PUBLIKATIONEN
Seit Wochen nehmen Hacker das beliebte Open-Source-CMS WordPress, auf dem besonders viele Blogs aufgebaut sind, ins Visier. Nutzer sollten ihre Version sofort per Update auf den neuesten Stand bringen.
Anfang Februar fing der Ärger an – und zwar mit einer eigentlich guten Nachricht: Die Entwickler des beliebten kostenlosen Content Management Systems WordPress hatten ein Update auf Version 4.7.2. bereitgestellt, mit dem eine kritische Sicherheitslücke geschlossen werden sollte.
WeiterlesenBrowser, die noch SSLv2 „sprachen“ sind mit dem Internet Explorer 6 unter Windows XP als letztem Vertreter (hoffentlich) längst ausgestorben. Entsprechend lange schon ist auch dieses Verschlüsselungs-Protokoll technisch tot – zumal seit Jahren bekannt ist, dass es angreifbar und damit alles andere als sicher ist. Dennoch stellten Forscher der FH Münster nun fest, dass etwa 17 Prozent aller HTTPS-Server das steinzeitliche Protokoll noch direkt unterstützen, wie Heise berichtet. Damit bieten diese Server für Angreifer ein Einfallstor, um auch das aktuelle (und an sich sichere) TLS-Verschlüsselungsprotokoll auszuhebeln.
Das ist – um es plakativ zu beschreiben – in etwa so, als hätte man sein Haus mit Sicherheitsschlössern und Fensterriegeln gesichert, um gleichzeitig im Keller jedoch einen Höhleneingang aus der Neandertalerzeit offen stehen zu lassen.
WeiterlesenDass Online-Shops nur über einen Provider gehostet werden sollten, die eine entsprechende Verschlüsselungstechnik (zB. TLS, SSL, HTTPS) unterstützen, ist bekannt. Schließlich gibt der Kunde im Online-Shop hochsensible Kunden – und Paymentdaten an den Shop-Betreiber weiter. Weitestgehend unbekannt ist jedoch, dass der Schutz personenbezogener Daten auch bereits bei Kontaktformularen, Newsletter-Abonnements und sogar schon bei der Kommentarfunktion bspw. in Blogs greift. Auch hier werden persönliche Daten preisgegeben, deren Übertragung verschlüsselt zu erfolgen hat. Shop-Betreiber, welche noch über keine vollumfängliche Absicherung verfügen, werden derzeit von verschiedenen Landesdatenschutzstellen auf diesen Mangel hingewiesen. Noch ist offen, ob sich daraus eine neue Abmahnwelle entwickeln kann. Seitenbetreiber sollten diese Entwicklung jedoch nicht abwarten, sondern aus verschiedensten Gründen, ihre gesamte Website grundsätzlich absichern.
Um die Online-Landschaft in Deutschland sicherer und vertrauensvoller zu gestalten, ist Ende Juli 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (sog. IT-Sicherheitsgesetz) in Kraft getreten. Website-Betreiber und Online-Händler haben dafür zu sorgen, soweit dies technisch möglich und wirtschaftlich zumutbar ist, sicher anerkannte Verschlüsselungsverfahren anzuwenden, um personenbezogene Daten zu schützen. Sollte also auf einer Unternehmensseite ein Formular (z. B. Anmelde-, Kontakt-, Bestellformular) vorhanden sein, sollte sichergestellt sein, dass hierfür ein sicheres Verschlüsselungsverfahren (z.B. TLS, HTTPS, SSL) eingesetzt wird. Denn Kunden nutzen meist Formulare, über die sie sich mitteilen: Von den allgemeinen Kontaktformularen über Info-Anfragen zu bestimmten Artikeln, Versanddauer oder Reklamationen bis hin zu Abos oder Login-Seiten.
Weiterlesen
