Comretix Blog

Apple möchte die Laufzeit von TLS-Zertifikaten ab 2027 auf zehn Tage begrenzen. Das hat der Konzern dem CA/Browser Forum vorgeschlagen. Die Zertifikate werden zur Verschlüsselung der HTTPS-Verbindungen zwischen Webserver und Client verwendet. Eine Verkürzung der Laufzeit würde, so die Befürchtung vieler Kritiker, Prozesse zur Verlängerung erschweren – Befürworter pochen hingegen auf nachweisbare Sicherheitsgewinne.

Anzeige

TLS- oder SSL-Zertifikate, die formal X.509-Zertifikate heißen, sind derzeit maximal dreizehn Monate (398 Tage) gültig, die häufig verwendeten kostenlosen Zertifikate von "Let's Encrypt" lediglich 90 Tage. Server-Administratoren, die auf Let's Encrypt setzen, verwenden zur Erneuerung daher häufig automatisierte Werkzeuge, die auf dem ACME-Protokoll (Automatic Certificate Management Environment) aufbauen. Solche Automatismen sind weniger fehlerträchtig als händische Prozesse.

In einem auf Github veröffentlichten Abstimmungsvorschlag, dem sogenannten Ballot SC-081, legt Apple den Zeitplan für die Laufzeitverkürzung dar. Beginnend mit dem 15. September 2025 solle die Gültigkeitsdauer schrittweise von derzeit 398 auf künftig 10 Tage gesenkt werden.

Google hatte bereits im vergangenen Jahr versucht, die Laufzeit aller TLS-Zertifikate auf 90 Tage zu beschränken, war damit aber nicht überall auf Gegenliebe gestoßen. Von der seinerzeit deutlich formulierten Idee ist das Google-Team jedoch mittlerweile abgerückt. Die entsprechende Projekt-Seite enthält lediglich den vagen Passus, Google "untersuche die Auswirkungen einer Reduktion von 397 Tagen auf 90 Tage oder weniger". Noch im September dieses Jahres hieß es, man plane die entsprechende Verkürzung in Chrome einzuführen oder zumindest dem CA/Browser Forum vorzuschlagen.

Googles TAG-Team hat eine in freier Wildbahn missbrauchte Sicherheitslücke in Android-Treibern zu Samsungs Mobilprozessoren entdeckt. Samsung schließt sie mit den Sicherheitsupdates für Smartphones im Oktober.

Anzeige

In ihrer Analyse schreiben Googles IT-Sicherheitsforscher, dass im Samsung-Treiber "m2m1shot_scaler0" eine Use-after-free-Sicherheitslücke klafft, die Angreifer bereits ausgenutzt haben. Der Treiber dient Hardware-beschleunigten Multimedia-Funktionen wie JPEG-Dekodierung und Bildgrößenänderungen. Bei einer Use-after-free-Lücke greift der Programmcode fälschlicherweise auf Ressourcen zu, die bereits freigegeben wurden und deren Inhalte daher nicht definiert sind. Das lässt sich oftmals zum Ausführen eingeschmuggelten Schadcodes missbrauchen.

Keine Details zu den Angriffen

Wie die Angriffe aussehen und wer sie auf wen verübt hat, geht aus Googles Analyse nicht hervor. Der Exploit der Schwachstelle ist jedoch Teil einer Kette zur Ausweitung der Rechte im System. Bösartige Akteure führen am Ende beliebigen Code in einem hoch privilegierten "cameraserver"-Prozess aus. Den Prozess hat der Exploit zudem in "Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein." umbenannt, vermutlich, um die forensische Analyse zu erschweren.

Die IT-Forensiker erörtern detailliert, wie der Exploit Speicherseiten aus dem Userspace in I/O-Speicherseiten zuordnet, einen Firmware-Befehl absetzt und schließlich die gemappten I/O-Speicherseiten "einreißt", um so Code im physischen Speicher zu erreichen. Wie die Angriffe auf die Smartphones jedoch konkret aussehen, ob sie etwa mit manipulierten Webseiten, mit präparierten Medienstreams oder gar bösartigen Apps erfolgen, erörtern Googles Mitarbeiter nicht. Sie schreiben jedoch, dass etwa das Galaxy S10 für den Exploit anfällig ist.

Microsoft hat die Update-Vorschauen im Oktober für Windows 11 23H2, 22H2 sowie Windows 10 22H2 veröffentlicht. Zu den wichtigen Neuerungen zählen etwa eine umstellbare Copilot-Taste oder eine optimierte Akkunutzung. Die Vorschau für Windows 11 24H2 soll "in Kürze" folgen.

Anzeige

Die Update-Vorschau mit der KB-Nummer KB5044380 hebt Windows 11 auf den Stand 22621.4391 und 22631.4391. Microsoft hebt einige Verbesserungen hervor, etwa, dass unter "Einstellungen" – "Personalisierung" – "Texteingabe" nun konfigurierbar ist, welche Anwendung die Copilot-Taste öffnen soll. Die auf neuerer Hardware vorhandene Taste öffnet in der Regel die Copilot-App. Sofern die Nutzeranmeldung mit einem Entra-ID-Konto erfolgt, soll sich die M365-App öffnen. In den Einstellungen lassen sich nun auch andere Apps auswählen, unter der Voraussetzung, dass sie in einem signierten MSIX-Paket vorliegen. Die Entwickler nennen eine weitere Einschränkung: Hat der PC keine Copilot-Taste, bewirkt die Einstellung nichts.

