25.06.2018

20 Jahre Gigabit-Netzwerk!


 

Happy Birthday Gigabit-Netzwerk!

 

Heute vor 20 Jahren erblickte der Gigabit Netzwerk Standard das Licht der Welt und löste damit das gute alte 100 MBit Netzwerk ab - und das bis heute!

 

Daher noch  einmal von uns: Glückwunsch und Respekt!

 

Noch immer ist Gigabit (1000 MBit) die gängige Verkabelung und bei normalen Netzwerkanforderungen auch völlig ausreichend.

 

Ein Nachfolger gibt es zwar mit 10 Gigabit LAN auch schon länger, der ist aber vorrangig bei großen Netzwerken und Servern zu finden und immer noch sind die Komponenten dafür recht teuer.

 

Für den Heimgebrauch und in kleinen Netzwerken kommt jetzt langsam 2,5 Gigabit LAN, das im Vergleich zu 10 Gigabit LAN auch recht erschwinglich ist, sofern man die ca. 2,5-fache Geschwindigkeit denn wirklich braucht.

 

Bei Fragen zu Netzwerken und Verkabelungen stehen wir Ihnen natürlich gern unter 0 89 / 790 10 33 telefonisch mit Rat und Tat zur Seite.

 

Mit den besten Grüßen

Ihr d·bug Team


28.05.2018

Thema: DSGVO - natürlich auch von uns etwas dazu!


Es ist Tag 1 nach der DSGVO!

Na ja, zumindest der erste Werktag bzw. Montag, nachdem die DSGVO am Freitag, den 25. Mai nun endlich in Kraft getreten ist und daher gibt es natürlich auch von uns ein kurzes Statement diesbezüglich:

 

Sehr geehrte Kunden der d·bug GmbH,

schon vor dem Inkraftreten am 25.05.2018 war das Thema DSGVO in aller Munde und betrifft aktuell natürlich nicht nur uns selbst, sondern auch unsere Kunden, die an uns Fragen zu konkreten Forderungen der DSGVO an Ihre IT und die erforderlichen bzw. von uns empfohlenen Maßnahmen dazu haben.

Wir haben uns dazu grundsätzliche Gedanken gemacht und wollen Ihnen hiermit konkret ein paar Tipps und Maßnahmen empfehlen.

Bitte haben Sie jedoch Verständnis dafür, dass wir diese vorerst recht allgemein und nur zu den relevantesten Themen gehalten haben und nicht zu konkret auf die einzelnen Themenbereiche eingehen - die DSGVO ist immer mit der Abwägung im Einzelfall verbunden und eine vollumfängliche Betrachtung würde den Rahmen sprengen!

 

 

Hier ein kurzer Überblick, welche Themen Sie im Artikel erwarten werden

1. Websites, Impressum und Datenschutzerklärung

    - Impressum und Datenschutzerklärung auf Webseite korrekt?
    - Persönliche Daten (Kontaktformular) auf Webseite vorhanden?

    - SSL-/TLS-Verschlüsselung bereits aktiviert?

 

2. IT im Unternehmen

   - Risikoanalyse erstellt und dokumentiert?

   - Rechner und Server geschützt?
   - Zugriffsrechte überprüft?
   - Daten gegen Diebstahl geschützt?

   - externe Mitarbeiter und Geräte mit sicherem Zugriff von außen?

   - E-Mail Verschlüsselung im Einsatz?

3. Datenverarbeitung bei externen Unternehmen/Dienstleistern

    - Liste mit Unternehmen erstellt mit denen Sie Daten austauschen?

    - die erforderlichen Auftragsverarbeitungs-Verträge abgeschlossen?

    - ein Verarbeitungsverzeichnis erstellt?

 

4. Weiterführende Informationen

    - Wo bekommen Sie jetzt noch schnell un kompakt Hilfe?

 

 

1. Websites, Impressum und Datenschutzerklärung

Sie sollten ein aktuelles Impressum auf Ihrer Website verwenden und die vorhandenen Daten auf Aktualität geprüft haben. Ein korrektes Impressum ist schon seit Jahren Pflicht in Deutschland und stellt keine neuen oder zusätzlichen Anforderungen im Sinne der DSGVO dar.

