Seiten

Posts mit dem Label Schwachstelle werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Schwachstelle werden angezeigt. Alle Posts anzeigen

Dienstag, 14. Dezember 2021

Log4j-Sicherheitslücke - was wir tun und Ihnen empfehlen

Sicherheitslücke log4shell in log4j - was wir tun und Ihnen empfehlen

Die kürzlich bekannt gewordene Sicherheitslücke in der Java-Programmbibliothek log4j wurde vom BSI inzwischen in die höchste Warnstufe 4 (rot) eingestuft. 

Log4j-Sicherheitslücke - was wir tun und Ihnen empfehlen
Sicherheitslücke log4shell in log4j - Alarmstufe: Rot

In diesem Blogbeitrag erfahren Sie, was dies bedeutet und was mittelständische Unternehmen jetzt unbedingt tun sollten.

Freitag, 6. August 2021

Penetrationstest oder Schwachstellenanalyse? Drei Schritte für bestmögliche Sicherheit!

Seit über 14 Jahren ist yourIT im Bereich Schwachstellenmanagement tätig. Immer wieder werden wir von Unternehmen angefragt, ob wir bei ihnen einen "Penetrationstest" durchführen und ein Angebot für einen "Pentest" abgeben können. Ursache für solche Anfragen sind meist unklar formulierte Anforderungen von Auditoren. Denn in den meisten Fällen führen wir stattdessen eine "Schwachstellenanalyse" durch.


Erst vergangene Woche hatten wir wieder eine Anfrage nach einem "Pentest" auf dem Tisch. In solchen Fällen sprechen wir mit dem Kunden und erarbeiten als erstes gemeinsam mit diesem, was dieser (oder sein Auditor) unter einem "Pentest" genau versteht, wie der Umfang und was das genaue Ziel der Überprüfung sein soll (Definition & Scope).


Penetrationstest oder Schwachstellenanalyse? Wir klären auf.


Dieses Vorgehen hat sich in den vergangenen Jahren aus drei Gründen bewährt:


Mittwoch, 25. September 2019

Drucker-Sicherheit: Wenn der Drucker zum Datenleck wird

Nicht nur wenn Sie einen vertraulichen Ausdruck am Drucker liegen lassen, ist der Datenschutz bedroht. Auch über das Internet erfolgen Attacken auf Drucker in Unternehmen und Privathaushalten. Drucker brauchen daher Aufmerksamkeit.


Drucker als Einfallstor


Drucker stehen schon so lange in Unternehmen und Home Offices, dass kaum jemand auf die Idee käme, sie als Teil des Internet of Things (IoT) zu sehen. Tatsächlich aber sind vernetzte Drucker nichts anderes als IoT-Geräte. Allein dieser Hinweis sollte aufschrecken lassen: Aktuell wird häufig über Schwachstellen in IoT-Systemen berichtet. Das Internet der Dinge zählt zu den besonders beliebten Angriffszielen. Also sollte man auch damit rechnen, dass Drucker mit Netzwerkanschluss angegriffen werden.

Drucker-Sicherheit: Wenn der Drucker zum Datenleck wird
Drucker-Sicherheit: Wenn der Drucker zum Datenleck wird

Tatsächlich geschieht genau das: Forscher von Microsoft haben kürzlich festgestellt, dass die russische Hackergruppe „Fancy Bear“ gezielt IoT-Systeme angreift, darunter zahlreiche Netzwerkdrucker. Doch das ist nur ein Beispiel von vielen.

Montag, 11. März 2019

Datenschutz & Informationssicherheit bei Geschäftspartnern: Worauf kommt es an?

Fehler bei einem Zulieferer können schwerwiegende Auswirkungen auf die eigenen Produkte haben. Das gilt nicht nur für das Qualitätsmanagement, sondern auch in Bezug auf Datenschutz & Informationssicherheit. Nicht nur der Einkauf sollte daran denken, sondern jeder einzelne Mitarbeiter im Unternehmen.