Laptops konnten zudem zu viel Strom verbrauchen, sofern sie sich im "modernen Standbymodus" befanden, das soll das Update korrigieren. Auf einigen Systemen konnte eine Outlook-Besprechungserinnerung dazu führen, dass eine Teilnahme an einer Teams-Sitzung nicht möglich war. Bei der Nutzung von Multifunktionsdruckern mit Anbindung durch ein USB-Kabel konnte ein Netzwerkbefehlstext ausgegeben werden – die konkreten Auswirkungen davon beschreibt Microsoft jedoch nicht.

Ein schrittweiser Rollout ist für weitere Änderungen vorgesehen. Für Spieler dürfte die Einführung eines neuen Gamepad-Tastaturlayouts für die Bildschirmtastatur unter Umständen interessant sein – es soll die Möglichkeit liefern, sich mit dem Xbox-Controller auf dem Bildschirm zu bewegen und Eingaben vorzunehmen. "Vorschläge zum Deaktivieren von Benachrichtigungen" im Systemtray lassen sich deaktivieren, etwa durch Klicken der drei Punkte ("...") neben der Benachrichtigung oder unter "Einstellungen" – "System" – "Benachrichtigungen". "Alle Apps" im Startmenü erfährt eine Umbenennung in "Alle".

Damit US-Behörden die Sicherheit ihrer Microsoft-Cloud-Nutzung selbst prüfen können, hat die US-Sicherheitsbehörde CISA ScubaGear entwickelt. Das deckt verbreitete Konfigurationsfehler, Policy-Verstöße und andere Sicherheitsprobleme systematisch auf und gibt praktische Hinweise, wie man diese Probleme beseitigt. Unser erstes Scuba-Webinar war ausverkauft, deshalb bieten wir es am 4. Dezember erneut an.

Anzeige

Das heise-security-Webinar erklärt das Konzept und die Funktionsweise des Tools. Es zeigt ganz konkret, wie man es selbst nutzen kann, um die Sicherheit seines M365-Tenants zu verbessern. Dazu gehört auch, wie Sie das US-amerikanische Tool in einem deutschen beziehungsweise europäischen Kontext sinnvoll einsetzen.

Im Webinar geht es vor allem darum, reale Angriffe zu verhindern. Der Referent Tim Mittermeier erläutert dazu typische Angriffstechniken der Angreifer, um sich Zugriff auf Cloud-Infrastrukturen zu verschaffen und Privilegien zu erhöhen. Darauf aufbauend erklärt er mit praktischen Beispielen, wie man solche Schwachstellen in Microsoft Entra ID und M365 mit ScubaGear – und anderen, vergleichbaren Werkzeuge – gezielt aufspüren kann. Abschließend gibt er Tipps zur Härtung der Entra-Mandanten und M365-SaaS-Applikationen. Administratoren und Sicherheitsverantwortliche erhalten damit direkt umsetzbare Hilfestellung bei der sicheren Konfiguration ihres M365-Tenants.

Das Webinar am 4. Dezember dauert etwa 90 Minuten und sieht dabei reichlich Zeit für Ihre Fragen und natürlich die Antworten darauf vor. Es richtet sich an alle, die Microsoft 365 in Unternehmen oder Behörden einsetzen und dabei auch für dessen Sicherheit und Compliance verantwortlich sind. Die Teilnahme kostet regulär 145 Euro; bis zum 5. November gilt der Frühbucher-Tarif von 129 Euro. Mitglieder von heise security PRO können natürlich kostenlos daran teilnehmen und dieses und viele weitere heise-security-Webinare jederzeit in der exklusiven PRO-Mediathek abrufen.

Broadcom hat Updates für den VMware vCenter Server herausgegeben, die eine kritische sowie eine hochriskante Sicherheitslücke darin schließen. Es handelt sich um den zweiten Versuch, die Schwachstellen abzudichten.

Anzeige

Bereits Mitte September hatte Broadcom die Sicherheitsmitteilung mitsamt einer Software-Aktualisierung veröffentlicht. Jetzt hat das Unternehmen die Mitteilung aktualisiert und schreibt dort: "VMware by Broadcom hat herausgefunden, dass die vCenter-Patches vom 17. September 2024 die Schwachstelle CVE-2024-38812 nicht vollständig ausbessern. Alle Kunden werden nachdrücklich aufgefordert, die in der Response Matrix aufgelisteten Patches zu installieren. Zudem sind nun Patches für die vCenter 8.0 U2-Reihe verfügbar".

Bei der Sicherheitslücke mit dem CVE-Eiintrag CVE-2024-38812 handelt es sich um einen Heap-basierten Pufferüberlauf, den die Entwickler mit einem CVSS-Wert von 9.8 als kritisches Risiko einstufen. Angreifer können durch Senden manipulierter Netzwerkpakete an verwundbare Maschinen den Fehler in der Implementierung des DCERPC-Protokolls auslösen und dadurch Schadcode einschleusen und ausführen.