Die getrennte Datenschutzerklärung auf der Website gibt es auch schon länger, jedoch ist diese jetzt im Zuge der DSGVO tatsächlich anzupassen bzw. korrekt neu zu erstellen.

Für diese Datenschutzerklärung sind jetzt sehr viele einzelne Faktoren zu berücksichtigen, die den Aufbau der Datenschutzerklärung und die konkrete Umsetzung des Datenschutzes im Unternehmen später beeinflussen. (z.B. eingebundene "Social-Media-Buttons" zu Facebook und Co., etc.)

Zur Erstellung einer solchen Datenschutzerklärung gibt es im Internet viele freie und kostenlose Angebote, mit denen man eine solche recht einfach erstellen kann. Es empfiehlt sich natürlich trotzdem, danach einen rechtlichen Rat einzuholen, der auf die evtl. vorhandenen Besonderheiten Ihres Unternehmens Rücksicht nimmt.

Als wichtigster Aspekt ist bei diesem Thema jedoch die Übermittlung von persönlichen Daten über die eigene Website zu benennen. Sollten Sie also z.B. Kontaktformulare verwenden, dürfen die Daten nur noch verschlüsselt übertragen werden und nicht mehr im Klartext! Dazu muss die Website per SSL-Verschlüsselung geschützt sein (erkennbar am vorangestellten https:// in der URL)

Verwenden Sie keine Kontaktformulare oder übermitteln keine persönlichen Daten über Ihre Website, dann ist die Verwendung von https:// nicht zwingend notwendig, jedoch aus marketing-technischer Sicht evtl. doch zu empfehlen.

So kennzeichnet der in Deutschland recht verbreitete Google Chrome Webbrowser ab Juli 2018 alle Webseiten ohne https:// als potentiell unsicher, egal, ob auf der Seite überhaupt Daten übermittelt werden oder nicht. Auch werden Webseiten ohne https:// bei der Suche über Google im Suchergebnis schlechter bewertet und bekommen folglich ein schlechteres Ranking.


2. IT im Unternehmen

Die grundlegendste Aufgabe für die Umsetzung der weiterführenden Forderungen und Regelungen der DSGVO besteht in der Erstellung einer sog. Risikoanalyse für Ihr Unternehmen in Bezug auf die bei Ihnen gespeicherten und erhobenen Daten und Ihre Verarbeitungswege und Zugriffe durch Ihre Mitarbeiter und evtl. Dritte. Aus dieser Risikoanalyse ergeben sich dann direkt umzusetzende Maßnahmen für Ihre gesamte IT und Ihren internen Workflow beim Umgang mit den Daten.

 

Die sich ergebenden Maßnahmen sind zwar immer recht individuell für jedes Unternehmen, es lassen sich aber folgende, allgemeine Maßnahmen, die praktisch für alle gelten ableiten:

 

Sie sollten alle Endgeräte mit einem ordentlichen Virenscanner schützen. Ein solcher Virenscanner ist zwar kein Allheilmittel, kann jedoch evtl. Schadsoftware an der Installation hindern, über die dann Dritte später Zugriff auf Daten auf Ihrem Rechner erlangen. Denn sollte dies geschehen oder auch nur ein entsprechender Verdacht auftauchen, haben Sie nach neuer Regelung eine Pflicht, alle Betroffenen über den Diebstahl zu infomieren. Neben dem immensen Aufwand natürlich ein Vertrauensverlust Ihren Geschäftspartnern bzw. Kunden gegenüber.

Weiter und im Netzwerk gedacht, sollten Sie natürlich über die Zugriffsrechte auf Daten in Ihrem Netzwerk nachdenken und diese ggf. einschränken. So erhalten nur die wirklich notwendigen Personen Zugriff auf bestimmte Ordner und Dokumente mit persönlichen Daten und ein per Schädling kompromittierter Rechner hat nicht gleich Zugriff auf Daten, die dessen Benutzer zum Arbeiten gar nicht benötigt.

