DigiNotar nach Hackerangriff insolvent

Abgelegt in:

Hackerangriff
- Informationssicherheit
- IT-Security

21. September 2011Matthias Hämmerle 1 Antwort

Nach einem Hackerangriff, bei welchem dem niederländischen Zertifizierungsunternehmen DigiNotar Anfang September mehr als 500 SSL-Zertifikate entwendet wurden, musste das Unternehmen Insolvenz anmelden. Am Montag wurde bei einem Insolvenzgericht in Haarlem ein entsprechender Antrag gestellt. Die Höhe des durch den Einbruch entstandenen Schadens wird derzeit noch ermittelt. Durch den Hackerangriff waren 300.000 Google-Mail-Konten kompromittiert. Der Hackerangriff soll durch einen 21-jährigen Hacker aus dem Iran durchgeführt worden sein.

BSI veröffentlicht Überblickspapiere zu IT-Grundschutz Themen

Abgelegt in:

16. September 2011Matthias Hämmerle Antworten

Um zeitnah Lösungsansätze für aktuelle IT-Sicherheitsthemen bieten zu können, bietet das Bundesamt für Sicherheit in der Informationstechnik BSI jetzt Überblickspapiere zu einzelnen Themenstellungen an. Das erste Überblickspapier behandelt das Thema Smartphones.

[BSI Überblickspapiere]

Chancen und Risiken der Cloud für das BCM

Abgelegt in:

Informationssicherheit

15. September 2011Matthias Hämmerle Antworten

Die Cloud ist im Moment das Hype-Thema der IT. Als Wundermittel zur Senkung und Flexiblisierung der IT-Leistungen gepriesen, als offenes Datenleck verschrien. Dabei sind Cloud-Lösungen nur die Rückbesinnung auf althergebrachte Host-Lösungen (Sie erinnern sich?) unter Nutzung der aktuellen Technologien zur Speicherung, Verteilung und Präsentation der Daten. Für das BCM ergeben sich aus Cloud-Lösungen Risiken und Chancen. Die Risiken bestehen in einem Ausfall der Cloud. Die großen offenen Cloud-Anbieter wie Amazon, Google und Microsoft waren in jüngerer Zeit bereits von großen und längeren Ausfällen heimgesucht worden. Daten und Anwendungen waren für die Kunden über Stunden nicht mehr verfügbar. Dies betrifft nicht nur die eigenen Anwendungen, sondern häufig Anwendungen von Drittanbietern, von denen nicht einmal bekannt ist, ob und in welcher Cloud sie gehostet sind. Für kritische Daten und Anwendungen gibt es daher die private oder lokale Cloud, die einen (besseren) Datenschutz und die direkte Steuerung und Kontrolle der Service Provider ermöglicht. Auf der anderen Seite ermöglichen Cloud-basierte Dienste im Notfall schnell die Kapazität und den Zugriff auf IT-Services zu erhöhen, um die Spitzenbelastungen in einem Notfall abzudecken. Ein Beispiel hierfür ist der neue Cloud-Dienst der SITA (Société Internationale de Télécommunications Aéronautiques), der es Fluggesellschaften und Flughäfen ermöglicht bei Notfällen und Störungen in kürzester Zeit auf Anwendungen, Programme, Prozesse und Daten der zentralen SITA-Rechenzentren zuzugreifen. Dadurch dass keine spezifischen Hardware-Anforderungen für die Nutzung der Anwendungen erforderlich ist, können in kürzester Zeit eine Vielzahl von Mitarbeitern, unabhängig vom Standort und spezifischer Hardware, auf die IT-Services zugreifen. Die Abrechnung erfolgt auf Basis der tatsächlichen Nutzung, so dass sich die Kosten hierfür in Grenzen halten. Dies ist einer der Beispiele für nutzenstiftende Anwendungen der neuen Cloud-Technologien aus Sicht des BCM.

