Seiten

Posts mit dem Label Sicherheitsaudit werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Sicherheitsaudit werden angezeigt. Alle Posts anzeigen

Freitag, 25. Januar 2019

2019 - Neues Jahr - Neue Datenrisiken

Auch für 2019 haben IT-Sicherheitsexperten wieder ihre Prognosen veröffentlicht über neue Risiken, die sowohl personenbezogene Daten als auch Betriebs- und Geschäftsgeheimnisse bedrohen. Es wäre aber falsch, sich nun ausschließlich auf diese Risiken zu konzentrieren.


Die Zeichen stehen auf Sturm - Gefährdungslage auf neuem Niveau


Gleich, ob Sie sich die Vorhersagen der Sicherheitsbehörden oder der Sicherheitsanbieter für 2019 ansehen: Kaum ein Security-Experte ist der Meinung, dass die Risiken für personenbezogene und andere zu schützende Daten geringer werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von einer "Gefährdungslage auf neuen Niveau". Cyber-Angriffe werden 2019 noch intelligenter und ausgereifter, erklären auch die Forscher von Fortinet. Zieht man Parallelen zu den Wetterprognosen, lässt sich sagen, die Sicherheitsspezialisten erwarten eine Zunahme von schweren Unwettern.

Die Zeichen stehen auf Sturm - Gefährdungslage auf neuem Niveau
Datenrisiken 2019 - Die Zeichen stehen auf Sturm

Nicht an die steigenden Risiken gewöhnen


Die Berichte der Security-Experten rund um den Jahreswechsel bekommen in den Medien immer viel Aufmerksamkeit. Doch besteht die Gefahr, dass wir Menschen uns daran gewöhnen, dass die Gefahren aus dem Internet und für unsere Daten immer größer werden. Tatsächlich nehmen die Risiken für personenbezogene Daten stetig zu. Die Prognosen der McAfee Labs für 2019 besagen zum Beispiel: Neue mobile Malware wird Smartphones, Tablets und Router austesten, um Zugang zu den digitalen Assistenten, die sie kontrollieren, und zu heimischen IoT-Geräten (IoT = Internet of Things) zu erhalten. Smart Homes werden verstärkt zum Angriffsziel. Was bedeutet das nun konkret für den Datenschutz im neuen Jahr?

Die Risiken folgen der Digitalisierung


Nutzen Unternehmen und Privatpersonen vermehrt Dienste aus der Cloud, werden Smartphones und Tablets für immer mehr Menschen zum stetigen Begleiter und die Wohnungen immer vernetzter, dann zieht das Angriffswellen auf sich. Überall, wo neue Bereiche digitalisiert werden, ist mit Angriffen von Hackern zu rechnen.

Doch auch abseits der digitalen Technik lauern Gefahren


Man darf aber nicht vergessen, dass Staat, Wirtschaft und Gesellschaft bei Weitem noch nicht angekommen sind an dem Ziel der digitalen Transformation. Viele Verfahren und Prozesse sind seit Jahren unverändert im Einsatz. Dadurch sind sie aber nicht aus dem Fokus der Angreifer. Die Sicherheitsexperten stellen vermehrt fest, dass Internetkriminelle mit den klassischen Kriminellen zusammenarbeiten. Jede der kriminellen Seiten lernt und profitiert von der anderen. Deshalb muss weiterhin damit gerechnet werden, dass klassische Einbrüche stattfinden, um an vertrauliche Informationen zu kommen, und nicht nur Hacker-Attacken.

Nur weil die Sicherheitsprognosen die neuen Technologien und ihre Risiken betonen, nehmen die Gefahren in den klassischen Bereichen nicht ab. Im Jahr 2019 muss mit allen bisherigen Bedrohungen gerechnet werden, die wir schon seit vielen Jahren kennen – die neuen Bedrohungen kommen hinzu. Sehen Sie deshalb jede Sicherheitsprognose wie eine Fortsetzungsgeschichte: Es werden neue Kapitel geschrieben, ohne dass man die alten einfach zuschlagen dürfte.


