Sie sind hier: Home » IT SecCity-Archiv » IT Security-Telegramm » Jahrgang 2014

17.10.14 - IT Security-Telegramm

Kaspersky Lab unterzeichnet Abkommen mit Interpol sowie eine Absichtserklärung mit Europol
Eine Sicherheitslücke in der Unix-Shell Bash bedroht Webserver und kann dazu ausgenutzt werden, beliebige Schadcodes aus dem Netz auszuführen

17.10.14 - So einfach zu nutzen wie Google oder Facebook, aber mit Sicherheitstechnologien der Bundesdruckerei
Das "Design Research Lab" führt seit 2005 zahlreiche interdisziplinäre Projekte im Bereich der Designforschung durch. Künftig wird die Bundesdruckerei mit der an der Berliner Universität der Künste (UdK) beheimateten Forschungsgruppe unter der Leitung von Prof. Dr. Gesche Joost unterschiedliche Aspekte der Benutzerfreundlichkeit von Sicherheitstechnologien in der Online-Welt erforschen. "Bei den geplanten Projekten sollen nicht nur eine optimierte Gestaltung und Nutzerführung im Vordergrund stehen, sondern auch ein neues Verständnis von Produktdesign an der Schnittstelle zu den innovativen Sicherheitstechnologien der Bundesdruckerei", erläutert Prof. Dr. Joost die Ansätze der Kooperation.

17.10.14 - 23. Eicar Conference beschäftigt sich insbesondere mit Transparenz und Vertrauen von IT-Sicherheitsprodukten sowie mit Lösungen zu gestiegenen Datenschutzanforderungen
Auch in ihrer 23. Auflage bietet die Eicar-Konferenz wieder einen spannenden Rahmen für IT-Sicherheitsexperten. Am 18. und 19. November findet die 23. Eicar Conference in den Dell Conference Facilities in Frankfurt am Main statt. Dort stellt die Eicar unter anderem ihre Initiativen in Bezug auf mehr Vertrauen und Transparenz in IT-Sicherheitsprodukten durch "Minimum Standards" vor. Darüber hinaus konnten weitere Top-Referenten gewonnen werden, die sich mit neuesten Bedrohungen und Anforderungen sowohl der IT Sicherheit als auch des Datenschutzes auseinander setzen und mögliche Wege zu Lösungen hierzu vorstellen.

17.10.14 - KPMG-Consultingsparte verstärkt Cyber-Security-Beratung
Die Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG AG übernimmt die p3 Consulting + Software AG, eine auf Cyber Security spezialisierte Unternehmensberatung mit Sitz in Frankfurt. Eine entsprechende Vereinbarung wurde jetzt unterzeichnet. Die im Jahr 2002 gegründete Strategieberatung hat 37 Mitarbeiter. Es ist vorgesehen, die p3 Consulting + Software AG vollständig am Standort Frankfurt in die KPMG AG zu integrieren. Über den Kaufpreis wurde Stillschweigen vereinbart.
Robert Gutsche, KPMG-Bereichsvorstand Consulting: "Mit dieser Transaktion stärken wir unsere Wettbewerbsposition im Wachstumsfeld Cyber Security. Gleichzeitig machen wir einen weiteren Schritt auf unserem Weg, unseren Mandanten umfassende Managementberatung anbieten zu können. Auf Grund der hohen Bedeutung für den Geschäftserfolg befindet sich das Thema Cyber Security auf der Agenda nahezu aller Unternehmensleitungen. Gemeinsam mit den neuen Kolleginnen und Kollegen der p3 Consulting + Software AG sind wir zukünftig noch besser in der Lage, unsere Mandanten branchenübergreifend zu den bestehenden strategischen und operativen Herausforderungen im Bereich Cyber Security zu beraten."