Die fehlerkorrigierten Versionen lauten jetzt VMware vCenter 8.0 U3d, 8.0 U2e und 7.0 U3t sowie VMware Cloud Foundation 8.0 U3d, 8.0 U2e und 7.0 U3t. Die Versionen sind allesamt höher als die bisher verfügbaren, offenbar unwirksamen Updates aus dem September.

Kritische Infrastrukturen (KRITIS) unterliegen nach § 8a Abs. 1 BSIG besonderen Sicherheitsanforderungen. Die Betreiber dieser Unternehmen und öffentlichen Einrichtungen sind verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig nachzuweisen, dass ihre IT-Sicherheit dem aktuellen Stand der Technik entspricht. Dazu müssen sie angemessene organisatorische und technische Maßnahmen ergreifen, um Störungen zu vermeiden, die die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme gefährden können.

Anzeige

In unserem zweitägigen Workshop KRITIS: Spezielle Prüfverfahrenskompetenz für § 8a BSIG erhalten Sie einen umfassenden Überblick über die Anforderungen von KRITIS und können sich gezielt auf Prüfungen für § 8a BSIG vorbereiten. Nach bestandener Abschlussprüfung am Ende der Schulung erhalten die Teilnehmenden die Zusatzqualifikation "Spezielle Prüfverfahrenskompetenz für § 8a BSIG". Damit sind sie berechtigt, Sicherheitsprüfungen für § 8a BSIG im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik durchzuführen.

Der Workshop wird von Andre Windsch geleitet. Als Senior Expert bei der HiSolutions AG verantwortet er dort das Themenfeld „Kritische Infrastrukturen“ nach BSI-Gesetz. In seinem Aufgabenbereich unterstützt er Betreiber Kritischer Infrastrukturen aus den unterschiedlichsten Branchen und Sektoren bei der Umsetzung der spezifischen Anforderungen.

Dieser iX-Workshop folgt dem BSI-Schulungskonzept und richtet sich insbesondere an Auditoren wie interne Revisoren, Revisoren, Wirtschaftsprüfer mit IT-Revisionserfahrung sowie Mitarbeitende von Revisionsgesellschaften und Betreibern kritischer Infrastrukturen. Um einen intensiven Austausch untereinander und eine optimale Vorbereitung auf die Prüfung und Zertifizierung zu ermöglichen, ist diese Schulung auf 12 Teilnehmende beschränkt.

Meta Platforms plant mit Gesichtserkennung gegen Scammer vorzugehen, die mit bekannten Persönlichkeiten werben oder sich als solche ausgeben. Denn Werbekampagnen etwa bei Facebook werden automatisiert geprüft, wobei Methoden Künstlicher Intelligenz wie maschinelles Lernen genutzt werden. Jetzt wird dafür testweise Gesichtserkennung hinzugezogen. Das testet der Facebook-Konzern auch bei verlorenen Zugängen zu eigenen Profilen. Künftig sollen auch Video-Selfies zur Identifikation und damit zur Wiederherstellung von Nutzerkonten genügen, wenn das erkannte Gesicht zu Bildern des Profils passt.

Anzeige

Dabei hat der Konzern keine guten Erfahrungen mit Gesichtserkennung. Jahrelang hatte Facebook die Gesichter mehr als einer Milliarde Menschen biometrisch ausgewertet – oft ohne Einwilligung. Nach Protesten von Bürgerrechtlern 2021 hat Meta Facebooks Gesichtserkennungs-Profile gelöscht. Verklagt wurde das Unternehmen trotzdem. 2022 hat Meta Nutzer in Illinois wegen der unerlaubten Gesichtserkennung in Facebook entschädigt, was auf 650 Millionen US-Dollar hinauslief. Teurer wurde es in Texas. Dort kostete die Gesichtserkennung Meta 1,4 Milliarden Dollar.

Jetzt will der Facebook-Konzern Gesichtserkennung produktiv zu positiven Zwecken verwenden. Ein Ansatzpunkt ist der Kampf gegen Scam auf den eigenen Plattformen. Scammer nutzen oft Bilder bekannter Persönlichkeiten, um für ihr Angebot zu werben und Klicks zu generieren (Celeb-Bait). Solche Angebote würden vielfach dazu genutzt, um persönliche Daten und sogar Geld abzugreifen. Das verstoße gegen die Nutzungsbedingungen, schreibt Meta, und würde den Nutzern schaden.

Da Werbung auf den Meta-Plattformen nicht von Menschen, sondern automatisiert geprüft und freigegeben wird, würden manche Scamming-Methoden nicht erkannt. Nun will der Konzern Gesichtserkennung einsetzen, um missbräuchliche Kampagnen mit Prominenten besser herausfiltern zu können. Das habe Meta mit einer kleinen Gruppe von Berühmtheiten erfolgreich getestet und werde in den kommenden Wochen ausgebaut. Die betroffenen Personen werden darüber informiert und können selbst entscheiden, ob sie daran teilnehmen (Opt-out). Meta verspricht, alle während des Prozesses der Gesichtserkennung gesammelten Daten nach Abschluss der Prüfung zu löschen.