Dort wo Zugriffsrechte nur schwierig oder mit Bordmitteln des Betriebssystems nicht geeignet umsetzbar sind, sollte Sie über eine zusätzliche Verschlüsselung der gespeicherten Daten schon direkt auf dem Server oder Rechner nachdenken. Eine zusätzliche Verschlüsselung schützt die bei Ihnen gespeicherten Daten vor Missbrauch, für den konkreten Fall, dass diese Daten gestohlen werden oder durch Unbefugte anderweitig abfließen.

Dabei sollten auf jeden Fall auch die externen Backup-Medien (Festplatten, usw.) verschlüsselt sein, da diese teilweise ja auch außerhalb des Unternehmens aufbewahrt werden und somit ein erhöhtes Diebstahlrisiko tragen.

Dies gilt ebenso für alle Mobilgeräte (Notebooks, Tablets, Smartphones, usw.) der Mitarbeiter. Auch diese verlassen regelmäßig die Betriebsräume und können leichter gestohlen werden. Sind die darauf befindlichen Daten verschlüsselt, gelten sie im Sinne der neuen DSGVO dann nicht als abhanden gekommen und der Verlust muss nicht angezeigt werden, usw.

Konkret sollten auf Notebooks und Rechnern externer Mitarbeiter die Festplatten verschlüsselt sein. Dies gilt ebenso für Smartphones, auf denen sich geschäftliche Kontaktdaten und E-Mails mit persönlichen Daten befinden.

Das Thema E-Mail Verschlüsselung (per S/MIME und PGP) spielt zwar auch eine wichtige Rolle, muss jedoch aufgrund der aktuell bekannt gewordenen Sicherheitslücken im grundlegenden Funktionsprinzip der E-Mail-Verschlüsselung hinten angestellt werden bis der Standard selbst und die E-Mail Clients angepasst wurden und wieder als sicher gelten.

Sollte Sie dennoch persönliche Daten in E-Mails versenden, so sollten Sie diese nach aktuellem Stand nur per gesondert verschlüsseltem Anhang (z.B. verschlüsselte ZIP-Datei) übermitteln.

Die verschlüsselte Übertragung von Mails direkt von Server zu Server bleibt von der Sicherheitslücke unberührt und sollte natürlich aktiviert und korrekt konfiguriert werden.

Dies gilt natürlich ebenso für die Anbindung externer Mitarbeiter ans Unternehmensnetzwerk und deren Server - sprich VPN-Zugang zum Unternehmen über einen sicheren Internettunnel. Diese VPN-Zugänge sollten auf aktuelle und sichere Verfahren wie z.B. OpenVPN umgestellt werden, da ältere Protokolle wie z.B. PPTP nicht mehr als sicher gelten.


3. Datenverarbeitung bei externen Unternehmen/Dienstleistern

Wenn externe Mitarbeiter oder Dienstleister Zugriff auf bei Ihnen gespeicherte persönliche Daten Dritter haben, so ist mit diesen ein sog. Auftragsverarbeitungs-Vertrag zu schließen. Dabei reicht es bereits aus, wenn diese auch nur potentiell an solche persönliche Daten gelangen könnten.

Mit wem Sie solche Verträge abschließen müssen zeigt Ihnen die nach der DSGVO
durchzuführende Risikoanalyse für Ihren Betrieb. Diese zeigt Ihnen auf, mit wem Sie extern zusammenarbeiten, wer dabei potentiell Zugriff auf bestimmte Daten hätte und was bei der eigentlichen externen oder internen Datenverarbeitung mit den Daten geschieht. Diese Verarbeitung wird dann im sog. Verarbeitungsverzeichnis auch festgehalten.

Einige Beispiele an die oft nicht gedacht werden, sind z.B. auch die Daten der Mitarbeiter des Unternehmens selbst und deren abfließen zur externen Lohnbuchhaltung oder die Nutzung von Cloud-Diensten und dort gespeicherter Daten von Mitarbeitern und Kunden oder die Nutzung von online Abrechnungsstellen, usw.

