Neuste News für programmierer

Cyberangriffe nehmen zu, das ist kein Geheimnis. Daraus resultierende Reputationsschäden und Betriebsunterbrechungen kosten nicht nur Geld. Doch auch das Bewusstsein für Cyberrisiken ist gestiegen und Cyberresilienz wird zum Unternehmensziel.

KRITIS-Betreiber sind seit dem 1. Mai 2023 verpflichtet, Systeme zur Angriffserkennung einzusetzen, doch viele erfüllen diese Anforderung noch nicht. Wir zeigen, welche Umsetzungsgrade das BSI definiert hat und wie KRITIS-Unternehmen die Resilienz gegen Cyberangriffe steigern können.

In verschiedenen PTZ-Kameras, die teilweise in KRITIS-Sektoren eingesetzt werden, finden sich zwei Zero-Day-Sicherheitslücken. Diese können zu einer gefährlichen Rechteausweitung führen.

Führungskräfte und Menschen der Generationen Y und Z sind eher bereit Sicherheitsprotokolle zu umgehen. Dies zeigt eine Umfrage von Splunk. Gründe dafür sind vor allem bei jungen Menschen Zeitdruck und ihr technisches Know-how.

Gerade kleine und mittelständische Unternehmen bieten Hackern gute Argumente, bei ihnen zuzuschlagen. Doch nicht nur mit Cyberbedrohungen haben sie zu kämpfen, auch die Integration neuer Technologien ist eine Herausforderung.

Bei einem Sniffer handelt es sich um ein Werkzeug zur Aufzeichnung und Analyse von Netzwerkdaten. Allerdings werden Sniffer auch gerne von Cyberkriminellen genutzt. So funktioniert ein Sniffer und diese Tools gibt es.

Die Verantwortung für die Cloud-Sicherheit ist ebenso unterteilt wie die Zuständigkeit für die Sicherheit im Edge Computing. Anwender und Provider haben definierte Rollen und Aufgaben. Die Datensicherheit scheint ganz bei dem Anwender zu liegen, doch dazu benötigt der Nutzer die Unterstützung durch den Cloud-Provider und den Betreiber der Edge. Wir geben einen Überblick.

Nicht nur Großveranstaltungen, sondern auch jede Fußgängerzone bieten Cyberkriminellen perfekte Angriffsmöglichkeiten: Gefälschte QR-Codes und Domains werden genutzt, um persönliche Daten und Zahlungsinformationen zu stehlen. Erfahren Sie, wie Quishing-Attacken funktionieren und welche konkreten Maßnahmen Sie zum Schutz vor diesen versteckten Gefahren ergreifen können.

OmniFabric von Alcatel-Lucent Enterprise soll Netzwerke mit eingebetteten IoT-Geräten effizienter und sicherer machen. Die Network-Fabric könne solche Geräte automatisch erkennen und segmentieren. Zudem stehe eine Suite von Standardprotokollen für Zero-Trust-Netzwerke zur Verfügung.

Die rasante Zunahme komplexer Cyberangriffe wie Wiper-Malware, ICS-Schadsoftware und Supply-Chain-Attacken stellt IT-Sicherheits-Experten vor neue Herausforderungen. Erfahren Sie, welche aktuellen Bedrohungen im Fokus stehen und wie Sie Ihre Organisation proaktiv schützen können.

Nach einem Cyberangriff auf den Stromanbieter Tibber müssen sich Endverbraucher nun auf mögliche Phishing-Angriffe, aber eventuell auch steigende Preise gefasst machen. Dies könnte die Reputation des Anbieters schwächen. Auch Schadenersatzansprüche sind möglich.

Large Language Models erfreuen sich in Unternehmen an wachsender Beliebtheit, da sie Routineaufgaben übernehmen können. Doch in einigen Open Source Tools fanden Teilnehmende des Bug-Bounty-Programms von Protect AI teils kritische Sicherheitslücken.

Wann, wo, wie, warum? Zum Cyber Resilience Act sind noch viele Fragen offen. Das BSI hat eine Timeline, eine Checkliste sowie technische Richtlinien zum CRA veröffentlicht und gibt weitere Antworten auf drängende Fragen.

Mit OpenVAS können Admins Netzwerkgeräte auf Schwachstellen scannen. Das ist auch bei AD-Domänencontroller sinnvoll. Das Tool lässt sich zum Beispiel auf Ubuntu installieren, steht aber auch in Kali und ParrotOS zur Verfügung.

