IT-Sicherheitsgesetz ist am 25. Juli 2015 in Kraft getreten
[..]Mit Inkrafttreten des IT-Sicherheitsgesetzes müssen Webseiten-Betreiber technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern.
Das BSI stellt oftmals fest, dass auf Webservern veraltete und angreifbare Softwareversionen laufen. Eine grundlegende und wirksame Maßnahme ist daher das regelmäßige und rasche Einspielen von Software-Updates und Sicherheitspatches, die jeder Anbieter eines Telemediendienstes beachten sollte.[..]Quelle: BSI Hervorhebungen durch den Admin
Na, dann werden wir mal sehen, wie genau man es mit der Sicherheit in diesen Punkten nimmt. Ich werde berichten.
Wird die Webanwendung Ziel eines Clickjacking-Angriffs, so werden Inhalte der Webanwendung in einem nicht sichtbaren Frame eingebunden. Besucht ein Benutzer eine Webseite, in der dieser Frame eingebunden ist, so werden Klicks auf sichtbare Inhalte unwissentlich vom unsichtbaren Frame abgefangen. Ist der Benutzer an der Webanwendung angemeldet, so können auf diese Weise zugriffsgeschützte Aktionen in der Webanwendung unbefugt ausgeführt werden. Um dies zu vermeiden, muss die Webanwendung sicherstellen, dass die Inhalte der eigenen Webanwendung nicht in Frames verwendet werden.[..] Lesen Sie weiter beim BSI. Bundesamt für Sicherheit in der Informationstechnik
Wenn jemand auf seinen Servern Kundendaten speichert und diese Kleinigkeit nicht beachtet, geht er fahrlässig mit den ihm anvertrauten Daten um. Denen gehört ganz kräftig in den Arsch getreten.
Man sollte sich überlegen, wenn z.B. die eignen Bankdaten auf einem solch ungeschützten Rechner abgelegt sind, ob man nicht das Löschen der Daten verlangt.
Wohlgemerkt. Es geht um eine Kleinigkeit. Umsetzbar in Sekunden und der Rechner ist ein wenig sicherer.
Bei einem großen Service Anbieter habe ich, wegen unsicheren LOGIN, über den Datenschutzbeauftragten die Löschung der Daten, die nicht zur Rechnungserstellung benötigt werden, löschen lassen. Mein Beispiel für den unsicheren Login hat überzeugt. Nicht für die Rechnungsstellung erforderlich sind u.a. die Bankdaten. OK. Ich renne jetzt jeden Monat mit einer Überweisung zur Bank. Da muss man konsequent sein.
Rödermark intern Wann wird die Verwaltung damit beginnen, ihren EIGENEN Auftrag und von den Stadtverordneten mit Mehrheit beschlossen, ein Sonder- und Gewerbegebiets nördl. der Germania zu ermöglichen, umzusetzen.
Prüfung eines Sonder- und Gewerbegebiets nördl. Germania Der Beschluss erfolgte am 9.02.2021. Irgendein Fortschritt ist für mich nicht zu erkennen.
Hacker greifen Zulassungsbehörden in Hessen an.
[…]In Hessen waren 23 von 25, in Rheinland-Pfalz alle 39 Zulassungsstellen betroffen. Sie blieben geschlossen, wie der Sprecher weiter sagte. Spezialisten in beiden Bundesländern waren den Morgen über damit beschäftigt, die Software wieder betriebsbereit zu bekommen. Mittlerweile sollten die Stellen wieder geöffnet sein.[…] Lesen Sie weiter bei Heise.de
Hoffen wir, dass die Daten der Bürger auf den Servern der Stadt Rödermark sicher aufgehoben sind.
Bei der Offenbach-Post konnte man auch lesen: [..] Betroffen ist auch das Offenbacher Bürgerbüro [..]
Solange es noch Unternehmen oder öffentliche Einrichtungen gibt, die versäumen einfachste Mittel gegen Angriffe einzusetzen, haben es die Hacker leicht. Eine beliebte Methode der Hacker ist das Clickjacking. Um dieser Methode ein Einfallstor zu verschließen, bedarf kein/kaum Aufwand. Wie Sie bei den Beispielen unter dem folgenden Link sehen können, wird selbst dieses einfach zu verschließende Einfallstor vielfach nicht geschlossen. Beispiele wo ein Angriff möglich ist..