Natürlich bieten wir solche Verträge auch für unsere Kunden an und wir haben diese auch mit allen unseren externen Dienstleistern geschlossen, so vorhanden und notwendig.


4. Weiterführende Informationen

Wir empfehlen zum Thema die relativ kompakte und gut strukturierte Broschüre "Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine" - herausgegeben vom Bayrischen Landesamt für Datenschutzaufsicht, erschienen bei C.H.BECK

Sollten Sie konkrete Maßnahmen planen oder Hilfe bei deren Umsetzung für die IT in Ihrem Unternehmen benötigen, können Sie sich natürlich gerne persönlich an uns für eine Beratung oder deren Umsetzung wenden.

 

Bei Fragen zum Thema DSGVO stehen wir Ihnen aber gerne persönlich unter 0 89 / 790 10 33 telefonisch mit Rat und Tat zur Seite.
 

Mit den besten Grüßen

Ihr d·bug Team


03.05.2018

Thema: Passwörter - mal wieder!


Heute ist Welt-Passwort-Tag!

 

Passend zum Anlass möchten wir daran erinnern, dass man seine Passwörter gelegentlich auch mal ändern sollte - vor allem dann, wenn man dazu neigt, gerne mal das gleiche Passwort für sämtliche Anmeldekonten zu verwenden!

 

Bei der Gelegenheit kann man auch gleich mal überprüfen, ob man evtl. schon Opfer eines Einbruchs mit Datendiebstahl in schlecht gesicherte Server geworden ist und eine Passwortänderung daher dringend anzuraten ist!

 

Datendiebe haben es vorangig auf Benutzerkonten abgesehen, die sie dann entweder selber nutzen oder in einschlägigen dunklen Ecken des Internets gewinnbringend verkaufen.

 

Ein solches Benutzerkonto besteht in der Regel aus einem Benutzernamen und dem dazugehörigen Passwort um sich damit dann bei einem Online-Dienst anzumelden und die Dienste zu nutzen. Das nutzen die meißten von uns täglich beim Umgang mit E-Mails über die Webmail Portale der großen Anbieter wie GMX oder Web.de z. B.

 

Und genau hier liegt oft auch schon das größte Problem: Fast immer wollen die Anbieter irgendwelcher Online-Dienste eine E-Mail Adresse als Benutzername haben, weil es für sie dadurch viel einfacher wird. E-Mail Adressen sind weltweit eindeutig und können nicht zweimal vergeben werden und außerdem hat man dadurch auch gleich die wichtigste Kontaktmöglichkeit zum neuen Benutzer mit abgefragt und gespeichert!

 

Früher konnte man sich oft selbst einen Benutzernamen ausdenken und verwenden. Dadurch hatte man dem Anbieter nicht gleich seine E-Mail Adresse gegeben und auch keine persönlichen Daten wie Name und Vorname, die ja oft in E-Mail Adressen Verwendung finden.

 

In Folge dessen verwendet die Mehrzahl aller Nutzer heute also bei gefühlt 98% ihrer online Benutzerkonten daher immer die gleiche E-Mail Adresse als Benutzername. Das ebnet den Weg für den Missbrauch enorm, weil dadurch quasi nur noch das dazugehörige Passwort erraten werden muss bei den verschiedenen Diensten und nicht zusätzlich noch ein frei gewählter Benutzername!

 

Ob man selbst von einem solchen Leak betroffen ist, kann man kostenlos auf der Seite Opens external link in new windowhttps://www.haveibeenpwned.com erfahren, die von Troy Hunt (Microsoft Regional Director) betrieben wird und welche die Daten aus diesen Leaks zur Abfrage anbietet. Nach Eingabe der eigenen E-Mail-Adresse oder dem Benutzernamen, bekommt man mitgeteilt, ob sich der Benutzername oder die betreffende E-Mail-Adresse, die ja oft als Benutzername verwendet wird, in den Datensätzen befindet und wenn ja, bei welchem Dienst diese abhanden gekommen ist.

