Seiten

Posts mit dem Label Schwachstellenmanagement werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Schwachstellenmanagement werden angezeigt. Alle Posts anzeigen

Freitag, 25. April 2014

“Heartbleed Bug” - prüfen Sie, ob Ihre Hosts gefährdet sind

Das letzte Woche veröffentlichte Update von OpenSSL hat schlechte Botschaft für alle Betreiber von Servern, die SSL zur Verschlüsselung einsetzen: Durch einen Programmierfehler kann jeder böswillige Kommunikationspartner sensible Daten auslesen, wie z. B. den Speicher der Gegenstelle. Angreifer können also Schlüssel, Passwörter und geheime Daten klauen.


Jetzt kostenlos Testen!


Der Fehler wurde in der "Heartbeat-Funktion" gefunden, daher sprechen die Entdecker auch vom Heartbleed Bug.

yourIT hilft Ihnen beim Umgang mit Heartbleed und anderen Schwachstellen


Betroffen sind alle Betreiber von Servern, die SSL zur Verschlüsselung einsetzen, wie z.B.:
  • Web-Server
  • E-Mail Server
  • VPN Server
  • Server für andere Dienste.

Diese Sofortmaßnahmen sollten Sie jetzt durchführen:


Fahren Sie jetzt schnellstmöglich Updates auf Ihre Systeme. Allo ordentlichen Hersteller sollten mittlerweile entsprechende Updates bereitgestellt haben.

Spielen Sie das Update ein und erneuern Sie die verwendeten Zertifikate und privaten Schlüssel in diesem Zuge.

Da Sie nicht kontrollieren können, ob bereits ein Zugriff auf Ihre Daten erfolgt ist, ändern Sie bitte alle Passworte ab. Wenn Sie schon dabei sind, erstellen Sie komplexe sichere Passworte und

Prüfen Sie genau, ob Ihre Hosts diese und weitere Schwachstellen aufweisen oder nicht:


Ob Ihre IT-Systeme und Webapplikationen aktuell von kritischen Schwachstellen wie Heartbleed betroffen sind, können wir erst nach eingehender Untersuchung der bei Ihnen verwendeten Technologien mit Sicherheit sagen.

Um solche Unsicherheit zukünftig zu vermeiden, können wir über einen Servicevertrag mit Technologieüberwachung solche Risiken proaktiv identifizieren und angemessen reagieren - bevor es zu Schäden kommt.

Dadurch bieten wir unseren Kunden ein Stück mehr Sicherheit zum monatlichen Festpreis.

Sprechen Sie uns gerne darauf an.

Gehen Sie diesem Hinweis unbedingt nach. Wenn Sie sich unsicher sind melden Sie sich gerne bei uns: heartbleed@yourIT.de oder Telefon +49 (0) 7471 93010-0.

Erprobte Hilfestellungen von den yourIT-securITy-Experten:


Sie möchten einmal Ihr gesamtes Netzwerk nach Schwachstellen durchscannen lassen?
Sie wollen wissen, wie sicher Ihre Web-Applikationen sind (z.B. Ihr Webshop)?

Jetzt kostenlos Testen!


Übrigens: Für Mittelständler werden diese yourIT-Beratungsleistungen gefördert mit Mitteln aus dem Europäischen Sozialfonds ESF. yourIT - Wir bringen Sicherheit in allen IT-Fragen!


Worauf warten Sie noch? Sprechen Sie mich an.

Ihr Thomas Ströbele

Thomas Ströbele

Dienstag, 26. Februar 2013

yourIT auf der CeBIT 2013 Halle 5 Stand A49


Die CeBIT ist eine der wichtigsten Messen für IT-Entscheider in ganz Deutschland. Daher ist yourIT in diesem Jahr als Aussteller dabei, um Ihnen die Neuerungen in unserer Lösungswelt zu präsentieren.

Sie finden uns am Stand unseres Partners INTEC in Halle 5 Stand A49. Unsere Messethemen habe ich Ihnen in einer Wortwolke zusammengefasst:


Zeigen werden wir vor Allem die Neuerungen in folgenden Bereichen:
  • Datenschutz & IT-Sicherheit
  • Monitoring your SecurITy & Compliance
  • simplify yourIT - Geschäftsprozesse mit BPM
  • E-Billing - elektronische Rechnungen
  • Intercompany Abstimmung im Konzern

Auf dem Stand ist auch ein Forum für Vorträge eingerichtet. Mein Vortragsthema lautet „simplify yourIT - Geschäftsprozesse modellieren und optimieren“.