In sozialen Netzen verdichten sich die Informationen, dass Fortinet mit aktualisierten Versionen von FortiManager eine Sicherheitslücke abdichtet, die bereits in freier Wildbahn angegriffen wird. Der IT-Sicherheitsforscher Kevin Beaumont warf bereits Ende vergangener Woche auf Mastodon die Frage auf, ob die "FortiManager Zero-Day-Situation bereits einen CVE-Eintrag oder einen Patch erhalten hat".

Anzeige

Am Wochenende legte Beaumont nach, dass sechs neue Versionen von FortiManager erschienen seien, die die Zero-Day-Lücke in dem Produkt schließen sollen. Ein CVE-Eintrag oder eine Problembeschreibung fehlen derweil noch immer. Auf Reddit stellen sich Betroffene die Frage, wofür etwa das Release FortiManager 7.2.8 gut sei. Die jüngsten Beiträge im Mastodon-Thread deuten darauf, dass offenbar bösartige Akteure falsche FortiGates im FortiManager mit Hostnamen wie "localhost" registrieren und diese dazu missbrauchen, Schadcode einzuschleusen und auszuführen. Beaumont ist ein in der Regel gut informierter IT-Sicherheitsforscher.

Offenbar hat Fortinet einige Kunden bereits "im Privaten" darüber informiert, dass Updates bereitstehen und diese zügig installiert werden sollten. Die aktualisierten Fassungen lauten demnach FortiManager 7.6.1, 7.4.5, 7.2.8, 7.0.13 sowie 6.4.15 oder neuere.

Diese stehen beim Hersteller auf den IT-Verantwortlichen bekannten Wegen zum Herunterladen zur Verfügung. Admins sollten die Aktualisierungen zügig anwenden, da die Schwachstelle – derzeit lediglich Gerüchten zufolge – bereits ausgenutzt wird. Die Übersichtsseite des Fortiguard PSIRT (alle Produkte von Fortinet im Link aktiviert) zeigt derzeit lediglich eine Fehlermeldung an, dass sie nicht erreichbar sei. Im Laufe des Tages fanden sich dort jedoch lediglich ältere Hinweise, die bis zur vergangenen Woche reichten. Zu FortiManager war kein neuer Eintrag vorhanden.

Im Webmailer Roundcube, der etwa im universitären Umfeld und auch bei Regierungsorganisationen häufig zum Einsatz kommt, versuchen Angreifer, eine Sicherheitslücke zu missbrauchen. Die Angreifer versuchten konkret, Zugangsdaten und weitere Mails der potenziellen Opfer abzugreifen, sie also auszuspähen.

Anzeige

Positive Technologies schreibt in einer Analyse, dass sie die Angriffe im September 2024 entdeckt haben. Eine E-Mail, die auf den Juni datierte, wurde dort an eine Regierungsorganisation eines GUS-Staates gesendet. Die E-Mail schien keinen Text zu enthalten, lediglich einen Anhang. Im Client wurde der Anhang jedoch nicht angezeigt. Ein Java-Befehl im Mail-Body dekodierte Javascript-Code, der ausgeführt wird. Der Attribut-Name "href " mit einem zusätzlichen Leerzeichen sei Indiz dafür gewesen, dass die Sicherheitslücke CVE-2024-37383 in Roundcube attackiert wurde.

Bei der Schwachstelle handelt es sich um eine Cross-Site-Scripting-Lücke bei der Verarbeitung von SVG-Animate-Attributen. Sie wurde in den Versionen Roundcube 1.5.7 und 1.6.7 im Mai geschlossen. Durch die Lücke können Angreifer Javascript-Code im Kontext von Nutzern ausführen lassen.

Die Angreifer-Mail hat mit den dekodierten Javascript-Anweisungen ein leeres Dokument "Road map.docx" gespeichert, das Base64-kodiert wurde. Zudem versuchten sie, Nachrichten vom Mailserver mit dem Managesieve-Plug-in zu erhalten. Außerdem zeigte der Code ein Autorisierungsformular für die Zugangsdaten zum Roundcube-Client an. Hier hoffen die Angreifer, dass die Felder automatisch oder manuell von den Opfern befüllt werden, die glauben, dass sie sich erneut anmelden müssen.

Um die Sicherheit seiner Cloud-Dienste zu verbessern, hat Google ein neues Bug-Bounty-Programm gestartet. Dabei können Sicherheitsforscher bis zu 100.000 US-Dollar für das Entdecken einer Sicherheitslücke kassieren. Das geht aus einem aktuellen Beitrag hervor.

Anzeige

Das Ziel ist es, Sicherheitslücken vor Angreifern zu entdecken und die Schwachstellen zu schließen. Google gibt an, dass Sicherheitsforscher ab sofort mehr als 150-Cloudservices unter die Lupe nehmen können, die sensible Nutzerdaten verarbeiten. Darunter sind Dienste wie Cloud Scheduler, Looker und Vertex AI.

In einem Beitrag hat Google die Spielregeln für das Bug-Bounty-Programm zusammengetragen. Nur wenn sich Sicherheitsforscher daran halten, haben sie Anspruch auf eine Geldprämie. Beispielsweise zählen Attacken durch Sicherheitslücken in veralteten Browser-Plug-ins nicht.

