Seiten

Posts mit dem Label Sicherheit werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Sicherheit werden angezeigt. Alle Posts anzeigen

Freitag, 24. Oktober 2014

Poodle - Google findet schwere SSL-Sicherheitslücke

Google hat in der Uralt-Verschlüsselung SSL 3.0 eine schwere Sicherheitslücke entdeckt. Entsprechend ist diese Version des Protokolls anfällig für Angriffe, die beispielsweise während des Online-Bankings zum Problem werden könnten. Erschreckend ist zudem, dass SSL 3.0 noch immer in allen aktuellen Browsern verwendet wird. Deshalb sollten Nutzer ihre Browsereinstellungen jetzt ändern. 



Poodle - Google findet schwerwiegende Sicherheitslücke in SSL 3.0

 

Google hat im Verschlüsselungsprotokoll SSL 3.0 eine schwere Sicherheitslücke entdeckt. Bei diesem einst von Netscape entwickelten Standard handelt es sich zwar um ein uraltes Protokoll, welches jedoch noch heute von vielen Browsern zur Netzwerkverschlüsselung genutzt wird. Bekannt gemacht und beschrieben wurde diese Entdeckung bereits am Dienstag durch einen Beitrag im betriebseigenen Sicherheitsblog von Google. Demzufolge wird es Angreifern durch diese Schwachstelle ermöglicht, normalerweise geschützte Kommunikationsinhalte, die über https-Verbindungen übermittelt werden, auf gut Deutsch mitzulesen. Aufgrund der Bezeichnung Padding Oracle On Downgraded Legacy Encryption wird diese Sicherheitslücke von ihren Entdeckern Poodle genannt. Poodle ermöglicht es, die Cookies einer bestehenden https-Verbindung abzugreifen, was beispielsweise beim Einloggen in ein geschütztes Profil - wie etwa beim Online-Banking oder bei E-Mail-Diensten - ausgenutzt werden kann. Dies gelingt den Angreifern in der Regel durch die Störung einer aktuellen Verbindung mit dem Internet. Besteht eine derartige Störung, verwenden fast alle Browser ältere, scheinbar verlässliche Protokolle wie beispielsweise SSL 3.0 und werden damit anfällig für die Attacken von Angreifern.

Poodle-Abwehr: Was sollten Nutzer jetzt tun?

 

Grundsätzlich sollten sich Nutzer darum bemühen, stets eine aktuelle Browserversion zu nutzen. Zwar hat Google bekannt gegeben, dass der Fallback zu SSL 3.0 für den Browser Google Chrome deaktiviert wird, allerdings kann dies auch manuell eingestellt werden.
Wer vorrangig mit dem Microsoft Internet Explorer surft, kann die Nutzung von SSL 3.0 folgendermaßen deaktivieren: Zuerst auf "Einstellungen", dann auf "Internetoptionen" und schließlich im Reiter auf "Erweitert" klicken. Daraufhin wird eine relativ lange Liste angezeigt, in der der Menüpunkt "Sicherheit" aufgerufen werden muss. Dort sollten Nutzer nun einfach das Häkchen, welches sich bei SSL 3.0 befindet, wegklicken und schon ist das Protokoll deaktiviert.
Ebenso wie Google haben auch die Firefox-Browser-Macher schon reagiert. So konstatierten sie im Sicherheitsblog von Mozilla, dass sie SSL 3.0 ebenfalls abschalten werden. Zudem wird dieses Protokoll im Firefox 34, der am 25. November veröffentlicht wird, bereits standardmäßig deaktiviert sein. Sinnvoll ist es für Firefox-Nutzer also, automatische Updates zu erlauben.

Die aktuelle SSL-Sicherheitslücke ist jedoch nicht die erste ihrer Art: Bereits im April wurde die SSL-Sicherheitslücke "Heartbleed" entdeckt, die Millionen Internetnutzer zur Änderung ihrer Passwörter zwang.

Prüfen Sie genau, ob Ihre Hosts diese und weitere Schwachstellen aufweisen oder nicht:


Ob Ihre IT-Systeme und Webapplikationen aktuell von kritischen Schwachstellen wie Poodle oder Heartbleed betroffen sind, können wir erst nach eingehender Untersuchung der bei Ihnen verwendeten Technologien mit Sicherheit sagen.

Um solche Unsicherheit zukünftig zu vermeiden, können wir über einen Servicevertrag mit Technologieüberwachung solche Risiken proaktiv identifizieren und angemessen reagieren - bevor es zu Schäden kommt.