Teile und Schwachstellen zukaufen


Stellen Sie sich vor, ein Bauteil, das von einem Zulieferer stammt, ist fehlerhaft, und es wird trotzdem in das neue Fahrzeug eingefügt. Die Folge ist, dass das Fahrzeug nun einen Fehler aufweist, der je nach Art des Bauteils dramatische Auswirkungen haben kann. Denken Sie nur einmal an ein Bauteil wie einen Bremsklotz. Der zugekaufte Fehler kann Menschenleben bedrohen.

Datenschutz & Informationssicherheit in der Lieferkette

Die Gefahr, über eingekaufte Leistungen und Produkte den eigenen Produkten und Services Schwachstellen und Fehler zuzuführen, besteht in jeder Branche. Deshalb fordern Richtlinien für ein Qualitätsmanagement immer, dass auch die Qualität bei den Zulieferern geprüft und überwacht werden muss. Das Gleiche muss für Datenschutz & Informationssicherheit gelten.

Mängel bei Datenschutz & Informationssicherheit in der Lieferkette


Stellt ein Dienstleister oder Lieferant Ihres Unternehmens Datenschutz & Informationssicherheit nicht angemessen sicher, wirkt sich dies auch auf den Datenschutz in Ihrem Unternehmen aus. Hat der Lieferant Zugang zu den Kundendaten Ihres Unternehmens und sorgt selbst nicht für Datenschutz & Informationssicherheit, kann es passieren, dass ein Datendieb über die Schwachstellen Ihres Lieferanten an die Daten in Ihrem Unternehmen kommt.

Oder ein Softwaremodul, das Ihr Unternehmen nutzt, hat eine kritische Schwachstelle. Wenn Sie das Modul nutzen oder in andere Programme Ihres Unternehmens einfügen, dann lässt sich diese Schwachstelle bei Ihnen selbst ausnutzen. Eigentlich ist dies kein Geheimnis, und trotzdem achten zu wenige Unternehmen darauf, Datenschutz & Informationssicherheit bei ihren Geschäftspartnern zu hinterfragen, um selbst Datenschutz & Informationssicherheit angemessen gewährleisten zu können.

Datenschutz-Aufsichtsbehörden sehen Klärungsbedarf


Datenschutz-Aufsichtsbehörden wie das Landesamt für Datenschutzaufsicht in Bayern (BayLDA) haben festgestellt, dass Meldungen von Datenschutzverletzungen fast immer das jeweilige Unternehmen selbst als verantwortlich bezeichnen, kaum jedoch einen Geschäftspartner oder Dienstleister.

Da nach der EU-Datenschutzgrundverordnung (EU-DSGVO) auch Verletzungen der Sicherheit bei Dienstleistern (sogar bei weiterer Unterauftragsvergabe) eine Meldeverpflichtung auslöst, stellte sich dem BayLDA die Frage, wieso es kaum Meldungen gibt, die von (internationalen) Dienstleistern ausgelöst werden. Offensichtlich fehlt das Bewusstsein dafür, dass Datenschutzmängel bei Geschäftspartnern den eigenen Datenschutz betreffen.

Ursachen für Verletzungen im Bereich Datenschutz & Informationssicherheit werden fast immer nur intern gesehen. Das entspricht aber absolut nicht den Tatsachen! Deshalb sollte nicht nur der Einkauf, sondern jeder, der mit Dienstleistern und anderen Geschäftspartnern zu tun hat, daran denken, dass Datenschutz & Informationssicherheit auch dort stimmen müssen, damit Datenschutz & Informationssicherheit im eigenen Unternehmen gewährleistet sind.

