmen. (LDI-Erklärung)

Vom Wegfall der „Safe Harbor“-Einstufung der USA als Grundlage für die Beurteilung der Rechtmäßigkeit eines Transfers personenbezogener Daten von einem EU-Mitgliedstaat, insbesondere der Bundesrepublik Deutschland, in die USA betroffen sein könnten z.B. IT-Angebote an Dritte, etwa

  • Cloud-Services,
  • Social-Media-Network-Nutzung mit Infrastruktur / Datenaustausch zwischen D/ EU und USA,
  • Verträge im Bereich IT-Services, bei denen zumindest fallweise personenbezogene Daten an einen Leistungserbringungsort in den USA fließen müssen.

Das kann Verträge sowohl für Full Managed Service als auch Wartungsverträge mit 3rd Level Support betreffen, wenn etwa Leistungen direkt aus den USA beigesteuert werden und hierfür personenbezogene Informationen fließen müssen.

Auch Regelungen innerhalb eines Unternehmens/ einer Unternehmensgruppe für derartige Datentransfers zu Unternehmensstandorten in den USA können betroffen sein und müssen evtl. auf eine neue rechtliche Grundlage gestellt werden, sofern sie bislang den Safe-Harbor-Beschluss der EU oder entsprechenden durch die EU-Kommission zur Verfügung gestellten Standard-Vertragsklauseln zugrunde legten. Im Zweifel schadet es nicht, die in Deutschland maßgeblichen Ausführungen des BDSG, insbesondere §4b „Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen“ sowie §4c „Ausnahmen“ genauer zu berücksichtigen – insbesondere die juristischen Details und ihre Tragweite. Datenschutzbeauftragte werden sicher noch eine Weile ein wichtiger Anlaufpunkt für Fragen und Klärungsaufträge sein.