[cio: Die zehn schlimmsten Cloud-Ausfälle]

Börse Hongkong von Hackern attackiert

Abgelegt in:

Hackerangriff

11. August 2011Matthias Hämmerle Antworten

Die News-Seite der Börse Hongkong ist von Hackern angegriffen worden. Für sieben Unternehmen wurde daraufhin der Handel unterbrochen. Die Börse hat eine Dark Site geschaltet. Zu den sieben betroffenen Firmen gehören HSBC, Cathay Pacific Airways sowie Hong Kong Exchanges & Clearing. Diese Unternehmen hatten zuvor für den Handel wichtige Informationen veröffentlicht.

[wsj]

US-Geheimdienste greifen auf europäische Google-Daten zu

Abgelegt in:

Informationssicherheit

7. August 2011Matthias Hämmerle Antworten

Dass US-Geheimdienste auf die Daten von Google in den USA zugreifen können dürfte keine Überraschung sein. Laut dem Bericht der Wirtschaftswoche wiwo.de sind aber auch die europäischen Google-Server hiervon nicht ausgenommen. Google habe von US-Geheimdiensten bereits viele solcher Anfragen erhalten, die von Google vor der Ausführung zunächst geprüft würden.

Vorsicht ist also geboten, wenn und welche Daten insbesondere in den Clouds der großen US-amerikanischen Anbietern gespeichert werden. Zudem ist der Kunde von der Verfügbarkeit des Cloud-Dienstleisters und dessen ausfallsicherer Infrastruktur abhängig. Dass die Infrastruktur auch der renommierten Anbieter nicht ausfallsicher ist, zeigen diese Beispiele.

Hacker zu 12 Jahren Haft verurteilt

Abgelegt in:

Cyber Kriminalität
- Informationssicherheit
- USA

2. August 2011Matthias Hämmerle Antworten

Ein Gericht in Kalifornien hat einen Hacker zu 12 Jahren Gefängnis verurteilt. Der 34-jährige Hacker hatte in einer Phishing-Attacke die Bankdaten von 38.000 Kunden abgefischt und die Daten dann weiterverkauft. Mit der hohen Haftstrafe wurde ein deutliches abschreckendes Signal an die Cyber-Kriminellen gegeben, die bei diesen Delikten mit einer hohen Haftstrafe rechnen müssen. Aus ökonomischer Sicht zwingt dies die Hacker jedoch dazu, groß angelegte Hacker-Attacken mit entsprechenden Gewinnspannen durchzuführen, damit sich das Risiko noch lohnt. Nur ein paar Unprofessionelle werden jetzt vielleicht die Finger davon lassen.

[bankinfosecurity.com]

Backdoor-Programme in WordPress-Plugins entdeckt

Abgelegt in:

IT
- IT-Security

22. Juni 2011Matthias Hämmerle Antworten

Die beliebte und weitverbreitete Blogging-Plattform WordPress hat die Paßwörter für den Zugang zu wordpress.org zurückgesetzt, nachdem in beliebten Plugins verdächtige Veränderungen entdeckt wurden.

In beliebte Plugins wie Addthis, Wptouch und W3 total cache wurden offensichtlich durch Dritte gut getarnte Hitertüren in den Quellcode der Plugins eingebaut.

[golem]

Sicherheitsunternehmen RSA tauscht nach Hackerangriff weltweit Secure-ID Tokens aus

Abgelegt in:

Informationssicherheit
- IT Service Continuity

7. Juni 2011Matthias Hämmerle Antworten

Bei einem Angriff von Hackern auf das Sicherheitsunternehmen RSA im März diesen Jahres wurden offenbar sicherheitsrelevante Informationen zu dem Secure-ID Sicherheitssystem auf Basis von Tokens erbeutet. Diese Informationen wurden dann vermutlich bei einem Angriff auf den Rüstungskonzern Lockheed Martin genutzt.

RSA bietet als Reaktion auf diese mögliche Sicherheitslücke nun seinen weltweit 40 Millionen Nutzern den Austausch der Secure-Tokens an. Viele staatliche Unternehmen, Rüstungskonzerne sowie Prüfungs- und Beratungsunternehmen nutzen das Sicherheitssystem von RSA.

[RSA, Spiegel online]

Planungshilfe und Leitfaden für Betriebssichere Rechenzentren vom BITKOM

Abgelegt in: Informationssicherheit 21. April 2011Matthias Hämmerle 1 Antwort

BITKOM, der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V., hat einen Leitfaden und eine Planungshilfematrix für betriebssichere Rechenzentren zum kostenlosen Download auf der Webseite zur Verfügung gestellt.