Kein Generalverdacht, sondern mehr Aufmerksamkeit


Es geht dabei nicht darum, jeden Geschäftspartner als Ursache von Mängeln im Bereich Datenschutz & Informationssicherheit zu betrachten und bei Problemen die Schuld immer bei anderen zu suchen. Vielmehr geht es darum, Datenschutz & Informationssicherheit genau wie bei der Qualität immer die ganze Lieferkette im Auge zu behalten. Beziehungen zu Dienstleistern und Geschäftspartnern verdienen viel Aufmerksamkeit – auch im Sinne von Datenschutz & Informationssicherheit.

Ein kurzes Quiz zum Thema gefällig?


Frage 1: Probleme im Bereich Datenschutz & Informationssicherheit sind anders als Qualitätsmängel. Fehler im Bereich Datenschutz & Informationssicherheit pflanzen sich nicht fort. Stimmt das?

  1. Nein, Schwachstellen bei Datenschutz & Informationssicherheit eines Partnerunternehmens können den eigenen Datenschutz und die eigene Informationssicherheit bedrohen.
  2. Ja, wer selbst im Bereich Datenschutz & Informationssicherheit gut aufgestellt ist, muss die Fehler der Lieferanten nicht fürchten.
Lösung: Die Antwort 1. ist richtig. Doch obwohl es selbstverständlich sein sollte, dass sich Probleme im Bereich Datenschutz & Informationssicherheit über die Lieferkette hinweg ausbreiten können, achten viele Unternehmen zu wenig auf das Datenschutzniveau der Geschäftspartner.

Frage 2: Jeder ist für seinen Datenschutz und seine Informationssicherheit selbst verantwortlich. Stimmt das?

  1. Ja, das stimmt, deshalb gibt es z.B. eine verantwortliche Stelle für den Datenschutz in jedem Unternehmen.
  2. Nein, zusätzlich ist man auch verantwortlich dafür, nur mit solchen Dienstleistern zusammenzuarbeiten, die ein angemessenes Niveau in den Bereichen Datenschutz und Informationssicherheit haben (Auftragsverarbeitung).
Lösung: Die Antworten 1. und 2. sind gemeinsam richtig, die Antwort 1 ist falsch, wenn man sie allein stehen lässt. Die EU-DSGVO kennt neben der Verantwortung auch die gemeinsame Verantwortung und die Beschränkung auf solche Dienstleister für eine Auftragsverarbeitung, die einen angemessenen Datenschutz nachweisen können. Unter einer gemeinsamen Verantwortlichkeit versteht man: Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung personenbezogener Daten fest, so sind sie gemeinsam Verantwortliche. Dies kann in einer Kooperation entlang der Lieferkette schnell der Fall sein.

Fragen / Anregungen


Haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:

Name

E-Mail (Pflichtangabe)

Nachricht (Pflichtangabe)


Mit dem Absenden der Nachricht bestätigen Sie, die Datenschutzerklärung der yourIT zur Kenntnis genommen zu haben.




Freitag, 25. Januar 2019

2019 - Neues Jahr - Neue Datenrisiken

Auch für 2019 haben IT-Sicherheitsexperten wieder ihre Prognosen veröffentlicht über neue Risiken, die sowohl personenbezogene Daten als auch Betriebs- und Geschäftsgeheimnisse bedrohen. Es wäre aber falsch, sich nun ausschließlich auf diese Risiken zu konzentrieren.


Die Zeichen stehen auf Sturm - Gefährdungslage auf neuem Niveau


Gleich, ob Sie sich die Vorhersagen der Sicherheitsbehörden oder der Sicherheitsanbieter für 2019 ansehen: Kaum ein Security-Experte ist der Meinung, dass die Risiken für personenbezogene und andere zu schützende Daten geringer werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von einer "Gefährdungslage auf neuen Niveau". Cyber-Angriffe werden 2019 noch intelligenter und ausgereifter, erklären auch die Forscher von Fortinet. Zieht man Parallelen zu den Wetterprognosen, lässt sich sagen, die Sicherheitsspezialisten erwarten eine Zunahme von schweren Unwettern.

