Jahresrückblick: Danke für ein tolles Jahr 2015!

Das Jahr 2015 neigt sich unaufhaltsam dem Ende. Es wird Zeit für ein Dankeschön an Sie: als Leser unseres Blogs, als Kunde, als Geschäftspartner, als Facebook-Fan oder Twitter-Follower: Danke für Ihre Treue und Ihr Interesse! Das gesamte Team der PSW GROUP wünscht Ihnen und Ihren Familien ein besinnliches Fest und einen wunderbaren Start ins Jahr 2016. Bevor es jedoch soweit ist, möchten wir mit Ihnen zurückblicken auf 12 spannende Monate IT-Security.

Das Jahr 2015: Darüber haben wir informiert

2015 legten wir einen sauberen Start hin: mit unserer Frühjahrsputz-Serie zeigten wir Ihnen auf, wie Sie Ihre Desktop-, Mobile- und Server-Systeme reinigen, um mit Ihren Geräten frisch ins nun fast schon vergangene Jahr zu starten. Da unser Fokus auf Sicherheit liegt, ging es jedoch nicht ausschließlich ums Aufräumen Ihrer Systeme, sondern vor allem um deren Sicherheit. Wir haben überprüft, was die Bordmittel zur Sicherheit beitragen, wie Sie diese sinnvoll ergänzen und auch, wie es Ihnen gelingt, die Performance Ihrer Geräte zu optimieren. Herzlichen Dank für Ihr positives Feedback zu dieser Serie!

In unserem Messenger-Revival knüpften wir an unseren großen Messenger-Test aus 2014 an. In der Zwischenzeit hatte sich bei diversen Messengern so viel getan, dass wir einen kritischen Blick auf eben diese Änderungen, insbesondere auf neue Sicherheitsversprechen wie die Verschlüsselung bei WhatsApps, warfen. Leider mussten wir feststellen, dass Sicherheit und Komfort noch immer selten Hand in Hand gehen. Ob 2016 daran was ändern wird? Wir sind gespannt!

SSL-Zertifikate sind unsere Spezialität. Deshalb war es uns ein Anliegen, Ihnen mit der Serie „Holen Sie mehr aus Ihrem Zertifikat raus“ aufzuzeigen, dass es beim Einsatz Ihres Zertifikats nicht nur um einen Schutz vor Mitlesern und Manipulatoren geht. Sie haben verschiedene Szenarien kennengelernt, in denen SSL- sowie S/MIME-Zertifikate wertvollen Nutzen haben.

Die Zeit zwischen Juli und September stand ganz im Zeichen von Online-Händlern: wir testeten für Sie Shopsysteme auf verschiedene Parameter, darunter natürlich unser Steckenpferd Sicherheit. Dabei war es uns ein Anliegen, positive sowie negative Auffälligkeiten zu benennen und Ihnen als Händler eine Entscheidungshilfe zu liefern. So zeigten wir in unserem Fazit auf, welche Shopsysteme sich für alle Händler, für kleine, mittlere sowie für große Händler eignen.

Um anschließend noch tiefer in unser Kernthema Sicherheit einzutauchen, befassten wir uns mit dem Basisschutz für Online-Shops: an welchen Stellschrauben müssen Händler drehen, um ein Mindestmaß an Sicherheit zu erhalten? Was schreibt der Gesetzgeber vor und was können Sie als Händler darüber hinaus umsetzen?

Das hat 2015 bewegt: IT-SiG & Co.

Es war ein bewegendes Jahr. Als Edward Snowden im Sommer 2013 mit schockierenden Enthüllungen die NSA-Affäre ausgelöst hatte, war bereits klar, dass hier eine größere Welle anrollt. Dass eben diese und alle folgenden Enthüllungen auch heute noch direkt und/ oder indirekt auf Gesetzgebungen einwirken, war sicher nicht für jeden absehbar. So kippte etwa das Safe Harbor-Abkommen, das wir in 2015, aber auch schon davor kräftig kritisierten.

Eine weitere indirekte Folge ist das neue IT-Sicherheitsgesetz (kurz: IT-SiG), welches zum Ziel hat, digitale Infrastrukturen sowie IT-Systeme hierzulande weltweit zu den sichersten zu machen. Neben der Aufklärung in unserem Blog haben wir für Sie eine Informationsseite eingerichtet. Unter itsg-faq.de erfahren Sie, wen das neue Gesetz trifft, was genau auf Sie zukommt und wo Sie Unterstützung erfahren.

