Autor: IT Security News

MXSS: Cross-Site-Scripting in der Google-Suche

Aufgrund subtiler Unterschiede beim Parsen von HTML-Code gelang es einem Sicherheitsforscher, gängige Filtermechanismen zu umgehen. Betroffen waren zwei Javascript-Bibliotheken und die Google-Suche. (Javascript, Google)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: MXSS: Cross-Site-Scripting in der Google-Suche

Lockt die Smart Factory Hacker an?

In der Fertigung wird alles smarter und effizienter. Leider bringt dies nicht nur positive Aspekte mit sich, die Produktionen werden auch angreifbarer. Einfallstore an Maschinen, aber auch nachlässige Mitarbeiter bieten Hackern Angriffspunkte für Cyber-Attacken. Cyber-Security muss noch relevanter werden.  …

Security Patch: Google beseitigt im April Qualcomm-Sicherheitslücken

In einer Vorankündigung verweist Google auf ein neues Security Patch Level. Das April-Update schließt viele Lücken und sollte für einige, aber nicht alle aktuellen Android-Geräte erscheinen. Es gibt auch viele Sicherheitslücken, die Qualcomm-basierte Smartphones betreffen. (Android, Sicherheitslücke)   Advertise on…

Cyber-Risiken erkennen, bewerten und abwehren

Das Cyber Risk Management bildet die Basis für die Cyber Security Strategie eines Unternehmens. Lücken im Cyber Risk Management führen deshalb zu einer unvollständigen Cyber-Sicherheit. Das neue eBook erklärt, was alles zu den Cyber-Risiken gerechnet werden muss, wie die Risiken…

EU-weite Datenschutz-Zertifizierung von Cloud-Diensten

Das Forschungsprojekt AUDITOR soll eine EU-weite nachhaltig anwendbare Datenschutz-Zertifizierung von Cloud-Diensten konzeptionie­ren, exemplarisch umsetzen und erproben. Jetzt wurde ein wichtiger Meilenstein erreicht: Mit der Neufassung des Kriterienkatalogs liegt ab jetzt ein Prüfstandard gemäß den Anforderung­en der DSGVO vor.   Advertise…

Was ist WebAuthn?

WebAuthn ermöglicht die Authentifizierung von Benutzern ohne ein Passwort. Es handelt sich um einen W3C-Standard, der auf Public-Key-Verfahren und der Nutzung von Faktoren wie biometrischen Merkmalen, Hardware-Token oder Smartphones basiert. Zahlreiche Browser, Betriebssysteme und Internetanwendungen unterstützen das Verfahren bereits.  …

BeA: Anwaltspostfach wird neu ausgeschrieben

Die Bundesrechtsanwaltskammer sucht einen neuen Betreiber für das von Sicherheitspannen geplagte besondere elektronische Anwaltspostfach. Die Verträge mit dem bisherigen Betreiber Atos laufen 2019 aus. (BeA, Verschlüsselung)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: BeA: Anwaltspostfach wird…

Mozilla: Firefox soll Benachrichtigungsspam reduzieren

Fast ein Fünftel aller Firefox-Nutzer flüchtet bei der ersten Anfrage nach Push-Benachrichtigungen von der Webseite. Mozilla schließt daraus, dass die Funktion sowohl missbraucht wird als auch unbeliebt ist und will etwas dagegen tun. (Firefox, Spam)   Advertise on IT Security…

Entwarnung: Das Kuketz-Forum wieder nicht gehackt

Gestern war das Forum nicht erreichbar und ein großer Grafikbanner mit »You have been hacked« begrüßte die Besucher. Wer auf das Datum geschaut hat, der wusste relativ schnell, dass es sich hierbei um einen Aprilscherz handelte. Dennoch erhielt ich Unmengen…

Studie: Angreifer lieben PowerShell

Microsofts Skript-Sprache ist die am meisten genutzte Angriffstechnik, warnt die Sicherheitsfirma Red Canary. Bei vielen Firmen besteht da noch Nachholbedarf.   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Studie: Angreifer lieben PowerShell