Die Zeichen stehen auf Sturm - Gefährdungslage auf neuem Niveau
Datenrisiken 2019 - Die Zeichen stehen auf Sturm

Nicht an die steigenden Risiken gewöhnen


Die Berichte der Security-Experten rund um den Jahreswechsel bekommen in den Medien immer viel Aufmerksamkeit. Doch besteht die Gefahr, dass wir Menschen uns daran gewöhnen, dass die Gefahren aus dem Internet und für unsere Daten immer größer werden. Tatsächlich nehmen die Risiken für personenbezogene Daten stetig zu. Die Prognosen der McAfee Labs für 2019 besagen zum Beispiel: Neue mobile Malware wird Smartphones, Tablets und Router austesten, um Zugang zu den digitalen Assistenten, die sie kontrollieren, und zu heimischen IoT-Geräten (IoT = Internet of Things) zu erhalten. Smart Homes werden verstärkt zum Angriffsziel. Was bedeutet das nun konkret für den Datenschutz im neuen Jahr?

Die Risiken folgen der Digitalisierung


Nutzen Unternehmen und Privatpersonen vermehrt Dienste aus der Cloud, werden Smartphones und Tablets für immer mehr Menschen zum stetigen Begleiter und die Wohnungen immer vernetzter, dann zieht das Angriffswellen auf sich. Überall, wo neue Bereiche digitalisiert werden, ist mit Angriffen von Hackern zu rechnen.

Doch auch abseits der digitalen Technik lauern Gefahren


Man darf aber nicht vergessen, dass Staat, Wirtschaft und Gesellschaft bei Weitem noch nicht angekommen sind an dem Ziel der digitalen Transformation. Viele Verfahren und Prozesse sind seit Jahren unverändert im Einsatz. Dadurch sind sie aber nicht aus dem Fokus der Angreifer. Die Sicherheitsexperten stellen vermehrt fest, dass Internetkriminelle mit den klassischen Kriminellen zusammenarbeiten. Jede der kriminellen Seiten lernt und profitiert von der anderen. Deshalb muss weiterhin damit gerechnet werden, dass klassische Einbrüche stattfinden, um an vertrauliche Informationen zu kommen, und nicht nur Hacker-Attacken.

Nur weil die Sicherheitsprognosen die neuen Technologien und ihre Risiken betonen, nehmen die Gefahren in den klassischen Bereichen nicht ab. Im Jahr 2019 muss mit allen bisherigen Bedrohungen gerechnet werden, die wir schon seit vielen Jahren kennen – die neuen Bedrohungen kommen hinzu. Sehen Sie deshalb jede Sicherheitsprognose wie eine Fortsetzungsgeschichte: Es werden neue Kapitel geschrieben, ohne dass man die alten einfach zuschlagen dürfte.


Sicherheitsrisiken und Schwachstellen identifizieren, bevor es zum Schaden kommt


Die für eine Situations-Verbesserung erforderlichen "Coolen Tools" sind bei mittelständischen Unternehmen meist nicht im Einsatz und noch nicht einmal bekannt. Intelligente Sicherheitsinformations- und Ereignis-Management (SIEM) Lösungen könnten hier Abhilfe schaffen.

yourIT Beratungspaket Sicherheitsaudit IT-Infrastruktur
yourIT Beratungspaket Sicherheitsaudit IT-Infrastruktur


Moderne IT-Systemhäuser wie yourIT können hier aushelfen, indem diese erstmal ein IT-Sicherheitsaudit durchführen. Ein entsprechendes Beratungspaket "Sicherheitsaudit IT-Infrastruktur" für den Mittelstand steht bereit. Hierbei werden sogar die mittelständischen Unternehmen zustehenden Fördermittel ausgenutzt. So kann sich das jedes Unternehmen leisten.