Erfüllt ein Bericht eines Sicherheitsforschers die Anforderungen und entdeckt er in einem Cloud-Produkt auf Tier 1 eine Schadcode-Lücke, winken maximal 101.010 US-Dollar. Auch die Qualität eines Reports zu einer Lücke beeinflusst die Höhe des Geldbetrags. Wichtig ist vor allem eine nachvollziehbare Beschreibung, sodass die Google-Techniker den Bug nachvollziehen können. Hinweise zu Schwachstellen reichen Sicherheitsforscher über ein Onlineformular ein.

Online-Betrüger versuchen inzwischen, potenzielle Opfer zur Installation bösartiger Apps zu verleiten. Zudem versuchen sie, an Daten von Empfängern zu gelangen, die auf eine Rundfunkgebühren-Erstattung hoffen. Davor warnt die Verbraucherzentrale Nordrhein-Westfalen.

Anzeige

Die Online-Betrüger schicken Nachrichten, die Druck aufbauen, sodass Opfer die bösartige "ElsterSecure+"-App installieren.

(Bild: Verbraucherzentrale NRW)

In einer aktuellen Mitteilung erklären die Verbraucherschützer, dass zum vorvergangenen Wochenende Phishing-E-Mails in den Postfächern von Empfängern landeten, die diese mit dem Betreff "Ihr Digitales Zertifikat - Handlungsbedarf" zur Installation der App "ElsterSecure+" aufforderten. Druck baut der Nachrichtentext dadurch auf, dass er auf "Mitwirkungspflicht im Rahmen der steuerlichen Nachweisführung" hinweist. Die Installation der App sei nötig, sie diene "der sicheren Authentifizierung und dem Schutz ihrer sensiblen Daten im Rahmen der digitalen Steuerkommunikation".

Microsoft beendet nun in den Azure-Cloud-Systemen die Unterstützung der Protokolle TLS 1.0 und TLS 1.1. Zum 31. Oktober zieht das Unternehmen den als veraltet geltenden Protokollen dort den Stecker. Das hat Auswirkungen, etwa auf spezielle Anwendungen.

Anzeige

Ende August hatte Microsoft nochmals auf das Support-Ende der als unsicher geltenden TLS-Altlasten hingewiesen. Nach dem 31.10.2024 erfordern Verbindungen für Interaktionen mit den Azure-Diensten demnach mindestens eine Sicherung mit TLS 1.2 oder höher. Microsoft will damit die Sicherheit erhöhen und eine "erstklassige Verschlüsselung ihrer Daten" gewährleisten.

Dem gehen jedoch keine konkreten Angriffe voraus, es sei "nicht bekannt, dass die Microsoft-Implementierung älterer TLS-Versionen gefährdet ist". Bezüglich des Schutzes vor Knacken mitgeschnittener Kommunikation mittels "Perfect Forward Secrecy" und allgemein stärkeren Cipher Suites böten TLS 1.2 und spätere Versionen jedoch bessere Sicherheit.

Ein jüngerer Microsoft-Artikel von Ende September spricht jedoch davon, dass etwa Azure Front Door TLS 1.0 und TLS 1.1 noch bis Ende November 2024 unterstützt. Das betreffe auch Nutzerinnen und Nutzer des Dienstes Azure CDN. Warum Microsoft hier unterschiedliche Daten nennt, bleibt unklar.

Mehrere Anwendungen von IBM sind für DoS-Attacken anfällig. Nun sind Sicherheitsupdates erschienen, die mehrere Lücken schließen.

Anzeige

Am gefährlichsten gilt in diesem Kontext eine Schwachstelle (CVE-2023-51775 "hoch") in SPSS Collaboration and Deployment Services von WebSphere Application Server. Konkret betrifft die Lücke die jose4j-Bibliothek.

Wie so eine Attacke ablaufen könnte, ist derzeit nicht bekannt. Unklar bleibt auch, ob es bereits Attacken gibt und wie Admins bereits kompromittierte Systeme erkennen können. Wie aus einer Warnmeldung hervorgeht, ist die Ausgabe 8.5.0.0-IM-ScaDS-REPOSITORYSERVER-IF014 gegen die geschilderte Attacke gerüstet.

Darüber hinaus haben die Entwickler noch weitere DoS-Schwachstellen (CVE-2024-45085 "mittel", CVE-2024-7254 "hoch") in WebSphere Application Server geschlossen. An dieser Stelle betrifft eine Schwachstelle etwa die Google-Protocol-Buffers-Bibliothek.

In einer Zeit, in der Informationssicherheit immer wichtiger wird, sind kompetente Informationssicherheitsbeauftragte (ISB) gefragter denn je. Sie spielen eine Schlüsselrolle, wenn es darum geht, Sicherheitsrisiken zu minimieren und den Schutz sensibler Daten zu gewährleisten. Mitarbeiter werden zu Informationssicherheitsbeauftragten (ISB) ernannt. Hierbei sollte für Leitung wie auch zukünftige Beauftragte klar sein, welche Erwartungen, Verantwortlichkeiten und Befugnisse mit der Rolle verbunden sind und welche Kompetenzen hierfür erforderlich sind.

