Pressespiegel Quartal 3 2012 - Horst Görtz Institut für IT

Transcrição

01.10.2012
Horst Görtz Institut für IT-Sicherheit
Ruhr-Universität Bochum
Pressespiegel
Quartal 3 2012
Der Pressespiegel des Horst Görtz Institutes erscheint einmal im
Quartal und gibt einen kleinen Überblick über aktuelle Themen
und Projekte des Instituts.
Host Görtz Institut für IT-Sicherheit | Ruhr-Universität Bochum | Britta Scherer |
PR & Marketing | Tel. 0234 – 32 29 162 | Fax 0234 – 32 14886 | [email protected]
Schutz für Apple-Geräte - Im Tal der Sorglosen: Brauchen Macs Viren...
http://www.abendblatt.de/ratgeber/multimedia/article2326700/Im-Tal-d...
(http://www.abendblatt.de/)
MULTIMEDIA
SCHUTZ FÜR APPLE-GERÄTE
03.07.2012, 11:01 Uhr
Seit Flashback ist nichts mehr, wie es einmal war. Der Mac-Trojaner hat Apple-Nutzer
nachhaltig verunsichert. Hat sich die Lage nun geändert?
BERLIN . Windows-Nutzer
machen sich schon lange
keine Illusionen mehr über
die Bedrohungslage ihres
Betriebssystems:
Virenscanner und Vorsicht
sind Pflicht. Viele AppleJünger wähnen sich
dagegen in Sicherheit vor
Schadsoftware, während
Hersteller von
Virenwächtern spätestens
seit dem Durchmarsch des
Flashback-Trojaners für ihre
Mac-Scanner trommeln.
Virenalarm auf dem Mac: Der Flashback-Trojaner hat gezeigt, dass auch Apple-Rechner
verwundbar sind
Doch Tests stellen den
Foto: picture alliance / dpa-tmn/dpa-tmn
Programmen kein gutes
Zeugnis aus. Macht nichts,
sagen Experten. Man kann Macs auch weiter ohne Scanner nutzen – Umsicht vorausgesetzt.
Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine
Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. Schnell
waren weltweit hunderttausende Macs befallen, die zum Versenden von Spam-Mails missbraucht
werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum.
Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten,
hat die Zeitschrift „Mac&i“ getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die
Programme durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein
„enttäuschendes“ Ergebnis. „Keiner erkannte alle Mac-Viren, obwohl die Signatur-Updates
gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon
Jahre auf dem Buckel hatten“, lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe
kein Virenscanner tatsächlich Schutz vor Flashback geboten.
+++Apple-Gerüchte: Was ist wahr, was heiße Luft?+++(http://www.abendblatt.de/ratgeber
/multimedia/article2304845/Apple-Geruechte-Was-ist-wahr-was-heisse-Luft.html)
+++Google tritt mit eigenem Tablet gegen Amazon und Apple
an+++(http://www.abendblatt.de/wirtschaft/article2321874/Google-tritt-mit-eigenem-Tablet-gegen-
1 von 3
04.07.2012 07:44
Schutz für Apple-Geräte - Im Tal der Sorglosen: Brauchen Macs Viren...
http://www.abendblatt.de/ratgeber/multimedia/article2326700/Im-Tal-d...
Amazon-und-Apple-an.html)
„Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen
Varianten des Schädlings“, heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates
von Apple hätten mehr Sicherheit gebracht als jeder Scanner: Der beste enttarnte nur 82 Prozent
der Schädlinge. Von den bei Windows-Scannern üblichen Erkennungsquoten von 90 Prozent und
mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der PhishingAbwehr schnitten die Programme nicht besonders gut ab.
Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. „Aus unserer Sicht ist
das angesichts der Bedrohungslage nicht notwendig“, sagt Tim Griese vom Bundesamt für
Sicherheit in der Informationstechnik (BSI). Daran habe Flashback nichts geändert. Trotzdem
gelte auch für Mac-Nutzer: „Mit offenen Augen und gesundem Menschenverstand durch die Welt
gehen.“ Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen.
Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für
Schadsoftware – ebenso wie das Installieren von Software aus zweifelhaften Quellen.
Anwendungen und das Betriebssystem sollten unter „Softwareaktualisierung“ stets aktuell
gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf „täglich“.
Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von
Schadsoftware nach wie vor auf diesen „Markt“ konzentrieren. Trotzdem: „Flashback hat gezeigt,
dass auch Mac OS X angreifbar ist“, sagt Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit
an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem gibt,
treffen sie oft Unvorbereitete: „Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser.“
Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. „Sie bietet nie hundertprozentigen
Schutz“, sagt der Professor. Gerade bei Mac-Virenscannern gebe es noch viel
Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei deshalb auch für
Mac-Nutzer Vorsicht im Internet unabdingbar. „Nicht auf alles klicken und ein gesundes
Misstrauen helfen sehr“, rät Holz.
Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz
erweitern möchte, kann zu Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die
Vertrauenswürdigkeit von Seiten anhand von Bewertungen, die die Nutzer abgegeben haben und
warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den Einstellungen
des Browsers kann die Sicherheit erheblich steigern. „Bei Java empfehlen wir immer, es nur zu
aktivieren, wenn man es braucht“, sagt Tim Griese.
Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard
mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard kam eine
Schadsoftware-Erkennung hinzu (Xprotect) – die im „Mac&i“-Test aber nur einmal Alarm schlug.
Mac- hinken Windows-Scannern hinterher
In einem Test von sechs Mac-Virenscannern der Zeitschrift „Mac&i“ brachte es der beste Prüfling,
Kaspersky Anti-Virus 2011, auf eine Erkennungsrate von 82 Prozent. Mit 78 Prozent kaum
schlechter schnitt das kostenlose Sophos Anti-Virus ab. Verglichen mit Windows-Scannern, die
ein Vielfaches an Schädlingen erkennen müssen und trotzdem Quoten von weit über 90 Prozent
erreichen, ist das zu wenig.
2 von 3
04.07.2012 07:44
dpa-Themendienst vom 03.07.2012
Seite:
0014
Kurztitel:
dpa-tmn0013
Ressort:
Vermischtes
Gattung:
Agentur-Meldungen
Im Tal der Sorglosen: Brauchen Macs
Virenschutz? Von Dirk Averesch, dpa (Mit
Bildern tmn1100/1101 vom 03.07.12)
Seit Flashback ist nichts mehr, wie es
einmal war. Der Mac-Trojaner hat
Apple-Nutzer nachhaltig verunsichert.
Schließlich galt jahrelang, dass Virenschutz für Macs mangels Bedrohung
unnötig ist. Hat sich die Lage nun geändert?
Berlin (dpa/tmn) - Windows-Nutzer
machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres
Betriebssystems: Virenscanner und Vorsicht sind Pflicht. Viele Apple-Jünger
wähnen sich dagegen in Sicherheit vor
Schadsoftware, während Hersteller von
Virenwächtern spätestens seit dem
Durchmarsch des Flashback-Trojaners
für ihre Mac-Scanner trommeln. Doch
Tests stellen den Programmen kein
gutes Zeugnis aus. Macht nichts, sagen
Experten. Man kann Macs auch weiter
ohne Scanner nutzen - Umsicht vorausgesetzt.
Flashback rüttelte im April 2012 die
Mac-Nutzer wach: Der Trojaner nutzte
eine Java-Schwachstelle aus und drang
über manipulierte Webseiten in die
Systeme ein. Schnell waren weltweit
hunderttausende Macs befallen, die zum
Versenden von Spam-Mails missbraucht
werden sollten. Hätten Virenscanner den
Trojaner stoppen können? Wohl kaum.
Am Markt gibt es ein Dutzend MacVirenscanner. Sechs davon, die auch
Echtzeitschutz bieten, hat die Zeitschrift «Mac&i» getestet - mit einer im
April eingefrorenen Schädlingsauswahl.
Die Programme durften sich sogar bis
Mitte Mai aktualisieren und erzielten
trotzdem nur ein «enttäuschendes»
Ergebnis. «Keiner erkannte alle MacViren, obwohl die Signatur-Updates
gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele
Viren schon Jahre auf dem Buckel hatten», lautet das Fazit der Tester. Zum
Zeitpunkt der Entdeckung habe kein
Virenscanner tatsächlich Schutz vor
Flashback geboten.
«Selbst Wochen später kennen die getesteten AV-Programme nicht alle im
Umlauf befindlichen Varianten des
Schädlings», heißt es weiter im Test.
Selbst die verspätet bereitgestellten
Updates von Apple hätten mehr Sicherheit gebracht als jeder Scanner: Der
beste enttarnte nur 82 Prozent der
Schädlinge. Von den bei WindowsScannern üblichen Erkennungsquoten
von 90 Prozent und mehr ist das weit
entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der PhishingAbwehr schnitten die Programme nicht
besonders gut ab.
Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar.
«Aus unserer Sicht ist das angesichts der
Bedrohungslage nicht notwendig», sagt
Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI).
Daran habe Flashback nichts geändert.
Trotzdem gelte auch für Mac-Nutzer:
«Mit offenen Augen und gesundem
Menschenverstand durch die Welt
gehen.» Dazu gehöre zum Beispiel,
nicht gleich jeden Mailanhang zu öffnen.
Schließlich sind Office, Flash oder der
Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware - ebenso wie
das Installieren von Software aus zweifelhaften Quellen. Anwendungen und
das Betriebssystem sollten unter «Softwareaktualisierung» stets aktuell gehalten werden, rät Griese. Das UpdateIntervall stellt man am besten auf «täglich».
Gute 90 Prozent aller Computer laufen
mit Windows. Kein Wunder, dass sich
Programmierer von Schadsoftware nach
wie vor auf diesen «Markt» konzentrieren. Trotzdem: «Flashback hat gezeigt,
dass auch Mac OS X angreifbar ist»,
sagt Prof. Thorsten Holz vom Lehrstuhl
für Systemsicherheit an der Ruhrhr-UniRuhr-Uni-
versität B
Bochum. Und wenn es Angriffe
auf das Apple-Betriebssystem gibt, treffen sie oft Unvorbereitete: «Die typischen Mac-Nutzer ssind vermutlich ein
wenig sorgloser.»
Antivirensoftware ist immer nur Teil
des Sicherheitskonzepts. «Sie bietet nie
hundertprozentigen Schutz», sagt der
Professor. Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen
von Updates sei deshalb auch für MacNutzer Vorsicht im Internet unabdingbar. «Nicht auf alles klicken und ein
gesundes Misstrauen helfen sehr», rät
Holz.
Einen Phishing-Schutz bieten heute
schon fast alle aktuellen Browser. Wer
den Grundschutz erweitern möchte,
kann zu Erweiterungen wie Web of
Trust (WOT) greifen. Letzteres prüft die
Vertrauenswürdigkeit von Seiten
anhand von Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch
eine kleine Änderung in den Einstellungen des Browsers kann die Sicherheit
erheblich steigern. «Bei Java empfehlen
wir immer, es nur zu aktivieren, wenn
man es braucht», sagt Tim Griese.
Und was tut Apple? Bevor Software aus
dem Netz erstmals startet, muss man das
seit Leopard mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit
Snow Leopard kam eine SchadsoftwareErkennung hinzu (Xprotect) - die im
«Mac&i»-Test aber nur einmal Alarm
schlug.
Info-Kasten: Mac- hinken WindowsScannern hinterher
In einem Test von sechs Mac-Virenscannern der Zeitschrift «Mac&i»
brachte es der beste Prüfling, Kaspersky Anti-Virus 2011, auf eine Erkennungsrate von 82 Prozent. Mit 78 Prozent kaum schlechter schnitt das kostenlose Sophos Anti-Virus ab. Verglichen
mit Windows-Scannern, die ein Vielfa- und trotzdem Quoten von weit über 90
ches an Schädlingen erkennen müssen Prozent erreichen, ist das zu wenig.
Wörter:
808
Ort:
Berlin
© 2012 PMG Presse-Monitor GmbH
Bremer Nachrichten vom 05.07.2012
Autor:
Dirk Averesch
Ausgabe:
Bremer Nachrichten | Gesamtausgabe
Seite:
Ressort:
BTAG/WIRTSCHAFT
Verbraucher
Gattung:
Tageszeitung
Im Tal der SorglosenBrauchen Macs
Virenschutz? / Sicherheitsprogramme zeigen im
Test nur eine durchschnittliche Leistung
Seit Flashback ist nichts mehr, wie es
einmal war. Der Mac-Trojaner hat
Apple-Nutzer nachhaltig verunsichert.
Schließlich galt jahrelang, dass Virenschutz für Macs mangels Bedrohung
unnötig ist. Hat sich die Lage nun geändert? VON DIRK AVERESCHBremen.
Windows-Nutzer machen sich schon
lange keine Illusionen mehr über die
Bedrohungslage ihres Betriebssystems:
Virenscanner und Vorsicht sind Pflicht.
Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor Schadsoftware,
während Hersteller von Virenwächtern
spätestens seit dem Durchmarsch des
Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch Tests stellen den
Programmen kein gutes Zeugnis aus.
Macht nichts, sagen Experten. Man
könne Macs auch weiter ohne Scanner
nutzen - Umsicht vorausgesetzt.Flashback rüttelte im April 2012 die MacNutzer wach: Der Trojaner nutzte eine
Java-Schwachstelle aus und drang über
manipulierte Webseiten in die Systeme
ein. Schnell waren weltweit Hunderttausende Macs befallen, die zum Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner den
Trojaner stoppen können? Wohl
kaum.Am Markt gibt es ein Dutzend
Mac-Virenscanner. Sechs davon, die
auch Echtzeitschutz bieten, hat die Zeitschrift "Mac&i" getestet - mit einer im
trotzdem nur ein "enttäuschendes"
Ergebnis. "Keiner erkannte alle MacViren, obwohl die Signatur-Updates
Viren schon Jahre auf dem Buckel hatten", lautet das Fazit der Tester. Zum
Flashback geboten.Schwache Erken-
nungsquoten"Selbst Wochen später kennen die getesteten AV-Programme nicht
alle im Umlauf befindlichen Varianten
des Schädlings", heißt es im Test. Selbst
die verspätet bereitgestellten Updates
von Apple hätten mehr Sicherheit
gebracht als jeder Scanner: Der beste
enttarnte nur 82 Prozent der Schädlinge.
Von den bei Windows-Scannern üblichen Erkennungsquoten von 90 Prozent
und mehr ist das weit entfernt. Auch bei
der Verhaltenserkennung von Schädlingen und der Phishing-Abwehr schnitten
die Programme nicht besonders gut
ab.Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar.
"Aus unserer Sicht ist das angesichts der
Bedrohungslage nicht notwendig", sagt
Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik. Daran
habe Flashback nichts geändert. Trotzdem gelte auch für Mac-Nutzer: "Mit
offenen Augen und gesundem Menschenverstand durch die Welt
gehen."Dazu gehöre zum Beispiel, nicht
gleich jeden Mailanhang zu öffnen.
das Betriebssystem sollten unter "Softwareaktualisierung" stets aktuell gehalten werden, rät Griese. Das UpdateIntervall stellt man am besten auf "täglich".Gute 90 Prozent aller Computer
s. Kein Wunder, dass
laufen mit Windows.
sich Programmierer von Schadsoftware
nach wie vor auf diesen "Markt" konzentrieren. Trotzdem: "Flashback hat
gezeigt, dass auch Mac OS X angreifbar ist", sagt Professor Thorsten Holz
vom Lehrstuhl für Systemsicherheit an
der Ruhr-Universität Bochum. Und
wenn es Angriffe auf das Apple-Betriebssystem gibt, treffen sie oft Unvorbereitete: "Die typischen Mac-Nutzer sind
vermutlich ein wenig sorgloser."Antivirensoftware ist immer nur Teil des
Sicherheitskonzepts. "Sie bietet nie hundertprozentigen Schutz", sagt der Professor. Gerade bei Mac-Virenscannern
gebe es noch viel Entwicklungsbedarf.
Neben dem zeitnahen Einspielen von
Updates sei deshalb auch für Mac-Nutzer Vorsicht im Internet unabdingbar.
"Nicht auf alles zu klicken und ein
gesundes Misstrauen helfen sehr", rät
Holz.Einen Phishing-Schutz bieten
heute schon fast alle aktuellen Browser.
Wer den Grundschutz erweitern möchte,
kann zu Erweiterungen wie Web Of
anhand von Bewertungen, die die Nutzer abgegeben haben, und warnt gegebenenfalls vor dem Öffnen der Seite. Auch
erheblich steigern. "Bei Java empfehlen
man es braucht", sagt Tim Griese.Und
was tut Apple? Bevor Software aus dem
Netz erstmals startet, muss man das seit
Leopard mit Hinweis auf die Herkunft
bestätigen (File Quarantine). Mit Snow
Leopard kam eine SchadsoftwareErkennung hinzu (Xprotect) - die im
"Mac&i"-Test aber nur einmal Alarm
schlug.Mac-Scanner hinken hinterhern
In einem Test von sechs Mac-Virenscannern der Zeitschrift "Mac&i" brachte
es der beste Prüfling, Kaspersky AntiVirus 2011, auf eine Erkennungsrate
von 82 Prozent. Mit 78 Prozent kaum
schlechter schnitt das kostenlose Sophos
Anti-Virus ab. Verglichen mit Windows-Scannern, die ein Vielfaches an
Schädlingen erkennen müssen und trotzdem Quoten von weit über 90 Prozent
Recklinghäuser Zeitung vom 06.07.2012
Seite:
30
Gattung:
Tageszeitung
Ressort:
Service: Multimedia
Auflage:
66.639 (gedruckt) 60.386 (verkauft)
62.148 (verbreitet)
Ausgabe:
Recklinghausen | Hauptausgabe
Reichweite:
0,14 (in Mio.)
Im Tal der Sorglosen
Brauchen Macs Virenschutz?
von Dirk Averesch (dpa)
lange keine Illusionen mehr über die Be
drohungslage ihres Betriebssystems:
Flashback-Trojaners für ihre Mac-Scanner trommeln.
Doch Tests stellen den Programmen
kein gutes Zeugnis aus. Macht nichts,
sagen Experten. Man kann Macs auch
weiter ohne Scanner nutzen – Umsicht
vorausgesetzt.
Echtzeitschutz bieten, hat die Zeitschrift „Mac&i“ getestet – mit einer im
trotzdem nur ein „enttäuschendes“
Ergebnis. „Keiner erkannte alle Mac
Viren, obwohl die Signatur-Updates
Viren schon Jahre auf dem Buckel hatten“, lautet das Fazit der Tester. Zum
Viren-scanner tatsächlich Schutz vor
Flashback geboten.
„Selbst Wochen später kennen die geteWörter:
Urheberinformation:
steten AV-Programme nicht alle im
Schädlings“, heißt es weiter im Test.
besonders gut ab.
„Aus unserer Sicht ist das angesichts der
Bedrohungslage nicht notwendig“, sagt
„Mit offenen Augen und gesundem
gehen.“ Dazu gehöre zum Beispiel,
Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware – ebenso wie
das Betriebssystem sollten unter „Softwareaktualisierung“ stets aktuell gehalten werden, rät Griese. Das UpdateIntervall stellt man am besten auf „täglich“.
Programmierer von Schadsoft ware nach
wie vor auf diesen „Markt“ konzentrieren. Trotzdem: „Flashback hat gezeigt,
dass auch Mac OS X angreifbar ist“
ist“,
610
(c)Verlag J. Bauer KG
für Systemsicherheit an der Ruhr-Universität B
Bochum. Und wenn es Angriffe
auf das Apple-Betriebssystem gibt, treffen sie oft Unvorbereitete: „Die typischen Mac-Nutzer sind vermutlich ein
wenig sorg loser.“
des Sicherheitskonzepts. „Sie bietet nie
hundertprozentigen Schutz“, sagt der
von Updates sei deshalb auch für MacNutzer Vorsicht im Internet unabdingbar. „Nicht auf alles klicken und ein
gesundes Misstrauen helfen sehr“, rät
Holz.
erheblich steigern. „Bei Java empfehlen
man es braucht“, sagt Tim Griese.
„Mac&i“-Test aber nur einmal Alarm
schlug.
Kölnische Rundschau - Auch Apple-Nutzer sind nicht vor Viren gefeit
1 von 2
http://www.rundschau-online.de/service/-apple-rechner-auch-mac-user...
Service -
iMacs und MacBooks
Flashback hat es deutlich gemacht: Auch Mac-User sind von Viren nicht sicher.
Foto: dpa
Der Trojaner Flashback hat es deutlich vor Augen geführt: Auch Apple-Rechner sind von Viren bedroht. Schließlich galt
jahrelang, dass Virenschutz für den Mac mangels Bedrohung unnötig ist. Vor welchen Gefahren sollten man sich
schützen?
Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres Betriebssystems: Virenscanner
und Vorsicht sind Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von
Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch Tests stellen den
Programmen kein gutes Zeugnis aus. Macht nichts, sagen Experten. Man kann iMacs und MacBooks auch weiter ohne Scanner
nutzen – Umsicht vorausgesetzt.
Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und drang über
manipulierte Webseiten in die Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum Versenden von
Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum.
Wie gut sind Virenscanner für den Mac?
Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift „Mac&i“
getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai aktualisieren und
erzielten trotzdem nur ein „enttäuschendes“ Ergebnis. „Keiner erkannte alle Mac-Viren, obwohl die Signatur-Updates gegenüber
den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel hatten“, lautet das Fazit der
Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten.
„Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des Schädlings“, heißt
es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder Scanner: Der
beste Prüfling, Kaspersky Anti-Virus 2011, brachte auf eine Erkennungsrate von 82 Prozent. Mit 78 Prozent kaum schlechter
schnitt das kostenlose Sophos Anti-Virus ab. Von den bei Windows-Scannern üblichen Erkennungsquoten von 90 Prozent und
mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der Phishing-Abwehr schnitten die Programme
nicht besonders gut ab.
Was sollten Mac-User beachten?
10.07.2012 08:30
Kölnische Rundschau - Auch Apple-Nutzer sind nicht vor Viren gefeit
2 von 2
http://www.rundschau-online.de/service/-apple-rechner-auch-mac-user...
Experten halten Mac-Virenscanner derzeit für verzichtbar. „Aus unserer Sicht ist das angesichts der Bedrohungslage nicht
notwendig“, sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback nichts
geändert. Trotzdem gelte auch für Mac-Nutzer: „Mit offenen Augen und gesundem Menschenverstand durch die Welt gehen.“
Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen.
Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware – ebenso wie das
Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter
„Softwareaktualisierung“ stets aktuell gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf „täglich“.
Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von Schadsoftware nach wie vor auf
diesen „Markt“ konzentrieren. Trotzdem: „Flashback hat gezeigt, dass auch Mac OS X angreifbar ist“, sagt Prof. Thorsten Holz
vom Lehrstuhl für Systemsicherheit
y
t an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem gibt,
treffen sie oft Unvorbereitete: „Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser.“
Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. „Sie bietet nie hundertprozentigen Schutz“, sagt der Professor.
Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei deshalb
auch für Mac-Nutzer Vorsicht im Internet unabdingbar. „Nicht auf alles klicken und ein gesundes Misstrauen helfen sehr“, rät
Holz.
Welchen Phishing-Schutz gibt es?
Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz erweitern möchte, kann zu
Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von Bewertungen,
die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den
Einstellungen des Browsers kann die Sicherheit erheblich steigern. „Bei Java empfehlen wir immer, es nur zu aktivieren, wenn
man es braucht“, sagt Tim Griese.
Und was tut Apple?
Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard mit Hinweis auf die Herkunft bestätigen (File
Quarantine). Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu (Xprotect) – die im „Mac&i“-Test aber nur einmal
Alarm schlug. (dpa)
Artikel URL: http://www.rundschau-online.de/service/-apple-rechner-auch-mac-user-sind-von-virenbedroht,16129094,16581812.html
Copyright © 2010 Frankfurter Rundschau
10.07.2012 08:30
DER NEUE TAG vom 10.07.2012
Autor:
Von Dirk Averesch, dpa
Ausgabe:
DER NEUE TAG Gesamtausgabe/Mantel
Seite:
Ressort:
47
Computer
Gattung:
Auflage:
Rubrik:
Gesamtausgabe
Reichweite:
Tageszeitung
81.668 (verbreitet)
0,21 (in Mio.)
Im Tal der Sorg- und Ahnungslosen
Seit Flashback ist nichts mehr, wie es einmal war: Brauchen auch Apple-Macs einen
Virenschutz?
Berlin. Windows-Nutzer machen sich schon lange keine Illusionen mehr über die
Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind Pflicht. Viele AppleJünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von
Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre MacScanner trommeln. Doch Tests stellen den Programmen kein gutes Zeugnis aus.
Schwache Scanner
Echtzeitschutz bieten, hat die Zeitschrift "Mac&i" getestet - mit einer im
Ergebnis. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten.
"Selbst Wochen später kennen die getesteten AV-Programme nicht alle im
Schädlings", heißt es weiter im Test.
besonders gut ab.
Wörter:
566
"Mit offenen Augen und gesundem
gehen." Dazu gehöre zum Beispiel,
das Betriebssystem sollten unter "Softwareaktualisierung" stets aktuell gehalten werden, rät Griese. Das UpdateIntervall stellt man am besten auf "täglich".
