Jahresanfang: f\u00fcr uns wie immer ein willkommener Augenblick, zusammen mit Ihnen zur\u00fcckzublicken und sich herzlich f\u00fcr Ihre Treue im Jahr 2019 zu danken! Heute laden wir Sie ein, mit uns auf ein bewegtes Jahr zur\u00fcckzuschauen.<\/p>\n
Das CA\/B-Forum ist eine Zusammenkunft aus Zertifizierungsstellen und weiteren vertrauensw\u00fcrdigen Parteien, etwa Browserentwickler oder andere Softwarehersteller. Dieses Forum entwickelt Standards und Praktiken, die dazu dienen sollen, das Web im Allgemeinen und das \u00f6ffentliche PKI-\u00d6kosystem im Besonderen sicherer zu gestalten.<\/p>\n
Im Juni 2019 legte Ryan Sleevi als Google-Vertreter den Vorschlag vor, die G\u00fcltigkeit von SSL-Zertifikaten auf 13 Monate herabzusetzen. Dies sei der Sicherheit dienlich, so Sleevi: Ein kompromittiertes SSL-Zertifikat k\u00f6nne innerhalb seiner G\u00fcltigkeitszeit f\u00fcr b\u00f6sartige Zwecke missbraucht werden. Wird diese G\u00fcltigkeit einfach herabgesetzt, lie\u00dfe sich Cyberkriminalit\u00e4t reduzieren.<\/p>\n
Die Zertifizierungsstellen sehen dies anders: Viel zu hohe Kosten entst\u00fcnden dem Verbraucher, au\u00dferdem sei der Verwaltungsaufwand h\u00f6her und damit auch der Komfort von Verbrauchern eingeschr\u00e4nkt.<\/p>\n
W\u00e4hrend die einzelnen Vertreter des CA\/B-Forums leidenschaftlich stritten<\/a>, erschien die Zertifizierungsstelle Sectigo mit einer wahrhaft praktikablen L\u00f6sung: Die CA, die einst unter dem Namen Comodo bekannt war, entwickelte eine M\u00f6glichkeit, um SSL-Zertifikate mit einer Laufzeit von bis zu 5 Jahren<\/a> anzubieten. Diese lange Laufzeit besteht lediglich auf kaufm\u00e4nnischer Seite, technisch h\u00e4lt sich Sectigo selbstredend an die aktuellen Vorgaben des CA\/B-Forums. Besitzer eines solchen Sectigo-SSL-Zertifikats werden nach zwei Jahren aufgefordert, das SSL-Zertifikat f\u00fcr weitere zwei Jahre herunterzuladen. Eine weitgehende Automatisierung verringert den Verwaltungsaufwand immens.<\/p>\n Im Januar berichteten wir \u00fcber Meltdown und Spectre<\/a> \u2013 die Sicherheitsl\u00fccken, die seit mehr als zehn Jahren in Intel-Prozessoren lauern. Wir gaben Ihnen Tipps, wie Sie sich sch\u00fctzen k\u00f6nnen, und wagten einen kleinen Ausblick auf die Zukunft der Sicherheitsl\u00fccken. Immer wieder berichteten verschiedene Medien auch in 2019 von Meltdown und Spectre \u2013 nach wie vor ist die Gefahr nicht vor\u00fcber! Im Gegenteil: Intel gab Mitte November bekannt<\/a>, ab 22. November den Support f\u00fcr alle eigenen Consumer-Mainboards einzustellen.<\/p>\n Equifax, die gr\u00f6\u00dfte Wirtschaftsauskunftei der USA, wurde zwar bereits 2017 gehackt, jedoch gehen die Auswirkungen dieses Hacks bis ins Jahr 2019 herein. Derzeit wird \u00fcber die Entsch\u00e4digung der Opfer des Hacks diskutiert<\/a>. Was war passiert? Ende Juli 2017 entdeckte man einen Hack, der jedoch erst Anfang September 2017 \u00f6ffentlich wurde. Seit Mai 2017 zogen Hacker die Daten von mehr als 140 Millionen Equifax-Kunden aus drei L\u00e4ndern ab! Geburtsdaten, Adressen, Kreditkarten- und F\u00fchrerscheinnummern, aber auch Sozialversicherungsnummern wurden gestohlen \u2013 man vermutet, es handle sich um den gr\u00f6\u00dften Diebstahl von Sozialversicherungsnummern aller Zeiten. Das wirklich Tragische an dem Hack: Er w\u00e4re vermeidbar gewesen. Mit sehr, sehr einfachen Sicherheitsvorkehrungen h\u00e4tten weder Equifax noch die Opfer des Hacks zwei Jahre mit diesem Hack zu tun gehabt. In unserem Blogbeitrag zum Thema<\/a> erkl\u00e4ren wir, welch simple Vorkehrungen geholfen h\u00e4tten.