Aktuelles, Branche - geschrieben von dp am Freitag, April 20, 2018 22:52 - noch keine Kommentare
beA: Offenbar neue Sicherheitslücke entdeckt
Rechtsanwaltsverzeichnis im besonderen elektronischen Anwaltspostfach hätte manipuliert werden können
[datensicherheit.de, 20.04.2018] Im bundeseinheitlichen Rechtsanwaltsverzeichnis soll vor Kurzem eine große Sicherheitslücke entdeckt worden sein, zurückzuführen auf eine veraltete, für „Oracle“-Angriffe anfällige „Java“-Komponente. Dieses Anwaltsregister ist Teil des Besonderen elektronischen Anwaltspostfachs (beA) – theoretisch hätten Angreifer die Anwaltsdatenbank somit manipulieren können. Bereits im Januar 2018 hatte sich ein ähnlicher Vorfall mit einigen anderen Anwendern dieser Softwarekomponente ereignet. Julian Totzek-Hallhuber, „Principal Solution Architect“ bei CA Veracode, hat den aktuellen Vorfall kommentiert.
Anscheinend nichts gelernt…
Totzek-Hallhuber: „Man sollte meinen, die Sicherheit von Drittanbietern sei für Unternehmen ein wichtiges Thema. Immerhin mussten Ende letzten Jahres knapp 150 Millionen Datensätze in den USA dran glauben, weil Angreifer eine Schwachstelle in der ,struts2‘-Bibliothek ausnutzen konnten.“
Doch wie das aktuelle Beispiel zeige, habe man anscheinend nichts gelernt.
Beinahe grob fahrlässig…
Laut dem „Veracode SoSS-Report“ basierten ca. 80 Prozent der untersuchten Applikationen auf Drittanbieter-Komponenten. Selbst wenn Entwickler in „Secure Coding“ geschult sind, sei es gefährlich, Drittanbieter-Komponenten einfach zu ignorieren.
Diesen Aspekt dann nicht mal in die Applikations-Sicherheitsstrategie zu integrieren, sei „beinahe grob fahrlässig“.
Liste der verwendeten Komponenten und bekannten Schwachstellen erstellen!
„Was also sollte man tun? Zuerst empfiehlt es sich, eine Liste der verwendeten Komponenten und deren bekannten Schwachstellen zu erstellen – um dann seinen Entwicklern auch eine einfache Möglichkeit zu geben, die Verwendung dieser Komponenten zu analysieren“, empfiehlt Totzek-Hallhuber.
„Veracode hat deswegen Source Clear übernommen, den einzigen Anbieter am Markt, der verifiziert, ob die bekannte Schwachstelle überhaupt in der Applikation genutzt wird und von Angreifern ausgenutzt werden kann,“ so Totzek-Hallhuber.
Weitere Informationen zum Thema:
datensicherheit.de, 03.01.2018
Besonderes elektronisches Anwaltspostfach: beA-Einführung wird zur Affäre / Anwälte kritisieren Fehlinvestition und fordern personellen Neuanfang
datensicherheit.de, 22.01.2018
beA: Deutscher Anwaltverein fordert Vorrang für die Sicherheit / Tagung „beA – Wie geht es weiter“ am 22. Januar 2018 in Berlin widmete sich dem problembeladenen „besonderen elektronischen Anwaltspostfach“
Aktuelles, Experten, Veranstaltungen - Jun 21, 2022 15:53 - noch keine Kommentare
Cyber-Kriminalität: Web-Seminar zur Aufklärung mit KMU-Beispiel
weitere Beiträge in Experten
- TÜV-Warnung: Weniger als die Hälfte geprüfter Aufzugsanlagen mängelfrei
- Geleakte Daten: RFS sieht Pressefreiheit durch Bundesverfassungsgericht gestärkt
- Digitalcourage zeigt Engagement, um geplante Chat-Kontrolle zu verhindern
- Deutscher Mittelstands-Bund moniert Digitalpolitik: Durcheinander der Zuständigkeiten befürchtet
- Autonome Fahrzeuge: Höhere Sicherheit von der KI als von menschlichen Fahrern gefordert
Aktuelles, Branche - Jun 30, 2022 12:37 - noch keine Kommentare
Newcomer RansomHouse möglicherweise hinter AMD-Angriff 2021
weitere Beiträge in Branche
- 70% der Unternehmen mit Anzahl der Warnmeldungen überfordert
- Khuzestan Steel Company: Iranischer Stahlkonzern von Hackern lahmgelegt
- Cloud-Security laut Delinea-Umfrage Hauptsorge der Cyber-Sicherheitsexperten
- LockBit 3.0: Cyber-Kriminelle starten erstes Ransomware-Bug-Bounty-Programm
- 2020-2021: Zunahme um über 100 Prozent bei E-Mail-Bedrohungen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren