defense.at Onlinemagazin
  1. deftipps.com > 
  2. IT Security

NFC Technik auf der Bankomatkarte - schnelles Bezahlen an der Kassa

Vorbei mir der langen Wartezeit an der Kassa. Die NFC Technik auf neuen Bankomatkarten macht schnelles Bezahlen möglich.

Man bezahlt jetzt per NFC. Kontaktlos ist der neueste Schrei! Vorbei die Zeit, als wir in einer langen Schlange an der Kassa des Supermarkts standen und darauf warteten, bis der Erste in der Reihe sein Kleingeld aus der Geldbörse gefischt und bis auf den letzten Cent abgezählt hat. Vorbei auch der Stress, der unseren Magen verkrampfen lies, wenn jemand vor uns die Bankomatkarte bereits zum dritten Mal „falsch“ in den Kartenleser steckte und versuchte seinen Code einzugeben. Dank Near-Field-Communication kann endlich bezahlt werden, ohne die Karte in ein Lesegerät stecken zu müssen, eben kontaktlos. So zumindest in der Theorie. Denn die neuen Bankomatkarten, welche bis spätesten 2015 für alle Kunden von der Bank getauscht werden, haben diese neue Funktion. Damit können Beträge bis zu 25 Euro bezahlt werden, indem Sie die Karten in die Nähe des Kartenlesers halten. Eine Eingabe eines Sicherheitscodes ist grundsätzlich nicht nötig.weiterlesen...

Sicheres Webhosting leicht gemacht, ein kleiner Leitfaden

Wer eine Webseite betreibt, sollte den Webspace auch absichern, damit keine Unbefugten Zugriff bekommen.

Das "Hacken" von Webseiten ist in aller Munde, doch was genau steckt eigentlich dahinter? Wer selber Webhosting betreibt und eine eigene Webseite hat, der sollte genau wissen, was er tut, damit er nicht zum nächsten Opfer der hiesigen Hacker-Banden wird. Content Management - Einfach, schnell, kostenlos, aber kritisch Wenn jemand nicht viel Ahnung von Webseiten-Programmierung hat, aber dennoch nicht auf eine Webpräsenz verzichten möchte, für den bieten sich Content-Management-Systeme (CMS) an. Ohne viel Hintergrundwissen wird die Inhalts- und Layoutverwaltung einfach gemacht. Doch Systeme wie z.B. Joomla oder Typo haben einen entscheidenden Nachteil: der Quellcode ist offen und wird von einer großen Gemeinschaft gepflegt. Das ist gut für den Nutzer, denn die Installation und Verwendung ist kostenlos, doch Hacker profitieren vom offenen Quellcode. Hat sich in eine Version eine Sicherheitslücke eingeschlichen, so ist diese beliebtes Ziel von Angreifern. Je nach Schwere des Angriffs können sich so gleiche Systeme untereinander infizieren - es grenzt an eine Epidemie. Daher achten Sie immer darauf, dass Sie bei der Verwendung eines CMS immer auf dem aktuellen Stand sind und Sie die Datenbank- sowie Administrator-Benutzer mit ausreichend komplexen Passwörtern gesichert haben. Als Vorsichtsmaßnahme empfiehlt sich zudem ein Backup.weiterlesen...

Datenvernichtung im Sinne des Datenschutzes

Um den Schutz personenbezogener Daten zu gewährleisten ist es manchmal notwendig eine Datenlöschung oder eine Datenvernichtung durchführen zu lassen

Datenschutz, der Schutz personenbezogener Daten ist ja derzeit in aller Munde. Vom gläsernen Menschen ist da die Rede, vom Datenmißbrauch udgl. Aber wer macht sich genauere Gedanken über die Problematik und wer ahnt, dass dieses Thema ihn selbst betrifft. Wir alle arbeiten mit Daten und ein großer Teil dieser Daten sind personenbezogene Daten. Diese Daten werden nicht nur verarbeitet, sie werden natürlich auch gespeichert. Auf Festplatten, CDs, USB-Sticks, Handys und natürlich auch in ausgedruckter Form auf Papier. Manche werden sich noch Gedanken machen, wie Sie Ihren Computer oder Ihren Datenträger absichern können, damit er vor dem Zugriff fremder nicht autorisierter Personen geschützt istweiterlesen...

Mit Telnet Mailserver und Webserver abfragen

Jeder kennt Telnet, aber die wenigsten wissen, wie man mit Telnet Mailserver oder Webserver abfragen kann.