Nicht auf alles klicken
wie vor auf diesen Markt konzentrieren.
Trotzdem: "Flashback hat gezeigt, dass
auch Mac OS X angreifbar ist", sagt
Prof. Thorsten Holz vom Lehrstuhl für
Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf
das Apple-Betriebssystem gibt, treffen
sie oft Unvorbereitete: "Die typischen
Mac-Nutzer sind vermutlich ein wenig
sorgloser."
des Sicherheitskonzepts. "Sie bietet nie
hundertprozentigen Schutz", sagt der
von Updates sei deshalb auch für MacNutzer Vorsicht im Internet unabdingbar. "Nicht auf alles klicken und ein
Holz.
man es braucht", sagt Tim Griese.
Und was tut Apple? Bevor Software
aus dem Netz erstmals startet, muss man
das seit Leopard mit Hinweis auf die
Herkunft bestätigen (File Quarantine).
Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu (Xprotect) - die
im "Mac&i"-Test aber nur einmal
Alarm schlug.
Berliner Kurier - Viren bedrohen auch Apple-Rechner
1 von 2
http://www.berliner-kurier.de/digital/-apple-rechner-auch-mac-user-sin...
Digital - 7.7.2012
iMacs und MacBooks
Windows-Nutzer machen sich schon lange keine Illusionen mehr über die
Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind
Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor
Schadsoftware, während Hersteller von Virenwächtern spätestens seit dem
Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch
Tests stellen den Programmen kein gutes Zeugnis aus. Macht nichts, sagen
Experten. Man kann iMacs und MacBooks auch weiter ohne Scanner nutzen
– Umsicht vorausgesetzt.
Virenalarm auf dem Mac: Der Flashback-Trojaner
hat gezeigt, dass auch Apple-Rechner verwundbar
sind.
Foto: dpa
Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte
eine Java-Schwachstelle aus und drang über manipulierte Webseiten in die
Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum
Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner
den Trojaner stoppen können? Wohl kaum.
Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift
„Mac&i“ getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai
aktualisieren und erzielten trotzdem nur ein „enttäuschendes“ Ergebnis. „Keiner erkannte alle Mac-Viren, obwohl die
Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf
dem Buckel hatten“, lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich
Schutz vor Flashback geboten.
„Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des
Schädlings“, heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit
gebracht als jeder Scanner: Der beste Prüfling, Kaspersky Anti-Virus 2011, brachte auf eine Erkennungsrate von 82
Prozent. Mit 78 Prozent kaum schlechter schnitt das kostenlose Sophos Anti-Virus ab. Von den bei Windows-Scannern
üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von
Schädlingen und der Phishing-Abwehr schnitten die Programme nicht besonders gut ab.
Experten halten Mac-Virenscanner derzeit für verzichtbar. „Aus unserer Sicht ist das angesichts der Bedrohungslage
nicht notwendig“, sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback
nichts geändert. Trotzdem gelte auch für Mac-Nutzer: „Mit offenen Augen und gesundem Menschenverstand durch die
Welt gehen.“ Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen.
Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware – ebenso wie
das Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter
„Softwareaktualisierung“ stets aktuell gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf
„täglich“.
12.07.2012 08:24
Berliner Kurier - Viren bedrohen auch Apple-Rechner
2 von 2
http://www.berliner-kurier.de/digital/-apple-rechner-auch-mac-user-sin...
Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von Schadsoftware nach
wie vor auf diesen „Markt“ konzentrieren. Trotzdem: „Flashback hat gezeigt, dass auch Mac OS X angreifbar ist“, sagt
Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das
A
pple-Betriebssystem gibt, treffen sie oft Unvorbereitete: „Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser.“
Apple-Betriebssystem
A
ntivirensoftware ist immer nur Teil des Sicherheitskonzepts. „Sie bietet nie hundertprozentigen Schutz“, sagt der
Antivirensoftware
Professor. Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von
Updates sei deshalb auch für Mac-Nutzer Vorsicht im Internet unabdingbar. „Nicht auf alles klicken und ein gesundes
Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von
Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine
Änderung in den Einstellungen des Browsers kann die Sicherheit erheblich steigern. „Bei Java empfehlen wir immer, es
nur zu aktivieren, wenn man es braucht“, sagt Tim Griese.
Und was tut Apple?
Quarantine). Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu (Xprotect) – die im „Mac&i“-Test aber nur
einmal Alarm schlug. (dpa)
Artikel URL: http://www.berliner-kurier.de/digital/-apple-rechner-auch-mac-user-sind-von-virenbedroht,7168826,16596506.html
Copyright © 2011 Berliner Kurier
12.07.2012 08:24
Druckansicht: Im Tal der Sorglosen: Brauchen Macs Virenschutz?
http://www.fnp.de/ndp/print_rmn01.c.9984672.de.htm
10.07.2012
Im Tal der Sorglosen: Brauchen Macs Virenschutz?
Von Dirk Averesch, dpa
Seit Flashback ist nichts mehr, wie es einmal war. Der Mac-Trojaner
hat Apple-Nutzer nachhaltig verunsichert. Schließlich galt jahrelang,
dass Virenschutz für Macs mangels Bedrohung unnötig ist. Hat sich
die Lage nun geändert?
Windows-Nutzer machen sich schon lange keine Illusionen mehr über
die Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht
Virenalarm auf dem Mac: Der
Flashback-Trojaner hat gezeigt,
dass auch Apple-Rechner
verwundbar sind. Foto: Andrea
Warnecke
sind Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit
vor Schadsoftware, während Hersteller von Virenwächtern spätestens
seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner
trommeln. Doch Tests stellen den Programmen kein gutes Zeugnis
aus. Macht nichts, sagen Experten. Man kann Macs auch weiter ohne
Scanner nutzen - Umsicht vorausgesetzt.
Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und
drang über manipulierte Webseiten in die Systeme ein. Schnell waren weltweit hunderttausende Macs
befallen, die zum Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner
stoppen können? Wohl kaum.
Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die
Zeitschrift "Mac&i" getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich
sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein "enttäuschendes" Ergebnis. "Keiner erkannte
alle Mac-Viren, obwohl die Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen
Vorsprung und viele Viren schon Jahre auf dem Buckel hatten", lautet das Fazit der Tester. Zum Zeitpunkt der
Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten.
"Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des
Schädlings", heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr
Sicherheit gebracht als jeder Scanner: Der beste enttarnte nur 82 Prozent der Schädlinge. Von den bei
Windows-Scannern üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der
Verhaltenserkennung von Schädlingen und der Phishing-Abwehr schnitten die Programme nicht besonders gut
ab.
Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. "Aus unserer Sicht ist das angesichts
der Bedrohungslage nicht notwendig", sagt Tim Griese vom Bundesamt für Sicherheit in der
Informationstechnik (BSI). Daran habe Flashback nichts geändert. Trotzdem gelte auch für Mac-Nutzer: "Mit
offenen Augen und gesundem Menschenverstand durch die Welt gehen." Dazu gehöre zum Beispiel, nicht
Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware ebenso wie das Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem
sollten unter "Softwareaktualisierung" stets aktuell gehalten werden, rät Griese. Das Update-Intervall stellt
man am besten auf "täglich".
Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von
Schadsoftware nach wie vor auf diesen "Markt" konzentrieren. Trotzdem: "Flashback hat gezeigt, dass auch
1 von 2
12.07.2012 08:10
Druckansicht: Im Tal der Sorglosen: Brauchen Macs Virenschutz?
http://www.fnp.de/ndp/print_rmn01.c.9984672.de.htm
Mac OS X angreifbar ist", sagt Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität
Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem gibt, treffen sie oft Unvorbereitete: "Die
typischen Mac-Nutzer sind vermutlich ein wenig sorgloser."
Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. "Sie bietet nie hundertprozentigen Schutz", sagt
der Professor. Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen
Einspielen von Updates sei deshalb auch für Mac-Nutzer Vorsicht im Internet unabdingbar. "Nicht auf alles
klicken und ein gesundes Misstrauen helfen sehr", rät Holz.
Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz erweitern
möchte, kann zu Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von
Seiten anhand von Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen
der Seite. Auch eine kleine Änderung in den Einstellungen des Browsers kann die Sicherheit erheblich
steigern. "Bei Java empfehlen wir immer, es nur zu aktivieren, wenn man es braucht", sagt Tim Griese.
Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard mit Hinweis
auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu
(Xprotect) - die im "Mac&i"-Test aber nur einmal Alarm schlug.
Hier geht es zum Apple-Support
Web of Trust für verschiedene Browser (engl.)
Mac- hinken Windows-Scannern hinterher
In einem Test von sechs Mac-Virenscannern der Zeitschrift "Mac&i" brachte es der beste Prüfling, Kaspersky
Anti-Virus 2011, auf eine Erkennungsrate von 82 Prozent. Mit 78 Prozent kaum schlechter schnitt das
kostenlose Sophos Anti-Virus ab. Verglichen mit Windows-Scannern, die ein Vielfaches an Schädlingen
erkennen müssen und trotzdem Quoten von weit über 90 Prozent erreichen, ist das zu wenig.
© 2012 Bad Vilbeler Neue Presse
2 von 2
12.07.2012 08:10
Hamburger Morgenpost - Viren bedrohen auch Apple-Rechner
1 von 2
http://www.mopo.de/digital/-apple-rechner-auch-mac-user-sind-von-vi...
Digital - 7.7.2012
IMACS UND MACBOOKS
Windows-Nutzer machen sich schon lange keine Illusionen mehr über die
Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind
Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor
Schadsoftware, während Hersteller von Virenwächtern spätestens seit dem
Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch
Tests stellen den Programmen kein gutes Zeugnis aus. Macht nichts, sagen
Experten. Man kann iMacs und MacBooks auch weiter ohne Scanner nutzen
– Umsicht vorausgesetzt.
Virenalarm auf dem Mac: Der Flashback-Trojaner
hat gezeigt, dass auch Apple-Rechner verwundbar
sind.
Foto: dpa
Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte
eine Java-Schwachstelle aus und drang über manipulierte Webseiten in die
Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum
Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner
den Trojaner stoppen können? Wohl kaum.
Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift
„Mac&i“ getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai
aktualisieren und erzielten trotzdem nur ein „enttäuschendes“ Ergebnis. „Keiner erkannte alle Mac-Viren, obwohl die
Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf
dem Buckel hatten“, lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich
Schutz vor Flashback geboten.
„Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des
Schädlings“, heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit
gebracht als jeder Scanner: Der beste Prüfling, Kaspersky Anti-Virus 2011, brachte auf eine Erkennungsrate von 82
Prozent. Mit 78 Prozent kaum schlechter schnitt das kostenlose Sophos Anti-Virus ab. Von den bei Windows-Scannern
üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von
Schädlingen und der Phishing-Abwehr schnitten die Programme nicht besonders gut ab.
Experten halten Mac-Virenscanner derzeit für verzichtbar. „Aus unserer Sicht ist das angesichts der Bedrohungslage
nicht notwendig“, sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback
nichts geändert. Trotzdem gelte auch für Mac-Nutzer: „Mit offenen Augen und gesundem Menschenverstand durch die
Welt gehen.“ Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen.
Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware – ebenso wie
das Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter
„Softwareaktualisierung“ stets aktuell gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf
12.07.2012 08:31
Hamburger Morgenpost - Viren bedrohen auch Apple-Rechner
2 von 2
http://www.mopo.de/digital/-apple-rechner-auch-mac-user-sind-von-vi...
„täglich“.
Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von Schadsoftware nach
wie vor auf diesen „Markt“ konzentrieren. Trotzdem: „Flashback hat gezeigt, dass auch Mac OS X angreifbar ist“, sagt
Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das
A
pple-Betriebssystem gibt, treffen sie oft Unvorbereitete: „Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser.“
Apple-Betriebssystem
A
ntivirensoftware ist immer nur Teil des Sicherheitskonzepts. „Sie bietet nie hundertprozentigen Schutz“, sagt der
Antivirensoftware
Professor. Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von
Updates sei deshalb auch für Mac-Nutzer Vorsicht im Internet unabdingbar. „Nicht auf alles klicken und ein gesundes
Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von
Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine
Änderung in den Einstellungen des Browsers kann die Sicherheit erheblich steigern. „Bei Java empfehlen wir immer, es
nur zu aktivieren, wenn man es braucht“, sagt Tim Griese.
Und was tut Apple?
Quarantine). Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu (Xprotect) – die im „Mac&i“-Test aber nur
einmal Alarm schlug. (dpa)
Artikel URL: http://www.mopo.de/digital/-apple-rechner-auch-mac-user-sind-von-viren-bedroht,5066770,16596506.html
Copyright © 2011 Hamburger Morgenpost
12.07.2012 08:31
Im Tal der Sorglosen: Brauchen Macs Virenschutz? - Münstersche Zeitung http://www.muensterschezeitung.de/leben/digitale_welt/multimedia_n...
Berlin (dpa/tmn) Seit Flashback ist nichts mehr, wie es einmal war. Der Mac-Trojaner hat Apple-Nutzer nachhaltig
verunsichert. Schließlich galt jahrelang, dass Virenschutz für Macs mangels Bedrohung unnötig ist. Hat sich die Lage
nun geändert? Von Dirk Averesch, dpa
Virenalarm auf dem Mac: Der Flashback-Trojaner hat gezeigt, dass auch Apple-Rechner verwundbar sind. Foto: Andrea
Warnecke (Foto: dpa)
Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres Betriebssystems: Virenscanner
und Vorsicht sind Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von
Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch Tests stellen
den Programmen kein gutes Zeugnis aus. Macht nichts, sagen Experten. Man kann Macs auch weiter ohne Scanner nutzen Umsicht vorausgesetzt.
Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und drang über
manipulierte Webseiten in die Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum Versenden von
Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum.
Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift «Mac&i»
getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai aktualisieren und
erzielten trotzdem nur ein «enttäuschendes» Ergebnis. «Keiner erkannte alle Mac-Viren, obwohl die Signatur-Updates
gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel hatten»,
lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten.
«Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des Schädlings»,
heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder
Scanner: Der beste enttarnte nur 82 Prozent der Schädlinge. Von den bei Windows-Scannern üblichen Erkennungsquoten von
90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der Phishing-Abwehr
schnitten die Programme nicht besonders gut ab.
Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. «Aus unserer Sicht ist das angesichts der
Bedrohungslage nicht notwendig», sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe
Flashback nichts geändert. Trotzdem gelte auch für Mac-Nutzer: «Mit offenen Augen und gesundem Menschenverstand durch
die Welt gehen.» Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen.
Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware - ebenso wie das
Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter
«Softwareaktualisierung» stets aktuell gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf «täglich».
1 von 2
12.07.2012 08:52
Im Tal der Sorglosen: Brauchen Macs Virenschutz? - Münstersche Zeitung http://www.muensterschezeitung.de/leben/digitale_welt/multimedia_n...
Hier geht es zum Apple-Support
Web of Trust für verschiedene Browser (engl.)
In einem Test von sechs Mac-Virenscannern der Zeitschrift «Mac&i» brachte es der beste Prüfling, Kaspersky Anti-Virus 2011,
auf eine Erkennungsrate von 82 Prozent. Mit 78 Prozent kaum schlechter schnitt das kostenlose Sophos Anti-Virus ab.
Verglichen mit Windows-Scannern, die ein Vielfaches an Schädlingen erkennen müssen und trotzdem Quoten von weit über 90
Prozent erreichen, ist das zu wenig.
Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von Schadsoftware nach wie vor
auf diesen «Markt» konzentrieren. Trotzdem: «Flashback hat gezeigt, dass auch Mac OS X angreifbar ist», sagt Prof. Thorsten
Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem
gibt, treffen sie oft Unvorbereitete: «Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser.»
Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. «Sie bietet nie hundertprozentigen Schutz», sagt der Professor.
Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei
Vorsicht im Internet unabdingbar. «Nicht auf alles klicken und ein gesundes Misstrauen helfen
deshalb auch fürr Mac-Nutzer
M
sehr», rät Holz.
Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von Bewertungen,
die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den
Einstellungen des Browsers kann die Sicherheit erheblich steigern. «Bei Java empfehlen wir immer, es nur zu aktivieren, wenn
man es braucht», sagt Tim Griese.
Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard mit Hinweis auf die Herkunft
bestätigen (File Quarantine). Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu (Xprotect) - die im «Mac&i»-Test
aber nur einmal Alarm schlug.
Das könnte Sie auch interessieren
23-jährige Schülerin aus Ibbenbüren getötet
IBBENBÜREN Das Schicksal der vermissten
23-jährigen Schülerin Natali Isajenko aus Ibbenbüren
ist... mehr
Jetzt einstreichen: o2 Blue Allnet Professional
Alle-Netze-Flat + Extras für Selbständige. Kostenlose
Hotline – Jetzt beraten lassen und gewinnen mehr
Wilhelm Schulz ist tot
STEINFURT Der ehemalige StadtwerkeGeschäftsführer Wilhelm Schulz ist tot. Er nahm sich
am... mehr
Uni Münster entzieht Arzt den Doktortitel
Die brisante Nachricht kam am Donnerstagabend um
kurz nach 20 Uhr per Mail: Die Medizinische... mehr
Fußball-Bundesliga: 1. FC Köln - BVB
Schlechtes Wetter, gutes Spiel: Der BVB bleibt in der
Erfolgsspur. Beim 1. FC Köln gewannen die... mehr
Heizkostenrechnung zu hoch?
Eine Carbon Fassadendämmung spart bis zu 40%
Heizkosten. Und erhält die Bausubstanz für lange
Zeit. mehr
hier werben
2 von 2
powered by plista
12.07.2012 08:52
Im Tal der Sorglosen: Brauchen Macs Virenschutz? | WESER-KURIER
1 von 2
http://www.weser-kurier.de/Druckansicht/Ratgeber/Multimedia/News/...
http://www.weser-kurier.de/Artikel/Ratgeber/Multimedia/News/626028/Im-Talder-Sorglosen%3A-Brauchen-Macs-Virenschutz%3F.html
Verbraucher - 11.07.2012
Im Tal der Sorglosen: Brauchen Macs Virenschutz?
Berlin. Seit Flashback ist nichts mehr, wie es einmal war. Der Mac-Trojaner
hat Apple-Nutzer nachhaltig verunsichert. Schließlich galt jahrelang, dass
Virenschutz für Macs mangels Bedrohung unnötig ist. Hat sich die Lage nun
geändert?
Windows-Nutzer machen sich schon lange
keine Illusionen mehr über die
Virenscanner und Vorsicht sind Pflicht. Viele
Apple-Jünger wähnen sich dagegen in
Sicherheit vor Schadsoftware, während
Hersteller von Virenwächtern spätestens seit
dem Durchmarsch des Flashback-Trojaners
für ihre Mac-Scanner trommeln. Doch Tests
© dpa
stellen den Programmen kein gutes Zeugnis
Virenalarm auf dem Mac: Der
Flashback-Trojaner hat gezeigt, dass
auch Apple-Rechner verwundbar
sind. Foto: Andrea Warnecke
aus. Macht nichts, sagen Experten. Man
kann Macs auch weiter ohne Scanner nutzen
- Umsicht vorausgesetzt.
Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein.
Schnell waren weltweit hunderttausende Macs befallen, die zum Versenden von
Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen
können? Wohl kaum.
Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch
Echtzeitschutz bieten, hat die Zeitschrift "Mac&i" getestet - mit einer im April
eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai
aktualisieren und erzielten trotzdem nur ein "enttäuschendes" Ergebnis. "Keiner
erkannte alle Mac-Viren, obwohl die Signatur-Updates gegenüber den Testschädlingen
mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel
hatten", lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein
Virenscanner tatsächlich Schutz vor Flashback geboten.
"Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf
befindlichen Varianten des Schädlings", heißt es weiter im Test. Selbst die verspätet
bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder
Scanner: Der beste enttarnte nur 82 Prozent der Schädlinge. Von den bei WindowsScannern üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt.
Auch bei der Verhaltenserkennung von Schädlingen und der Phishing-Abwehr
schnitten die Programme nicht besonders gut ab.
Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. "Aus unserer
Sicht ist das angesichts der Bedrohungslage nicht notwendig", sagt Tim Griese vom
Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback
nichts geändert. Trotzdem gelte auch für Mac-Nutzer: "Mit offenen Augen und
gesundem Menschenverstand durch die Welt gehen." Dazu gehöre zum Beispiel, nicht
12.07.2012 08:36
Im Tal der Sorglosen: Brauchen Macs Virenschutz? | WESER-KURIER
2 von 2
http://www.weser-kurier.de/Druckansicht/Ratgeber/Multimedia/News/...
Schadsoftware - ebenso wie das Installieren von Software aus zweifelhaften Quellen.
Anwendungen und das Betriebssystem sollten unter "Softwareaktualisierung" stets
aktuell gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf
"täglich".
Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich
Programmierer von Schadsoftware nach wie vor auf diesen "Markt" konzentrieren.
Trotzdem: "Flashback hat gezeigt, dass auch Mac OS X angreifbar ist", sagt Prof.
Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum.
Und wenn es Angriffe auf das Apple-Betriebssystem gibt, treffen sie oft
Unvorbereitete: "Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser."
Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. "Sie bietet nie
hundertprozentigen Schutz", sagt der Professor. Gerade bei Mac-Virenscannern gebe
es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei
deshalb auch für Mac-Nutzer Vorsicht im Internet unabdingbar. "Nicht auf alles klicken
und ein gesundes Misstrauen helfen sehr", rät Holz.
Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den
Grundschutz erweitern möchte, kann zu Erweiterungen wie Web of Trust (WOT)
greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von
Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem
Öffnen der Seite. Auch eine kleine Änderung in den Einstellungen des Browsers kann
die Sicherheit erheblich steigern. "Bei Java empfehlen wir immer, es nur zu aktivieren,
wenn man es braucht", sagt Tim Griese.
Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit
Leopard mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard
kam eine Schadsoftware-Erkennung hinzu (Xprotect) - die im "Mac&i"-Test aber nur
einmal Alarm schlug. (dpa/tmn)
12.07.2012 08:36
Echo Online - Mac-Trojaner verunsichert Apple-Nutzer
1 von 1
DIGITALES
http://www.echo-online.de/freizeit/multimedia/digitales/Mac-Trojaner-...
13. Juli 2012 | | Von Dirk Averesch |
Mac-Trojaner verunsichert Apple-Nutzer
Virengefahr – Bisher fühlten sich Apple-Nutzer gegen Schadsoftware gefeit, doch der
Flashback-Trojaner hat die Illusionen zerstört
Seit Flashback ist nichts mehr, wie es einmal war. Der Mac-Trojaner hat Apple-Nutzer
nachhaltig verunsichert. Schließlich galt jahrelang, dass Virenschutz für Macs mangels
Bedrohung unnötig ist. Offenbar hat sich die Lage nun geändert.
Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres
Betriebssystems: Virenscanner und Vorsicht sind Pflicht. Viele Apple-Jünger wähnen sich
dagegen in Sicherheit vor Schadsoftware, während Hersteller von Virenwächtern spätestens
seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch Tests
stellen den Programmen kein gutes Zeugnis aus.
Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. Schnell
waren weltweit hunderttausende Macs befallen, die zum Versenden von Spam-Mails
missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum.
Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten,
hat die Zeitschrift „Mac&i“ getestet – mit einer im April eingefrorenen Schädlingsauswahl. Die
Programme durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein
„enttäuschendes“ Ergebnis. „Keiner erkannte alle Mac-Viren, obwohl die Signatur-Updates
gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon
Jahre auf dem Buckel hatten“, lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe
kein Virenscanner Schutz vor Flashback geboten. Selbst die verspätet bereitgestellten Updates
von Apple hätten mehr Sicherheit gebracht als jeder Scanner. Auch bei der
Verhaltenserkennung von Schädlingen und der Phishing-Abwehr schnitten die Programme nicht
besonders gut ab.
Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. „Aus unserer Sicht ist
das angesichts der Bedrohungslage nicht notwendig“, sagt Tim Griese vom Bundesamt für
Sicherheit in der Informationstechnik (BSI). Daran habe Flashback nichts geändert. Trotzdem
gelte auch für Mac-Nutzer: „Mit offenen Augen und gesundem Menschenverstand durch die
Welt gehen.“ Dazu gehöre zum Beispiel, nicht jeden Mailanhang zu öffnen.
Schadsoftware – ebenso wie Software aus zweifelhaften Quellen. Anwendungen und das
Betriebssystem sollten unter „Softwareaktualisierung“ stets aktuell gehalten werden, rät
Griese.
Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer
von Schadsoftware nach wie vor auf diesen „Markt“ konzentrieren. Trotzdem: „Flashback hat
gezeigt, dass auch Mac OS X angreifbar ist“, sagt Thorsten Holz vom Lehrstuhl für
Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das AppleBetriebssystem gibt, treffen sie oft Unvorbereitete: „Die typischen Mac-Nutzer sind vermutlich
ein wenig sorgloser.
sorgloser.“
Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz
erweitern möchte, kann zu Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die
Vertrauenswürdigkeit von Seiten anhand von Bewertungen, die die Nutzer abgegeben haben
und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den
Einstellungen des Browsers kann die Sicherheit erheblich steigern. „Bei Java empfehlen wir
immer, es nur zu aktivieren, wenn man es braucht“, sagt Tim Griese.
Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard
mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard kam eine
Schadsoftware-Erkennung hinzu (Xprotect), die im „Mac&i“-Test aber nur einmal Alarm schlug.
16.07.2012 09:00
Geldinstitute
1 von 1
http://www.geldinstitute.de/data/news/druck/drucklayout_7595731.html
Home »
Nachrichten
13.07.2012
Sicherheit im Cyberspace
Um die Unternehmen der Technologie-Region Karlsruhe über die aktuelle
Entwicklung der Risiken und Bedrohungen sowie mögliche Schutzmaßnahmen
zu informieren, führte die Karlsruher IT-Sicherheitsinitiative zusammen mit
der IHK Karlsruhe, dem Kompetenzzentrum für angewandte
Sicherheitstechnologie am KIT und dem CyberForum e.V. bereits das vierte
Jahr in Folge den „Tag der IT-Sicherheit“ durch.
Den Vorträgen folgten knapp 110 Verantwortliche für Datenschutz und Datensicherheit
aus den Unternehmen der Region.
Nach einem Einblick in aktuelle Angriffstechniken („Live-Hacking“) des aus
Fernsehauftritten bekannten Sebastian Schreiber, Geschäftsführer der SySS GmbH,
zeigte Professor Güneysu von der Ruhr-Universität Bochum welchen Bedrohungen
Hardware-Systeme wie Chipkarten, Garagentoröffner oder Autoschlüssel heute
ausgesetzt sind.
Professor Müller-Quade, Leiter des Instituts für Kryptographie und Sicherheit am KIT
und Mitinitiator von KASTEL, stellte anschließend vor, welche „Wunder“ mit
Verschlüsselungstechniken möglich sind.
Wie Sicherheit im Unternehmen von Anfang an, also „by Design“ berücksichtigt werden
kann, zeigte Wolfgang Reibenspies, Chief Information Security Officer (CISO) bei der
EnBW.
Abschließend skizzierte Dr. Boris Hemkemeier von der Commerzbank AG, welche
sicherheitstechnischen Herausforderungen eine Internet-Anwendung wie OnlineBanking für den Anbieter darstellt – und wie Banken sich und ihre Kunden heute vor
den Bedrohungen aus dem „Cyberspace“schützen.
Die Vorträge zum „4. Tag der Sicherheit“ stehen ab dem 17. Juli 2012 online unter
www.tag-der-it-sicherheit.de zum Download bereit.
16.07.2012 08:15
Nach dem Angriff auf die Seiten der Stadt Bochum jagt der Staatsanwa...
1 von 3
http://www.derwesten.de/staedte/bochum/nach-dem-angriff-auf-die-sei...
18.07.2012 08:34
2 von 3
18.07.2012 08:34
3 von 3
18.07.2012 08:34
Mantelbogen Bochum
18.07.2012
Mantelbogen Bochum
17.07.2012
Cloud-Computing-21.de vom 23.07.2012
Seite:
Online 23.07.2012, 18:36 Uhr
Gattung:
Weblink:
Online-Quelle
http://www.cloud-computing-21.de/nc/cloudcomputing-news/artikel/59286-eco-it-sicherheit-in-nrw-durch-netzwerk/256/
Nummer:
459605989
Eco: IT-Sicherheit in NRW durch Netzwerk
Starkes Netzwerk IT-Sicherheit.NRW gegen Bedrohungen
Köln, 23.07.12 - Unternehmen gegen
Sicherheitsrisiken wappnen, Wissenschaft und Wirtschaft zusammenbringen und Trends in die Zukunft begleiten - das hat sich das Netzwerk ITSicherheit.NRW auf die Fahnen
geschrieben. Gemeinsam setzen sich das
Horst Götz Institut für IT-Sicherheit
(HGI) der Ruhr-Universität Bochum,
die networker NRW und eco - Verband
der deutschen Internetwirtschaft in dem
Projekt für mehr IT-Sicherheit am
Standort NRW ein. Unterstützt werden
sie dabei von der IHK Mittleres Ruhrgebiet, dem Europäischen Kompetenzzentrum für IT-Sicherheit (eurobits) und der
Wirtschaftsförderung der Stadt Bochum.
Das Ministerium für Wirtschaft, Energie, Bauen, Wohnen und Verkehr des
Landes Nordrhein-Westfalen hat jetzt
die Projektförderung bewilligt.
"IT-Sicherheit ist für den Erfolg von
Unternehmen ein zentrales Thema:
Jedes Unternehmen muss wissen, wie es
Firmengeheimnisse schützt und Infrastrukturen absichert. Auf neue BedroWörter:
361
hungen müssen wir sehr schnell reagieren können. Dabei will das Netzwerk
IT-Sicherheit.NRW helfen. Mit über
300 Unternehmen aus der SecurityBranche und 20 Hochschul- und Forschungseinrichtungen ist NordrheinWestfalen der ideale Standort für ein
solches Netzwerk - ein europäischer
Spitzenplatz", sagt eco Geschäftsführer
Harald A. Summa. Prof. Alexander
May, geschäftsführender Direktor des
Horst Görtz Instituts für IT-Sicherheit
der Ruhr-Universität Bochum, ergänzt:
"Der IT-Sicherheit kommt eine zentrale
Rolle in unserer heutigen digitalen Welt
zu. Das Land NRW beheimatet eine
Fülle von Spezialisten, sowohl in der
Industrie als auch in der Wissenschaft,
die unterschiedliche Aspekte von ITSicherheit abdecken. Das Projekt ITSicherheit.NRW fördert deren Zusammenarbeit und erhöht ihre Sichtbarkeit
nach außen."
"Die von Seiten des Landes NRW
erfolgte Bewilligung gibt uns nun die
Planungssicherheit und Möglichkeit, die
Aktivitäten um das Thema IT-Sicherheit in Nordrhein-Westfalen gemeinsam
mit dem HGI und dem eco zu forcieren.
Wir haben ein großes Potenzial, das
sukzessive ausgebaut werden kann", so
Hubert Martens, Geschäftsführer des
networker NRW e. V.
IT-Sicherheit.NRW wird mit Fachvorträgen und Expertenworkshops zu
Sicherheitsrisiken und Schutzmaßnahmen informieren, Netzwerke zwischen
Innovationspartnern fördern und ein
Karriereforum für Unternehmen und
Hochschulabsolventen im Bereich ITSicherheit aufbauen. Der Fokus des Projekts liegt auf der Netzwerk- und Datensicherheit, Sicherheit im E-Business,
Cloud Computing und IT-Recht.
finden sich aktuelle Termine für Veranstaltungen des Netzwerks, beispielsweise die Internet Security Days vom
11. bis 12. September 2012 im Phantasialand in Brühl bei Köln. (jpp)
Regionales Netzwerk gegen IT-Bedrohungen - Computer Reseller News
1 von 1
http://www.crn.de/security/artikel-96156.html
Computer Reseller News
Home » Security
IT-Sicherheit für NRW:
Regionales Netzwerk gegen IT-Bedrohungen
von Folker Lück ([email protected])
23.07.2012
Das neugegründete Netzwerk »IT-Sicherheit.NRW« hat sich auf die Fahnen geschrieben,
Unternehmen gegen Sicherheitsrisiken zu wappnen, Wissenschaft und Wirtschaft
zusammenzubringen und Zukunftstrends zu ermitteln.
Für mehr IT-Sicherheit im Bundesland Nordrhein-Westfalen setzen
sich künftig das Horst Götz Institut für IT-Sicherheit (HGI), die
Ruhr-Universität Bochum und die Verbände »networker NRW« und
»eco – Verband der deutschen Internetwirtschaft« in dem Projekt
ein. Unterstützt werden sie dabei von der IHK Mittleres Ruhrgebiet,
dem Europäischen Kompetenzzentrum für IT-Sicherheit (eurobits)
und der Wirtschaftsförderung der Stadt Bochum. Das Ministerium für
Wirtschaft, Energie, Bauen, Wohnen und Verkehr des Landes
Nordrhein-Westfalen hat jetzt die Projektförderung bewilligt.
»IT-Sicherheit ist für den Erfolg von Unternehmen ein zentrales
Thema: Jedes Unternehmen muss wissen, wie es Firmengeheimnisse
schützt und Infrastrukturen absichert. Auf neue Bedrohungen
müssen wir sehr schnell reagieren können. Dabei will das Netzwerk
IT-Sicherheit.NRW helfen. Mit über 300 Unternehmen aus der
Security-Branche und 20 Hochschul- und Forschungseinrichtungen
ist Nordrhein-Westfalen der ideale Standort für ein solches Netzwerk
– ein europäischer Spitzenplatz«, sagt eco Geschäftsführer Harald A.
Summa.
Wappen des Bundeslands
Nordrhein-Westfalen: »Der
ideale Standort für ein solches
Netzwerk«.
»IT-Sicherheit.NRW« will künftig mit Fachvorträgen und Expertenworkshops zu Sicherheitsrisiken und
Schutzmaßnahmen informieren, Netzwerke zwischen Innovationspartnern fördern und ein
Karriereforum für Unternehmen und Hochschulabsolventen im Bereich IT-Sicherheit aufbauen. Der
Fokus des Projekts liegt auf der Netzwerk- und Datensicherheit, Sicherheit im E-Business, Cloud
Computing und IT-Recht.
Unter http://itsicherheit-nrw.de/ [1] finden sich aktuelle Termine für Veranstaltungen des Netzwerks,
beispielsweise die Internet Security Days vom 11. bis 12. September 2012 im Phantasialand in Brühl
bei Köln.
[1] http://itsicherheit-nrw.de/
VERWANDTE ARTIKEL
Westcon Technologietag – IT-Security trifft auf Filmgeschichte
(http://www.crn.de/security/artikel-95990.html)
Länder sollen für Speicherung zahlen – Eco-Verband kritisiert Vorratsdatenspeicherung
(http://www.crn.de/netzwerke-tk/artikel-91067.html)
24.07.2012 08:15
Business und IT, die Zeitschrift für den erfolgreichen Geschäftsmann -...
1 von 1
http://www.business-und-it.de/news_trends_strategien/show_article.ph...
Business & IT Newsletter | Preisvergleich | Software Guide
Microsoft:
N e w s , Tr e n d s , S t r a t e g i e n
Mehr Sicherheit, mehr
Performance - der neue
Internet Explorer 9 von
Microsoft!
Lesen Sie hier mehr ...
News
Business & IT Newsletter
Aktuelles Heft
IT Strategien
IT-Praxis
Unternehmensführung
Business-Hardware
Business-Software
Expertenmeinung
Arbeitsdokumente
KarriereCenter
B2B Forum/Markt
Media
Impressum
Online-Shop
R e g i o n a l e s N e t z w e r k g e g e n I T- B e d r o h u n g e n
Das neugegründete Netzwerk »IT-Sicherheit.NRW« hat sich auf die Fahnen geschrieben,
Unternehmen gegen Sicherheitsrisiken zu wappnen, Wissenschaft und Wirtschaft
zusammenzubringen und Zukunftstrends zu ermitteln.
Für mehr IT-Sicherheit im Bundesland Nordrhein-Westfalen setzen sich künftig
g das Horst Götz Institut für
IT-Sicherheit (HGI), die Ruhr-Universität Bochum und die Verbände »networker NRW« und »eco - Verband der
deutschen Internetwirtschaft« in dem Projekt ein. Unterstützt werden sie dabei von der IHK Mittleres Ruhrgebiet,
dem Europäischen Kompetenzzentrum für IT-Sicherheit (eurobits) und der Wirtschaftsförderung der Stadt
Bochum. Das Ministerium für Wirtschaft, Energie, Bauen, Wohnen und Verkehr des Landes Nordrhein-Westfalen
hat jetzt die Projektförderung bewilligt.»IT-Sicherheit ist für den Erfolg von Unternehmen ein zentrales Thema:
Jedes Unternehmen muss wissen, wie es Firmengeheimnisse schützt und Infrastrukturen absichert. Auf neue
Bedrohungen müssen wir sehr schnell reagieren können. Dabei will das Netzwerk IT-Sicherheit.NRW helfen. Mit
über 300 Unternehmen aus der Security-Branche und 20 Hochschul- und Forschungseinrichtungen ist NordrheinWestfalen der ideale Standort für ein solches Netzwerk - ein europäischer Spitzenplatz«, sagt eco
Geschäftsführer Harald A. Summa.»IT-Sicherheit.NRW« will künftig mit Fachvorträgen und Expertenworkshops
zu Sicherheitsrisiken und Schutzmaßnahmen informieren, Netzwerke zwischen Innovationspartnern fördern und
ein Karriereforum für Unternehmen und Hochschulabsolventen im Bereich IT-Sicherheit aufbauen. Der Fokus des
Projekts liegt auf der Netzwerk- und Datensicherheit, Sicherheit im E-Business, Cloud Computing und
IT-Recht.Unter http://itsicherheit-nrw.de/ finden sich aktuelle Termine für Veranstaltungen des Netzwerks,
beispielsweise die Internet Security Days vom 11. bis 12. September 2012 im Phantasialand in Brühl bei Köln.
zurück zur Übersicht
News zu IT-Lösungen:
05.07 - Dell
Dell Newsletter
Businesshelden
view
© 2000-2012 All Rights Reserved.
Alle Rechte vorbehalten
WEKA MEDIA PUBLISHING GmbH
Verwandte Webseiten:
Hardware-Tests * Office-Tipps * Webprogrammierung * Computer-Bücher * www.crn.de
24.07.2012 08:13
iX magazin vom 26.07.2012
Seite:
102 bis 107
Nummer:
08
Gattung:
Zeitschrift
Auflage:
43.274 (verbreitet)
Jahrgang:
2012
Wissen
Kryptografie
Kryptografie
Kryptoalgorithmus für eingebettete
Systeme
Verschlüsseln
für die Kleinen
Klaus Schmeh
PRESENT ist ein neues Verschlüsselungsverfahren speziell für
RFID-Chips und andere ressourcenarme Hardware. Angesichts des Trends,
Computer-Chips nahezu überall einzubauen (Ubiquitous
Computing), ist der Bedarf an derartigen Algorithmen groß.
Da PRESENT kürzlich von der ISO
standardisiert wurde, könnte
das Verfahren in den nächsten Jahren
erheblich an Bedeutung
gewinnen.
Wir brauchen Sicherheit mit weniger
als 2000 Gattern , forderte im Jahr 2002
der RFID-Visionär Sanjay Sarma.
Gemeint war damit ein Verschlüsselungsverfahren, das sich mit einer entsprechend geringen Gatterzahl implementieren lassen sollte. Damals wie
heute galt der Advanced Encryption
Standard (AES) als das Maß aller
Dinge, wenn es um das (symmetrische)
Verschlüsseln geht [1].
Das AES-Verfahren, das im Jahr 2000
nach einem mehrjährigen Wettbewerb
aus 15 Kandidaten ausgewählt wurde,
ist offizieller US-Standard und hat sich
auch in anderen Ländern durchgesetzt.
Vom kostenlosen PC-Verschlüsselungstool über den E-Mail-Client bis zu hochsicheren Militäranwendungen ist der
Algorithmus heute nahezu überall anzutreffen. Theoretische Überlegungen lassen es wahrscheinlich erscheinen, dass
der AES niemals geknackt werden wird.
Etwa 3000 Gatter sind notwendig, das
Verfahren in Hardware zu implementieren - nach Meinung von Sarma zu viel
für einen RFID-Chip.
Geiz mit Gattern
Neben RFID-Chips gibt es noch wei-
tere Plattformen, auf denen nur geringe
Hardwareressourcen zur Verfügung stehen, etwa Chipkarten, Sensoren, Autoschlüssel oder Herzschrittmacher. Verschlüsselung spielt in solchen Umgebungen eine wichtige Rolle. Man denke
nur an RFID-Chips, die mit einem kryptografischen Verfahren vor Fälschung
geschützt werden. Da derartige Kleinstcomputer zudem im Moment einen
Boom erleben - Ziel ist das Ubiquitous
Computing , also die allgegenwärtige
Computertechnik -, beschäftigen sich
längst zahlreiche Kryptologen mit speziell für Low-End-Umgebungen geeigneten Verschlüsselungsverfahren.
Auf einem einfachen RFID-Chip stehen oft nur 5000 bis 10 000 Gatter zur
Verfügung. Davon sollen möglichst
wenige für die Verschlüsselung geopfert werden, am besten nicht mehr als
die anfangs erwähnten 2000. Zwar lassen sich auf diese Weise meist nur
Bruchteile eines Cent einsparen, doch
bei großen Stückzahlen macht sich
selbst das bemerkbar. Noch wichtiger
als niedrige Kosten ist oft ein möglichst
geringer Energieverbrauch: Ein Batteriewechsel ist in vielen eingebetteten
Systemen nun einmal recht aufwendig.
Da sich bei einem Verschlüsselungsverfahren die Anzahl der Gatter etwa proportional zum verbrauchten Strom verhält, lohnt sich die Sparsamkeit. Die
Situation entbehrt nicht einer gewissen
Komik: Während Server, PCs und
Smartphones längst in Gigahertz- und
Gigabyte-Dimensionen vorgestoßen
sind, muss so mancher Kryptologe mit
einzelnen Bytes und Gattern geizen.
Hochsicherheit nicht immer nötig
Angesichts dieser Voraussetzungen
haben Kryptologen schon so manchen
Low-End-Verschlüsselungsalgorithmus
für ressourcenarme Plattformen entwickelt. Bei der Sicherheit konnten sie
dabei meist Abstriche machen. So muss
beispielsweise die verschlüsselte Mel-
dung eines Sensors im Chemiewerk
nicht für alle Zeiten unknackbar sein ein paar Tage tun es zur Not auch.
Ebenso wenig würde jemand ein Millionen-Budget aufwenden, nur um ein mit
RFID-Chip gesichertes Ersatzteil zu fälschen. Außerdem spielt die Verschlüsselungsgeschwindigkeit im Low-EndBereich häufig keine zentrale Rolle, da
auf Sensoren, RFID-Chips und ähnlichen Plattformen meist nur kurze Nachrichten verschlüsselt werden.
Die meisten Designer von Low-EndVerschlüsselungsalgorithmen setzten
lange Zeit auf sogenannte Stromchiffren. Darunter versteht man ein Verfahren, das schlüsselabhängig eine scheinbar zufällige Folge von Bits produziert
(Keystream), die anschließend zum
Klartext addiert wird. Der Empfänger
entschlüsselt, indem er den Keystream
wieder abzieht. Der AES ist dagegen
keine Strom-, sondern eine Blockchiffre.
Es handelt sich also um ein Verfahren,
das (zumindest in seiner naheliegenden
Verwendungsform) keinen Keystream
produziert, sondern direkt blockweise
verschlüsselt.
Der AES ist kein Einzelfall, denn während im Low-End-Bereich Stromchiffren populär wurden, setzten sich
andernorts größtenteils Blockchiffren
durch. Diese Aufteilung hat vor allem
historische Gründe - es spricht nichts
dagegen, auch in Umgebungen mit
wenigen Ressourcen Blockchiffren zu
nutzen. Tatsächlich machten sich Kryptologen vor etwa zehn Jahren erstmals
daran, Blockchiffren speziell für diesen
Zweck zu entwickeln. Frühe Verfahren
dieser Art hießen mCrypton (2005),
SEA (2006) oder HIGHT (2006). Eine
nennenswerte Verbreitung fanden sie
nicht.
Überall präsent: PRESENT
Im Jahr 2007 kam mit PRESENT ein
weiterer Low-End-Verschlüsselungsalgorithmus dazu [2]. Er entstand
nd
d als
Koproduktion der Ruhr-Universität
Bochum, der Orange Labs Frankreich
und der Technischen Universität Dänemark. Christof Paar, Bochumer Professor und Mitglied des Entwicklerteams
berichtet: PRESENT ist eine UltraLeichtgewichts-Blockchiffre. Der Name
erklärt sich dadurch, dass das Verfahren
zukünftig überall ,präsent sein soll - auf
jedem noch so kleinen Computer-Chip,
der irgendwo in einem Gegenstand
steckt. PRESENT soll also die Verschlüsselung für das Ubiquitous Computing liefern.
Schon die wichtigsten Parameter lassen
erkennen, für welchen Zweck PRESENT gedacht ist. Die Schlüssellänge
von 80 (oder alternativ 128) Bit ist kürzer als beim AES (128, 192 oder 256
Bit), für RFID-Chips und ähnliche
Umgebungen aber sicherlich ausreichend. Die Blocklänge ist mit 64 Bit
halb so groß wie beim AES - angesichts
der zu erwartenden eher kurzen Klartexte sicherlich angemessen. Auffällig
ist die Rundenzahl, die mit 31 recht
hoch ist (der AES arbeitet mit maximal
14 Runden). Auch hier ist das Kalkül
offensichtlich: Ein einfacher Rundenaufbau spart Ressourcen; um aber ein
hohes Sicherheitsniveau zu erreichen,
sind viele Runden erforderlich. Die Verschlüsselungsgeschwindigkeit ist dennoch erstaunlich hoch. Nach Angaben
der Entwickler ist PRESENT im
Extremfall 20-mal so schnell wie der
(allerdings nicht für eine HardwareImplementierung optimierte) AES.
Die Funktionsweise des Algorithmus ist
im Kasten So funktioniert PRESENT
beschrieben. Wie viele andere gängige
symmetrische Verschlüsselungsverfahren nutzt auch dieses nur sehr einfache
arithmetische Operationen wie das
Ersetzen von Bits, das Ändern der BitReihenfolge (Permutation) und die
Exklusiv-oder-Verknüpfung. Der
Ablauf von PRESENT sieht die besagten 31 Runden vor, in denen sich das
Einbringen eines Teilschlüssels, die
Nutzung von Ersetzungstabellen und das
Permutieren der Bits abwechseln. Dieses Funktionsprinzip wird SP-Chiffre
(SP steht für Substitution und Permutation) genannt. Es liegt auch dem AES
zugrunde. Statt das Rad neu zu erfinden,
haben die PRESENT-Entwickler also
ein bewährtes Funktionsprinzip übernommen - und versucht, es auf minimalistische Weise umzusetzen.
Nach Angaben der PRESENT-Entwickler sind 1570 Gatter notwendig, das
Verfahren mit hoher Performance zu
implementieren, die 2000-Gatter-Grenze
ist also klar unterschritten. Als sicher
geltende Stromchiffren liegen mit 1300
bis 2600 Gattern in der gleichen Größenordnung. Der AES ist dagegen mit
seinen etwa 3000 Gattern deutlich aufwendiger zu realisieren. Die wichtigsten Low-End-Konkurrenten mCrypton
(2950 Gatter), HIGHT (3000) und SEA
(2280) sind nach Angaben der PRESENT-Entwickler ebenfalls nicht ganz
so sparsam.
Sparsamer als
die Konkurrenz
Durch die geringen Hardwareanforderungen und die hohe Performance benötigt PRESENT laut seinen Erfindern in
typischen Einsatzszenarien nur etwa ein
Vierzigstel der Energie, die der AES
verbraucht - eine erhebliche Entlastung
für die Batterien. Wenn allein das Einsparen von Hardware im Vordergrund
steht, dann lässt sich PRESENT durch
einen seriellen Aufbau auch mit nur
etwa 1000 Gattern realisieren, was allerdings den Energieverbrauch in die Höhe
treibt. Wir haben ausgerechnet, dass bei
etwa 800 Gattern eine theoretische
Grenze liegt, die mit einem Verschlüsselungsverfahren nicht unterschritten werden kann , so Christof Paar, dieser
Grenze sind wir schon recht nahe
gekommen .
Inzwischen hat PRESENT den Segen
der internationalen Standardisierungsbehörde ISO erhalten, die das Verfahren in
den Standard ISO/IEC 29192-2:2012
aufnahm. Er widmet sich ausschließlich
dem Thema Low-End-Verschlüsselung
und wurde von der Industrie gefordert.
Der Standardisierung gingen fünf Jahre
der Prüfung voraus, in denen etwa ein
Dutzend Forschungsarbeiten veröffentlicht wurden, die PRESENT auf etwaige
Schwachstellen abklopften - ohne
Erfolg. Eine unumstößliche Sicherheitsgarantie ist das allerdings nicht. Zum
Vergleich: Beim AES wurde der bisher
beste Angriff (er entspricht einer Verkürzung des Schlüssels um etwa zwei
Bit, was nicht dramatisch ist) erst nach
14 Jahren entdeckt, obwohl bis dahin
ein ganzes Heer von Kryptologen nach