Wenn Unternehmen feststellen, dass interne Sicherheitslücken bestehen, sollten diese unverzüglich geschlossen werden. Gegebenenfalls muss überprüft werden, ob und was bereits passiert ist. Hier sind Forensiker und Vergleichsdaten gefragt. Ein Spezialist muss die Daten der vergangenen Tage und Wochen mit dem aktuellen Stand abgleichen und analysieren

  • wo der Angreifer überall war;
  • welchen Schaden er angerichtet hat;
  • ob es ein Außen- oder ein Innentäter war.
Evtl. hat ein Mitarbeiter versehentlich eine Schadsoftware verwendet und wurde so zum Innentäter. Durch die Nutzung des Beratungspakets "Sicherheitsaudit IT-Infrastruktur" lässt sich in diesem Fall der Client identifizieren, über den der Schaden zustande kam. Jetzt muss die Sicherheit wieder hergestellt werden. Manuell ist das eine mühsame Arbeit. Mit den "Coolen Tools" der yourIT lassen sich Sicherheitsrisiken und Anomalien schon im Vorfeld aufspüren.

Werden Sie jetzt aktiv: Das Investment in Datenschutz- & Informationssicherheits-Projekte zahlt sich für mittelständische Unternehmen schnell aus - meist schon beim ersten verhinderten Schaden. Testen Sie jetzt unser Beratungspaket "Sicherheitsaudit IT-Infrastruktur". Sie werden begeistert sein!

Mittwoch, 7. Februar 2018

Das Leck im Prozessor: Hardware als Schwachstelle

Sicherheitslücken in einem Betriebssystem betreffen die Nutzer eines anderen Betriebssystems in aller Regel nicht. Hat jedoch grundlegende Hardware eine Sicherheitslücke, sieht dies anders aus. Anfang Januar 2018 passierte genau das.


Hardware-Leaks


Geht es um Schwachstellen und IT-Sicherheitslücken, kommen (mobile) Betriebssysteme, Anwendungen und mobile Apps zur Sprache, oftmals auch Webbrowser und Browser-Erweiterungen. Doch die Löcher, durch die die Daten ungewollt abfließen und über die Angreifer Zugriff erhalten können, müssen nicht in der Software stecken. Auch die Hardware, zum Beispiel die Computer-Chips, können Fehler aufweisen, die Attacken auf die Daten zulassen.



Anfang Januar diesen Jahres wurde bekannt, dass die Prozessoren verschiedener Hersteller schwer zu behebende IT-Sicherheitslücken haben...

Die Schwachstellen ermöglichen unter anderem das Auslesen von sensiblen Daten wie Passwörtern, Schlüsseln und beliebigen Speicherinhalten, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) betonte. Betroffen waren demnach nahezu alle Geräte, die über einen komplexen Prozessorchip bestimmter Hersteller verfügen, darunter Computer, Smartphones und Tablets mit allen gängigen Betriebssystemen. Aber auch Cloud-Dienste waren von den Sicherheitslücken betroffen. Denn viele davon laufen ebenfalls auf Server-Hardware, die entsprechende Chips nutzen.

Gegenmaßnahmen sind Updates und kein Hardware-Tausch


Was aber können Nutzer tun, wenn es Sicherheitslücken in der Hardware gibt? Müssen die Hardware-Besitzer dann die Chips austauschen, und geht das überhaupt? Natürlich wäre es ideal, die fehlerhafte Hardware austauschen zu können, doch das klappt praktisch nicht. Noch besser wäre es, die Hardware anders zu konzipieren.

Hierzu erklärte BSI-Präsident Arne Schönbohm: „Das BSI hat in der Vergangenheit bereits mehrfach auf die Problematik von IT-Sicherheitsproblemen in Hardware-Produkten hingewiesen, etwa in unseren jährlichen Lageberichten. Der vorliegende Fall ist ein erneuter Beleg dafür, wie wichtig es ist, Aspekte der IT-Sicherheit schon bei der Produktentwicklung angemessen zu berücksichtigen. 'Security by Design' und 'Security by Default' sind Grundsätze, die für den Erfolg der Digitalisierung unerlässlich sind.“

Tatsächlich ist es so, dass die akute Abhilfe bei solchen Hardware-Sicherheitslecks den Maßnahmen sehr ähnlich ist, die auch bei Software-Schwachstellen nötig sind. Es müssen Updates stattfinden, allerdings nicht nur von einigen bestimmten Anwendungen, sondern sehr umfassende Updates. Das liegt daran, dass die Art und Weise, wie die Betriebssysteme und die Anwendungen mit der Hardware kommunizieren und arbeiten, verändert werden muss, auf breiter Front.