Die Planungshilfe für betriebssichere Rechenzentren ermöglicht einen schnellen Überblick über die Maßnahmen, die zur Gewährleistung einer gewünschten Verfügbarkeitsklasse ergriffen werden müssen. Eine Einteilung in 4 Kategorien erleichtert die Zuordnung und Einschätzung des eigenen Rechenzentrums.

Der BITKOM-Leitfaden „Betriebssichere Rechenzentren” bietet detaillierte Hilfestellung bei der Planung und Implementierung von Rechenzentren. In kompakter Form werden die Themen Verfügbarkeit, IT-Infrastruktur, Energieversorung, Klimatisierung und Brandschutz. Die englische Fassung des Leitfadens steht Ihnen ebenfalls als Download zur Verfügung.

Quelle: BITKOM

Kostenloser Pocketguide “IT-Sicherheit für kleine und mittlere Unternehmen”

Abgelegt in:

Informationssicherheit

23. Februar 2011Matthias Hämmerle Antworten

IT-Sicherheit ist nicht nur etwas für Großunternehmen. Im Gegenteil, Ausfälle, Schäden und Betriebsunterbrechungen können kleine und mittelständische Unternehmen wesentlich schneller existentiell gefährden als Großunternehmen.

Für die Zielgruppe der kleinen und mittelständischen Unternehmen hat der Verein Deutschland sicher im Netz e.V. (DSiN) daher den kostenlosen Pocketguide „IT-Sicherheit für kleine und mittlere Unternehmen“ herausgegeben.

Das Thema Business Continuity Management kommt in diesem Pocketguide etwas kurz, aber dafür gibt es ja auch noch den BSI 100-4 als sinnvolle und ebenfalls kostenfreie Ergänzung.

Der Pocketguide kann kostenfrei auf der Webseite des DSiN e.V. heruntergeladen werden.

Durchschnittlich 14 Stunden IT-Ausfall pro Jahr

Abgelegt in:

Informationssicherheit

10. November 2010Matthias Hämmerle Antworten

Auf das Jahr gesehen haben deutsche Unternehmen eine durchschnittliche Ausfallzeit von 14 Stunden für kritische IT-Systeme. Der durchschnittliche Schaden beträgt laut Angaben der 202 befragten deutschen IT-Chefs rund 400.000 Euro. Dies ist das Ergebnis einer Studie von ca Technologies, über die das cio-Magazin berichtet.

Der Gesamtschaden beläuft sich nach diesen Berechnungen für Deutschland auf vier Milliarden Euro, europaweit sind dies sogar 17 Milliarden Euro. Bei den Schäden nimmt Deutschland in Europa eine Spitzenposition nach Frankreich ein.

Die längsten Ausfälle haben Unternehmen des öffentlichen Sektors, die geringsten Systemausfälle sind in der Industrie. Deutsche Unternehmen erleiden durchschnittlich zwei IT-Ausfälle pro Jahr.

Link zur vollständigen Studie von ca

Neuer Blog zur IT-Sicherheit: SecTank

Abgelegt in:

Informationssicherheit
- IT Risikomanagement
- IT Service Continuity

2. Oktober 2010Matthias Hämmerle Antworten

Das IT-Security Blog SecTank ist ein neuer Blog, der über aktuelle Themen der IT-Sicherheit berichtet und auf den ich gerne aufmerksam machen will. Viel Spaß bei der Lektüre.

Aus der Vorstellung der Autoren:

Einer für alle. Alle für einen. Alle für Sie. SecTank ist ein Autoren- und Sicherheits-Spezialistenteam, das schon länger zusammenarbeitet. Wir möchten mit SecTank hauptsächlich die interaktive Kommunikation mit Ihnen. Wir werden interessante Berichte für Sie einstellen, die aktuelle Themen der Spezialgebiete unserer Autoren am Puls der Zeit behandeln. Wir möchten aufmerksam machen, Awareness schaffen, Trends festlegen, beraten und informieren. Manchmal möchten wir auch provozieren.