Sicherheitsrisiken und Schwachstellen identifizieren, bevor es zum Schaden kommt


Die für eine Situations-Verbesserung erforderlichen "Coolen Tools" sind bei mittelständischen Unternehmen meist nicht im Einsatz und noch nicht einmal bekannt. Intelligente Sicherheitsinformations- und Ereignis-Management (SIEM) Lösungen könnten hier Abhilfe schaffen.

yourIT Beratungspaket Sicherheitsaudit IT-Infrastruktur
yourIT Beratungspaket Sicherheitsaudit IT-Infrastruktur


Moderne IT-Systemhäuser wie yourIT können hier aushelfen, indem diese erstmal ein IT-Sicherheitsaudit durchführen. Ein entsprechendes Beratungspaket "Sicherheitsaudit IT-Infrastruktur" für den Mittelstand steht bereit. Hierbei werden sogar die mittelständischen Unternehmen zustehenden Fördermittel ausgenutzt. So kann sich das jedes Unternehmen leisten.

Wenn Unternehmen feststellen, dass interne Sicherheitslücken bestehen, sollten diese unverzüglich geschlossen werden. Gegebenenfalls muss überprüft werden, ob und was bereits passiert ist. Hier sind Forensiker und Vergleichsdaten gefragt. Ein Spezialist muss die Daten der vergangenen Tage und Wochen mit dem aktuellen Stand abgleichen und analysieren

  • wo der Angreifer überall war;
  • welchen Schaden er angerichtet hat;
  • ob es ein Außen- oder ein Innentäter war.
Evtl. hat ein Mitarbeiter versehentlich eine Schadsoftware verwendet und wurde so zum Innentäter. Durch die Nutzung des Beratungspakets "Sicherheitsaudit IT-Infrastruktur" lässt sich in diesem Fall der Client identifizieren, über den der Schaden zustande kam. Jetzt muss die Sicherheit wieder hergestellt werden. Manuell ist das eine mühsame Arbeit. Mit den "Coolen Tools" der yourIT lassen sich Sicherheitsrisiken und Anomalien schon im Vorfeld aufspüren.

Werden Sie jetzt aktiv: Das Investment in Datenschutz- & Informationssicherheits-Projekte zahlt sich für mittelständische Unternehmen schnell aus - meist schon beim ersten verhinderten Schaden. Testen Sie jetzt unser Beratungspaket "Sicherheitsaudit IT-Infrastruktur". Sie werden begeistert sein!

Samstag, 9. April 2016

Achtung - Erpressungs-Trojaner Locky verbreitet sich jetzt auch ohne E-Mails

“Locky” - der derzeit wohl bekannteste Erpressungs-Trojaner hält die IT-Abteilungen der Unternehmen in Deutschland in Atem. Und nun droht neue Gefahr: Locky verbreitet sich jetzt auch ohne E-Mails. Vorbei sind die Zeiten, in denen er noch unvorsichtige Mitarbeiter benötigte, die auf irgendeinen Anhang klickten.


Bisher verbreitete sich die Ransomware hauptsächlich per E-Mail mit gefälschten Rechnungen im Anhang. Um Locky zu aktivieren, musste der Benutzer das Dokument anklicken und damit öffnen. Erst dann wurde die Schadsoftware aus dem Internet nachgeladen – sofern die für die Infizierung notwendigen Makros aktiviert waren.

yourIT-Security-Experten warnen - Erpressungs-Trojaner Locky gelangt jetzt auch ohne E-Mails ins Unternehmensnetzwerk

Besonders kritisch war die Version von Locky, welche nicht sofort losschlug, nachdem dieser auf einen Rechner eingeschleust worden war. Stattdessen tarnte sich der Trojaner als "Schläfer" auf dem Rechner, verbreitete sich unbemerkt über physikalische Netzwerkverbindungen auf andere Rechner, Server und selbst auf Backupsysteme. Die Cyber-Kriminellen wollten dadurch Locky in Unternehmen als großen Anschlag starten, um möglichst viele Daten auf einen Schlag verschlüsseln zu können. Logisch: Ist selbst das Backup betroffen, haben die betroffenen Unternehmen meist keine Möglichkeit mehr, sich selbst zu helfen. Dann sind diese bereit, erheblich höhere Lösegelder zu bezahlen.

Die Rechnung geht auf - die Lösegelder steigen


Während das Lösegeld für die Entschlüsselung einzelner Rechner i.d.R. bei 0,5 Bitcoins (ca. 185 EUR) liegt, verlangen die Erpresser für vernetzte Rechner häufig das doppelte bis dreifache. Pauschale Lösegeld-Summen für ganze Netzwerke sollen schnell 50 Bitcoins betragen (ca. 18.500 EUR). Die Rechnung der Cyber-Kriminellen geht auf.

