Das war 2019: Wir blicken zurück

Jahresanfang: für uns wie immer ein willkommener Augenblick, zusammen mit Ihnen zurückzublicken und sich herzlich für Ihre Treue in 2019 zu bedanken! Heute laden wir Sie ein, mit uns auf ein bewegtes Jahr zurückzuschauen.

2019: Das Jahr der Diskussionen um Laufzeiten für SSL-Zertifikate

Das CA/B-Forum ist eine Zusammenkunft aus Zertifizierungsstellen und weiteren vertrauenswürdigen Parteien, etwa Browserentwickler oder andere Softwarehersteller. Dieses Forum entwickelt Standards und Praktiken, die dazu dienen sollen, das Web im Allgemeinen und das öffentliche PKI-Ökosystem im Besonderen sicherer zu gestalten.

Im Juni 2019 legte Ryan Sleevi als Google-Vertreter den Vorschlag vor, die Gültigkeit von SSL-Zertifikaten auf 13 Monate herabzusetzen. Dies sei der Sicherheit dienlich, so Sleevi: Ein kompromittiertes SSL-Zertifikat könne innerhalb seiner Gültigkeitszeit für bösartige Zwecke missbraucht werden. Wird diese Gültigkeit einfach herabgesetzt, ließe sich Cyberkriminalität reduzieren.

Die Zertifizierungsstellen sehen dies anders: Viel zu hohe Kosten entstünden dem Verbraucher, außerdem sei der Verwaltungsaufwand höher und damit auch der Komfort von Verbrauchern eingeschränkt.

Während die einzelnen Vertreter des CA/B-Forums leidenschaftlich stritten, erschien die Zertifizierungsstelle Sectigo mit einer wahrhaft praktikablen Lösung: Die CA, die einst unter dem Namen Comodo bekannt war, entwickelte eine Möglichkeit, um SSL-Zertifikate mit einer Laufzeit von bis zu 5 Jahren anzubieten. Diese lange Laufzeit besteht lediglich auf kaufmännischer Seite, technisch hält sich Sectigo selbstredend an die aktuellen Vorgaben des CA/B-Forums. Besitzer eines solchen Sectigo-SSL-Zertifikats werden nach zwei Jahren aufgefordert, das SSL-Zertifikat für weitere zwei Jahre herunterzuladen. Eine weitgehende Automatisierung verringert den Verwaltungsaufwand immens.

Sicherheitslücken & Hacks: 2019 war ein gefährliches Jahr!

Im Januar berichteten wir über Meltdown und Spectre – die Sicherheitslücken, die seit mehr als zehn Jahren in Intel-Prozessoren lauern. Wir gaben Ihnen Tipps, wie Sie sich schützen können, und wagten einen kleinen Ausblick auf die Zukunft der Sicherheitslücken. Immer wieder berichteten verschiedene Medien auch in 2019 von Meltdown und Spectre – nach wie vor ist die Gefahr nicht vorüber! Im Gegenteil: Intel gab Mitte November bekannt, ab 22. November den Support für alle eigenen Consumer-Mainboards einzustellen.

Equifax, die größte Wirtschaftsauskunftei der USA, wurde zwar bereits 2017 gehackt, jedoch gehen die Auswirkungen dieses Hacks bis ins Jahr 2019 herein. Derzeit wird über die Entschädigung der Opfer des Hacks diskutiert. Was war passiert? Ende Juli 2017 entdeckte man einen Hack, der jedoch erst Anfang September 2017 öffentlich wurde. Seit Mai 2017 zogen Hacker die Daten von mehr als 140 Millionen Equifax-Kunden aus drei Ländern ab! Geburtsdaten, Adressen, Kreditkarten- und Führerscheinnummern, aber auch Sozialversicherungsnummern wurden gestohlen – man vermutet, es handle sich um den größten Diebstahl von Sozialversicherungsnummern aller Zeiten. Das wirklich Tragische an dem Hack: Er wäre vermeidbar gewesen. Mit sehr, sehr einfachen Sicherheitsvorkehrungen hätten weder Equifax noch die Opfer des Hacks zwei Jahre mit diesem Hack zu tun gehabt. In unserem Blogbeitrag zum Thema erklären wir, welch simple Vorkehrungen geholfen hätten.

Auch Emotet stammt zwar nicht aus dem Jahr 2019, hat aber auch in diesem Jahr für viel Verwirrung gesorgt. Wir berichteten im März über den Trojaner, der seinerzeit erst richtig losgelegt hat. Allein in Berlin waren zwei Schulen, das Kammergericht und die Humboldt Universität betroffen. Für BSI-Präsident Arne Schönbohm ist klar: Emotet ist der „König der Schadsoftware“.