Fehlendes Sicherheitsverständnis auch bei einigen Typo3 Anwendern.
Es soll auch Unternehmen bzw. Behörden geben, die mit Softwareversionen arbeiten, bei denen es keinen offiziellen Support (Sicherheitsupdates) mehr gibt. Ob all diese Unternehmen, Behörden einen KOSTENPFLICHTIGEN Pflegevertrag (z.B. Typo3 bis 15.000,00 Euro) abgeschlossen haben?
[..]Seit dem 25. März 2014 gibt es mit „TYPO3 CMS 6.2 LTS“ die zweite TYPO3-Version mit Langzeitsupport. Der Support für Version 4.5 wurde von offizieller Seite bis Ende März 2015 verlängert und bietet ausreichend Zeit, um die erforderliche Migration von Version 4.5 auf Version 6.2 gründlich vorzubereiten.[..] Quelle: marketing-factory
Auch ohne Update werden TYPO3 4.5-Installationen nach Ablauf des Langzeit-Supports weiterhin funktionieren – jedoch erhöht sich das Sicherheitsrisiko enorm, da Fehler und Sicherheitslücken von offizieller Seite nicht mehr behoben werden. [..]Quelle: (Hervorhebungen durch den Admin) marketing-factory
[..]Wer also noch TYPO3 CMS 4.5 nutzt und nicht in weniger als einem Monat eine potenziell unsichere Installation betreiben oder einen nicht unerheblichen Geldbetrag investieren möchte, der sollte schleunigst auf TYPO3 CMS 6.2 oder TYPO3 CMS 7.1 updaten.[..] Quelle: (Hervorhebungen durch den Admin) t3n.de
Dass jahrelang vertrauliche Daten von Behörden und Firmen abgegriffen werden, wundert mich nicht. Firmen und Behörden machen es den Angreifern teilweise auch recht leicht.
Ich habe vor einiger Zeit ein Beispiel veröffentlicht und als Beispielseite die Sparkasse Dieburg und die Webseite von unserem Bürgermeister Roland Kern aufgeführt.
Die Reaktion auf ein recht einfach zu beseitigendes Sicherheitsrisiko war ernüchternd.
Der Webmaster von unserem Bürgermeister Kern fühlte sich belästigt und die Sparkasse Dieburg (bzw. die übergeordnete/verantwortliche Stelle) unternimmt nichts.
Nachtrag 15.11.2011
Die Sparkasse Dieburg hat das Sicherheitsloch geschlossen.
Die aufgeführten Beispiele mit Seiten der Sparkasse funktionieren nicht mehr.
Aber worum geht es genau.
Sicherheitsexperten berichten:
Am Anfang der Attacke steht der Phishing-Angriff. Hierbei wird versucht, an Zugangsdaten zu gelangen. Mit diesen Informationen kann es sein, die Kontrolle über den Rechner zu erlangen. Zumindest ist es aber möglich Bankabbuchungen zu tätigen oder z.B. eMails zu lesen.
Wenn die von mir aufgeführte Möglichkeit, einen Webseitenbesucher zu täuschen, geschlossen wird, ist das nicht gleichbedeutend mit der Ausrottung von Phishing-Aktionen.
Es ist aber eine Möglichkeit weniger vorhanden.
Ich sehe das so. Die teilweise schlecht geschulten Mitarbeiter von Firmen oder selbsternannte Webmaster ohne Ausbildung werden weiterhin das größere Risiko darstellen. Aber Schuld wird der Internetnutzer sein.
Bei Phishing ist es auch für den Angreifer von Nutzen, eine Webadresse zu haben, die der angegriffenen in etwa ähnelt. Eine URL (Webadresse) kostet dem Unternehmen die unglaubliche Summe von ca. 12,00 Euro im Jahr. Da fragt man sich, haben nur die Hacker das Geld sich täuschen ähnliche Webseiten zuzulegen? Gefährdet Unternehmen/Einrichtungen/Institute Geld sollten sich zumindest die ÄHNLICHSTEN Adressen reservieren, um damit das Phishing ein wenig zu erschweren. Oder hat man sich darüber noch keine Gedanken gemacht?