Telnet ist auf fast jedem PC vorhanden. Für Windows Betriebssysteme kann auch Hyperterminal verwendet werden, welches einfacher zu bedienen ist, als Telnet. Unter Linux kann es einfach in einer Shell über den Befehl „Telnet“ gestartet werden. Noch bequemer sind Tools, wie Putty, oder Tutty, die jeder sicher einfach über Google findet. Was ist Telnet? Früher wurde Telnet dazu verwendet um Terminals miteinander zu verbinden, damit gemeint ist, dass man mittels Telnet auf einen Rechner [Netzwerk] zugreifen kann. Es ist nicht nur möglich auf einen entfernten Rechner [über Internet] zuzugreifen, sondern Ihn auch zu steuern. Telnet benutzt den Port 23. Zusätzlich kann man mehrere Verbindungen [Sessions] zu dem Zielhost aufbauen. Telnet ist Text basierend. Telnet wird heutzutage auf den meisten Rechnern/Servern gesperrt, da die Verbindung zu „Unsicher“ ist. In Universitäten ist der Dienst „telnetd“ immer noch aktiv, somit besteht die Möglichkeit für die „Studenten“ über Telnet Zugriffe auf Informationssysteme zu gewährleisten.weiterlesen...

Windows Verschlüsselungstrojaner oder BKA Trojaner

Der Windows Verschlüsselungstrojaner oder auch kurz BKA-Trojaner hat sich innerhalb kürzester Zeit einen Namen gemacht

Das Trojanische Pferd aus der Kategorie Ransomware (ransom: englisch für Erpressung) und seine Varianten wurden das erste Mal als BKA-Trojaner in Österreich und Deutschland bekannt. Leider werden diese mit der Zeit immer zahlreicher und ausgefeilter. Zwar sind die Vorgehensweisen der Internetbetrüger bekannt, dennoch tappen täglich Viele in die Fallen und bereichern damit die Übeltäter meist auch noch. So leicht kann man sich einen Verschlüsselungstrojaner einfangen Der Verschlüsselungstrojaner versteckt sich immer in einem eMail-Anhang. Es sind meist Spam-Mails, welche angeblich von seriösen Stellen stammen. Bekannt wurde diese Art von Trojanern durch gefälschte eMails des BKA (Bundeskriminalamt), welche im Anhang ein seriös klingendes Dokument enthielten. Wenn es um Spam-Mails oder auch bekannte eMail-Absender geht, ist deshalb spätestens bei den angehängten Dateien eine gesunde Skepsis gefragt, da diese im Zweifelsfall großen Schaden anrichten können!weiterlesen...

Radius Server Authentifizierung

Security-Paper über das Radius Protokoll (Protocol), den response authenticator und die Authentifizierung am Radius Server allgemein

Viele fragen sich vielleicht, was Leute meinen, wenn irgendwo erklärt wird "...und die Authentifizierung wird per Radius - Server abgewickelt...". Nun ja, dahinter steckt der Radius - Dienst / das Radius - Protokoll, welches ich hier näher erläutern will. Problemstellung Beim Remote Access eines Users in ein gesichertes Netzwerk ist die eindeutige Authentifizierung ein großes Problem. Um einen flexiblen Remotezugriff über verschiedene NAS (= Network Access Server) zu ermöglichen, kann somit ein zentraler Authentifizierungsserver verwendet werden. Um die Einwahl durchführen zu können, muss eine Kommunikation zwischen dem Client, dem Einwahlknoten und dem Authentifizierungsserver bestehen. Dies ist erforderlich, um Informationen, wie z.B. Benutzernamen auszutauschen. Diese Kommunikation wird über das Radius – Protokoll abgewickelt.weiterlesen...

Paper, pki Risiken und Zertifikate

security paper über die pki Risiken und zertifikate

Wir haben verschiedenste Verschlüsselungsmechanismen, mit denen wir Daten verschlüsseln können. Doch wer garantiert uns, dass unser Gegenüber immer der ist, als der er sich auszugeben pflegt. Die einzige wirkliche Möglichkeit ein Netzwerk aufzubauen, in dem man diesem Problem halbwegs sicher entgegentreten kann ist eine vollständige PKI (Public Key Infrastructure). PKI ist ein Framework, um folgende Zielsetzungen bezüglich der Sicherheit aller internen und externen Kommunikationen/Transaktionen zu gewährleisten: - Privacy (Geheimhaltung) ............................Verschlüsselung der Daten gegenüber Dritte - Integrity (Datenintegrität)...........................Sicherstellung, dass die Daten z.b. während der Übertragung nicht verändert wurden - Authentication (Authentifikation)..................Sicherstellung, dass dein Gegenüber auch wirklich der ist, als der er sich ausgibt - Datenschutz..............................................Schutz der Daten gegenüber Dritteweiterlesen...

Datenschutz, Schutz personenbezogener Daten

Datenschutz, eine Erklärung und Zusammenfassung über den Schutz personenbezogener Daten