Fest stand bei den bisherigen Angriffen: Um Locky in die Unternehmensnetze einschleusen zu können, mussten immer unvorsichtige Mitarbeiter etwas anklicken. Erfolgreiche Strategien gegen Locky bestehen daher aus:

  • Verbot kritischer E-Mail Anhänge,
  • (Online-) Spamfilter einsetzen sowie
  • Sensibilisierung der Mitarbeiter.

Nun droht noch größere Gefahr: Locky kommt jetzt auch ohne E-Mails und unvorsichtige Mitarbeiter in Ihr IT-Netzwerk


Seit einiger Zeit häufen sich Meldungen, dass Locky von Cyber-Kriminellen ganz offensichtlich auch ohne die unfreiwillige Mithilfe von Nutzern auf die Rechner und damit in die Unternehmens-IT eingeschleust wird - keine E-Mail, kein Dateianhang, kein Klicken.

Cyber-Kriminelle nutzen jetzt auch Exploit-Kits, um Verschlüsselungs-Trojaner zu verteilen und verschaffen damit Locky direkt Zugang. Diese Exploits suchen Schwachstellen in den IT-Netzen ihrer Opfer und nutzen diese gnadenlos aus. Ärgerlich dabei ist - häufig handelt es sich dabei um bereits seit langem bekannte Schwachstellen.

Die Liste der Maßnahmen gegen Locky muss daher erweitert und neu justiert werden:
- Regelmäßige Durchführung von Schwachstellen-Analysen und
- Einführung eines funktionierenden Patchmanagements.

Um sich gegen die neue Angriffswelle zur Wehr zu setzen, müssen Unternehmen verstehen, wie die Cyber-Erpresser denken. Die IT-Security-Experten von yourIT empfehlen: Betrachten Sie Ihr IT-Netzwerk mit den Augen eines Hackers.

Betrachten Sie Ihr IT-Netzwerk mit den Augen eines Hackers - mit Unterstützung von yourIT


Wir sind die Guten! Lassen Sie uns Ihnen helfen, gefährliche Schwachstellen in Ihrem IT-Netzwerk aufzuspüren und proaktiv zu beheben. Warten Sie nicht, bis Cyber-Erpresser diese finden und ausnutzen können.

Nutzen Sie jetzt unser Angebot Sicherheitsaudit "IT-Infrastruktur" - jetzt auch mit Locky-Check.

Unsere Mithilfe gegen Erpressungs-Trojaner - Das yourIT-Sicherheitsaudit "IT-Infrastruktur" - Jetzt neu mit Locky-Check

Unser Sicherheitsaudit "IT-Infrastruktur" wurde beim Innovationspreis-IT ausgezeichnet als BEST OF CONSULTING. Für unsere Beratung gibt es derzeit bis zu 1.500 EUR Fördermittel vom Staat.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele

Thomas Ströbele

Dienstag, 12. Januar 2016

Achtung Schwachstelle! Die Bedrohungslage spitzt sich weiter zu

Das Bundesamt für Sicherheit (BSI) in der Informationstechnik beschreibt im aktuellen Bericht zur "Lage der IT-Sicherheit in Deutschland 2015" eine fortschreitende Professionalisierung von Cyber-Angriffen. Auch andere IT-Sicherheitsexperten warnen vor einem Trend zur Optimierung der Angriffe durch Cyber-Kriminelle und sprechen ganz offen von einer Automatisierung der Geschäftsprozesse potentieller Angreifer. Trotzdem wird in mittelständischen Unternehmen häufig funktionalen und ökonomischen Faktoren mehr Beachtung geschenkt als der Security. Ein fataler Fehler!


yourIT unterstützt Unternehmen beim Finden und Beheben von Schwachstellen in der IT

99,9 Prozent der ausgenutzten Sicherheitslücken sind über 12 Monate bekannt


Sie denken: "Wir haben doch alles im Griff!" Weit gefehlt. Das typische Einfalltor für Malware und Cyber-Kriminelle sind "alte Bekannte" - Software-Schwachstellen die nicht rechtzeitig per Update oder Patch behoben wurden. Und deren Zahl nimmt dramatisch zu: Von 1.200 im Jahr 2014 um 50% auf 1.800 in 2015 in den Referenz-Softwareprodukten des BSI. Allein in  den 11 am weitesten verbreiteten Anwendungen (darunter MS Office, Browser, Betriebssysteme, Flash und Adobe Reader) wurden von Januar bis September 2015 knapp 850 kritische IT-Schwachstellen entdeckt.