Ist etwas interessantes für Sie dabei? Dann melden Sie sich gleich an. Die offizielle Einladung mit Themen und Rückmeldeformular finden Sie unter http://www.yourit.de/externDATA/events/Einladung_CeBIT2013.pdf


Als Aussteller kann ich Ihnen gerne kostenlose Tickets besorgen (statt 35 EUR). Bitte einfach in die Rückmeldung die gewünschte Anzahl Tickets eintragen.

Ich freue mich darauf, Sie an unserem Stand begrüßen zu dürfen.

Ihr Thomas Ströbele
Geschäftsführer yourIT

Samstag, 2. Februar 2013

yourIT stellt auf der CeBIT 2013 aus

Die CeBIT findet dieses Jahr statt vom 05. bis 09.03.2013 - wie immer in Hannover.


Heute abend hat die Geschäftsführung der yourIT GmbH entschieden, dass wir dieses Jahr gemeinsam mit unserem Hechinger Systemhaus-Partner INTEC International am Stand A49 in Halle 5 ausstellen.



Unseren Stand erkennen Sie ganz einfach an dem Truck, der da draufstehen wird. Die Standthemen lauten Safety, Security und Monitoring. Das passt zu INTEC und natürlich auch zu yourIT.

  • Safety: Dazu gehört unser Bereich Datenschutz.
  • Security: yourIT bringt Ihnen Sicherheit in allen IT-Bereichen.
  • Monitoring: Wir überwachen Ihre Server und Clients.
Ich freue mich auf viele gute Gespräche am Stand. Ihre Terminanfragen schicken Sie mir einfach zu. Ich melde mich kurzfristig bei Ihnen.

Sonntag, 30. Dezember 2012

Sicherheitsanalyse nach BSI


Auch im Jahr 2013 wird sich das IT-Umfeld wieder stark verändern. Heute gilt es mehr denn je, Systemsicherheit zu gewährleisten und Netzwerke vor internen und externen Verstößen gegen die Sicherheitsrichtlinien zu schützen. Vor der Einleitung solcher Schutzmaßnahmen steht eine umfassende Sicherheitsanalyse.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt folgende Vorgehensweise zum Schutz unternehmenskritischer Infrastrukturen:

  1. Einführung einer schriftlichen unternehmensweiten Sicherheitsrichtlinie.
  2. Durchführung einer umfassenden Security-Analyse im IT-Netzwerk um mögliche Schwachstellen sowie deren Schadenpotential zu ermitteln.
  3. Basierend auf den gewonnenen Informationen trifft das analysierte Unternehmen die Entscheidung, welche Systeme besonders geschützt werden müssen und mit welchen Mitteln eine optimale Balance zwischen Sicherheitslevel und Aufwand zu erzielen ist.
Wir unterstützen Sie gerne dabei - mit unserem Know-how und QualysGuard. Fordern Sie uns!

Ich freue mich auf Ihre Anfragen im Jahr 2013.

Donnerstag, 29. November 2012

Vulnerability Audit von yourIT

Unsere Leistung

Bereits seit 2007 führt die yourIT GmbH Vulnerability Audits in Unternehmen durch. Damit bieten wir eine einfache Möglichkeit, um IT-Schwachstellen zu identifizieren und liefern damit eine Grundlage zur Beurteilung der aktuellen Risikolage und der Wirksamkeit der bereits umgesetzten technischen Sicherheits-Massnahmen.

Unser Vulnerability Audit wird durch IT-Spezialisten in Ihrem Hause durchgeführt. Diese erkennen, bewerten und beraten zuverlässig die Schwachstellen in Ihrem Unternehmen. Nach einem ersten Netzwerk-Mapping wird die definierte Infrastrukturumgebung unter Zuhilfenahme von QualysGuard voll-automatisiert nach Schwachstellen gescannt. Die Ergebnisse werden analysiert, bewertet und mit dem Benchmark verglichen.

