{"id":2783,"date":"2015-12-22T11:44:17","date_gmt":"2015-12-22T10:44:17","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=2783"},"modified":"2023-10-24T12:58:56","modified_gmt":"2023-10-24T10:58:56","slug":"jahresrueckblick-danke-fuer-ein-tolles-jahr-2015","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/jahresrueckblick-danke-fuer-ein-tolles-jahr-2015\/","title":{"rendered":"Jahresr\u00fcckblick: Danke f\u00fcr ein tolles Jahr 2015!"},"content":{"rendered":"

Das Jahr 2015 neigt sich unaufhaltsam dem Ende. Es wird Zeit f\u00fcr ein Dankesch\u00f6n an Sie: als Leser unseres Blogs, als Kunde, als Gesch\u00e4ftspartner, als Facebook-Fan<\/a> oder Twitter-Follower<\/a>: Danke f\u00fcr Ihre Treue und Ihr Interesse! Das gesamte Team der PSW GROUP w\u00fcnscht Ihnen und Ihren Familien ein besinnliches Fest und einen wunderbaren Start ins Jahr 2016. Bevor es jedoch soweit ist, m\u00f6chten wir mit Ihnen zur\u00fcckblicken auf 12 spannende Monate IT-Security.<\/p>\n

Das Jahr 2015: Dar\u00fcber haben wir informiert<\/h2>\n

2015 legten wir einen sauberen Start hin: mit unserer Fr\u00fchjahrsputz-Serie<\/a> zeigten wir Ihnen auf, wie Sie Ihre Desktop-, Mobile- und Server-Systeme reinigen, um mit Ihren Ger\u00e4ten frisch ins nun fast schon vergangene Jahr zu starten. Da unser Fokus auf Sicherheit liegt, ging es jedoch nicht ausschlie\u00dflich ums Aufr\u00e4umen Ihrer Systeme, sondern vor allem um deren Sicherheit. Wir haben \u00fcberpr\u00fcft, was die Bordmittel zur Sicherheit beitragen, wie Sie diese sinnvoll erg\u00e4nzen und auch, wie es Ihnen gelingt, die Performance Ihrer Ger\u00e4te zu optimieren. Herzlichen Dank f\u00fcr Ihr positives Feedback zu dieser Serie!<\/p>\n

In unserem Messenger-Revival<\/a> kn\u00fcpften wir an unseren gro\u00dfen Messenger-Test aus 2014 an. In der Zwischenzeit hatte sich bei diversen Messengern so viel getan, dass wir einen kritischen Blick auf eben diese \u00c4nderungen, insbesondere auf neue Sicherheitsversprechen wie die Verschl\u00fcsselung bei WhatsApps, warfen. Leider mussten wir feststellen, dass Sicherheit und Komfort noch immer selten Hand in Hand gehen. Ob 2016 daran was \u00e4ndern wird? Wir sind gespannt!<\/p>\n

SSL-Zertifikate<\/a> sind unsere Spezialit\u00e4t. Deshalb war es uns ein Anliegen, Ihnen mit der Serie „Holen Sie mehr aus Ihrem Zertifikat raus“<\/a> aufzuzeigen, dass es beim Einsatz Ihres Zertifikats nicht nur um einen Schutz vor Mitlesern und Manipulatoren geht. Sie haben verschiedene Szenarien kennengelernt, in denen SSL- sowie S\/MIME-Zertifikate wertvollen Nutzen haben.<\/p>\n

Die Zeit zwischen Juli und September stand ganz im Zeichen von Online-H\u00e4ndlern: wir testeten f\u00fcr Sie Shopsysteme<\/a> auf verschiedene Parameter, darunter nat\u00fcrlich unser Steckenpferd Sicherheit. Dabei war es uns ein Anliegen, positive sowie negative Auff\u00e4lligkeiten zu benennen und Ihnen als H\u00e4ndler eine Entscheidungshilfe zu liefern. So zeigten wir in unserem Fazit<\/a> auf, welche Shopsysteme sich f\u00fcr alle H\u00e4ndler, f\u00fcr kleine, mittlere sowie f\u00fcr gro\u00dfe H\u00e4ndler eignen.<\/p>\n