Besonders gefährdet: Kleine und mittelständische Unternehmen


Kleinen und mittelständischen Unternehmen fehlen häufig die notwendigen Fachleute und Ressourcen, um neben den "reaktiven Maßnahmen" wie Firewalls, Virenschutz oder Intrusion Detection zusätzlich auch "proaktive Maßnahmen" einzuleiten. Dadurch sind diese Unternehmen aktuell in besonderem Maße durch IT-Schwachstellen bedroht. Werden nur reaktive Maßnahmen eingesetzt, wartet man quasi, bis eine Malware oder ein Cyber-Angreifer mit dem Angriff beginnt und versucht danach, diesen draußen zu halten. Aber was, wenn das schief geht?

Reaktives Verhalten allein reicht nicht aus - Sie müssen proaktiv handeln!


Sinnvoller ist da der Einsatz von proaktiven Risikovermeidungs-Strategien. "Um die Angreifer zu verstehen, müssen Sie Ihr IT-Netzwerk wie ein Hacker betrachten. Diese scannen erst nach erkennbaren lohnenswerten und angreifbaren IT-Schwachstellen - erst dann beginnen Sie mit dem Angriff." so Thomas Ströbele, Berater für Datenschutz und IT-Sicherheit bei der yourIT GmbH aus Hechingen. "Wir empfehlen daher, das IT-Netzwerk in regelmäßigen Abständen mit automatisierten Penetrationstests auf IT-Schwachstellen zu überprüfen und die gefundenen kritischen Schwachstellen zu beheben, um eben dieses Risiko eines Angriffs durch Hacker zu verringern." Das Motto lautet: "Bloß nicht auffallen!"

Hierzu bietet yourIT zwei Vorgehensweisen an:
  1. Der Kunde beauftragt einen Dienstleister wie z.B. yourIT oder einen der 100 deutschlandweiten yourIT-Partner, das IT-Netzwerk mit einer Berater-Subscription als Managed Service zu überprüfen.
  2. Alternativ mietet der Kunde über yourIT eine zu seinem IT-Netzwerk passende Security-Subscription und scannt damit sein Netzwerk regelmäßig selbst.
Das Systemhaus yourIT aus Hechingen arbeitet hier mit über 300 Systemhäusern der Systemhausverbände comTeam, Novacur und Winwin zusammen. Damit können wir flächendeckende Penetrationstests im Zollernalbkreis sowie den angrenzenden Landkreisen Tübingen, Reutlingen, Sigmaringen, Tuttlingen, Rottweil und Freudenstadt und darüber hinaus in ganz Deutschland anbieten.

IT-Security muss als kontinuierlicher Prozess verstanden werden


Die Security-Subscriptions finden die Schwachstellen ganz automatisch, bewerten diese und erstatten ausführlich schriftlich Bericht mit Nennung von Bedrohungen, Auswirkung und Lösungsvorschlägen. Selbst ausführliche Reports hat der Kunde am nächsten Tag in der Hand.

Aber dann beginnt erst die eigentliche Beratungs-Dienstleistung, denn nicht jede Schwachstelle kann mit einem Update oder Patch geschlossen werden. Manchmal laufen wichtige Anwendungen eben nur auf veralteten Betriebssystemen. Dann muss gemeinsam eine andere Maßnahme zur Risikominimierung gefunden und getroffen werden. Dennoch ist es wichtig, dass diese Schwachstelle erkannt wurde und künftig speziell überwacht wird. Schwachstellen-Management ist eben keine rein technische Aufgabe, sondern muss als kontinuierlicher Prozess verstanden werden. Erst die Einbindung in Organisationsprozesse bringt die gewünschte Wirkung.

Zusätzlich bietet yourIT als Dienstleistung an, die Verzahnung des Schwachstellen Managements (Vulnerability Management) mit den IT-Security-Prozessen des Unternehmens voran zu treiben. Häufig starten yourIT bei den Kunden mit einem der Beratungspakete Basis-Check ISO27001 oder einem Sicherheitsaudit IT-Infrastruktur bzw. Webapplikationen.