<\/p>\n Auch Emotet stammt zwar nicht aus dem Jahr 2019, hat aber auch in diesem Jahr f\u00fcr viel Verwirrung gesorgt. Wir berichteten im M\u00e4rz<\/a> \u00fcber den Trojaner, der seinerzeit erst richtig losgelegt hat. Allein in Berlin<\/a> waren zwei Schulen, das Kammergericht und die Humboldt Universit\u00e4t betroffen. F\u00fcr BSI-Pr\u00e4sident Arne Sch\u00f6nbohm ist klar<\/a>: Emotet ist der „K\u00f6nig der Schadsoftware“.<\/p>\n Ein die Sicherheitszust\u00e4nde demonstrierender Hack war der, den die Sicherheitsforscher Sebastian Neef und Tim Philipp Sch\u00e4fers in einem Kl\u00e4rwerk ausf\u00fchrten. Dieser Hack zeigte sehr klar: Der Schutz kritischer Infrastrukturen (KRITIS) ist ungen\u00fcgend. Sinnlose Zugangsdaten, die leicht zu erraten oder schon vorausgef\u00fcllt waren, waren der Grund, weshalb die Forscher ins Kl\u00e4rwerk einsteigen konnten. Doch auch ein Kostendruck zwingt die Betreiber kritischer Infrastrukturen, auf Sicherheit zu verzichten. Dennoch: Auch mit kleinen Mitteln kann es gelingen, Strukturen abzusichern. Wie man auf diesen Hack reagierte und welche Sicherheitsma\u00dfnahmen vernachl\u00e4ssigt wurden, k\u00f6nnen Sie in unserem Beitrag zum Thema<\/a> nachlesen.<\/p>\n Auch DDoS-Angriffe<\/a> waren 2019 ein wichtiges Thema. Das BSI stellte in seinem Lagebericht 2018 fest, dass die Bedrohung durch DDoS-Angriffe nach wie vor hoch ausf\u00e4llt. In unserem Beitrag haben wir Zahlen vorgelegt, die das laufende Jahr betreffen, und Ihnen erkl\u00e4rt, wie ausgefeilt die Angriffe mittlerweile sind. DDoS-Services haben sich als Trend etabliert \u2013 kein Wunder, sind doch IoT-Ger\u00e4te eine f\u00fcr Cyberkriminelle willkommene Schwachstelle. Schutz k\u00f6nnen KI und das maschinelle Lernen bringen, jedoch auch Awareness-Ma\u00dfnahmen.<\/p>\n Im Oktober berichteten wir von der Sodinokibi-Ransomware<\/a>, die vorrangig in Personalabteilungen ihr Unwesen treibt. Fake-Bewerbungen waren Ausgangspunkt daf\u00fcr, dass sich die Ransomware so z\u00fcgig verbreiten konnte. Sie arbeitet nach ihrem Vorbild GandCrab und konnte sich binnen k\u00fcrzester Zeit zur f\u00fcnfh\u00e4ufigsten Ransomware-Familie mausern.<\/p>\n Dass IT-Sicherheit auch in \u00f6ffentlichen Einrichtungen wie Krankenh\u00e4usern nicht zu vernachl\u00e4ssigen ist, zeigte sich<\/a>, als im Juli ein Cyberangriff einen ganzen Verbund an Krankenh\u00e4usern und Altenpflegeheimen lahmlegte. In den zum DRK Rheinland-Pfalz geh\u00f6rigen Einrichtungen trieb eine Ransomware ihr Unwesen und verschl\u00fcsselte nach und nach die Datenbanken. Zwar war der Betrieb in den H\u00e4usern noch m\u00f6glich, jedoch musste man auf Stift und Papier ausweichen. Das BSI lobte zwar das bedachte Vorgehen aller Mitarbeiter, forderte in der Folge jedoch h\u00f6here Anti-Cybercrime-Auflagen.<\/p>\n In 2019 schaffte es das „\/.well-known\/“-Verzeichnis zu zweifelhafter Ber\u00fchmtheit: Dieses Verzeichnis, so fanden Forscher heraus, wird von Cyberkriminellen gern als Malware-Versteck genutzt. In unserem Blogbeitrag<\/a> erkl\u00e4ren wir Ihnen, wie sich dieses Verzeichnis ausnutzen l\u00e4sst und wie Sie sich wehren k\u00f6nnen.