[datensicherheit.de, 24.07.2019] Radware hat seine Lösung DefenseSSL zum Schutz vor SSL-DDoS-Angriffen um verhaltensbasierte Algorithmen für den schlüssellosen Schutz vor HTTPS Floods erweitert. Diese Funktion ermöglicht es Unternehmen, verschlüsselten Datenverkehr ohne Schlüssel zu überprüfen und damit einen Großteil der Latenzzeiten zu beseitigen, die normalerweise mit HTTPS-Flood-Angriffen verbunden sind.

Großteil des Internetverkehrs laut Google verschlüsselt

Laut Google ist der Großteil des Internetverkehrs inzwischen verschlüsselt, und mehr als 70% der Internetseiten nutzen SSL. Während die SSL/TLS-Verschlüsselung für viele Aspekte der Sicherheit entscheidend ist, öffnet sie auch die Tür zu einer neuen Generation von leistungsstarken Distributed Denial-of-Service (DDoS)-Angriffen. SSL/TLS-Verbindungen benötigen auf dem Zielserver bis zu 15-mal mehr Ressourcen als auf dem anfragenden Host, so, dass Angreifer mit nur einer relativ geringen Anzahl von Verbindungen verheerende DDoS-Angriffe starten können. Die schlüssellose DDoS-Abwehrlösung von Radware bietet skalierbaren Schutz vor SSL-basierten HTTP-DDoS-Angriffen, ohne die Kundenkommunikation zu verzögern, während die Privatsphäre der Benutzer geschützt und die Schlüsselverwaltung vereinfacht werden.

Sicherheitsrichtlinien können anfällig für HTTPS-Flood-Attacken machen

Aufgrund ihrer eigenen Sicherheitsrichtlinien können viele Unternehmen ihre Schlüssel nicht an die Netzwerkadministratoren ihres Carriers oder Service Providers weitergeben, was diese anfällig für HTTPS-Flood-Attacken macht. Ohne Entschlüsselungsfunktionen bleibt diesen Dienstleistern jedoch keine echte, effektive Lösung, mit der sie ihre Kunden vor HTTPS Floods schützen können.

Foto: Radware

Michael Tullius, Regional Director DACH, Radware

„Unsere neuen DefenseSSL-Funktionen ermöglichen es Carriern und Service Providern, sich und ihre Kunden vor HTTPS Floods zu schützen, auch wenn sie keinen Zugriff auf die Schlüssel ihrer Mandanten haben“, sagt Michael Tullius, Regional Director DACH bei Radware. „Diese einzigartige Funktion eliminiert die enorme Komplexität, die mit der Verwaltung von Schlüsseln verbunden ist. Darüber hinaus haben Unternehmen mit dieser Lösung die Flexibilität, sich für den am besten geeigneten Schutz zu entscheiden. Sie können auch weiterhin zusätzlich ihre Schlüssel verwenden, um Datenverkehr zu entschlüsseln und die Genauigkeit der Mitigation zu erhöhen.“

Schlüssellosen Schutz vor HTTPS Floods

Die Lösung von Radware für den schlüssellosen Schutz vor HTTPS Floods basiert nach eigenen Angaben auf einer zustandslosen Architektur. Traditionelle Lösungen sind zustandsabhängig und daher in sich anfällig für DDoS-Angriffe. Durch den Einsatz fortschrittlicher Verhaltensalgorithmen und die Kombination sowohl ratenbasierter als auch nicht ratenbasierter Parameter kann Radware DDoS-Angriffe über verschlüsselten Datenverkehr identifizieren, auch ohne diesen zu entschlüsseln und zu überprüfen. Die DefenseSSL-Funktionalität von Radware ist derzeit in der gesamten Produktreihe DefensePro Advanced Protection verfügbar.

Weitere Informationen zum Thema:

Radware
SSL Inspection and Protection from SSL Attacks

datensicherheit.de, 09.06.2019
Radware: Angriffe auf Managed Service Provider nehmen zu

datensicherheit.de, 22.05.2019
Managed Service Provider: Fokus auf Rolle als strategische Berater

datensicherheit.de, 08.05.2019
Public-Cloud-Ressourcen: Drei Tipps zur Absicherung

datensicherheit.de, 24.11.2014
Cybersecurity: Fünf Dinge die jeder Anbieter von Managed Services wissen sollte

[datensicherheit.de, 29.05.2019] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP), Prof. Dr. Dieter Kugelmann, lädt zum nächsten Termin der Veranstaltungsreihe „Mainzer Vorträge zum Sicherheits- und Informationsrecht“ ein: Am 13. Juni 2019 hält demnach Dr. Peter Schantz (Bereichsleiter für Innen- und Rechtspolitik der FDP-Bundestagsfraktion) einen Vortrag zu „Herausforderungen des internationalen Datenverkehrs“, um anschließend darüber zu diskutieren.

