Aktuelles, Branche - geschrieben von dp am Freitag, April 20, 2018 22:52 - noch keine Kommentare
beA: Offenbar neue Sicherheitslücke entdeckt
Rechtsanwaltsverzeichnis im besonderen elektronischen Anwaltspostfach hätte manipuliert werden können
[datensicherheit.de, 20.04.2018] Im bundeseinheitlichen Rechtsanwaltsverzeichnis soll vor Kurzem eine große Sicherheitslücke entdeckt worden sein, zurückzuführen auf eine veraltete, für „Oracle“-Angriffe anfällige „Java“-Komponente. Dieses Anwaltsregister ist Teil des Besonderen elektronischen Anwaltspostfachs (beA) – theoretisch hätten Angreifer die Anwaltsdatenbank somit manipulieren können. Bereits im Januar 2018 hatte sich ein ähnlicher Vorfall mit einigen anderen Anwendern dieser Softwarekomponente ereignet. Julian Totzek-Hallhuber, „Principal Solution Architect“ bei CA Veracode, hat den aktuellen Vorfall kommentiert.
Anscheinend nichts gelernt…
Totzek-Hallhuber: „Man sollte meinen, die Sicherheit von Drittanbietern sei für Unternehmen ein wichtiges Thema. Immerhin mussten Ende letzten Jahres knapp 150 Millionen Datensätze in den USA dran glauben, weil Angreifer eine Schwachstelle in der ,struts2‘-Bibliothek ausnutzen konnten.“
Doch wie das aktuelle Beispiel zeige, habe man anscheinend nichts gelernt.
Beinahe grob fahrlässig…
Laut dem „Veracode SoSS-Report“ basierten ca. 80 Prozent der untersuchten Applikationen auf Drittanbieter-Komponenten. Selbst wenn Entwickler in „Secure Coding“ geschult sind, sei es gefährlich, Drittanbieter-Komponenten einfach zu ignorieren.
Diesen Aspekt dann nicht mal in die Applikations-Sicherheitsstrategie zu integrieren, sei „beinahe grob fahrlässig“.
Liste der verwendeten Komponenten und bekannten Schwachstellen erstellen!
„Was also sollte man tun? Zuerst empfiehlt es sich, eine Liste der verwendeten Komponenten und deren bekannten Schwachstellen zu erstellen – um dann seinen Entwicklern auch eine einfache Möglichkeit zu geben, die Verwendung dieser Komponenten zu analysieren“, empfiehlt Totzek-Hallhuber.
„Veracode hat deswegen Source Clear übernommen, den einzigen Anbieter am Markt, der verifiziert, ob die bekannte Schwachstelle überhaupt in der Applikation genutzt wird und von Angreifern ausgenutzt werden kann,“ so Totzek-Hallhuber.
Weitere Informationen zum Thema:
datensicherheit.de, 03.01.2018
Besonderes elektronisches Anwaltspostfach: beA-Einführung wird zur Affäre / Anwälte kritisieren Fehlinvestition und fordern personellen Neuanfang
datensicherheit.de, 22.01.2018
beA: Deutscher Anwaltverein fordert Vorrang für die Sicherheit / Tagung „beA – Wie geht es weiter“ am 22. Januar 2018 in Berlin widmete sich dem problembeladenen „besonderen elektronischen Anwaltspostfach“
Theiners SecurityTalk
Neue Folge!Blackout - Angriff auf kritische Infrastrukturi, 20.05.2020
Kooperation
Kooperation
Mitgliedschaft
Multiplikator
Partner
Gefragte Themen
- DSGVO-Konformität: Drei Herausforderungen für Unternehmen
- Mittelstand: Transferstelle IT-Sicherheit gestartet
- ZLoader: Malwareanalyse von Proofpoint belegt neue Variante
- Prof. Dieter Kugelmann bilanziert 2 Jahre DSGVO
- Zwei Jahre EU-DSGVO
- Verizon Business: Data Breach Investigations Report 2020 vorgestellt
- Theiners SecurityTalk: Blackout – Angriff auf kritische Infrastruktur
- Finanzsektor: Steigende Anzahl an DDoS- und Credential-Stuffing-Angriffen
- Easyjet-Hack: Erkenntnisse für Unternehmen
- Umfrage: Netzwerkausfälle gefährden Geschäftsprozesse
- AlgoSec stellt verbesserten Chatbot mit einfacherer Bedienung vor
- Ich habe über Zoom jetzt schon mehrfach gelesen, dass es den Datenschutzrichtlin...
- Hi!
Ich finde Deinen Beitrag schlüssig und gut geschrieben. Ich berate zur Zeit...
- Zum Beitrag von Dr. Michael Littger heute auf T-Online.
Die größte Gefahr ist d...
- Die Links zu den Gruppenrichtlinien funktionieren leider nicht mehr....
- Sehr geehrter Herr Müller,
bezieht sich Ihr obiges Papier zu ePrivacy auf die...
- Es ist nicht zu fassen, was Herr Spahn sich hier mit diesem Gesetz erlaubt! Ein ...
- Von dem Cyberangriff auf Nordvpn hat ursprünglich TechCrunch berichtet und alle ...
- Intelligente Gebäudeautomation und damit Smart Buildings sind an sich schon eine...
Experten, Veranstaltungen - Mai 25, 2020 19:34 - noch keine Kommentare
Mittelstand: Transferstelle IT-Sicherheit gestartet
weitere Beiträge in Experten
- Prof. Dieter Kugelmann bilanziert 2 Jahre DSGVO
- Bundesverfassungsgericht: Grundsatzurteil zum BND-Gesetz
- Cloud: Bewährte Methoden zur Eindämmung von Insider-Bedrohungen
- Untersuchung der ISACA – Unsichere Sicherheitsexperten
- Samsung: Sicherheitslücke bei Smartphones potentielle Gefahr für Firmennetzwerke
Branche - Mai 25, 2020 20:49 - noch keine Kommentare
DSGVO-Konformität: Drei Herausforderungen für Unternehmen
weitere Beiträge in Branche
- ZLoader: Malwareanalyse von Proofpoint belegt neue Variante
- Zwei Jahre EU-DSGVO
- Verizon Business: Data Breach Investigations Report 2020 vorgestellt
- Theiners SecurityTalk: Blackout – Angriff auf kritische Infrastruktur
- Finanzsektor: Steigende Anzahl an DDoS- und Credential-Stuffing-Angriffen
Aktuelles, Branche, Umfragen - Mrz 31, 2020 23:14 - noch keine Kommentare
TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
weitere Beiträge in Service
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
- SANS Institute: Cloud-Nutzung treibt die Ausgaben für Cybersicherheit
- Warnung und Trost zugleich: Keine absolute Sicherheit
- Nährwertkennzeichnung: Große Mehrheit für Nutri-Score-Ampel
- Datenschutz: Mehrheit fühlt sich durch die Gesetze sicher
Kommentieren