Sicherheitslücke bei Vodafone mit großem Schadenspotenzial

hacking keyboard

c’t deckt auf: Bei Vodafone klaffte eine kleine Sicherheitslücke mit fataler Wirkung: Angreifer konnten Kundendaten einsehen, Rechnungen in die Höhe treiben und mehr.

heise online logoSchon mit dem ersten Satz hatte Daniel Werner unsere volle Aufmerksamkeit: „In der Onlinepräsenz von Vodafone habe ich Anfang des Monats eine Sicherheitslücke mit enormem Gefahrenpotenzial gefunden“, schrieb der Quality Assurance Engineer an die Redaktion. Man könne beliebigen JavaScript-Code in die Vodafone-Website injizieren, es sei sogar möglich, einen Keylogger auf der Site zu platzieren, der die Login-Daten der Kunden ausspäht. Das klingt dramatisch, dennoch war es Werner offenbar nicht gelungen, sich Gehör bei dem Provider zu verschaffen: „Ich habe diesen Umstand Vodafone umgehend per Mail mitgeteilt, jedoch haben diese bis jetzt keinerlei Reaktion gezeigt.“ 

external link https://www.heise.de/

Das smarte Krankenhaus absichern

Die Bundesregierung will die Modernisierung von Krankenhäusern mit 3 Milliarden Euro fördern. Voraussetzung für die Unterstützung soll allerdings sein, dass die Einrichtungen Geld in die IT-Sicherheit investieren.

security insiderUnd das aus gutem Grund: Die Digitalisierung bietet der Gesundheitsbranche zwar enorme Chancen. Doch immer öfter kommt es zu einer Störung der digitalen Abläufe. Falk Herrmann, CEO Rohde & Schwarz Cybersecurity, zeigt die wichtigsten Grundsätze für die IT-Sicherheit von Krankenhäusern. Browserbasierte Anwendungen erleichtern die Zusammenarbeit in der Gesundheitsbranche erheblich. Medizinische Unterlagen und Berichte lassen sich über Portale und Apps einsehen, und zwar sowohl vom PC, Tablet, Smartphone oder anderen vernetzten Geräten. Die digitale Patientenakte ist der nächste Schritt auf diesem Weg. Das Problem: Webanwendungen sind für Hacker leicht zu knacken. 

external link https://www.security-insider.de/

Neuer Trend: Phishing per SMS

sms

Das Smartphone ist zum ständigen Begleiter unserer modernen Gesellschaft geworden. Deshalb gilt es, sich nicht nur vor Betrug und Hacking am Rechner vorzusehen, sondern auch Mobilgeräte wie das Handy einzubeziehen. Denn leider zeigt sich Smishing – das Phishing per SMS – als steigender Trend.

security insiderWas es mit Smishing auf sich hat, erklärt Patrycja Tulinska, Geschäftsführerin der PSW-Group: „Smishing ist eine zusammengesetzte Wortkreation, bestehend aus SMS und Phishing. Phishen Cyberkriminelle, so versenden sie betrügerische E-Mails und verführen die empfangenden Opfer dazu, Links anzuklicken oder Anhänge zu öffnen. Über manipulierte Websites gelingt es Cyberkriminellen, beispielsweise Login-Daten, Nachrichteninhalte oder andere Informationen zu stehlen. Beim Smishing werden anstelle von E-Mails einfach Textnachrichten verwendet.“

external link https://www.security-insider.de/

Machen Sie Ihre Unternehmens-IT sicherer

unternehmenssicherheit

Der Security Consulter ist ein Self Check Tool von heise Security und techconsult. Damit können Sie einfach, kostenlos und völlig anonym Sicherheitslücken und Gefährdungspotenziale in Ihrem Unternehmen aufzeigen.

heise security consulterAbgefragt werden alle relevanten Sicherheitsaspekte eines Unternehmens. Das Self Check Tool ist umfassend aktualisiert worden und basiert auf der aktuellen Security Bilanz Studie. Wir wissen: Sicherheit ist ein besonders sensibles Thema. Wir halten uns deshalb nicht nur an alle rechtlichen Datenschutz- bestimmungen, sondern wir setzen alle technisch sinnvollen Maßnahmen zum Schutz Ihrer Personen- und Befragungsdaten um. 

external link https://www.heise-consulter.de/

Mobile Geräte als Gefahren­quelle im KRITIS-Sektor

analyse

Der Einsatz mobiler IT- und Kommunikationstechnologien geht häufig auf Kosten der Sicherheit. Die Betreiber kritischer Infrastrukturen müssen deshalb beim Schutz von Smartphone & Co. neue Wege gehen – längst sind sie ins Fadenkreuz von Cyber-Kriminellen geraten.

security insiderBetreiber von kritischen Infrastrukturen (KRITIS) sind genauso lukrative Angriffsziele wie andere Unternehmen auch. Da sie aber bei der Sicherung der Grundbedürfnisse der Bürger, zum Beispiel mit Strom, Wasser oder Gesundheitsleistungen, eine wichtige Rolle spielen, können Ausfälle oder Beeinträchtigungen zu nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen. Die Gefährdungslage für KRITIS-Unternehmen ist inzwischen so hoch, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig und eindringlich vor Hackern und ihren immer fortschrittlicheren Angriffsmethoden warnt.