Sind Sie zum IT-SiG bereits aufgeklärt, finden Sie unter psw.consulting die Möglichkeit Unterstützung beim Etablieren eines ISMS nach ISIS12 sowie ISO 27001 zu erhalten. Wir beraten, betreuen und prüfen nicht nur, sondern bilden auch kompetent aus. Unter psw.academy finden Sie ausführliche Informationen über unser Schulungsangebot, das wir Ihnen ab Ende des ersten/ Anfang des zweiten Quartals 2016 anbieten können.

Viele Vertreter aus Handel, Industrie sowie Verbraucherschutz hat die Reform des Telemediengesetzes (TMG) bewegt: vielfach kritisiert, möchte die Bundesregierung mit der Reform ein Plus an öffentlichen WLAN-Hotspots erreichen. Die viel diskutierte Störerhaftung sorgte für Unmut bei Datenschützern und Verbraucherverbänden: die geforderten Voraussetzungen seien unrealistisch, die Hürden zum Betreiben eines WLAN-Hotspots viel zu hoch. Der Gesetzgeber wirke dem eigentlichen Ziel – flächendeckenden WLAN-Zugang – mit der Reform entgegen, sagten Kritiker. Noch immer ist die TMG-Reform nicht ausdiskutiert; weitere Anhörungen und Beschlussänderungen sind zum jetzigen Zeitpunkt nicht auszuschließen.

Messen & Kongresse: Schön, Sie kennenzulernen!

Wir kommen sehr gerne mit Ihnen ins Gespräch! Im Alltag funktioniert das über unsere Social Media-Kanäle, über unser Blog, über unsere Website, per E-Mail und telefonisch. Eine ganz andere Atmosphäre herrscht jedoch auf Messen und Kongressen, wo wir mit Kunden genauso gerne ins Gespräch kommen wie mit Kollegen aus der Security-Branche. Auf der CeBIT teilten wir uns dieses Jahr unseren Stand mit der Hessen-IT, im November luden wir dann zur it-sa ein. Wir freuten uns über anregende Gespräche und darüber, Sie kennenzulernen oder wiederzusehen.

Von schlechter Verschlüsselung …

Es ist ein Rennen gegen die Zeit: Krypto-Experten versus Cyberkriminelle. Letztere sind daran interessiert, die Arbeit der Krypto-Experten auszuhebeln. Aber auch Sicherheitslücken bedrohen die Arbeit der Experten. 2014 zeigte Heartbleed eben diese sehr eindrucksvoll. Wenngleich in 2015 ein Super-GAU diesen Ausmaßes ausblieb, existierten genügend Schockmomente im Verschlüsselungssektor:

Im Juli brachte ein neuer OpenSSL-Bug Erinnerungen an Heartbleed hervor. Bereits im Februar geisterte mit „Ghost“ eine 15 Jahre alte Sicherheitslücke auf Linux-Servern herum. Die Sicherheitslücke „Freak“ zielte auch auf Windows-User ab und gestattete Angreifern, Internetverbindungen abzuhören und sensible Daten zu erbeuten. Im Juni gefährdete eine Schwäche im TLS-Verfahren tausende von Websites: die sogenannte Logjam-Attacke betraf Web-, E-Mail-, SSH- und VPN-Server. Und nicht zuletzt sorgte „Poodle“ seit Juni 2015 für Angst und Schrecken. Auffällig an diesen Sicherheitslücken war, dass sie oftmals auf veraltete Verschlüsselungsverfahren zurückzuführen waren. Schwache RSA-Schlüssel machten Freak möglich, das veraltete SSLv3 brachte Poodle mit sich.

Auch der Missbrauch von Zertifikaten war 2015 ein großes Thema. Wir erinnern an Cloudflare: SSL-Zertifikate wurden gleich zu Jahresbeginn für Phishing missbraucht. Schon im März ging es um gefälschte Zertifikate, die von CNNIC signiert wurden. Die Folge: Google hat CNNIC aus den eigenen Programmen verbannt. Ebenfalls im März machte die Nachricht von einem Microsoft-Zertifikat die Runde, das ein finnischer IT-Experte fälschte. Hier stellte sich die Frage, ob diese Fälschung lediglich ein schlechter Scherz war oder ob ein echtes Sicherheitsrisiko bestand.