17.10.14 - Kaspersky Lab weitet Zusammenarbeit mit Interpol und Europol aus
Kaspersky Lab hat ein Abkommen mit Interpol sowie eine Absichtserklärung mit Europol unterzeichnet, um die Zusammenarbeit zwischen dem Unternehmen und den Strafverfolgungsbehörden in ihrem gemeinsamen Kampf gegen Cyberkriminalität auszuweiten.
Am 30. September 2014 unterzeichneten Eugene Kaspersky, Chairman und CEO von Kaspersky Lab, und Ronald K. Noble, Generalsekretär von Interpol, ein Kooperationsabkommen, in dessen Rahmen der Anbieter von IT-Sicherheitslösungen dem 'Interpol Global Complex for Innovation' (IGCI) in Singapur Produkte, Expertise und fortlaufenden technischen Support zu Verfügung stellt. Darüber hinaus unterschrieb Eugene Kaspersky zusammen mit Troels Oerting, Assistant Director von Europol und Leiter des Europäischen Zentrums zur Bekämpfung der Cyberkriminalität (EC3), eine gemeinsame Absichtserklärung zwischen Kaspersky Lab und der EU-Strafverfolgungsbehörde.
Die Erklärung ebnet den Weg für eine engere Zusammenarbeit. Beide Vertragsunterzeichnungen erfolgten anlässlich der 'Cybercrime Conference', die vom 1. bis 3. Oktober 2014 in Singapur stattfand und deren Gastgeber die beiden internationalen Polizeiorganisationen Interpol und Europol waren. Im Anschluss an die Feierlichkeiten sagte Eugene Kaspersky: "Dies ist ein wirklich großer Schritt im globalen Kampf gegen Cyberkriminalität. Unsere Partnerschaften mit Interpol und Europol sind eine Pionierleistung für die ganze IT-Sicherheitsbranche. Solche öffentlich-privatwirtschaftlichen Partnerschaften sind entscheidend, um die Sicherheit im Cyberspace zu verbessern."

17.10.14 - Application Security besser ausschöpfen: Georgeta Toth ist neuer Regional Director bei Radware Deutschland und Schweiz
Georgeta Toth (47) leitet ab sofort Radware in Deutschland und der Schweiz. In den vergangenen 15 Jahren arbeitete Frau Toth ausschließlich als Führungskraft auf dem Feld der IT-Sicherheit. Mit Radware will sie nun auch in Deutschland und der Schweiz expandieren und dabei vor allem die Position des Unternehmens als weltweit führender Lösungsanbieter für Anwendungssicherheit nutzen.

17.10.14 - ShellShock: Sicherheitslücke macht Linux angreifbar
Eine Sicherheitslücke in der Unix-Shell Bash bedroht Webserver und kann dazu ausgenutzt werden, beliebige Schadcodes aus dem Netz auszuführen. Das Problem: Bei Bash handelt es sich um die Quasi-Standard-Shell der meisten Unix-Systeme – und damit fast aller Linux-Distributionen sowie Mac OS.
Die IT-Sicherheitsexperten der PSW Group weisen darauf hin, dass sich über die Sicherheitslücke ShellShock in Umgebungsvariablen Code einfügen lässt, der beim Neustart einer Shell ausgeführt wird. Bash wird auf Unix-Systemen in etlichen Situationen genutzt und so ist kaum absehbar, wo Angreifer die Lücke ausnutzen und Code ausführen. "Das Hauptproblem an der Sicherheitslücke ist die Bash-Funktionalität, die es erlaubt, Funktionen in beliebigen Variablen zu definieren. Der Name der Variablen ist dabei unerheblich. So wird hinter der Definition einer Funktion ungeprüft weiterer Code ausgeführt. Sogar dann, wenn die Funktion selbst gar nicht aufgerufen wird. Diese Tatsache macht das Ausnutzen von ShellShock so einfach und damit schwerwiegend", erklärt Christian Heutger, Geschäftsführer der PSW Group.

17.10.14 - Support von Microsoft Windows Server 2003 wird Mitte 2015 auslaufen
Das Ende steht bevor: Der Support von Microsoft Windows Server 2003 wird Mitte 2015 auslaufen. Unternehmen bleiben somit nur noch 286 Tage Zeit für die Migration auf ein aktuelles Server-Betriebssystem und die Konzeption einer zukunftssicheren Infrastruktur. transtec sieht dabei zwei wesentliche Lösungsansätze: neue Server-Hardware und Virtualisierung.
Ab dem 15. Juli 2015 wird Microsoft keine weiteren Updates, Sicherheits-Patches oder Hotfixe für alle Editionen von Windows Server 2003, Windows Server 2003 R2 und den Microsoft Small Business Server (SBS) 2003 bereitstellen. Setzt ein Unternehmen dann weiter auf diese Betriebssysteme, ist das Risiko von Datenverlust durch Hacker oder von Virenbefall quasi vorprogrammiert.
"Gerade bei vielen kleinen und mittelständischen Unternehmen ist nach wie vor Windows Server 2003 im Einsatz. Hier besteht dringender Handlungsbedarf, allein schon um gesetzliche und aufsichtsrechtliche Anforderungen, Compliance-Vorgaben und interne Sicherheitsrichtlinien einzuhalten", erklärt Michael Hohl, Head of Datacenter Solutions bei der transtec AG in Tübingen. "Fast 300 Tage Zeit für die Einführung eines aktuellen Betriebssystems hört sich zwar nach viel an, aber selbst Microsoft geht von einer durchschnittlichen Migrationsdauer von über 200 Tagen aus."