Sicherheit: Tesla-Autopilot lässt sich in den Gegenverkehr steuern

Wissenschaftler des chinesischen Konzerns Tencent haben untersucht, wie leicht sich Teslas Autopilot in die Irre führen lasse. Erschreckendes Ergebnis: Mit leicht manipulierten Straßenmarkierungen steuert das Auto in den Gegenverkehr. (Tesla, Technologie)   Advertise on IT Security News. Lesen Sie den…

IT Sicherheitsnews taegliche Zusammenfassung 2019-04-01

Google spendiert Gmail zum Jubiläum neue Funktionen Google: Authentifizierung per Sicherheitsschlüssel nun auch in Firefox und Edge Kritische Fehler: Schweizerische Post setzt E-Voting-System befristet aus SR20: Zero-Day-Sicherheitslücke in TP-Link-Router Positive Technologies: ME-Hacker finden Logikanalysator in Intel-CPUs Telefonbetrug: Android-App schickt Opfer…

Google spendiert Gmail zum Jubiläum neue Funktionen

Zum 15-jährigen Jubiläum spendiert Google seinem E-Maildienst Gmail neue Funktionen. Mit Smart Compose (Intelligentes Schreiben) sollen Nutzer E-Mails einfacher schreiben können, indem die im Hintergrund laufende KI bestimmte Formulierungen vorschlägt.   Advertise on IT Security News. Lesen Sie den ganzen…

SR20: Zero-Day-Sicherheitslücke in TP-Link-Router

Auf dem Smart-Home-Router TP-Link SR20 kann beliebiger Code mit Root-Rechten ausgeführt werden. Auch andere Router des Herstellers könnten betroffen sein, ein Patch ist nicht in Sicht. (Router-Lücke, Netzwerk)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: SR20:…

Positive Technologies: ME-Hacker finden Logikanalysator in Intel-CPUs

Nachdem Sicherheitsforscher Vollzugriff auf Intels Management Engine erlangt haben, haben diese nun eine bisher nicht bekannte Debug-Schnittstelle in Intel-CPUs entdeckt. Dabei handelt es sich um einen Logikanalysator, mit dem die Hardware noch weiter analysiert werden kann. (Firmware, Prozessor)   Advertise…

Telefonbetrug: Android-App schickt Opfer direkt zu den Tätern

In Asien aufgetauchte angebliche Banking-Apps leiten Anrufe bei Banken zu einem Call-Center von Betrügern um. Bislang ist das Vorgehen aber eher dilettantisch.   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Telefonbetrug: Android-App schickt Opfer direkt zu den…

Datensammelwut schreckt Nutzer nicht ab

Techconsult hat im Auftrag von Sophos 200 Mitarbeiter aus Unternehmen unterschiedlicher Branchen in Deutschland zu ihrer Internet-Nutzung befragt. Dabei kam heraus, dass die Sammlung von Daten von den meisten Befragten zwar toleriert wird, aber sich viele mehr Mitbestimmung wünschen, was…

Kryptogeldbörse Bithumb von Insidern bestohlen

Erneut wurde der südkoreanischen Börse Bithumb Kryptogeld gestohlen. Diesmal sollen es aber Innentäter gewesen sein.   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Kryptogeldbörse Bithumb von Insidern bestohlen

Ist Virenschutz für mein Unternehmen notwendig?

