Pressespiegel Quartal 3 2012 - Horst Görtz Institut für IT
Transcrição
Pressespiegel Quartal 3 2012 - Horst Görtz Institut für IT
01.10.2012 Horst Görtz Institut für IT-Sicherheit Ruhr-Universität Bochum Pressespiegel Quartal 3 2012 Der Pressespiegel des Horst Görtz Institutes erscheint einmal im Quartal und gibt einen kleinen Überblick über aktuelle Themen und Projekte des Instituts. Host Görtz Institut für IT-Sicherheit | Ruhr-Universität Bochum | Britta Scherer | PR & Marketing | Tel. 0234 – 32 29 162 | Fax 0234 – 32 14886 | [email protected] Schutz für Apple-Geräte - Im Tal der Sorglosen: Brauchen Macs Viren... http://www.abendblatt.de/ratgeber/multimedia/article2326700/Im-Tal-d... (http://www.abendblatt.de/) MULTIMEDIA SCHUTZ FÜR APPLE-GERÄTE 03.07.2012, 11:01 Uhr Seit Flashback ist nichts mehr, wie es einmal war. Der Mac-Trojaner hat Apple-Nutzer nachhaltig verunsichert. Hat sich die Lage nun geändert? BERLIN . Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind Pflicht. Viele AppleJünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Virenalarm auf dem Mac: Der Flashback-Trojaner hat gezeigt, dass auch Apple-Rechner verwundbar sind Doch Tests stellen den Foto: picture alliance / dpa-tmn/dpa-tmn Programmen kein gutes Zeugnis aus. Macht nichts, sagen Experten. Man kann Macs auch weiter ohne Scanner nutzen – Umsicht vorausgesetzt. Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum. Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift „Mac&i“ getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein „enttäuschendes“ Ergebnis. „Keiner erkannte alle Mac-Viren, obwohl die Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel hatten“, lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten. +++Apple-Gerüchte: Was ist wahr, was heiße Luft?+++(http://www.abendblatt.de/ratgeber /multimedia/article2304845/Apple-Geruechte-Was-ist-wahr-was-heisse-Luft.html) +++Google tritt mit eigenem Tablet gegen Amazon und Apple an+++(http://www.abendblatt.de/wirtschaft/article2321874/Google-tritt-mit-eigenem-Tablet-gegen- 1 von 3 04.07.2012 07:44 Schutz für Apple-Geräte - Im Tal der Sorglosen: Brauchen Macs Viren... http://www.abendblatt.de/ratgeber/multimedia/article2326700/Im-Tal-d... Amazon-und-Apple-an.html) „Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des Schädlings“, heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder Scanner: Der beste enttarnte nur 82 Prozent der Schädlinge. Von den bei Windows-Scannern üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der PhishingAbwehr schnitten die Programme nicht besonders gut ab. Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. „Aus unserer Sicht ist das angesichts der Bedrohungslage nicht notwendig“, sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback nichts geändert. Trotzdem gelte auch für Mac-Nutzer: „Mit offenen Augen und gesundem Menschenverstand durch die Welt gehen.“ Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen. Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware – ebenso wie das Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter „Softwareaktualisierung“ stets aktuell gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf „täglich“. Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von Schadsoftware nach wie vor auf diesen „Markt“ konzentrieren. Trotzdem: „Flashback hat gezeigt, dass auch Mac OS X angreifbar ist“, sagt Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem gibt, treffen sie oft Unvorbereitete: „Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser.“ Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. „Sie bietet nie hundertprozentigen Schutz“, sagt der Professor. Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei deshalb auch für Mac-Nutzer Vorsicht im Internet unabdingbar. „Nicht auf alles klicken und ein gesundes Misstrauen helfen sehr“, rät Holz. Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz erweitern möchte, kann zu Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den Einstellungen des Browsers kann die Sicherheit erheblich steigern. „Bei Java empfehlen wir immer, es nur zu aktivieren, wenn man es braucht“, sagt Tim Griese. Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu (Xprotect) – die im „Mac&i“-Test aber nur einmal Alarm schlug. Mac- hinken Windows-Scannern hinterher In einem Test von sechs Mac-Virenscannern der Zeitschrift „Mac&i“ brachte es der beste Prüfling, Kaspersky Anti-Virus 2011, auf eine Erkennungsrate von 82 Prozent. Mit 78 Prozent kaum schlechter schnitt das kostenlose Sophos Anti-Virus ab. Verglichen mit Windows-Scannern, die ein Vielfaches an Schädlingen erkennen müssen und trotzdem Quoten von weit über 90 Prozent erreichen, ist das zu wenig. 2 von 3 04.07.2012 07:44 dpa-Themendienst vom 03.07.2012 Seite: 0014 Kurztitel: dpa-tmn0013 Ressort: Vermischtes Gattung: Agentur-Meldungen Im Tal der Sorglosen: Brauchen Macs Virenschutz? Von Dirk Averesch, dpa (Mit Bildern tmn1100/1101 vom 03.07.12) Seit Flashback ist nichts mehr, wie es einmal war. Der Mac-Trojaner hat Apple-Nutzer nachhaltig verunsichert. Schließlich galt jahrelang, dass Virenschutz für Macs mangels Bedrohung unnötig ist. Hat sich die Lage nun geändert? Berlin (dpa/tmn) - Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch Tests stellen den Programmen kein gutes Zeugnis aus. Macht nichts, sagen Experten. Man kann Macs auch weiter ohne Scanner nutzen - Umsicht vorausgesetzt. Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum. Am Markt gibt es ein Dutzend MacVirenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift «Mac&i» getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein «enttäuschendes» Ergebnis. «Keiner erkannte alle MacViren, obwohl die Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel hatten», lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten. «Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des Schädlings», heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder Scanner: Der beste enttarnte nur 82 Prozent der Schädlinge. Von den bei WindowsScannern üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der PhishingAbwehr schnitten die Programme nicht besonders gut ab. Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. «Aus unserer Sicht ist das angesichts der Bedrohungslage nicht notwendig», sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback nichts geändert. Trotzdem gelte auch für Mac-Nutzer: «Mit offenen Augen und gesundem Menschenverstand durch die Welt gehen.» Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen. Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware - ebenso wie das Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter «Softwareaktualisierung» stets aktuell gehalten werden, rät Griese. Das UpdateIntervall stellt man am besten auf «täglich». Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von Schadsoftware nach wie vor auf diesen «Markt» konzentrieren. Trotzdem: «Flashback hat gezeigt, dass auch Mac OS X angreifbar ist», sagt Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhrhr-UniRuhr-Uni- versität B Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem gibt, treffen sie oft Unvorbereitete: «Die typischen Mac-Nutzer ssind vermutlich ein wenig sorgloser.» Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. «Sie bietet nie hundertprozentigen Schutz», sagt der Professor. Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei deshalb auch für MacNutzer Vorsicht im Internet unabdingbar. «Nicht auf alles klicken und ein gesundes Misstrauen helfen sehr», rät Holz. Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz erweitern möchte, kann zu Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den Einstellungen des Browsers kann die Sicherheit erheblich steigern. «Bei Java empfehlen wir immer, es nur zu aktivieren, wenn man es braucht», sagt Tim Griese. Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard kam eine SchadsoftwareErkennung hinzu (Xprotect) - die im «Mac&i»-Test aber nur einmal Alarm schlug. Info-Kasten: Mac- hinken WindowsScannern hinterher In einem Test von sechs Mac-Virenscannern der Zeitschrift «Mac&i» brachte es der beste Prüfling, Kaspersky Anti-Virus 2011, auf eine Erkennungsrate von 82 Prozent. Mit 78 Prozent kaum schlechter schnitt das kostenlose Sophos Anti-Virus ab. Verglichen mit Windows-Scannern, die ein Vielfa- und trotzdem Quoten von weit über 90 ches an Schädlingen erkennen müssen Prozent erreichen, ist das zu wenig. Wörter: 808 Ort: Berlin © 2012 PMG Presse-Monitor GmbH Bremer Nachrichten vom 05.07.2012 Autor: Dirk Averesch Ausgabe: Bremer Nachrichten | Gesamtausgabe Seite: Ressort: BTAG/WIRTSCHAFT Verbraucher Gattung: Tageszeitung Im Tal der SorglosenBrauchen Macs Virenschutz? / Sicherheitsprogramme zeigen im Test nur eine durchschnittliche Leistung Seit Flashback ist nichts mehr, wie es einmal war. Der Mac-Trojaner hat Apple-Nutzer nachhaltig verunsichert. Schließlich galt jahrelang, dass Virenschutz für Macs mangels Bedrohung unnötig ist. Hat sich die Lage nun geändert? VON DIRK AVERESCHBremen. Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch Tests stellen den Programmen kein gutes Zeugnis aus. Macht nichts, sagen Experten. Man könne Macs auch weiter ohne Scanner nutzen - Umsicht vorausgesetzt.Flashback rüttelte im April 2012 die MacNutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. Schnell waren weltweit Hunderttausende Macs befallen, die zum Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum.Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift "Mac&i" getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein "enttäuschendes" Ergebnis. "Keiner erkannte alle MacViren, obwohl die Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel hatten", lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten.Schwache Erken- nungsquoten"Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des Schädlings", heißt es im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder Scanner: Der beste enttarnte nur 82 Prozent der Schädlinge. Von den bei Windows-Scannern üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der Phishing-Abwehr schnitten die Programme nicht besonders gut ab.Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. "Aus unserer Sicht ist das angesichts der Bedrohungslage nicht notwendig", sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik. Daran habe Flashback nichts geändert. Trotzdem gelte auch für Mac-Nutzer: "Mit offenen Augen und gesundem Menschenverstand durch die Welt gehen."Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen. Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware - ebenso wie das Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter "Softwareaktualisierung" stets aktuell gehalten werden, rät Griese. Das UpdateIntervall stellt man am besten auf "täglich".Gute 90 Prozent aller Computer s. Kein Wunder, dass laufen mit Windows. sich Programmierer von Schadsoftware nach wie vor auf diesen "Markt" konzentrieren. Trotzdem: "Flashback hat gezeigt, dass auch Mac OS X angreifbar ist", sagt Professor Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem gibt, treffen sie oft Unvorbereitete: "Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser."Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. "Sie bietet nie hundertprozentigen Schutz", sagt der Professor. Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei deshalb auch für Mac-Nutzer Vorsicht im Internet unabdingbar. "Nicht auf alles zu klicken und ein gesundes Misstrauen helfen sehr", rät Holz.Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz erweitern möchte, kann zu Erweiterungen wie Web Of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von Bewertungen, die die Nutzer abgegeben haben, und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den Einstellungen des Browsers kann die Sicherheit erheblich steigern. "Bei Java empfehlen wir immer, es nur zu aktivieren, wenn man es braucht", sagt Tim Griese.Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard kam eine SchadsoftwareErkennung hinzu (Xprotect) - die im "Mac&i"-Test aber nur einmal Alarm schlug.Mac-Scanner hinken hinterhern In einem Test von sechs Mac-Virenscannern der Zeitschrift "Mac&i" brachte es der beste Prüfling, Kaspersky AntiVirus 2011, auf eine Erkennungsrate von 82 Prozent. Mit 78 Prozent kaum schlechter schnitt das kostenlose Sophos Anti-Virus ab. Verglichen mit Windows-Scannern, die ein Vielfaches an Schädlingen erkennen müssen und trotzdem Quoten von weit über 90 Prozent erreichen, ist das zu wenig. Recklinghäuser Zeitung vom 06.07.2012 Seite: 30 Gattung: Tageszeitung Ressort: Service: Multimedia Auflage: 66.639 (gedruckt) 60.386 (verkauft) 62.148 (verbreitet) Ausgabe: Recklinghausen | Hauptausgabe Reichweite: 0,14 (in Mio.) Im Tal der Sorglosen Brauchen Macs Virenschutz? von Dirk Averesch (dpa) Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Be drohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch Tests stellen den Programmen kein gutes Zeugnis aus. Macht nichts, sagen Experten. Man kann Macs auch weiter ohne Scanner nutzen – Umsicht vorausgesetzt. Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum. Am Markt gibt es ein Dutzend MacVirenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift „Mac&i“ getestet – mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein „enttäuschendes“ Ergebnis. „Keiner erkannte alle Mac Viren, obwohl die Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel hatten“, lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Viren-scanner tatsächlich Schutz vor Flashback geboten. „Selbst Wochen später kennen die geteWörter: Urheberinformation: © 2012 PMG Presse-Monitor GmbH steten AV-Programme nicht alle im Umlauf befindlichen Varianten des Schädlings“, heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder Scanner: Der beste enttarnte nur 82 Prozent der Schädlinge. Von den bei WindowsScannern üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der PhishingAbwehr schnitten die Programme nicht besonders gut ab. Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. „Aus unserer Sicht ist das angesichts der Bedrohungslage nicht notwendig“, sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback nichts geändert. Trotzdem gelte auch für Mac-Nutzer: „Mit offenen Augen und gesundem Menschenverstand durch die Welt gehen.“ Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen. Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware – ebenso wie das Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter „Softwareaktualisierung“ stets aktuell gehalten werden, rät Griese. Das UpdateIntervall stellt man am besten auf „täglich“. Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von Schadsoft ware nach wie vor auf diesen „Markt“ konzentrieren. Trotzdem: „Flashback hat gezeigt, dass auch Mac OS X angreifbar ist“ ist“, 610 (c)Verlag J. Bauer KG sagt Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität B Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem gibt, treffen sie oft Unvorbereitete: „Die typischen Mac-Nutzer sind vermutlich ein wenig sorg loser.“ Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. „Sie bietet nie hundertprozentigen Schutz“, sagt der Professor. Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei deshalb auch für MacNutzer Vorsicht im Internet unabdingbar. „Nicht auf alles klicken und ein gesundes Misstrauen helfen sehr“, rät Holz. Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz erweitern möchte, kann zu Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den Einstellungen des Browsers kann die Sicherheit erheblich steigern. „Bei Java empfehlen wir immer, es nur zu aktivieren, wenn man es braucht“, sagt Tim Griese. Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard kam eine SchadsoftwareErkennung hinzu (Xprotect) - die im „Mac&i“-Test aber nur einmal Alarm schlug. Kölnische Rundschau - Auch Apple-Nutzer sind nicht vor Viren gefeit 1 von 2 http://www.rundschau-online.de/service/-apple-rechner-auch-mac-user... Service - iMacs und MacBooks Flashback hat es deutlich gemacht: Auch Mac-User sind von Viren nicht sicher. Foto: dpa Der Trojaner Flashback hat es deutlich vor Augen geführt: Auch Apple-Rechner sind von Viren bedroht. Schließlich galt jahrelang, dass Virenschutz für den Mac mangels Bedrohung unnötig ist. Vor welchen Gefahren sollten man sich schützen? Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch Tests stellen den Programmen kein gutes Zeugnis aus. Macht nichts, sagen Experten. Man kann iMacs und MacBooks auch weiter ohne Scanner nutzen – Umsicht vorausgesetzt. Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum. Wie gut sind Virenscanner für den Mac? Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift „Mac&i“ getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein „enttäuschendes“ Ergebnis. „Keiner erkannte alle Mac-Viren, obwohl die Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel hatten“, lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten. „Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des Schädlings“, heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder Scanner: Der beste Prüfling, Kaspersky Anti-Virus 2011, brachte auf eine Erkennungsrate von 82 Prozent. Mit 78 Prozent kaum schlechter schnitt das kostenlose Sophos Anti-Virus ab. Von den bei Windows-Scannern üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der Phishing-Abwehr schnitten die Programme nicht besonders gut ab. Was sollten Mac-User beachten? 10.07.2012 08:30 Kölnische Rundschau - Auch Apple-Nutzer sind nicht vor Viren gefeit 2 von 2 http://www.rundschau-online.de/service/-apple-rechner-auch-mac-user... Experten halten Mac-Virenscanner derzeit für verzichtbar. „Aus unserer Sicht ist das angesichts der Bedrohungslage nicht notwendig“, sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback nichts geändert. Trotzdem gelte auch für Mac-Nutzer: „Mit offenen Augen und gesundem Menschenverstand durch die Welt gehen.“ Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen. Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware – ebenso wie das Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter „Softwareaktualisierung“ stets aktuell gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf „täglich“. Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von Schadsoftware nach wie vor auf diesen „Markt“ konzentrieren. Trotzdem: „Flashback hat gezeigt, dass auch Mac OS X angreifbar ist“, sagt Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit y t an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem gibt, treffen sie oft Unvorbereitete: „Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser.“ Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. „Sie bietet nie hundertprozentigen Schutz“, sagt der Professor. Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei deshalb auch für Mac-Nutzer Vorsicht im Internet unabdingbar. „Nicht auf alles klicken und ein gesundes Misstrauen helfen sehr“, rät Holz. Welchen Phishing-Schutz gibt es? Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz erweitern möchte, kann zu Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den Einstellungen des Browsers kann die Sicherheit erheblich steigern. „Bei Java empfehlen wir immer, es nur zu aktivieren, wenn man es braucht“, sagt Tim Griese. Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu (Xprotect) – die im „Mac&i“-Test aber nur einmal Alarm schlug. (dpa) Artikel URL: http://www.rundschau-online.de/service/-apple-rechner-auch-mac-user-sind-von-virenbedroht,16129094,16581812.html Copyright © 2010 Frankfurter Rundschau 10.07.2012 08:30 DER NEUE TAG vom 10.07.2012 Autor: Von Dirk Averesch, dpa Ausgabe: DER NEUE TAG Gesamtausgabe/Mantel Seite: Ressort: 47 Computer Gattung: Auflage: Rubrik: Gesamtausgabe Reichweite: Tageszeitung 85.640 (gedruckt) 78.741 (verkauft) 81.668 (verbreitet) 0,21 (in Mio.) Im Tal der Sorg- und Ahnungslosen Seit Flashback ist nichts mehr, wie es einmal war: Brauchen auch Apple-Macs einen Virenschutz? Berlin. Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind Pflicht. Viele AppleJünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre MacScanner trommeln. Doch Tests stellen den Programmen kein gutes Zeugnis aus. Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum. Schwache Scanner Am Markt gibt es ein Dutzend MacVirenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift "Mac&i" getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein "enttäuschendes" Ergebnis. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten. "Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des Schädlings", heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder Scanner: Der beste enttarnte nur 82 Prozent der Schädlinge. Von den bei WindowsScannern üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der PhishingAbwehr schnitten die Programme nicht besonders gut ab. Wörter: © 2012 PMG Presse-Monitor GmbH 566 Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. "Aus unserer Sicht ist das angesichts der Bedrohungslage nicht notwendig", sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback nichts geändert. Trotzdem gelte auch für Mac-Nutzer: "Mit offenen Augen und gesundem Menschenverstand durch die Welt gehen." Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen. Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware - ebenso wie das Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter "Softwareaktualisierung" stets aktuell gehalten werden, rät Griese. Das UpdateIntervall stellt man am besten auf "täglich". Nicht auf alles klicken Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von Schadsoftware nach wie vor auf diesen Markt konzentrieren. Trotzdem: "Flashback hat gezeigt, dass auch Mac OS X angreifbar ist", sagt Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem gibt, treffen sie oft Unvorbereitete: "Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser." Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. "Sie bietet nie hundertprozentigen Schutz", sagt der Professor. Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei deshalb auch für MacNutzer Vorsicht im Internet unabdingbar. "Nicht auf alles klicken und ein gesundes Misstrauen helfen sehr", rät Holz. Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz erweitern möchte, kann zu Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den Einstellungen des Browsers kann die Sicherheit erheblich steigern. "Bei Java empfehlen wir immer, es nur zu aktivieren, wenn man es braucht", sagt Tim Griese. Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu (Xprotect) - die im "Mac&i"-Test aber nur einmal Alarm schlug. Berliner Kurier - Viren bedrohen auch Apple-Rechner 1 von 2 http://www.berliner-kurier.de/digital/-apple-rechner-auch-mac-user-sin... Digital - 7.7.2012 iMacs und MacBooks Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch Tests stellen den Programmen kein gutes Zeugnis aus. Macht nichts, sagen Experten. Man kann iMacs und MacBooks auch weiter ohne Scanner nutzen – Umsicht vorausgesetzt. Virenalarm auf dem Mac: Der Flashback-Trojaner hat gezeigt, dass auch Apple-Rechner verwundbar sind. Foto: dpa Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum. Wie gut sind Virenscanner für den Mac? Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift „Mac&i“ getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein „enttäuschendes“ Ergebnis. „Keiner erkannte alle Mac-Viren, obwohl die Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel hatten“, lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten. „Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des Schädlings“, heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder Scanner: Der beste Prüfling, Kaspersky Anti-Virus 2011, brachte auf eine Erkennungsrate von 82 Prozent. Mit 78 Prozent kaum schlechter schnitt das kostenlose Sophos Anti-Virus ab. Von den bei Windows-Scannern üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der Phishing-Abwehr schnitten die Programme nicht besonders gut ab. Was sollten Mac-User beachten? Experten halten Mac-Virenscanner derzeit für verzichtbar. „Aus unserer Sicht ist das angesichts der Bedrohungslage nicht notwendig“, sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback nichts geändert. Trotzdem gelte auch für Mac-Nutzer: „Mit offenen Augen und gesundem Menschenverstand durch die Welt gehen.“ Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen. Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware – ebenso wie das Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter „Softwareaktualisierung“ stets aktuell gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf „täglich“. 12.07.2012 08:24 Berliner Kurier - Viren bedrohen auch Apple-Rechner 2 von 2 http://www.berliner-kurier.de/digital/-apple-rechner-auch-mac-user-sin... Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von Schadsoftware nach wie vor auf diesen „Markt“ konzentrieren. Trotzdem: „Flashback hat gezeigt, dass auch Mac OS X angreifbar ist“, sagt Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das A pple-Betriebssystem gibt, treffen sie oft Unvorbereitete: „Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser.“ Apple-Betriebssystem A ntivirensoftware ist immer nur Teil des Sicherheitskonzepts. „Sie bietet nie hundertprozentigen Schutz“, sagt der Antivirensoftware Professor. Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei deshalb auch für Mac-Nutzer Vorsicht im Internet unabdingbar. „Nicht auf alles klicken und ein gesundes Misstrauen helfen sehr“, rät Holz. Welchen Phishing-Schutz gibt es? Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz erweitern möchte, kann zu Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den Einstellungen des Browsers kann die Sicherheit erheblich steigern. „Bei Java empfehlen wir immer, es nur zu aktivieren, wenn man es braucht“, sagt Tim Griese. Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu (Xprotect) – die im „Mac&i“-Test aber nur einmal Alarm schlug. (dpa) Artikel URL: http://www.berliner-kurier.de/digital/-apple-rechner-auch-mac-user-sind-von-virenbedroht,7168826,16596506.html Copyright © 2011 Berliner Kurier 12.07.2012 08:24 Druckansicht: Im Tal der Sorglosen: Brauchen Macs Virenschutz? http://www.fnp.de/ndp/print_rmn01.c.9984672.de.htm 10.07.2012 Im Tal der Sorglosen: Brauchen Macs Virenschutz? Von Dirk Averesch, dpa Seit Flashback ist nichts mehr, wie es einmal war. Der Mac-Trojaner hat Apple-Nutzer nachhaltig verunsichert. Schließlich galt jahrelang, dass Virenschutz für Macs mangels Bedrohung unnötig ist. Hat sich die Lage nun geändert? Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht Virenalarm auf dem Mac: Der Flashback-Trojaner hat gezeigt, dass auch Apple-Rechner verwundbar sind. Foto: Andrea Warnecke sind Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch Tests stellen den Programmen kein gutes Zeugnis aus. Macht nichts, sagen Experten. Man kann Macs auch weiter ohne Scanner nutzen - Umsicht vorausgesetzt. Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum. Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift "Mac&i" getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein "enttäuschendes" Ergebnis. "Keiner erkannte alle Mac-Viren, obwohl die Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel hatten", lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten. "Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des Schädlings", heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder Scanner: Der beste enttarnte nur 82 Prozent der Schädlinge. Von den bei Windows-Scannern üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der Phishing-Abwehr schnitten die Programme nicht besonders gut ab. Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. "Aus unserer Sicht ist das angesichts der Bedrohungslage nicht notwendig", sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback nichts geändert. Trotzdem gelte auch für Mac-Nutzer: "Mit offenen Augen und gesundem Menschenverstand durch die Welt gehen." Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen. Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware ebenso wie das Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter "Softwareaktualisierung" stets aktuell gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf "täglich". Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von Schadsoftware nach wie vor auf diesen "Markt" konzentrieren. Trotzdem: "Flashback hat gezeigt, dass auch 1 von 2 12.07.2012 08:10 Druckansicht: Im Tal der Sorglosen: Brauchen Macs Virenschutz? http://www.fnp.de/ndp/print_rmn01.c.9984672.de.htm Mac OS X angreifbar ist", sagt Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem gibt, treffen sie oft Unvorbereitete: "Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser." Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. "Sie bietet nie hundertprozentigen Schutz", sagt der Professor. Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei deshalb auch für Mac-Nutzer Vorsicht im Internet unabdingbar. "Nicht auf alles klicken und ein gesundes Misstrauen helfen sehr", rät Holz. Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz erweitern möchte, kann zu Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den Einstellungen des Browsers kann die Sicherheit erheblich steigern. "Bei Java empfehlen wir immer, es nur zu aktivieren, wenn man es braucht", sagt Tim Griese. Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu (Xprotect) - die im "Mac&i"-Test aber nur einmal Alarm schlug. Hier geht es zum Apple-Support Web of Trust für verschiedene Browser (engl.) Mac- hinken Windows-Scannern hinterher In einem Test von sechs Mac-Virenscannern der Zeitschrift "Mac&i" brachte es der beste Prüfling, Kaspersky Anti-Virus 2011, auf eine Erkennungsrate von 82 Prozent. Mit 78 Prozent kaum schlechter schnitt das kostenlose Sophos Anti-Virus ab. Verglichen mit Windows-Scannern, die ein Vielfaches an Schädlingen erkennen müssen und trotzdem Quoten von weit über 90 Prozent erreichen, ist das zu wenig. © 2012 Bad Vilbeler Neue Presse 2 von 2 12.07.2012 08:10 Hamburger Morgenpost - Viren bedrohen auch Apple-Rechner 1 von 2 http://www.mopo.de/digital/-apple-rechner-auch-mac-user-sind-von-vi... Digital - 7.7.2012 IMACS UND MACBOOKS Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch Tests stellen den Programmen kein gutes Zeugnis aus. Macht nichts, sagen Experten. Man kann iMacs und MacBooks auch weiter ohne Scanner nutzen – Umsicht vorausgesetzt. Virenalarm auf dem Mac: Der Flashback-Trojaner hat gezeigt, dass auch Apple-Rechner verwundbar sind. Foto: dpa Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum. Wie gut sind Virenscanner für den Mac? Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift „Mac&i“ getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein „enttäuschendes“ Ergebnis. „Keiner erkannte alle Mac-Viren, obwohl die Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel hatten“, lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten. „Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des Schädlings“, heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder Scanner: Der beste Prüfling, Kaspersky Anti-Virus 2011, brachte auf eine Erkennungsrate von 82 Prozent. Mit 78 Prozent kaum schlechter schnitt das kostenlose Sophos Anti-Virus ab. Von den bei Windows-Scannern üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der Phishing-Abwehr schnitten die Programme nicht besonders gut ab. Was sollten Mac-User beachten? Experten halten Mac-Virenscanner derzeit für verzichtbar. „Aus unserer Sicht ist das angesichts der Bedrohungslage nicht notwendig“, sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback nichts geändert. Trotzdem gelte auch für Mac-Nutzer: „Mit offenen Augen und gesundem Menschenverstand durch die Welt gehen.“ Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen. Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware – ebenso wie das Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter „Softwareaktualisierung“ stets aktuell gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf 12.07.2012 08:31 Hamburger Morgenpost - Viren bedrohen auch Apple-Rechner 2 von 2 http://www.mopo.de/digital/-apple-rechner-auch-mac-user-sind-von-vi... „täglich“. Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von Schadsoftware nach wie vor auf diesen „Markt“ konzentrieren. Trotzdem: „Flashback hat gezeigt, dass auch Mac OS X angreifbar ist“, sagt Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das A pple-Betriebssystem gibt, treffen sie oft Unvorbereitete: „Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser.“ Apple-Betriebssystem A ntivirensoftware ist immer nur Teil des Sicherheitskonzepts. „Sie bietet nie hundertprozentigen Schutz“, sagt der Antivirensoftware Professor. Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei deshalb auch für Mac-Nutzer Vorsicht im Internet unabdingbar. „Nicht auf alles klicken und ein gesundes Misstrauen helfen sehr“, rät Holz. Welchen Phishing-Schutz gibt es? Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz erweitern möchte, kann zu Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den Einstellungen des Browsers kann die Sicherheit erheblich steigern. „Bei Java empfehlen wir immer, es nur zu aktivieren, wenn man es braucht“, sagt Tim Griese. Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu (Xprotect) – die im „Mac&i“-Test aber nur einmal Alarm schlug. (dpa) Artikel URL: http://www.mopo.de/digital/-apple-rechner-auch-mac-user-sind-von-viren-bedroht,5066770,16596506.html Copyright © 2011 Hamburger Morgenpost 12.07.2012 08:31 Im Tal der Sorglosen: Brauchen Macs Virenschutz? - Münstersche Zeitung http://www.muensterschezeitung.de/leben/digitale_welt/multimedia_n... Berlin (dpa/tmn) Seit Flashback ist nichts mehr, wie es einmal war. Der Mac-Trojaner hat Apple-Nutzer nachhaltig verunsichert. Schließlich galt jahrelang, dass Virenschutz für Macs mangels Bedrohung unnötig ist. Hat sich die Lage nun geändert? Von Dirk Averesch, dpa Virenalarm auf dem Mac: Der Flashback-Trojaner hat gezeigt, dass auch Apple-Rechner verwundbar sind. Foto: Andrea Warnecke (Foto: dpa) Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch Tests stellen den Programmen kein gutes Zeugnis aus. Macht nichts, sagen Experten. Man kann Macs auch weiter ohne Scanner nutzen Umsicht vorausgesetzt. Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum. Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift «Mac&i» getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein «enttäuschendes» Ergebnis. «Keiner erkannte alle Mac-Viren, obwohl die Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel hatten», lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten. «Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des Schädlings», heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder Scanner: Der beste enttarnte nur 82 Prozent der Schädlinge. Von den bei Windows-Scannern üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der Phishing-Abwehr schnitten die Programme nicht besonders gut ab. Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. «Aus unserer Sicht ist das angesichts der Bedrohungslage nicht notwendig», sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback nichts geändert. Trotzdem gelte auch für Mac-Nutzer: «Mit offenen Augen und gesundem Menschenverstand durch die Welt gehen.» Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen. Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware - ebenso wie das Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter «Softwareaktualisierung» stets aktuell gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf «täglich». 1 von 2 12.07.2012 08:52 Im Tal der Sorglosen: Brauchen Macs Virenschutz? - Münstersche Zeitung http://www.muensterschezeitung.de/leben/digitale_welt/multimedia_n... Hier geht es zum Apple-Support Web of Trust für verschiedene Browser (engl.) In einem Test von sechs Mac-Virenscannern der Zeitschrift «Mac&i» brachte es der beste Prüfling, Kaspersky Anti-Virus 2011, auf eine Erkennungsrate von 82 Prozent. Mit 78 Prozent kaum schlechter schnitt das kostenlose Sophos Anti-Virus ab. Verglichen mit Windows-Scannern, die ein Vielfaches an Schädlingen erkennen müssen und trotzdem Quoten von weit über 90 Prozent erreichen, ist das zu wenig. Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von Schadsoftware nach wie vor auf diesen «Markt» konzentrieren. Trotzdem: «Flashback hat gezeigt, dass auch Mac OS X angreifbar ist», sagt Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem gibt, treffen sie oft Unvorbereitete: «Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser.» Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. «Sie bietet nie hundertprozentigen Schutz», sagt der Professor. Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei Vorsicht im Internet unabdingbar. «Nicht auf alles klicken und ein gesundes Misstrauen helfen deshalb auch fürr Mac-Nutzer M sehr», rät Holz. Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz erweitern möchte, kann zu Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den Einstellungen des Browsers kann die Sicherheit erheblich steigern. «Bei Java empfehlen wir immer, es nur zu aktivieren, wenn man es braucht», sagt Tim Griese. Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu (Xprotect) - die im «Mac&i»-Test aber nur einmal Alarm schlug. Das könnte Sie auch interessieren 23-jährige Schülerin aus Ibbenbüren getötet IBBENBÜREN Das Schicksal der vermissten 23-jährigen Schülerin Natali Isajenko aus Ibbenbüren ist... mehr Jetzt einstreichen: o2 Blue Allnet Professional Alle-Netze-Flat + Extras für Selbständige. Kostenlose Hotline – Jetzt beraten lassen und gewinnen mehr Wilhelm Schulz ist tot STEINFURT Der ehemalige StadtwerkeGeschäftsführer Wilhelm Schulz ist tot. Er nahm sich am... mehr Uni Münster entzieht Arzt den Doktortitel Die brisante Nachricht kam am Donnerstagabend um kurz nach 20 Uhr per Mail: Die Medizinische... mehr Fußball-Bundesliga: 1. FC Köln - BVB Schlechtes Wetter, gutes Spiel: Der BVB bleibt in der Erfolgsspur. Beim 1. FC Köln gewannen die... mehr Heizkostenrechnung zu hoch? Eine Carbon Fassadendämmung spart bis zu 40% Heizkosten. Und erhält die Bausubstanz für lange Zeit. mehr hier werben 2 von 2 powered by plista 12.07.2012 08:52 Im Tal der Sorglosen: Brauchen Macs Virenschutz? | WESER-KURIER 1 von 2 http://www.weser-kurier.de/Druckansicht/Ratgeber/Multimedia/News/... http://www.weser-kurier.de/Artikel/Ratgeber/Multimedia/News/626028/Im-Talder-Sorglosen%3A-Brauchen-Macs-Virenschutz%3F.html Verbraucher - 11.07.2012 Im Tal der Sorglosen: Brauchen Macs Virenschutz? Berlin. Seit Flashback ist nichts mehr, wie es einmal war. Der Mac-Trojaner hat Apple-Nutzer nachhaltig verunsichert. Schließlich galt jahrelang, dass Virenschutz für Macs mangels Bedrohung unnötig ist. Hat sich die Lage nun geändert? Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch Tests © dpa stellen den Programmen kein gutes Zeugnis Virenalarm auf dem Mac: Der Flashback-Trojaner hat gezeigt, dass auch Apple-Rechner verwundbar sind. Foto: Andrea Warnecke aus. Macht nichts, sagen Experten. Man kann Macs auch weiter ohne Scanner nutzen - Umsicht vorausgesetzt. Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum. Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift "Mac&i" getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein "enttäuschendes" Ergebnis. "Keiner erkannte alle Mac-Viren, obwohl die Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel hatten", lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten. "Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des Schädlings", heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder Scanner: Der beste enttarnte nur 82 Prozent der Schädlinge. Von den bei WindowsScannern üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der Phishing-Abwehr schnitten die Programme nicht besonders gut ab. Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. "Aus unserer Sicht ist das angesichts der Bedrohungslage nicht notwendig", sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback nichts geändert. Trotzdem gelte auch für Mac-Nutzer: "Mit offenen Augen und gesundem Menschenverstand durch die Welt gehen." Dazu gehöre zum Beispiel, nicht 12.07.2012 08:36 Im Tal der Sorglosen: Brauchen Macs Virenschutz? | WESER-KURIER 2 von 2 http://www.weser-kurier.de/Druckansicht/Ratgeber/Multimedia/News/... gleich jeden Mailanhang zu öffnen. Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware - ebenso wie das Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter "Softwareaktualisierung" stets aktuell gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf "täglich". Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von Schadsoftware nach wie vor auf diesen "Markt" konzentrieren. Trotzdem: "Flashback hat gezeigt, dass auch Mac OS X angreifbar ist", sagt Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem gibt, treffen sie oft Unvorbereitete: "Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser." Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. "Sie bietet nie hundertprozentigen Schutz", sagt der Professor. Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei deshalb auch für Mac-Nutzer Vorsicht im Internet unabdingbar. "Nicht auf alles klicken und ein gesundes Misstrauen helfen sehr", rät Holz. Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz erweitern möchte, kann zu Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den Einstellungen des Browsers kann die Sicherheit erheblich steigern. "Bei Java empfehlen wir immer, es nur zu aktivieren, wenn man es braucht", sagt Tim Griese. Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu (Xprotect) - die im "Mac&i"-Test aber nur einmal Alarm schlug. (dpa/tmn) 12.07.2012 08:36 Echo Online - Mac-Trojaner verunsichert Apple-Nutzer 1 von 1 DIGITALES http://www.echo-online.de/freizeit/multimedia/digitales/Mac-Trojaner-... 13. Juli 2012 | | Von Dirk Averesch | Mac-Trojaner verunsichert Apple-Nutzer Virengefahr – Bisher fühlten sich Apple-Nutzer gegen Schadsoftware gefeit, doch der Flashback-Trojaner hat die Illusionen zerstört Seit Flashback ist nichts mehr, wie es einmal war. Der Mac-Trojaner hat Apple-Nutzer nachhaltig verunsichert. Schließlich galt jahrelang, dass Virenschutz für Macs mangels Bedrohung unnötig ist. Offenbar hat sich die Lage nun geändert. Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch Tests stellen den Programmen kein gutes Zeugnis aus. Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum. Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift „Mac&i“ getestet – mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein „enttäuschendes“ Ergebnis. „Keiner erkannte alle Mac-Viren, obwohl die Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel hatten“, lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner Schutz vor Flashback geboten. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder Scanner. Auch bei der Verhaltenserkennung von Schädlingen und der Phishing-Abwehr schnitten die Programme nicht besonders gut ab. Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. „Aus unserer Sicht ist das angesichts der Bedrohungslage nicht notwendig“, sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback nichts geändert. Trotzdem gelte auch für Mac-Nutzer: „Mit offenen Augen und gesundem Menschenverstand durch die Welt gehen.“ Dazu gehöre zum Beispiel, nicht jeden Mailanhang zu öffnen. Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware – ebenso wie Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter „Softwareaktualisierung“ stets aktuell gehalten werden, rät Griese. Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von Schadsoftware nach wie vor auf diesen „Markt“ konzentrieren. Trotzdem: „Flashback hat gezeigt, dass auch Mac OS X angreifbar ist“, sagt Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das AppleBetriebssystem gibt, treffen sie oft Unvorbereitete: „Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser. sorgloser.“ Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz erweitern möchte, kann zu Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den Einstellungen des Browsers kann die Sicherheit erheblich steigern. „Bei Java empfehlen wir immer, es nur zu aktivieren, wenn man es braucht“, sagt Tim Griese. Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu (Xprotect), die im „Mac&i“-Test aber nur einmal Alarm schlug. 16.07.2012 09:00 Geldinstitute 1 von 1 http://www.geldinstitute.de/data/news/druck/drucklayout_7595731.html Home » Nachrichten 13.07.2012 Sicherheit im Cyberspace Um die Unternehmen der Technologie-Region Karlsruhe über die aktuelle Entwicklung der Risiken und Bedrohungen sowie mögliche Schutzmaßnahmen zu informieren, führte die Karlsruher IT-Sicherheitsinitiative zusammen mit der IHK Karlsruhe, dem Kompetenzzentrum für angewandte Sicherheitstechnologie am KIT und dem CyberForum e.V. bereits das vierte Jahr in Folge den „Tag der IT-Sicherheit“ durch. Den Vorträgen folgten knapp 110 Verantwortliche für Datenschutz und Datensicherheit aus den Unternehmen der Region. Nach einem Einblick in aktuelle Angriffstechniken („Live-Hacking“) des aus Fernsehauftritten bekannten Sebastian Schreiber, Geschäftsführer der SySS GmbH, zeigte Professor Güneysu von der Ruhr-Universität Bochum welchen Bedrohungen Hardware-Systeme wie Chipkarten, Garagentoröffner oder Autoschlüssel heute ausgesetzt sind. Professor Müller-Quade, Leiter des Instituts für Kryptographie und Sicherheit am KIT und Mitinitiator von KASTEL, stellte anschließend vor, welche „Wunder“ mit Verschlüsselungstechniken möglich sind. Wie Sicherheit im Unternehmen von Anfang an, also „by Design“ berücksichtigt werden kann, zeigte Wolfgang Reibenspies, Chief Information Security Officer (CISO) bei der EnBW. Abschließend skizzierte Dr. Boris Hemkemeier von der Commerzbank AG, welche sicherheitstechnischen Herausforderungen eine Internet-Anwendung wie OnlineBanking für den Anbieter darstellt – und wie Banken sich und ihre Kunden heute vor den Bedrohungen aus dem „Cyberspace“schützen. Die Vorträge zum „4. Tag der Sicherheit“ stehen ab dem 17. Juli 2012 online unter www.tag-der-it-sicherheit.de zum Download bereit. 16.07.2012 08:15 Nach dem Angriff auf die Seiten der Stadt Bochum jagt der Staatsanwa... 1 von 3 http://www.derwesten.de/staedte/bochum/nach-dem-angriff-auf-die-sei... 18.07.2012 08:34 Nach dem Angriff auf die Seiten der Stadt Bochum jagt der Staatsanwa... 2 von 3 http://www.derwesten.de/staedte/bochum/nach-dem-angriff-auf-die-sei... 18.07.2012 08:34 Nach dem Angriff auf die Seiten der Stadt Bochum jagt der Staatsanwa... 3 von 3 http://www.derwesten.de/staedte/bochum/nach-dem-angriff-auf-die-sei... 18.07.2012 08:34 Mantelbogen Bochum 18.07.2012 Mantelbogen Bochum 17.07.2012 Cloud-Computing-21.de vom 23.07.2012 Seite: Online 23.07.2012, 18:36 Uhr Gattung: Weblink: Online-Quelle http://www.cloud-computing-21.de/nc/cloudcomputing-news/artikel/59286-eco-it-sicherheit-in-nrw-durch-netzwerk/256/ Nummer: 459605989 Eco: IT-Sicherheit in NRW durch Netzwerk Starkes Netzwerk IT-Sicherheit.NRW gegen Bedrohungen Köln, 23.07.12 - Unternehmen gegen Sicherheitsrisiken wappnen, Wissenschaft und Wirtschaft zusammenbringen und Trends in die Zukunft begleiten - das hat sich das Netzwerk ITSicherheit.NRW auf die Fahnen geschrieben. Gemeinsam setzen sich das Horst Götz Institut für IT-Sicherheit (HGI) der Ruhr-Universität Bochum, die networker NRW und eco - Verband der deutschen Internetwirtschaft in dem Projekt für mehr IT-Sicherheit am Standort NRW ein. Unterstützt werden sie dabei von der IHK Mittleres Ruhrgebiet, dem Europäischen Kompetenzzentrum für IT-Sicherheit (eurobits) und der Wirtschaftsförderung der Stadt Bochum. Das Ministerium für Wirtschaft, Energie, Bauen, Wohnen und Verkehr des Landes Nordrhein-Westfalen hat jetzt die Projektförderung bewilligt. "IT-Sicherheit ist für den Erfolg von Unternehmen ein zentrales Thema: Jedes Unternehmen muss wissen, wie es Firmengeheimnisse schützt und Infrastrukturen absichert. Auf neue BedroWörter: © 2012 PMG Presse-Monitor GmbH 361 hungen müssen wir sehr schnell reagieren können. Dabei will das Netzwerk IT-Sicherheit.NRW helfen. Mit über 300 Unternehmen aus der SecurityBranche und 20 Hochschul- und Forschungseinrichtungen ist NordrheinWestfalen der ideale Standort für ein solches Netzwerk - ein europäischer Spitzenplatz", sagt eco Geschäftsführer Harald A. Summa. Prof. Alexander May, geschäftsführender Direktor des Horst Görtz Instituts für IT-Sicherheit der Ruhr-Universität Bochum, ergänzt: "Der IT-Sicherheit kommt eine zentrale Rolle in unserer heutigen digitalen Welt zu. Das Land NRW beheimatet eine Fülle von Spezialisten, sowohl in der Industrie als auch in der Wissenschaft, die unterschiedliche Aspekte von ITSicherheit abdecken. Das Projekt ITSicherheit.NRW fördert deren Zusammenarbeit und erhöht ihre Sichtbarkeit nach außen." "Die von Seiten des Landes NRW erfolgte Bewilligung gibt uns nun die Planungssicherheit und Möglichkeit, die Aktivitäten um das Thema IT-Sicherheit in Nordrhein-Westfalen gemeinsam mit dem HGI und dem eco zu forcieren. Wir haben ein großes Potenzial, das sukzessive ausgebaut werden kann", so Hubert Martens, Geschäftsführer des networker NRW e. V. IT-Sicherheit.NRW wird mit Fachvorträgen und Expertenworkshops zu Sicherheitsrisiken und Schutzmaßnahmen informieren, Netzwerke zwischen Innovationspartnern fördern und ein Karriereforum für Unternehmen und Hochschulabsolventen im Bereich ITSicherheit aufbauen. Der Fokus des Projekts liegt auf der Netzwerk- und Datensicherheit, Sicherheit im E-Business, Cloud Computing und IT-Recht. finden sich aktuelle Termine für Veranstaltungen des Netzwerks, beispielsweise die Internet Security Days vom 11. bis 12. September 2012 im Phantasialand in Brühl bei Köln. (jpp) Regionales Netzwerk gegen IT-Bedrohungen - Computer Reseller News 1 von 1 http://www.crn.de/security/artikel-96156.html Computer Reseller News Home » Security IT-Sicherheit für NRW: Regionales Netzwerk gegen IT-Bedrohungen von Folker Lück ([email protected]) 23.07.2012 Das neugegründete Netzwerk »IT-Sicherheit.NRW« hat sich auf die Fahnen geschrieben, Unternehmen gegen Sicherheitsrisiken zu wappnen, Wissenschaft und Wirtschaft zusammenzubringen und Zukunftstrends zu ermitteln. Für mehr IT-Sicherheit im Bundesland Nordrhein-Westfalen setzen sich künftig das Horst Götz Institut für IT-Sicherheit (HGI), die Ruhr-Universität Bochum und die Verbände »networker NRW« und »eco – Verband der deutschen