external link https://www.security-insider.de/

Cyber-Angriff auf Uniklinik Düsseldorf

clinic hospital computer

#Shitrix schlug zu. Die Erpresser kamen über eine Sicherheitslücke im VPN-Gateway – wahrscheinlich schon vor Monaten.

heise online logoDer Cyber-Angriff auf die Universitätsklinik Düsseldorf erfolgte wohl über einen Citrix-VPN-Server, über den typischerweise externe Mitarbeiter Zugriff auf das Firmennetz bekommen sollen. Eine im Dezember bekannt gewordene Sicherheitslücke erlaubte es auch Kriminellen, sich auf diesem Weg Zugriff zu verschaffen. Das lässt sich unter anderem einer Presseerklärung des in die Aufräumarbeiten einbezogenen Bundesamts für Sicherheit in der Informationstechnik (BSI) entnehmen.

external link https://www.heise.de/

Die zehn größten AWS-Security-Fehler

cloud security

Mit einem Anteil von mehr als 30 Prozent am globalen Cloud-Markt und einer Vielzahl von anpassbaren Funktionen ist Amazon Web Services (AWS) für viele Unternehmen zum bevorzugten Anbieter von Cloud-Diensten geworden.

security insiderWährend AWS zwar die Sicherheit der Cloud verwaltet, liegt die Verantwortung für die Sicherheit in der Cloud trotzdem beim Kunden. Sicherheitsteams müssen ihren Teil des Modells der geteilten Verantwortung verstehen, bei dem Kunden die Kontrolle darüber behalten, welche Sicherheit sie zum Schutz ihrer eigenen Inhalte, Plattform, Anwendungen, Systeme und Netzwerke implementieren – genauso wie bei einem eigenen Rechenzentrum. Je nach Erfahrung mit Cloud-Diensten und Phase der Nutzung der öffentlichen Cloud gibt es bestimmte Punkte, auf die man sein Augenmerk richten sollte. Werfen wir einen Blick auf die zehn größten Fehler in Bezug auf die Security, um zu erkennen, was Unternehmen tun können, um die Sicherheit zu gewährleisten.

external link https://www.security-insider.de/

Fünf Sicherheitslücken in Chrome geschlossen

chrome browser

Google hat die abgesicherte Version 85.0.4183.102 des Webbrowsers Chrome veröffentlicht.

heise security logoWer mit Googles Chrome im Internet surft, sollte den Browser auf den aktuellen Stand bringen. In der aktuellen Ausgaben haben die Entwickler insgesamt fünf Schwachstellen geschlossen. Das von den Lücken ausgehende Risiko ist als „hoch“ eingestuft.

Microsoft schließt 27 Office-Lücken

Microsoft Security

Beim Update-Dienstag im September hat Microsoft 129 Sicherheitslücken geschlossen. Darunter sind 23 Schwachstellen, die Microsoft als kritisch einstuft.

pc weltMit 129 gestopften Lücken im September schließt Microsoft zum siebten Mal in Folge und zum achten Mal in diesem Jahr mehr als 100 Sicherheitslücken in einem Monat. Die Redmonder stellen damit ihren Patch-Rekord aus dem Juni ein. Mit bislang 991 in diesem Jahr gestopften Lücken ist die 1000er-Marke nicht mehr weit. Die 23 als kritisch ausgewiesenen Sicherheitslücken betreffen Windows, den Internet Explorer, Edge (EdgeHTML), Office, Visual Studio, Exchange sowie Dynamics 365. Die übrigen Lücken stuft Microsoft bis auf eine als hohes Risiko ein. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide

external link https://www.pcwelt.de/

Mehr als ein Drittel der Windows 10-Nutzer muss umsteigen

windows10

Microsoft veröffentlicht immer wieder neue Releases von Windows 10. Doch die werden nicht beliebig lange mit Updates versorgt. Zwei beliebte Windows 10-Versionen fallen noch 2020 aus dem Support. Nutzer sollten bis dahin auf eine neuere Version umgestiegen sein.

chip magazin logoDie aktuelle Windows 10-Version ist das Mai Update; welche neuen Funktionen das Update bringt, sehen Sie im Video. Mit Windows 10 hat Microsoft ein Betriebssystem am Start, das permanent weiterentwickelt wird. Nutzer müssen sich dabei recht häufig mit Updates rumschlagen, zweimal jährlich gibt es eine neue Version, ein sogenanntes Funktionsupdate. Wer nicht immer auf dem neuesten Stand ist, muss mit einem Auge auf das Ende des Service-Zeitraums schielen, denn Microsoft pflegt die einzelnen Windows 10-Versionen nicht unbegrenzt lang. Wenn der Support endet, gibt es keinerlei Sicherheits-Updates mehr. Das macht den PC auf Dauer angreifbar und unsicher.

external link https://www.chip.de/