Rasant neigt sich das Jahr 2017 dem Ende zu \u2013 es wird Zeit, einmal zur\u00fcckzuschauen. Wir haben auch in diesem Jahr diverse Tests f\u00fcr Sie vorgenommen, uns intensiv mit der bevorstehenden Datenschutz-Grundverordnung befasst und weitere sicherheitsrelevante Informationen f\u00fcr Sie bereitgestellt. Wir blicken zur\u00fcck:<\/p>\n
Das Jahr 2017 begann mit unserem gro\u00dfen E-Mail-Anbieter-Test. Mehrere Wochen lang haben wir uns Freemail-Anbieter angeschaut, aber auch jene Anbieter, die mit Sicherheit werben. Unterschieden haben wir in Usability- und Sicherheits-Sieger. In unserer Zusammenfassung<\/a> k\u00f6nnen Sie sich die Details ansehen.<\/p>\n Im Mai haben wir unsere Fr\u00fchjahrsputz-Serie auf den neusten Stand gebracht und einmal mehr gefragt: Ist Antivirus wirklich tot?<\/a> Angeschaut haben wir uns Desktop-, Mobil- und Server-Systeme. Diese haben wir gereinigt und auf die Bordmittel bez\u00fcglich der Sicherheit \u00fcberpr\u00fcft.<\/p>\n Der Juli stand im Zeichen der Virenscanner. Wir haben verschiedene Produkte f\u00fcr Sie getestet und uns Punkte wie die Kosten, den Selbstschutz, die Features, den Support oder die Usability angesehen. Die Zusammenfassung der Tests und Links auf jeden Einzeltest finden Sie hier<\/a>.<\/p>\n Unsere letzte Testrunde startete im August. Wir haben Banking-Apps getestet und allgemeine Informationen, Rechtstexte, die App selbst, die Sicherheit und die Usability untersucht. \u00dcber Ihre rege Beteiligung an dieser Testserie<\/a> haben wir uns sehr gefreut!<\/p>\n Auch im kommenden Jahr m\u00f6chten wir uns wieder auf Testrunden begeben und die Sicherheit verschiedener Anwendungen oder Software f\u00fcr Sie testen. Haben Sie spezielle W\u00fcnsche, k\u00f6nnen Sie uns diese gerne mitteilen<\/a>!<\/p>\n Ransomware hatte seinen absoluten H\u00f6hepunkt im Jahre 2016, jedoch auch in 2017 blieben wir nicht verschont. Schon Anfang Januar ging es damit los, dass Ransomware \u00fcber Makroviren verbreitet<\/a> wurde. Prominentestes Beispiel ist wohl der Erpressungstrojaner Locky, der seine Opfersysteme \u00fcber ein verseuchtes Makro in Word infiltrierte.<\/p>\n WannaCry war einer der gef\u00fcrchtetsten Erpressungstrojaner in 2017. Weltweit w\u00fctete die Ransomware. Aus rund 150 L\u00e4ndern kamen Meldungen \u00fcber WannaCry; \u00fcber 200.000 Rechner hat es erwischt. Einmal mehr zeigte WannaCry: Ein ungen\u00fcgendes IT-Sicherheitsniveau kann zum Super-GAU f\u00fchren. Denn Angriffsziele waren Windows-Rechner mit veralteten Versionen. Weitere Details lesen Sie in unserem Beitrag \u00fcber WannaCry<\/a>.<\/p>\n Im April wurde das Ende der 3-Jahres-SSL-Zertifikate<\/a> eingel\u00e4utet. TLS 1.3 ist nach wie vor ein gro\u00dfes Thema: zum 99. IETF-Meeting in Prag wurde leidenschaftlich \u00fcber die neue Protokollversion gestritten<\/a>. Wie l\u00e4sst sich verhindern, dass Perfect Forward Secrecy ausgehebelt wird? TLS 1.3 ist seit Monaten praktisch fertig, jedoch bislang nicht final verabschiedet. Im November stellte man fest, dass mit TLS 1.3 ungew\u00f6hnlich viele Verbindungsprobleme auftreten<\/a>.<\/p>\n Eine deutliche Verbesserung der Sicherheit beim Ausstellen von Zertifikaten l\u00e4sst sich durch CAA erhoffen: Certification Authority Authorization<\/a> ist ein Verfahren, bei dem der Domaininhaber im DNS festlegt, welche Zertifizierungsstelle f\u00fcr die Domain Zertifikate ausstellen darf. Seit September 2017 soll somit dem Zertifikatemissbrauch ein Riegel vorgeschoben werden.<\/p>\n Im Oktober 2017 haben wir noch einmal darauf hingewiesen<\/a>, dass SSL-Verschl\u00fcsselung f\u00fcr alle Unternehmer Pflicht ist. Bu\u00dfgelder riskieren Unternehmen, die beispielsweise Formulare auf ihrer Website unverschl\u00fcsselt zur Verf\u00fcgung stellen. Dass SSL-Verschl\u00fcsselung der Suchmaschinenoptimierung dienlich ist, ist ein weiteres Argument f\u00fcr die Verschl\u00fcsselung.