Sicherheitsanforderungen für Gesundheits-Apps

Gesundheits App

Mobile Gesundheitsanwendungen verarbeiten sensible und besonders schützenswerte persönliche Daten. 

security insider newsDas Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu eine Technische Richtlinie (TR) entwickelt, die bei Anwendung den Zugriff Unbefugter auf diese Daten erschweren kann. Die vom BSI entwickelte Technische Richtlinie „Sicherheits­anforderungen an digitale Gesundheitsanwendungen“ (BSI TR-03161) ist unabhängig von und bereits im Vorfeld der aktuellen Corona-Pandemie für Gesundheits-Apps entwickelt worden. Sie kann grundsätzlich für alle mobilen Anwendungen, die sensible Daten verarbeiten und speichern, herangezogen werden. Grundsätzlich fordert das BSI, Sicherheitsanforderungen von Anfang an bei der Software-Entwicklung mitzudenken.

external link https://www.security-insider.de/

DHL-Kunden im Visier von Cybergangstern

dhl cargo

Sie warten auf ein Paket von DHL? Dann sind Sie ein potenzielles Opfer, denn Cybergangster greifen aktuell DHL-Kunden an.

pc weltDas Landeskriminalamt Niedersachsen warnt vor Spammails, die sich als Lieferschein von DHL tarnen. Die Mails geben vor von DHL zu stammen. In der Mail steht beispielsweise: „Sehr geehrter Kunde, Ihr Paket ist kürzlich in unserem Zentrum angekommen, aber wir können die Lieferadresse nicht finden. Hier finden Sie das registrierte Kontaktformular, den Lieferschein und die Zahlungsdetails der Fluggesellschaft. Geben Sie die uns gegebene Kontaktnummer ein und senden Sie sie uns. Wir freuen uns von Ihnen zu hören.“

external link https://www.pcwelt.de/

Zoom 5.0 verspricht mehr Sicherheit

zoom video conferencing

Die Videokonferenzlösung Zoom 5.0 soll Daten nicht nur sicherer verschlüsseln und Hosts erweiterte Steuerungsoptionen bereitstellen. Zudem will der Anbieter sein Produkt bei etlichen weiteren Details auf Sicherheit optimiert haben.

security insider newsIm März waren mehrere Angriffsflächen der Videokonferenzlösung Zoom bekannt geworden. Daraufhin verordnete sich deren Anbieter eine 90-Tage-Fokusinitiative. Während dieser sollten sich alle Entwicklungskapazitäten ausschließlich auf mehr Vertrauen, Sicherheit und Privatsphäre konzentrieren. Die jetzt veröffentlichte Version Zoom 5.0 sei ein wichtiger Meilenstein in diesem Kontext. Dem entsprechend wirbt der Anbieter mit aktualisierten Kontrollfunktionen sowie aktualisierter Verschlüsselung.

external link https://www.security-insider.de/

5 Fehler die es Ransomware leicht machen

Ransomware

Immer wieder zu Ransomware-Sicherheits­maßnahmen ermahnt zu werden ermüdet. Und doch sind es meist einfache Fehler, die den Erpressern Einlass ins Netzwerk gewähren. Sophos sagt, welche das sind und wie man sich schützt. Ok, schon wieder Tipps – aber sie sind wichtig!

security insider newsAls Systemadministrator überschaut man heute ein weitaus verzweigteres Netzwerk als noch vor der Corona-Pandemie mit deutlich weniger Home-Office-Plätzen. Auch wenn sich die Kolleg*innen jetzt mit ihren PCs über die private Internetanbindung mit dem Unternehmen verbinden, bleibt es ein Teil des Unternehmensnetzwerks und damit ein attraktives Ziel für Cyberkriminelle. Eine der gefährlichsten und dramatischsten Angriffsarten auf das Netzwerk ist die Ransomware-Attacke. „Auch wenn Unternehmen häufig überzeugt sind, wirklich auf alle grundlegenden Sicherheitsmaßnahmen geachtet zu haben und die ständige Ermahnung zu diesen mittlerweile einen Flucht- oder Tiefschlaf-Reflex auslösen, bleibt es eine Tatsache, dass Ransomware-Angriffe meist dann erfolgreich sind, wenn die Opfer grundlegende Fehler begehen,“ weiß Sophos-Sicherheitsexperte Michael Veit. „Gegen diese `Ermüdungserscheinungen´ können ganz profane Analogien oder Eselsbrücken sehr hilfreich sein.“

external link https://www.security-insider.de/

Vorsicht Phishing: Die Corona-Krise als Köder

BSI Gebäude

Die Corona-Krise ist für Betrüger und Kriminelle eine Gelegenheit, mit der Verunsicherung und den Hoffnungen vieler Menschen Geld zu verdienen.

bsi logoSo registriert die Verbraucherzentrale NRW beispielsweise gefälschte Sparkassen-Mails, die täuschend echt aussehen. Auch perfide Erpressungsversuche werden verzeichnet, bei denen Betroffenen angedroht wird, ihre ganze Familie mit dem Coronavirus zu infizieren. Die Täter zielen dabei entweder auf die unmittelbare Zahlung von Lösegeldern oder den Diebstahl sensibler Informationen ab. Es ist weiterhin damit zu rechnen, dass Kriminelle E-Mails versenden, in denen Heilmittel versprochen werden oder in denen Sie vermeintlich Unterstützung bei der Beantragung von Finanzhilfen der Bundesregierung anbieten. Zusätzlich könnten Sie gefälschte E-Mails erreichen, deren Inhalte wir derzeit nicht absehen können.