<\/p>\n Efail wurde zwar im Jahre 2018 bekannt, doch die Sicherheitsl\u00fccke ruhte auch in 2019 nicht. Neben den Protokollen S\/MIME und PGP bestand die Schwachstelle schon l\u00e4nger in E-Mail-Clients und Plugins. In unserem Efail-Artikel<\/a> berichten wir \u00fcber die weitere Entwicklung der Sicherheitsl\u00fccke und dar\u00fcber, wie Sie Ihre eigene E-Mail-Sicherheit zur\u00fcckerlangen.<\/p>\n DigiCert Inc. ist ein Sicherheitsanbieter mit Sitz in den USA. Schon 2017 \u00fcbernahm DigiCert einige Gesch\u00e4ftsbereiche von Symantec. DigiCert wollte im Jahr 2019 seine Gangart beschleunigen, europaweit expandieren und in Forschung sowie Entwicklung investieren. Deshalb \u00fcbernahm die CA im Januar 2019 QuoVadis mit Sitz in der Schweiz. Weiter wollte man den Beschaffungsvorgang von SSL-Zertifikaten f\u00fcr KMU vereinfachen und neue Authentisierungsmechanismen entwickeln. Wie das konkret aussehen soll, haben wir in einem Artikel<\/a> f\u00fcr Sie zusammengefasst.<\/p>\n Auch in technischer Hinsicht hatte das Jahr 2019 einiges zu bieten! So wurde das langersehnte Update von TLS 1.2 auf TLS 1.3 endlich vollzogen. TLS 1.3 wurde damit zum offiziellen Standard f\u00fcr die Transportverschl\u00fcsselung im World Wide Web. Welche Neuerungen das Protokoll bereith\u00e4lt und welche Schwachstellen damit geschlossen wurden, haben wir Ihnen in unserem Artikel zu TLS 1.3<\/a> verraten.<\/p>\n Mit der Geburtsstunde von TLS 1.3 geht auch das Ende der veralteten Versionen TLS 1.0 und 1.1<\/a> einher. Wir berichten f\u00fcr Sie, ab wann diese veralteten und unsicheren Versionen von welchem Browser nicht mehr akzeptiert werden und was Sie tun k\u00f6nnen, wenn sie noch auf diese veralteten Standards setzen.<\/p>\n Eine gro\u00dfartige Neuerung war die Entwicklung von MTA-STS<\/a>, einem von der IETF verabschiedeten Standard, der den E-Mail-Empfang und -Versand sicherer gestaltet. MTA-STS erm\u00f6glicht dem empfangenden Mailserver, dem versendenden Mailserver \u00fcber DNS mitzuteilen, dass TLS als Transportverschl\u00fcsselung genutzt werden soll. Noch vor dem E-Mail-Versand kann eine MTA-STS-Policy vom Webserver abgerufen werden, in der definiert wird, welche E-Mail-Server Mails per TLS entgegennehmen.<\/p>\n Im Juli war es soweit: Die europ\u00e4ische Zertifizierungsstelle Certum verabschiedete sich von seinem Produkt SpaceSSL. Die g\u00fcnstigen SSL-Zertifikate waren als Einzel-, Multidomain- oder Wildcard-Zertifikat nur noch bis 13.07.2019 zu haben. Certum hat sich in der Zwischenzeit neu aufgestellt und schafft es auch heute, g\u00fcnstige SSL-Zertifikate f\u00fcr jeden Bedarf anzubieten. Entdecken Sie die Certum-Zertifikate in unserem Portfolio<\/a>!<\/p>\n Die PSW Konsole hat in 2019 dazu gef\u00fchrt, dass die Zertifikatsverwaltung noch einfacher wurde. Eine intuitive Bedienung sorgt f\u00fcr Einfachheit und Benutzerfreundlichkeit. Sie reduzieren Kosten und Komplexit\u00e4t, eliminieren Verwaltungsaufgaben und k\u00f6nnen ganz nach Ihrem Bedarf agieren. Auf vielfachen Kundenwunsch haben wir uns j\u00fcngst dazu entschieden, PayPal-Zahlungen ebenfalls anzubieten. Damit bieten wir Ihnen noch mehr Flexibilit\u00e4t \u2013 und Sie k\u00f6nnen selbst entscheiden, welche Zahlungsart Sie bevorzugen.