Ein Blick zurück: das bewegte uns 2017
Rasant neigt sich das Jahr 2017 dem Ende zu – es wird Zeit, einmal zurückzuschauen. Wir haben auch in diesem Jahr diverse Tests für Sie vorgenommen, uns intensiv mit der bevorstehenden Datenschutz-Grundverordnung befasst und weitere sicherheitsrelevante Informationen für Sie bereitgestellt. Wir blicken zurück:
Unsere Tests zu E-Mail-Anbieter, Apps & Virenscanner
Das Jahr 2017 begann mit unserem großen E-Mail-Anbieter-Test. Mehrere Wochen lang haben wir uns Freemail-Anbieter angeschaut, aber auch jene Anbieter, die mit Sicherheit werben. Unterschieden haben wir in Usability- und Sicherheits-Sieger. In unserer Zusammenfassung können Sie sich die Details ansehen.
Im Mai haben wir unsere Frühjahrsputz-Serie auf den neusten Stand gebracht und einmal mehr gefragt: Ist Antivirus wirklich tot? Angeschaut haben wir uns Desktop-, Mobil- und Server-Systeme. Diese haben wir gereinigt und auf die Bordmittel bezüglich der Sicherheit überprüft.
Der Juli stand im Zeichen der Virenscanner. Wir haben verschiedene Produkte für Sie getestet und uns Punkte wie die Kosten, den Selbstschutz, die Features, den Support oder die Usability angesehen. Die Zusammenfassung der Tests und Links auf jeden Einzeltest finden Sie hier.
Unsere letzte Testrunde startete im August. Wir haben Banking-Apps getestet und allgemeine Informationen, Rechtstexte, die App selbst, die Sicherheit und die Usability untersucht. Über Ihre rege Beteiligung an dieser Testserie haben wir uns sehr gefreut!
Auch im kommenden Jahr möchten wir uns wieder auf Testrunden begeben und die Sicherheit verschiedener Anwendungen oder Software für Sie testen. Haben Sie spezielle Wünsche, können Sie uns diese gerne mitteilen!
Ransomware – auch in 2017 eine große Gefahr
Ransomware hatte seinen absoluten Höhepunkt im Jahre 2016, jedoch auch in 2017 blieben wir nicht verschont. Schon Anfang Januar ging es damit los, dass Ransomware über Makroviren verbreitet wurde. Prominentestes Beispiel ist wohl der Erpressungstrojaner Locky, der seine Opfersysteme über ein verseuchtes Makro in Word infiltrierte.
WannaCry war einer der gefürchtetsten Erpressungstrojaner in 2017. Weltweit wütete die Ransomware. Aus rund 150 Ländern kamen Meldungen über WannaCry; über 200.000 Rechner hat es erwischt. Einmal mehr zeigte WannaCry: Ein ungenügendes IT-Sicherheitsniveau kann zum Super-GAU führen. Denn Angriffsziele waren Windows-Rechner mit veralteten Versionen. Weitere Details lesen Sie in unserem Beitrag über WannaCry.
Verschlüsselung: hier hat sich einiges getan
Im April wurde das Ende der 3-Jahres-SSL-Zertifikate eingeläutet. TLS 1.3 ist nach wie vor ein großes Thema: zum 99. IETF-Meeting in Prag wurde leidenschaftlich über die neue Protokollversion gestritten. Wie lässt sich verhindern, dass Perfect Forward Secrecy ausgehebelt wird? TLS 1.3 ist seit Monaten praktisch fertig, jedoch bislang nicht final verabschiedet. Im November stellte man fest, dass mit TLS 1.3 ungewöhnlich viele Verbindungsprobleme auftreten.
Eine deutliche Verbesserung der Sicherheit beim Ausstellen von Zertifikaten lässt sich durch CAA erhoffen: Certification Authority Authorization ist ein Verfahren, bei dem der Domaininhaber im DNS festlegt, welche Zertifizierungsstelle für die Domain Zertifikate ausstellen darf. Seit September 2017 soll somit dem Zertifikatemissbrauch ein Riegel vorgeschoben werden.