Ihr Nutzen

Die zum Zeitpunkt des Audits vorhandenen Schwachstellen im gescannten Netzwerkbereich werden sichtbar. Die erkannten Schwachstellen, deren Risiken sowie Massnahmenempfehlungen werden in einem Report übersichtlich für Sie aufbereitet. Gleichzeitig erhalten Sie eine 3-seitige Management Summary in Farbe. Nutzen Sie diese Reports auch als Argumentationsgrundlage für die Finanzierung von Optimierungsmassnahmen. Unsere ausgewiesenen Experten verfügen über langjährige Erfahrung auf dem Gebiet der Informationssicherheit und aus einer Vielzahl von Projekten aus allen Branchen.

Wie ?

Nutzen Sie unser aktuelles Kennenlernangebot und testen Sie unser Angebot damit auf Herz und Nieren. Wir werden Sie sicher überzeugen.
hier gehts zum Kennenlernangebot

Nach dem Audit ist vor demAudit

Ein Audit ist immer eine Momentaufnahme. Um einen sinnvollen kontinuierlichen Verbesserungsprozess (KVP) abbilden zu können, bieten wir Ihnen gerne wiederholt Audits durch unsere Spezialistern an.

Oder Sie implementieren in Ihrem Unternehmen proaktives Scannen mit einer eigenen Subscription von QualysGuard. Auch hier sind wir Ihnen gerne bei der Auswahl behilflich. Interesse? Dann holen Sie sich hier und jetzt Ihre kostenlose Teststellung.

Mittwoch, 11. April 2012

securITy-Analysen und -Audits

Zu den Voraussetzungen für einen umfassenden Schutz von Informationen und Daten reicht die Sicherheit einzelner Komponenten bei weitem nicht aus. Gleichermaßen wichtig ist eine umfassende Kenntnis der vorhandenen IT - Strukturen.

Um sinnvolle Maßnahmen gegen interne und externe Angriffe einleiten zu können, ist eine detaillierte Schwachstellenanalyse aller Komponenten notwendig, die an geschäftsrelevanten Prozessen beteiligt sind.

Als Beratungsunternehmen erfassen wir unter Einsatz von QualysGuard den aktuellen Ist-Zustand Ihrer IT-Landschaft und überprüfen die Umsetzung Ihrer Policies. Durch Penetrationstests entlarven wir eventuelle Sicherheitslücken um im nächsten Schritt effektive Schutzmaßnahmen einzuleiten.

Durch verschiedene Analysen und individuell an Ihre Bedürfnisse anpassbare Reports bieten wir eine Beratung, die zu Ihren Anforderungen passt, und lassen Sie dank unseres Know-how im IT-Umfeld auch bei der Optimierung Ihres Netzwerks nicht allein.

Unsere Lösungsvorschläge wurden bereits in zahlreichen Projekten erfolgreich implementiert. Erfahrungsgemäß liegt der Aufwand aufgrund der hohen Standardisierung von QualysGuard weit unter dem Durchschschnitt der Mitbewerber.

Wir bieten Schwachstellenanalysen und securITy-Audits
- von intern (aus Ihrem Netz)
- von extern (aus dem Internet)
- innerhalb Ihrer DMZ

Fordern Sie uns!

Dienstag, 6. März 2012

Schwachstellenmanagement & Datenschutz

Wie kontrolliert eigentlich ein Auftraggeber seinen Outsourcing-Dienstleister nach den Vorgaben des §11 Abs. 2 BDSG Auftragsdatenverarbeitung?

Seit der Änderung des Bundesdatenschutzgesetzes im Juli 2009 stellen sich für Auftraggeber (AG) von EDV-Outsourcing-Verträgen (z.B. externes Rechenzentrum) im Bezug auf die Kontrolle der Auftragsdatenverarbeitung (ADV) folgende Fragen:
1. Wie ist die Kontrolle zu gewährleisten?
2. Womit kann die Kontrolle technisch durchgeführt werden?

