Seiten

Posts mit dem Label IT-Sicherheit werden angezeigt. Alle Posts anzeigen
Posts mit dem Label IT-Sicherheit werden angezeigt. Alle Posts anzeigen

Freitag, 24. Oktober 2014

Poodle - Google findet schwere SSL-Sicherheitslücke

Google hat in der Uralt-Verschlüsselung SSL 3.0 eine schwere Sicherheitslücke entdeckt. Entsprechend ist diese Version des Protokolls anfällig für Angriffe, die beispielsweise während des Online-Bankings zum Problem werden könnten. Erschreckend ist zudem, dass SSL 3.0 noch immer in allen aktuellen Browsern verwendet wird. Deshalb sollten Nutzer ihre Browsereinstellungen jetzt ändern. 



Poodle - Google findet schwerwiegende Sicherheitslücke in SSL 3.0

 

Google hat im Verschlüsselungsprotokoll SSL 3.0 eine schwere Sicherheitslücke entdeckt. Bei diesem einst von Netscape entwickelten Standard handelt es sich zwar um ein uraltes Protokoll, welches jedoch noch heute von vielen Browsern zur Netzwerkverschlüsselung genutzt wird. Bekannt gemacht und beschrieben wurde diese Entdeckung bereits am Dienstag durch einen Beitrag im betriebseigenen Sicherheitsblog von Google. Demzufolge wird es Angreifern durch diese Schwachstelle ermöglicht, normalerweise geschützte Kommunikationsinhalte, die über https-Verbindungen übermittelt werden, auf gut Deutsch mitzulesen. Aufgrund der Bezeichnung Padding Oracle On Downgraded Legacy Encryption wird diese Sicherheitslücke von ihren Entdeckern Poodle genannt. Poodle ermöglicht es, die Cookies einer bestehenden https-Verbindung abzugreifen, was beispielsweise beim Einloggen in ein geschütztes Profil - wie etwa beim Online-Banking oder bei E-Mail-Diensten - ausgenutzt werden kann. Dies gelingt den Angreifern in der Regel durch die Störung einer aktuellen Verbindung mit dem Internet. Besteht eine derartige Störung, verwenden fast alle Browser ältere, scheinbar verlässliche Protokolle wie beispielsweise SSL 3.0 und werden damit anfällig für die Attacken von Angreifern.

Poodle-Abwehr: Was sollten Nutzer jetzt tun?

 

Grundsätzlich sollten sich Nutzer darum bemühen, stets eine aktuelle Browserversion zu nutzen. Zwar hat Google bekannt gegeben, dass der Fallback zu SSL 3.0 für den Browser Google Chrome deaktiviert wird, allerdings kann dies auch manuell eingestellt werden.
Wer vorrangig mit dem Microsoft Internet Explorer surft, kann die Nutzung von SSL 3.0 folgendermaßen deaktivieren: Zuerst auf "Einstellungen", dann auf "Internetoptionen" und schließlich im Reiter auf "Erweitert" klicken. Daraufhin wird eine relativ lange Liste angezeigt, in der der Menüpunkt "Sicherheit" aufgerufen werden muss. Dort sollten Nutzer nun einfach das Häkchen, welches sich bei SSL 3.0 befindet, wegklicken und schon ist das Protokoll deaktiviert.
Ebenso wie Google haben auch die Firefox-Browser-Macher schon reagiert. So konstatierten sie im Sicherheitsblog von Mozilla, dass sie SSL 3.0 ebenfalls abschalten werden. Zudem wird dieses Protokoll im Firefox 34, der am 25. November veröffentlicht wird, bereits standardmäßig deaktiviert sein. Sinnvoll ist es für Firefox-Nutzer also, automatische Updates zu erlauben.

Die aktuelle SSL-Sicherheitslücke ist jedoch nicht die erste ihrer Art: Bereits im April wurde die SSL-Sicherheitslücke "Heartbleed" entdeckt, die Millionen Internetnutzer zur Änderung ihrer Passwörter zwang.

Prüfen Sie genau, ob Ihre Hosts diese und weitere Schwachstellen aufweisen oder nicht:


Ob Ihre IT-Systeme und Webapplikationen aktuell von kritischen Schwachstellen wie Poodle oder Heartbleed betroffen sind, können wir erst nach eingehender Untersuchung der bei Ihnen verwendeten Technologien mit Sicherheit sagen.

Um solche Unsicherheit zukünftig zu vermeiden, können wir über einen Servicevertrag mit Technologieüberwachung solche Risiken proaktiv identifizieren und angemessen reagieren - bevor es zu Schäden kommt.

Dadurch bieten wir unseren Kunden ein Stück mehr Sicherheit zum monatlichen Festpreis.

Sprechen Sie uns gerne darauf an.

Gehen Sie diesem Hinweis unbedingt nach. Wenn Sie sich unsicher sind melden Sie sich gerne bei uns: heartbleed@yourIT.de oder Telefon +49 (0) 7471 93010-0.

Erprobte Hilfestellungen von den yourIT-securITy-Experten:


Sie möchten einmal Ihr gesamtes Netzwerk nach Schwachstellen durchscannen lassen?
Sie wollen wissen, wie sicher Ihre Web-Applikationen sind (z.B. Ihr Webshop)?

Jetzt kostenlos Testen!