Rechtsrahmen für Übermittlung personenbezogener Daten

Der Austausch von Informationen gehöre in einer globalisierten Welt zum Alltag. Der Vortrag soll den rechtlichen Rahmen für die Übermittlung von personenbezogenen Daten durch Private und Behörden sowie die zugrundeliegenden grundrechtlichen Wertungen darstellen und die aktuellen Herausforderungen diskutieren, die sich beispielsweise im transatlantischen Datenverkehr im Zusammenhang mit dem „Privacy Shield“ oder dem „CLOUD Act“ stellten.

Abbildung: JGU & LfDI RLP

Vortrag mit Diskussion: „Herausforderungen des internationalen Datenverkehrs“
Dr. Peter Schantz, Bereichsleiter für Innen- und Rechtspolitik der FDP-Bundestagsfraktion

Donnerstag, 13. Juni 2019 um 18.30 Uhr
Dekanatssaal Rechtswissenschaften der JGU, Raum 03-150
Jakob-Welder-Weg 9 in 55128 Mainz

Teilnahme kostenfrei, vorherige Anmeldung nicht erforderlich.

Grundsatzprobleme des Informationsrechts und des Rechts der öffentlichen Sicherheit

Die „Mainzer Vorträge zum Sicherheits- und Informationsrecht“ sind laut LfDI RLP eine gemeinsame Veranstaltungsreihe des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz und der Stiftungsprofessur für Öffentliches Recht und Informationsrecht, insbesondere Datenschutzrecht an der Johannes Gutenberg-Universität Mainz. Sie soll aktuelle Fragen wie Grundsatzprobleme des Informationsrechts und des Rechts der öffentlichen Sicherheit beleuchten. Die Perspektiven von Praxis, Wissenschaft und Politik fänden dabei gleichermaßen Beachtung.

Weitere Informationen zum Thema:

JGU, Prof. Dr. Matthias Bäcker
Mainzer Vorträge zum Sicherheits- und Informationsrecht

datensicherheit.de, 12.06.2018
EU und USA im Vergleich: Vortrag zum Datenschutz im Sicherheitsrecht

[datensicherheit.de, 26.05.2019] Zscaler hat die Ergebnisse seines Internet of Things Reports veröffentlicht: „IoT in the Enterprise: An Analysis of Traffic and Threats 2019“. Der Report veröffentlicht die Ergebnisse der Untersuchung des Datenverkehrs, der von IoT-Geräten innerhalb eines Zeitraums von 30 Tagen über die Zscaler Cloud beobachtet wurde. Das Forschungsteam von Zscaler ThreatLabZ analysierte 56 Millionen Transaktionen von IoT-Geräten und erfasst die Art der kommunizierenden Geräte, die verwendeten Protokolle, die Standorte der Server, mit denen die Geräte kommunizierten und die Häufigkeit der ein- und ausgehenden Kommunikation, um das von IoT-Geräten ausgehende Gefahrenpotenzial zu erfassen.

Transaktionen über einen Zeitraum von 30 Tagen verarbeitet

Über einen Zeitraum von 30 Tagen wurden 56 Millionen Transaktionen in der Zscaler-Cloud von 270 verschiedenen Arten von IoT-Geräten von 153 verschiedenen Herstellern verarbeitet. Die Analyse ergab, dass mehr als 1.000 Unternehmen über mindestens ein IoT-Gerät verfügen, welche Daten aus dem Unternehmensnetz über die Zscaler Cloud-Plattform ins Internet überträgt. Zu den am häufigsten erkannten IoT-Gerätekategorien in der Zscaler-Cloud gehörten unter anderem IP-Kameras, SMART-Uhren, Drucker, SMART TVs, Set-Top-Boxen, IP-Telefone sowie medizinische Geräte und Datenerfassungsterminals.

Bild: Zscaler

Amit Sinha, Executive Vice President of Engineering and Cloud Operations, Chief Technology Officer bei Zscaler

„Wie so oft bei Innovationen hat sich der Einsatz der IoT-Technologie schneller entwickelt, als die verfügbaren Mechanismen zum Schutz dieser Geräte und ihrer Nutzer. Innerhalb eines Monats verzeichnete unser Threat Research Team eine astronomische Menge an Datenverkehr, der sowohl von Firmen- als auch von persönlichen IoT-Geräten verursacht wurde“, sagt Amit Sinha, Executive Vice President of Engineering and Cloud Operations, Chief Technology Officer bei Zscaler. „Unternehmen müssen Maßnahmen ergreifen, um diese Geräte vor Malware-Angriffen und anderen Bedrohungen von außen zu schützen.“

Top IoT-Sicherheitsbedenken:

• Schwache Standard-Anmeldeinformationen
• Klartext-HTTP-Kommunikation zu einem Server für Firmware- oder Paket-Updates
• Klartext HTTP-Authentifizierung
• Nutzung veralteter Bibliotheken