Zu 1. Wie ist die Kontrolle zu gewährleisten?
Die Neuregelung des Bundesdatenschutzgesetzes (BDSG) stellt eine Reaktion auf in der Praxis festgestellte Mängel bei der Auftragserteilung dar. In der neuen Fassung des §11 Abs. 2 BDSG werden die schriftlich festzulegenden Bedingungen der Auftragsdatenverarbeitung aufgezählt. Der Auftraggeber hat sich erstmals vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Aus Gründen der Nachweisbarkeit ist dies zu dokumentieren ist. Bei Verstößen drohen Bußgelder bis zu 50.000 oder sogar bis zu 300.000 Euro.

Die Dokumentation sollte zwingend folgendes beinhalten:
· Angaben zu den Beteiligten (Verfahrensverantwortlicher, konkreter Prüfer, Datenschutzbeauftragter (DSB), CIO)
· Angaben zur betroffenen ADV (Auftragnehmer (AN), Beginn/Ende, Art der ADV, Kritikalität, Angaben wo der ADV Vertrag vorgehalten wird)
· Angaben zur Kontrolle (Wann? Wo? Prüfer? Erstkontrolle/laufende Kontrolle? Zeitpunkt der letzten Kontrolle?)
· Art und Umfang der Kontrolle (vor Ort, teiweise/vollständig)
· Feststellungen (vertragliche, gesetzliche, techn. organisatorische Anforderungen eingehalten/nicht eingehalten; sonstige Verstöße)
· Weitere Maßnahmen (Zeitpunkt der nächsten Kontrolle/Nachkontrolle)
· Unterschrift des Prüfers

Jedoch ist nach der Gesetzesbegründung eine persönliche oder Vorort-Kontrolle nicht zwingend erforderlich. Eine schriftliche Auskunft des AN über die getroffenen Maßnahmen bzw. die Vorlage eines Testats/Zertifikats eines Sachverständigen wäre ebenfalls denkbar.

Zu 2. Womit kann die Kontrolle technisch durchgeführt werden?
In solchen Outsourcing-Verträgen werden typischerweise Regelungen zum Schwachstellen-Management getroffen, deren Einhaltung sich direkt auf die Datensicherheit und den Datenschutz auswirken. Für den AG sollte es also durchaus interessant sein, zu erfahren, ob sich der AN an die Vertragsvereinbarungen hält.

Doch wie soll der AG dies mit machbarem Aufwand kontrollieren?

Als technisch ausgereifte Lösung setzen wir von yourIT hierzu seit 2007 auf eine Schwachstellenanalyse (vulnerability management), die das gesamte EDV-Netzwerk auf Knopfdruck analysiert. Neben vielen anderen Informationen wird so die Einhaltung der Security-Policies kontrolliert und protokolliert.

Dabei halten sich die Kosten im Rahmen: Ein einmaliger Scan über 100 IP-Adressen kostet etwa 2.500 EUR incl. Beratung. Auch eine dauerhafte Kontrolle durch den AG ist möglich.


Im Übrigen kann natürlich auch der Auftragnehmer (= der Auftragsdatenverarbeiter) die Schwachstellenanalyse bei Experten wie yourIT beauftragen. Der sich ergebende Schwachstellen-Report gilt dann gegenüber dem Auftraggeber als Nachweis.

Freitag, 2. März 2012

QualysGuard Teil 1: Verwundbarkeit an allen Ecken

In den nächsten Posts werde ich versuchen, den Sinn einer automatisierten Unterstützung von Prozessen der Informationssicherheit durch Einsatz von QualysGuard herauszuarbeiten.

In Zeiten, in denen Netzwerkgrenzen schwinden, sehen IT-Landschaften ganz anders aus wie früher. Neben Firmen Campus, externem Rechenzentrum, der Agentur für den Webauftritt und Hersteller- und Partnernetzen dominieren heute vor allem Internet und Cloud Services.

