:quality(80)/images.vogel.de/vogelonline/bdb/1857200/1857221/original.jpg "Zum Ende der Homeofficepflicht versuchen Cyberkriminelle Anmeldedaten mit Phishing-Mails abzugreifen. Ein Bitkom-Experte warnt vor Infiltrierung der Unternehmensnetzwerke.")
:quality(80)/images.vogel.de/vogelonline/bdb/1843800/1843837/original.jpg "Proofpoint stattet Unternehmen unter anderem mit Data Loss Prevention, Zero Trust Network Access und Cloud App Security Broker aus.")
:quality(80)/images.vogel.de/vogelonline/bdb/1856500/1856510/original.jpg "Immer mehr Menschen machen Erfahrung mit kriminellen Vorfällen im Netz.")
:quality(80)/images.vogel.de/vogelonline/bdb/1855800/1855832/original.jpg "Journalisten, Menschenrechtsaktivisten, Anwälte, Politiker, Oppositionelle, Staats-Oberhäupter, aber auch normale Anwender können Opfer der Spionagesoftware „Pegasus“ werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1857600/1857601/original.jpg "BLA")
:quality(80)/images.vogel.de/vogelonline/bdb/1857300/1857352/original.jpg "Zertifizierung ist ein wichtiger Baustein der Informationssicherheit, um Verwaltung und Wirtschaft, aber auch Bürgerinnen und Bürgern, sichere Produkte und Dienstleistungen anzubieten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1857500/1857591/original.jpg "Wie man DNS-Abfragerichtlinien anlegt, mit der PowerShell steuert und damit für mehr Sicherheit in Windows-Netzwerken sorgt, zeigen wir in diesem Artikel.")
:quality(80)/images.vogel.de/vogelonline/bdb/1855700/1855793/original.jpg "Schützen Sie Ihr Unternehmen mit einer starken Firewall vor Cybergefahren wie Zero-Day-Bedrohungen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1857300/1857314/original.jpg "Eset zeichnet Gold- und Platin-Partner aus, die sich auf das Gesundheitswesen spezialisiert haben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1855700/1855771/original.jpg "Mit XDR schaffen Sie Sicherheit auf allen Unternehmensebenen, wie Endpoint, Server, Firewall und E-Mails.")
:quality(80)/images.vogel.de/vogelonline/bdb/1856000/1856073/original.jpg "Es gibt viele Gründe, warum Unternehmen mehrere Plattformen nutzen, aber sie alle stehen vor einem gemeinsamen Problem: Wie kann man eine sich schnell ändernde Anwendungsumgebung schützen, die sich über mehrere Plattformen erstreckt?")
:quality(80)/images.vogel.de/vogelonline/bdb/1857300/1857304/original.jpg "Wer über GitHub-CLI oder APIs auf Git zugreifen möchte, muss seine Authentifizierung auf Token umstellen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1853200/1853297/original.jpg "Was man zu den neuen Standardvertragsklauseln der EU wissen sollte, ein Interview von Oliver Schonschek, Insider Research, mit Stephan Heimel von SEPPmail.")
:quality(80)/images.vogel.de/vogelonline/bdb/1850700/1850785/original.jpg "Angesichts der wachsenden SAP-Bedrohungslage raten SAP-Sicherheitsexperten den Unternehmen dringend zu drei wichtigen Schutzmaßnahmen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1856500/1856533/original.jpg "Gut implementierte und regelmäßig evaluierte Kontrollen legen eine solide Grundlage für Effizienz, Transparenz und Compliance im IAM dar.")
:quality(80)/images.vogel.de/vogelonline/bdb/1851700/1851749/original.jpg "Spätestens seit der Einführung des EU-weiten digitalen Impfpasses ist deutlich, wohin der Trend geht: Wichtige Dokumente in Papierform sollen durch digitale Nachweise ergänzt werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1850100/1850125/original.jpg "Das neue eBook zeigt, was CIAM leisten kann.")
:quality(80)/images.vogel.de/vogelonline/bdb/1841400/1841444/original.jpg "Mit den IT-Awards wählen Sie Ihren individuell favorisierten IT-Anbieter des Jahres.")
:quality(80)/images.vogel.de/vogelonline/bdb/1774100/1774110/original.jpg "SIEM-Lösungen geben Unternehmen den dringend benötigten Überblick über die ihre aktuelle Bedrohungslage - oft sogar in Echtzeit!")
:quality(80)/images.vogel.de/vogelonline/bdb/1774000/1774099/original.jpg "Der Schutz von Benutzer- und Zugangsdaten ist für Unternehmen extrem wichtig, denn fast alle Datendiebstähle geschehen durch den Mißbrauch von Zugangsdaten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1857300/1857356/original.jpg "Kann Deep Learning die Cybersicherheit erhöhen? Dem „Voice of SecOps“-Report zufolge sehen 71 Prozent der IT-Verantwortlichen in Automatisierung eine Chance gegen Bedrohungen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1857200/1857277/original.jpg "Bundestagswahl 2021 – Es braucht einen stärkeren Fokus auf IT-Sicherheit von Seiten der Politik, um Unternehmen bestmöglich zu unterstützen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1856500/1856524/original.jpg "Daten einfach nur so zu betrachten, ist meist wenig zieführend. Um Aussagekraft zu erlangen, müssen Daten in einen Kontext gebettet werden – und dies geschieht über \"Normalisierung\".")