Anzeige

Der Einstiegsworkshop Startklar: Ihre Rolle als Informationssicherheitsbeauftragte bietet einen umfassenden Überblick über die Aufgaben und Verantwortlichkeiten von ISBs, wie auch die Anforderungen, die an diese gestellt werden. Die Schulung erläutert zudem den Stellenwert des ISB im Unternehmen, sowie die notwendigen Rahmenbedingungen, die von der Organisationsleitung geschaffen werden müssen, damit ein ISB seine Rolle effektiv steuern und angehen kann.

Zu Beginn des Workshops werden Grundlagen zur Informationssicherheit und zum Informationssicherheitsmanagement vorgestellt. Wir stellen dar, weshalb die Tätigkeiten von ISBs in ein Managementsystem integriert sein sollten und wie diese arbeiten. Prototypisch orientieren wir uns an einem ISMS nach ISO 27001 als international führenden Standard.

Im weiteren Verlauf stellen wir Aufgaben und Verantwortlichkeiten sowie die Stellung innerhalb einer Organisation vor. Wir betrachten, welche Kenntnisse in Bezug auf Informationssicherheit, IT und soziale Fähigkeiten von Vorteil sind. Zudem werden die Schnittstellen des ISB zu internen und externen Akteuren, Teamarbeit, notwendige fachliche Kenntnisse und Soft-Skills besprochen. Der Workshop schließt mit einer Übersicht über relevante Schulungen und unterstützende Tools.

Atlassian hat das Security-Bulletin für den Oktober veröffentlicht. Darin beschreibt das Unternehmen sechs Sicherheitslücken, die in Bitbucket, Confluence und Jira klaffen. Aktualisierte Software steht bereit, die die Schwachstellen ausbessert.

Anzeige

In der Sicherheitsmitteilung erörtern Atlassians Entwickler, dass etwa die gebündelte Java Runtime Environment (JRE) in Bitbucket Data Center und Server nicht authentifizierten Angreifern ermöglicht, unbefugt Daten lesen, löschen, schreiben oder verändern können (CVE-2024-21147, CVSS 7.4, Risiko "hoch"). Bitbucket Datacenter 9.2.1 und 8.19.19 (LTS) korrigieren die Fehler, ebenso Bitbucket Data Center und Server 8.9.20 (LTS) – und natürlich jeweils neuere Fassungen.

In Confluence Data Center und Server hingegen gefährden etwa eine Stored Cross-Site-Scripting-Lücke (CVE-2024-4367, CVSS 8.1, hoch), eine Regular Expression Denial-of-Service (ReDoS)-Lücke (CVE-2022-31129, CVSS 7.5, hoch), eine Directory-Traversal-Schwachstelle (CVE-2022-24785, CVSS 7.5, hoch) sowie eine Denial-of-Service-Sicherheitslücke (CVE-2024-29131, CVSS 7.3, hoch) die Sicherheit der Software. Confluence Data Center neuer als 9.0.0 oder von 8.9.3 bis 8.9.7 und Confluence Data Center und Server 8.5.11 bis 8.5.16 sowie 7.19.26 bis 7.19.28 (LTS) und aktueller stopfen die Sicherheitslecks.

In Jira Data Center und Server hingegen können Angreifer aus dem Netz ohne vorherige Authentifizierung einen Stack-basierten Pufferüberlauf auslösen (CVE-2024-7254, CVSS 7.5, hoch). Dies habe lediglich Einfluss auf die Dienstverfügbarkeit, erörtern Atlassians Entwickler. Es handelt sich offenbar um eine DoS-Lücke, sie scheint der Beschreibung nach keine Ausführung von eingeschleustem Code zu erlauben, was bei Pufferüberläufen oft der Fall ist. Jira Data Center 10.1.1 und 5.17.4 sowie Jira Data Center und Server 5.12.14 (LTS) korrigieren den sicherheitsrelevanten Fehler.

Das Internet Archive wird weiterhin angegriffen. Laut The Verge und Einträgen auf Reddit haben Unbekannte offenbar Zugriff auf Systeme der Organisation und damit am Sonntag massenhaft E-Mails verschickt. Die seien an Adressen gegangen, über die Kontakt zum Internet Archive aufgenommen wurde. In den Mails wurde demnach beklagt, dass beim Internet Archive noch immer nicht gründlich genug gegen den Cyberangriff vorgegangen werde. Abschließend heißt es: "Wir hoffen, dass sie sich jetzt zusammenreißen können."

Anzeige

Vom Internet Archive selbst gibt es bislang noch keine Stellungnahme zu dem jüngsten Vorgang. Laut den E-Mails, deren Wortlaut The Verge öffentlich gemacht hat, haben die Unbekannten dank eines nicht ungültig gemachten Zugangs-Token Zugriff auf den Zendesk-Account des Internet Archive. Damit können sie nach eigenen Angaben mehr als 800.000 Support-Anfragen einsehen – und beantworten – die seit 2018 an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. gesendet wurden. Dass der Token weiterhin gültig sei, sei die Schuld des Internet Archive, heißt es in den E-Mails. Nur deshalb hätten die Informationen in die Hände "irgendeines Typs" gelangen können: "Wenn nicht ich, dann jemand anders."