external link https://www.bsi-fuer-buerger.de/

Microsoft beseitigt 111 Schwachstellen beim Patch-Day

windows update

Beim Update-Dienstag im Mai hat Microsoft insgesamt 111 Sicherheitslücken geschlossen. Darunter sind 16 Schwachstellen, die Microsoft als kritisch einstuft.

pc weltMit 111 gestopften Lücken im Mai schließt Microsoft zum dritten Mal in Folge mehr als 100 Sicherheitslücken – im Februar waren es 99. Die 16 als kritisch ausgewiesenen Sicherheitslücken betreffen Windows, den Internet Explorer, Edge (Edge-HTML), Office und Visual Studio Code. Die die übrigen 95 Lücken stuft Microsoft als hohes Risiko ein. Keine der Schwachstellen wird bereits ausgenutzt oder war schon vorab öffentlich bekannt. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI das Thema Patch Day auf.

external linkhttps://www.pcwelt.de/

Security-Update: Chrome-Fixes jetzt auch für Edge verfügbar

browser updates

Zwei Tage nach Chrome hat auch der neue Edge die Sicherheitsfixes des Chromium-Security-Teams erhalten. Anwender sollten auf Version 81.0.416.72 updaten.

heise security logoMicrosoft hat Version 81.0.416.72 des neuen Edge-Browsers mit Chromium-Unterbau freigegeben. Das Sicherheitsupdate behebt insgesamt drei Schwachstellen, von denen zweien explizit die Risikoeinstufung „High“ zugeordnet ist.

Weitere Informationen zu den Sicherheitsfixes liefert Googles Blogeintrag zur Chrome-Version 81.0.4044.138, die vor ein paar Tagen dieselben Updates erhielt. Verfügbare Updates führt Microsoft regelmäßig in einem eigens dafür angelegten Security Advisory auf.

external link https://www.heise.de/

Corona-Warn-App verletzt Privatsphäre massiv

social app

Experten u.a. von Kaspersky bezweifeln, dass die Privatsphäre der Nutzer in der zentralen Cloud der Corona-Warn-App gewahrt bleiben kann. Das deutsche Gesundheitsministerium eiert entsprechend herum.

security insider newsKommt sie oder kommt sie nicht, in den tagesaktuellen Medien wird das Gezerre und Geziere um die Corona-Warn-App mit beinahe stündlichen Meldungen verfolgt. Das Zögern des deutschen Gesundheitsministers Jens Spahn hat aber gute Gründe: Sehr viele Experten, darunter die von Kaspersky, bezweifeln, dass die Daten in der dahinterliegenden Cloud nicht missbraucht werden (können). „Diese Technologie sollte implementiert werden, wenn sie Leben retten kann. Die Verwaltung derart großer Datenmengen muss jedoch korrekt und ordnungsgemäß durchgeführt und die Daten müssen adäquat gesichert und verschlüsselt werden, um die Sicherheit der erhaltenen Informationen zu gewährleisten“, so Yury Namestnikov, Head of Global Research & Analysis Team in Russland bei Kaspersky, über die Auswirkungen solcher Apps auf die Privatsphäre. „Wenn dies korrekt und transparent erfolgt, können Behörden überprüfen, welche Organisationen diese Daten gesammelt und verwendet haben.“ Wer das sein könnte, und wie das durchgeführt werden soll – offen.

external link https://www.security-insider.de/

Hacker unternahmen Großangriff auf 900.000 WordPress-Seiten

wordpress

Eine groß angelegte Hacking-Kampagne verursachte einen Anstieg in einer Angriffsstatistik um das 30-fache des normalen Volumens.

heise security logoIn den vergangenen sieben Tagen hat eine Hackergruppe versucht, fast eine Million WordPress-Seiten zu entführen. Das schildert das Sicherheitsunternehmen Wordfence. Das Threat Intelligence Team von Wordfence hatte einen plötzlichen Anstieg von Angriffen auf Cross-Site-Scripting(XSS)-Schwachstellen registriert, der am 28. April begann und innerhalb weniger Tage auf das 30-fache des üblichen Volumens an Angriffsdaten anwuchs. Hinter den meisten dieser Angriffe verbarg sich offenbar ein einziger Bedrohungsakteur, schreibt Wordfence. Diese Hackergruppe startete ihre Angriffe von 24.000 IP-Adressen aus und versuchte, in mehr als 900.000 WordPress-Seiten einzubrechen. Den Höhepunkt erreichte die Kampagne am 3. Mai, als die Gruppe 20 Millionen Versuche unternahm, bei mehr als einer halben Million einzelner Sites Schwachstellen auszunutzen.

external link https://www.heise.de/

UMTS-Abschaltung: Vodafone nennt Termin

umts antennen

Vodafone hat bekannt gegeben, wann es sein UMTS/3G-Netz abschaltet. So sieht der Fahrplan aus und das müssen Kunden wissen. Update: Diese drei Möglichkeiten haben Besitzer einer 3G-Karte von Vodafone nach der Abschaltung des UMTS-Netzes.

pc welt Vodafone konzentriert sich genauso wie Deutsche Telekom und Telefónica Deutschland/O2 auf den weiteren Ausbau seines LTE-Netzes sowie auf den Aufbau des im Sommer 2019 gestarteten 5G-Netzes. Dafür fällt im Gegenzug das UMTS/3G-Netz weg. Bisher hatte Vodafone hierzu aber keine genauen Termine genannt, Group-Technikchef Johan Wibergh sprach 2017 nur davon, dass Vodafone „ungefähr 2020 oder 2021 mit der Abschaltung von 3G beginnen werde“. Der Düsseldorfer Telekommunikationskonzern hat jetzt aber seinen Fahrplan zur 3G-Abschaltung vorgestellt.

external link https://www.pcwelt.de/