So oder so ist die Lehre aus dieser und weiteren Fälschungen die, dass mit einer umfassenden Validierung des Zertifikate-Inhabers Sicherheit steht und fällt. Dies ist der Grund, weshalb wir nicht müde werden, organisationsvalidierte (OV) oder Extended Validation-Zertifikate (EV) zu empfehlen, da hier die Validierung sehr viel umfangreicher ausfällt als bei domainvalidierten (DV) Zertifikaten.

… und von guter Verschlüsselung

Die Krypto-Experten, die den Sicherheitslücken sowie der Arbeit der Cyberkriminellen etwas entgegensetzen wollen und können, existieren als Gegenpol zu den genannten Gefahren schlechter Verschlüsselung. Man verabschiedete sich in 2015 von veralteten Standards, um Nachfolger zu benennen, die deutlich mehr Sicherheit versprechen. Das Poodle erst möglich machende SSL-Protokoll in der unsicheren Version 3 soll nun verschwinden, genauso wie das ebenfalls unsichere, weil veraltete Verschlüsselungsprotokoll RC4. Hintergründe sowie Alternativen zu SSLv3 und RC4 erfahren Sie in diesem Blogbeitrag.

Abschied nehmen heißt es auch für den ebenfalls als unsicher geltenden Hashalgorithmus SHA-1. Da bereits erfolgreiche Angriffe auf SHA-1 durchgeführt wurden, wird es Zeit, den Standard offiziell zu verabschieden. Bye, bye, SHA-1 – bei uns erhalten Sie ausschließlich SHA-2-Zertifikate und wir unterstützen Sie mit dem kostenlosen Austausch Ihres SHA-1-Zertifikats. Alle Hintergrundinformationen und Handlungsempfehlungen lesen Sie bitte an dieser Stelle nach. Sehr ärgerlich war in diesem Zusammenhang die Nachricht, dass Facebook und Cloudflare (Sie erinnern sich? Cloudflare hatte ein Fälschungsproblem mit Zertifikaten …) an SHA-1-Zertifikaten festhalten möchten. Da hier jedoch auch die Browser-Entwickler ein entscheidendes Wörtchen mitzureden haben, sind wir überzeugt, dass das Festhalten an SHA-1 nicht lang funktionieren wird. Leider ist jeder weitere Tag einer zu viel.

„SSL gezielt optimieren“ war der Titel eines von uns gesponserten heise-Webinars, das wir für Sie in diesem Beitrag zusammengefasst haben. In diesem Artikel finden Sie auch unsere downloadbaren Informationen über die SSL-Erweiterungen HSTS und HPKP, denen wir in 2016 mit Sicherheit wieder begegnen werden, da diese Erweiterungen SSL-verschlüsselte Verbindungen noch sicherer machen.

Im Webinar wurde auch Certificate Transparency (CT) angesprochen. Diese Initiative des Suchmaschinenriesen Google soll dazu führen, dass weniger gefälschte Zertifikate in Umlauf gebracht werden, zielt also auf Fehler ab, die in diesem Jahr ebenfalls für mangelnde Sicherheit gesorgt haben. Wie es zu CT kam, wie die Initiative in der Praxis funktionieren soll und was sich dadurch ändert, erfahren Sie in unserem Blogbeitrag „Certificate Transparency: wichtige Änderungen bei Ihren SSL/TLS-Zertifikaten“.

Eine sehr positive Entwicklung ist auch die Tatsache, dass HTTP langsam aber sicher aus dem World Wide Web verschwindet. Mozilla erhob sich im Juli 2015 zuerst, um mitzuteilen, dass HTTP-Verbindungen in Bälde zugunsten von HTTPS-Verbindungen verschwinden werden. Diesem Beispiel folgten nur einen Monat später die Konzern-Riesen Apple, Microsoft und Wikimedia. Eine Entwicklung, die uns sehr erfreut, denn so gehen wir weiter in Richtung sicheres Internet.

Was hat Sie in 2015 bewegt?

Sie sehen: es war ein ereignisreiches Jahr! Zahlreiche Angriffe, aber auch innovative Neuerungen, die der Sicherheit im World Wide Web mehr als dienlich sind, waren im Fokus des Geschehens. Welche Ereignisse bezüglich IT-Security haben Sie dieses Jahr bewegt? Waren es die von uns genannten? Oder vielleicht die Datensammelwut, mit der Microsoft die Ära Windows 10 einläutete? Haben Sie an Kongressen oder Veranstaltungen teilgenommen, die Sie besonders beeindruckend fanden? – Erzählen Sie uns davon, in den Kommentaren oder bei Facebook!