Um anschlie\u00dfend noch tiefer in unser Kernthema Sicherheit einzutauchen, befassten wir uns mit dem Basisschutz f\u00fcr Online-Shops<\/a>: an welchen Stellschrauben m\u00fcssen H\u00e4ndler drehen, um ein Mindestma\u00df an Sicherheit zu erhalten? Was schreibt der Gesetzgeber vor und was k\u00f6nnen Sie als H\u00e4ndler dar\u00fcber hinaus umsetzen?<\/p>\n

Das hat 2015 bewegt: IT-SiG & Co.<\/h3>\n

Es war ein bewegendes Jahr. Als Edward Snowden im Sommer 2013 mit schockierenden Enth\u00fcllungen die NSA-Aff\u00e4re ausgel\u00f6st hatte, war bereits klar, dass hier eine gr\u00f6\u00dfere Welle anrollt. Dass eben diese und alle folgenden Enth\u00fcllungen auch heute noch direkt und\/ oder indirekt auf Gesetzgebungen einwirken, war sicher nicht f\u00fcr jeden absehbar. So kippte etwa das Safe Harbor-Abkommen, das wir in 2015, aber auch schon davor kr\u00e4ftig kritisierten<\/a>.<\/p>\n

Eine weitere indirekte Folge ist das neue IT-Sicherheitsgesetz (kurz: IT-SiG), welches zum Ziel hat, digitale Infrastrukturen sowie IT-Systeme hierzulande weltweit zu den sichersten zu machen. Neben der Aufkl\u00e4rung in unserem Blog<\/a> haben wir f\u00fcr Sie eine Informationsseite eingerichtet. Unter itsg-faq.de<\/a> erfahren Sie, wen das neue Gesetz trifft, was genau auf Sie zukommt und wo Sie Unterst\u00fctzung erfahren.<\/p>\n

Sind Sie zum IT-SiG bereits aufgekl\u00e4rt, finden Sie unter psw.consulting<\/a> die M\u00f6glichkeit Unterst\u00fctzung beim Etablieren eines ISMS nach ISIS12 sowie ISO 27001 zu erhalten. Wir beraten, betreuen und pr\u00fcfen nicht nur, sondern bilden auch kompetent aus. Unter psw.academy<\/a> finden Sie ausf\u00fchrliche Informationen \u00fcber unser Schulungsangebot, das wir Ihnen ab Ende des ersten\/ Anfang des zweiten Quartals 2016 anbieten k\u00f6nnen.<\/p>\n

Viele Vertreter aus Handel, Industrie sowie Verbraucherschutz hat die Reform des Telemediengesetzes (TMG) bewegt: vielfach kritisiert, m\u00f6chte die Bundesregierung mit der Reform<\/a> ein Plus an \u00f6ffentlichen WLAN-Hotspots erreichen. Die viel diskutierte St\u00f6rerhaftung sorgte f\u00fcr Unmut bei Datensch\u00fctzern und Verbraucherverb\u00e4nden: die geforderten Voraussetzungen seien unrealistisch, die H\u00fcrden zum Betreiben eines WLAN-Hotspots viel zu hoch. Der Gesetzgeber wirke dem eigentlichen Ziel \u2013 fl\u00e4chendeckenden WLAN-Zugang \u2013 mit der Reform entgegen, sagten Kritiker. Noch immer ist die TMG-Reform nicht ausdiskutiert<\/a>; weitere Anh\u00f6rungen und Beschluss\u00e4nderungen sind zum jetzigen Zeitpunkt nicht auszuschlie\u00dfen.<\/p>\n

Messen & Kongresse: Sch\u00f6n, Sie kennenzulernen!<\/h3>\n

Wir kommen sehr gerne mit Ihnen ins Gespr\u00e4ch! Im Alltag funktioniert das \u00fcber unsere Social Media-Kan\u00e4le, \u00fcber unser Blog<\/a>, \u00fcber unsere Website<\/a>, per E-Mail und telefonisch. Eine ganz andere Atmosph\u00e4re herrscht jedoch auf Messen und Kongressen, wo wir mit Kunden genauso gerne ins Gespr\u00e4ch kommen wie mit Kollegen aus der Security-Branche. Auf der CeBIT<\/a> teilten wir uns dieses Jahr unseren Stand mit der Hessen-IT, im November luden wir dann zur it-sa<\/a> ein. Wir freuten uns \u00fcber anregende Gespr\u00e4che und dar\u00fcber, Sie kennenzulernen oder wiederzusehen.<\/p>\n