Verwundbarkeit lauert heute an allen Ecken:

Beispiel für typische Schwachstellen von extern betriebenen Rechenzentren:
  • Server Betriebssystem nicht auf dem aktuellsten Stand
    • 5 wichtige Security Updates nicht eingespielt
    • 3 weitere Security Updates eingespielt, aber nicht aktiv wegen fehlendem Neustart des Systems
  • Server Betriebssystem nicht hinreichend abgesichert
    • Fehlerhafte Rechteverwaltung auf kritische Dateien
    • Keine Integritätssicherung kritischer Dateien
    • Nicht benötigte Dienste aktiv
    • Applikationen installiert, die nicht benötigt werden
  • Datenbank nicht auf dem aktuellsten Stand
    • Letztes, als kritisch eingestuftes Security Update nicht eingespielt
    • Security Update eingespielt, aber nicht für alle DB-Instanzen aktiv und damit wirksam
  • Datenbank nicht hinreichend gesichert
    • Mehrere Konten mit vollen DBA Rechten, abgesichert mit schwachen Passwörten,die nicht den Sicherheitsrichtlinien entsprechen
  • ... und vieles mehr

Beispiel für typische Schwachstellen in Webauftritten, entwickelt und betrieben von einer externen Agentur:
  • Unternehmens-Webseite verbreitet Schadsoftware
    • Vor Monaten erfolgreich angegriffen, bis heute unbemerkt
    • Versteckter Code eingebaut der Botnet Software auf die Rechner der Besucher installiert (Drive-By Infection)
  • Unternehmens-Webshop aus dem Internet sehr einfach anzugreifen
    • SQL Injection erlaubt Zugriff auf Datenbank mit Kundendaten
    • Cross Site Scripting erlaubt Angriffe auf Rechner der Besucher und Benutzer
    • Denial of Service Attacke verursacht hohen wirtschaftlichen Schaden
    • Als vertraulich klassifizierte Informationen stehen über URLs der Öffentlichkeit zur Verfügung
  • Falscher Einsatz von Verschlüsselungstechnologien
    • Veraltete, unsichere Versionen von SSL werden unterstützt (SSLv2)
    • Kurze Schlüssellängen werden unterstützt (RC4-40, DES-56)
    • Zertifikatskette ist nicht durchgängig verifizierbar
  • Keine klare Netzwerksegmentierung
    • Webauftritte verschiedener Kunden auf denselben Systemen bzw. auf Systemen in denselben Netzen
    • Entwicklungsumgebung nicht klar getrennt von Produktionsumgebung
  • ... und vieles mehr
Zum Schluss ein paar Beispiele für typische Schwachstellen im internen Firmen-Campus:
  • Betriebssystem und Applikationen auf hunderten von Workstations nicht auf aktuellstem Stand
    • Patchmanagement nicht durchgängig implementiert bzw. unvollständig
  • Zentrale Corerouter und Coreswitche anfällig für verschiedene Arten von Angriffen
    • Software seit Jahren nicht aktualisiert, da niemand die Verantwortung dafür übernehmen will
  • Externer Mitarbeiter sorgt für mehrere Stunden Netzstillstand und verursacht hohe Verluste
    • Mit Schadsoftware infiziert, weil keine lokalen Schutzmechanismen auf dem externen Notebook
  • Interner Mitarbeiter verstößt gegen Sicherheitsrichtlinie
    • Privat mitgebrachter WLAN Router öffnet unautorisierten Zugang in interne Netze
    • Andere, nicht autorisierte Systeme, werden ans Firmennetz angeschlossen und erzeugen somit eine Schatten-IT
  • Gezielte Industriespionage
    • (Interner) Angreifer nutzt Schwachstelle auf einem verwundbaren Desktop- oder Serversystem aus
    • Nutzt dieses als Next-Hop um lohnenswerte Systeme anzugreifen, die unternehmenskritische Daten verarbeiten
  • ... und unendlich viel mehr
Mal ehrlich: Kennen Sie Ihr IT-Risiko?