Proaktives Schwachstellen-Management erhöht das Sicherheitsniveau signifikant


Wenn Sicherheitslücken frühzeitig erkannt und behoben werden, ist das Unternehmen weniger interessant für potentielle Angreifer. Deren Scans zeigen weniger erfolgversprechende Schwachstellen an - signifikant weniger als bei anderen potentiellen Opfer-Unternehmen. Nachdem erst etwa 30% der Unternehmen in Deutschland proaktives und professionelles Schwachstellen-Management betreiben, verhält es sich im Mittelstand wie bei dem bekannten Witz, bei dem zwei Männer durch die Wüste laufen und plötzlich einem Löwen gegenüberstehen. Der eine Mann fasst in seinen Rucksack, holt ein Paar Turnschuhe heraus und beginnt, diese anzuziehen. Der andere Mann fragt ihn: "Glaubst Du wirklich, dass Du mit Turnschuhen schneller laufen kannst als der Löwe?" Darauf der andere: "Ich muss ja nur schneller laufen als Du..."

Auch wenn Sie diese nicht sehen: Die Löwen sind bereits da - als Cyber-Kriminelle, die es auf Ihr Unternehmen abgesehen haben. Fragen Sie Ihre IT-Verantwortlichen: Jeden Tag laufen fremde Schwachstellen-Scans auf Ihr Unternehmen! Wann ziehen Sie Ihrem Unternehmen die Turnschuhe an? Zögern Sie nicht länger und beginnen Sie jetzt - mit Schwachstellen-Managemt von yourIT. Wir machen Sie für bezahlbares Geld zumindest schneller (heißt: unauffälliger und damit uninteressanter) als die übrigen 70% Mittelständler ohne proaktives Schwachstellen-Management. Das sollte reichen!

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 

Das könnte Sie auch interessieren:


Dienstag, 21. Oktober 2014

10 Schritte zur Sicherheit - Das hilft Ihrem Unternehmen

Kein Unternehmen kommt heute mehr ohne Computer, Internet und Firmenwebseite aus, wenn es den Anschluss nicht verpassen möchte. Gleichzeitig rüsten auch die Datendiebe auf und interessieren sich nicht nur für die Großen der Branchen, sondern auch für den kleinen Mittelständler von nebenan. Aus diesem Grund ist es besonders wichtig, dass Ihr Unternehmen sicher ist. Besonders in kleineren und mittleren Unternehmen wird die Gefahr von Cyberattacken leicht unterschätzt. Dabei sind diese von besonders häufig betroffen, weil ihr Schutz oft geringer ist. Früher reichte es meistens, ein Antivirenprogramm einfach zu installieren, wohingegen heutzutage die Kriminellen im Internet immer raffinierter und geschickter vorgehen. 

Welche Bedrohungen gibt es?

Schäden durch Insider

Eine große Schwachstelle, durch die Schäden entstehen können, sind USB-Speicher. Häufig verwenden Angestellte USB-Sticks ohne Prüfung auf Firmenhardware. Inzwischen gibt es Geräte, die sich als Speicher tarnen und sich hervorragend Firmenspionage betreiben oder eine Schadsoftware starten lässt.

Lösung: Sämtliche USB-Anschlüsse lassen sich im Netzwerk sperren und können nur durch den Administrator einzeln freigegeben werden. Damit Mitarbeiter diese Sperren nicht umgehen können, bleibt dem Unternehmen eigentlich nur, Krypto-USB-Sticks für die Mitarbeiter zu finanzieren und nur diese im Firmennetz zu erlauben.

Schäden durch das Internet

Industriespione und Hacker sammeln systematisch Daten. Werden diese per Internet übertragen, lassen sie sich relativ einfach auslesen. Lagern die Daten irgendwo auf Speichern, können diese das Ziel von Hackerangriffen werden. Ob beim Online-Banking, Phishing oder Spam: Nicht immer sind die Angriffe leicht als solche zu enttarnen. Trotzdem gehen viele Firmen recht sorglos mit Passwörtern um, wählen nur einfache aus und verwenden diese mehrfach. Datendiebe recherchieren diese gezielt in sozialen Netzwerken und probieren den Namen des Nutzers mit Passwort auf allen Systemen aus. Ebenso sind ungesicherte Firmennetzwerke ein Einfallstor für Kriminelle. Ein kabelvernetztes Netzwerk ist sicherer, als ein Funknetzwerk. Dazu Portsperren für die LAN-Anschlüsse und eine gute Firewall.
Lösung: Ein sicheres Passwort hat mindestens 12 Zeichen, die möglichst scheinbar sinnlos aufeinander folgen und mindestens einen Großbuchstaben, ein Sonderzeichen und eine Zahl enthalten. Mit einem Satz, der sich geschickt abkürzen lässt, bleibt ein solches Passwort besser im Gedächtnis.