„Wir haben beobachtet, dass über 90 Prozent der IoT-Prozesse über Klartext erfolgen, was diese Geräte und die Unternehmen unserer Meinung nach anfällig für spezifische Angriffe macht“, so Deepen Desai, Vice President of Security Research bei Zscaler. „Unternehmen müssen ihren IoT-Footprint bewerten, da sie durchweitere Expansion das Risiko von Cyberangriffen erhöhen werden. Von der Änderung der Standard-Anmeldeinformationen bis hin zur Beschränkung des Zugriffs auf IoT-Geräte aus externen Netzwerken gibt es eine Vielzahl von Schritten, um die IoT-Sicherheit zu erhöhen.“

Bild: Zscaler

Deepen Desai, Vice President of Security Research bei Zscaler

Das Forschungsteam des Zscaler Labs besteht aus Sicherheitsexperten, Forschern und Netzwerktechnikern, die für die Analyse und Beseitigung von Bedrohungen in der Zscaler Security Cloud sowie für die Untersuchung der globalen Bedrohungslandschaft verantwortlich sind. Das Team teilt seine Research- und Cloud-Daten mit der gesamten Branche, um zu einem sicheren Internet beizutragen.

Weitere Informationen zum Thema:

Zscaler Blog
IoT traffic in the enterprise is rising. So are the threats.

datensicherheit.de, 24.05.2019
IoT-Geräte oft gar nicht oder nur ungenügend geschützt

datensicherheit.de, 30.04.2019
IoT-Sicherheitslücken: 2 Millionen Geräte betroffen

datensicherheit.de, 18.03.2019
US-Regierung schafft Rechtsrahmen zur Verbesserung der IoT-Sicherheit

datensicherheit.de, 18.02.2019
IoT-Botnetze sind weiterhin große Gefahr für Unternehmen

datensicherheot.de, 24.10.2018
IoT-Botnetze nutzen weiterhin erfolgreich Standardpasswörter aus

datensicherheit.de, 18.09.2018
Sicherheitsreport: Vorschau auf die Cybergefahren im Jahr 2019

datensicherheit.de, 10.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte

datensicherheit.de, 08.09.2018
Studie: Wenig Mitspracherecht bei IoT-Entscheidungen für Sicherheitsverantwortliche

datensicherheit.de, 07.09.2018
Kooperation beim Schutz des Industrial Internet of Things

Weiterentwicklung der Informationsgesellschaft und Energieversorgungsfrage eng verknüpft

[datensicherheit.de, 03.07.2009] Das Bundesministerium für Wirtschaft und Technologie (BMWi) hat eine beim „Fraunhofer-Institut für Zuverlässigkeit und Mikrointegration“ (IZM) und dem „Fraunhofer-Institut für System- und Innovationsforschung“ (ISI) in Auftrag gegebene Studie vorgestellt, die den zukünftigen Energiebedarf der Informations- und Kommunikationstechnologien (IKT) abschätzen sowie Schlussfolgerungen für die Entkopplung von IKT-Fortschritt und Elektrizitätsbedarf ableiten soll:
Die Ergebnisse der Studie mit dem Titel „Abschätzung des Energiebedarfs der weiteren Entwicklung der Informationsgesellschaft“ zeigen etwa, dass der IKT-bedingte Verbrauch elekrischer Energie in Deutschland bereits im Jahr 2007 etwa 55 Mrd. kWh betragen haben soll. Das seien 10,5 Prozent des gesamten Jahresstromverbrauchs. Das sei deutlich mehr als der globale Durchschnitt!
Wenn sich nichts ändert, sei laut Studie bis 2020 eine Steigerung um 20 Prozent auf jährlich 67 Mrd. kWh zu erwarten. Das liege vor allem an der Zunahme des Datenverkehrs, der Geräte und der damit einhergehenden Rechen- und Speicherleistung. Den größten Anteil am IKT-bedingten Strombedarf hätten die Anwendungen in privaten Haushalten mit knapp 60 Prozent.
Mit der Studie wurde u. a. auch ein wichtiger Beitrag zur Umsetzung des „Aktionsplan Green IT“ geleistet, der auf dem IT-Gipfel 2008 am 20.11.2008 in Darmstadt von Wirtschaft, Wissenschaft und Bundesregierung verabschiedet wurde.

Weitere Informationen zum Thema:

Bundesministerium für Wirtschaft und Technologie, 03.07.2009
IKT-Strombedarf liegt in Deutschland bei über zehn Prozent / Ergebnisse der Studie „Abschätzung des Energiebedarfs der weiteren Entwicklung der Informationsgesellschaft“ liegen vor

Bundesministerium für Wirtschaft und Technologie, 03.07.2009
Abschätzung des Energiebedarfs der weiteren Entwicklung der Informationsgesellschaft / Abschlussbericht an das Bundesministerium für Wirtschaft und Technologie