Sicherheitslücken gesucht hatte.
Neben PRESENT spezifiziert der ISOStandard noch ein zweites Verfahren:
den von Sony entwickelten Verschlüsselungsalgorithmus CLEFIA. Dabei handelt es sich ebenfalls um eine Blockchiffre. Im Gegensatz zu PRESENT ist
CLEFIA jedoch nicht für minimale
Hardwareanforderungen optimiert.
Stattdessen ist das Verfahren auf das
Verschlüsseln großer Datenmengen mit
einer hohen Geschwindigkeit ausgelegt.
Außerdem soll es für Hardware und
Software gleichermaßen geeignet sein.
Block- und Schlüssellänge entsprechen
den Werten des AES. CLEFIA soll vor
allem im Digital Rights Management
eingesetzt werden.
Stromchiffre
oder Blockchiffre?
Keine Frage, PRESENT hat gute Chancen, sich in den nächsten Jahren weltweit durchzusetzen. Die Nachfrage nach
Low-End-Verschlüsselung ist groß, und
durch die ISO-Standardisierung hat das
Verfahren einen klaren Vorteil gegenüber der Konkurrenz. Zwar haben verschiedene Kryptologen längst das eine
oder andere weitere kryptografische
Leichtgewicht vorgestellt (zum Beispiel
PRINT oder Hummingbird 2), doch
diese Verfahren müssen sich erst
bewähren. Das letzte Wort in Sachen
Low-End-Blockchiffre ist noch lange
nicht gesprochen. Denn es handelt sich
dabei um eine recht junge Technologie,
in der es noch viel zu forschen gibt.
Vielleicht wird es eines Tages einen
Wettbewerb geben, bei dem das beste
Low-End-Verfahren gesucht wird - so
wie es beim AES der Fall war und wie
es gerade beim SHA-3-Wettbewerb um
die beste kryptografische Hashfunktion
abläuft.
Vor einem solchen Wettbewerb muss
sich die Kryptologenszene jedoch noch
einer anderen Frage widmen: Ist der
Einsatz einer Low-End-Blockchiffre
überhaupt sinnvoll, oder sollte man für
ressourcenschwache Umgebungen lieber eine Stromchiffre verwenden?
Gegen Letzteres spricht, dass sich Kryptologen bisher mit Stromchiffren
schwertun. Bereits beim sogenannten
NESSIE-Wettbwerb, in dem sich in den
Jahren 2000 bis 2003 Kryptoverfahren
in verschiedenen Kategorien zum Vergleich stellten, ergab sich eine Pleite: In
der Kategorie Stromchiffren wurde keiner der sechs Teilnehmer zum Sieger
erklärt, da alle Schwächen gezeigt hatten.
Aus diesem Grund wurde anschließend
ein weiterer Wettbewerb namens
eSTREAM aus der Taufe gehoben, in
dem die Experten ausschließlich Stromchiffren betrachteten (in vier Kategorien). Das Ergebnis war erneut enttäuschend: In zwei der Kategorien gab es
am Ende keinen Sieger, und mit Trivium konnte überhaupt nur ein Teilnehmer (von über 50) vollständig überzeugen. Bis heute haben Stromchiffren den
Entwicklungsrückstand gegenüber den
Blockchiffren nicht aufgeholt.
Doch selbst wenn sich die Lage im
Bereich der Stromchiffren bessern
sollte, hält Christof Paar es für wahrscheinlich, dass sich auch im Low-EndBereich Blockchiffren durchsetzen werden. Dafür spricht zum einen, dass aktuelle Low-End-Blockchiffren wie PRESENT weniger Ressourcen benötigen
als gängige Stromchiffren. Zum anderen benötigen Stromchiffren für einen
sicheren Betrieb meist eine Anlaufzeit aus Sicherheitsgründen wird zunächst
Keystream produziert, der nicht verwendet wird. Dieser Nachteil, der vor allem
bei kürzeren Nachrichten ins Gewicht
fällt, ist bei Blockchiffren nicht gegeben.
Sollte sich Paars Prognose bewahrheiten und sollte sich außerdem PRESENT
im Low End durchsetzen, dann wäre
dies ein großer Erfolg für die deutsche
Kryptologie. Diese genießt zwar seit
Jahrzehnten einen guten Ruf, doch Verfahren, die in der Praxis eine Rolle spielen, kamen bisher auffällig selten aus
Deutschland. Bleibt also zu hoffen, dass
PRESENT seinem Namen alle Ehre
machen wird. (ur)
Klaus Schmeh
ist Berater bei der Gelsenkirchener
Firma cryptovision sowie Autor des
populärwissenschaftlichen KryptologieBuchs Nicht zu
knacken .
Literatur
[1] Klaus Schmeh; Kryptografie - Verfahren, Protokolle, Infrastrukturen;
dpunkt.verlag 2009
[2] Andrey Bogdanov, Lars R. Knudsen, Gregor
Leander, Christof Paar, Axel Poschmann, Matthew J.B. Robshaw,
Yannick Seurin, Charlotte Vikkelsoe;
PRESENT:
An Ultra-Lightweight Block Cipher;
Cryptographic Hardware and Embedded Systems; CHES 2007 iX 8/2012
Ein RFID-Chip muss mit minimaler
Hardwareausstattung auskommen. Ein
Verschlüsselungsverfahren sollte auf
einer solchen Plattform nicht mehr als
2000 logische Gatter benötigen. PRESENT erfüllt diese Anforderung (Abb.
1).
x-tract
- Chip-Hersteller fordern VerschlüsseWörter:
2296
lungsverfahren, die sich mit maximal
2000 Gattern implementieren lassen.
Diese werden für RFID-Chips, Sensoren, Chipkarten und ähnliche
Umgebungen benötigt.
- Das Verschlüsselungsverfahren PRESENT kommt mit 1570 Gattern aus, gilt
als sicher und ist inzwischen ein offizieller Standard. Es könnte sich in den
nächsten Jahren auf ressourcenarmen
Plattformen durchsetzen.
- PRESENT gehört zu den Blockchiffren. Diese sind bisher
im Low-End-Segment nur schwach vertreten, da dort meist Stromchiffren
genutzt werden. Dies könnte sich dank
der neuen Low-End-Blockchiffren
ändern.
iX 8/2012 Wissen
Kryptografie
Die Verschlüsselungsverfahren PRESENT und AES im Vergleich. PRESENT ist für ressourcenschwache
Umgebungen optimiert. Den einfachen
Aufbau kompensiert eine hohe Rundenzahl (Abb. 2). iX 8/2012
iX 8/2012 Wissen
Kryptografie
So funktioniert PRESENT
PRESENT nimmt einen Klartext-Block
der Länge 64 Bit entgegen und gibt als
Geheimtext einen Block gleicher Größe
aus. Dabei verarbeitet das Verfahren
einen 80 oder 128 Bit langen Schlüssel.
Der Ablauf der Verschlüsselung gliedert sich in 31 gleich aufgebaute Runden, die jeweils aus drei Schritten bestehen:
1. Das Ergebnis der vorhergehenden
Runde (beziehungsweise der KlartextBlock, wenn es sich um die erste Runde
handelt) wird mit 64-Bit-Schlüsselmaterial (einem sogenannten Rundenschlüssel) exklusiv-oder-verknüpft. Das
Ergebnis besteht wiederum aus 64 Bits.
2. Die 64 Bit werden in Vierergruppen
jeweils einer Ersetzungstabelle (S-Box)
zugeführt. Jede S-Box gibt 4 Bit aus,
wodurch wiederum 64 Bits entstehen.
3. Die Reihenfolge der 64 Bits wird
(wie in Abbildung 3 gezeigt) verändert.
Dies bezeichnet man als Permutation.
Nach der 31. Runde folgt eine weitere
Exklusiv-oder-Verknüpfung mit einem
Rundenschlüssel (wie in Schritt 1),
danach ist das Verfahren abgeschlossen.
Da sich der Ablauf umkehren lässt, ist
das Entschlüsseln bei bekanntem
Schlüssel einfach möglich. Die Sicherheit der Verschlüsselung liegt vor allem
in der S-Box - also in einer Ersetzungstabelle für Vier-Bit-Werte. Andere
Blockchiffren arbeiten meist ebenfalls
mit S-Boxen, allerdings in der Regel mit
größeren oder mit mehreren unterschiedlichen Varianten. PRESENT
kompensiert den sparsamen Umgang
mit S-Boxen durch eine große Rundenzahl. Der Entwickler eines Verschlüsselungsverfahrens muss seine
S-Boxen sorgfältig auswählen, denn
sonst haben Angriffsmethoden wie die
differenzielle und die lineare Kryptoanalyse Erfolg.
Sowohl der erste als auch der letzte
Schritt einer PRESENT-Verschlüsselung besteht aus einer Exklusiv-oderVerknüpfung mit Schlüsselmaterial.
Dieses Designmerkmal wird Whitening
genannt. Es hat den Vorteil, dass ein
Angreifer nicht weiß, welche Werte in
die erste S-Box hineingehen und welche aus der letzten herauskommen. Whitening kommt auch im AES und vielen
anderen Verfahren zum Einsatz. Die
Permutation am Ende jeder PRESENTRunde ist ebenfalls ein Standardbestandteil von Blockchiffren. Sie hat den
Zweck, die Bits zwischen den S-Boxen
durcheinanderzumischen. Die Kombination von parallelen S-Boxen mit einer
Permutation ist deutlich wirtschaftlicher
als der Einsatz besonders großer SBoxen (eine S-Box mit 64-Bit-Eingabewerten müsste über 1019 Einträge
haben), hat aber einen ähnlichen Effekt.
Der Ablauf einer PRESENT-Verschlüsselung erfordert 32 Rundenschlüssel der
Länge 64 Bit. Jeder dieser Rundenschlüssel wird aus dem 80 oder 128 Bit
langen Schlüssel generiert. Bei diesem
als Schlüsselaufbereitung bezeichneten
Vorgang spielen erneut die S-Box von
PRESENT sowie eine Permutation eine
Rolle. Der Ablauf bei einem 128-BitSchlüssel ist ähnlich.
PRESENT arbeitet in 31 einfach aufgebauten Runden. Jede Runde sieht eine
Schlüsseladdition, die Anwendung einer
Bit-Ersetzungstabelle (S-Box) sowie
eine Bit-Permutation vor (Abb. 3). iX
8/2012
iX 8/2012
Umstrittener Virenschutz für Apple-Computer - Nachrichten - Schwäb...
1 von 2
Startseite
http://www.tagblatt.de/Home/nachrichten_artikel,-Umstrittener-Virens...
Nachrichten
SORGLOSE MAC-NUTZER
Ein Virenschutz für Apple-Computer ist unnötig - so hieß es
jjahrelang.
ahrelang. Doch ein Mac-Trojaner hat diese Ansicht bei vielen
geändert. Apple-Nutzer sind nachhaltig verunsichert. Gilt die alte
Weisheit nicht mehr?
DIRK AVERESCH, DPA
Windows-Nutzer machen sich schon lange keine Illusionen
mehr über die Bedrohungslage ihres Betriebssystems:
Virenscanner und Vorsicht sind Pflicht. Viele Apple-Jünger
wähnen sich dagegen in Sicherheit vor Schadsoftware,
während Hersteller von Virenwächtern spätestens seit dem
Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner
trommeln.
Böse Viren
befallen auch
AppleComputer.
Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der
Trojaner nutzte eine Java-Schwachstelle aus und drang
über manipulierte Webseiten in die Systeme ein. Schnell
waren weltweit hunderttausende Macs befallen, die zum
Versenden von Spam-Mails missbraucht werden sollten.
Foto: dpa
Hätten Virenscanner den Trojaner stoppen können? Wohl
kaum. Am Markt gibt es ein Dutzend Mac-Virenscanner.
Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift "Mac&i" mit
einer im April eingefrorenen Schädlingsauswahl getestet. Die Programme
durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein
"enttäuschendes" Ergebnis. "Keiner erkannte alle Mac-Viren, obwohl die
Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen
Vorsprung und viele Viren schon Jahre auf dem Buckel hatten", lautet das
Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner
tatsächlich Schutz vor Flashback geboten.
Umlauf befindlichen Varianten des Schädlings", heißt es weiter im Test.
Selbst die verspätet bereitgestellten Updates von Apple hätten mehr
Sicherheit gebracht als jeder Scanner: Der beste enttarnte nur 82 Prozent
der Schädlinge.
30.07.2012 07:42
Umstrittener Virenschutz für Apple-Computer - Nachrichten - Schwäb...
2 von 2
http://www.tagblatt.de/Home/nachrichten_artikel,-Umstrittener-Virens...
und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von
Schädlingen und der Phishing-Abwehr schnitten die Programme nicht
besonders gut ab.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält
Mac-Virenscanner derzeit ohnehin für verzichtbar. "Aus unserer Sicht ist das
angesichts der Bedrohungslage nicht notwendig", sagt Tim Griese vom BSI.
Für Mac-Nutzer gilt: Mit offenen Augen und gesundem Menschenverstand
durch die Welt gehen. Dazu gehöre zum Beispiel, nicht gleich jeden
Mailanhang zu öffnen. Anwendungen und das Betriebssystem sollten unter
"Softwareaktualisierung" stets aktuell gehalten werden, rät Griese. Das
Update-Intervall stellt man am besten auf "täglich".
"Flashback hat gezeigt, dass auch Mac OS X angreifbar ist", sagt Prof.
Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität
Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem gibt, treffen
sie oft Unvorbereitete: "Die typischen Mac-Nutzer sind vermutlich ein wenig
sorgloser. Nicht auf alles klicken und ein gesundes Misstrauen helfen sehr",
rät Holz.
28.07.2012 - 08:30 Uhr
(c) Alle Artikel, Bilder und sonstigen Inhalte der Website www.tagblatt.de sind
urheberrechtlich geschützt. Eine Weiterverbreitung ist nur mit ausdrücklicher
Genehmigung des Verlags Schwäbisches Tagblatt gestattet.
30.07.2012 07:42
Systeme für Single-Sign-On geknackt | heise online
1 von 1
http://www.heise.de/newsticker/meldung/Systeme-fuer-Single-Sign-O...
10.08.2012 14:45
Systeme für Single-Sign-On geknackt
Forscher der Ruhr-Universität Bochum[1] (RUB) haben 14 sogenannte Single-Sign-on-Systeme auf ihre Sicherheit überprüft - mit alarmierendem
Ergebnis. Solche Systeme, die häufig in Unternehmen oder Portalen eingesetzt werden, ermöglichen das einmalige Anmelden an zahlreiche Ressourcen
und Anwendungen, für die der jeweilige Nutzer die Berechtigung hat. Rund 80 Prozent der untersuchten Systeme wiesen gravierende Sicherheitslücken
auf, lautet das Ergebnis der Bochumer Forscher.
Die meisten dieser Systeme basieren auf der Security Assertion Markup Language[2] (SAML), einem XML-Framework, das dem Austausch von
Authentifizierungs- und Autorisierungsinformationen dient. Die für die Anmeldung erforderlichen Informationen sind in einer SAML-Nachricht gespeichert
und durch eine digitale Signatur geschützt. Den Bochumer Forschern gelang es mit einem neuartigen XML-Signature-Wrapping-Angriff, diesen Schutz zu
umgehen, berichtet Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. "Dadurch", erklärt Schwenk, "konnten wir uns jede beliebige
Identität aneignen und uns sogar als Systemadministratoren ausgeben."
Von den 14 getesteten Systemen erwiesen sich 12 als angreifbar - darunter der Clouddienst Salesforce, das IBM DataPower Security Gateway, Onelogin
(benutzt in Joomla, Wordpress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML).
Nach ihrer Entdeckung kontaktierten der Sicherheitsexperte Andreas Mayer und seine Kollegen die betroffenen Firmen und schlugen Gegenmaßnahmen
vor. Zwischenzeitlich konnten die Schwachstellen in den Produkten geschlossen werden. Beim heute stattfindenden 21. USENIX Security Symposium[3]
in Bellevue, Washington (USA) stellt Juraj Somorovsky von der RUB die Forschungsergebnisse, die auch im Internet veröffentlicht[4] sind, vor. (ur[5])
URL dieses Artikels:
http://www.heise.de/newsticker/meldung/Systeme-fuer-Single-Sign-On-geknackt-1665205.html
Links in diesem Artikel:
[1] http://www.ruhr-uni-bochum.de/
[2] http://de.wikipedia.org/wiki/Security_Assertion_Markup_Language
[3] https://www.usenix.org/conference/usenixsecurity12/
[4] http://www.nds.rub.de/research/publications/BreakingSAML/
[5] mailto:[email protected]
902863
Copyright © 2012 Heise Zeitschriften Verlag Hosted by Plus.line
Content Management by InterRed
13.08.2012 09:07
Single Sign-On Verfahren von RUB-Forschern geknackt
1 von 4
http://www.iavcworld.de/index.php/cloud-computing/projekte-anwen...
Montag, 13. August 2012
Suchen...
HOME
VISUAL COMMMUNICATIONS
CLOUD COMPUTING
Cloud Lösungen
UNIFIED COMMUNICATIONS
STREAMING MEDIA
Cloud Services
Suchen
UNTERNEHMEN
Projekte / Anwendungen
WEB COLLABORATION
VIDEOS
IAVC-BLOG
Marktinfos
YOU ARE HERE CLOUD COMPUTING
PROJEKTE / ANWENDUNGEN
VERFAHREN VON RUB-FORSCHERN GEKNACKT
SINGLE SIGN-ON
LOGIN
Benutzername
SAMSTAG, 11. AUGUST 2012 IDW
ZUGRIFFE: 53
Webshops, Cloud Computing, Online-Banking: Tagtäglich fordern
viele unterschiedliche IT-Systeme den Nutzer auf, sich immer
wieder über Benutzername und Passwort zu identifizieren.
Als praktisches Mittel gegen die Flut von Mehrfachanmeldungen gilt
das so genannte „Single Sign-On“. Hier weist sich der Nutzer genau
einmal aus, alle weiteren Authentifizierungen erfolgen automatisch.
Dass die Einmal-Anmeldung jedoch längst nicht so sicher ist wie
bislang angenommen, zeigen jetzt Forscher vom Horst Görtz Institut
für IT-Sicherheit der Ruhr-Universität Bochum: Ungefähr 80 Prozent
●●●●●●●●
LATEST NEWS
3KV ergänzt UC as-a-Service-Lösung mit
SIP Telefonen von snom
DEKOM realisiert interaktive
Kongressübertragung per HD
Videokonferenz
Neue Arbeitsformen: Verführerisch,
rasant und riskant
REALTECH Cloud-Beratung sorgt für
Transparenz
der untersuchten Systeme wiesen massive Sicherheitslücken auf.
Avayas neue Business Collaboration
Lösungen
Digitale Signatur soll schützen
Das „Single Sign-On“-Verfahren, kurz SSO, kann mit einem gut
MovingIMAGE24 initiiert Markteintritt
in den Niederlanden
bewachten Tor verglichen werden, das die sensiblen Firmendaten
schützt: Wer den Eingang einmal passiert hat, kann auf alle
Informationen und Dienste zugreifen, denn er gilt als angemeldet
und zugriffsberechtigt. Viele SSO-Systeme setzen auf die weit
verbreitete Security Assertion Markup Language (SAML). Die
Identitätsinformationen werden in einer SAML-Nachricht
VIDEOS
Fujitsu
Webcas...
LG
Werbespot
Polycom
Immers...
OpenScape
Offi...
EMC
MindManager
HD-Connect 8
gespeichert und durch eine digitale Signatur geschützt. Doch die
Bochumer Forscher fanden einen Weg, diesen Schutz zu umgehen.
Sicherheitsfunktion ausgehebelt
„Mit einem neuartigen XML Signature Wrapping-Angriff haben wir
sämtliche Sicherheitsfunktionen der digitalen Signatur komplett
ausgehebelt“, berichtet Prof. Dr. Jörg Schwenk vom Lehrstuhl für
Netz- und Datensicherheit. „Dadurch konnten wir uns jede beliebige
Identität aneignen und uns sogar als Systemadministratoren
ausgeben“. Die Wissenschaftler testeten 14 weit verbreitete
SAML-Anbieter und -Systeme.
Davon wiesen 12 kritische Lücken auf. Anfällig waren unter
MAIN
WER IST
13.08.2012 09:32
2 von 4
anderem der Cloud-Anbieter Salesforce, das IBM DataPower
Security Gateway, Onelogin (benutzt in Joomla, Wordpress,
SugarCRM und Drupal) und das Framework
(Shibboleth, SuisseID und OpenSAML).
OpenSAML
NAVIGATION
ONLINE?
Visual
Commmunications
Wir haben 4
Unified
Communications
Gegenmaßnahmen vorgeschlagen
„Nachdem wir die Sicherheitslücken entdeckt hatten, kontaktierten
wir umgehend die betroffenen Firmen und schlugen
Gegenmaßnahmen vor“, berichtet der Sicherheitsexperte und externe
Doktorand Andreas Mayer (Adolf Würth GmbH & Co. KG). „Durch
die professionelle Zusammenarbeit mit den Herstellern konnten die
kritischen Schwachstellen in den betroffenen Produkten geschlossen
werden“, ergänzt Juraj Somorovsky vom Lehrstuhl für Netz- und
Datensicherheit.
Web Collaboration
Cloud Computing
Streaming Media
Gäste online
IAVC BLOGGER
Lukas
Pfeiffer
3 post(s)
Unternehmen
"Lukas Pfeiffer,
geboren in
IAVC-Blog
Weimar, ist
Mitgründer ..."
Videos
Empfehlen
Tweet
0
Gerhard
Share
Voss
1
0
18 post(s)
"Initiator and
Owner of
IAVCworld"
LATEST IAVC - BLOGPOSTS
Apple Mitbegründer Woznika kritisiert
Cloud Computing
Focus.de - Der Co-Gründer des
US-Elektronikriesen Apple, Steve Wozniak,
sieht den Trend zum sogenannten Cloud
Computing sehr kriti
53 hits · Read More
posted by Gerhard Voss on Montag, 06
August 2012
swabr startet CrowdfundingFinanzierung auf Innovestment
Wir, die Gründer des EnterpriseMicroblogging-Dienstes swabr, wollen mit
Hilfe von Mikroinvestoren die
Weiterentwicklung des Dien
posted by Lukas Pfeiffer on Mittwoch, 01
August 2012
US-Firmen fühlen sich im Cloud
Geschäft benachteiligt
NZZ.ch - US-Anbieter kritisieren, dass
europäische Unternehmen den Patriot Act
als Marketinginstrument nutzen, um ihre
eigenen Clo
posted by Gerhard Voss on Freitag, 27 Juli 2012
13.08.2012 09:32
3 von 4
Facebook meldet enttäuschende
Geschäftszahlen
Stern.de - Für das erste Quartal als
börsennotiertes Unternehmen hat Facebook
hat einen Verlust von 157 Millionen Dollar
gemeldet.
posted by Gerhard Voss on Freitag, 27 Juli
2012
UNTERNEHMEN
13.08.2012 09:32
4 von 4
IMPRESSUM
DATENSCHUTZ
NUTZUNGSBEDINGUNGEN
RESET USER SETTING
TOP
©Copyright 2007-2012 IAVCworld | Powered by IAVC
13.08.2012 09:32
Bochumer Forscher haben Single Sign-On ausgehebelt | ITespresso.de
ITespresso
http://www.itespresso.de/2012/08/10/bochumer-forscher-haben-single-...
Channelbiz
Downloads
für IT-Pros und Entscheider
Gizmodo
Gefällt mir
529
Suchen in itespresso.de
Bochumer Forscher haben Single Sign-On ausgehebelt
NEWSLETTER
Die Lücke fand sich in der weit verbreiteten Security Assertion Markup Language (SAML).
Unter anderem wäre dadurch ein Angriff auf Nutzer von Salesforce.com, Joomla, WordPress,
SugarCRM und Drupal sowie das Framework OpenSAML möglich gewesen. Die Anbieter
wurden darauf hingewiesen, die Schwachstelle ist behoben.
Die tägliche Dosis IT-News per Newsletter direkt in
ihr Postfach. Jetzt abonnieren!
AKTUELLES ZU IT-LÖSUNGEN
10. August 2012 von Peter Marwan
0
08.08. silicon.de
Know How für Manager:
kostenlose Whitepaper, Studien ...
Juraj Somorovky, Andreas Mayer, Jörg Schwenk, Marco Kampmann und Meiko Jensen vom Horst Görtz Institut für
IT-Sicherheit der Ruhr-Universität Bochum ist es gelungen nachzuweisen, dass die Authentifizierungsmethode SingleSign-On nicht ausreichend sicher ist. Die Ergebnisse ihrer Arbeiten hat Juraj Somorovky heute auf dem 21. USENIX
Security Symposium in Bellevue im US-Bundesstaat Washington vorgestellt.
Das sogenannte “Single Sign-On” als praktisches Mittel um der Tatsache Herr zu werden, dass heute tagtäglich viele
unterschiedliche IT-Systeme Nutzer auffordern, sich über Benutzername und Passwort zu identifizieren – seien es nun
Webshops, Cloud-Computing-Anwendungen wie Web-Mail, Online-Speicher oder Zugriff auf Dienste, die der
Anwender in seiner Firma nutzt. Mit Single-Sign-On weist sich der Nutzer genau einmal aus, alle weiteren
Authentifizierungen erfolgen automatisch.
Die Einmalanmeldung ist jedoch bei weitem nicht so sicher, wie bislang angenommen: Ungefähr 80 Prozent der von
ihnen untersuchten Systeme wiesen massive Sicherheitslücken auf. Die Forscher vergleichen Single Sign-On- mit
einem gut bewachten Tor verglichen: Wer den Eingang einmal passiert hat, kann auf alle Informationen und Dienste
zugreifen, denn er gilt als angemeldet und zugriffsberechtigt.
view
MEINUNG
Wenn Mitarbeiter zu IT-Admins
werden
31. Juli 2012 von Mehmet Toprak
Viele Single-Sign-On-Systeme setzen auf die Security Assertion Markup Language (SAML), um diese Aufgabe zu
meistern. Die Identitätsinformationen werden in einer SAML-Nachricht gespeichert und durch eine digitale Signatur
geschützt.
“Mit einem neuartigen XML-Signature-Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen
Signatur komplett ausgehebelt”, berichtet Professor Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit.
“Dadurch konnten wir uns jede beliebige Identität aneignen und uns sogar als Systemadministratoren ausgeben.”
Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen 12 kritische Lücken auf.
Anfällig waren unter anderem Salesforce.com, das IBM DataPower Security Gateway, Onelogin, das in Joomla,
WordPress, SugarCRM und Drupal benutzt wird, sowie das Framework OpenSAML (Shibboleth, SuisseID und
OpenSAML).
„Nachdem wir die Sicherheitslücken entdeckt hatten, kontaktierten wir umgehend die betroffenen Firmen und
schlugen Gegenmaßnahmen vor“, berichtet der Sicherheitsexperte Andreas Mayer. “Durch die professionelle
Zusammenarbeit mit den Herstellern konnten die kritischen Schwachstellen in den betroffenen Produkten geschlossen
werden”, ergänzt Juraj Somorovsky.
0
Der Hype um Smartphones und
Tablet-PCs in Unternehmen wird
immer stärker. IT-Experten und
Hersteller fordern, dass
Mitarbeiter mehr Mitsprache bei
der Wahl der Geräte bekommen.
Doch trotz aller Vorteile der neuen
Technik gibt es Dinge, die sich
auch in der schicken Welt der
Mobilgeräte nie ändern.
Mehr
QUIZ
Überprüfen Sie Ihr Wissen
Wie gut kennen Sie sich mit Druckern aus?
Dennoch bleibt ein schaler Nachgeschmack: Erst kürzlich hat der Fall des US-Journalisten Mat Honan für Aufsehen
gesorgt. Ihm hatte ein Angreifer – der sich inzwischen bei Honan gemeldet hat – nahezu ohne technische Kenntnisse,
aber mit etwas kombinatorischem Geschick und unter Ausnutzung der sich für einen Angriff ideal ergänzende Lücken
der Sicherheitspraktiken von Anbietern wie Apple und Amazon, sowohl die von ihm genutzten Apple-Geräte sperren
sowie auch Passwörter für andere Dienste und Kreditkartendaten abgreifen und es Honan außerordentlich schwer
machen können, die Firmen zu überzeugen, dass er das Opfer und nicht selber ein dreister Angreifer ist.
Wie gut kennen Sie Google?
Wie gut kennen Sie sich mit Tablets aus?
Windows 7, Mac OS X, Ubuntu, ... Kennen Sie
die Unterschiede zwischen den wichtigsten
Betriebssystemen?
Durch die Arbeit der Bochumer Forscher geraten auch die in vielen Firmen beim Cloud Computing genutzten
technischen Vorkehrungen in Misskredit. Die Schuld dafür ist nicht bei den Wissenschaftler zu suchen: Vielmehr ist
den Firmen vorzuwerfen, dass sie durch externe auf Schwachstellen in denen von ihnen genutzten Technologien
hingewiesen werden müssen. Unterm Strich bleibt der Eindruck, dass auch beim Cloud Computing – trotz
anderslautender Beteuerungen – Sicherheit wie so oft bei der technischen Entwicklung nicht von Anfang an im Design
berücksichtigt, sondern erst nachträglich aufgepfroft wird. Das rächt sich über kurz oder lang – wie zum Beispiel ale
Nutzer von Microsoft- und Adobe-Produkten jeden zweiten Dienstag im Monat – dem sogenannten Patchday –
erfahren müssen.
Sind Sie ein Fachmann in Sachen Cloud
Hinweis: Artikel von ITespresso.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.
HP: Lenovo wird Schwierigkeiten im Cloud
Computing haben
Computing?
Wie gut kennen Sie sich mit Prozessoren aus?
Wie gut kennen Sie sich mit Browsern aus?
NEWS
13. August 2012 von Manfred Kohlen
Drucken
PDF
Email
0
Oracle verlängert Support für Java 6 erneut
Twittern
2
Gefällt mir
Registrieren, um sehen zu
können, was deinen
Tags: Authentifizierung, Cloud Computing, Passwort, Salesforce, Sicherheitslücken.
Das könnte Sie auch interessieren
Virus “Dorifel” verschlüsselt Word- und Excel-Dokumente
Die Malware trat zuerst in den Niederlanden auf, hat sich aber inzwischen auch nach
Deutschland ausgebreitet. Sie zirkuliert vor allem in Behörden... Mehr
1 von 3
0
13. August 2012 von Martin Schindler
0
Samsung bringt Ultrabook-Konkurrenten mit
AMD-CPUs
12. August 2012 von Björn Greif
0
Google Übersetzer 2.5 für Android erhält
Texterkennung
12. August 2012 von Björn Greif
0
13.08.2012 09:39
Der sichere Weg zur perfekten Sehschärfe.
Finden Sie hier den besten Augenlaser-Spezialisten in Ihrer Nähe. Jetzt unverbindlich
informieren. Mehr
So unterstützt Google die Stellvertreterkriege
gegen Apple
11. August 2012 von Bernd Kling
0
INTERVIEW
Bundesgerichtshof erleichtert Rechteinhabern Zugriff auf Adressdaten...
Internet-Provider müssen Rechteinhabern auf deren Verlangen den Namen und die
Anschrift des Nutzers einer IP-Adresse mitteilen, wenn diese ein... Mehr
“Wir wollen hunderttausende
Web-Entwickler für Firefox OS
begeistern”
23. Juli 2012 von Peter Marwan
0
Im Interview gibt sich Mozillas
Europapräsident Tristan Nitot
zuversichtlich: Firefox OS, das
Smartphone-Betriebssystem von
Mozilla, werde umfangreiche
Unterstützung von Entwicklern
erfahren. Der Grund: Die meisten
Apps würden ohnehin schon in
HTML5 geschrieben.
So unterstützt Google die Stellvertreterkriege gegen Apple
Noch stellt sich der Internetkonzern im Kampf um den Smartphone-Markt nicht offen
gegen Apple. Aber er hilft seinen Android-Partnern aus dem... Mehr
Google Übersetzer 2.5 für Android erhält Texterkennung
Die App kann jetzt auch Text in einem Foto erkennen und übersetzen. Der Zugriff auf
die Kamera ist aus der Anwendung heraus möglich. So lassen sich... Mehr
Mehr
UMFRAGE
Auf den Spuren Bruckners
Musikalischen Wochenendreise in die Donaustadt ab 232 €. Mehr
Nutzen Sie beruflich Online-Angebote wie
Dropbox für den Austausch oder die
Speicherung von Dateien?
Nein, habe aber auch keinen Bedarf dafür.
Nein, ist bei uns in der Firma nicht erlaubt.
hier werben
powered by plista
Ist in der Firma nicht erlaubt, mache ich aber
trotzdem.
Ist in der Firma nicht ausdrücklich verboten und
nutze ich gelegentlich.
LETZTER KOMMENTAR
0 Antworten zu Bochumer Forscher haben Single Sign-On ausgehebelt
Kommentar hinzufügen
Meine Firma hat einen Dienst ausgewählt, den
ich regelmäßig nutze.
Meine Firma hat einen Dienst ausgewählt, ich
persönlich benötige das aber nicht.
Abstimmen
Ergebnisse
IT IM MITTELSTAND
Tipps vom Experten: Web-Videos
für Unternehmen
21. Juli 2012 von Mehmet Toprak
0
Viele Unternehmen stellen ImageVideos ins Internet oder werben
per Video für ihre Produkte. Lohnt
sich das auch für kleine
Unternehmen? Worauf sollte man
achten, wenn man einen
Videoproduzenten beauftragt?
Diese und andere Fragen
beantwortet Martin Goldmann von
Redgo.TV.
Mehr
FOLGEN SIE UNS
TAGS
Android iPhone 4S Windows 8 Android
Apple Betriebssysteme Browser Cloud Computing
Datenschutz Festplatten Finanzen
Google
Handys Hardware Intel Internet
IT-Strategie Linux Markt Microsoft
Mobile Computing Mobilfunk Netzwerke
Notebooks Open Source Politik Prozessoren
Recht Server Sicherheit Smartphones
Software Suchmaschinen Telekommunikation
Unternehmen Web-Development Windows
Windows XP
2 von 3
Kategorien
Seiten
NetMediaEurope DE
NetMediaEurope
Home
News
Impressum
AGB
ITespresso
ChannelBiz
Frankreich
Deutschland
13.08.2012 09:39
Tests
Management
Knowledge Center
Downloads
Datenschutzerklärung
Mediadaten
Jobs
Downloads
Gizmodo
Spanien
Italien
NetMediaEurope Deutschland GmbH © Copyright 2012 All rights reserved. Part of NetMediaEurope
3 von 3
13.08.2012 09:39
Single Sign-On: RUB-Forscher knacken Industriestandard für Identifiz...
1 von 2
http://www.juraforum.de/wissenschaft/single-sign-on-rub-forscher-kna...
JuraForum.de > Nachrichten > Wissenschaft > Single Sign-On: RUB-Forscher knacken Industriestandard für
Identifizierung
Google Anzeigen
Wirtschaftspsychologie
Fernstudium Wirtschaftspsychologie mit Bachelor- und Master-Abschluss!
www.Euro-FH.de
FIM Identity-Management
Beratung, Integration und Training durch die weltweiten FIM Experten
www.oxfordcomputergroup.de
Join SSONetwork Today
Be Part of the Largest Global Online Outsourcing Community.
www.ssonetwork.com
Single Sign-On: RUB-Forscher knacken Industriestandard für
Identifizierung
10.08.2012, 10:10 | Wissenschaft | Autor: idw
Gefällt mir
0
Twittern
0
0
Webshops, Cloud Computing, Online-Banking: Tagtäglich fordern viele unterschiedliche IT-Systeme
den Nutzer auf, sich immer wieder über Benutzername und Passwort zu identifizieren. Als
praktisches Mittel gegen die Flut von Mehrfachanmeldungen gilt das so genannte „Single Sign-On“.
Hier weist sich der Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen
automatisch. Dass die Einmal-Anmeldung jedoch längst nicht so sicher ist wie bislang angenommen,
zeigen jetzt Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum:
Ungefähr 80 Prozent der untersuchten Systeme wiesen massive Sicherheitslücken auf.
Das „Single Sign-On“-Verfahren, kurz SSO, kann mit einem gut bewachten Tor verglichen werden, das die
sensiblen Firmendaten schützt: Wer den Eingang einmal passiert hat, kann auf alle Informationen und Dienste
zugreifen, denn er gilt als angemeldet und zugriffsberechtigt. Viele SSO-Systeme setzen auf die weit verbreitete
Security Assertion Markup Language (SAML). Die Identitätsinformationen werden in einer SAML-Nachricht
gespeichert und durch eine digitale Signatur geschützt. Doch die Bochumer Forscher fanden einen Weg, diesen
Schutz zu umgehen.
„Mit einem neuartigen XML Signature Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen
Signatur komplett ausgehebelt“, berichtet Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit.
„Dadurch konnten wir uns jede beliebige Identität aneignen und uns sogar als Systemadministratoren
ausgeben“. Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen 12
kritische Lücken auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce, das IBM DataPower Security
Gateway, Onelogin (benutzt in Joomla, Wordpress, SugarCRM und Drupal) und das Framework OpenSAML
(Shibboleth, SuisseID und OpenSAML).
„Nachdem wir die Sicherheitslücken entdeckt hatten, kontaktierten wir umgehend die betroffenen Firmen und
schlugen Gegenmaßnahmen vor“, berichtet der Sicherheitsexperte und externe Doktorand Andreas Mayer
(Adolf Würth GmbH & Co. KG). „Durch die professionelle Zusammenarbeit mit den Herstellern konnten die
kritischen Schwachstellen in den betroffenen Produkten geschlossen werden“, ergänzt Juraj Somorovsky vom
Lehrstuhl für Netz- und Datensicherheit.
Ergebnisvorschau
Am 10. August 2012 stellt Juraj Somorovsky die Ergebnisse auf dem 21. USENIX Security Symposium in
13.08.2012 09:41
Single Sign-On: RUB-Forscher knacken Industriestandard für Identifiz...
2 von 2
http://www.juraforum.de/wissenschaft/single-sign-on-rub-forscher-kna...
Bellevue, Washington (USA) vor. Das Paper ist im Internet veröffentlicht unter: http://www.nds.rub.de
/research/publications/BreakingSAML
Weitere Informationen
Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und
Datensicherheit, Tel. 0234/32-26692
[email protected]
Redaktion: Jens Wylkop
Quelle: idw
http://www.juraforum.de/wissenschaft/single-sign-on-rub-forscher-knacken-industriestandard-fuer-identifizierung-408519
"Single Sign-On: RUB-Forscher knacken Industriestandard für Identifizierung - Wissenschaft" © JuraForum.de — 2003-2012
13.08.2012 09:41
SAML für SSO unsicherer als gedacht (Druckansicht)
http://www.computerwoche.de/_misc/article/articleprintpopup/index.c...
RUB-Forscher
SAML für SSO unsicherer als gedacht
Datum:
Autor(en):
URL:
10.08.2012
Thomas Cloer
http://www.computerwoche.de/2520100
Bochumer Forscher haben die in vielen Single-Sign-On-Systemen
g
g
(SSO) verwendete SAML-Signatur
(Security Assertion Markup Language) ausgehebelt.
Tagtäglich fordern viele unterschiedliche IT-Systeme den Nutzer auf, sich immer wieder über Benutzername und
Passwort zu identifizieren. Beim sogenannten Single Sign-On weist sich der Nutzer genau einmal aus, alle weiteren
Authentifizierungen erfolgen automatisch. Diese Einmal-Anmeldung sei längst nicht so sicher ist wie bislang
1
angenommen, erklären nun Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum
(RUB) - ungefähr 80 Prozent der untersuchten Systeme wiesen demnach massive Sicherheitslücken auf.
2
Viele SSO-Systeme setzen auf die weit verbreitete Security Assertion Markup Language (SAML) . Die
Identitätsinformationen werden dabei in einer SAML-Nachricht gespeichert und durch eine digitale Signatur
geschützt. Die Bochumer Forscher fanden einen Weg, diesen Schutz zu umgehen. "Mit einem neuartigen
XML-Signature-Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett
ausgehebelt", sagt Professor Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. Dadurch habe man sich
jede beliebige Identität aneignen und sogar als Systemadministrator ausgeben können.
Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen zwölf kritische Lücken
auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce, das IBM "DataPower Security Gateway", "Onelogin"
(benutzt in Joomla, Wordpress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und
OpenSAML).
Die betroffenen Firmen beziehungsweise Anbieter wurden umgehend kontaktiert und Gegenmaßnahmen
vorgeschlagen; die Schwachstellen sind mittlerweile entfernt. Heute stellt Juraj Somorovsky vom Lehrstuhl für Netzund Datensicherheits die Ergebnisse beim USENIX Security Symposium in Washington vor. Das Paper ist bereits im
3
Internet veröffentlicht unter http://www.nds.rub.de/research/publications/BreakingSAML .
Links im Artikel:
1
http://idw-online.de/de/news491524
2
http://de.wikipedia.org/wiki/Security_Assertion_Markup_Language
3
http://www.nds.rub.de/research/publications/BreakingSAML
IDG Business Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen
Zustimmung der IDG Business Media GmbH. DPA-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch
wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass in Computerwoche unzutreffende Informationen
veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des
Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und
Illustrationen. Für Inhalte externer Seiten, auf die von Computerwoche aus gelinkt wird, übernimmt die IDG Business Media GmbH keine
Verantwortung.
1 von 2
13.08.2012 07:58
Südwest Presse vom 13.08.2012
Autor:
Seite:
DIRK AVERESCH, DPA
24
Gattung:
Auflage:
Ressort:
Ulm und Neu-Ulm
Reichweite:
Tageszeitung
304.213 (verbreitet)
0,85 (in Mio.)
Sorglose Mac-Nutzer
Umstrittener Virenschutz für Apple-Computer - Programme schneiden im Test nicht gut ab
Ein Virenschutz für Apple-Computer ist unnötig - hieß es. Ein Mac-Trojaner hat diese Ansicht
jedoch geändert. Apple-Nutzer sind nachhaltig verunsichert.
Flashback-Trojaners für ihre Mac-Scanner trommeln.
werden sollten.
Hätten Virenscanner den Trojaner stoppen können? Wohl kaum. Am Markt
gibt es ein Dutzend Mac-Virenscanner.
Sechs davon, die auch Echtzeitschutz
bieten, hat die Zeitschrift "Mac&i" mit
einer im April eingefrorenen Schädlingsauswahl getestet. Die Programme
durften sich sogar bis Mitte Mai aktualiWörter:
371
sieren und erzielten trotzdem nur ein
"enttäuschendes" Ergebnis. "Keiner
erkannte alle Mac-Viren, obwohl die
Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen
Vorsprung und viele Viren schon Jahre
auf dem Buckel hatten", lautet das Fazit
der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten.
Schädlinge.
und mehr ist das weit entfernt. Auch bei
der Verhaltenserkennung von Schädlingen und der Phishing-Abwehr schnitten
die Programme nicht besonders gut ab.
Das Bundesamt für Sicherheit in der
Informationstechnik (BSI) hält MacVirenscanner derzeit ohnehin für verzichtbar. "Aus unserer Sicht ist das
angesichts der Bedrohungslage nicht
notwendig", sagt Tim Griese vom BSI.
Für Mac-Nutzer gilt: nicht gleich jeden
Mailanhang öffnen. Anwendungen und
"Flashback hat gezeigt, dass auch Mac
OS X angreifbar ist", sagt Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität
Und wenn es Angriffe auf das
Bochum. U
Apple-Betriebssystem gibt, treffen sie
oft Unvorbereitete: "Die typischen MacNutzer sind vermutlich ein wenig sorgloser. Nicht auf alles klicken und ein
Holz.
XML-Signature-Wrapping-Angriffe hebeln digitale Signatur aus - Sich...
http://www.dv-dialog.de/nc/home/newsdetails/article/sicherheitsluecke...
Home
Software
SIE SIND HIER:
Infrastruktur
HOME
IT-Anwendungen
Aktuelle Ausgabe
Organisation
Specials
Media
Newsletter
Abo
IT-Markt
Archiv
Verlag
Kontakt
Termine
Impressum
Trends
NEWSDETAILS
13.08.2012
SICHERHEIT
ANZEIGE
Von: Berthold Wesseler
XML-Signature-Wrapping-Angriffe hebeln digitale Signatur aus
SICHERHEITSLÜ
SICHERHEITSLÜCKE
BEI SINGLE-SIGN-ON
GESCHLOSSEN
Bochumer Forscher haben beim „Single-Sign-on“ mit der Security Assertion Markup
Language (SAML) ein Sicherheitsproblem entdeckt und gemeinsam mit den betroffenen
Anbietern behoben.
ANZEIGE
Bei 11 von 14 untersuchten Systemen, mit denen sich User durch einmaliges
Login für mehrere Dienste und Anwendungen anmelden können, lässt sich die
digitale Signatur aushebeln, meldete das Forscherteam rund um Professor Jörg
Schwenk vom Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum.
„Mit einem neuartigen XML-Signature-Wrapping-Angriff haben wir sämtliche
Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt”, berichtet
Schwenk. So habe man sich jede beliebige Identität aneignen können, sogar die
eines Systemadministrators.
Zu den verwundbaren Systemen zählen die CRM-Software Salesforce, das IBM
Datapower Security Gateway XS40, das Framework Open SAML und das Open
Source-Toolkit Onelogin, das z.B. von Joomla, SugarCRM und Drupal benutzt
wird.
WEB-SPECIAL DELL
MEISTGELESENE ARTIKEL
Virtualisierung im Mittelstand
UNTERNEHMEN SCHÄTZEN DIE VORTEILE
VIRTUELLER SERVER
Bladeserver
HIGHEND-SYSTEME FÜR WEB UND SAP
Bereitstellung und Konfiguration
SOFORT EINSATZBEREITE SYSTEME
IT-MARKT
54 Prozent der deutschen Unternehmen kaufen im
Internet ein
E-COMMERCE FEST ETABLIERT
www.nds.rub.de/research/publications/BreakingSAML/
Bildquelle: Gerd Altmann / pixelio.de
Innovative Abschlussarbeiten gesucht
DNUG-HOCHSCHULWETTBEWERB 2012
In Verbindung stehende Artikel:
Höhere Datensicherheit dank Single Sign On - 04.07.2012 11:56
CHG-Meridian AG erweitert Vorstand
NEUE KRÄFTE FÜR DIE SPITZE
Single-Sign-On für mehr Datensicherheit - 29.02.2012 17:05
Kantara-Initiative will globale Identitätslandschaft neu gestalten - 22.06.2009 18:01
IT-Messe Stuttgart setzt verstärkt auf CRM und ERP
BUSINESS-IT IM RAMPENLICHT
Identitätsmanagement und Single Sign-On - 03.01.2007 10:53
Vom Schnittstellenbauer zum DruckserviceExperten
20 JAHRE CSP
« Home
ANZEIGE
ANZEIGE
IBM meldet Erfolge mit dem Auslagern von
IT-Infrastruktur und Software
CITY CLOUD WÄCHST SCHNELLER ALS
GEPLANT
Microsofts Preview auf Office 2013
OFFICE AS A SERVICE
AKTUELLE AUSGABE
1 von 4
NEWSLETTER
ARCHIV
14.08.2012 08:43
Sicherheitslücken in Anmeldesystemen - Online PC Magazin
1 von 2
Abobestellung ¦
Home
Archiv ¦
Download ¦
Leseraktionen ¦
http://www.onlinepc.ch/index.cfm?page=104029&artikel_id=34651
Newsletter ¦
Testberichte ¦
Suche auf
www.onlinepc.ch
Newsticker
News
How to deploy SSO
Testberichte
Aktuelle Ausgabe
Tipps & Tricks ¦
The 7 golden rules for a successful SSO project.
www.evidian.com
Leserservice
Weiterbildung
Job-Monster
Publireportage
15.08.2012
Sicherheitslücken in Anmeldesystemen
Aboservice
Wissenschaftler der Ruhr-Universität Bochum haben Single-Sign-on-Systeme auf
Newsletter
mögliche Sicherheitsanfälligkeiten hin untersucht. Die Mehrheit der Systeme
konnte durch XML-Signature-Wrapping (XSW) gehackt werden.
Mediadaten
Über Online PC
Kino- und Filmtrailer
Techvideos
Jetzt am Kiosk!
Wer im Internet viele unterschiedliche Dienste nutzt, benötigt eine
entsprechende Menge Benutzernamen und Kennwörter. Das ist lästig, und etliche
Nutzer verwenden daher überall die gleichen Login-Informationen, was aber als
nicht besonders sicher gilt. Mehr Komfort versprechen Single-Sign-on-System
(SSO). Hier muss sich ein Nutzer nur einmal am zentralen SSO-System
anmelden und authentifizieren. Danach kann er sich in alle Systeme und
Anwendungen einloggen, für die sein Account eine Berechtigung hat. Ein SSO
muss besonders hohen Sicherheitsanforderungen genügen. Denn wenn es
geknackt wird, hat ein Angreifer auf einen Schlag Zugriff auf alle damit
verbundenen Konten.
Webcode
Domainsuche
Jetzt Ihre Wunschdomain
schnell & einfach finden!
wunschdomain.ch
Bereitgestellt durch Hoststar
Gratis: USB-Tischventilator
Inhaltsverzeichnis
Das kühle Lüftchen für Ihren
Arbeitsplatz!
Zum Angebot geht es hier
Google-Anzeigen
SSO
SSO Security
SSO F d
i
Offenbar sind die Systeme bei weitem nicht so sicher, wie bisher vermutet. Nach �
Untersuchungen der Ruhr-Universität Bochum konnten zwölf von vierzehn Single
Sign-On-Systeme über XML-Signature-Wrapping gehackt werden. Die
Wissenschaftler konnten sich bei beliebigen Konten anmelden und sogar
administrativen Zugang erhalten. Anfällig für diese noch relativ neue
Angriffsmethode sind unter anderem der Clouddienst Salesforce, das IBM
DataPower Security Gateway, Onelogin und das Framework OpenSAML. Diese
SSO-Systeme werden von zahlreichen Angeboten im Internet genutzt, die
beispielsweise die Content Management Systeme (CMS) Joomla, Wordpress oder
Drupal einsetzen.
giveaway-discount.com
Komplettpreis inkl.
Werbe-Druck zB: 1000
Gummibärchen-Werbetüten
199,www.giveaway-discount.com
Kurz nach Entdeckung der Anfälligkeiten haben die Wissenschaftler die
betroffenen Herstellerfirmen und Projekte benachrichtigt. Inzwischen wurden
entsprechende Gegenmassnahmen eingeleitet und die Sicherheitslücken in den
Produkten geschlossen. Juraj Somorovsky von der RUB hat ausserdem die
Renditestark mit Edelholz
Ökologisch und
� börsenunabhängig.
Top-Renditen bis zu 12% p.a.
und mehr.
Jetzt anlegen »
KommunikationsleiterIn
Erfahrene Dozenten
unterrichten Sie
praxisbezogen. Lehrgangsstart
am 17.10. Hier anmelden!
sawi.com/kommunikationsleiter
Ergebnisse der Untersuchungen auf dem 21. USENIX Security Symposium in
Bellevue, in Washington (USA) vorgestellt.
Bereits im Mai 2012 hatten Experten der Indiana University Bloomington und von
Microsoft Research die Sicherheit einiger kommerzieller SSO-Systeme
untersucht. Darunter waren populäre Dienste und Produkte wie OpenID
(GoogleID, Paypal Access), Facebook und JanRain. Auch bei dieser Untersuchung
wurden mehrere Sicherheitslücken gefunden, die die Unternehmen dann auf
Anregung der Wissenschaftler geschlossen haben. (ph/com!)
Zum Newsticker
Kostenlosen Newsletter abonnieren
Kommunikationsplaner
Ausbildung mit
hervorragendem Ruf.
Lehrgangsstart im Oktober in
BE & ZH. Jetzt anmelden!
sawi.com/kommunikationsplaner
RSS-Feed buchen
15.08.2012 11:57
Sicherheitslücken in Anmeldesystemen - Online PC Magazin
2 von 2
http://www.onlinepc.ch/index.cfm?page=104029&artikel_id=34651
Möchten Sie diesen Artikel an einen Freund senden?
Absender-Emailadresse
Absendername
Empfänger-Emailadresse
Kommentar
Impressum | Datenschutzerklärung | Mediadaten
WEITERE PORTALE DER NEUEN MEDIENGESELLSCHAFT ULM MBH
APPSUNDCO.DE | COM-MAGAZIN.DE | INTERNETWORLD.DE | MOBILE-DEVELOPER.DE | MOBILE-NEXT.DE |
REPUTEER.DE | SPORTONLINE.DE | TELECOM-HANDEL.DE | WEB-DEVELOPER.DE
15.08.2012 11:57
XML-Signature-Wrapping-Angriffe hebeln digitale Signatur aus - Sich...
http://www.dv-dialog.de/nc/home/newsdetails/article/sicherheitsluecke...
Home
Software
SIE SIND HIER:
Infrastruktur
HOME
IT-Anwendungen
Aktuelle Ausgabe
Organisation
Specials
Media
Newsletter
Abo
IT-Markt
Archiv
Verlag
Kontakt
Termine
Impressum
Trends
NEWSDETAILS
13.08.2012
SICHERHEIT
ANZEIGE
Von: Berthold Wesseler
XML-Signature-Wrapping-Angriffe hebeln digitale Signatur aus
SICHERHEITSLÜCKE BEI SINGLE-SIGN-ON
GESCHLOSSEN
Bochumer Forscher haben beim „Single-Sign-on“ mit der Security Assertion Markup
Language (SAML) ein Sicherheitsproblem entdeckt und gemeinsam mit den betroffenen
Anbietern behoben.
ANZEIGE
Bei 11 von 14 untersuchten Systemen, mit denen sich User durch einmaliges
Login für mehrere Dienste und Anwendungen anmelden können, lässt sich die
digitale Signatur aushebeln, meldete das Forscherteam rund um Professor Jörg
Schwenk vom Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum.
„Mit einem neuartigen XML-Signature-Wrapping-Angriff haben wir sämtliche
Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt”, berichtet
Schwenk. So habe man sich jede beliebige Identität aneignen können, sogar die
eines Systemadministrators.
Zu den verwundbaren Systemen zählen die CRM-Software Salesforce, das IBM
Datapower Security Gateway XS40, das Framework Open SAML und das Open
Source-Toolkit Onelogin, das z.B. von Joomla, SugarCRM und Drupal benutzt
wird.
WEB-SPECIAL DELL
Barbara Wittmann, Dell Deutschland
AUS WENIGER WIRD MEHR
Bladeserver
HIGHEND-SYSTEME FÜR WEB UND SAP
Bereitstellung und Konfiguration
SOFORT EINSATZBEREITE SYSTEME
IT-MARKT
54 Prozent der deutschen Unternehmen kaufen im
Internet ein
E-COMMERCE FEST ETABLIERT
www.nds.rub.de/research/publications/BreakingSAML/
Bildquelle: Gerd Altmann / pixelio.de
Innovative Abschlussarbeiten gesucht
DNUG-HOCHSCHULWETTBEWERB 2012
In Verbindung stehende Artikel:
CHG-Meridian AG erweitert Vorstand
NEUE KRÄFTE FÜR DIE SPITZE
Höhere Datensicherheit dank Single Sign On - 04.07.2012 11:56
Single-Sign-On für mehr Datensicherheit - 29.02.2012 17:05
IT-Messe Stuttgart setzt verstärkt auf CRM und ERP
BUSINESS-IT IM RAMPENLICHT
Kantara-Initiative will globale Identitätslandschaft neu gestalten - 22.06.2009 18:01
Identitätsmanagement und Single Sign-On - 03.01.2007 10:53
Vom Schnittstellenbauer zum DruckserviceExperten
20 JAHRE CSP
« Home
ANZEIGE
IBM meldet Erfolge mit dem Auslagern von
IT-Infrastruktur und Software
CITY CLOUD WÄCHST SCHNELLER ALS
GEPLANT
ANZEIGE
Microsofts Preview auf Office 2013
OFFICE AS A SERVICE
AKTUELLE AUSGABE
1 von 4
NEWSLETTER
ARCHIV
15.08.2012 11:59
Sicherheitslücken in Anmeldesystemen | com! - Das Computer-Magazin
1 von 1
http://www.com-magazin.de/index.php?id=204&type=98&tx_ttnews[t...