Internetwirtschaft« in dem Projekt ein. Unterstützt werden sie dabei von der IHK Mittleres Ruhrgebiet, dem Europäischen Kompetenzzentrum für IT-Sicherheit (eurobits) und der Wirtschaftsförderung der Stadt Bochum. Das Ministerium für Wirtschaft, Energie, Bauen, Wohnen und Verkehr des Landes Nordrhein-Westfalen hat jetzt die Projektförderung bewilligt. »IT-Sicherheit ist für den Erfolg von Unternehmen ein zentrales Thema: Jedes Unternehmen muss wissen, wie es Firmengeheimnisse schützt und Infrastrukturen absichert. Auf neue Bedrohungen müssen wir sehr schnell reagieren können. Dabei will das Netzwerk IT-Sicherheit.NRW helfen. Mit über 300 Unternehmen aus der Security-Branche und 20 Hochschul- und Forschungseinrichtungen ist Nordrhein-Westfalen der ideale Standort für ein solches Netzwerk – ein europäischer Spitzenplatz«, sagt eco Geschäftsführer Harald A. Summa. Wappen des Bundeslands Nordrhein-Westfalen: »Der ideale Standort für ein solches Netzwerk«. »IT-Sicherheit.NRW« will künftig mit Fachvorträgen und Expertenworkshops zu Sicherheitsrisiken und Schutzmaßnahmen informieren, Netzwerke zwischen Innovationspartnern fördern und ein Karriereforum für Unternehmen und Hochschulabsolventen im Bereich IT-Sicherheit aufbauen. Der Fokus des Projekts liegt auf der Netzwerk- und Datensicherheit, Sicherheit im E-Business, Cloud Computing und IT-Recht. Unter http://itsicherheit-nrw.de/ [1] finden sich aktuelle Termine für Veranstaltungen des Netzwerks, beispielsweise die Internet Security Days vom 11. bis 12. September 2012 im Phantasialand in Brühl bei Köln. [1] http://itsicherheit-nrw.de/ VERWANDTE ARTIKEL Westcon Technologietag – IT-Security trifft auf Filmgeschichte (http://www.crn.de/security/artikel-95990.html) Länder sollen für Speicherung zahlen – Eco-Verband kritisiert Vorratsdatenspeicherung (http://www.crn.de/netzwerke-tk/artikel-91067.html) 24.07.2012 08:15 Business und IT, die Zeitschrift für den erfolgreichen Geschäftsmann -... 1 von 1 http://www.business-und-it.de/news_trends_strategien/show_article.ph... Business & IT Newsletter | Preisvergleich | Software Guide Microsoft: N e w s , Tr e n d s , S t r a t e g i e n Mehr Sicherheit, mehr Performance - der neue Internet Explorer 9 von Microsoft! Lesen Sie hier mehr ... News Business & IT Newsletter Aktuelles Heft IT Strategien IT-Praxis Unternehmensführung Business-Hardware Business-Software Expertenmeinung Arbeitsdokumente KarriereCenter B2B Forum/Markt Media Impressum Online-Shop R e g i o n a l e s N e t z w e r k g e g e n I T- B e d r o h u n g e n Das neugegründete Netzwerk »IT-Sicherheit.NRW« hat sich auf die Fahnen geschrieben, Unternehmen gegen Sicherheitsrisiken zu wappnen, Wissenschaft und Wirtschaft zusammenzubringen und Zukunftstrends zu ermitteln. Für mehr IT-Sicherheit im Bundesland Nordrhein-Westfalen setzen sich künftig g das Horst Götz Institut für IT-Sicherheit (HGI), die Ruhr-Universität Bochum und die Verbände »networker NRW« und »eco - Verband der deutschen Internetwirtschaft« in dem Projekt ein. Unterstützt werden sie dabei von der IHK Mittleres Ruhrgebiet, dem Europäischen Kompetenzzentrum für IT-Sicherheit (eurobits) und der Wirtschaftsförderung der Stadt Bochum. Das Ministerium für Wirtschaft, Energie, Bauen, Wohnen und Verkehr des Landes Nordrhein-Westfalen hat jetzt die Projektförderung bewilligt.»IT-Sicherheit ist für den Erfolg von Unternehmen ein zentrales Thema: Jedes Unternehmen muss wissen, wie es Firmengeheimnisse schützt und Infrastrukturen absichert. Auf neue Bedrohungen müssen wir sehr schnell reagieren können. Dabei will das Netzwerk IT-Sicherheit.NRW helfen. Mit über 300 Unternehmen aus der Security-Branche und 20 Hochschul- und Forschungseinrichtungen ist NordrheinWestfalen der ideale Standort für ein solches Netzwerk - ein europäischer Spitzenplatz«, sagt eco Geschäftsführer Harald A. Summa.»IT-Sicherheit.NRW« will künftig mit Fachvorträgen und Expertenworkshops zu Sicherheitsrisiken und Schutzmaßnahmen informieren, Netzwerke zwischen Innovationspartnern fördern und ein Karriereforum für Unternehmen und Hochschulabsolventen im Bereich IT-Sicherheit aufbauen. Der Fokus des Projekts liegt auf der Netzwerk- und Datensicherheit, Sicherheit im E-Business, Cloud Computing und IT-Recht.Unter http://itsicherheit-nrw.de/ finden sich aktuelle Termine für Veranstaltungen des Netzwerks, beispielsweise die Internet Security Days vom 11. bis 12. September 2012 im Phantasialand in Brühl bei Köln. zurück zur Übersicht News zu IT-Lösungen: 05.07 - Dell Dell Newsletter Businesshelden view © 2000-2012 All Rights Reserved. Alle Rechte vorbehalten WEKA MEDIA PUBLISHING GmbH Verwandte Webseiten: Hardware-Tests * Office-Tipps * Webprogrammierung * Computer-Bücher * www.crn.de 24.07.2012 08:13 iX magazin vom 26.07.2012 Seite: 102 bis 107 Nummer: 08 Gattung: Zeitschrift Auflage: 59.960 (gedruckt) 42.183 (verkauft) 43.274 (verbreitet) Jahrgang: 2012 Wissen Kryptografie Kryptografie Kryptoalgorithmus für eingebettete Systeme Verschlüsseln für die Kleinen Klaus Schmeh PRESENT ist ein neues Verschlüsselungsverfahren speziell für RFID-Chips und andere ressourcenarme Hardware. Angesichts des Trends, Computer-Chips nahezu überall einzubauen (Ubiquitous Computing), ist der Bedarf an derartigen Algorithmen groß. Da PRESENT kürzlich von der ISO standardisiert wurde, könnte das Verfahren in den nächsten Jahren erheblich an Bedeutung gewinnen. Wir brauchen Sicherheit mit weniger als 2000 Gattern , forderte im Jahr 2002 der RFID-Visionär Sanjay Sarma. Gemeint war damit ein Verschlüsselungsverfahren, das sich mit einer entsprechend geringen Gatterzahl implementieren lassen sollte. Damals wie heute galt der Advanced Encryption Standard (AES) als das Maß aller Dinge, wenn es um das (symmetrische) Verschlüsseln geht [1]. Das AES-Verfahren, das im Jahr 2000 nach einem mehrjährigen Wettbewerb aus 15 Kandidaten ausgewählt wurde, ist offizieller US-Standard und hat sich auch in anderen Ländern durchgesetzt. Vom kostenlosen PC-Verschlüsselungstool über den E-Mail-Client bis zu hochsicheren Militäranwendungen ist der Algorithmus heute nahezu überall anzutreffen. Theoretische Überlegungen lassen es wahrscheinlich erscheinen, dass der AES niemals geknackt werden wird. Etwa 3000 Gatter sind notwendig, das Verfahren in Hardware zu implementieren - nach Meinung von Sarma zu viel für einen RFID-Chip. Geiz mit Gattern Neben RFID-Chips gibt es noch wei- tere Plattformen, auf denen nur geringe Hardwareressourcen zur Verfügung stehen, etwa Chipkarten, Sensoren, Autoschlüssel oder Herzschrittmacher. Verschlüsselung spielt in solchen Umgebungen eine wichtige Rolle. Man denke nur an RFID-Chips, die mit einem kryptografischen Verfahren vor Fälschung geschützt werden. Da derartige Kleinstcomputer zudem im Moment einen Boom erleben - Ziel ist das Ubiquitous Computing , also die allgegenwärtige Computertechnik -, beschäftigen sich längst zahlreiche Kryptologen mit speziell für Low-End-Umgebungen geeigneten Verschlüsselungsverfahren. Auf einem einfachen RFID-Chip stehen oft nur 5000 bis 10 000 Gatter zur Verfügung. Davon sollen möglichst wenige für die Verschlüsselung geopfert werden, am besten nicht mehr als die anfangs erwähnten 2000. Zwar lassen sich auf diese Weise meist nur Bruchteile eines Cent einsparen, doch bei großen Stückzahlen macht sich selbst das bemerkbar. Noch wichtiger als niedrige Kosten ist oft ein möglichst geringer Energieverbrauch: Ein Batteriewechsel ist in vielen eingebetteten Systemen nun einmal recht aufwendig. Da sich bei einem Verschlüsselungsverfahren die Anzahl der Gatter etwa proportional zum verbrauchten Strom verhält, lohnt sich die Sparsamkeit. Die Situation entbehrt nicht einer gewissen Komik: Während Server, PCs und Smartphones längst in Gigahertz- und Gigabyte-Dimensionen vorgestoßen sind, muss so mancher Kryptologe mit einzelnen Bytes und Gattern geizen. Hochsicherheit nicht immer nötig Angesichts dieser Voraussetzungen haben Kryptologen schon so manchen Low-End-Verschlüsselungsalgorithmus für ressourcenarme Plattformen entwickelt. Bei der Sicherheit konnten sie dabei meist Abstriche machen. So muss beispielsweise die verschlüsselte Mel- dung eines Sensors im Chemiewerk nicht für alle Zeiten unknackbar sein ein paar Tage tun es zur Not auch. Ebenso wenig würde jemand ein Millionen-Budget aufwenden, nur um ein mit RFID-Chip gesichertes Ersatzteil zu fälschen. Außerdem spielt die Verschlüsselungsgeschwindigkeit im Low-EndBereich häufig keine zentrale Rolle, da auf Sensoren, RFID-Chips und ähnlichen Plattformen meist nur kurze Nachrichten verschlüsselt werden. Die meisten Designer von Low-EndVerschlüsselungsalgorithmen setzten lange Zeit auf sogenannte Stromchiffren. Darunter versteht man ein Verfahren, das schlüsselabhängig eine scheinbar zufällige Folge von Bits produziert (Keystream), die anschließend zum Klartext addiert wird. Der Empfänger entschlüsselt, indem er den Keystream wieder abzieht. Der AES ist dagegen keine Strom-, sondern eine Blockchiffre. Es handelt sich also um ein Verfahren, das (zumindest in seiner naheliegenden Verwendungsform) keinen Keystream produziert, sondern direkt blockweise verschlüsselt. Der AES ist kein Einzelfall, denn während im Low-End-Bereich Stromchiffren populär wurden, setzten sich andernorts größtenteils Blockchiffren durch. Diese Aufteilung hat vor allem historische Gründe - es spricht nichts dagegen, auch in Umgebungen mit wenigen Ressourcen Blockchiffren zu nutzen. Tatsächlich machten sich Kryptologen vor etwa zehn Jahren erstmals daran, Blockchiffren speziell für diesen Zweck zu entwickeln. Frühe Verfahren dieser Art hießen mCrypton (2005), SEA (2006) oder HIGHT (2006). Eine nennenswerte Verbreitung fanden sie nicht. Überall präsent: PRESENT Im Jahr 2007 kam mit PRESENT ein weiterer Low-End-Verschlüsselungsalgorithmus dazu [2]. Er entstand nd d als Koproduktion der Ruhr-Universität Bochum, der Orange Labs Frankreich und der Technischen Universität Dänemark. Christof Paar, Bochumer Professor und Mitglied des Entwicklerteams berichtet: PRESENT ist eine UltraLeichtgewichts-Blockchiffre. Der Name erklärt sich dadurch, dass das Verfahren zukünftig überall ,präsent sein soll - auf jedem noch so kleinen Computer-Chip, der irgendwo in einem Gegenstand steckt. PRESENT soll also die Verschlüsselung für das Ubiquitous Computing liefern. Schon die wichtigsten Parameter lassen erkennen, für welchen Zweck PRESENT gedacht ist. Die Schlüssellänge von 80 (oder alternativ 128) Bit ist kürzer als beim AES (128, 192 oder 256 Bit), für RFID-Chips und ähnliche Umgebungen aber sicherlich ausreichend. Die Blocklänge ist mit 64 Bit halb so groß wie beim AES - angesichts der zu erwartenden eher kurzen Klartexte sicherlich angemessen. Auffällig ist die Rundenzahl, die mit 31 recht hoch ist (der AES arbeitet mit maximal 14 Runden). Auch hier ist das Kalkül offensichtlich: Ein einfacher Rundenaufbau spart Ressourcen; um aber ein hohes Sicherheitsniveau zu erreichen, sind viele Runden erforderlich. Die Verschlüsselungsgeschwindigkeit ist dennoch erstaunlich hoch. Nach Angaben der Entwickler ist PRESENT im Extremfall 20-mal so schnell wie der (allerdings nicht für eine HardwareImplementierung optimierte) AES. Die Funktionsweise des Algorithmus ist im Kasten So funktioniert PRESENT beschrieben. Wie viele andere gängige symmetrische Verschlüsselungsverfahren nutzt auch dieses nur sehr einfache arithmetische Operationen wie das Ersetzen von Bits, das Ändern der BitReihenfolge (Permutation) und die Exklusiv-oder-Verknüpfung. Der Ablauf von PRESENT sieht die besagten 31 Runden vor, in denen sich das Einbringen eines Teilschlüssels, die Nutzung von Ersetzungstabellen und das Permutieren der Bits abwechseln. Dieses Funktionsprinzip wird SP-Chiffre (SP steht für Substitution und Permutation) genannt. Es liegt auch dem AES zugrunde. Statt das Rad neu zu erfinden, haben die PRESENT-Entwickler also ein bewährtes Funktionsprinzip übernommen - und versucht, es auf minimalistische Weise umzusetzen. Nach Angaben der PRESENT-Entwickler sind 1570 Gatter notwendig, das Verfahren mit hoher Performance zu implementieren, die 2000-Gatter-Grenze ist also klar unterschritten. Als sicher geltende Stromchiffren liegen mit 1300 bis 2600 Gattern in der gleichen Größenordnung. Der AES ist dagegen mit seinen etwa 3000 Gattern deutlich aufwendiger zu realisieren. Die wichtigsten Low-End-Konkurrenten mCrypton (2950 Gatter), HIGHT (3000) und SEA (2280) sind nach Angaben der PRESENT-Entwickler ebenfalls nicht ganz so sparsam. Sparsamer als die Konkurrenz Durch die geringen Hardwareanforderungen und die hohe Performance benötigt PRESENT laut seinen Erfindern