Dadurch bieten wir unseren Kunden ein Stück mehr Sicherheit zum monatlichen Festpreis.

Sprechen Sie uns gerne darauf an.

Gehen Sie diesem Hinweis unbedingt nach. Wenn Sie sich unsicher sind melden Sie sich gerne bei uns: heartbleed@yourIT.de oder Telefon +49 (0) 7471 93010-0.

Erprobte Hilfestellungen von den yourIT-securITy-Experten:


Sie möchten einmal Ihr gesamtes Netzwerk nach Schwachstellen durchscannen lassen?
Sie wollen wissen, wie sicher Ihre Web-Applikationen sind (z.B. Ihr Webshop)?

Jetzt kostenlos Testen!


Übrigens: Für Mittelständler werden diese yourIT-Beratungsleistungen gefördert mit Mitteln aus dem Europäischen Sozialfonds ESF (siehe unter http://www.mitgroup.eu). yourIT - Wir bringen Sicherheit in allen IT-Fragen!

Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele
Ralf Ströbele

Samstag, 2. Februar 2013

yourIT stellt auf der CeBIT 2013 aus

Die CeBIT findet dieses Jahr statt vom 05. bis 09.03.2013 - wie immer in Hannover.


Heute abend hat die Geschäftsführung der yourIT GmbH entschieden, dass wir dieses Jahr gemeinsam mit unserem Hechinger Systemhaus-Partner INTEC International am Stand A49 in Halle 5 ausstellen.



Unseren Stand erkennen Sie ganz einfach an dem Truck, der da draufstehen wird. Die Standthemen lauten Safety, Security und Monitoring. Das passt zu INTEC und natürlich auch zu yourIT.

  • Safety: Dazu gehört unser Bereich Datenschutz.
  • Security: yourIT bringt Ihnen Sicherheit in allen IT-Bereichen.
  • Monitoring: Wir überwachen Ihre Server und Clients.
Ich freue mich auf viele gute Gespräche am Stand. Ihre Terminanfragen schicken Sie mir einfach zu. Ich melde mich kurzfristig bei Ihnen.

Sonntag, 30. Dezember 2012

Sicherheitsanalyse nach BSI


Auch im Jahr 2013 wird sich das IT-Umfeld wieder stark verändern. Heute gilt es mehr denn je, Systemsicherheit zu gewährleisten und Netzwerke vor internen und externen Verstößen gegen die Sicherheitsrichtlinien zu schützen. Vor der Einleitung solcher Schutzmaßnahmen steht eine umfassende Sicherheitsanalyse.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt folgende Vorgehensweise zum Schutz unternehmenskritischer Infrastrukturen:

  1. Einführung einer schriftlichen unternehmensweiten Sicherheitsrichtlinie.
  2. Durchführung einer umfassenden Security-Analyse im IT-Netzwerk um mögliche Schwachstellen sowie deren Schadenpotential zu ermitteln.
  3. Basierend auf den gewonnenen Informationen trifft das analysierte Unternehmen die Entscheidung, welche Systeme besonders geschützt werden müssen und mit welchen Mitteln eine optimale Balance zwischen Sicherheitslevel und Aufwand zu erzielen ist.
Wir unterstützen Sie gerne dabei - mit unserem Know-how und QualysGuard. Fordern Sie uns!

Ich freue mich auf Ihre Anfragen im Jahr 2013.

Donnerstag, 27. September 2012

Unser Firmenportrait in der econo 09/2012

Unser Sponsor econo vom Mittelstandsprogramm 2012 hat uns als Hauptpreis ein Firmenportrait in der aktuellen Ausgabe des Wirtschaftsmagazins ermöglicht. So konnten wir erstmals in allen Regionalteilen Nordbaden, Südbaden und Schwarzwald-Alb-Bodensee unser gesamtes Angebot an IT-Dienstleistungen präsentieren.

Firmenportrait yourIT
Der Kresse & Discher Verlag hatte noch Anfang Juli 2012 gemeldet, dass das Magazin vom Markt genommen wird. Daher titelte das letzte Heft auch "Danke! Die letzte Ausgabe nach 13 Jahren".

Es freut uns, dass es nun doch weiter gehen wird. Ich finde, es wäre auch wirklich schade gewesen um das Format. Der Chefredakteur Dirk Werner, der unser Firmenportrait betreut hat, gehört nun zur Geschäftsführung. Die nächste Ausgabe erscheint am 16. November 2012. Mein Tipp: Kaufen!