IT Security

Der Security-Experte Marcus Mengs hat eine Reihe von Sicherheitslücken bei der Nutzung von kabellosen Tastaturen und Mäusen von Logitech entdeckt. Der Angreifer kann durch diese Sicherheitslücken Tastatureingaben „mithören“. So lassen sich etwa Passwörter abgreifen und eigene Befehle an einen Fremdrechner schicken. Nach Angaben von Logitech sind alle Tastaturen und Mäuse betroffen, die die Unifying-Funktechnik (erkennbar am orangefarbenen Logo mit Stern) einsetzen.

Eine Schwachstelle in den Kryptographie-Treibern der Cisco Adaptive Security Appliance Software (Cisco ASA) und Firepower Threat Defense (FTD) kann dazu führen, dass ein nicht autorisierter Angreiffern das Gerät neu startet. Dies erfolgt mittels eines modifizierten SSL/TLS Packet.

Für das Microsoft-Betriebssystem Windows besteht eine kritische Schwachstelle im Remote-Desktop-Protocol-Dienst (RDP). Angreifer nutzen die Schwachstelle aus der Ferne, ohne dass der User handeln muss. Die Schadsoftware verbreitet sich selbständig und wurmartig.

Trend Micro hat ein Sicherheitsleck entdeckt, dass seine eigenen Lösungen Apex One, Officescan und Worry-Free Business Security bedroht. Angreifer könnten dadurch beliebige Dateien manipulieren. Updates stehen zum Download bereit.

Oracle wird nach Januar 2019 keine weiteren Updates von Java SE 8 zur gewerblichen Nutzung auf seinen Download-Sites veröffentlichen. Kunden, die weiterhin Zugriff auf kritische Fehlerkorrekturen und Sicherheitslücken, sowie eine allgemeine  Wartung von Java SE 8 oder früheren Versionen  benötigen, können einen langfristigen Support über Oracle Java SE Advanced erhalten. 

Microsoft Exchange Server ist über zwei Sicherheitslücken angreifbar. Die Schwachstellen sind schon seit Ende des vergangenen Jahres bekannt. Nun skizziert ein Sicherheitsforscher in einem Beitrag ein weiteres Angriffsszenario.

Die Digitale Transformation gehört zu den vorrangigen Themen der heutigen Arbeitswelt. Die Art und Weise wie und wo wir zukünftig arbeiten, wird sich weiter ändern. Stark hierarchische Strukturen werden von dynamischen Arbeitsgruppen ersetzt. Und diese Arbeitsgruppen lassen ihrer Kreativität an unterschiedlichen Plätzen freien Lauf. Denn die Zeiten, in denen Arbeitnehmer an einen festen Schreibtischplatz gebunden sind, gehören im Zeitalter des «digitalen Nomaden» immer mehr der Vergangenheit an.

Ab 31. Oktober 2018 akzeptiert Office 365 ausschliesslich TLS-1.2-Verbindungen (Transport Layer Security). Goodbye, TLS 1.1 und 1.0 - mit Handlungsbedarf für IT-Leiter und IT-Engineers. 

Möglicherweise sind archivierte Daten bald nicht mehr rechtssicher, denn die EU-Datenschutzgrundverordnung (DSGVO) tritt in Kraft. Sie wirkt sich auch auf viele Schweizer Firmen aus. Handeln Unternehmen europaweit, müssen sie Arbeitsprozesse und innerbetriebliche Strukturen DSGVO-konform gestalten. Ein in datenschutzrechtlicher Hinsicht sicheres Fundament sowie eine systematische Datenmanagementstrategie sind daher unerlässlich.

Sofortiges Handeln empfohlen: Googles Chrome misstraut bald Symantecs SSL-Zertifikaten. IT-Leiter und Sitebetreiber sehen sich direkt vom SSL-Konflikt um Symantecs Zertifikate (SSL) betroffen. Die erste Deadline ist Mitte März, gefolgt von Mitte April und Ende Oktober 2018.