Sicherheitslücken in Anmeldesystemen
14.08.2012 Wissenschaftler der Ruhr-Universität Bochum haben Single-Sign-on-Systeme auf mögliche
Sicherheitsanfälligkeiten hin untersucht. Die Mehrheit der Systeme konnte durch XML-SignatureWrapping (XSW) gehackt werden.
Weiter >>
Wer im Internet viele unterschiedliche Dienste nutzt, benötigt eine
entsprechende Menge Benutzernamen und Kennwörter. Das ist lästig,
und etliche Nutzer verwenden daher überall die gleichen LoginInformationen, was aber als nicht besonders sicher gilt. Mehr Komfort
versprechen Single-Sign-on-System (SSO). Hier muss sich ein Nutzer
nur einmal am zentralen SSO-System anmelden und authentifizieren.
Danach kann er sich in alle Systeme und Anwendungen einloggen, für
die sein Account eine Berechtigung hat. Ein SSO muss besonders
hohen Sicherheitsanforderungen genügen. Denn wenn es geknackt
wird, hat ein Angreifer auf einen Schlag Zugriff auf alle damit verbundenen Konten.
Offenbar sind die Systeme bei weitem nicht so sicher, wie bisher vermutet. Nach Untersuchungen der
Ruhr-Universität Bochum konnten zwölf von vierzehn Single Sign-On-Systeme über XML-SignatureWrapping gehackt werden. Die Wissenschaftler konnten sich bei beliebigen Konten anmelden und sogar
administrativen Zugang erhalten. Anfällig für diese noch relativ neue Angriffsmethode sind unter
anderem der Clouddienst Salesforce, das IBM DataPower Security Gateway, Onelogin und das Framework
OpenSAML. Diese SSO-Systeme werden von zahlreichen Angeboten im Internet genutzt, die
beispielsweise die Content Management Systeme (CMS) Joomla, Wordpress oder Drupal einsetzen.
Kurz nach Entdeckung der Anfälligkeiten haben die Wissenschaftler die betroffenen Herstellerfirmen und
Projekte benachrichtigt. Inzwischen wurden entsprechende Gegenmaßnahmen eingeleitet und die
Sicherheitslücken in den Produkten geschlossen. Juraj Somorovsky von der RUB hat außerdem die
Ergebnisse der Untersuchungen auf dem 21. USENIX Security Symposium in Bellevue, in Washington
(USA) vorgestellt.
Bereits im Mai 2012 hatten Experten der Indiana University Bloomington und von Microsoft Research die
Sicherheit einiger kommerzieller SSO-Systeme untersucht. Darunter waren populäre Dienste und
Produkte wie OpenID (GoogleID, Paypal Access), Facebook und JanRain. Auch bei dieser Untersuchung
wurden mehrere Sicherheitslücken gefunden, die die Unternehmen dann auf Anregung der
Wissenschaftler geschlossen haben.
rd, 14.08.2012 - Rubrik(en): Sicherheit, Datenschutz, Internet
Neue Mediengesellschaft Ulm mbH | Bayerstr. 16a | D-80335 München
Telefon: +49 89 74 117-0 | Telefax: +49 89 74 117-132
Email: [email protected] | Internet: www.com-magazin.de
15.08.2012 12:01
Buergerstimmen.de aus Göttingen - Bochumer Informatiker h...
2 von 6
http://www.buergerstimmen.de/wirtschaft/wirtschaft_635.htm
Meldung gesetzt von ~ Dr. Dieter Porth --- <<< Vorheriges --- >>> Zukünftiges --- Weitere Links unter Ticker, Historie oder Startseite
Themenlisten: ~ erzählen ~ berichten ~ Wirtschaft ~ Hochschule ~ irgendwo ~ Universität ~
Bookmark setzen ɛ Netzsicherheit
Bochumer Informatiker häckten sich bei Cloud-Anbietern ein
13.08.2012
Um dem Nutzer der Cloud-Datendiensten den Zugang zu erleichtern, wurde der Industriestandard des Single Sign-On eingeführt. Wenn ein Angreifer
diese Hürde ersteinmal überwunden hat, kann er auf sämtliche Daten zugreifen, die mit dem Generalschlüssel des Single Sign-Ons zugänglich sind. Den
Informatikern der Ruhr-Universität Bochum ist es nun mit einer neuartigen Cyber-Angriffsstrategie
f
gelungen, in solchen Systemen Identitäten zu übernehmen.
Sie konnten sogar mit ihrer Technik neue Systemadministratoren erfinden und so den Zugriff auf alle Daten erhalten. Bei zwölf von vierzehn überprüften
bekannten Cloud-Anbietern wurden kritische Sicherheitslücken entdeckt. Die Forscher haben die Unternehmen kontaktiert und ihnen auch
Sicherheitsvorschläge unterbreitet. Beigefügt ist eine ältere Meldung zu einer Umfrage der BITKOM zum Thema Cloud-Computing. Danach nutzt gut jedes
vierte Unternehmen in Deutschland schon Cloud-Dienste. Gut jedes zwanigste Unternehmen nutzt das sogenannte Public Cloud, bei der das Unternehmen zur
Nutzung ihrer Daten auch die Software des Cloud-Anbieters nutzen muss.
[Cloud (engl.: Wolke als Substantiv oder verschleiern als Verb) spricht sich im Deutschen wie "klaut". Die Meldung zeigt, dass Daten im Internet niemals 100%
geheim und sicher bleiben. Jeder sollte sich wirklich überlegen, wie abhängig er oder sie sich von wildfremden Menschen und fremden Unternehmen machen
will. Dr. Dieter Porth]
Emailnachricht: Kontaktlink zu Ruhr-Universität Bochum (RUB) [ Homepage ]
(Info zur Meldung am 10.8.12 – Link zur Meldung beim Informationsdienst Wissenschaft (IDW) – Link zur Originalmeldung bei der Ruhr Universität Bochum)
Webshops, Cloud Computing, Online-Banking: Tagtäglich fordern viele unterschiedliche IT-Systeme den Nutzer auf, sich immer wieder über
Benutzername und Passwort zu identifizieren. Als praktisches Mittel gegen die Flut von Mehrfachanmeldungen gilt das so genannte "Single
Sign-On". Hier weist sich der Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen automatisch. Dass die Einmal-Anmeldung
jedoch längst nicht so sicher ist wie bislang angenommen, zeigen jetzt Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität
Bochum: Ungefähr 80 Prozent der untersuchten Systeme wiesen massive Sicherheitslücken auf.
15.08.2012 07:35
Buergerstimmen.de aus Göttingen - Bochumer Informatiker h...
3 von 6
http://www.buergerstimmen.de/wirtschaft/wirtschaft_635.htm
Das "Single Sign-On"-Verfahren, kurz SSO, kann mit einem gut bewachten Tor verglichen werden, das die sensiblen Firmendaten schützt: Wer den
Eingang einmal passiert hat, kann auf alle Informationen und Dienste zugreifen, denn er gilt als angemeldet und zugriffsberechtigt. Viele
SSO-Systeme setzen auf die weit verbreitete Security Assertion Markup Language (SAML). Die Identitätsinformationen werden in einer
SAML-Nachricht gespeichert und durch eine digitale Signatur geschützt. Doch die Bochumer Forscher fanden einen Weg, diesen Schutz zu
umgehen.
"Mit einem neuartigen XML Signature Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt",
berichtet Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. "Dadurch konnten wir uns jede beliebige Identität aneignen und uns
sogar als Systemadministratoren ausgeben". Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen 12
kritische Lücken auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce, das IBM DataPower Security Gateway, Onelogin (benutzt in
Joomla, Wordpress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML).
"Nachdem wir die Sicherheitslücken entdeckt hatten, kontaktierten wir umgehend die betroffenen Firmen und schlugen Gegenmaßnahmen vor",
berichtet der Sicherheitsexperte und externe Doktorand Andreas Mayer (Adolf Würth GmbH & Co. KG). "Durch die professionelle
Zusammenarbeit mit den Herstellern konnten die kritischen Schwachstellen in den betroffenen Produkten geschlossen werden", ergänzt Juraj
Somorovsky vom Lehrstuhl für Netz- und Datensicherheit.
Ergebnisvorschau
Am 10. August 2012 stellt Juraj Somorovsky die Ergebnisse auf dem 21. USENIX Security Symposium in Bellevue, Washington (USA) vor. Das
Paper ist im Internet veröffentlicht unter:
http://www.nds.rub.de/research/publications/BreakingSAML
(Email vom 7.3.12)
Repräsentative Unternehmensbefragung "Cloud-Monitor 2012"
Jeder vierte User pflegt Terminkalender und Adressen online
Hannover, 7. März 2012 - Gut ein Viertel (28 Prozent) aller Unternehmen in Deutschland nutzt Cloud Computing. Vorreiter beim Einsatz dieser
neuen Technologie sind u.a. Finanzdienstleister. Größere Unternehmen nutzen Cloud Computing überdurchschnittlich häufig. Dabei haben rund
zwei Drittel aller Nutzer mit der Cloud positive Erfahrung gemacht. Das hat der "Cloud Monitor 2012" von KPMG und BITKOM ergeben. Die
repräsentative Unternehmensbefragung ist zum ersten Mal durchgeführt worden und wird bis 2015 jährlich wiederholt. "Zwar stehen einige
Unternehmen Cloud Computing noch skeptisch gegenüber. Doch diejenigen, die bereits Erfahrungen mit Cloud Computing gemacht haben, sind in
der Regel durchweg zufrieden", sagte BITKOM-Präsident Prof. Dieter Kempf bei der Präsentation der Studie auf der CeBIT.
Beim Cloud Computing kann fast die gesamte Palette von IT-Leistungen über Netze (meist über das Internet) bereitgestellt werden, und zwar je
nach aktuellem Bedarf. Der Nutzer erhält seine IT-Leistungen in dem Maße und dem Moment, wie und wo er sie anfordert – bezahlt wird nach
Nutzung.
Die weit überwiegende Zahl der Cloud-Nutzer setzt derzeit auf so genannte Private Clouds. 27 Prozent der Unternehmen nutzen diese Form des
Cloud Computings, weitere 21 Prozent haben in diesem Bereich konkrete Investitionspläne für die kommenden 2 Jahre. Private Clouds sind quasi
unternehmenseigen und können vom Unternehmen selbst oder von einem externen Dienstleister betrieben werden. Fast zwei Drittel der Nutzer
beurteilen ihre Erfahrungen mit der Cloud als positiv.
Nur 6 Prozent der Unternehmen nutzen schon eine Public Cloud. Hier werden ITK-Leistungen von einem externen Dienstleister über das
öffentliche Internet bezogen. Daten und Anwendungen der verschiedenen Kunden werden zwar logisch getrennt, aber auf denselben physischen
Rechnern gespeichert. "Public Clouds spielen im Unternehmensalltag bislang eine untergeordnete Rolle. Hauptgrund dafür ist die Angst vor
Datenverlust", sagte Kempf. Dabei zeigen die Erfahrungen der Nutzer, dass diese Angst weitgehend unbegründet ist. Vier von fünf Nutzern der
Public Cloud haben positive Erfahrungen gesammelt. Zu den wichtigsten positiven Auswirkungen der Public-Cloud-Nutzung zählen eine höhere
Flexibilität der IT-Leistungen (80 Prozent der Nutzer), eine höhere Innovationsfähigkeit (70 Prozent) sowie die bessere Performance der
IT-Leistungen und der mobile Zugriff auf die IT (60 Prozent).
Bruno Wallraf, Partner bei KPMG, sagte: "Unsere Umfrage zeigt, dass viele Unternehmen beim Thema Cloud Computing noch etwas unsicher und
unentschlossen sind. Diejenigen, die bereits derartige Anwendungen nutzen, berichten fast ausschließlich von positiven Erfahrungen. Deshalb
dürfte sich Cloud Computing schon bald weiter etablieren, zumal die Bandbreiten und das entsprechende Angebot an Dienstleistungen stark
15.08.2012 07:35
Sicherheitslücken in Anmeldesystemen | com! - Das Computer-Magazin
2 von 3
http://www.com-magazin.de/sicherheit/news/detail/artikel/sicherheitsl...
Offenbar sind die Systeme bei weitem nicht so sicher, wie bisher vermutet. Nach Untersuchungen der Ruhr-Universität Bochum konnten
zwölf von vierzehn Single Sign-On-Systeme über XML-Signature-Wrapping gehackt werden. Die Wissenschaftler konnten sich bei
beliebigen Konten anmelden und sogar administrativen Zugang erhalten. Anfällig für diese noch relativ neue Angriffsmethode sind unter
anderem der Clouddienst Salesforce, das IBM DataPower Security Gateway, Onelogin und das Framework OpenSAML. Diese
SSO-Systeme werden von zahlreichen Angeboten im Internet genutzt, die beispielsweise die Content Management Systeme (CMS)
Joomla, Wordpress oder Drupal einsetzen.
Kurz nach Entdeckung der Anfälligkeiten haben die Wissenschaftler die betroffenen Herstellerfirmen und Projekte benachrichtigt.
Inzwischen wurden entsprechende Gegenmaßnahmen eingeleitet und die Sicherheitslücken in den Produkten geschlossen. Juraj
Somorovsky von der RUB hat außerdem die Ergebnisse der Untersuchungen auf dem 21. USENIX Security Symposium in Bellevue, in
Washington (USA) vorgestellt.
Bereits im Mai 2012 hatten Experten der Indiana University Bloomington und von Microsoft Research die Sicherheit einiger kommerzieller
SSO-Systeme untersucht. Darunter waren populäre Dienste und Produkte wie OpenID (GoogleID, Paypal Access), Facebook und JanRain.
Auch bei dieser Untersuchung wurden mehrere Sicherheitslücken gefunden, die die Unternehmen dann auf Anregung der Wissenschaftler
geschlossen haben.
rd, 14.08.2012 - Rubrik(en): Sicherheit, Datenschutz, Internet
News-Suche
com! Newsfeeds
com! - Tipps
com! - Sicherheits-News
com! - Praxis
Advertorials
Archiv
August 2012
Juli 2012
Juni 2012
Mai 2012
April 2012
März 2012
Februar 2012
Januar 2012
Dezember 2011
November 2011
Oktober 2011
September 2011
August 2011
Juli 2011
Juni 2011
Mai 2011
April 2011
März 2011
Februar 2011
Januar 2011
Dezember 2010
November 2010
Oktober 2010
September 2010
August 2010
Juli 2010
Juni 2010
Mai 2010
April 2010
März 2010
Februar 2010
Januar 2010
Dezember 2009
November 2009
Oktober 2009
September 2009
15.08.2012 07:53
Druckversion
1 von 1
http://www.aachener-zeitung.de/sixcms/detail.php?template=az_druck...
DRUC K E N
Von Thomas Cloer |
13.08.2012, 10:41
Aachen. Bochumer Forscher haben die in vielen Single-Sign-On-Systemen (SSO) verwendete
SAML-Signatur (Security Assertion Markup Language) ausgehebelt.
Tagtäglich fordern viele unterschiedliche IT-Systeme den Nutzer auf, sich immer wieder über
Benutzername und Passwort zu identifizieren. Beim sogenannten Single Sign-On weist sich der
Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen automatisch. Diese
Einmal-Anmeldung sei längst nicht so sicher ist wie bislang angenommen, erklären nun
Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum (RUB) ungefähr 80 Prozent der untersuchten Systeme wiesen demnach massive Sicherheitslücken
auf.
Viele SSO-Systeme setzen auf die weit verbreitete Security Assertion Markup Language
(SAML). Die Identitätsinformationen werden dabei in einer SAML-Nachricht gespeichert und
durch eine digitale Signatur geschützt. Die Bochumer Forscher fanden einen Weg, diesen
Schutz zu umgehen. «Mit einem neuartigen XML-Signature-Wrapping-Angriff haben wir
sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt», sagt Professor
Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. Dadurch habe man sich jede
beliebige Identität aneignen und sogar als Systemadministrator ausgeben können.
Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen
zwölf kritische Lücken auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce, das
IBM «DataPower Security Gateway», «Onelogin» (benutzt in Joomla, Wordpress, SugarCRM
und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML).
Die betroffenen Firmen beziehungsweise Anbieter wurden umgehend kontaktiert und
Gegenmaßnahmen vorgeschlagen; die Schwachstellen sind mittlerweile entfernt. Heute stellt
Juraj Somorovsky vom Lehrstuhl für Netz- und Datensicherheits die Ergebnisse beim USENIX
Security Symposium in Washington vor. Das Paper ist bereits im Internet veröffentlicht unter
http://www.nds.rub.de/research/publications/BreakingSAML.
© IDG / In Zusammenarbeit mit computerwoche.de
www.az-web.de/sixcms/detail.php?template=az_detail&id=2639651
15.08.2012 07:55
Be whoever
you want to be! | e! Science News
-X C h a n
F
http://esciencenews.com/articles/2012/08/15/be.whoever.you.want.be
-X C h a n
PD
F
ge
W
O
N
y
bu
.d o
m
w
.c
o
.c
lic
k
to
c u -tr a c k
C
m
e! Science News
o
.d o
w
w
w
w
w
C
lic
k
to
bu
y
N
O
W
!
ge
!
PD
c u -tr a c k
Be whoever you want to be!
Published: Wednesday, August 15, 2012 - 10:41
Online shopping, cloud computing, online CRM systems: Each day many IT systems require the user to identify
himself/herself. Single Sign-On (SSO) systems were introduced to circumvent this problem, and to establish
structured Identity Management (IDM) systems in industry: Here the user only has to identify once, all subsequent
authentications are done automatically. However, SSO systems based on the industry standard SAML have huge
vulnerabilities: Roughly 80 percent of these systems could be broken by the researchers from Ruhr-Universität
Bochum. Protection through digital signatures
Single Sign-On (SSO) can be compared to a well guarded door, which protects sensitive company data: Once you
have passed this door, you can access all data. Many industry SSO systems are built on the basis of the Security
Assertion Markup Language (SAML). Identity information is stored in a SAML message, protected by a digital
signature. Researchers from Bochum were able to circumvent this protection completely in 12 out of 14 SAML
systems.
Security functions circumvented
"With novel XML Signature Wrapping techniques we were able to circumvent these digital signatures completely,"
says Prof. Jörg Schwenk from Ruhr-Universität. "Thus we could impersonate any user, even system
administrators." Amongst the 12 affected systems were the SaaS Cloud provider Salesforce, the IBM Datapower
security gateway, Onelogin (could e.g. be used as an optional module in Joomla, Wordpress, SugarCRM, or
Drupal) and OpenSAML (used e.g. in Shibboleth, and SuisseID, and OpenSAML).
"After we found the attacks, we immediately informed the affected companies, and proposed ways to mitigate the
attacks," states security expert and external PhD student Andreas Mayer (Adolf Würth GmbH & Co. KG). "Through
the close cooperation with the responsible security teams, the vulnerabilities are now fixed," Juraj Somorovsky
adds.
Source: Ruhr-Universitaet-Bochum
Check out our next project, Biology.Net
We hope you enjoyed reading this article. Share it with friends, pin it to
a wall or at the very least recycle it! And don't forget, you can always
find more of the same at e! Science News http://www.esciencenews.com
1 von 1
16.08.2012 07:43
1 von 2
http://www.sciencedaily.com/releases/2012/08/120815082713.htm
Web address:
http://www.sciencedaily.com/releases/2012/08/
120815082713.htm
ScienceDaily (Aug. 15, 2012) — Online shopping,
cloud computing, online CRM systems: Each day many
IT systems require the user to identify himself/herself.
Single Sign-On (SSO) systems were introduced to
circumvent this problem, and to establish structured
Identity Management (IDM) systems in industry: Here
the user only has to identify once, all subsequent
authentications are done automatically. However, SSO
systems based on the industry standard SAML have
huge vulnerabilities: Roughly 80 percent of these
systems could be broken by the rresearchers from
Ruhr-Universität Bochum.
enlarge
Single-sign-on. (Credit: Image courtesy of
Ruhr-Universitaet-Bochum)
Protection through digital signatures
Single Sign-On (SSO) can be compared to a well guarded door, which protects sensitive company data:
Once you have passed this door, you can access all data. Many industry SSO systems are built on the
basis of the Security Assertion Markup Language (SAML). Identity information is stored in a SAML
message, protected by a digital signature. Researchers from Bochum were able to circumvent this
protection completely in 12 out of 14 SAML systems.
Security functions circumvented
"With novel XML Signature Wrapping techniques we were able to circumvent these digital signatures
completely," says Prof. Jörg Schwenk from Ruhr-Universität. "Thus we could impersonate any user, even
system administrators." Amongst the 12 affected systems were the SaaS Cloud provider Salesforce, the
IBM Datapower security gateway, Onelogin (could e.g. be used as an optional module in Joomla,
Wordpress, SugarCRM, or Drupal) and OpenSAML (used e.g. in Shibboleth, and SuisseID, and
OpenSAML).
"After we found the attacks, we immediately informed the affected companies, and proposed ways to
mitigate the attacks," states security expert and external PhD student Andreas Mayer (Adolf Würth GmbH
& Co. KG). "Through the close cooperation with the responsible security teams, the vulnerabilities are
now fixed," Juraj Somorovsky adds.
Share this story on Facebook, Twitter, and Google:
Like
3
Tweet
14
0
Other social bookmarking and sharing tools:
16.08.2012 07:46
Landeszeitung für die Lüneburger Heide vom 18.08.2012
Seite:
MAG-7
Auflage:
Gattung:
Tageszeitung
Reichweite:
32.337 (verbreitet)
0,07 (in Mio.)
Im Tal der Sorglosen
Brauchen Macs Virenschutz?
Mac- hinter Windows-Scannern
In einem Test von sechs Mac-Virenscannern der Zeitschrift "Maci" brachte
es der bes-te Prüfling, Kaspersky AntiVirus 2011, auf eine Erkennungsrate
von 82 Prozent. Mit 78 Prozent kaum
schlechter schnitt das kostenlose Sophos
Anti-Virus ab. Verglichen mit Windows-Scannern, die ein Vielfaches an
Schädlingen erkennen müssen und trotzdem Quoten von weit über 90 Pro- zent
Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch Tests stellen den
Programmen kein gutes Zeugnis aus.
Macht nichts, sagen Experten. Man
kann Macs auch weiter ohne Scanner
nutzen - Umsicht vorausgesetzt.
Hunderttausende Macs befallen, die
zum Versenden von Spam-Mails
missbraucht werden sollten. Hätten
Virenscanner den Trojaner stoppen können? Wohl kaum.
Echtzeitschutz bieten, hat die Zeitschrift "Maci" getestet - mit einer im
Ergebnis. "Keiner erkannte alle MacViren, obwohl die Signatur-Updates
gegenüber den Testschädlingen mindeWörter:
674
stens zwei Wochen Vorsprung und viele
Viren schon Jahre auf dem Buckel hatten", lautet das Fazit der Tester. Zum
Flashback geboten.
besonders gut ab.
"Mit offenen Augen und gesundem
gehen." Dazu gehöre zum Beispiel,
wie vor auf diesen "Markt" konzentrieren. Trotzdem: "Flashback hat gezeigt,
dass auch Mac OS X angreifbar ist",
für Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe
auf das Apple-Betriebssystem gibt, treffen sie oft Unvorbereitete: "Die typischen Mac-Nutzer sind vermutlich ein
wenig sorgloser."
des Sicherheitskonzepts. "Sie bietet nie
hundertprozentigen Schutz", sagt der
von Updates sei deshalb auch für MacNutzer Vorsicht im Internet unabdingbar. "Nicht auf alles klicken und ein
Holz.
man es braucht", sagt Tim Griese.
"Maci"-Test aber nur einmal Alarm
schlug. dirk averesch
Internet: http://dpaq.de/dtJZw (Web of
Trust für verschiedene Browser)
iX magazin vom 23.08.2012
Seite:
Gattung:
018
Zeitschrift
Jahrgang:
2012
Nummer:
Auflage:
09
42.188 (verbreitet)
Markt + Trends | Security
Händler lieben Vorkasse und PayPal
Händler lieben Vorkasse und PayPal
Für Händler müssen die Zahlungsmittel ihres Onlineshops vor allem sicher
und wirtschaftlich sein. Kleinere Unternehmen setzen daher am liebsten die
Überweisung per Vorkasse und PayPal
ein. Große Händler favorisieren die Kreditkarte. Zu diesem Ergebnis kommt das
Projekt E-Commerce-Leitfaden in der
Online-Befragung Die Qual der Wahl Wie Online-Händler ihre Zahlungsverfahren auswählen . Weitere Ergebnisse:
Etwa ein Drittel der 297 Teilnehmer differenzieren zwischen Neu- und
Bestandskunden und bieten Neukunden
eine reduzierte Auswahl an Zahlungsmitteln an. Als die drei wichtigsten
Anforderungen nannten die Befragten
die Akzeptanz und Verbreitung des Verfahrens im deutschsprachigen Raum,
Schutz vor Zahlungsausfällen sowie die
Kosten. Kostenloser Download der 34seitigen Studie: www.ecom
merce-leitfaden.de/zvauswahl.
html. Barbara Lange
Logfiles sammeln und auswerten
Wallix, ein auf Privileged-User-Management-Produkte spezialisierter Anbieter mit Sitz in Frankreich, England und
den USA, versucht derzeit, auf dem
deutschen Markt Fuß zu fassen - etwa
Wörter:
405
mit der neuen Version seiner LogBox.
Diese sammelt Logdaten aus verschiedenen Quellen (alle gängigen Betriebssysteme, Businessanwendungen, Server,
Datenbanken, Sicherheitssysteme et
cetera), normalisiert, filtert, indiziert
und archiviert sie oder verarbeitet sie zu
Reports. Außerdem gibt das agentenlos
arbeitende Gerät bei definierten Ereignissen Warnungen in Echtzeit aus. Neu
sind laut Hersteller die Reporting-Möglichkeiten: sechs Berichtsvorlagen für
drei Zeiträume (täglich, wöchentlich,
benutzerdefiniert). Ausgabeformate sind