Patch-Management ist extrem wichtig


Das regelmäßige und zeitnahe Installieren von Updates als Fehlerbehebung, auch Patches genannt, ist somit nicht nur wichtig, weil Software fehlerbehaftet ist und Datendiebe deren Schwachstellen ausnutzen könnten. Auch in der Hardware lauern Sicherheitslücken, für die Updates nötig sind. Das gilt nicht nur für Prozessoren, sondern für jede Art von Hardware, also zum Beispiel Router, Drucker und Komponenten für Computer-Schnittstellen.

Denken Sie deshalb privat wie beruflich an das sogenannte Patch-Management. Suchen Sie also regelmäßig Patches und installieren Sie sie zeitnah. Die IT, ob Software oder Hardware, kann Fehler und Schwachstellen aufweisen. Machen Sie deshalb als Nutzer nicht den Fehler, Patches zu spät oder sogar überhaupt nicht zu installieren!

Kennen Sie die Risiken von Hardware-Fehlern? Machen Sie den Test


Frage: Weder Software noch Hardware kann als fehlerfrei angenommen werden. Für Software gibt es Updates als Fehlerbehebung, bei Hardware hilft nur der Austausch. Stimmt das?

  • a) Nein, auch für Hardware-Fehler gibt es in der Regel Updates. 
  • b) Ja, Hardware-Fehlern kann man durch Updates nicht begegnen. Das geht nur bei Software.
Lösung: Antwort a) ist richtig. Die Updates ändern zwar die Hardware nicht, aber das Zusammenspiel von Hardware und Software, um so die Auswirkungen der Hardware-Fehler zu kompensieren.

Frage: Hardware-Risiken wie unsichere PC-Schnittstellen lassen sich nur durch direkten Zugriff auf die Hardware ausnutzen. Stimmt das?

  • a) Ja, zum Beispiel durch Anstecken eines verseuchten USB-Sticks an eine fehlerhaft konfigurierte USB-Schnittstelle. 
  • b) Nein, es ist sogar aus der Ferne, also über das Internet, möglich, Hardware-Schnittstellen zu missbrauchen. 

Lösung: Antwort b) ist richtig. Angreifer können es schaffen, über das Internet Hardware-Schnittstellen zu manipulieren, wenn diese entsprechende Schwachstellen aufweisen. So kann es zum Beispiel bei einer Attacke gelingen, auf die unzureichend geschützte Verbindung zum Drucker zuzugreifen, um Daten zu stehlen oder um dem Drucker ungewollte Befehle zu erteilen. Dies ist bereits in der Vergangenheit geschehen, als Angreifer zahlreiche Drucker aus der Ferne aktiviert hatten, um Propaganda zu drucken.

Um sich gegen die aktuellen Risiken zur Wehr zu setzen, müssen Unternehmen verstehen, wie die Cyber-Erpresser denken. Die IT-Security-Experten von yourIT empfehlen: Betrachten Sie Ihr IT-Netzwerk mit den Augen eines Hackers.

Betrachten Sie Ihr IT-Netzwerk mit den Augen eines Hackers - mit Unterstützung von yourIT


Wir sind die Guten! Lassen Sie uns Ihnen helfen, gefährliche Schwachstellen in Ihrem IT-Netzwerk aufzuspüren und proaktiv zu beheben. Warten Sie nicht, bis Cyber-Erpresser diese finden und ausnutzen können.