Spionage durch die Konkurrenz

Ob Kundendaten oder Geschäftsinterna: Die Konkurrenz kann damit das Meiste anfangen. Besonders leicht lassen sich die Daten stehlen, wenn sie auf mobilen Geräten leicht zugänglich sind.

Lösung: Hier ist auf der sicheren Seite, wer den Teil der Festplatte verschlüsselt, auf dem die sensiblen Daten liegen. Dafür gibt es vorinstallierte Programme für Unternehmen. Macht eine zusätzliche Software die Informationen gezielt unleserlich, sind diese noch sicherer.

In 10 Schritte zum sicheren Unternehmen:

  1. Schwachstellen regelmäßig scannen und Patches automatisch erneuern
  2. Richtlinien definieren – für mobile Mitarbeiter und den Umgang mit sozialen Medien
  3. Benutzung mehrstufiger Sicherheitslösungen (z. B. Zwei-Faktor-Authentifizierung)
  4. Sichern Sie auch die Daten, die sich außerhalb des Unternehmens befinden
  5. Halten Sie Ihre IT auf aktuellen Stand: Ältere Systeme sind gegen Angriffe schlechter Gewappnet
  6. Überwachen Sie Sicherheitsmeldungen
  7. Gespeicherte Datenmengen reduzieren – gemäß den in Ihrer Branche üblichen Richtlinien
  8. Stellen Sie sicher, dass auch Drittanbieter die nötige Sicherheit bieten
  9. Arbeiten Sie nur mit Partnern zusammen, denen Sie vertrauen
  10. Ändern Sie regelmäßig Ihre Kennwörter nach den oben genannten Merkmalen
Wenn Sie nicht nur im Verdachtsfall fragen, sondern bereits vorher Ihre Hard- und Software von uns checken lassen, können Sie unbesorgt online unterwegs sein.Wir sorgen für die nötige Sicherheit.


Kontaktieren Sie uns!

Ich freue mich auf Ihre Projektanfragen.
Ihr Ralf Ströbele
Ralf Ströbele

Mittwoch, 30. Juli 2014

Applikationssicherheit Die größten Schwachstellen in Web-Anwendungen

Technischer Fortschritt, Unmögliches möglich machen und immer mehr Komfort für Internet-User, sowie erweiterte Marketing-Strategien für Unternehmen, lassen immer mehr Web-Anwendungen ins Leben rufen. Doch werden Web-Anwendungen oftmals von Schwachstellen begleitet. Nur wer weiß, wo die Schwachstellen versteckt sind, kann agieren und sich zurücklehnen.



Projekte, die Schwachstellen aufdecken


Zu den Schwachstellen von Web-Anwendungen äußerte sich nun das Community Projekt "Open Web Applikation Security Projekt", kurz OWASP. Sie überprüfen im Rahmen von Teilprojekten regelmäßig Web-Anwendungen auf Schwachstellen. Damit sollen Entwickler, Web-Designer und Unternehmer die Möglichkeit gegeben werden, auf diese agieren und ausräumen zu können.
Das neuste Projekt stellt die aktuellen Schwachstellen in Web-Anwendungen vor, die nicht ignoriert werden sollten, wenn Sicherheitslücken geschlossen werden möchten.