<\/p>\n H\u00e4ufig haben wir Anfragen zum Thema E-Mail-Verschl\u00fcsselung<\/a> erhalten. Wie steht es um die Anforderungen der Bundesnetzagentur zum Thema E-Mail-Zertifikate? Dieser Frage sind wir im September 2017<\/a> nachgegangen.<\/p>\n Auch das Thema Phishing begleitete uns in 2017. Im September stellte der Sicherheitsforscher Xidong Zheng eine Methode vor<\/a>, die Schwachstellen in Unicode-Domains daf\u00fcr nutzt, legitime Websites zu imitieren. Nur wenig sp\u00e4ter, im November 2017, ging eine Phishing-Site der Fidor-Bank online<\/a>. In beiden F\u00e4llen wurde zwar verschl\u00fcsselt, jedoch hat man auf Extended Validation (EV-)-Zertifikate verzichtet und sich g\u00fcnstigerer Alternativen bedient. Mit EV-Zertifikaten kann so etwas nicht passieren: Cyberkriminelle, die Phishing-Sites aufsetzen, nutzen vorzugsweise kostenfreie SSL-Zertifikate<\/a>, bei denen die Pr\u00fcfung \u00e4u\u00dferst ungenau ausf\u00e4llt. W\u00fcrden die Originale auf EV-Zertifikate setzen, k\u00f6nnten Besucher dank der gr\u00fcnen Adressleiste auf Nummer sicher gehen, dort zu landen, wo sie hinsurfen wollten.<\/p>\n Im Oktober wurde eine schwere Sicherheitsl\u00fccke im Verschl\u00fcsselungsprotokoll WPA2<\/a> bekannt: Angreifer sind in der Lage, die Verschl\u00fcsselung von WLAN-Verbindungen aufzubrechen, den Datenverkehr abh\u00f6ren und sogar manipulieren zu k\u00f6nnen. Die Sicherheitsl\u00fccke wurde \u201eKRACK\u201c getauft. Sicherheitspatches wurden bereits zahlreich verteilt, dennoch ist nach wie vor Vorsicht geboten.<\/p>\n Wie jedes Jahr waren wir auch diesmal im Oktober auf der it-sa<\/a>. Die von uns verschenkten Freikarten wurden gerne in Empfang genommen und wir freuten uns \u00fcber regen Besuch an unserem Stand. Erstmals fand ein Gewinnspiel an unserem Stand statt: um unsere Partnerschaft mit dem Personenzertifizierer ICO zu feiern, haben wir eine realistische ISO 27001 Foundation-Pr\u00fcfung veranstaltet.<\/p>\n Von dieser neuen Partnerschaft mit ICO profitieren Sie auch noch nach der it-sa! Sie k\u00f6nnen sich in den Bereichen ISO 27001, ISO 20000, FitSM und SCRUM schulen lassen und mit uns die Karriereleiter hinauf klettern! Alle Informationen finden Sie unter psw-training.de<\/a>.<\/p>\n Eines unserer gr\u00f6\u00dften Themen in 2017 war die anstehende EU-Datenschutz-Grundverordnung, kurz: DSGVO. Zum 25. Mai 2018 gilt die DSGVO f\u00fcr s\u00e4mtliche Unternehmen innerhalb der EU verpflichtend. Nat\u00fcrlich sind wir auch in 2018 mit diesem Thema f\u00fcr Sie da! In 2017 haben uns die Betroffenenrechte und die Datenschutzerkl\u00e4rung nach DSGVO besch\u00e4ftigt.<\/p>\n Was Sie bereits jetzt vorbereiten k\u00f6nnen und worum es in der EU-DSGVO \u00fcberhaupt geht, haben wir im Beitrag \u201eEU-DSGVO: Gut geplant ist halb gesch\u00fctzt\u201c f\u00fcr Sie zusammengefasst.<\/p>\n Alles, was Sie \u00fcber die EU-DSGVO wissen m\u00fcssen und was Sie heute schon erledigen k\u00f6nnen, haben wir f\u00fcr Sie unter psw-consulting.de<\/a> zusammengefasst.<\/p>\n Wir m\u00f6chten die Gelegenheit nutzen, Ihnen \u201eDanke\u201c zu sagen: herzlichen Dank f\u00fcr Ihre Treue und Ihre rege Teilnahme in 2017! Auch im kommenden Jahr m\u00f6chten wir Sie informieren und Ihnen helfen, richtige Entscheidungen bez\u00fcglich der IT-Sicherheit zu treffen. Haben Sie W\u00fcnsche, Themenideen oder m\u00f6chten Sie Kritik anbringen, freuen wir uns sehr \u00fcber den Kontakt mit Ihnen<\/a>!<\/p>\nRansomware \u2013 auch in 2017 eine gro\u00dfe Gefahr<\/h3>\n
Verschl\u00fcsselung: Hier hat sich einiges getan<\/h3>\n
Phishing-Kampagnen & WLAN-L\u00fccke KRACK<\/h3>\n
it-sa erstmals mit Gewinnspiel<\/h3>\n
EU-Datenschutz-Grundverordnung<\/h3>\n
Danke f\u00fcr 2017<\/h3>\n