Von schlechter Verschl\u00fcsselung …<\/h3>\n

Es ist ein Rennen gegen die Zeit: Krypto-Experten versus Cyberkriminelle. Letztere sind daran interessiert, die Arbeit der Krypto-Experten auszuhebeln. Aber auch Sicherheitsl\u00fccken bedrohen die Arbeit der Experten. 2014 zeigte Heartbleed<\/a> eben diese sehr eindrucksvoll. Wenngleich in 2015 ein Super-GAU diesen Ausma\u00dfes ausblieb, existierten gen\u00fcgend Schockmomente im Verschl\u00fcsselungssektor:<\/p>\n

Im Juli brachte ein neuer OpenSSL-Bug<\/a> Erinnerungen an Heartbleed hervor. Bereits im Februar geisterte mit „Ghost“ eine 15 Jahre alte Sicherheitsl\u00fccke<\/a> auf Linux-Servern herum. Die Sicherheitsl\u00fccke „Freak“<\/a> zielte auch auf Windows-User ab und gestattete Angreifern, Internetverbindungen abzuh\u00f6ren und sensible Daten zu erbeuten. Im Juni gef\u00e4hrdete eine Schw\u00e4che im TLS-Verfahren tausende von Websites: die sogenannte Logjam-Attacke<\/a> betraf Web-, E-Mail-, SSH- und VPN-Server. Und nicht zuletzt sorgte „Poodle“ seit Juni 2015<\/a> f\u00fcr Angst und Schrecken. Auff\u00e4llig an diesen Sicherheitsl\u00fccken war, dass sie oftmals auf veraltete Verschl\u00fcsselungsverfahren zur\u00fcckzuf\u00fchren waren. Schwache RSA-Schl\u00fcssel machten Freak m\u00f6glich, das veraltete SSLv3 brachte Poodle mit sich.<\/p>\n

Auch der Missbrauch von Zertifikaten war 2015 ein gro\u00dfes Thema. Wir erinnern an Cloudflare: SSL-Zertifikate wurden gleich zu Jahresbeginn<\/a> f\u00fcr Phishing missbraucht. Schon im M\u00e4rz ging es um gef\u00e4lschte Zertifikate, die von CNNIC signiert wurden<\/a>. Die Folge: Google hat CNNIC aus den eigenen Programmen verbannt. Ebenfalls im M\u00e4rz machte die Nachricht von einem Microsoft-Zertifikat<\/a> die Runde, das ein finnischer IT-Experte f\u00e4lschte. Hier stellte sich die Frage, ob diese F\u00e4lschung lediglich ein schlechter Scherz war oder ob ein echtes Sicherheitsrisiko bestand.<\/p>\n

So oder so ist die Lehre aus dieser und weiteren F\u00e4lschungen die, dass mit einer umfassenden Validierung des Zertifikate-Inhabers Sicherheit steht und f\u00e4llt. Dies ist der Grund, weshalb wir nicht m\u00fcde werden, organisationsvalidierte (OV) oder Extended Validation-Zertifikate (EV) zu empfehlen, da hier die Validierung sehr viel umfangreicher ausf\u00e4llt als bei domainvalidierten (DV) Zertifikaten.<\/p>\n

… und von guter Verschl\u00fcsselung<\/h3>\n

Die Krypto-Experten, die den Sicherheitsl\u00fccken sowie der Arbeit der Cyberkriminellen etwas entgegensetzen wollen und k\u00f6nnen, existieren als Gegenpol zu den genannten Gefahren schlechter Verschl\u00fcsselung. Man verabschiedete sich in 2015 von veralteten Standards, um Nachfolger zu benennen, die deutlich mehr Sicherheit versprechen. Das Poodle erst m\u00f6glich machende SSL-Protokoll in der unsicheren Version 3 soll nun verschwinden, genauso wie das ebenfalls unsichere, weil veraltete Verschl\u00fcsselungsprotokoll RC4. Hintergr\u00fcnde sowie Alternativen zu SSLv3 und RC4 erfahren Sie in diesem Blogbeitrag<\/a>.<\/p>\n