Nutzen Sie jetzt unser Angebot Sicherheitsaudit "IT-Infrastruktur" - jetzt auch mit Locky-Check.

Unsere Mithilfe gegen Erpressungs-Trojaner - Das yourIT-Sicherheitsaudit "IT-Infrastruktur" - Jetzt neu mit Locky-Check

Unser Sicherheitsaudit "IT-Infrastruktur" wurde beim Innovationspreis-IT ausgezeichnet als BEST OF CONSULTING. Für unsere Beratung gibt es derzeit bis zu 1.500 EUR Fördermittel vom Staat.

Ich freue mich auf Ihre Anfragen.

Ihr Thomas Ströbele

Thomas Ströbele

Fragen / Anregungen

Haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:

Name

E-Mail (Pflichtangabe)

Nachricht (Pflichtangabe)


Mit dem Absenden der Nachricht bestätigen Sie, die Datenschutzerklärung der yourIT zur Kenntnis genommen zu haben.



Dienstag, 17. Oktober 2017

Kritische Schwachstelle WLAN - Sicherheitslücke in WPA2-Sicherheitsstandard entdeckt

Hechingen, 17.10.2017, 08:38 Uhr: Heute morgen das ganz große Thema in Presse, Funk und Fernsehen: Die Warnung vor einer Sicherheitslücke im Sicherheitsstandard WPA2, der eigentlich WLAN-Verbindungen absichern soll.


Wie z.B. heise.de meldet, haben Forscher mehrere kritische Schwachstelle entdeckt.


Wie aus verschiedenen Medienberichten hervorgeht, warnen diverse Sicherheitsforscher warnen, dass mittels der KRACK getauften Attacke Angreifer WPA2 aufbrechen, belauschen und manipulieren können.

Maßnahmen-Empfehlung des yourIT-Security-Teams:


Die WPA2-Verschlüsselung steht schon lange in der Kritik, nicht wirklich sicher zu sein. Daher raten wir seit einiger Zeit zu zusätzlichen Sicherheitsmaßnahmen und vor Allem zu regelmäßigen Firmware-Updates.
  1. Vorerst wenn möglich lieber auf WLAN-Verbindungen verzichten und auf Kabelverbindungen (LAN) zurückgreifen (nur falls machbar und praktikabel).
  2. WLAN-Router so konfigurieren, dass er automatisch nach Sicherheitspatches sucht . Falls Sie hierbei Hilfe benötigen, unterstützen wir Sie gerne.
  3. Weitere Meldungen von yourIT und anderer Medien verfolgen. Vielleicht die Gelegenheit, jetzt unseren Blog oder unseren Newsletter zu abonnieren?

Bis entsprechende Patches der Hersteller verfügbar sind, sollten Sie davon ausgehen, dass Dritte mitlesen können. Sie sollten daher bei der Übertragung von persönlichen und vertraulichen Informationen darauf achten, dass eine Extra-Verschlüsselung wie HTTPS zum Einsatz kommt. Alternativ kann auch der Einsatz eines VPNs helfen.

Achtung: Auch in anderen Bereichen Ihres Unternehmens-IT-Netzwerkes lauern dauernd Gefahren. Wir helfen Ihnen gerne dabei, diese Aufzuspüren, ein funktionierenses Patchmanagement zu etablieren und ein regelmäßiges Monitoring mit entsprechenden Reports einzurichten.

Übrigens: Das yourIT-ISMS ist ISO-27001-zertifiziert. Vergleichen Sie uns gerne mit dem Wettbewerb.

Hier der ursprüngliche Artikel auf heise.de.

Update [17.10.2017 18:30 Uhr]: Erste Patches sind verfügbar


Mittlerweile haben einige von der WPA2-Lücke KRACK betroffene Hersteller Stellungnahmen ond Patches veröffentlicht, die die Risiken abwehren.

Hier die aktuelle Liste der Stellungnahmen und Patches der Hersteller: Link zu heise.de