 

Aber nicht alle sind so nett und es gibt auch Dienste, die diese verfügbaren Datensätze zusammengetragen haben um damit Geld zu verdienen. Dort kann man gegen ein kleine Gebühr abfragen, was zu einem bestimmten Benutzernamen oder einer bestimmten E-Mail-Adresse bekannt ist (Persönliche Daten, Passwörter im Klartext oder deren Passwort-Hashes, usw.) - dies gilt nicht nur für die eigene E-Mail-Adresse, man kann die Daten für jeden beliebigen Benutzer-Account abfragen. Ein Schelm, wer böses dabei denkt! Aus diesem Grund verlinken wir hier auch ausdrücklich nicht auf diese Datenbank.

 

Was kann man machen, wenn man betroffen ist?

 

Sollten Sie nach Eingabe ihrer E-Mail-Adresse oder eines Benutzernamens, den Sie bei einigen Online-Diensten verwenden, die Meldung sehen, dass dieser bei einem Dienst abhanden gekommen ist, dann sollten Sie möglichst sofort das Kennwort bei dem betroffenen Dienst neu setzen und auch bei allen anderen Diensten und Portalen, bei denen Sie das gleiche Kennwort verwendet haben!

 

Und wenn man eh schon dabei ist, ist es eine ausgesprochen gute Idee, dies auch gleich für alle anderen Dienste mit zu erledigen - auch, wenn dort ein anderes Kennwort verwendet wurde! Sicher ist sicher!

 

Wie kann man sich in Zukunft besser schützen?

 

Generell bewahrheitet sich hier wieder die alte Regel, dass man für jeden Dienst ein anderes Kennwort verwenden sollte, damit im Falle eines erfolgreichen Hacking-Angriffs auf diesen Dienst nur ein Passwort kompromitiert ist und nicht gleich alle Dienste, wenn man dort das gleiche Passwort verwendet hat. Denn man sollte sich im Klaren sein, dass die Hacker natürlich sämtliche bekannten Dienste mit der erbeuteten Kombination aus Benutzername und Kennwort testen - dafür gibt es inzwischen sogar voll automatisierte Tools.

 

Leider kann man sich nur eine begrenzte Zahl sicherer Passwörter für die verschiedenen Dienste merken und so wird man doch wieder dazu verleitet, das gleiche Kennwort mehrfach zu verwenden.

 

Ein Ausweg aus diesem Dilemma bieten sogenannte Passwort-Manager, die man mit einem sehr sicheren Master-Passwort schützt und in denen man dann sicher verschlüsselt die jeweiligen Benutzernamen und Kennwörter für die diversen Dienste und Portale hinterlegt. Dabei können diese Passwort-Manager selbst sichere Kennwörter erzeugen und sich sogar automatisch auf einer bestimmten Webseite einloggen, wenn man z.B. eine bestimmte Tastenkombination drückt. Die vielen unterschiedlichen Features der einzelnen Programme aufzuführen oder eines direkt zu empfehlen würde aber den Rahmen des Artikels sprengen und evtl. auch dem gewünschten speziellen Nutzungsverhalten gar nicht angemessen sein - daher verzichten wir darauf.

 

Bei Fragen zum Thema Sicherheit und Passwort-Manager stehen wir Ihnen aber gerne persönlich unter 0 89 / 790 10 33 telefonisch mit Rat und Tat zur Seite.
 

Mit den besten Grüßen

Ihr d·bug Team


06.03.2018

Tipp: Große Dateien sicher versenden


 

Wie versendet man große Dateien sicher per E-Mail?

 

Sie kennen das Problem vielleicht: Man muss gelegentlich jemandem über das Internet mal eben schnell ein etwas größere Datei zukommen lassen. E-Mail scheidet aus, weil ihr Mail-Server sich weigert, größere Anhänge zu versenden oder der Mail-Server des Empfängers die Annahme großer Anhänge strikt verweigert.