17.10.14 - Ergebnisse der <kes>/Microsoft-Sicherheitsstudie 2014: 74 Prozent der Studienteilnehmer waren in den letzten zwei Jahren von Malware-Vorfällen betroffen
Malware steht für IT-Sicherheitsverantwortliche an oberster Stelle der Gefährdungen für die Unternehmens-IT. Zu diesem Ergebnis kommt die aktuelle <kes>/Microsoft-Sicherheitsstudie 2014. Damit verdrängt Malware zum zweiten Mal in 28 Jahren Studiengeschichte die Bedrohungen durch "Irrtum und Nachlässigkeit eigener Mitarbeiter" auf Platz Zwei.
Darüber hinaus gaben 74 Prozent der Studienteilnehmer an, dass sie in den letzten zwei Jahren generell von Malware-Vorfällen betroffen waren; im Vergleich zur letzten Studie vor zwei Jahren stieg der Wert um 11 Prozent-Punkte an. Damit wurde wieder das Niveau von 2006 (72 Prozent) und 2002 (74 Prozent) erreicht, auch wenn der Spitzenwert von 2004 (88 Prozent) noch unangefochten bleibt. Die mittleren bis größeren Beeinträchtigungen durch Malware (31 Prozent) haben ebenfalls nach langer Zeit erstmals wieder etwas deutlicher zugelegt. Gleichzeitig haben aber mehr Befragte als zuvor einen Rückgang der Häufigkeit der Angriffe angegeben: Bei 67 Prozent der Teilnehmer gab es 2013 weniger Malware-Incidents als 2012.

####################

Bestellen Sie hier Ihren persönlichen Newsletter!

Sie wollen täglich informiert sein, haben aber keine Zeit, jeden Morgen durchs Internet zu surfen?

Dann lassen Sie sich durch unseren kostenlosen E-Mail-Service topaktuelle News aus der IT-Securit, Safety- und High Availability-Branche nahebringen.

Das Redaktionsteam von IT SecCity.de hat die wichtigsten tagesaktuellen Meldungen für Sie zusammengetragen - ein Klick auf die entsprechenden Links und Sie befinden sich an den gewünschten Plätzen auf IT SecCity.de und den Schwester-Magazinen SaaS-Magazin.de und Compliance-Magazin.de - einfacher geht's wirklich nicht!

Klicken Sie hier, um den kostenlosen Newsletter-Service zu abonnieren.

Sie erhalten dann in wenigen Minuten eine E-Mail vom System. Bitte klicken Sie auf den Link in der E-Mail und schicken Sie uns eine Bestätigung Ihrer Bestellung.

Der Newsletter wird im html-Format versendet.
Bitte denken Sie daran, den Newsletter bei Ihrem IT-Administrator auf die White-List setzen zu lassen.

####################

Meldungen vom Vortag

16.10.14 - Acri-ST nutzt Quantum StorNext 5 für die Verwaltung und Archivierung von Satellitenbildern und Geoinformationsdaten

16.10.14 - IT-Defense 2015: Weltweit bekannte IT-Security-Experten auf Konferenz in Leipzig: Veranstaltung findet zum 13. Mal statt

16.10.14 - Die Security-Suiten von Avira enthalten ab sofort die Verschlüsselungssoftware "DriveLock Private" von CenterTools

16.10.14 - Videoüberwachungslösung C-MOR für Privatkunden und KMU, die professionelle Videoüberwachung benötigen

16.10.14 - Festplattenlaufwerk mit Recovery Services speziell für Videoüberwachungssysteme

16.10.14 - Sich vor Bedrohungen mit einer einzigen Lösung schützen: Für PC, Mac, Android Smartphone und Tablet, iPhone und iPad

16.10.14 - "Eset Smart Security 8" und "Eset NOD32 Antivirus 8" auf dem Markt

16.10.14 - Geschäftliche Daten auf privaten Smartphones schützen: Ein einziger Sicherheits-Container für alle Business-Apps

20.10.14 - IT Security-Telegramm 16.10.14 - IT Security-Telegramm

Fachartikel

Big Data bringt neue Herausforderungen mit sich
Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.
Bösartige E-Mail- und Social-Engineering-Angriffe
Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.
Zertifikat ist allerdings nicht gleich Zertifikat
Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.
Datensicherheit und -kontrolle mit CASBs
Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.
KI: Neue Spielregeln für IT-Sicherheit
Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.