in typischen Einsatzszenarien nur etwa ein Vierzigstel der Energie, die der AES verbraucht - eine erhebliche Entlastung für die Batterien. Wenn allein das Einsparen von Hardware im Vordergrund steht, dann lässt sich PRESENT durch einen seriellen Aufbau auch mit nur etwa 1000 Gattern realisieren, was allerdings den Energieverbrauch in die Höhe treibt. Wir haben ausgerechnet, dass bei etwa 800 Gattern eine theoretische Grenze liegt, die mit einem Verschlüsselungsverfahren nicht unterschritten werden kann , so Christof Paar, dieser Grenze sind wir schon recht nahe gekommen . Inzwischen hat PRESENT den Segen der internationalen Standardisierungsbehörde ISO erhalten, die das Verfahren in den Standard ISO/IEC 29192-2:2012 aufnahm. Er widmet sich ausschließlich dem Thema Low-End-Verschlüsselung und wurde von der Industrie gefordert. Der Standardisierung gingen fünf Jahre der Prüfung voraus, in denen etwa ein Dutzend Forschungsarbeiten veröffentlicht wurden, die PRESENT auf etwaige Schwachstellen abklopften - ohne Erfolg. Eine unumstößliche Sicherheitsgarantie ist das allerdings nicht. Zum Vergleich: Beim AES wurde der bisher beste Angriff (er entspricht einer Verkürzung des Schlüssels um etwa zwei Bit, was nicht dramatisch ist) erst nach 14 Jahren entdeckt, obwohl bis dahin ein ganzes Heer von Kryptologen nach Sicherheitslücken gesucht hatte. Neben PRESENT spezifiziert der ISOStandard noch ein zweites Verfahren: den von Sony entwickelten Verschlüsselungsalgorithmus CLEFIA. Dabei handelt es sich ebenfalls um eine Blockchiffre. Im Gegensatz zu PRESENT ist CLEFIA jedoch nicht für minimale Hardwareanforderungen optimiert. Stattdessen ist das Verfahren auf das Verschlüsseln großer Datenmengen mit einer hohen Geschwindigkeit ausgelegt. Außerdem soll es für Hardware und Software gleichermaßen geeignet sein. Block- und Schlüssellänge entsprechen den Werten des AES. CLEFIA soll vor allem im Digital Rights Management eingesetzt werden. Stromchiffre oder Blockchiffre? Keine Frage, PRESENT hat gute Chancen, sich in den nächsten Jahren weltweit durchzusetzen. Die Nachfrage nach Low-End-Verschlüsselung ist groß, und durch die ISO-Standardisierung hat das Verfahren einen klaren Vorteil gegenüber der Konkurrenz. Zwar haben verschiedene Kryptologen längst das eine oder andere weitere kryptografische Leichtgewicht vorgestellt (zum Beispiel PRINT oder Hummingbird 2), doch diese Verfahren müssen sich erst bewähren. Das letzte Wort in Sachen Low-End-Blockchiffre ist noch lange nicht gesprochen. Denn es handelt sich dabei um eine recht junge Technologie, in der es noch viel zu forschen gibt. Vielleicht wird es eines Tages einen Wettbewerb geben, bei dem das beste Low-End-Verfahren gesucht wird - so wie es beim AES der Fall war und wie es gerade beim SHA-3-Wettbewerb um die beste kryptografische Hashfunktion abläuft. Vor einem solchen Wettbewerb muss sich die Kryptologenszene jedoch noch einer anderen Frage widmen: Ist der Einsatz einer Low-End-Blockchiffre überhaupt sinnvoll, oder sollte man für ressourcenschwache Umgebungen lieber eine Stromchiffre verwenden? Gegen Letzteres spricht, dass sich Kryptologen bisher mit Stromchiffren schwertun. Bereits beim sogenannten NESSIE-Wettbwerb, in dem sich in den Jahren 2000 bis 2003 Kryptoverfahren in verschiedenen Kategorien zum Vergleich stellten, ergab sich eine Pleite: In der Kategorie Stromchiffren wurde keiner der sechs Teilnehmer zum Sieger erklärt, da alle Schwächen gezeigt hatten. Aus diesem Grund wurde anschließend ein weiterer Wettbewerb namens eSTREAM aus der Taufe gehoben, in dem die Experten ausschließlich Stromchiffren betrachteten (in vier Kategorien). Das Ergebnis war erneut enttäuschend: In zwei der Kategorien gab es am Ende keinen Sieger, und mit Trivium konnte überhaupt nur ein Teilnehmer (von über 50) vollständig überzeugen. Bis heute haben Stromchiffren den Entwicklungsrückstand gegenüber den Blockchiffren nicht aufgeholt. Doch selbst wenn sich die Lage im Bereich der Stromchiffren bessern sollte, hält Christof Paar es für wahrscheinlich, dass sich auch im Low-EndBereich Blockchiffren durchsetzen werden. Dafür spricht zum einen, dass aktuelle Low-End-Blockchiffren wie PRESENT weniger Ressourcen benötigen als gängige Stromchiffren. Zum anderen benötigen Stromchiffren für einen sicheren Betrieb meist eine Anlaufzeit aus Sicherheitsgründen wird zunächst Keystream produziert, der nicht verwendet wird. Dieser Nachteil, der vor allem bei kürzeren Nachrichten ins Gewicht fällt, ist bei Blockchiffren nicht gegeben. Sollte sich Paars Prognose bewahrheiten und sollte sich außerdem PRESENT im Low End durchsetzen, dann wäre dies ein großer Erfolg für die deutsche Kryptologie. Diese genießt zwar seit Jahrzehnten einen guten Ruf, doch Verfahren, die in der Praxis eine Rolle spielen, kamen bisher auffällig selten aus Deutschland. Bleibt also zu hoffen, dass PRESENT seinem Namen alle Ehre machen wird. (ur) Klaus Schmeh ist Berater bei der Gelsenkirchener Firma cryptovision sowie Autor des populärwissenschaftlichen KryptologieBuchs Nicht zu knacken . Literatur [1] Klaus Schmeh; Kryptografie - Verfahren, Protokolle, Infrastrukturen; dpunkt.verlag 2009 [2] Andrey Bogdanov, Lars R. Knudsen, Gregor Leander, Christof Paar, Axel Poschmann, Matthew J.B. Robshaw, Yannick Seurin, Charlotte Vikkelsoe; PRESENT: An Ultra-Lightweight Block Cipher; Cryptographic Hardware and Embedded Systems; CHES 2007 iX 8/2012 Ein RFID-Chip muss mit minimaler Hardwareausstattung auskommen. Ein Verschlüsselungsverfahren sollte auf einer solchen Plattform nicht mehr als 2000 logische Gatter benötigen. PRESENT erfüllt diese Anforderung (Abb. 1). x-tract - Chip-Hersteller fordern VerschlüsseWörter: © 2012 PMG Presse-Monitor GmbH 2296 lungsverfahren, die sich mit maximal 2000 Gattern implementieren lassen. Diese werden für RFID-Chips, Sensoren, Chipkarten und ähnliche Umgebungen benötigt. - Das Verschlüsselungsverfahren PRESENT kommt mit 1570 Gattern aus, gilt als sicher und ist inzwischen ein offizieller Standard. Es könnte sich in den nächsten Jahren auf ressourcenarmen Plattformen durchsetzen. - PRESENT gehört zu den Blockchiffren. Diese sind bisher im Low-End-Segment nur schwach vertreten, da dort meist Stromchiffren genutzt werden. Dies könnte sich dank der neuen Low-End-Blockchiffren ändern. iX 8/2012 Wissen Kryptografie Die Verschlüsselungsverfahren PRESENT und AES im Vergleich. PRESENT ist für ressourcenschwache Umgebungen optimiert. Den einfachen Aufbau kompensiert eine hohe Rundenzahl (Abb. 2). iX 8/2012 iX 8/2012 Wissen Kryptografie So funktioniert PRESENT PRESENT nimmt einen Klartext-Block der Länge 64 Bit entgegen und gibt als Geheimtext einen Block gleicher Größe aus. Dabei verarbeitet das Verfahren einen 80 oder 128 Bit langen Schlüssel. Der Ablauf der Verschlüsselung gliedert sich in 31 gleich aufgebaute Runden, die jeweils aus drei Schritten bestehen: 1. Das Ergebnis der vorhergehenden Runde (beziehungsweise der KlartextBlock, wenn es sich um die erste Runde handelt) wird mit 64-Bit-Schlüsselmaterial (einem sogenannten Rundenschlüssel) exklusiv-oder-verknüpft. Das Ergebnis besteht wiederum aus 64 Bits. 2. Die 64 Bit werden in Vierergruppen jeweils einer Ersetzungstabelle (S-Box) zugeführt. Jede S-Box gibt 4 Bit aus, wodurch wiederum 64 Bits entstehen. 3. Die Reihenfolge der 64 Bits wird (wie in Abbildung 3 gezeigt) verändert. Dies bezeichnet man als Permutation. Nach der 31. Runde folgt eine weitere Exklusiv-oder-Verknüpfung mit einem Rundenschlüssel (wie in Schritt 1), danach ist das Verfahren abgeschlossen. Da sich der Ablauf umkehren lässt, ist das Entschlüsseln bei bekanntem Schlüssel einfach möglich. Die Sicherheit der Verschlüsselung liegt vor allem in der S-Box - also in einer Ersetzungstabelle für Vier-Bit-Werte. Andere Blockchiffren arbeiten meist ebenfalls mit S-Boxen, allerdings in der Regel mit größeren oder mit mehreren unterschiedlichen Varianten. PRESENT kompensiert den sparsamen Umgang mit S-Boxen durch eine große Rundenzahl. Der Entwickler eines Verschlüsselungsverfahrens muss seine S-Boxen sorgfältig auswählen, denn sonst haben Angriffsmethoden wie die differenzielle und die lineare Kryptoanalyse Erfolg. Sowohl der erste als auch der letzte Schritt einer PRESENT-Verschlüsselung besteht aus einer Exklusiv-oderVerknüpfung mit Schlüsselmaterial. Dieses Designmerkmal wird Whitening genannt. Es hat den Vorteil, dass ein Angreifer nicht weiß, welche Werte in die erste S-Box hineingehen und welche aus der letzten herauskommen. Whitening kommt auch im AES und vielen anderen Verfahren zum Einsatz. Die Permutation am Ende jeder PRESENTRunde ist ebenfalls ein Standardbestandteil von Blockchiffren. Sie hat den Zweck, die Bits zwischen den S-Boxen durcheinanderzumischen. Die Kombination von parallelen S-Boxen mit einer Permutation ist deutlich wirtschaftlicher als der Einsatz besonders großer SBoxen (eine S-Box mit 64-Bit-Eingabewerten müsste über 1019 Einträge haben), hat aber einen ähnlichen Effekt. Der Ablauf einer PRESENT-Verschlüsselung erfordert 32 Rundenschlüssel der Länge 64 Bit. Jeder dieser Rundenschlüssel wird aus dem 80 oder 128 Bit langen Schlüssel generiert. Bei diesem als Schlüsselaufbereitung bezeichneten Vorgang spielen erneut die S-Box von PRESENT sowie eine Permutation eine Rolle. Der Ablauf bei einem 128-BitSchlüssel ist ähnlich. PRESENT arbeitet in 31 einfach aufgebauten Runden. Jede Runde sieht eine Schlüsseladdition, die Anwendung einer Bit-Ersetzungstabelle (S-Box) sowie eine Bit-Permutation vor (Abb. 3). iX 8/2012 iX 8/2012 Umstrittener Virenschutz für Apple-Computer - Nachrichten - Schwäb... 1 von 2 Startseite http://www.tagblatt.de/Home/nachrichten_artikel,-Umstrittener-Virens... Nachrichten SORGLOSE MAC-NUTZER Ein Virenschutz für Apple-Computer ist unnötig - so hieß es jjahrelang. ahrelang. Doch ein Mac-Trojaner hat diese Ansicht bei vielen geändert. Apple-Nutzer sind nachhaltig verunsichert. Gilt die alte Weisheit nicht mehr? DIRK AVERESCH, DPA Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Böse Viren befallen auch AppleComputer. Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum Versenden von Spam-Mails missbraucht werden sollten. Foto: dpa Hätten Virenscanner den Trojaner stoppen können? Wohl kaum. Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift "Mac&i" mit einer im April eingefrorenen Schädlingsauswahl getestet. Die Programme durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein "enttäuschendes" Ergebnis. "Keiner erkannte alle Mac-Viren, obwohl die Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel hatten", lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten. "Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des Schädlings", heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder Scanner: Der beste enttarnte nur 82 Prozent der Schädlinge. 30.07.2012 07:42 Umstrittener Virenschutz für Apple-Computer - Nachrichten - Schwäb... 2 von 2 http://www.tagblatt.de/Home/nachrichten_artikel,-Umstrittener-Virens... Von den bei Windows-Scannern üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der Phishing-Abwehr schnitten die Programme nicht besonders gut ab. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält Mac-Virenscanner derzeit ohnehin für verzichtbar. "Aus unserer Sicht ist das angesichts der Bedrohungslage nicht notwendig", sagt Tim Griese vom BSI. Für Mac-Nutzer gilt: Mit offenen Augen und gesundem Menschenverstand durch die Welt gehen. Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen. Anwendungen und das Betriebssystem sollten unter "Softwareaktualisierung" stets aktuell gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf "täglich". "Flashback hat gezeigt, dass auch Mac OS X angreifbar ist", sagt Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem gibt, treffen sie oft Unvorbereitete: "Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser. Nicht auf alles klicken und ein gesundes Misstrauen helfen sehr", rät Holz. 28.07.2012 - 08:30 Uhr (c) Alle Artikel, Bilder und sonstigen Inhalte der Website www.tagblatt.de sind urheberrechtlich geschützt. Eine Weiterverbreitung ist nur mit ausdrücklicher Genehmigung des Verlags Schwäbisches Tagblatt gestattet. 