Das Internet Archive ist seit Anfang des Monats im Visier unbekannter Angreifer. Unter anderem war es dabei gelungen, 30 Millionen Nutzerdaten von der Organisation zu erbeuten. Dahinter steckt wohl eine russische Hackergruppe. Hinzu kamen ein DDoS-Angriff und eine Defacement-Attacke, wobei es zwischen den Vorgängen wohl keinen direkten Zusammenhang gab. Auch deshalb ist unklar, von wem jetzt die E-Mails versendet wurden und in wessen Händen die dafür benötigten Zendesk-Daten sind. Unbekannt ist auch, warum die Organisation überhaupt so umfangreich attackiert wird.

Das Internet Archive hat es sich zur Aufgabe gemacht, flüchtige Daten für die Nachwelt aufzubewahren: Webseiten, Bücher, aber auch historische Software, Apps und Filme. Die nach US-Recht gemeinnützige Organisation hat dafür seit fast 30 Jahren einen gewaltigen Datenschatz angesammelt. Besonders bekannt und beliebt ist die Wayback Machine, mit der man sich alte Versionen von Internetseiten ansehen kann. Außerdem hat die Organisation den kleinen Inselstaat Aruba dabei unterstützt, große Teile des kulturellen Erbes zu digitalisieren und die Dokumente dann im Internet verfügbar gemacht.

Das IT-Sicherheitsunternehmen Sophos wird die US-amerikanische Cybersecurityfirma Secureworks übernehmen. Eine entsprechende endgültige Übernahmevereinbarung für 859 Millionen US-Dollar in bar machte das in Großbritannien ansässige Unternehmen am Montag öffentlich. Sophos hofft, durch den Deal seine Produktpalette für Unternehmenskunden weltweit zu stärken.

Anzeige

"Die Erfahrung und der Ruf von Sophos als führender Anbieter von Managed Security Services und End-to-End-Sicherheitsprodukten in Kombination mit dem in die Taegis-Plattform eingebrachten Fachwissen von Secureworks im Bereich der Sicherheitsabläufe wird voraussichtlich zu weiteren ergänzenden fortschrittlichen MDR- und XDR-Lösungen führen, von denen ihre globalen Kunden profitieren", heißt es in einer Pressemitteilung von Sophos. XDR (Extended Detection and Response) und MDR (Managed Detection and Response) sind fortschrittliche Konzepte in der IT-Sicherheit. Sie zielen auf eine umfassende Bedrohungserkennung und -abwehr ab. Sophos hat seine Stärken bei Cloud- und Netzwerksicherheitslösungen, während die Dell Technologies-Tochter Secureworks Produkte für die Erkennung fortgeschrittener Cyber-Bedrohungen anbietet, wie die erwähnte Cloud-basierte Plattform Taegis.

"Sophos plant, die Lösungen beider Unternehmen in ein breiteres und stärkeres Sicherheitsportfolio zu integrieren", erklärte ein Unternehmenssprecher gegenüber heise online. "Dazu gehört, dass Sophos sein aktuelles Portfolio um weitere neue Angebote wie Erkennung von und Reaktion auf Identitätsbedrohungen (ITDR), SIEM-Funktionen der nächsten Generation, Sicherheit in der operativen Betriebstechnologie (OT) und verbesserte Priorisierung von Schwachstellenrisiken erweitert."

Laut der Nachrichtenagentur Reuters hat Secureworks trotz Anwendungen wie Taegis Schwierigkeiten, seine Produkte im Wettbewerb mit größeren Cybersicherheitsanbietern zu unterscheiden. Im zweiten Quartal des Jahres meldete das Unternehmen demnach einen Verlust von 17 US-Cent pro Aktie. Eigentümer Dell Technologies ließ daraufhin das Interesse von potenziellen Käufern an einer Übernahme prüfen. Frühere Verkaufsversuche waren erfolglos geblieben.

Neue regulatorische Anforderungen auf EU-Ebene durch den Cyber-Security-Act veranlassen Hersteller, ihre erstellte Software und Hardware in Bezug auf Sicherheit zu prüfen und zertifizieren zu lassen. Doch welche Richtlinien und Vorgaben müssen in Deutschland und auf dem europäischen Markt berücksichtigt werden?

Anzeige

In unserem Online-Workshop CRA-konform: Digitale Produkte auf Sicherheit prüfen und zertifizieren erhalten Sie an zwei Vormittagen einen umfassenden Einblick in die gängigen Verfahren auf diesem Gebiet. Dazu gehören unter anderem die Common Criteria for Information Technology Security Evaluation (CC), das beschleunigte Sicherheitszertifizierungsverfahren (BSZ) des Bundesamtes für Sicherheit in der Informationstechnik sowie das Sicherheitsframework NESAS (Network Equipment Security Assurance Scheme) und Prüfungen nach IEC 62443-4-2 (Industrial Security).