Hier ein paar Fragen, die sich jede Unternehmensführung heute stellen muss:
  • Kennen Sie Ihre IT-Infrastruktur und das damit einhergehende IT-Risiko?
    • Sie haben eine Schatten-IT, auch wenn Sie es nicht glauben
  • Wie können Sie die Einhaltung von Vorgaben aus Richtlinien überprüfen?
    • Von Vorgaben abweichende Systeme müssen automatisiert erkannt werden
    • Wichtig für Aufbau und Betrieb eines Internen Kontroll Systems (IKS)
  • Sind Sie zu anerkannten Standards und Frameworks konform (compliant)?
    • Nachweise werden immer wichtiger für‘s tägliche Geschäft (Audits, Zertifizierungen)
  • Wie können Sie Ihren Patchprozess priorisieren und verifizieren?
    • Schwachstellen mit hohem Risiko müssen schnell geschlossen werden
    • Patchmanagementsysteme sagen oft nicht die Wahrheit
  • Wie können Sie outgesourcete Systemumgebungen überprüfen?
    • Blindes Vertrauen in die Einhaltung von SLAs ist keine Option
  • Was können Sie zur Reduzierung Ihres IT-Risikos unternehmen?
    • IT-Risikomanagement ist zentraler Bestandteil des Unternehmens-Risikomanagements
Sie fragen sich jetzt sicher: Und wie lautet die Lösung?
Die Lösung liegt doch auf der Hand und ist recht einfach: Sie müssen Transparenz schaffen
  • Transparenz durch automatisierte und regelmäßige Schwachstellen- und Richtlinienüberprüfungen über möglichst alle Netze, Systeme und Applikationen
  • Nur Transparenz ermöglicht eine effektive und effiziente Unterstützung Ihrer IT-Sicherheitsprozesse
  • Transparenz ist somit die wichtigste Grundlage eines nachweislich wirksam funktionierenden IT-Risikomanagements
Und um das zu erreichen setzen wir von yourIT bereits seit 2007 auf die umfangreiche Suite integrierter Module der QualysGuard SaaS Security Solution.

Mehr davon in meinem nächsten Post (QualysGuard Teil 2).

Donnerstag, 23. Februar 2012

Neue Lösung Schwachstellenanalyse auf schwabissimo.com

schwabissimo®
- unsere Lösungen für Konzerne und verbundene Unternehmen:

In den letzten Jahren haben wir den Webauftritt von yourIT auf die entsprechenden Zielgruppen zugeschnitten:
  • Kleine uns mittelständische Unternehmen finden die zu ihnen passenden Lösungen unter http://www.yourIT.de
  • Unsere speziellen Lösungen für große Unternehmen und Konzerne / Unternehmensgruppen haben wir auf http://www.schwabissimo.com zusammengestellt.

Seit Ende Januar 2012 haben wir unser Angebot auf www.schwabissimo.com um die Schwachstellenanalyse mit unserem langjährigen Partner QualysGuard erweitert.

Falls Sie es noch nicht wussten:

Qualys ist der führende Anbieter von cloudbasierten IT-Sicherheits- und Compliance-Lösungen. Das Unternehmen hat 5.500 Kunden in 85 Ländern, zu denen auch 50 Forbes Global 100-Firmen zählen. Mit seiner cloudbasierten Plattform und integrierten Anwendungssuite hilft Qualys Unternehmen, ihre Sicherheitsmaßnahmen zu vereinfachen und die Compliance-Kosten zu senken. Die Lösungen von Qualys liefern on demand wichtige sicherheitsrelevante Erkenntnisse und automatisieren das gesamte Spektrum von Auditing, Compliance und Schutz für IT-Systeme und Webanwendungen. Qualys wurde 1999 gegründet und unterhält strategische Partnerschaften mit führenden Managed Service Providern und Consulting-Firmen wie BT, Dell SecureWorks, Fujitsu, IBM, NTT, Symantec, Verizon und Wipro. Zudem gehört Qualys zu den Gründungsmitgliedern der Cloud Security Alliance (CSA).

Und wir sind seit Jahren einer der erfolgreichen Händler und Berater für Qualys in Deutschland. Das bedeutet: Bei uns bekommen Sie nicht nur die QualysGuard-Subscription, sondern wir beraten Sie auch über die vielfältigen Einsatzmöglichkeiten in Ihrem Unternehmen. Lesen Sie hierzu auch die Success Story unseres Kunden Deutscher Ring.

Auf unserer Seite bieten wir hauptsächlich Trials und Tools, sowie derzeit 4 E-Book-Ausgaben aus der bekannten "FOR DUMMIES"-Reihe zum Download an.

E-Book Web Application Security FOR DUMMIES
E-Book Web Application Security FOR DUMMIES

Schauen Sie sich jetzt die neuen Informationen an und testen Sie die angebotenen Lösungen ausgiebig auf Herz und Nieren. Ich bin mir sicher: Sie werden überzeugt sein!