30.07.2012 07:42 Systeme für Single-Sign-On geknackt | heise online 1 von 1 http://www.heise.de/newsticker/meldung/Systeme-fuer-Single-Sign-O... 10.08.2012 14:45 Systeme für Single-Sign-On geknackt Forscher der Ruhr-Universität Bochum[1] (RUB) haben 14 sogenannte Single-Sign-on-Systeme auf ihre Sicherheit überprüft - mit alarmierendem Ergebnis. Solche Systeme, die häufig in Unternehmen oder Portalen eingesetzt werden, ermöglichen das einmalige Anmelden an zahlreiche Ressourcen und Anwendungen, für die der jeweilige Nutzer die Berechtigung hat. Rund 80 Prozent der untersuchten Systeme wiesen gravierende Sicherheitslücken auf, lautet das Ergebnis der Bochumer Forscher. Die meisten dieser Systeme basieren auf der Security Assertion Markup Language[2] (SAML), einem XML-Framework, das dem Austausch von Authentifizierungs- und Autorisierungsinformationen dient. Die für die Anmeldung erforderlichen Informationen sind in einer SAML-Nachricht gespeichert und durch eine digitale Signatur geschützt. Den Bochumer Forschern gelang es mit einem neuartigen XML-Signature-Wrapping-Angriff, diesen Schutz zu umgehen, berichtet Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. "Dadurch", erklärt Schwenk, "konnten wir uns jede beliebige Identität aneignen und uns sogar als Systemadministratoren ausgeben." Von den 14 getesteten Systemen erwiesen sich 12 als angreifbar - darunter der Clouddienst Salesforce, das IBM DataPower Security Gateway, Onelogin (benutzt in Joomla, Wordpress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML). Nach ihrer Entdeckung kontaktierten der Sicherheitsexperte Andreas Mayer und seine Kollegen die betroffenen Firmen und schlugen Gegenmaßnahmen vor. Zwischenzeitlich konnten die Schwachstellen in den Produkten geschlossen werden. Beim heute stattfindenden 21. USENIX Security Symposium[3] in Bellevue, Washington (USA) stellt Juraj Somorovsky von der RUB die Forschungsergebnisse, die auch im Internet veröffentlicht[4] sind, vor. (ur[5]) URL dieses Artikels: http://www.heise.de/newsticker/meldung/Systeme-fuer-Single-Sign-On-geknackt-1665205.html Links in diesem Artikel: [1] http://www.ruhr-uni-bochum.de/ [2] http://de.wikipedia.org/wiki/Security_Assertion_Markup_Language [3] https://www.usenix.org/conference/usenixsecurity12/ [4] http://www.nds.rub.de/research/publications/BreakingSAML/ [5] mailto:[email protected] 902863 Copyright © 2012 Heise Zeitschriften Verlag Hosted by Plus.line Content Management by InterRed 13.08.2012 09:07 Single Sign-On Verfahren von RUB-Forschern geknackt 1 von 4 http://www.iavcworld.de/index.php/cloud-computing/projekte-anwen... Montag, 13. August 2012 Suchen... HOME VISUAL COMMMUNICATIONS CLOUD COMPUTING Cloud Lösungen UNIFIED COMMUNICATIONS STREAMING MEDIA Cloud Services Suchen UNTERNEHMEN Projekte / Anwendungen WEB COLLABORATION VIDEOS IAVC-BLOG Marktinfos YOU ARE HERE CLOUD COMPUTING PROJEKTE / ANWENDUNGEN VERFAHREN VON RUB-FORSCHERN GEKNACKT SINGLE SIGN-ON LOGIN Benutzername SAMSTAG, 11. AUGUST 2012 IDW ZUGRIFFE: 53 Webshops, Cloud Computing, Online-Banking: Tagtäglich fordern viele unterschiedliche IT-Systeme den Nutzer auf, sich immer wieder über Benutzername und Passwort zu identifizieren. Als praktisches Mittel gegen die Flut von Mehrfachanmeldungen gilt das so genannte „Single Sign-On“. Hier weist sich der Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen automatisch. Dass die Einmal-Anmeldung jedoch längst nicht so sicher ist wie bislang angenommen, zeigen jetzt Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum: Ungefähr 80 Prozent ●●●●●●●● LATEST NEWS 3KV ergänzt UC as-a-Service-Lösung mit SIP Telefonen von snom DEKOM realisiert interaktive Kongressübertragung per HD Videokonferenz Neue Arbeitsformen: Verführerisch, rasant und riskant REALTECH Cloud-Beratung sorgt für Transparenz der untersuchten Systeme wiesen massive Sicherheitslücken auf. Avayas neue Business Collaboration Lösungen Digitale Signatur soll schützen Das „Single Sign-On“-Verfahren, kurz SSO, kann mit einem gut MovingIMAGE24 initiiert Markteintritt in den Niederlanden bewachten Tor verglichen werden, das die sensiblen Firmendaten schützt: Wer den Eingang einmal passiert hat, kann auf alle Informationen und Dienste zugreifen, denn er gilt als angemeldet und zugriffsberechtigt. Viele SSO-Systeme setzen auf die weit verbreitete Security Assertion Markup Language (SAML). Die Identitätsinformationen werden in einer SAML-Nachricht VIDEOS Fujitsu Webcas... LG Werbespot Polycom Immers... OpenScape Offi... EMC MindManager HD-Connect 8 gespeichert und durch eine digitale Signatur geschützt. Doch die Bochumer Forscher fanden einen Weg, diesen Schutz zu umgehen. Sicherheitsfunktion ausgehebelt „Mit einem neuartigen XML Signature Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt“, berichtet Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. „Dadurch konnten wir uns jede beliebige Identität aneignen und uns sogar als Systemadministratoren ausgeben“. Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen 12 kritische Lücken auf. Anfällig waren unter MAIN WER IST 13.08.2012 09:32 Single Sign-On Verfahren von RUB-Forschern geknackt 2 von 4 http://www.iavcworld.de/index.php/cloud-computing/projekte-anwen... anderem der Cloud-Anbieter Salesforce, das IBM DataPower Security Gateway, Onelogin (benutzt in Joomla, Wordpress, SugarCRM und Drupal) und das Framework (Shibboleth, SuisseID und OpenSAML). OpenSAML NAVIGATION ONLINE? Visual Commmunications Wir haben 4 Unified Communications Gegenmaßnahmen vorgeschlagen „Nachdem wir die Sicherheitslücken entdeckt hatten, kontaktierten wir umgehend die betroffenen Firmen und schlugen Gegenmaßnahmen vor“, berichtet der Sicherheitsexperte und externe Doktorand Andreas Mayer (Adolf Würth GmbH & Co. KG). „Durch die professionelle Zusammenarbeit mit den Herstellern konnten die kritischen Schwachstellen in den betroffenen Produkten geschlossen werden“, ergänzt Juraj Somorovsky vom Lehrstuhl für Netz- und Datensicherheit. Web Collaboration Cloud Computing Streaming Media Gäste online IAVC BLOGGER Lukas Pfeiffer 3 post(s) Unternehmen "Lukas Pfeiffer, geboren in IAVC-Blog Weimar, ist Mitgründer ..." Videos Empfehlen Tweet 0 Gerhard Share Voss 1 0 18 post(s) "Initiator and Owner of IAVCworld" LATEST IAVC - BLOGPOSTS Apple Mitbegründer Woznika kritisiert Cloud Computing Focus.de - Der Co-Gründer des US-Elektronikriesen Apple, Steve Wozniak, sieht den Trend zum sogenannten Cloud Computing sehr kriti 53 hits · Read More posted by Gerhard Voss on Montag, 06 August 2012 swabr startet CrowdfundingFinanzierung auf Innovestment Wir, die Gründer des EnterpriseMicroblogging-Dienstes swabr, wollen mit Hilfe von Mikroinvestoren die Weiterentwicklung des Dien 50 hits · Read More posted by Lukas Pfeiffer on Mittwoch, 01 August 2012 US-Firmen fühlen sich im Cloud Geschäft benachteiligt NZZ.ch - US-Anbieter kritisieren, dass europäische Unternehmen den Patriot Act als Marketinginstrument nutzen, um ihre eigenen Clo 102 hits · Read More posted by Gerhard Voss on Freitag, 27 Juli 2012 13.08.2012 09:32 Single Sign-On Verfahren von RUB-Forschern geknackt 3 von 4 http://www.iavcworld.de/index.php/cloud-computing/projekte-anwen... Facebook meldet enttäuschende Geschäftszahlen Stern.de - Für das erste Quartal als börsennotiertes Unternehmen hat Facebook hat einen Verlust von 157 Millionen Dollar gemeldet. 92 hits · Read More posted by Gerhard Voss on Freitag, 27 Juli 2012 UNTERNEHMEN 13.08.2012 09:32 Single Sign-On Verfahren von RUB-Forschern geknackt 4 von 4 IMPRESSUM DATENSCHUTZ http://www.iavcworld.de/index.php/cloud-computing/projekte-anwen... NUTZUNGSBEDINGUNGEN RESET USER SETTING TOP ©Copyright 2007-2012 IAVCworld | Powered by IAVC 13.08.2012 09:32 Bochumer Forscher haben Single Sign-On ausgehebelt | ITespresso.de ITespresso http://www.itespresso.de/2012/08/10/bochumer-forscher-haben-single-... Channelbiz Downloads für IT-Pros und Entscheider Gizmodo Gefällt mir 529 Suchen in itespresso.de Bochumer Forscher haben Single Sign-On ausgehebelt NEWSLETTER Die Lücke fand sich in der weit verbreiteten Security Assertion Markup Language (SAML). Unter anderem wäre dadurch ein Angriff auf Nutzer von Salesforce.com, Joomla, WordPress, SugarCRM und Drupal sowie das Framework OpenSAML möglich gewesen. Die Anbieter wurden darauf hingewiesen, die Schwachstelle ist behoben. Die tägliche Dosis IT-News per Newsletter direkt in ihr Postfach. Jetzt abonnieren! AKTUELLES ZU IT-LÖSUNGEN 10. August 2012 von Peter Marwan 0 08.08. silicon.de Know How für Manager: kostenlose Whitepaper, Studien ... Juraj Somorovky, Andreas Mayer, Jörg Schwenk, Marco Kampmann und Meiko Jensen vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum ist es gelungen nachzuweisen, dass die Authentifizierungsmethode SingleSign-On nicht ausreichend sicher ist. Die Ergebnisse ihrer Arbeiten hat Juraj Somorovky heute auf dem 21. USENIX Security Symposium in Bellevue im US-Bundesstaat Washington vorgestellt. Das sogenannte “Single Sign-On” als praktisches Mittel um der Tatsache Herr zu werden, dass heute tagtäglich viele unterschiedliche IT-Systeme Nutzer auffordern, sich über Benutzername und Passwort zu identifizieren – seien es nun Webshops, Cloud-Computing-Anwendungen wie Web-Mail, Online-Speicher oder Zugriff auf Dienste, die der Anwender in seiner Firma nutzt. Mit Single-Sign-On weist sich der Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen automatisch. Die Einmalanmeldung ist jedoch bei weitem nicht so sicher, wie bislang angenommen: Ungefähr 80 Prozent der von ihnen untersuchten Systeme wiesen massive Sicherheitslücken auf. Die Forscher vergleichen Single Sign-On- mit einem gut bewachten Tor verglichen: Wer den Eingang einmal passiert hat, kann auf alle Informationen und Dienste zugreifen, denn er gilt als angemeldet und zugriffsberechtigt. view MEINUNG Wenn Mitarbeiter zu IT-Admins werden 31. Juli 2012 von Mehmet Toprak Viele Single-Sign-On-Systeme setzen auf die Security Assertion Markup Language (SAML), um diese Aufgabe zu meistern. Die Identitätsinformationen werden in einer SAML-Nachricht gespeichert und durch eine digitale Signatur geschützt. “Mit einem neuartigen XML-Signature-Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt”, berichtet Professor Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. “Dadurch konnten wir uns jede beliebige Identität aneignen und uns sogar als Systemadministratoren ausgeben.” Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen 12 kritische Lücken auf. Anfällig waren unter anderem Salesforce.com, das IBM DataPower Security Gateway, Onelogin, das in Joomla, WordPress, SugarCRM und Drupal benutzt wird, sowie das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML). „Nachdem wir die Sicherheitslücken entdeckt hatten, kontaktierten wir umgehend die betroffenen Firmen und schlugen Gegenmaßnahmen vor“, berichtet der Sicherheitsexperte Andreas Mayer. “Durch die professionelle Zusammenarbeit mit den Herstellern konnten die kritischen Schwachstellen in den betroffenen Produkten geschlossen werden”, ergänzt Juraj Somorovsky. 0 Der Hype um Smartphones und Tablet-PCs in Unternehmen wird immer stärker. IT-Experten und Hersteller fordern, dass Mitarbeiter mehr Mitsprache bei der Wahl der Geräte bekommen. Doch trotz aller Vorteile der neuen Technik gibt es Dinge, die sich auch in der schicken Welt der Mobilgeräte nie ändern. Mehr QUIZ Überprüfen Sie Ihr Wissen Wie gut kennen Sie sich mit Druckern aus? Dennoch bleibt ein schaler Nachgeschmack: Erst kürzlich hat der Fall des US-Journalisten Mat Honan für Aufsehen gesorgt. Ihm hatte ein Angreifer – der sich inzwischen bei Honan gemeldet hat – nahezu ohne technische Kenntnisse, aber mit etwas kombinatorischem Geschick und unter Ausnutzung der sich für einen Angriff ideal ergänzende Lücken der Sicherheitspraktiken von Anbietern wie Apple und Amazon, sowohl die von ihm genutzten Apple-Geräte sperren sowie auch Passwörter für andere Dienste und Kreditkartendaten abgreifen und es Honan außerordentlich schwer machen können, die Firmen zu überzeugen, dass er das Opfer und nicht selber ein dreister Angreifer ist. Wie gut kennen Sie Google? Wie gut kennen Sie sich mit Tablets aus? Windows 7, Mac OS X, Ubuntu, ... Kennen Sie die Unterschiede zwischen den wichtigsten Betriebssystemen? Durch die Arbeit der Bochumer Forscher geraten auch die in vielen Firmen beim Cloud Computing genutzten technischen Vorkehrungen in Misskredit. Die Schuld dafür ist nicht bei den Wissenschaftler zu suchen: Vielmehr ist den Firmen vorzuwerfen, dass sie durch externe auf Schwachstellen in denen von ihnen genutzten Technologien hingewiesen werden müssen. Unterm Strich bleibt der Eindruck, dass auch beim Cloud Computing – trotz anderslautender Beteuerungen – Sicherheit wie so oft bei der technischen Entwicklung nicht von Anfang an im Design berücksichtigt, sondern erst nachträglich aufgepfroft wird. Das rächt sich über kurz oder lang – wie zum Beispiel ale Nutzer von Microsoft- und Adobe-Produkten jeden zweiten Dienstag im Monat – dem sogenannten Patchday – erfahren müssen. Sind Sie ein Fachmann in Sachen Cloud Hinweis: Artikel von ITespresso.