Cross Site Scripting (XSS) - Injection Flaws - Malicious File Execution


Cross Site Scripting (XSS) führt die Liste der Sicherheitslücken in Web-Anwendungen an und bezieht sich auf fast alle Web-Anwendungen. Hier fehlt die Überprüfung von Zeichencodierungen, die für Sicherheit bei der Datenrücksendung an den Browser sorgen sollten. Dies erleichtert einen Angriff unter anderem ein Javascript-Code im Browser auszuführen, um so auf alle Website-Daten zugreifen zu können.
Ob Webscript Injection, OS Command Injection oder SQL-Injection, auch hier führen Injection-Fehler zu Sicherheitsrisiken. Insbesondere SQL-Injection stellt ein weitverbreitetes Risiko dar, da sich hier der Angreifer unter bestimmten Voraussetzungen mit der Übermittlung eines gültigen SQL-Code Zugang auf die Datenbank verschaffen, Systemkommandos ausführen und Daten einsehen, manipulieren oder sogar löschen kann.
Mit dem Malicious File Execution können eingehende Daten, die ein erhöhtes Sicherheitsrisiko bedeuten,  ohne Gültigkeits-prüfungen auf dem Web-Server gespeichert werden, indem sich schädliche Dateien darunter befinden, Codes auf dem Server integriert werden, die dann zur Ausführung verschiedenster Befehle genutzt werden können.

Insecure Direct Object Reference - Cross Site Request Forgery (CSRF) - Information Leakage and Improper Error Handling


Das Risiko bei Insecure Direct Object Reference besteht in einer Manipulationsmöglichkeit, indem auf Dateien und Informationen auf dem Webserver zugegriffen werden kann. Bei dem Cross Site Request Forgery (CSRF) kann der User einer Web-Anwendung zum Opfer werden, wenn er sich beispielsweise nicht ordnungsgemäß abgemeldet hat. Durch das Surfen auf einer präparierten Website schafft er die Möglichkeit, schädlichen Codes zu begegnen, die sich direkt in die geöffnete Web-Applikation setzen, um so unbefugt Funktionen zu aktivieren, wie beispielsweise Banküberweisungen. Hierbei handelt es sich um eine Schwachstelle, die rapide an Interessenten gewinnt. Über Information Leakage and Improper Error Handling können Informationen über Web-Anwendungen unautorisiert eingesehen und als Sicherheitslücken zum Vorteil von Angreifern genutzt werden.

Sicherheitsrisiken in der Kommunikation


Broken Authentication und Session-Management, Insecure Cryptographic Storage und Insecure Communications gehören zu den Schwachstellen von Web-Anwendungen, wenn es zum Beispiel um die sichere Datenübertragung durch Verschlüsselung geht. Zugangsdaten wie Passwörter oder Kreditkartennummern können durch die Sicherheitslücken schnell ausspioniert und Sitzungen übernommen werden. Auch das Fehlen von kryptografischen oder unsicheren Funktionen sorgen für ein Sicherheitsrisiko.

Schwachstellen jetzt überprüfen und Web-Anwendungen sichern


Damit sich Entwickler, Web-Designer, Programmierer und auch der User von Web-Anwendungen auf der sicheren Seite befinden und sich ohne Sorgen im Internet bewegen können, sollte schon beim Entwickeln von Web-Anwendungen auf Sicherheitslücken geachtet und dementsprechend gehandelt werden. Das Projekt "Top Ten" von OWASP bietet Warnungen, die man ernst nehmen sollte.

Jetzt professionell beraten lassen - und ESF-Fördermittel nutzen


Während des yourIT-Sicherheitsaudits "Webapplikationen" versetzen wir uns auch in die Lage eines Angreifers und prüfen Ihre ins Internet exponierten Systeme auf Schwachstellen. Dabei setzen wir auf modernste und automatisierte Schwachstellen-Scanner mit ausführlichen genormten Berichten statt manueller Suche mit subjektiv beeinflussten Ergebnissen. Ihr Vorteil: Das Sicherheitsaudit ist jederzeit wiederholbar und sie können dadurch Ihren kontinuierlichen Verbesserungsprozess (KVP) aufzeigen. Und es bleibt einfach viel mehr Zeit für die Beratung übrig - schließlich führt nur das zu einer tatsächlichen Optimierung.

yourIT - Beratungspaket Sicherheitsaudit "Webapplikationen" - sponsored by ESF

Geringe Kosten durch staatliche Förderung


Wir bieten Ihnen die Durchführung der Phasen A Bedarfsanalyse + B Konzeptentwicklung zum Festpreis von 990 EUR netto an. Darin enthalten sind die oben erwähnten Leistungen für bis zu 2 externe IP-Adressen. Jede weitere externe IP-Adressen kostet zusätzlich nur 350 EUR.

Abzüglich 50% ESF-Fördermittel bleibt ein Eigenanteil von nur 495 EUR.

Weitere Infos zu unseren ESF-geförderten Beratungspaketen haben wir Ihnen hier zusammengestellt:
www.mitgroup.eu.


Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

Ralf Ströbele