Abschied nehmen hei\u00dft es auch f\u00fcr den ebenfalls als unsicher geltenden Hashalgorithmus SHA-1. Da bereits erfolgreiche Angriffe auf SHA-1<\/a> durchgef\u00fchrt wurden, wird es Zeit, den Standard offiziell zu verabschieden. Bye, bye, SHA-1 \u2013 bei uns erhalten Sie ausschlie\u00dflich SHA-2-Zertifikate und wir unterst\u00fctzen Sie mit dem kostenlosen Austausch Ihres SHA-1-Zertifikats. Alle Hintergrundinformationen und Handlungsempfehlungen lesen Sie bitte an dieser Stelle nach<\/a>. Sehr \u00e4rgerlich war in diesem Zusammenhang die Nachricht<\/a>, dass Facebook und Cloudflare (Sie erinnern sich? Cloudflare hatte ein F\u00e4lschungsproblem mit Zertifikaten …) an SHA-1-Zertifikaten festhalten m\u00f6chten. Da hier jedoch auch die Browser-Entwickler ein entscheidendes W\u00f6rtchen mitzureden haben, sind wir \u00fcberzeugt, dass das Festhalten an SHA-1 nicht lang funktionieren wird. Leider ist jeder weitere Tag einer zu viel.<\/p>\n

„SSL gezielt optimieren“ war der Titel eines von uns gesponserten heise-Webinars, das wir f\u00fcr Sie in diesem Beitrag zusammengefasst<\/a> haben. In diesem Artikel finden Sie auch unsere downloadbaren Informationen \u00fcber die SSL-Erweiterungen HSTS und HPKP, denen wir in 2016 mit Sicherheit wieder begegnen werden, da diese Erweiterungen SSL-verschl\u00fcsselte Verbindungen noch sicherer machen.<\/p>\n

Im Webinar wurde auch Certificate Transparency (CT) angesprochen. Diese Initiative des Suchmaschinenriesen Google soll dazu f\u00fchren, dass weniger gef\u00e4lschte Zertifikate in Umlauf gebracht werden, zielt also auf Fehler ab, die in diesem Jahr ebenfalls f\u00fcr mangelnde Sicherheit gesorgt haben. Wie es zu CT kam, wie die Initiative in der Praxis funktionieren soll und was sich dadurch \u00e4ndert, erfahren Sie in unserem Blogbeitrag „Certificate Transparency: wichtige \u00c4nderungen bei Ihren SSL\/TLS-Zertifikaten“<\/a>.<\/p>\n

Eine sehr positive Entwicklung ist auch die Tatsache, dass HTTP langsam aber sicher aus dem World Wide Web verschwindet. Mozilla erhob sich im Juli 2015 zuerst<\/a>, um mitzuteilen, dass HTTP-Verbindungen in B\u00e4lde zugunsten von HTTPS-Verbindungen verschwinden werden. Diesem Beispiel folgten nur einen Monat sp\u00e4ter<\/a> die Konzern-Riesen Apple, Microsoft und Wikimedia. Eine Entwicklung, die uns sehr erfreut, denn so gehen wir weiter in Richtung sicheres Internet.<\/p>\n

Was hat Sie in 2015 bewegt?<\/h3>\n

Sie sehen: es war ein ereignisreiches Jahr! Zahlreiche Angriffe, aber auch innovative Neuerungen, die der Sicherheit im World Wide Web mehr als dienlich sind, waren im Fokus des Geschehens. Welche Ereignisse bez\u00fcglich IT-Security haben Sie dieses Jahr bewegt? Waren es die von uns genannten? Oder vielleicht die Datensammelwut, mit der Microsoft die \u00c4ra Windows 10 einl\u00e4utete<\/a>? Haben Sie an Kongressen oder Veranstaltungen teilgenommen, die Sie besonders beeindruckend fanden? – Erz\u00e4hlen Sie uns davon, in den Kommentaren oder bei Facebook<\/a>!<\/p>\n