 

Klar, es gibt ja zig Dienste wie z.B. das bekannte Dropbox oder OneDrive oder wie sie alle heißen. Doch zum einen muss man selbst dort erst mal angemeldet sein und die Software installiert haben und zum anderen der Empfänger am besten auch, uns sei es nur, damit er sich wenigstens etwas mit dem Konzept auskennt. Man kann zwar oft auch Links auf die hochgeladenen Dateien erstellen, die der andere auch ohne Anmeldung herunterladen kann, jedoch ist das nicht immer einfach und unkompliziert.

 

Außerdem versuchen die diversen Dienste der Cloud-Hoster gerne, dem potentiellen Empfänger eines solchen Links auch zu einer Anmeldung, also zu einem Konto dort zu bewegen. Das ist verwirrend für den Empfänger und nicht schön - und unkompliziert auch nicht.

 

Was gibt es für Alternativen?

 

Seit eingiger Zeit hat die Mozilla Foundation, die für den bekannten Webbrowser Mozilla Firefox verwantwortlich zeichnet auch diverse Webdienste in petto - so auch das neue "Send".

 

Mit diesem Dienst können Sie absolut kostenlos und unkompliziert große Dateien versenden. Und das sicher transportverschlüsselt, mit Passwort geschützt und automatischer Löschfunktion nach Download durch den Empfänger - was will man mehr?

 

Sie rufen einfach folgende Website im Browser ihrer Wahl auf (es muss also nicht Firefox sein):

 

https://send.firefox.com/

 

Alles weitere auf der Seite ist eigentlich selbsterklärend:

 

- per Drag'n Drop oder auch per Datei öffnen Dialog die gewünschte Datei auswählen

- warten, bis die Datei fertig hochgeladen wurde

- ggf. anklicken, dass man ein Passwort für den Download braucht

- den automatisch erzeugten Link kopieren und per E-Mail versenden

 

Und das tolle ist, wenn der Empfänger die Datei heruntergeladen hat, wird die Datei automatisch gelöscht - oder nach 24 Stunden. Man muss also keine Angst haben, dass die Datei ewig im Internet verbleibt und somit evtl. in ein paar Jahren mal jemandem durch Zufall in die Hände fällt.

 

Bei weiteren Fragen zu den Sicherheitslücken stehen wir Ihnen wie gewohnt unter 0 89 / 790 10 33 telefonisch mit Rat und Tat zur Seite.

 

Mit den besten Grüßen

Ihr d·bug Team


29.01.2018

Update: Meltdown und Spectre: Was ist zu tun?



 

Was gibt es Neues in dem Fall?

 

Das Chaos ist so ziemlich perfekt und keiner weiß genau wie es denn nun weiter geht. Nachdem Intel am 22.01.2018 die bereits ausgelieferten CPU Microcode Updates aufgrund der aufgetretenen Probleme (Rechner stürzten ab oder booteten nicht mehr) wieder zurückgezogen hat, haben auch Hardware Hersteller wie Dell die BIOS Updates für die Rechner vorerst wieder auf Eis gelegt. Es gibt dann neue Updates, wenn Intel verbesserte CPU Microcode Updates liefert. Wann das sein wird, ist aber noch offen.

 

Am 27.01.2018 hat dann auch Microsoft ein außerplanmäßiges Windows Update veröffentlicht, welches auf älteren Systemen die Sicherheitsupdates für die Spectre-Sicherheitslücken vorerst wieder deaktiviert, weil es auch dadurch zu unkontrollierten Reboots und Abstürzen auf älteren Rechnern kam. Dieses Update (KB4078130) wird jedoch aktuell nicht per Windows Update verteilt, man kann es sich bei Problemen mit den bereits verteilten Spectre-Updates manuell über den Windows-Update-Katalog Opens external link in new windowherunterladen und installieren. Dadurch werden dann die Patches für die Spectre-Sicherheitslücke in Windows vorerst wieder deaktiviert.

 

Auch hier steht also offen, wann die Sicherheitslücken dann endlich für alle Systeme per Windows Update geschlossen werden.

 

Was ist zu tun?