Ein die Sicherheitszustände demonstrierender Hack war der, den die Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers in einem Klärwerk ausführten. Dieser Hack zeigte sehr klar: Der Schutz kritischer Infrastrukturen (KRITIS) ist ungenügend. Sinnlose Zugangsdaten, die leicht zu erraten oder schon vorausgefüllt waren, waren der Grund, weshalb die Forscher ins Klärwerk einsteigen konnten. Doch auch ein Kostendruck zwingt die Betreiber kritischer Infrastrukturen, auf Sicherheit zu verzichten. Dennoch: Auch mit kleinen Mitteln kann es gelingen, Strukturen abzusichern. Wie man auf diesen Hack reagierte und welche Sicherheitsmaßnahmen vernachlässigt wurden, können Sie in unserem Beitrag zum Thema nachlesen.

Auch DDoS-Angriffe waren 2019 ein wichtiges Thema. Das BSI stellte in seinem Lagebericht 2018 fest, dass die Bedrohung durch DDoS-Angriffe nach wie vor hoch ausfällt. In unserem Beitrag haben wir Zahlen vorgelegt, die das laufende Jahr betreffen, und Ihnen erklärt, wie ausgefeilt die Angriffe mittlerweile sind. DDoS-Services haben sich als Trend etabliert – kein Wunder, sind doch IoT-Geräte eine für Cyberkriminelle willkommene Schwachstelle. Schutz können KI und das maschinelle Lernen bringen, jedoch auch Awareness-Maßnahmen.

Im Oktober berichteten wir von der Sodinokibi-Ransomware, die vorrangig in Personalabteilungen ihr Unwesen treibt. Fake-Bewerbungen waren Ausgangspunkt dafür, dass sich die Ransomware so zügig verbreiten konnte. Sie arbeitet nach ihrem Vorbild GandCrab und konnte sich binnen kürzester Zeit zur fünfhäufigsten Ransomware-Familie mausern.

Dass IT-Sicherheit auch in öffentlichen Einrichtungen wie Krankenhäusern nicht zu vernachlässigen ist, zeigte sich, als im Juli ein Cyberangriff einen ganzen Verbund an Krankenhäusern und Altenpflegeheimen lahmlegte. In den zum DRK Rheinland-Pfalz gehörigen Einrichtungen trieb eine Ransomware ihr Unwesen und verschlüsselte nach und nach die Datenbanken. Zwar war der Betrieb in den Häusern noch möglich, jedoch musste man auf Stift und Papier ausweichen. Das BSI lobte zwar das bedachte Vorgehen aller Mitarbeiter, forderte in der Folge jedoch höhere Anti-Cybercrime-Auflagen.

In 2019 schaffte es das „/.well-known/“-Verzeichnis zu zweifelhafter Berühmtheit: Dieses Verzeichnis, so fanden Forscher heraus, wird von Cyberkriminellen gern als Malware-Versteck genutzt. In unserem Blogbeitrag erklären wir Ihnen, wie sich dieses Verzeichnis ausnutzen lässt und wie Sie sich wehren können.

Efail wurde zwar im Jahre 2018 bekannt, doch die Sicherheitslücke ruhte auch in 2019 nicht. Neben den Protokollen S/MIME und PGP bestand die Schwachstelle schon länger in E-Mail-Clients und Plugins. In unserem Efail-Artikel berichten wir über die weitere Entwicklung der Sicherheitslücke und darüber, wie Sie Ihre eigene E-Mail-Sicherheit zurückerlangen.

Neuigkeiten bei den CAs: DigiCert expandiert

DigiCert Inc. ist ein Sicherheitsanbieter mit Sitz in den USA. Schon 2017 übernahm DigiCert einige Geschäftsbereiche von Symantec. DigiCert wollte im Jahr 2019 seine Gangart beschleunigen, europaweit expandieren und in Forschung sowie Entwicklung investieren. Deshalb übernahm die CA im Januar 2019 QuoVadis mit Sitz in der Schweiz. Weiter wollte man den Beschaffungsvorgang von SSL-Zertifikaten für KMU vereinfachen und neue Authentisierungsmechanismen entwickeln. Wie das konkret aussehen soll, haben wir in einem Artikel für Sie zusammengefasst.

Technische Neuerungen in 2019

Auch in technischer Hinsicht hatte das Jahr 2019 einiges zu bieten! So wurde das langersehnte Update von TLS 1.2 auf TLS 1.3 endlich vollzogen. TLS 1.3 wurde damit zum offiziellen Standard für die Transportverschlüsselung im World Wide Web. Welche Neuerungen das Protokoll bereithält und welche Schwachstellen damit geschlossen wurden, haben wir Ihnen in unserem Artikel zu TLS 1.3 verraten.

Mit der Geburtsstunde von TLS 1.3 geht auch das Ende der veralteten Versionen TLS 1.0 und 1.1 einher. Wir berichten für Sie, ab wann diese veralteten und unsicheren Versionen von welchem Browser nicht mehr akzeptiert werden und was Sie tun können, wenn sie noch auf diese veralteten Standards setzen.

Eine großartige Neuerung war die Entwicklung von MTA-STS, einem von der IETF verabschiedeten Standard, der den E-Mail-Empfang und -Versand sicherer gestaltet. MTA-STS ermöglicht dem empfangenden Mailserver, dem versendenden Mailserver über DNS mitzuteilen, dass TLS als Transportverschlüsselung genutzt werden soll. Noch vor dem E-Mail-Versand kann eine MTA-STS-Policy vom Webserver abgerufen werden, in der definiert wird, welche E-Mail-Server Mails per TLS entgegennehmen.