<\/p>\n DSGVO, TMG, BDSG und IT-SiG: Von Unternehmern wird verlangt, all diese Gesetzestexte nicht nur zu kennen, sondern m\u00f6glichst l\u00fcckenlos anzuwenden. Die Alternative hei\u00dft: Bangen und mit Abmahnungen rechnen. In Kooperation mit Protected Shops bieten wir Ihnen nun eine L\u00f6sung f\u00fcr Ihre Website und\/ oder Ihren Shop: Den Abmahnschutz f\u00fcr Webseitenbetreiber<\/a>. Im Basispaket erhalten Sie neben einem SSL-Zertifikat mit Trust Logo auch abmahngesch\u00fctzte Rechtstexte (Impressum & Datenschutzerkl\u00e4rung). Die Pro-Variante richtet sich an Shop-Betreiber, die mit diesem Paket wirklich auf Nummer Sicher gehen.<\/p>\n Zahlungsdienste sowie Zahlungsdienstleister m\u00fcssen sich seit dem 14.09.2019 an die Zahlungsdiensterichtlinie PSD2 halten. Die EU-Richtlinie ist bereits seit 2018 in abgespeckter Version in Kraft. Ein gerechter Wettbewerb ist das Ziel der PSD2-Richtlinie. In unserem Blogbeitrag zu PSD2<\/a> erkl\u00e4ren wir Ihnen, wie dieses Ziel erreicht werden soll, welche technischen Voraussetzungen gegeben sein m\u00fcssen, um die Richtlinie zu erf\u00fcllen, und wie Sie Zertifikate nach PSD2-Vorgaben erhalten. PSD2-konforme Zertifikate setzen eine intensive Beratung voraus. Deshalb sind sie bei uns vorl\u00e4ufig nur auf Anfrage erh\u00e4ltlich \u2013 nehmen Sie bei Interesse einfach Kontakt<\/a> zu uns auf.<\/p>\n Im M\u00e4rz 2019 gab es einen Wechsel in der Chefetage der PSW GROUP: Unser bisheriger Gesch\u00e4ftsf\u00fchrer Christian Heutger versp\u00fcrte den Wunsch, wieder mehr mit Kunden und Partnern in Kontakt zu treten. Er bleibt uns als CTO erhalten und k\u00fcmmert sich hier um den Aufbau und die Weiterentwicklung strategischer Partnerschaften. Als Senior Consultant steht er zudem als Berater f\u00fcr Datenschutz-, Informationssicherheits- und Servicemanagement zur Verf\u00fcgung und als Lead Trainer unterrichtet Herr Heutger auch in Zukunft Teilnehmer unserer ISO 27001-Schulungen.<\/p>\n Unsere langj\u00e4hrige Marketingleiterin, Patrycja Tulinska, ist seither Gesch\u00e4ftsf\u00fchrerin der PSW GROUP. Nach ihrem Studium der Angewandten Informatik an der Hochschule Fulda stand uns die Diplom-Informatikerin bereits viele Jahre im Marketing zur Seite. Mit der Erfahrung, die sie \u00fcber unser Unternehmen, unsere Kunden und unsere Partner in diesen Jahren sammeln konnte, k\u00f6nnen wir uns keine Bessere an unserer Spitze vorstellen. Wir freuen uns, in Frau Tulinska eine innovative, von allen Kollegen gesch\u00e4tzte und fachlich sehr versierte Gesch\u00e4ftsf\u00fchrung gefunden zu haben!<\/p>\n Wir danken Ihnen, liebe Kunden, Partner, Interessenten, Blogleser und Mitarbeiter, f\u00fcr ein tolles Jahr 2019 mit Ihnen!<\/p>\n Und wir hoffen, auch in 2020 weiterhin erfolgreich mit Ihnen zusammenarbeiten zu d\u00fcrfen, denn dann feiern wir unser 20-j\u00e4hriges Bestehen. Anl\u00e4sslich unseres Jubil\u00e4ums haben wir gemeinsam mit unseren Partnern ganz besondere Aktionen und Ereignisse \u00fcber das gesamte Jahr zusammengestellt. Weitere Informationen folgen bald auf unserem Blog und auf unserer Website.<\/p>\n Lassen Sie sich \u00fcberraschen und feiern Sie mit uns!<\/p>\n Ihr Team der PSW GROUP<\/p>\nSicherheitsl\u00fccken & Hacks: 2019 war ein gef\u00e4hrliches Jahr!<\/h2>\n
Neuigkeiten bei den CAs: DigiCert expandiert<\/h2>\n
Technische Neuerungen in 2019<\/h2>\n
Neue Produkte in 2019: Erweiterung unseres Portfolios<\/h2>\n
Interne Neuerungen in 2019<\/h2>\n
Danke f\u00fcr 2019!<\/h2>\n