Wenn Sie sich fragen, ob Ihr Unternehmen einen Virenschutz benötigt, dann lautet die kurze Antwort „Ja“. Zwar verfügt Windows 10 über sein eigenes, gut bewertetes Antivirus-Programm Windows Defender, doch kann die Investition in eine eigenständige Antivirenlösung einen umfassenderen Schutz bieten. Lesen Sie weiter…

Psychotricks, Marketinglügen und IoT

Fiese Psychotricks, hackende Regierungen und Marketinglügen – hinter der Security-Branche liegen turbulente Wochen. In unserem monatlichen Videorückblick bringen wir Sie in fünf Minuten auf den aktuellen Stand.   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Psychotricks, Marketinglügen…

Defender ATP: Microsofts Virenabwehr plant Selbstschutzfunktion

Microsoft plant für den Microsoft Defender ATP eine neue Funktion, die eine Manipulation der Sicherheitsfunktionen erschweren soll. Derzeit wird die Tamper Protection in Insider Builds von Windows 10 getestet. (Windows 10, Sicherheitslücke)   Advertise on IT Security News. Lesen Sie…

Die Vorteile von DevSecOps

DevOps befindet sich auf einem Siegeszug. In Zeiten gestiegener Anforderungen an reibungslos verfügbare Services wissen Unternehmen um die Vorteile verzahnter Arbeitsweisen, die verlässlichere Services und kürzere Entwicklungszyklen ermöglicht. Mit Erweiterung um den Sicherheitsaspekt hat sich der DevSecOps-Ansatz als weiterer wichtiger…

IT Sicherheitsnews wochentliche Zusammenfassung – Woche 13

IT Sicherheitsnews taegliche Zusammenfassung 2019-03-31 31. März ist World Backup Day IT Sicherheitsnews taegliche Zusammenfassung 2019-03-30 Viermal die Null: Kostenloser Sprit dank Default-Passwort an Zapfsäule Datensicherheit: Teslas Bordrechner speichern unverschlüsselt viele Daten IT Sicherheitsnews taegliche Zusammenfassung 2019-03-29 Windows 10: Microsoft…

IT Sicherheitsnews taegliche Zusammenfassung 2019-03-31

31. März ist World Backup Day IT Sicherheitsnews taegliche Zusammenfassung 2019-03-30 Viermal die Null: Kostenloser Sprit dank Default-Passwort an Zapfsäule Datensicherheit: Teslas Bordrechner speichern unverschlüsselt viele Daten Generated on 2019-03-31 23:45:29.826319

31. März ist World Backup Day

Bereits seit vielen Jahren hat sich der 31. März als internationaler Tag des Backups etabliert. Die Initiatoren der Webseite http://www.worldbackupday.com haben sogar einen eigenen Eid für den Aktionstag ins Leben gerufen. Der “World Backup Day” Eid “Ich schwöre feierlich, am…

IT Sicherheitsnews taegliche Zusammenfassung 2019-03-30

Viermal die Null: Kostenloser Sprit dank Default-Passwort an Zapfsäule Datensicherheit: Teslas Bordrechner speichern unverschlüsselt viele Daten IT Sicherheitsnews taegliche Zusammenfassung 2019-03-29 Windows 10: Microsoft gibt Version 1809 für Allgemeinheit frei Seltsame Vorgänge bei Dream Market: Darknet-Marktplatz kündigt Schließung an Schlüssel-Leaks…

IT Sicherheitsnews taegliche Zusammenfassung 2019-03-29

Windows 10: Microsoft gibt Version 1809 für Allgemeinheit frei Seltsame Vorgänge bei Dream Market: Darknet-Marktplatz kündigt Schließung an Schlüssel-Leaks auf GitHub & wie sie verhindert werden können Vernetzen auf menschlicher Ebene PGP-Schlüssel-Zertifizierung erstmals auch auf der Hannover Messe Pressemeldung: User…

Vernetzen auf menschlicher Ebene

Fertigungsanlagen vor Cyberattacken zu schützen, ist eine technische und organisatorische Herausforderung. Teams aus Produktion und IT müssen an einem Strang ziehen, um ein Sicherheitskonzept zu erstellen, das die Bedürfnisse aller Seiten berücksichtigt.   Advertise on IT Security News. Lesen Sie…