Datenschutz Allgemein
"Datenschutz" (engl. "privacy") bedeutet den Schutz personenbezogener Daten vor Missbrauch. Heutzutage bedeutet dieses vielfach dass die jeweilige Person selbst entscheiden kann, wann er welche Daten und wie viel preisgibt. Im Deutschen Recht bezeichnet man dieses auch als "Recht auf informationelle Selbstbestimmung" (als Grundrecht anerkannt 1983 im “Volkszaehlungsurteil“ [1]), und ist eine Auspraegung des allgemeinen Persönlichkeitsrechts. Beispiele solcher personenbezogenen Daten koennen alles Moegliche sein, angefangen bei Grundsachen wie Geburtsdatum, voller Name, Adresse, E-Mail Adresse aber auch Gewohnheiten, Arbeitsplatz, Hoobys und so weiter. Die Bedeutung des allgemeinen Datenschutzes ist im heutigem, digitalem Zeitalter viel wichtiger als noch vor fuenfzig Jahren, weil die Datenerfassung immer einfacher wird. So muss man beispielsweise nicht alles erst lesen, einscannen oder Aehnliches, sondern es gibt eine Vielzahl an anderen Moeglichkeiten. Ein gutes Beispiel fuer eine globale Datenerfassung aus der heutigen Zeit ist die populaere Internet-Suchmaschine Google [2]. Natuerlich gehoeren zu diesen neuen digitalen Erungenschafften des digitalen Zeitalters nebem dem Internet, was natuerlich eins von den groessten oder auch die groesste Errungschaft darstellt von allen darstellt, auch Mobilfunknetze (Handys, PDAs, ...), Videoueberwachung und dergleichen.weiterlesen...

Sicherheitskonzept - ganzheitlich betrachtet

Die Hintergründe von einem ganzheitlichen Sicherheitskonzept. Eine neue Betrachtungsweise.

Zur Rechnerseitigen Sicherheit (Firewalls, Virenscanner, IDS) gibt es eine Unzahl an Dokumenten. Diese lassen aber ausser Acht, dass neben der reinen Softwaresicht auch andere Faktoren wesentlich sind. Es entsteht damit eine gefährliche Situation in der Serverbetreiber glauben dass durch den Kauf einer Firewall jede Gefahr gebannt ist. Tatsächlich jedoch ist mehr als bloße Soft/Hardware erforderlich um ein vernünftiges Sicherheitskonzept zu erhalten. Konzepte zum ganzheitlichen Sicherheitskonzept machen es sich teilweise recht einfach indem sie voraussetzen dass sich jeder Prozess und jede Firma dieser neuen Sicherheit unterordnen. In der Realität haben aber Unternehmen bereits vorhandene IT und auch nicht änderbare Prozesse. Daher muss ich jedes Sicherheitskonzept auch an bereits vorhandene Strukturen anpassen und kann diese nicht grundlos auflösen. Auch die Erwartung, dass unbegrenzte Mittel für die Sicherheit zur Verfügung stehen ist blauäugig. Erst nach einem schweren Vorfall wird es ausreichende Mittel für Sicherheitsmaßnahmen geben.weiterlesen...

Passwort knacken - Erkennung, Gegenmaßnahmen

Passwort knacken, Welchen Schutz gibt es, Wie erkenne ich ein geknacktes Passwort und welche Gegenmaßnahmen kann ich setzen?

Wozu brauche ich ein sicheres Passwort? Sie benötigen ein sicheres Passwort um sich bei einer Gegenstelle zu authentifizieren. Beachte: Mit Ihrem Benutzernamen identifizieren Sie sich nur. Daher ist es auch so wichtig, das nur Sie Ihr Passwort kennen. Ansonsten könnte sich jemand ohne Ihr Wissen einem System gegenüber als "SIE" ausgeben. Wie viele Passwörter brauche ich, um auf Nummer sicher zu gehen? Für jedes System, bei dem Sie sich authentifizieren möchten, benötigen Sie ein Passwort. Ob Sie für jedes System ein eigenes nehmen, oder für alle nur ein Passwort verwenden, sollte aber gut überlegt sein. Wie erkenne ich, das versucht wurde mein Passwort zu knacken? Solange niemand Ihr Passwort benützt um eine Transaktion zu tätigen, werden sie es nicht bemerken. Meist wird es erst bemerkt, wenn bereits ein Schaden entstanden ist.weiterlesen...

Mitarbeitersensibilisierung in österr. KMU

Das Sicherheitsbewusstsein von Mitarbeitern in österr. Unternehmen hat Nachholbedarf

Österreichische Unternehmen rüsten Ihr Netzwerk mit immer besseren und ausgefeilteren Firewalls auf, es werden mehrstufige Virenschutz-Lösungen realisiert und DMZs eingerichtet. Nun ist diese Tatsache alleine ja nicht schlecht, ganz im Gegenteil. Ich bin froh, dass die Unternehmen endlich erkannt haben, dass Ihr Netzwerk keine Insel ist, sondern mit vielen anderen Netzwerken auf verschiedenste Arten verknüpft ist. Dennoch mache ich mir zuweilen Sorgen um die Sicherheit in einigen österreichischen Unternehmen. Es wird das Hauptaugenmerk eindeutig darauf gelegt, das Netzwerk gegen Angriffe von außen abzusichern, dabei aber vergessen, dass ein "Angriff" ob gewollt oder ungewollt auch von Innen erfolgen kann. So zeigt unsere Recherche in österreichischen KMUs, dass noch immer sehr schwache Passwörter von vielen Mitarbeiter benutzt werden, obwohl es sich mittlerweile bereits herumgesprochen haben sollte, dass man mit etwas Logik und ein paar Regeln sehr gute und auch zu merkende Passwörter gefunden werden können.weiterlesen...