:quality(80)/images.vogel.de/vogelonline/bdb/1841400/1841482/original.jpg "Vor einer Implementierung sollten sich Unternehmen unbedingt Gedanken darüber machen, welche Vorteile sie sich von SD-WAN versprechen, sagt Leon Adato von SolarWinds.")
:quality(80)/images.vogel.de/vogelonline/bdb/1828200/1828269/original.jpg "Kritische Infrastrukturen (KRITIS) sind Unternehmen, Einrichtungen, Organisationen, Anlagen und Systeme, die eine große bedeutung für das staatliche Gemeinwesen haben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig.")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig.")
Browserhersteller monieren Manipulationen Apple, Google & Mozilla misstrauen WoSign und StartCom
Drei Hersteller entziehen den CAs WoSign und StartCom das Vertrauen. Ausgegebene Zertifikate werfen in den Browsern künftig Fehlermeldungen aus. Wer Zertifikate dieser beiden Ausgabestellen in seinen Webseiten oder Applikationen nutzt, sollte sich demnächst Alternativen suchen.
Firmen zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/d4/60d48f9c03ac9/guardicore-logo-purple-rgb.jpeg "guardicore-logo-purple-rgb"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/86/6086c96172e91/ftapi-logo-event.png "FTAPI-Logo-Event.png"){kind=logo}
(Bild: TBIT - pixabay / CC0 )
Die Zertifikatherausgeber WoSign und StartCom wurden von Apple, Google und Mozilla auf eine schwarze Liste gesetzt. Zertifikaten, die nach dem 21. Oktober 2016 ausgestellt werden, wird demnächst nicht mehr vertraut. Die Änderungen werden im Rahmen von Chrome 56, Firefox 51 sowie einem Sicherheitsupdate für Mac OS und iOS umgesetzt. Nutzer, die auf eine Seite mit einem Zertifikate von WoSign oder StartCom surfen, erhalten eine entsprechende Fehlermeldung.
Was steckt dahinter?
Beim chinesischen Zertifikatherausgeber WoSign kam es zu einer ganzen Reihe von Unregelmäßigkeiten bei der Ausgabe von Zertifikaten. Das Unternehmen vergibt freie SSL-Zertifikate, nimmt es aber scheinbar bei der Kontrolle nicht so genau. Das führte unter anderem dazu, dass sich ein Nutzer ein gültiges Zertifikat für Github.io generieren konnte, ohne dass er irgendetwas mit Github zu tun hatte.
Außerdem erwischte Mozilla die CA dabei, wie sie die Ausgabedaten für SHA-1 SSL-Zertifikate zurückdatierte. Dieser Standard gilt als nicht mehr sicher, seit dem ersten Januar 2016 sollten CAs deswegen nur noch SSL-Zertifikate ausgeben, die mittels SHA-2 signiert wurden.
Und StartCom?
Das israelische Zertifikatsunternehmen StartCom ist ebenfalls auf der schwarzen Liste gelandet. Das liegt vor allem daran, dass WoSign das Unternehmen gekauft hat, ohne dies transparent zu machen. Laut dem Google Blog wurden Infrastruktur, Personal und Ausgabesystem durch das von WoSign ersetzt. Als Mozilla das Unternehmen darauf ansprach, versuchten man es dort mit Ausflüchten und gab an, dass "nichts gemeldet werden müsse". Mozilla, Google und Apple sehen dagegen ein regelwidriges Verhalten, das zusammen mit den länger bekannten technischen Schlampereien zum Ausschluss der beiden CAs führte.
Was müssen Verantwortliche tun?
Grundsätzlich sollten sich IT-Verantwortliche, die WoSign- oder StartCom-Zertifikate verwenden, schnellstmöglich nach einer Alternative umsehen. Kostenlose Zertifikate gibt es etwa über Let’s Encrypt, auch wenn hier keine Wildcard-Zertifikate möglich sind. Falls Zertifikate vor dem 19. September 2016 vom Certificate Transparency Projekt registriert wurden, behalten sie ihre Gültigkeit – zumindest solange sie nicht ablaufen oder vom Besitzer zurückgezogen werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1017600/1017623/original.jpg "Wer mit Let's Encrypt seine Webseite verschlüsselt, sollte zumindest mit kleineren Fehlern rechnen, die sich aber rasch ausfindig machen lassen.")
Gratis-SSL-Zertifikat in der Praxis
(ID:44364771)
:quality(80)/p7i.vogel.de/dXohz47slg0CTmw_LOnViHk8Ey4=/500x500/wcms/d1/5d/d15df103667038/profile-image.jpg "Moritz Jäger")
:quality(80)/images.vogel.de/vogelonline/bdb/1266600/1266666/original.jpg "Auf Reisen gibt man sich in die Hände von Fremden - vor allem der Datenschutz leidet. Unsere Tipps helfen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1383800/1383837/original.jpg "Kali Linux bietet zahlreiche Werkzeuge, mit denen sich Speichermedien und Daten forensisch untersuchen lassen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1374900/1374960/original.jpg "Mit Kali Linux lassen sich potentielle Lücken in Servern schnell aufspüren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1784500/1784539/original.jpg "Die Corona-Krise zwang viele Unternehmen zum Umdenken beim Thema Homeoffice und offenbarte zudem, wie wichtig die IT-Sicherheit im Gesundheitssektor ist.")
:quality(80)/images.vogel.de/vogelonline/bdb/1787400/1787492/original.jpg "„Kürzere Laufzeiten für Website-Zertifikate führen nicht zu mehr Sicherheit bei der Online-Kommunikation“ sagt PKI-Experte Enrico Entschew.")