Der Security-RückKlick 2019 KW 13

von Trend Micro               Quelle: CartoonStock IoT-Geräte wie Herzimplantate und E-Autos mit gefährlichen Schwachstellen, und auch Machine Learning kann ausgetrickst werden. Auch Apple warnt für Lücken in Betriebssystemen – dies eine Auswahl aus dieser…

Banking-Startup N26 bei Betrugsfällen überfordert

Kunden des Fintech-Vorzeigeunternehmens N26 erheben schwere Vorwürfe: Bei Betrugsfällen sei kaum Hilfe von der Bank zu erwarten.   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Banking-Startup N26 bei Betrugsfällen überfordert

Rückblick 27. Cyber-Sicherheits-Tag in Frankfurt

Im Rahmen des Cyber-Sicherheits-Tages präsentierten der ZDH und das BSI das gemeinsam mit Handwerksorganisationen erarbeitete „IT-Grundschutz-Profil für Handwerksbetriebe“. Der dazugehörige Routenplaner stellt passende Schutzmaßnahmen vor und bietet Anregungen für die konkrete Umsetzung im Unternehmen, damit Handwerksbetriebe mit überschaubarem Aufwand Schritt…

Blog | Forum: Visuelle Darstellung externer Links

Sowohl auf dem Blog als auch im Forum werden externe Links nun mit einem Icon gekennzeichnet – es befindet sich hinter der URL. Beispiel ein Link zur Wikipedia: Wikipedia. Ihr könnt nun also direkt am Link erkennen, ob ihr externen…

c’t: Artikelserie Firefox-Sicherheitskompendium nächster Teil

In der c’t Ausgabe 8/2019 wird das Firefox-Sicherheitskompendium fortgesetzt. Es handelt sich hierbei um eine Aufbereitung der Artikelserie »Firefox-Kompendium« aus dem Jahr 2018 für die c’t. Auszug aus dem zweiten Teil: Zwei Add-ons gegen Website-übergreifendes Tracking: Decentraleyes vermeidet Anfragen an…

MSPs als Bedrohungsvektor

Angreifer zeigen aktives Interesse an MSPs und nutzen Schwachstellen aus, um Kunden mit Kryptomalware zu infizieren.   Advertise on IT Security News. Lesen Sie den ganzen Artikel: MSPs als Bedrohungsvektor

Netzwerkdrucker noch immer unterschätze Schwachstelle

Angreifer nutzen ungeschützte Drucker als Einfallstor ins Firmennetzwerk, davor warnte das BSI und sein europäisches Pendant ENISIA schon vor 10 Jahren. Forschungsergebnisse belegen jetzt, die Sicherheitslücken wurden nicht beseitigt und es gibt weit mehr Einfallstore als zunächst vermutet. Auch hat…

Girls’Day 2019: Eleni verstärkt unser Team

CC BY 2.0 Am Girls'Day 2019 wurde das Digitalcourage-Team für einen Tag von Eleni (13) unterstützt.   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Girls’Day 2019: Eleni verstärkt unser Team

Mit SOC as aService Gefahren frühzeitig erkennen

Cyber-Angriffe haben ein Ausmaß erreicht, das Unternehmen vor immer größere Herausforde­rungen stellt. Nur wenige verfügen aber in ihren eigenen Rechenzentren über die benötigten personellen und technischen Ressourcen für ein Security Operations Center (SOC), um der Cyber-Risiken Herr zu werden. Eine…

Sicherheitslücke: SQL-Injection gefährdet Magento-Shops

Online-Shops mit der Software Magento sollten schnellstmöglich updaten: Eine SQL-Injection-Lücke erlaubt es jedem Angreifer, Daten aus der Datenbank auszulesen. (Magento, PHP)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Sicherheitslücke: SQL-Injection gefährdet Magento-Shops

Kommentar: Endlose CAPTCHA-Schleifen für Tor-Nutzer

Tor-Browser-Nutzer kennen das Problem schon lange: CAPTCHAs. Auf Reddit hat dazu jemand einen treffenden Kommentar hinterlassen: You should not be solving many CAPTCHAs. You can expect to encounter lots of CAPTCHAs if you use Tor but in general you should…