Natürlich ist mir klar, man kann nicht alle Webseiten, die ähnlich sind für sich beanspruchen. Aber wenn man im Jahr ca. 3000,00 Euro für die Sicherheit der Internetnutzer ausgibt, sind schon einige Lücken geschlossen. Die Vielzahl an Domains würden für die Unternehmen keinen (ganz minimal) Aufwand bedeuten.
Sparkasse freie URL
Es ist schon schwierig, auf Anhieb den Unterschied zu finden. Original
bankingportal.sparkasse-dieburg.de/portal/portal/StartenIPSTANDARD Fälschung
bankingportal.sparkasse-dieburg.be/portal/portal/StartenIPSTANDARD
Was soll mit dem Phishing eigentlich erreicht werden? Betrug:
Man versucht an Zugangsdaten für z.B. ON-Line-Banking heranzukommen, um von Ihrem Konto Geld abzubuchen.
Spionage:
Der heutige Bericht in der Zeitung zielte aber darauf ab, Zugangsdaten zum System zu erlangen, um damit die Möglichkeit zu haben, den Rechner in seine Gewalt zu bringen. Damit können die Hacker ferngesteuert so arbeiten, als wenn diese autorisierte Mitarbeiter der Firma sind.
Da kann man sich die Finger wund schreiben und auch telefonieren. Man lernt immer mehr desinteressierte Menschen kennen.
Stadt Rödermark, BM und Sparkasse sind informiert.
Für mich war folgender Punkt von Interesse: Aus OP-Online
Lechleiter, der unter anderem bei der Sparkasse Dieburg ein Online-Konto hat, druckte das Formular aus dem Allgäu aus und schickte es an die Zentrale nach Groß-Umstadt. Der Rat von dort: den Computer neu formatieren und darauf achten, dass immer aktuelle Virenschutzprogramme installiert sind. „Da hatte ich auf ein bisschen mehr Hilfe gehofft“, sagt Lechleiter und regt eine Stabsstelle gegen „Phishing-Attacken“ als Anlaufstelle für Kunden an….Lesen Sie den ganzen Artikel bei op-online .
Am 28.05.2011 habe ich der Sparkasse Dieburg die Möglichkeit aufgezeigt, um mit einer geschickt angelegten Phishing-Aktion über die ORIGINALSEITE der Sparkasse Dieburg evtl. an TAN und PIN zu gelangen.
Natürlich zeigt das Beispiel nur ganz GROB die Vorgehensweise. Für den Mitarbeiter, der sich mit dem Thema Internetsicherheit befasst, müssen die Alarmglocken läuten.
Das angefertigte Beispiel läuft nur mit Firefox und Chrome. Beim Internetexplorer wird die Trickserei sichtbar.
Zu dem Thema Clickjacking ( Man nennt es auch Like Jacking) habe ich auch die Sparkasse angeschrieben. Ganz im Gegensatz zu einem Webmaster eines anderen Webauftritts, der sich durch solche Hinweise belästigt fühlt, nimmt man bei der Sparkasse solche Hinweise sehr ernst.
Da kann man als Sparkassenkunde froh sein, dass dort die Verantwortlichen Hinweisen von außen nachgehen.
Auszug aus der Mail …..[]…Wir haben Ihren Hinweis aufgenommen und bereits an unser Rechenzentrum zur weiteren Verifizierung weitergeleitet.
Nachtrag 20.07.2011
Scheinbar sehen die Verantwortlichen keinen Handlungsbedarf.
Siehe aus: Geldraub über das Internet.
Rödermark intern Wann wird die Verwaltung damit beginnen, ihren EIGENEN Auftrag und von den Stadtverordneten mit Mehrheit beschlossen, ein Sonder- und Gewerbegebiets nördl. der Germania zu ermöglichen, umzusetzen.
Prüfung eines Sonder- und Gewerbegebiets nördl. Germania Der Beschluss erfolgte am 9.02.2021. Irgendein Fortschritt ist für mich nicht zu erkennen.