PDF oder HTML. Außerdem hat Wallix die Verarbeitungsleistung auf 2000
Logs/s erhöht.
Systeme für Single Sign-on geknackt
Forscher der Ruhr-Universität Bochum
(RUB) haben 14 sogenannte SingleSign-on-Systeme auf ihre Sicherheit
überprüft - mit alarmierendem Ergebnis.
Rund 80 Prozent der untersuchten
Systeme, die ein einmaliges Anmelden
bei mehreren IT-Anwendungen oder
Ressourcen ermöglichen, wiesen gravierende Sicherheitslücken auf, lautet das
Ergebnis der Bochumer Forscher.
Die meisten dieser Systeme basieren
auf der Security Assertion Markup Language (SAML), einem XML-Frame-
work, das dem Austausch von Authentifizierungs- und Autorisierungsinformationen dient. Die für die Anmeldung
erforderlichen Informationen sind in
einer SAML-Nachricht gespeichert und
durch eine digitale Signatur geschützt.
Den Bochumer Forschern gelang es mit
einem neuartigen XML-SignatureWrapping-Angriff, diesen Schutz zu
umgehen, berichtete Jörg Schwenk vom
Lehrstuhl für Netz- und Datensicherheit.
Dadurch konnten sich die Forscher jede
beliebige Identität aneignen und sich
sogar als Systemadministratoren ausgeben. Von den 14 getesteten Systemen
erwiesen sich 12 als angreifbar - darunter der Clouddienst Salesforce, das IBM
DataPower Security Gateway, OneLogin (benutzt in Joomla, WordPress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML). Mit den Hinweisen der Forscher konnten die Schwachstellen in den Produkten geschlossen
werden. Die Forschungsergebnisse sind
im Internet veröffentlicht (s. Alle Links
). iX 9/2012
Alle Links: www.ix.de/ix1209018
Mantelbogen X
Bochum X
28.08.2012
Tech
SEARCH IBTIMES
Everyone
y
is Listening:
g How Cheap
p and
Easy Call Monitoring Puts You at Risk
By David Gilbert: Subscribe to David's RSS feed
August 28, 2012 4:06 PM GMT
Spying on telephone calls made by your neighbours or corporate rivals has never been easier - or cheaper - and according
to one security expert this represents a major chink in the security armour of many individuals and companies.
Generally speaking, over the last few years, most people have understood the need to secure their PCs and laptops, whether
that is against malware looking to steal your banking details, or rival companies looking to steal your corporate secrets.
"By now there is no credible corporation around that hasn't secured its IT infrastructure with firewalls, anti-virus software.
[But] voice and mobile devices are the chink in the security armour."
So says Bjoern Rupp, CEO at GSMK Cryptophone which specialises in providing end-to-end encryption of voice and mobile
calls to individuals as well as businesses.
Follow us
Rupp belieeves people stilll work on the assumption
a
that the telephone system
s
is a trusted, governmennt-run entity, ev
ven though
this is no llonger the case.
One of thee main reasons that
t call monito
oring like this iss becoming succh a huge probleem, it that the ccost to interceptt telephone
calls and aattack mobile deevices has decreased enormouusly in the last couple
c
of decades.
"Twenty yyears ago this was
w the preservee of law enforceement agencies,, [using] specialised, expensivee equipment wh
hich could
not be bouught on the openn market. Nowaadays, if you knnow what you are
a doing, you can
c go into an eelectronics shop
p and for
just a few hundred poundds you are in bu
usiness."
ot yet arrived at that level of awareness."
a
While Ruppp says the use of such technollogy is widesprread, "the generral public has no
Larger corrporations, espeecially those reg
gularly targetedd by interested parties
p
and subject to espionagge, have woken up and
understoodd this reality hoowever, but "your average smaall or medium-ssized company has
h no clue how
w dangerous thiis is."
Researcheers Karsten Nohhl and Luca Mellette from Chaoos Computer Cllub recently dem
monstrated for G
German busineess
magazine Wirtschaftswocche how easy an
nd cheaply callls can be interceepted remotely.
All that is needed for a medium-skilled
m
computer
c
hobbyyist to interceptt a mobile phon
ne call is a laptoop, four traditio
onal mobile
phones andd spying softwaare, which is av
vailable on the iinternet. All this is available fo
or a minimal coost of around a few
f
hundred poounds and it haas opened voice interception too a much larger,, mass market where
w
specialistt knowledge is no longer
required.
GSM calls with
h self-built 'IMS
SI' catchers, moobile networks have
h
not
Despite sccientists provingg how it easy it is to intercept G
been able tto stop such atttacks.
"Progress in terms of secuurity in the telecoms world is m
much slower th
han the general IT world, as appplying a fix to mobile and
fixed-line phones will cosst a lot of moneey, which leads to companies not
n carrying outt the work," sayys Rupp.
No easy fiixes
"For somee problems, therre are no easy fixes.
fi
Telephonee interception, the
t only solutio
on to that is endd-to-end encrypttion and
that's someething that has to happen on th
he terminal sidee."
GSMK haas seen the adopption rate of enccrypted handsetts among manag
gement increasee dramatically iin the last 12 months.
m
More and more companiees are supplying
g their employeees with encrypted handsets wh
hich they must use when makiing calls
relating to sensitive comppany informatio
on.
urity systems, by
y adopting betteer encryption sttandards,
From a nettwork point of view, they havee started to impprove their secu
but this is still some way from ideal: "[T
This encryption]] only provides a basic level off security that iis good for protecting an
i Of course thhat encryption can
c never be end
d-to-end when it is provided by
b the
individual from his neighhbour listening in.
networks.""
Rupp addss that if you aree dealing with in
ndustrial espionnage or even go
overnment secreets, then you muust assume thatt the
attacker is sophisticated enough
e
to know
w that when therre is no end-to-end encryption.
m the mobile ph
hone to the basee station is encrrypted, the link from the base sstation to the sw
witching
"Even if thhe first link from
centre is nnot encrypted, annd you just log on to that and iintercept it, and
d boom, there you
y have all the contents."
If you are making a phonne call back to your
y
head officee from abroad, talking
t
about a sensitive piece of corporate in
nformation,
Rupp sayss that without ennd-to-end encry
yption, your com
mpetitors are lik
kely going to be able to snoopp on your conveersations.
The first liine of security needs
n
to happen
n in the phones themselves and
d Kopp believes it is up to each
ch company to "beef
"
up
security," jjust as it is the company's obliigation to protecct their laptops and PCs.
Vulnerablle
Inn another example
p of how vulnerable telecoms networks are,, Ruhr Universityy Bochum in Germany recently demonstrated
that satellite telephony, which was thought to be secure against eavesdropping, can be intercepted.
Researchers cracked the encryption algorithms of the European Telecommunications Standards Institute (ETSI), which is
used globally for satellite telephones, and revealed significant weaknesses.
Rupp also says that telephone interception and monitoring is not the preserve of nosey neighbours or criminals. He says that
in most countries "you must assume that all calls are recorded." With digital storage costs dropping in recent years,
governments the world over are now able to record and store every single phone call.
"It has become really cheap to record everything by default. Any decent intelligence agency can easily afford to record all
calls made in a given year on their local networks - be it mobile or fixed line. The cost is negligible for the budget these
intelligence agencies typically have."
Rupp says that every one of your calls is stored somewhere and it is only a matter of someone accessing it from an archive to
listen back to your conversations.
Most countries use intelligence support systems (ISS) which make life for the analyst a lot easier by filtering out the calls
which might be important.
The first-stage filters monitor call patterns. For example a typical call pattern for an organised crime group would see one
person call five people, then each of those five people call another five people and so on.
Pre-filtering by call data records is then carried out, and once you have a group of 'interesting' calls, speech analysis is done
on them to identify key words. Vocal recognition is not carried out on the whole set of calls as it is still relatively expensive
to do this for such a large sample.
Street
In terms of carrying out surveillance on your neighbours, Rupp says local interception can be extremely cheap, but you do
need to be relatively close to the victim.
"Corporations and governments just need to adopt the same approach that they already apply to other mobile devices, most
notably laptops, notebooks and so on.
"Of course mobile phones these days are computers that happen to fit in a pocket, that have a microphone and a speaker.
They are full blown computers that are subject to the same risks as laptops and desktop computers are."
A criminal will always look for the soft link as the place to attack, and right now, Rupp believes this means mobile phones.
"They [mobile phones] all have access to the corporate email system and they are carried by key individuals in their pockets
all the time."
Rupp says the technology to do voice encryption, message encryption and mobile device security is available. "It's just like in
the early days of email encryption and hard disk encryption, the perception is not yet there to the level it is there now in
laptops, but it is a matter of time."
There is an obvious expense for corporations looking to implement these security measures, but Rupp says compared to the
alternative of losing critical data to a competitor, the cost is much lower.
To report problems or to leave feedback about this article, e-mail: [email protected]
To contact the editor, e-mail: [email protected]
WE RECOMMEND
x
x
x
x
x
Wenger Explains Sahin Snub, Reveals Transfer Target
Iran is Not Crazy, Says Iran-Israel Expert
RIM: BlackBerry Security Not Compromised in India
Telstra Targets 60Pct 4G/LTE Coverage by Mid-2013
Upgrade HTC Desire to Android 4.1.1 Jelly Bean with CyanogenMod 10 [How to
Install]
Radio Bochum : Das Europäische Kompetenzzentrum für IT-Sicherhei...
1 von 1
http://www.radiobochum.de/Lokalnachrichten.592+M52494286e93.0....
LOKALNACHRICHTEN
29.08.2012 15:30 Alter: 16 Stunden
Das Europäische Kompetenzzentrum für IT-Sicherheit eurobits e.
V. mit Beteiligung der Ruhr-Universität Bochum ist als „Ausgewählter Ort 2012“ ausgezeichnet worden. Die
Auszeichnung gehört zum Wettbewerb „365 Orte im Land der Ideen“ und prämiert Projekte, die einen Beitrag
zur Zukunftsfähigkeit der Bundesrepublik Deutschland leisten. Im Kompetenzzentrum für IT-Sicherheit würden
Wissenschaftler aus der universitären Forschung und Ingenieure aus Technologiefirmen eng und örtlich
verbunden zusammen arbeiten und internationale Spitzenforschung betreiben, heißt es vom
Wettbewerbskommitee.
< zurück
< alle Lokalnachrichten anzeigen
Kommentar schreiben
WEITERSAGEN UND KOMMENTIEREN
Bulgarien online
buchen
Buchen Sie Ihren
Bulgarien Urlaub beim
STIFTUNG
WARENTEST-Sieger
www.Bulgarien.holidaycheck…
Billige Reisen
Mallorca
ab-in-de-urlaub.de
nach Mallorca TÜV
geprüft zum
Tiefstpreis buchen!
www.ab-in-den-urlaub.de/M…
Last Minute Reisen
Best Price Angebote &
TÜV geprüft. Beim
mehrfachen Testsieger
buchen!
www.start.de/Last-Minute
Zahnarzt
Wattenscheid
Wir kümmern uns um
Ihr Lächeln Dr. med.
dent. Elisabeth Koster
www.zahnarztpraxis-watten…
Krisenmanagement
Krisenkommunikation,
Lobbying,
Frühwarnsysteme,
Krisenhandbuch
www.advicepartners.de
30.08.2012 07:45
Wie wird man IT-Security-Profi? (Druckansicht)
IT-Sicherheit
Wie wird man IT-Security-Profi?
Datum:
Autor(en):
URL:
04.09.2012
Uta Fendt
In den Bereich IT-Sicherheit fanden viele Informatiker früher über den Quereinstieg. Heute gibt es
spezielle Studiengänge und berufsbegleitende Ausbildungsangebote.
1
Vor der Jahrtausendwende gab es keine Berufe im Bereich IT-Sicherheit , denn die Sicherheit ist ein sehr junges
Spezialgebiet der IT. 1987 wurde das erste Computervirus entdeckt und bereits 1990 behaupteten die ersten
Hersteller von Sicherheitssoftware, dass es kaum noch unbekannte Themen in der IT-Sicherheit gäbe. Im Jahr 2000
meinten die Experten, die IT-Sicherheitslage im Griff zu haben. Die Problematik schien ihrer Meinung nach
ausschließlich an der Schnittstelle zwischen dem Unternehmensnetz und dem Internet zu liegen. 2010 stellte die
2
Industrie ernüchtert fest, dass ihnen die Sicherheitsprobleme über den Kopf wachsen. 2012 markiert "Flame " das
"Versagen der Antivirus-Industrie" - und einen Wendepunkt in der IT-Sicherheit.
Viele IT-Sicherheitsexperten sind durch diese Entwicklungen in ihren Expertenstatus hineingewachsen und haben sich
3
ihr Wissen autodidaktisch angeeignet. Später ergänzten die Fachleute das Wissen durch Weiterbildung .
Bachelor oder Master in IT-Sicherheit
Die ursprünglich vielfältigen Möglichkeiten des Einstiegs in das Thema der IT-Sicherheit haben sich nun auf eine
akademische Ausbildung
g konzentriert. Führte der Weg
g nach der Jahrtausendwende über die Belegung
g g
entsprechender Fächer und Kurse während eines IT-bezogenen Studiums, werden jetzt IT-Sicherheits-Studiengänge
4
an Hochschulen angeboten, die mit dem Bachelor oder Master abschließen. Die Ruhr-Universität Bochum
beispielsweise ist eine international anerkannte Adresse für die IT-Sicherheit. Wer allerdings
g bereits arbeitet und
seine Berufstätigkeit nicht aufgeben möchte, kann etwa im Fernstudium bei der isits AG International School of
5
IT Security
y den "Master in Applied IT Security" (M.Sc.) erwerben. (Mehr zum Thema: "IT-Sicherheit: Experten
6
sind gefragt ".)
Qualifizierung von Softwareentwicklern
Es gibt aber immer noch Systemadministratoren oder Softwareentwickler im Unternehmen, die keinen
Hochschulabschluss erwerben können oder möchten, aber durch Praxis und zielgerichtete Weiterbildung einen
ebenfalls hohen Grad an Expertise erreichen. Eine überschaubare Anzahl an Weiterbildungszertifikaten wie
beispielsweise C.I.S.S.P., T.I.S.P. oder ISMS Auditor werden in vielen Unternehmen aktiv gefördert, um Fachwissen
ins Unternehmen zu holen, Mitarbeiter zu binden und dem Fachkräftemangel vorzubeugen.
Letztendlich führt der Weg zum IT-Security-Spezialisten aber immer über eine profunde Grundausbildung in der
Informationstechnologie gepaart mit Praxiserfahrung, Neugier und einer spezialisierten Zusatzausbildung in der
IT-Sicherheit, ohne die man die komplexen Zusammenhänge zwischen Mensch, Information und Maschine nicht
verstehen kann.
Die vier am häufigsten gesuchten Berufe in der IT-Sicherheit sind wohl:
1 von 3
04.09.2012 07:42
Wie wird man IT-Security-Profi? (Druckansicht)
IT Security Consultant
Tätigkeit: Beratung von Kunden in komplexen IT-Sicherheitsprojekten
Voraussetzungen: Technischer Studien- oder Berufsabschluss, zwingend Aufbauwissen IT-Sicherheit, Erfahrungen in
Systemanalyse, Spaß am Kundenkontakt, gute Kommunikationsfähigkeiten
Information Security Officer
Tätigkeit: Verantwortung für die IT- und Informationssicherheit im Unternehmen, Definition von Anforderungen, ggf.
Durchführung von IT-Security-Audits und Awareness-Kamapagnen, Eskalation von IT-Sicherheitsvorfällen
Voraussetzungen: Technischer Studienabschluss und Aufbauwissen IT-Sicherheit, Erfahrungen in
Systemadministration, Verständnis für das Informationsmanagement und IT-Sicherheitsarchitektur, gute
Kommunikationsfähigkeiten
Virusanalyst / Reverse Engineer / Softwareentwickler für Sicherheitslösungen
Tätigkeit: Erstellen von Signaturen, Analyse von Schadsoftware, Entwicklung von Tools, Entwicklung von
Sicherheitssoftware
Voraussetzungen: Technischer Studienabschluss und Aufbauwissen IT-Sicherheit, Kenntnisse in embedded und
Low-Level-Programmiersprachen, Talent zum Fehlerfinden und zur Datenanalyse, Talent für Code-Analyse und
Kryptografie
Datenschutzbeauftragter / IT-Sicherheitsbeauftragter
Tätigkeit: Interne oder externe Beratung im Bereich Datenschutz und Informationssicherheit
Voraussetzungen: Technische Ausbildung und zertifizierte Qualifikation als Datenschutzbeauftragter,
Abstraktionsvermögen für die Komplexität des Informationsmanagementsystems und der Geschäftsprozesse,
Genauigkeit, Verbindlichkeit, gute Kommunikations- und Moderationsfähigkeiten
Nützliche Links:
7
www.is-its.org
http://www.hgi.rub.de
8
Über isits:
Die isits International School of IT Security AG hat sich seit 2001 europaweit als Weiterbildungs- und
Konferenzanbieter der IT-Sicherheit und der Informationssicherheit etabliert und passt ihr Aus- und
Weiterbildungsprogramm laufend an die aktuellen Anforderungen der neuen Berufsbilder an. Aktuell startete auch
eine spezialisierte Internetjobbörse der isits. Die konzentrierte Ausrichtung innerhalb der Branche sowie die enge
Zusammenarbeit mit Unternehmen und Universitäten macht die isits AG zu dem professionellen
Weiterbildungspartner für IT-Anwender, -Profis und -Experten.
Weitere Informationen finden Sie unter https://www.is-its.org
9
Links im Artikel:
2 von 3
1
http://www.computerwoche.de/schwerpunkt/i/it_security.html
2
http://www.computerwoche.de/schwerpunkt/f/flame.html
3
http://www.computerwoche.de/schwerpunkt/w/weiterbildung.html
4
http://www.hgi.rub.de/hgi/news/
04.09.2012 07:42
Nie mehr Passwörter vergessen
1 von 3
http://www.ard.de/ratgeber/multimedia/passwortsicherheit/-/id=13302...
http://www.ard.de/-/id=1931164/1pycv5q/index.html
Multimedia
Schutz vor Kriminellen im Netz
Rachel Schröder
E-Mail, Onlinebanking, Facebook oder Twitter: Jeder Internetnutzer braucht inzwischen
dutzende Passwörter. Um nicht den Überblick zu verlieren, benutzen viele die immer
gleichen oder möglichst simplen Kombinationen - und öffnen Datendieben Tür und Tor.
Wie Sie sichere Passwörter finden - und nie mehr vergessen.
Lieblingsstadt, Lieblingstier, Lieblingsessen - wer angesichts unaufhörlich kursierender Nachrichten
über Datendiebstahl und Identitätsklau noch immer an seinem Lieblingspasswort festhält, das er noch
dazu für alle Accounts verwendet, handelt schlicht leichtsinnig. Immer ausgeklügelter werden die
Methoden der so genannten "Cracker" - keine Kekse, sondern Menschen, die in krimineller Absicht
fremde Rechner knacken, inklusive Passwörtern und sensibler Daten wie Kreditkarten- und
Kontonummern. Bei geschätzten 30.000 neuen Schadsoftwarevarianten, die zum Teil von regelrechten
Cracker-Mafien pro Tag ins Netz geschickt werden, kapituliert auch das beste Viren- und
Firewallprogramm.
Eine Sicherheitslücke im Adobe-Flash-Player brachte selbst Hacker-Profi Jörg
g Schwenk einen Virus ein.
Der Professor für Netz- und Datensicherheit an der Universität Bochum staunte nicht schlecht, als
seine privaten Dateien plötzlich irgendwo
g
in den Untiefen seiner Verzeichnisbäume versteckt waren.
Zum Glück waren sie nicht gelöscht.
Passwörter knacken - für Diebe ein Kinderspiel
Opfer eines Angriffs tun gut daran, zumindest ihre Passwörter möglichst sicher zu gestalten. Für jeden
Account, ob E-Mail, Online-Shop oder Bank, sollte man sich ein anderes Passwort ausdenken. Nicht
enden wollende Hieroglyphenbandwürmer sollen es sein, raten Experten, am besten mit Groß- und
Kleinbuchstaben und Sonderzeichen gespickt, unbedingt aus verschiedenen Sprachen. Denn
Passwörter, die aus Haustier- oder Städtenamen bestehen, lassen sich mittels der so genannten
Wörterbuchattacke manchmal in Sekundenschnelle herausfinden. Dabei nutzen Cracker Wörterbücher,
die in allen erdenklichen Varianten im Netz stehen: Haustier-Wörterbücher, Filmtitel-Wörterbücher,
Harry-Potter-Wörterbücher, ja sogar die Online-Enzyklopädie Wikipedia dient als Wortliste. Darin
stehen praktisch alle Wörter, die existieren. Ein automatisiertes Crack-Programm, das so lange
probiert, bis das richtige Passwort gefunden ist, erledigt den Rest.
Das Kreuz mit der Eselsbrücke
Aber wie kann man sich die 15 bis 20 Passwörter, die jeder PC- und
Internetnutzer im Laufe der Zeit nach Schätzungen des
Branchenverbandes Bitcom anhäuft, merken? Kein Problem, sagen
Gedächtnisweltmeister. Sie raten zu Eselsbrücken, der so genannten
04.09.2012 07:53
2 von 3
"Mnemotechnik". Doch auch die schönste Eselsbrücke ist zum
Scheitern verurteilt, wenn sich der Betreffende beim besten Willen
nicht mehr daran erinnert. Der Psychologe Felix R. Paturi rät
deshalb, Zahlen von 1 bis 100 mit bestimmten Bildern, die man sich
ausdenkt, zu verknüpfen und auswendig zu lernen (z.B. 1 =
Eisbecher, 2 = Zweig, 3 = Brei). Wer eine Pin oder ein aus Zahlen
bestehendes Passwort auswendig lernen will, braucht dann nur noch
eine Geschichte zu erfinden, in der die entsprechenden Dinge
vorkommen.
Ebenso verhält es sich mit Konsonanten, die man bestimmten
Zahlen zuordnet, so Gedächtnisakrobat Paturi in seinem Buch
"Perfekt merken, nichts vergessen" (etwa o = Z, S, C und 9 = P, B).
Das menschliche Gehirn könne sich von Natur aus Geschichten
besser merken als abstrakte Zahlen- und Buchstabenkombinationen.
Hilft fast immer gegen das
vergessen: Eine möglichst
gute Eselsbrücke
Für alle, denen das Geschichten-, Bildfolgen-, und Weglistenerfinden
irgendwann zu aufwändig wird, gibt es technische Hilfsmittel. Die
Passwörter einfach auf einem Zettel zu notieren, ist zwar gar nicht so dumm, wie es scheint, erläutert
Datensicherheitsexperte Schwenk. Denn der Zettel unter dem heimischen Kopfkissen kann schließlich
nicht per PC-Attacke geknackt werden. Doch haben wir den Zettel natürlich immer dann nicht dabei,
wenn wir im Netz einkaufen gehen wollen, Mails abrufen oder bei Facebook einen Bekannten
"anstupsen" wollen.
Retter in der Not: Passwort-Manager
Mit einem Passwortmanager behalten
Sie immer den Überblick.
Abhilfe schaffen sollen deshalb so genannte PasswortManager, die sich mittlerweile meist als kostenlose
Freeware im Internet selbst Konkurrenz machen. Das
Ganze funktioniert so: Man speichert seine - möglichst
komplizierten - Passwörter einfach in dem Programm und
sichert sie mit einem Master-Passwort, das man sich
natürlich merken muss, denn es ist wie ein Tresorschlüssel,
ohne den man verloren wäre. Selbst Bank-Tans lassen sich
auf diese Weise ziemlich sicher archivieren. Am besten
lässt man sich von dem Programm gleich ein besonders
kryptisches Passwort generieren, das garantiert kein
Hackerprogramm errät.
Passwortmanager und was sie können
* "Keepass" und "KeepassX": In der Regel kostenlos. Läuft auf allen Betriebssystemen und existiert
zudem als Version für den USB-Stick. Inkl. Passwortgenerator. Auf Android und iPhone je 79 Cent.
* "Any Password": Kostenlos. Inkl. Passwortgenerator.
* "Alle meine Passworte": Kostenlos. Nur für Windows, existiert als USB-Stick-Version
* "Password Safe": PC-Version kostenlos, Stick-Version ca. 9,- EUR. Läuft nur auf Windows
* "Steganos Passwort-Manager": ca. 11,95 EUR. Nur für Windows
* "Moxier Wallet": Kostenlos. Für Mac OS X, Windows, iPhone, Android.
Noch sicherer ist es, den Passwort-Manager nicht direkt auf dem Rechner zu installieren. Ist der einmal
geknackt, so könnten theoretisch alle im Passwortmanager gespeicherten Passwörter ausgelesen
werden. Denn auch wenn Programme wie "Keepass", "Any Password" oder "Alle meine Passworte"
komplizierte Verschlüsselungsalgorithmen verwenden, ist das Master-Passwort immer noch ein
Passwort. Noch sicherer ist es, so Professor Schwenk, das Programm auf einem mobilen Endgerät oder
- noch besser - auf einem USB-Stick zu speichern. Der Vorteil: Man hat das Smartphone oder den