Übrigens: Für Mittelständler werden diese yourIT-Beratungsleistungen gefördert mit Mitteln aus dem Europäischen Sozialfonds ESF (siehe unter http://www.mitgroup.eu). yourIT - Wir bringen Sicherheit in allen IT-Fragen!

Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele
Ralf Ströbele

Dienstag, 29. Oktober 2013

IT ist Chefsache

Die IT spielt in vielen Unternehmen eine maßgeblich wichtige Rolle und ist oft entscheidend für den wirtschaftlichen Erfolg. Manager und Geschäftsführer überlassen allerdings allzu gerne diesen Unternehmens­bereich ihren internen Spezialisten und kümmern sich im groben nur um Ergebnisse und die Richtungsvorgaben.


Wirtschaftlichen Risiken & konkrete Gefahren


Vielen ist dabei nicht bewusst, dass sie damit neben den wirtschaftlichen Risiken auch konkrete Gefahren für ihre eigene Person und Ihre persönlichen Finanzen eingehen. Denn nach gesetzlichen Vorgaben können sie unter Umständen persönlich haftbar gemacht werden.
Deshalb sollten Sie als Chef sich dieser Verantwortung stellen und Ihre IT zu Ihrer persönlichen Chefsache machen. Schon weil Sie gesetzlich dazu verpflichtet sind. Handeln Sie nach diesem Grundsatz, können Sie ruhigen Gewissens der Zukunft entgegen sehen und IT Probleme meistern, bevor sie zu Ihrem persönlichen Problem werden.

Machen Sie Ihre IT zur Chefsache - jetzt!

Gesetzliche Pflicht & Haftung mit dem Privatvermögen


Nach aktuellen Umfragen ist nur circa einem Fünftel der befragten Geschäftsführer bewusst, dass sie gesetzlich für Schäden, Datenverlust oder Viren zur Verantwortung gezogen werden können. Teilweise muss sogar mit dem eigenen Privatvermögen gehaftet werden. Bei den zu befürchtenden Konsequenzen ist es dabei unerheblich, ob die IT durch externe Hacker oder durch Mitarbeiter absichtlich bzw. unabsichtlich kompromittiert wurde.
Dem gegenüber ist die grundsätzliche Gefährdung der Firmen IT durch unter­schiedliche Bedrohungsszenarien über 90 Prozent der Befragten durchaus bekannt. Diese Diskrepanz ist frappierend und deutet darauf hin, dass das Problembewusstsein für diese Risiken nur zum Teil bis in die Chefetagen vorgedrungen ist.

Wichtige Anforderungen


Wichtige Anforderungen, die es einzuhalten und durch das Management umzusetzen gilt, ergeben sich zum Beispiel aus

  • dem Datenschutz
  • dem Schutz des Betriebs- und Geschäftsgeheimnisses
  • der zivilrechtlichen Verpflichtung zur Transparenz im Unternehmen und einem effizienten Risiko-Management
  • den allgemeinen Sorgfaltspflichten der Geschäftsführung
  • sowie den verschiedenen Gesetzen und Regelungen für Aktien­unter­nehmen

In all diesen Bereichen können Verstöße oder Unterlassungen zu erheblichen Konsequenzen führen. Dabei reicht das Spektrum vom Imageverlust für das Unternehmen, über wirtschaftliche Einbußen, bis hin zu existenziellen Bedrohungen von Unternehmen und Personen der Chefetage.

Bedrohungen frühzeitig erkennen & ganzheitliches Sicherheitskonzept


Damit diese Bedrohungen frühzeitig erkannt werden können und sich nicht zur Katastrophe entwickeln, sind elementare Punkte in einem ganzheitlichen Sicherheitskonzept zu beachten und umzusetzen.

Angefangen von der physikalischen Sicherheit von Serverräumen und den entsprechenden Zutrittsrechten, über einen wirksamen Passwortschutz, bis hin zu einem sicheren Firmennetz und einer geschützten Anbindung an das Internet, sollten alle Komponenten der Firmen IT den aktuellen Sicherheits­an­for­derungen entsprechen. Dabei sind durchaus auch externe Dienstleister mit besonderem Knowhow in diesem Bereich frühzeitig zur Erstellung des Sicherheits­konzeptes zu konsultieren. Nicht fehlen darf auch der Notfallplan, der im Fall der Fälle klar regelt, was zu tun ist und wer wann informiert werden muss.

Aufgrund der vielfältigen Angriffsszenarien und der Risiken für die Firmen IT lauern viele Gefahren für das Unternehmen und das Management. Handeln Sie also frühzeitig und machen Sie die IT zur Chefsache.

Greifen Sie bei der Erstellung eines ganzheitlichen Sicherheitskonzeptes gegebenenfalls auf die Expertise von professionellen Partnern wie yourIT zurück. Denn aus einer geschützten und sicheren IT heraus ergeben sich viele Chancen und Möglichkeiten für Ihr Unternehmen. So können Sie sich sicher sein, auch schwierige Situationen meistern zu können. Neben der Minimierung von Risiken steigern Sie mit einer optimierten und robusten IT den wirtschaft­lichen Erfolg und die Effizienz Ihres Unter­nehmens.

yourIT - Wir bringen Sicherheit in allen IT-Fragen!

Worauf warten Sie noch? Sprechen Sie mich an.

Ihr Thomas Ströbele

Thomas Ströbele