Um sicherzustellen, dass ein Unternehmen selbst keinen Zugriff auf Microsoft 365 oder Azure verliert, gibt es Break Glas-Accounts. Diese lassen sich auch mit MFA absichern, was seit Juli 2024 Pflicht in Azure ist. Allerdings gilt hier besondere Vorsicht walten zu lassen, um sich nicht selbst aus der Cloud auszusperren.

Mit seinem Private Link Network antwortet Cloudera auf den wachsenden Datenverkehr in Branchen mit strengen Compliance-Anforderungen. Das Ziel: kritische Datensicherheits- und Datenschutzbedenken für stark regulierte Unternehmen mit strengen Richtlinien zu adressieren.

Pentesting, der kontrollierte Cyberangriff auf die Unternehmens-IT, prüft die Wirksamkeit der Security-Maßnahmen. Manuelles Pentesting können sich nur große Organisationen leisten. Automatisierte Tools könnten bald zum erschwinglichen Standard für kleinere Unternehmen werden. Komfortabel und skalierbar ist Automated Security Validation als Managed Service.

In Palo Alto Networks Migrationstool Expedition gibt es fünf schwerwiegende Sicherheitslücken. Diese führen dazu, dass erfolgreiche Angreifer Zugriff auf sensible Informationen von Firewalls erhalten, die das Betriebssystem PAN-OS nutzen.

Security-Experten kämpfen gegen wachsende Bedrohungen bei zeitgleichem Fachkräftemangel an. Abhilfe schaffen soll KI, doch bei der Entwicklung und Implementierung von Lösungen sind die betroffenen Teams kaum einbezogen.

Der Bundesgerichtshof hat sich einen gravierenden Datenschutzvorfall bei Facebook vorgeknöpft und nun für viele vergleichbare Fälle geklärt, wann Nutzer bei einem Datenleck Anspruch auf Schadenersatz haben. Cyberkriminelle hatten Daten von Hunderten Millionen Facebook-Konten gestohlen.

Mit Active Disk Image können Admins und Anwender in Windows komplette Sicherungen von PCs und Images erstellen. Die Images stehen als Backup, für Updates oder als Möglichkeit für die Bereitstellung mehrerer Windows-PCs zur Verfügung.

Im Kontext moderner Cybersicherheit wird das ?Purple Teaming? als wegweisender Ansatz angesehen, der die Lücke zwischen offensiven und defensiven Sicherheitsmaßnahmen schließt.

Forescout for OT Security soll künftig verwaltete und nicht verwaltete Geräte auf allen Purdue-Ebenen abdecken und somit Cloud-, Air-Gapped- und Hybrid-Umgebungen schützen. Mit der SaaS-Lösung baut Forescout sein Cloud-Engagement weiter aus.

Mit Milliardenverlusten durch Cyberangriffe und Vorfällen wie dem Sunburst-Angriff zeigt sich: Sicherheit muss von Anfang an ins Produkt­design einfließen. Neue EU-Gesetze wie der Cyber Resilience Act fordern dies, doch proaktive Maßnahmen über Compliance hinaus sind essenziell. Denn Sicherheitslücken und ihre Folgen können längst Hunderte Unternehmen treffen.

Die Sicherheitslücke in Moveit Transfer hat 2023 für Furore gesorgt. Nun stellt sich heraus, dass im Mai letzten Jahres ein massiver Data Breach durch Ausnutzung dieser Schwachstelle stattfand. Amazon und HSBC bestätigen das Datenleck.

Eine kritische Sicherheitslücke in SharePoint ermöglicht Remote-Code-Ausführung. Die Schwachstelle geht auf eine unsichere Deserialisierung von Daten zurück, die unbefugten Zugriff über ein Netzwerkangriffsszenario eröffnet.

Bei der passwortlosen Authentifizierung lässt sich die Identität eines Nutzers verifizieren, ohne dass ein Passwort genannt und überprüft werden muss. Die kennwortlose Form der Authentifizierung nutzt stattdessen andere Faktoren wie biometrische Merkmale, kryptographische Schlüssel oder Besitzfaktoren.

Die Ransomware-Gruppe Embargo nutzt neue Tools, die in der Lage sind, die Sicherheitslösungen auf infizierten Systemen zu deaktivieren. Möglich macht dies die geschickte Ausnutzung des abgesicherten Modus und eines anfälligen Treibers.