Schlüsselbund-Stick in der Regel immer dabei.
Relikt aus der Steinzeit des World Wide Web
Hundertprozentigen Schutz bietet jedoch kein Passwortmanager. "Passwörter sind als
Identifizierungsmittel eigentlich antiquiert", sagt Datenjongleur Jörg Schwenk. "Ein gutes Beispiel sind
die Banken wie jetzt die Postbank. Die schaffen das iTan-Verfahren ab, obwohl die Tan ja ein sehr
starkes Passwort ist, was nur ein einziges Mal verwendet werden kann". Doch auch beim vermeintlich
sicheren Tan-Verfahren ist es durch das Phishing immer wieder zu Schadensfällen gekommen.
Sicherer sei da schon der Fingerabdruck, doch der sei im Internet schwer einsetzbar, und wenn er
übermittelt werden müsse, sei er per se auch abfangbar. Schwenk rät daher zur chipkartenbasierten
Lösung, wie sie der neue elektronische Personalausweis vorsieht. Bei aller Kritik könne der E-Ausweis
die Basis für künftige Lösungen sein. Um Kunden vor Betrug zu schützen, seien vor allem die
04.09.2012 07:53
3 von 3
Unternehmen gefragt. "Firmen sollten in mehr Technik investieren, um vom Passwort-System
wegzukommen."
Stand: 20.08.2012
Die ARD ist nicht für die Inhalte fremder Seiten verantwortlich, die über einen Link erreicht werden.
Das Thema im Programm
Gibt es das hundertprozentig sichere Passwort? "Ratgeber: Internet" |18.08.2012|17:03 Uhr
[ard mediathek]
URL: http://www.ardmediathek.de/das-erste/ratgeber-internet/passwoerter?documentId=11444522
Links in der ARD
Was ist Mnemotechnik? Wörter besser einprägen
[br/swr/wdr]
URL: http://www.planet-wissen.de/alltag_gesundheit/lernen/gedaechtnis/mnemotechnik.jsp
Mach Dein Netz sicherer Schnell und leicht ein sicheres Passwort erstellen
[swr]
URL: http://www.dasding.de/multimedia/Passwoerter/-/id=414/cat=1/pic=51/dcgrp=0/nid=414
/did=248014/1iw2y0w/index.html
So legen Sie sich ein sicheres Passwort zu Tipps vom Netzreporter
[ard mediathek]
URL: http://www.ardmediathek.de/inforadio/netzfischer/netzreporter-wie-lege-ich-mir-ein-sicherespasswort-zu?documentId=11305140
Die Landesrundfunkanstalten der ARD: BR, HR, MDR, NDR, Radio Bremen, RBB, SR, SWR,
WDR,
Weitere Einrichtungen und Kooperationen: ARD Digital, ARTE, PHOENIX, 3sat, KI.KA, DLF/
DKultur, DW
04.09.2012 07:53
GIT Sicherheit + Management vom 14.09.2012
Seite:
Rubrik:
Gattung:
184
IT UND IT-SECURITY
Zeitschrift
Nummer:
Auflage:
09
30.000 (gedruckt) 3.351 (verkauft) 29.038 (verbreitet)
IT-Frühwarnsystem: iAId bietet Schutz im cyberwar
Das Forschungsprojekt iAID (innovative Anomaly and Intrusion-Detection)
wurde erfolgreich mit dem Ziel gestartet, effektive Schutzmaßnahmen gegen
neue Angriffsmechanismen im sogenannten "Cyberwar" zu entwickeln. Die
Zusammenarbeit von vier deutschen
Hochschulen (Westfälische Hochschule
Gelsenkirchen, Hochschule Darmstadt,
Fachhochschule Frankfurt am Main und
Wörter:
114
Ruhr-Universität Bochum) sowie zwei
Industriepartnern (Vodafone D2 GmbH
und Dr. Bülow & Masiak GmbH) im
Projekt iAID ist eine Antwort auf die
aktuelle Bedrohungslage der IT-Sicherheit in der Bundesrepublik. Ziel von
iAID ist die Entwicklung von innovativen Lösungen und Verfahren zur Vorbeugung, Erkennung und Reaktion auf
Angriffe über Netzwerke. Während
klassische Erkennungssysteme nur
bekannte Angriffsmuster erkennen können, werden im Rahmen von iAID innovative Methoden der Anomalie-Detektion entwickelt, um auch unbekannte
Angriffe zu erkennen. [email protected]
Computerwoche vom 24.09.2012
Autor:
Seite:
Stephan Hornung [SH]
0
Gattung:
Auflage:
Zeitschrift
19.744 (verbreitet)
IT-Security-Recruiting: Frühe Bindung hilft
Das Sicherheitsbewusstsein in den Unternehmen wächst. Und damit auch die Nachfrage nach
IT-Sicherheits-Experten. Bei der Suche nach geeigneten Kandidaten müssen sich die Firmen
aber schon etwas einfallen lassen.
Evelyn Spitzwieser (26) kommt aus
Österreich und hat in Salzburg Informatik studiert. Anschließend zog sie für ein
Master-Studium der IT-Sicherheit nach
Bochum. Die Gegend war ihr nicht
fremd: Bereits als Informatikstudentin
hatte sie ihr Praktikum bei der Secunet
Security Networks AG in Essen absolviert: "Ich hatte nach möglichen Firmen
gegoogelt und mich für Secunet deshalb
entschieden, weil das Unternehmen auf
mehreren Gebieten der IT-Sicherheit
und insbesondere der Biometrie unterwegs ist." Secunet bietet Beratung und
Produkte an, die sich an höchste
Geheimhaltungsstufen anlehnen, etwa
an die der Bundeswehr. Die Essener
beschäftigen knapp 300 Mitarbeiter und
setzten zuletzt rund 60 Millionen Euro
um. Spitzwieser wurde nach dem Praktikum studentische Hilfskraft, arbeitete
bei Secunet in den Ferien, schrieb dort
ihre Master-Arbeit - und hat das Angebot der Firma angenommen, nach Studienabschluss im Unternehmen zu arbeiten: "Ich hatte genügend Zeit, die Firma
kennenzulernen. Mir hat es gefallen,
deshalb bin ich geblieben." Seit Oktober 2011 ist Spitzwieser Beraterin für
Biometrie und hoheitliche Dokumente
im Geschäftsbereich Government.
Die Österreicherin ist kein Einzelfall.
Knapp ein Viertel aller im Jahr 2010
neu besetzten Stellen wurde über persönliche Kontakte vergeben. Ein weiteres Viertel entfiel auf Stellenangebote in
Zeitungen und Zeitschriften. Jeweils
jede siebte Stelle wurde über die Arbeitsagenturen oder Stellenbörsen im Internet besetzt. Private Arbeitsvermittler,
Inserate Arbeitssuchender und die Übernahme von Leiharbeitern spielen dagegen eine untergeordnete Rolle.
Zu diesen Ergebnissen kommt das Institut für Arbeitsmarkt- und Berufsforschung (IAB) in Nürnberg nach einer
repräsentativen Befragung in 15.000
Unternehmen. "Praktika, studentische
Tätigkeiten und Bachelor- beziehungsweise Master-Arbeiten sind ideale Testphasen für potenzielle Mitarbeiter und
das Unternehmen, um sich gegenseitig
kennenzulernen", sagt Thomas Pleines,
Vorstand Personal, Finanzen und Controlling bei Secunet. Er schätzt, dass
sein Unternehmen zuletzt die Hälfte
aller neuen Mitarbeiter auf diese Art und
Weise gefunden hat. Die Besonderheit
daran: "Diese Mitarbeiter bleiben deutlich länger in der Firma als andere."
Etwa jeder dritte Secunet-Mitarbeiter ist
Informatiker. 20 offene Stellen zählen
die Essener derzeit, 15 davon sind akut
zu besetzen. Für fünf Positionen wird
geprüft, ob es am Markt Kandidaten
gibt, mit denen sich das Unternehmen
fachlich verbessern kann. "Wir haben
enge Kontakte zu Universitäten, an
denen IT-Security gelehrt wird, und lassen uns Empfehlungen von Professoren
geben", sagt Pleines. Und weil das
Unternehmen noch weitere sechs Niederlassungen in Deutschland hat, weiß
das Vorstandsmitglied, dass das Angebot an IT-Security-Fachkräften regional
sehr unterschiedlich ist: Hamburg, Dresden, Essen, Frankfurt am Main und Berlin seien Städte, in denen der Markt ausreichend Kandidaten hergebe. "München ist für uns schwierig, weil das
Angebot kleiner und die Gehälter spürbar höher sind als in anderen Städten."
Nach den Erfahrungen von Pleines sind
es auch nicht die Exzellenz-Unis, die
sich dem Nischenthema IT-Security
widmen, sondern kleinere Hochschulen
wie Ilmenau, Cottbus oder Gelsenkirchen. Dass Secunet zur Ruhruniversität
Bochum gute Kontakte unterhält, ist
selbstverständlich, gibt es dort doch
gleich vier Studiengänge für IT-Sicherheit - ein Bachelor- und drei MasterProgramme. Z
Zudem sind die jährlich
knapp 50 Absolventen Exoten auf ihrem
Gebiet. Sie reichen bei Weitem nicht
aus, um den Bedarf an IT-Security-Spezialisten in der Wirtschaft zu decken.
Dem gegenüber stehen rund 9500
Absolventen des Studiengangs Informatik. So viele waren es nach Auskunft des
Statistischen Bundesamts 2010. "Spezialisten sind bei uns klar in der Minderheit, reine Informatiker beschäftigen wir
deutlich mehr", so Pleines. Was das
Fachwissen anbelangt, stellt er keinen
großen Unterschied zwischen den
Experten aus Bochum und Informatikern, die sich im Studium auf IT-Sicherheit spezialisiert haben, fest. Für Secunet ist nicht das Studienfach, sondern
das Interesse am Thema wichtig. Und
damit setzen sich die einen wie die
anderen auseinander - die einen eben
mehr, die anderen weniger.
Der ITK-Branchenverband Bitkom in
Berlin schätzt, dass etwa 60.000 bis
80.000 IT-Sicherheitsexperten in der ITBranche selbst, in Beratungs- oder in
Anwenderunternehmen wie Banken
arbeiten. Lutz Neugebauer, Bereichsleiter IT-Sicherheit im Bitkom, geht davon
aus, dass künftig mehr IT-Sicherheitsexperten gebraucht werden, und zwar
sowohl Spezialisten als auch Generalisten. "Spezialisten arbeiten in der ITBranche und schaffen technische Lösungen. Generalisten schauen eher von der
organisatorischen Seite auf IT-Sicherheit, sie werden in Anwenderunternehmen gebraucht." Weil IT-Sicherheit
häufig stiefmütterlich behandelt worden
sei, habe es an Ausbildungsmöglichkeiten gemangelt. "Wir sehen in beiden
Fällen einen Wandel, mit der Konsequenz, dass völlig neue Studienangebote entstehen."
Bei der Suche nach geeigneten Kandidaten müssen sich die Firmen deshalb
etwas einfallen lassen, um erfolgreich zu
sein. Der britische Geheimdienst MI6
zum Beispiel hat Ende 2011 Bewerber
Once usability becomes secure
1 von 1
http://www.ecnmag.com/print/news/2012/09/once-usability-becomes-s...
Published on ECN Magazine (http://www.ecnmag.com)
Home > Once usability becomes secure
Eurekalert!
Risk increases with comfort: "Single
g Sign-On"
g
permits users to access all their protected Web
resources, replacing
p
g repeated
p
sign-ins
g
with passwords.
p
However, attackers also know about
the advantages
g such a single
g point of attack offers to them. Andreas Mayer,
y who is writing his
PhD thesis as an external doctoral candidate at the Chair for Network and Data Security
y
((Prof. Dr. Jörg
g Schwenk)) at Ruhr-Universität Bochum, has now been able to significantly
g
increase the security of this central interface for the simpleSAMLphp framework.
In the past, no protection against targeted Web attacks
The "Single sign-on" system, in short SSO, seems to be a wonderful solution for any user:
"Once authenticated, the information and services are immediately available,without repeated
inconvenient password input", says Mayer. However, this concept significantly increases the
possible damage, which could harm the user through a "single point of attack". The
researchers in Bochum recently showed that the single sign-on is not as safe as assumed:
They broke 12 of 14 SSO systems that had critical security flaws. "In the near future, we
expect an increasing number of attacks on browser based SSO solutions such as Facebook
Connect, SAML, OpenID and Microsoft Cardspace", explains Mayer. "It is very alarming that
none of the currently used SSO protocols, developed during the last twelve years, provides
effective protection against targeted attacks".
Highly efficient open source SSO solution
In the past, the many threatening scenarios, such as phishing, man-in-the-middle attacks,
cross site scripting or Web malware, did not negatively affect the increasing popularity of SSO
offerings. The "single sign-on, access everywhere" model is too comfortable and the users
are too unsuspecting. Andreas Mayer addresses this risk with his own results: He
implemented the OASIS-standardized "SAML Holder-of-Key Web Browser SSO Profile" in the
popular open source framework "SimpleSAMLphp". "This profile binds the critical
authentication and authorization information – the so-called security tokens –
cryptographically to the browser of the legitimate user", explains Mayer. "The result is a highly
effective, open source solution that is supported by all established browsers".
Andreas Mayer works at Adolf Würth GmbH & Co. KG and works in his free time at his
doctoral thesis at the Chair for Network and Data Security of the RUB.
Source URL (retrieved on 09/24/2012 - 1:43am): http://www.ecnmag.com/news/2012/09/once-usability-becomessecure
24.09.2012 07:43
Frühe Bindung hilft (Druckansicht)
1 von 3
Recruiting von IT-Security-Spezialisten
Frühe Bindung hilft
Datum:
Autor(en):
URL:
25.09.2012
Peter Ilg
Die Nachfrage
g nach IT-Sicherheits-Profis wächst. Bei der Personalsuche müssen sich die Firmen etwas
einfallen lassen, um Nachwuchs wie Evelyn Spitzwieser zu finden und zu binden.
Evelyn Spitzwieser, 26, kommt aus Österreich und hat in Salzburg Informatik studiert. Anschließend zog sie für ein
Masterstudium in IT-Sicherheit nach Bochum. Die Gegend war ihr nicht fremd: Bereits als Informatikstudentin
1
absolvierte sie ihr Praktikum bei der secunet Security Networks AG in Essen. "Ich hatte nach möglichen Firmen
gegoogelt und mich für secunet deshalb entschieden, weil das Unternehmen auf mehreren Gebieten der IT-Sicherheit
und insbesondere der Biometrie unterwegs ist."
Secunet bietet in der IT-Sicherheit Beratung und Produkte an, die höchsten Geheimhaltungsstufen entsprechen, etwa
denen der Bundeswehr. Das Unternehmen hat seine Zentrale in Essen, knapp 300 Mitarbeiter und setzte zuletzt rund
60 Millionen Euro um. So fand für das Praktikum zusammen, was zusammen passt. Secunet nutzte die Chance und
band die junge Frau ans Unternehmen: Spitzwieser wurde nach dem Praktikum studentische Hilfskraft, arbeitete dort
in den Ferien, schrieb ihre Master-Arbeit bei secunet - und hat das Angebot der Firma angenommen, nach
Studienabschluss im Unternehmen zu arbeiten. "Ich hatte genügend Zeit, die Firma kennen zu lernen. Mir hat es
gefallen, deshalb bin ich geblieben." Seit Oktober 2011 ist Spitzwieser Beraterin für Biometrie und hoheitliche
Dokumente im Geschäftsbereich Government.
Spitzwieser ist kein Einzelfall. Knapp ein Viertel aller im Jahr 2010 neu besetzten Stellen wurden über persönliche
Kontakte vergeben. Ein weiteres Viertel entfiel auf Stellenangebote in Zeitungen und Zeitschriften. Jeweils jede
siebte Stelle wurde über die Arbeitsagenturen oder Stellenbörsen im Internet besetzt. Private Arbeitsvermittler,
Inserate Arbeitssuchender und die Übernahme von Leiharbeitern spielen dagegen eine vergleichsweise
untergeordnete Rolle. Zu diesen Ergebnissen kommt das Institut für Arbeitsmarkt- und Berufsforschung
2
(IAB) in Nürnberg durch eine repräsentative Befragung in 15.000 Unternehmen. "Praktika, studentische Tätigkeiten
und Bachelor- beziehungsweise Master-Arbeiten sind tolle Testphasen für potenzielle Mitarbeiter und das
Unternehmen, um sich gegenseitig kennen zu lernen", sagt Thomas Pleines, Vorstand Personal, Finanzen und
Controlling bei secunet. Er schätzt, dass sich die Hälfte aller neuen Mitarbeiter bei secunet auf diese Art und Weise
gefunden haben. Die Besonderheit daran: "Diese Mitarbeiter bleiben deutlich länger in der Firma als andere."
Regionale Unterschiede
Etwa jeder Dritte der secunet-Mitarbeiter ist Informatiker. 20 offene Stellen hat das Unternehmen derzeit, davon sind
15 akut. Auf fünf Positionen wird geprüft, ob es am Markt Kandidaten gibt, mit denen sich das Unternehmen fachlich
verbessern kann. "Wir haben enge Kontakte zu Universitäten, an denen IT-Security gelehrt wird und lassen uns
Studenten und Absolventen von Professoren empfehlen", sagt Pleines. Und weil das Unternehmen neben seinem
Stammsitz in Essen sechs Niederlassungen in Deutschland hat, weiß das Vorstandsmitglied, dass das Angebot an
geeigneten IT-Security-Fachkräften regional sehr unterschiedlich ist: Hamburg, Dresden, Essen, Frankfurt und Berlin
seien Städte, in denen der Markt ausreichend Kandidaten hergebe. "München ist für uns schwierig, weil das Angebot
kleiner und die Gehälter spürbar höher sind, als in anderen Städten." Nach den Erfahrungen von Pleines sind es auch
nicht die Exzellenz-Unis, die sich dem Nischenthema IT-Security widmen, sondern kleinere Hochschulen wie
Illmenau, Cottbus oder Gelsenkirchen.
25.09.2012 07:37
2 von 3
3
Dass secunet zur Ruhruniversität Bochum gute Kontakte unterhält, ist selbstverständlich, gibt es dort doch gleich
vier Studiengänge IT-Sicherheit - ein Bachelor- und drei Master-Programme. Zudem sind die jährlich knapp 50
Bochumer Absolventen Exoten auf ihrem Gebiet. Sie reichen bei weitem nicht aus, um den Bedarf an IT-SecuritySpezialisten in der Wirtschaft zu decken. Dem gegenüber stehen rund 9500 Absolventen des Studiengangs
Informatik. So viele waren es nach Auskunft des Statistischen Bundesamts 2010. "Spezialisten sind bei uns deutlich
in der Minderheit, reine Informatiker beschäftigen
wir deutlich mehr", so Pleines. Was das Fachwissen anbelangt,
g
g
stellt er keinen großen Unterschied zwischen den Experten aus Bochum fest und Informatikern, die sich im Studium
auf IT-Sicherheit spezialisiert haben. Für secunet ist bei der Einstellung nicht das Studienfach, sondern das Interesse
am Thema wichtig. Und damit setzen sich die einen wie die anderen auseinander - die einen eben mehr, die anderen
weniger.
Der Bedarf wächst
4
Der IT-Branchenverband Bitkom schätzt, dass etwa 60.000 bis 80.000 IT-Sicherheitsexperten in der IT-Branche
selbst, in Beratungs- oder Anwenderunternehmen, beispielsweise Banken, arbeiten. Lutz Neugebauer, Bereichsleiter
IT-Sicherheit beim Branchenverband Bitkom in Berlin, geht davon aus, dass künftig mehr IT-Sicherheitsleute
gebraucht werden und zwar sowohl Spezialisten als auch Generalisten. "Spezialisten arbeiten in der IT-Branche und
schaffen technische Lösungen. Generalisten schauen eher von der organisatorischen Seite auf IT-Sicherheit, sie
werden in Anwenderunternehmen gebraucht." Weil IT-Sicherheit häufig stiefmütterlich behandelt wurde, habe es an
Ausbildungsmöglichkeiten gemangelt. "Wir sehen in beiden Fällen einen Wandel, mit der Konsequenz, dass völlig
neue Studienangebote entstehen."
Bei der Suche nach geeigneten Kandidaten müssen sich die Firmen deshalb schon etwas einfallen lassen, um
erfolgreich zu sein. Der britische Geheimdienst zum Beispiel hat Ende 2011 Bewerber via Online-Rätsel gesucht.
Mitmachen konnte jeder, den kryptischen Code nur wenige knacken. Es ging um drei Buttons, mit denen der
ellenlange Code zur Entschlüsselung der Anzeige auf Facebook, Twitter und Google+ gepostet werden könnte. Dass
das Bewerbungsspiel dadurch viele Interessenten erreicht, war ein weiterer Clou der Aktion. "Die Nachfrage nach
IT-Sicherheitsexperten ist sehr hoch", stellt Anja Nuß fest. Als Geschäftsführerin des Horst Görtz Instituts für
IT-Sicherheit an der Ruhr-Universität-Bochum kommt sie sowohl mit Firmen als auch Studenten in Kontakt und
kennt daher die Versuche der Unternehmen, an Absolventen zu gelangen. Das Institut ist eine der größten und
renommiertesten Hochschuleinrichtungen für IT-Sicherheit in Europa.
Unternehmen und Behörden teilen der Hochschule offene Stellen mit, die in einem internen Verteiler an Studenten
weitergegeben werden. Wöchentlich sind das bis zu zehn Angebote. Andere Firmen bieten an der Hochschule
Work-Shops zu Projekt- oder Zeitmanagement an, um mit potenziellen Mitarbeitern in Kontakt zu kommen. Andere
schicken Referenten in Seminare zu wissenschaftlichen Themen und wieder andere arrangieren ein
Tischfußballturnier. Beim Kickern sollen Studenten Leute aus der Firma kennen lernen, sie im Idealfall nett finden
und dort später anheuern.
Anlaufpunkt Jobmesse
Um Studenten und Firmen zusammen zu bringen, veranstaltet das Institut einmal jährlich eine Jobmesse für
IT-Sicherheitsspezialisten. Die findet im Mai oder Juni statt, zuletzt präsentierten sich 25 Firmen. Etwa 180
Studenten aus ganz Deutschland nahmen teil. "Das Standpersonal lockte mit Security-Aufgaben, zusätzlich standen
dort Mitarbeiter aus den Fachabteilungen zum Fachsimpeln mit den Studierenden", berichtet Nuß. Interessante
Praktika, vielleicht sogar im Ausland, hält sie für einen erfolgreichen Weg, um an Mitarbeiter von morgen zu
kommen. Im Gegensatz zum secunet-Vorstand sieht sie schon einen deutlichen Unterschied zwischen speziell
ausgebildeten IT-Sicherheitsexperten und Informatikern: "Bei uns hören die Studenten mindestens die doppelte Zahl
an IT-Security-Vorlesungen." Weil die Angebote der Firmen mitunter so verlockend seien, hätte unlängst ein Student
nicht einmal mehr seine Abschlussarbeit geschrieben und ohne Abschluss im Unternehmen angefangen.
5
Nach Meinung von Reinhard Scharff, dem Geschäftsführer der Stuttgarter Niederlassung von Personal Total , einer
bundesweit vertretenen Personalberatung, hat die Nachfrage nach IT-Sicherheitsleuten in den vergangenen Monaten
etwas abgenommen. Aktuell sucht das Unternehmen bundesweit 60 IT-Security-Spezialisten im Auftrag von
Unternehmen. "Manche der Firmen kommen gleich zu uns, andere haben schon alles Mögliche versucht." Sie haben
im Netz gefischt, auf der eigenen Website Stellen angeboten, ebenso in Zeitung, Fachzeitschriften und Online,
Freelancer angesprochen und dennoch waren sie erfolglos. "Wir suchen in denselben Quellen, aber wir können das
anonym machen", sagt Scharff. Darin liege der Vorteil der Personalberatung, Kandidaten heiß machen zu können,
ohne den Namen der Firma nennen zu müssen. Oder beim Wettbewerb Mitarbeiter abwerben. Auch das machen viele
Firmen nicht, weil das zum Bumerang werden könnte.
Mehr indirekte Bewerbersuche
25.09.2012 07:37
3 von 3
"Um neue Mitarbeiter zu finden, beschränken wir uns auf eine Stellenanzeige auf unserer Homepage", sagt Susanne
6
Cussler. Sie ist zuständig fürs Personalwesen bei secorvo security consulting in Karlsruhe. Das Unternehmen hat
19 Mitarbeiter und sucht weitere IT-Sicherheitsexperten. Doch das sollen Leute mit mehrjähriger Berufserfahrung
sein. Aktionen an Hochschulen scheiden deshalb aus. "Die Anzeige mag zu wenig sein, doch wir haben noch keinen
besseren Weg für uns gefunden." Stellenanzeigen in Zeitungen oder Online-Portalen würden zwar Masse, damit aber
nicht automatisch Qualität bringen. "Das wiederholen wir nicht mehr, sondern gehen bei der Mitarbeitersuche
indirekt vor." Als Beispiel nennt Cussler Vorträge auf Fachmessen oder Beiträge in Fachzeitschriften, "um unseren
Bekanntheitsgrad zu steigern". Was Secorvo letztendlich damit bezweckt, ist Employer Branding, also eine
Arbeitgebermarke in der Öffentlichkeit zu schaffen.
Evelyn Spitzwieser ist zufrieden mit ihrem Job bei secunet in Essen. Und hat fast schon vergessen, dass ein anderes
IT-Unternehmen ihr ein Stipendium während des Master-Studiums in Bochum gewährte. "Ich hatte mich für das
Stipendium beworben, bekam eine schriftliche Zusage und daraufhin monatlich rund 400 Euro überwiesen."
Ansonsten hat sie nie mehr etwas von der Firma gehört. (sh)
Fotoquelle Homepage: Fotolia / Sven Jungmann
Links im Artikel:
1
http://www.secunet.com/
2
http://www.iab.de/
3
http://www.ruhr-uni-bochum.de/
4
http://www.bitkom.org/
5
http://www.personal-total.de/
6
http://www.secorvo.de/
IDG Business Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen
Zustimmung der IDG Business Media GmbH. DPA-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch
wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass in Computerwoche unzutreffende Informationen
veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des
Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und
Illustrationen. Für Inhalte externer Seiten, auf die von Computerwoche aus gelinkt wird, übernimmt die IDG Business Media GmbH keine
Verantwortung.
25.09.2012 07:37

Pressespiegel Quartal 3 2012 - Horst Görtz Institut für IT

Transcrição

Documentos relacionados

WEGBESCHREIBUNG Hier finden Sie uns: So

Verfahrensdaten Verfahrenstermine Verwalterdaten Gerichtsdaten

EH-LC-PRO-35SN - LC

Technische Daten der Home Media-Netzwerkfestplatte

IT-Sicherheit in der Praxis

psychotherapie bei angststörungen - Ruhr

FSB - Memo - Freie Schwimmer Bochum 1919 eV

Mac Audio Car-HiFi-Lautsprecher Olympic Gold

als PDF - falkemedia-shop

Elterninfo