RSAC 2019: Auf der Suche nach der perfekten Patch-Strategie

Auf der RSAC 2019 haben Forscher über die aktuelle Schwachstellenlandschaft berichtet und ein Modell zur Unterstützung einer effektiven Patch-Strategie entwickelt.   Advertise on IT Security News. Lesen Sie den ganzen Artikel: RSAC 2019: Auf der Suche nach der perfekten Patch-Strategie

IT Sicherheitsnews taegliche Zusammenfassung 2019-03-28

Leichtsinnige ASUS-Mitarbeiter könnten ShadowHammer-Angriff begünstigt haben Datenschutzbeauftragte rügt: Berliner Polizisten schnüffeln privat in Datenbanken Microsoft übernimmt 99 Domains von staatlich finanzierten Hackern aus dem Iran Sicherheitsupdates: Kritische Lücken in Onlineshop-Software Magento Bits & Bytes für Girls – der Girls’Day im…

Boring-TUN: Cloudflare baut Wireguard-VPN in Rust

Die CDN- und Netzwerkspezialisten von Cloudflare haben mit Boring-TUN eine eigene Userspace-Implementierung des Wireguard-VPN in Rust erstellt. Diese soll plattformübergreifend funktionieren und vor allem schnell sein. (Open Source, Verschlüsselung)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

Security-Automatisierung in der Software Supply Chain

Welche Rolle spielt Sicherheit in der Automatisierung der Software-Lieferkette? Und welche DevOps- sowie DevSecOps-Praktiken haben sich in den Unternehmen bereits etabliert? Aufschlüsse darüber liefert eine Sonatype-Umfrage in der DevSecOps Community.   Advertise on IT Security News. Lesen Sie den ganzen…

BSI und ZDH stellen IT-Grundschutzprofil für Handwerksbetriebe vor

Auf einer gemeinsamen Pressekonferenz von Bundesamt für Sicherheit in der Informationstechnik (BSI), Zentralverband des Deutschen Handwerks (ZDH), Kompetenzzentrum Digitales Handwerk (KDH), hessischem Digitalministerium und Handwerkskammer Frankfurt-Rhein-Main sind auf dem 3. Cyber-Sicherheitstag für das Handwerk das „IT-Grundschutzprofil für Handwerksbetriebe“ und der…

Horst Seehofer will WhatsApp-Überwachung!

Die Regierung möchte künftig bei WhatsApp und Telegram mitlesen – dazu will man das Verfassungsschutzgesetz ändern. Die Hintergründe!   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Horst Seehofer will WhatsApp-Überwachung!

Mit eIDAS mehr Vertrauen und Effizienz im Business

Noch sind grenzüberschreitende, durchgehend digitale Geschäfte in der EU schwierig. Das soll sich ändern. Denn ein digitaler europäischer Binnenmarkt ist wichtig, um weltweit konkurrenzfähig zu bleiben. Mit der eIDAS-Verordnung hat die EU-Kommission den rechtlichen Rahmen dafür geschaffen. Was bedeutet eIDAS…

Magisk: Bei der Macht von Root – Take back control! Teil3

1. Root-Rechte Durch die Installation von LineageOS haben wir uns von den herstellereigenen Android-Systemen losgesagt. Doch allein der Wechsel zu einem alternativen Betriebssystem schützt uns nicht zwangsläufig vor dem ungewollten Abfluss sensibler Daten. Vielmehr bedarf es weiterer Anpassungen des Systems…