Sie gewinnen ein Verständnis für die angewandten Prüfungsmethoden und lernen, wie Sie die notwendigen Schutzmaßnahmen in Ihre IT-Produkte integrieren können. Ihr Trainer Sebastian Fritsch ist Leiter der BSI Common Criteria (CC) Prüfstelle der secuvera und verfügt über mehr als 10 Jahre Erfahrung als Gutachter, Auditor und Berater.

Der nächste Workshop findet am 19. und 20. November 2024 jeweils von 9:00 bis 12:30 Uhr statt. Die Schulung bietet ausreichend Gelegenheit für individuelle Fragen und den Austausch mit Experten.

Microsoft hat Details zu einer macOS-Lücke veröffentlicht, mit der es unter Umständen möglich war, sensible Browser-Daten in Apples Safari abzugreifen – darunter auch den Zugriff auf Kamera, Mikrofon und weitere Informationen. Betroffen waren Firmen- und Bildungskunden, deren Geräte mittels Mobile Device Management (MDM) administriert werden, nicht jedoch reguläre Anwender.

Anzeige

Der Fehler trägt die CVE-ID 2024-44133 und wurde im Rahmen der Veröffentlichung von macOS 15 Sequoia am 16. September behoben – in macOS 14.7, das gleichzeitig veröffentlicht wurde, allerdings aus bislang unklaren Gründen nicht. Apple beschreibt den Bug selbst so: "Auf Geräten, die über MDM verwaltet werden, kann eine App möglicherweise bestimmte Datenschutzeinstellungen umgehen." Betroffen sind alle aktuellen Macs: iMac ab 2019, iMac Pro ab 2017, Mac Studio ab 2022, Mac Pro ab 2019, Mac mini ab 2018, MacBook Air ab 2020 und MacBook Pro ab 2018.

Der Fehler, den Microsofts Sicherheitsteam "HM Surf" getauft hat, betrifft die Art, wie macOS Zugriff auf sensible Systemfunktionen erteilt – im Rahmen der TCC-Technik (Transparency, Consent and Control). Wie Microsoft festgestellt hat, wurden für Safari verschiedene lokale Dateien vorgehalten, die die TCC-Policy für den Browser steuern. Sie schreiben unter anderem fest, wenn man einer Website Zugriff auf Kamera oder Mikrofon erteilt hat.

Den Microsoft-Forschern gelang es, die TCC-Dateien zu verändern, indem sie das Home-Verzeichnis kurzzeitig veränderten, was durch TCC eigentlich nicht möglich sein dürfte. Dabei setzten sie das Kommandozeilenwerkzeug DSCL ein. Nach Veränderung des Home-Verzeichnisses war es möglich, die Safari-TCC-Konfiguration zu verändern; anschließend wurde das Home-Verzeichnis wieder zurückgesetzt, sodass die veränderte Konfiguration ausgelesen wurde, um einer Angreifer-Website Zugriff auf die Kamera oder das Mikrofon zu erteilen.

Wie eng verzahnt und anfällig für Achillesfersen die IT-Infrastruktur ist, hat zuletzt das Crowdstrike-Debakel gezeigt, bei dem ein Softwarefehler weltweit bei 8,5 Millionen Windows-System zu Totalausfällen führte. Der IT-Sicherheitstag an der Westfälischen Hochschule Gelsenkirchen zeigt am 21. November, wie Sicherheitsverantwortliche, Security-Experten und IT- Projektleiter mit der steigenden Komplexität der Systeme in ihren Unternehmen umgehen können.

Anzeige

Das Programm bietet den Teilnehmern dabei viele Möglichkeiten, sich untereinander und mit den Referenten zu vernetzen – letztere stehen in offenen Diskussionsrunden zur Beantwortung der drängendsten Fragen bereit. Veranstalter sind das Institut für Internetsicherheit und die heise academy.

Neben einer allgemeinen Einordnung zu Sicherheitswerkzeugen und Technologien, mit der Unternehmen die Komplexität managen können, beleuchtet eine Panel-Diskussion, wie man den regulatorischen Anforderungen begegnet und gegenüber sich ständig wandelnden Bedrohungen wettbewerbsfähig und resilient bleibt. Außerdem geht es darum, wie man seine empfindlichen Unternehmensdaten clientseitig verschlüsselt, damit das Lagern der Daten bei Cloudanbietern zu weniger Kopfschmerzen führt. Ein weiterer Vortrag zeigt, wie man digitale Signaturen nutzt, um seine Unternehmenskommunikation gegen Spear-Phishing-Angriffe zu wappnen.

Besonders ärgerlich ist es, wenn man selbst abgesichert ist, es aber einen Dienstleister in der eigenen Supply Chain trifft, von dem aus sich der Angriff ins eigene Netz ausbreitet. Auch im Zuge von NIS2 und dem Cyber Resilience Act (CRA) der EU müssen sich Unternehmen Gedanken über die Sicherheit ihrer IT-Lieferkette machen oder sich bewusst sein, dass sie ein wichtiges Kettenglied für andere Firmen darstellen. Die Software Bill of Materials (SBOM) hilft Unternehmen, die Anforderungen in Verträge und Prozesse zu integrieren, um rechtliche Risiken zu minimieren und die Sicherheit ihrer IT-Lieferketten zu gewährleisten.