 

Vorerst kann man leider nur zuschauen und abwarten. Wichtig für den Nutzer ist jetzt vor allem, einen aktuellen Web-Browser zu nutzen, der für die Spectre-Angriffe nicht mehr anfällig ist und somit auch kein in Webseiten eingebettetes JavaScript mehr sensitive Speicherbereiche auslesen kann. Das sind z.B. alle aktuellen Web-Browser in der jeweils aktuellsten Version (Firefox, Chrome, Edge, Internet Explorer, Safari, usw.)

 

Außerdem sollte man zur Zeit auch äußerste Vorsicht walten lassen, wenn man fremde Software aus unbekannten Quellen installiert oder auch alte Software einsetzt, die Passwörter oder sicherheitsrelevante Informationen verarbeitet oder im Programm speichert. Hier besteht die Gefahr, dass Informationen ausgespäht werden können.

 

Wir bleiben für unsere Kunden natürlich weiterhin am Ball und werden Sie hier weiter informieren.

 

Bei weiteren Fragen zu den Sicherheitslücken stehen wir Ihnen wie gewohnt unter 0 89 / 790 10 33 telefonisch mit Rat und Tat zur Seite.

 

Mit den besten Grüßen

Ihr d·bug Team


09.01.2018

Meltdown und Spectre: Was ist zu tun?



 

Wann immer über eine Computer-Sicherheitslücke auch in den normalen Medien wie z.B. Spiegel, Süddeutsche und der Tagesschau berichtet wird, kann man davon ausgehen, dass sie gravierend ist - daher auch eine kurze Einschätzung dazu für unsere Kunden auch von uns.

 

Die aktuell bekannt gewordenen Sicherheitslücken, die mit "Meltdown" und "Spectre" bezeichnet werden, sind schwerwiegend und betreffen fast jedes aktuelle Commputersystem - vom Server über die Cloud bis hin zum normalen PCs und Notebooks, sowie auch aktuelle Smartphones - eigentlich fast alle elektronischen Geräte mit leistungsfähigen Prozessoren.

  

Worin besteht die Sicherheitslücke?

 

Es sind eigentlich zwei unterschiedliche Sicherheitslücken, die jedoch in ihrer Wirkungsweise gleich und somit sehr eng verwandt sind.

 

Vereinfacht gesagt: Man kann auf aktuellen Prozessoren mittels eines mit normalen Benutzerrechten gestarteten Programms beliebige Speicherbereiche auslesen - auch jene, auf die man als normaler Benutzer aus Sicherheitsgründen keinen Zugriff haben sollte, weil dort z.B. Kennwörter und Zugangsdaten von anderen Programmen oder sicherheitskritische Daten des Betriebssystems hinterlegt sind. Informationstechnisch gesehen ist dies in der Tat der vielzitierte Super-GAU.

 

Wie wird diese Lücke ausgenutzt?

 

Die Lücke ist am 3. Januar öffentlich gemacht worden - gefunden wurde sie aber schon im Juni 2017 von unterschiedlichen Sicherheitsforschern und vertraulich an die Prozessorhersteller gemeldet. Seither arbeiten sämtliche Prozessor- und Betriebssystemhersteller gemeinsam an der Behebung dieser kritischen Lücke.

 

Da nicht bekannt ist, ob nicht auch andere zuvor schon auf diese Sicherheitslücke gestossen sind und die Ausnutzung der Lücke keine Spuren hinterlässt, kann niemand mit Sicherheit sagen, dass sie in der Vergangenheit ausgenutzt wurde - vermutlich aber eher nicht.

 

Zukünftig werden aber sehr viele Schädlinge genau auf diese Lücken abzielen, so dass mit einer Flut von Schädlingen zu rechnen ist.

 

Damit man diese Lücke ausnutzen kann, ist es aber zwingend erforderlich, dass irgendein Programm oder Code lokal auf dem Rechner ausgeführt wird. Dies geschieht auf den üblichen Wegen mittels vom Bneutzer geöffneten Anhang in E-Mails, selbst heruntergeladene und ausgeführte Software aus teils dubiosen Internetquellen oder aber auch durch eingebettetes JavaScript in Webseiten.