Im Oktober 2017 haben wir noch einmal darauf hingewiesen, dass SSL-Verschlüsselung für alle Unternehmer Pflicht ist. Bußgelder riskieren Unternehmen, die beispielsweise Formulare auf ihrer Website unverschlüsselt zur Verfügung stellen. Dass SSL-Verschlüsselung der Suchmaschinenoptimierung dienlich ist, ist ein weiteres Argument für die Verschlüsselung.
Häufig haben wir Anfragen zum Thema E-Mail-Verschlüsselung erhalten. Wie steht es um die Anforderungen der Bundesnetzagentur zum Thema E-Mail-Zertifikate? Dieser Frage sind wir im September 2017 nachgegangen.
Phishing-Kampagnen & WLAN-Lücke KRACK
Auch das Thema Phishing begleitete uns in 2017. Im September stellte der Sicherheitsforscher Xidong Zheng eine Methode vor, die Schwachstellen in Unicode-Domains dafür nutzt, legitime Websites zu imitieren. Nur wenig später, im November 2017, ging eine Phishing-Site der Fidor-Bank online. In beiden Fällen wurde zwar verschlüsselt, jedoch hat man auf Extended Validation (EV-)-Zertifikate verzichtet und sich günstigerer Alternativen bedient. Mit EV-Zertifikaten kann so etwas nicht passieren: Cyberkriminelle, die Phishing-Sites aufsetzen, nutzen vorzugsweise kostenfreie SSL-Zertifikate, bei denen die Prüfung äußerst ungenau ausfällt. Würden die Originale auf EV-Zertifikate setzen, könnten Besucher dank der grünen Adressleiste auf Nummer sicher gehen, dort zu landen, wo sie hinsurfen wollten.
Im Oktober wurde eine schwere Sicherheitslücke im Verschlüsselungsprotokoll WPA2 bekannt: Angreifer sind in der Lage, die Verschlüsselung von WLAN-Verbindungen aufzubrechen, den Datenverkehr abhören und sogar manipulieren zu können. Die Sicherheitslücke wurde „KRACK“ getauft. Sicherheitspatches wurden bereits zahlreich verteilt, dennoch ist nach wie vor Vorsicht geboten.
it-sa erstmals mit Gewinnspiel
Wie jedes Jahr waren wir auch diesmal im Oktober auf der it-sa. Die von uns verschenkten Freikarten wurden gerne in Empfang genommen und wir freuten uns über regen Besuch an unserem Stand. Erstmals fand ein Gewinnspiel an unserem Stand statt: um unsere Partnerschaft mit dem Personenzertifizierer ICO zu feiern, haben wir eine realistische ISO 27001 Foundation-Prüfung veranstaltet.
Von dieser neuen Partnerschaft mit ICO profitieren Sie auch noch nach der it-sa! Sie können sich in den Bereichen ISO 27001, ISO 20000, FitSM und SCRUM schulen lassen und mit uns die Karriereleiter hinauf klettern! Alle Informationen finden Sie unter psw-training.de.
EU-Datenschutz-Grundverordnung
Eines unserer größten Themen in 2017 war die anstehende EU-Datenschutz-Grundverordnung, kurz: DSGVO. Zum 25. Mai 2018 gilt die DSGVO für sämtliche Unternehmen innerhalb der EU verpflichtend. Natürlich sind wir auch in 2018 mit diesem Thema für Sie da! In 2017 haben uns die Betroffenenrechte und die Datenschutzerklärung nach DSGVO beschäftigt.
Was Sie bereits jetzt vorbereiten können und worum es in der EU-DSGVO überhaupt geht, haben wir im Beitrag „EU-DSGVO: Gut geplant ist halb geschützt“ für Sie zusammengefasst.
Alles, was Sie über die EU-DSGVO wissen müssen und was Sie heute schon erledigen können, haben wir für Sie unter psw-consulting.de zusammengefasst.
Danke für 2017
Wir möchten die Gelegenheit nutzen, Ihnen „Danke“ zu sagen: herzlichen Dank für Ihre Treue und Ihre rege Teilnahme in 2017! Auch im kommenden Jahr möchten wir Sie informieren und Ihnen helfen, richtige Entscheidungen bezüglich der IT-Sicherheit zu treffen. Haben Sie Wünsche, Themenideen oder möchten Sie Kritik anbringen, freuen wir uns sehr über den Kontakt mit Ihnen!
Schreibe einen Kommentar