Risiken von ERP in der Cloud minimieren

Begriffe wie Big Data, Web 3.0 und KI sind aus dem digitalisierten Alltag nicht mehr wegzuden­ken und haben längst Einzug in die Arbeitswelt von heute erhalten. Die Digitalisierung bietet Unternehmern viele Optimierungschancen, stellt sie aber auch vor Herausforderungen bei der…

iX-Workshop: Vorbereitung auf den Security-Ernstfall

Cyberkriminalität ist eine immer größere Bedrohung für Unternehmen. eione Notfallplanung hilft, die Auswirkungen von Angriffe auf die IT zu begrenzen.   Advertise on IT Security News. Lesen Sie den ganzen Artikel: iX-Workshop: Vorbereitung auf den Security-Ernstfall

IT Sicherheitsnews taegliche Zusammenfassung 2019-03-27

SolarWinds IT Trends Report 2019 Firefox: Mozilla experimentiert nach Fehlermeldungen mit Root-Zertifikatsimport UC Browser für Android anfällig für Man-in-the-Middle-Angriffe Sicherheitsforscher entdecken 36 neue Sicherheitslücken im LTE-Standard Japanische Behörde will sich in private IoT-Geräte hacken ASUS veröffentlicht neue Live-Update-Version nach ShadowHammer-Kompromittierung…

SolarWinds IT Trends Report 2019

Studie von SolarWinds: 76 Prozent der deutschen Technikexperten müssen bis 2024 zusätzliche Kompetenzen entwickeln, 78 Prozent fehlt es an Zeit oder Budget für entsprechende Schulungen   Advertise on IT Security News. Lesen Sie den ganzen Artikel: SolarWinds IT Trends Report…

E-Mail-Verschlüsselung und andere Sicherheitsrisiken

Nach wie vor sind ausgerechnet Top-Manager für Sicherheitsthemen oft nicht richtig sensibilisiert und versenden vertrauliche Daten noch unverschlüsselt, das zeigen aktuelle Studien. Doch selbst wenn Anwender auf vermeintlich sichere Kommunikationswege wie die E-Mail-Verschlüsselung setzen, lauern noch versteckte Gefahren.   Advertise…

Android Root: Banking-Apps verweigern den Dienst

Einige Apps prüfen vor dem Start, ob euer Android-System gerootet ist und verweigern anschließend den Dienst. Insbesondere Banking-Apps haben solche Root-Erkennungsmechanismen integriert, da viele Banken gerootete Android-Geräte pauschal als »Sicherheitsproblem« einstufen. Leider ist das zu kurzsichtig und wird den individuellen…

Was ist MD5?

Beim Message-Digest Algorithm 5 (MD5) handelt es sich um eine Hashfunktion, die aus einer bestimmten Zeichenkette oder Nachricht einen immer gleichen Hashwert erzeugt. MD5 ist für verschiedene Anwendungen wie die Überprüfung von Download-Dateien oder das Speichern von Passwörtern einsetzbar.  …

Datendiebstahl verlagert sich in die Cloud

Datendiebstahl wird künftig eher im Cloud-Speicher als im Firmen-Rechenzentrum stattfinden, da mehr Anwendungen und Daten in die Cloud verschoben werden, meinen Sicherheitsexperten von Vectra. Eine wachsende Rolle im Sicherheitsarsenal von Unternehmen sollen zukünftig auch die künstliche Intelligenz und das maschinelle…

Firefox Lockbox: Android-App mit Adjust-Tracker

Gestern hat Mozilla Firefox Lockbox für Android vorgestellt. Es handelt sich um einen Passwort-Manager mit 256-Bit-Verschlüsselung und Synchronisation. Leider ist die Android-App nicht frei von Trackern: Unmittelbar nach dem Start werden an die Analysefirma Adjust (Hauptfirmensitz San Francisco, USA) eine…

DNS over HTTPS: Ein Problem gelöst, mehrere neue geschaffen

Die verschlüsselte Auflösung von Domainnamen schützt die Privatsphäre – prima. Sie wird aber auch Google & Co. mästen und andere neue Probleme heraufbeschwören.   Advertise on IT Security News. Lesen Sie den ganzen Artikel: DNS over HTTPS: Ein Problem gelöst,…