 

Von all den potentiellen Infektionswegen ist der letztgenannte der gefährlichste, weil hier eine Ausnutzung der Lücke ohne weitere Interaktion des Benutzers möglich ist - man sieht einer aufgerufenen Webseite nicht an, dass im Hintergund ein schadhaftes JavaScript läuft, welches im Browser gespeicherte Passwörter auslesen kann und evtl. auch Zugriff auf weitere Informationen im Speicher des Rechners hat.

 

Was kann man dagegen unternehmen?

 

Die Sicherheitslücke "Meltdown" wurde schon durch die Betriebssystemhersteller (Microsoft, Apple, Linux, Google, usw.) geschlossen. Mit Stand 09.01.2018 gibt es für jedes aktuelle Betriebssystem wie Windows, Linux, Mac OS und Android Updates, die in der Regel automatisch verteilt werden. Problematisch ist hier eigentlich nur Android, wo alte Smartphones oft keine Updates mehr bekommen.

 

Die zweite Sicherheitslücke "Spectre" ist schwieriger auszunutzen, jedoch auch schwieriger zu beheben. Hier müssen vorrangig auch Softwarehersteller ihre Programme gegen diese Sicherheitslücke härten und entsprechend aktualisieren.

 

Die wichtigsten Web-Browser (Internet Explorer, Edge und Firefox) wurden bereits aktualisiert, so dass ein im Browser laufendes JavaScript die Lücke nicht mehr ausnutzen kann. Google Chrome bekommt das Update aber erst am 23. Januar.

 

Weiterhin versuchen die Prozessorhersteller ihre Prozessoren zukünftig mit sog. Microcode-Updates gegen das Ausnutzen der Lücken zu härten. Diese Updates werden in der Regel über BIOS-Updates der Computer-Hersteller verteilt. Intel gibt an, dass sie wohl ca. 90% der aktuellen Prozessoren mit solchen Updates in den nächsten Tagen und Wochen versorgen werden.

 

Fazit: Mehr denn je ist es jetzt wichtig, seinen Rechner aktuell zu halten und sowohl Betriebssystem- wie auch Software-Updates generell und zeitnah einzuspielen. Außerdem sollte das BIOS des Rechners, wen möglich, aktualisiert werden.

 

Wo bekommt man die Updates und weitere Informationen der Hersteller?

 

Die Betriebssystem-Update werden automatisch verteilt, die Software-Updates der gängigen Browser eigentlich auch. BIOS Updates für die Rechnewr jedoch nicht, hier ist der Benutzer selbst gefragt - ebenso wie bei anderen Geräten wie Router, usw.

 

Wichtig in dem Zusammenhang ist auch, dass unter Windows die Updates nur verteilt werden, wenn die Antiviren-Software aktuell ist, weil die Hersteller die Kompatibilität mit dem Update vorab garantieren müssen. Eine veraltete Antivirus-Software kann nämlich nach dem Einspielen des Betriebssystem-Updates sonst zu einem nicht mehr funktionierendem Rechner führen!

 

Hier die Übersichtsseite von heise.de, die sehr gut über den aktuellen Stand informiert:

Opens external link in new windowhttps://heise.de/-3936141

 

Für unsere Dell Kunden gibt es von Dell hier eine Übersichtsseite zu den BIOS-Updates:

Opens external link in new windowhttp://www.dell.com/support/article/de/de/dedhs1/sln308587/mikroprozessor-seitenkanalattacken--ve-2017-5715--cve-2017-5753--cve-2017-5754---auswirkungen-auf-dell-produkte?lang=de

 

Natürlich möchten wir in dem Zusammenhang auch gerne auf unseren bewährten Opens internal link in current windowUpdate-Service verweisen, bei dem wir die o.a. Updates für Betriebssystem, Software und auch das BIOS regelmäßig kontrollieren und für Ihre(n) Rechner durchführen.

 

Bei weiteren Fragen zu den Sicherheitslücken stehen wir Ihnen wie gewohnt unter 0 89 / 790 10 33 telefonisch mit Rat und Tat zur Seite.
 

Mit den besten Grüßen

Ihr d·bug Team


 

© 1999-2016 d·bug GmbH - Alle Rechte vorbehalten.