Diskriminierung durch KI-Algorithmen und Verzerrungen im Algorithmus werfen ethische Fragen auf, denen sich Unternehmen stellen sollten. Doch das ist mehr als ein moralisches Gebot: Ein verantwortungsvoller Umgang mit Künstlicher Intelligenz (KI) kann auch den Geschäftserfolg fördern.

Auf der ISACA Europe Conference 2024 trafen wir Dr. Tim Sattler, Präsident des deutschen ISACA-Ablegers. Er sprach mit uns über aktuelle Herausfor­derungen für IT-Security und IT-Governance, relativierte den Hype um KI, regulatorische Ansätze und Quantencomputing und betonte grundlegende Prinzipien der IT-Sicherheit. Schließlich gewährte er uns noch Einblick in sein persönliches Arbeitsumfeld.

Cato Networks erweitert seine SASE-Plattform um Digital Experience Monitoring (DEM). Damit sei nun eine einzelne Lösung für die Fehlersuche und die Planung einer optimalen User Experience für sämtliche Anwendungen verfügbar ? ob im Internet oder in privaten Rechenzentren.

Heutzutage nutzen fast alle Unternehmen IT-Drittanbieter, doch nur wenige schützen sich effektiv vor den damit verbundenen Sicherheitsvorfällen. Oft werden lediglich Security Rating Services eingesetzt, die Risiken zwar erkennen, aber kaum beseitigen können. Um diesen Risiken wirksam zu begegnen, ist ein Third-Party Risk Management-System erforderlich.

Bereits im Juni wurde eine schwerwiegende Sicherheitslücke im Android-Framework entdeckt. Nun warnt Google erneut: Vor CVE-2024-43093, einer Schwachstelle, die zu einer gefährlichen Rechteausweitung führen könnte.

Trotz vorhandener Backups sind viele Unternehmen nicht in der Lage, ihre Daten nach einem Cyberangriff wiederherzustellen. Woran das liegt erläutern Zerto und IDC in einem gemeinsamen Report.

125.000 Dollar fordern Cyberkriminelle, die Daten von Schneider Electric gestohlen haben. Doch sie wollen das Lösegeld nicht in Form von Bitcoin, sondern verlangen Baguettes.

Im Zuge der umfassenden Digitalisierung aller Unternehmensbereiche spielt das Thema Sicherheit eine entscheidende Rolle. Während sich Daten, Systeme und Netzwerke weitgehend mit technischen Maßnahmen absichern lassen, bleibt der Risikofaktor Mensch oft außen vor. Security Awareness nimmt diesen Bereich in den Fokus und sorgt durch Aufklärung und Trainings dafür, dass sich die Mitarbeiter möglicher Gefahren bewusst sind.

Die Aufgabenverteilung in der Cloud-Sicherheit folgt dem bekannten Prinzip der Shared Responsibility, wonach bestimmte Verantwortlichkeiten bei dem Cloud-Provider liegen, andere bei dem Cloud-Nutzer. Mit der steigenden Bedeutung des Edge Computing jedoch müssen die Karten neu gemischt werden. Nun ist auch der Edge-Provider am Zug. Schwieriger wird es bei dem sogenannten Cloud-Edge Kontinuum.

Die rasante Entwicklung der künstlichen Intelligenz bringt mit Shadow AI eine neue, oft übersehene Herausforderung für Unternehmen. Shadow AI bezeichnet ? analog zur Schatten-IT ? den nicht autorisierten Einsatz von KI-Technologien am Arbeitsplatz. Obwohl diese Technologien Pro­duk­ti­vi­täts­stei­ge­rung­en versprechen, bergen sie erhebliche Risiken für Datensicherheit und Compliance.

Die Industriebranche wird für Cyberkriminelle immer attraktiver, denn Ausfallzeiten kosten richtig Geld. Daher verwundert es nicht, dass immer mehr Cyberangriffe auf diese Branche entfallen. Die Abwehrmaßnahmen müssen dringend verschärft werden!

Eine Cyberattacke auf Medizingeräte ist ein reales und beunruhigendes Szenario. Als Hersteller von Medizin­technik trägt die Richard Wolf GmbH entscheidend zur Gesundheits­ver­sor­gung bei und muss daher spätestens mit der NIS-2-Richtlinie höchste Sicher­heits­standards gewährleisten. Wir zeigen wie das Projekt umgesetzt wurde.