Neue Produkte in 2019: Erweiterung unseres Portfolios

Im Juli war es soweit: Die europäische Zertifizierungsstelle Certum verabschiedete sich von seinem Produkt SpaceSSL. Die günstigen SSL-Zertifikate waren als Einzel-, Multidomain- oder Wildcard-Zertifikat nur noch bis 13.07.2019 zu haben. Certum hat sich in der Zwischenzeit neu aufgestellt und schafft es auch heute, günstige SSL-Zertifikate für jeden Bedarf anzubieten. Entdecken Sie die Certum-Zertifikate in unserem Portfolio!

Die PSW Konsole hat in 2019 dazu geführt, dass die Zertifikatsverwaltung noch einfacher wurde. Eine intuitive Bedienung sorgt für Einfachheit und Benutzerfreundlichkeit. Sie reduzieren Kosten und Komplexität, eliminieren Verwaltungsaufgaben und können ganz nach Ihrem Bedarf agieren. Auf vielfachen Kundenwunsch haben wir uns jüngst dazu entschieden, PayPal-Zahlungen ebenfalls anzubieten. Damit bieten wir Ihnen noch mehr Flexibilität – und Sie können selbst entscheiden, welche Zahlungsart Sie bevorzugen.

DSGVO, TMG, BDSG und IT-SiG: Von Unternehmern wird verlangt, all diese Gesetzestexte nicht nur zu kennen, sondern möglichst lückenlos anzuwenden. Die Alternative heißt: Bangen und mit Abmahnungen rechnen. In Kooperation mit Protected Shops bieten wir Ihnen nun eine Lösung für Ihre Website und/ oder Ihren Shop: Den Abmahnschutz für Webseitenbetreiber. Im Basispaket erhalten Sie neben einem SSL-Zertifikat mit Trust Logo auch abmahngeschützte Rechtstexte (Impressum & Datenschutzerklärung). Die Pro-Variante richtet sich an Shop-Betreiber, die mit diesem Paket wirklich auf Nummer Sicher gehen.

Zahlungsdienste sowie Zahlungsdienstleister müssen sich seit dem 14.09.2019 an die Zahlungsdiensterichtlinie PSD2 halten. Die EU-Richtlinie ist bereits seit 2018 in abgespeckter Version in Kraft. Ein gerechter Wettbewerb ist das Ziel der PSD2-Richtlinie. In unserem Blogbeitrag zu PSD2 erklären wir Ihnen, wie dieses Ziel erreicht werden soll, welche technischen Voraussetzungen gegeben sein müssen, um die Richtlinie zu erfüllen, und wie Sie Zertifikate nach PSD2-Vorgaben erhalten. PSD2-konforme Zertifikate setzen eine intensive Beratung voraus. Deshalb sind sie bei uns vorläufig nur auf Anfrage erhältlich – nehmen Sie bei Interesse einfach Kontakt zu uns auf.

Interne Neuerungen in 2019

Im März 2019 gab es einen Wechsel in der Chefetage der PSW GROUP: Unser bisheriger Geschäftsführer Christian Heutger verspürte den Wunsch, wieder mehr mit Kunden und Partnern in Kontakt zu treten. Er bleibt uns als CTO erhalten und kümmert sich hier um den Aufbau und die Weiterentwicklung strategischer Partnerschaften. Als Senior Consultant steht er zudem als Berater für Datenschutz-, Informationssicherheits- und Servicemanagement zur Verfügung und als Lead Trainer unterrichtet Herr Heutger auch in Zukunft Teilnehmer unserer ISO 27001-Schulungen.

Unsere langjährige Marketingleiterin, Patrycja Tulinska, ist seither Geschäftsführerin der PSW GROUP. Nach ihrem Studium der Angewandten Informatik an der Hochschule Fulda stand uns die Diplom-Informatikerin bereits viele Jahre im Marketing zur Seite. Mit der Erfahrung, die sie über unser Unternehmen, unsere Kunden und unsere Partner in diesen Jahren sammeln konnte, können wir uns keine Bessere an unserer Spitze vorstellen. Wir freuen uns, in Frau Tulinska eine innovative, von allen Kollegen geschätzte und fachlich sehr versierte Geschäftsführung gefunden zu haben!

Danke für 2019!

Wir danken Ihnen, liebe Kunden, Partner, Interessenten, Blogleser und Mitarbeiter, für ein tolles Jahr 2019 mit Ihnen!

Und wir hoffen, auch in 2020 weiterhin erfolgreich mit Ihnen zusammenarbeiten zu dürfen, denn dann feiern wir unser 20-jähriges Bestehen. Anlässlich unseres Jubiläums haben wir gemeinsam mit unseren Partnern ganz besondere Aktionen und Ereignisse über das gesamte Jahr zusammengestellt. Weitere Informationen folgen bald auf unserem Blog und auf unserer Website.

Lassen Sie sich überraschen und feiern Sie mit uns!

Ihr Team der PSW GROUP