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren. HP: Lenovo wird Schwierigkeiten im Cloud Computing haben Computing? Wie gut kennen Sie sich mit Prozessoren aus? Wie gut kennen Sie sich mit Browsern aus? NEWS 13. August 2012 von Manfred Kohlen Drucken PDF Email 0 Oracle verlängert Support für Java 6 erneut Twittern 2 Gefällt mir Registrieren, um sehen zu können, was deinen Tags: Authentifizierung, Cloud Computing, Passwort, Salesforce, Sicherheitslücken. Das könnte Sie auch interessieren Virus “Dorifel” verschlüsselt Word- und Excel-Dokumente Die Malware trat zuerst in den Niederlanden auf, hat sich aber inzwischen auch nach Deutschland ausgebreitet. Sie zirkuliert vor allem in Behörden... Mehr 1 von 3 0 13. August 2012 von Martin Schindler 0 Samsung bringt Ultrabook-Konkurrenten mit AMD-CPUs 12. August 2012 von Björn Greif 0 Google Übersetzer 2.5 für Android erhält Texterkennung 12. August 2012 von Björn Greif 0 13.08.2012 09:39 Bochumer Forscher haben Single Sign-On ausgehebelt | ITespresso.de http://www.itespresso.de/2012/08/10/bochumer-forscher-haben-single-... Der sichere Weg zur perfekten Sehschärfe. Finden Sie hier den besten Augenlaser-Spezialisten in Ihrer Nähe. Jetzt unverbindlich informieren. Mehr So unterstützt Google die Stellvertreterkriege gegen Apple 11. August 2012 von Bernd Kling 0 INTERVIEW Bundesgerichtshof erleichtert Rechteinhabern Zugriff auf Adressdaten... Internet-Provider müssen Rechteinhabern auf deren Verlangen den Namen und die Anschrift des Nutzers einer IP-Adresse mitteilen, wenn diese ein... Mehr “Wir wollen hunderttausende Web-Entwickler für Firefox OS begeistern” 23. Juli 2012 von Peter Marwan 0 Im Interview gibt sich Mozillas Europapräsident Tristan Nitot zuversichtlich: Firefox OS, das Smartphone-Betriebssystem von Mozilla, werde umfangreiche Unterstützung von Entwicklern erfahren. Der Grund: Die meisten Apps würden ohnehin schon in HTML5 geschrieben. So unterstützt Google die Stellvertreterkriege gegen Apple Noch stellt sich der Internetkonzern im Kampf um den Smartphone-Markt nicht offen gegen Apple. Aber er hilft seinen Android-Partnern aus dem... Mehr Google Übersetzer 2.5 für Android erhält Texterkennung Die App kann jetzt auch Text in einem Foto erkennen und übersetzen. Der Zugriff auf die Kamera ist aus der Anwendung heraus möglich. So lassen sich... Mehr Mehr UMFRAGE Auf den Spuren Bruckners Musikalischen Wochenendreise in die Donaustadt ab 232 €. Mehr Nutzen Sie beruflich Online-Angebote wie Dropbox für den Austausch oder die Speicherung von Dateien? Nein, habe aber auch keinen Bedarf dafür. Nein, ist bei uns in der Firma nicht erlaubt. hier werben powered by plista Ist in der Firma nicht erlaubt, mache ich aber trotzdem. Ist in der Firma nicht ausdrücklich verboten und nutze ich gelegentlich. LETZTER KOMMENTAR 0 Antworten zu Bochumer Forscher haben Single Sign-On ausgehebelt Kommentar hinzufügen Meine Firma hat einen Dienst ausgewählt, den ich regelmäßig nutze. Meine Firma hat einen Dienst ausgewählt, ich persönlich benötige das aber nicht. Abstimmen Ergebnisse IT IM MITTELSTAND Tipps vom Experten: Web-Videos für Unternehmen 21. Juli 2012 von Mehmet Toprak 0 Viele Unternehmen stellen ImageVideos ins Internet oder werben per Video für ihre Produkte. Lohnt sich das auch für kleine Unternehmen? Worauf sollte man achten, wenn man einen Videoproduzenten beauftragt? Diese und andere Fragen beantwortet Martin Goldmann von Redgo.TV. Mehr FOLGEN SIE UNS TAGS Android iPhone 4S Windows 8 Android Apple Betriebssysteme Browser Cloud Computing Datenschutz Festplatten Finanzen Google Handys Hardware Intel Internet IT-Strategie Linux Markt Microsoft Mobile Computing Mobilfunk Netzwerke Notebooks Open Source Politik Prozessoren Recht Server Sicherheit Smartphones Software Suchmaschinen Telekommunikation Unternehmen Web-Development Windows Windows XP 2 von 3 Kategorien Seiten NetMediaEurope DE NetMediaEurope Home News Impressum AGB ITespresso ChannelBiz Frankreich Deutschland 13.08.2012 09:39 Bochumer Forscher haben Single Sign-On ausgehebelt | ITespresso.de Tests Management Knowledge Center Downloads Datenschutzerklärung Mediadaten Jobs http://www.itespresso.de/2012/08/10/bochumer-forscher-haben-single-... Downloads Gizmodo Spanien Italien NetMediaEurope Deutschland GmbH © Copyright 2012 All rights reserved. Part of NetMediaEurope 3 von 3 13.08.2012 09:39 Single Sign-On: RUB-Forscher knacken Industriestandard für Identifiz... 1 von 2 http://www.juraforum.de/wissenschaft/single-sign-on-rub-forscher-kna... JuraForum.de > Nachrichten > Wissenschaft > Single Sign-On: RUB-Forscher knacken Industriestandard für Identifizierung Google Anzeigen Wirtschaftspsychologie Fernstudium Wirtschaftspsychologie mit Bachelor- und Master-Abschluss! www.Euro-FH.de FIM Identity-Management Beratung, Integration und Training durch die weltweiten FIM Experten www.oxfordcomputergroup.de Join SSONetwork Today Be Part of the Largest Global Online Outsourcing Community. www.ssonetwork.com Single Sign-On: RUB-Forscher knacken Industriestandard für Identifizierung 10.08.2012, 10:10 | Wissenschaft | Autor: idw Gefällt mir 0 Twittern 0 0 Webshops, Cloud Computing, Online-Banking: Tagtäglich fordern viele unterschiedliche IT-Systeme den Nutzer auf, sich immer wieder über Benutzername und Passwort zu identifizieren. Als praktisches Mittel gegen die Flut von Mehrfachanmeldungen gilt das so genannte „Single Sign-On“. Hier weist sich der Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen automatisch. Dass die Einmal-Anmeldung jedoch längst nicht so sicher ist wie bislang angenommen, zeigen jetzt Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum: Ungefähr 80 Prozent der untersuchten Systeme wiesen massive Sicherheitslücken auf. Digitale Signatur soll schützen Das „Single Sign-On“-Verfahren, kurz SSO, kann mit einem gut bewachten Tor verglichen werden, das die sensiblen Firmendaten schützt: Wer den Eingang einmal passiert hat, kann auf alle Informationen und Dienste zugreifen, denn er gilt als angemeldet und zugriffsberechtigt. Viele SSO-Systeme setzen auf die weit verbreitete Security Assertion Markup Language (SAML). Die Identitätsinformationen werden in einer SAML-Nachricht gespeichert und durch eine digitale Signatur geschützt. Doch die Bochumer Forscher fanden einen Weg, diesen Schutz zu umgehen. Sicherheitsfunktion ausgehebelt „Mit einem neuartigen XML Signature Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt“, berichtet Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. „Dadurch konnten wir uns jede beliebige Identität aneignen und uns sogar als Systemadministratoren ausgeben“. Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen 12 kritische Lücken auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce, das IBM DataPower Security Gateway, Onelogin (benutzt in Joomla, Wordpress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML). Gegenmaßnahmen vorgeschlagen „Nachdem wir die Sicherheitslücken entdeckt hatten, kontaktierten wir umgehend die betroffenen Firmen und schlugen Gegenmaßnahmen vor“, berichtet der Sicherheitsexperte und externe Doktorand Andreas Mayer (Adolf Würth GmbH & Co. KG). „Durch die professionelle Zusammenarbeit mit den Herstellern konnten die kritischen Schwachstellen in den betroffenen Produkten geschlossen werden“, ergänzt Juraj Somorovsky vom Lehrstuhl für Netz- und Datensicherheit. Ergebnisvorschau Am 10. August 2012 stellt Juraj Somorovsky die Ergebnisse auf dem 21. USENIX Security Symposium in 13.08.2012 09:41 Single Sign-On: RUB-Forscher knacken Industriestandard für Identifiz... 2 von 2 http://www.juraforum.de/wissenschaft/single-sign-on-rub-forscher-kna... Bellevue, Washington (USA) vor. Das Paper ist im Internet veröffentlicht unter: http://www.nds.rub.de /research/publications/BreakingSAML Weitere Informationen Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und Datensicherheit, Tel. 0234/32-26692 [email protected] Redaktion: Jens Wylkop Quelle: idw http://www.juraforum.de/wissenschaft/single-sign-on-rub-forscher-knacken-industriestandard-fuer-identifizierung-408519 "Single Sign-On: RUB-Forscher knacken Industriestandard für Identifizierung - Wissenschaft" © JuraForum.de — 2003-2012 13.08.2012 09:41 SAML für SSO unsicherer als gedacht (Druckansicht) http://www.computerwoche.de/_misc/article/articleprintpopup/index.c... RUB-Forscher SAML für SSO unsicherer als gedacht Datum: Autor(en): URL: 10.08.2012 Thomas Cloer http://www.computerwoche.de/2520100 Bochumer Forscher haben die in vielen Single-Sign-On-Systemen g g (SSO) verwendete SAML-Signatur (Security Assertion Markup Language) ausgehebelt. Tagtäglich fordern viele unterschiedliche IT-Systeme den Nutzer auf, sich immer wieder über Benutzername und Passwort zu identifizieren. Beim sogenannten Single Sign-On weist sich der Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen automatisch. Diese Einmal-Anmeldung sei längst nicht so sicher ist wie bislang 1 angenommen, erklären nun Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum (RUB) - ungefähr 80 Prozent der untersuchten Systeme wiesen demnach massive Sicherheitslücken auf. 2 Viele SSO-Systeme setzen auf die weit verbreitete Security Assertion Markup Language (SAML) . Die Identitätsinformationen werden dabei in einer SAML-Nachricht gespeichert und durch eine digitale Signatur geschützt. Die Bochumer Forscher fanden einen Weg, diesen Schutz zu umgehen. "Mit einem neuartigen XML-Signature-Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt", sagt Professor Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. Dadurch habe man sich jede beliebige Identität aneignen und sogar als Systemadministrator ausgeben können. Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen zwölf kritische Lücken auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce, das IBM "DataPower Security Gateway", "Onelogin" (benutzt in Joomla, Wordpress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML). Die betroffenen Firmen beziehungsweise Anbieter wurden umgehend kontaktiert und Gegenmaßnahmen vorgeschlagen; die Schwachstellen sind mittlerweile entfernt. Heute stellt Juraj Somorovsky vom Lehrstuhl für Netzund Datensicherheits die Ergebnisse beim USENIX Security Symposium in Washington vor. Das Paper ist bereits im 3 Internet veröffentlicht unter http://www.nds.rub.de/research/publications/BreakingSAML . Links im Artikel: 1 http://idw-online.de/de/news491524 2 http://de.wikipedia.org/wiki/Security_Assertion_Markup_Language 3 http://www.nds.rub.de/research/publications/BreakingSAML IDG Business Media GmbH Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Business Media GmbH. DPA-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass in Computerwoche unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von Computerwoche aus gelinkt wird, übernimmt die IDG Business Media GmbH keine Verantwortung. 1 von 2 13.08.2012 07:58 Südwest Presse vom 13.08.2012 Autor: Seite: DIRK AVERESCH, DPA 24 Gattung: Auflage: Ressort: Ulm und Neu-Ulm Reichweite: Tageszeitung 322.997 (gedruckt) 297.473 (verkauft) 304.213 (verbreitet) 0,85 (in Mio.) Sorglose Mac-Nutzer Umstrittener Virenschutz für Apple-Computer - Programme schneiden im Test nicht gut ab Ein Virenschutz für Apple-Computer ist unnötig - hieß es. Ein Mac-Trojaner hat diese Ansicht jedoch geändert. Apple-Nutzer sind nachhaltig verunsichert. Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum. Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift "Mac&i" mit einer im April eingefrorenen Schädlingsauswahl getestet. Die Programme durften sich sogar bis Mitte Mai aktualiWörter: © 2012 PMG Presse-Monitor GmbH 371 sieren und erzielten trotzdem nur ein "enttäuschendes" Ergebnis. "Keiner erkannte alle Mac-Viren, obwohl die Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel hatten", lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten. "Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des Schädlings", heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder Scanner: Der beste enttarnte nur 82 Prozent der Schädlinge. Von den bei Windows-Scannern üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der Phishing-Abwehr schnitten die Programme nicht besonders gut ab. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält MacVirenscanner derzeit ohnehin für verzichtbar. "Aus unserer Sicht ist das angesichts der Bedrohungslage nicht notwendig", sagt Tim Griese vom BSI. Für Mac-Nutzer gilt: nicht gleich jeden Mailanhang öffnen. Anwendungen und das Betriebssystem sollten unter "Softwareaktualisierung" stets aktuell gehalten werden, rät Griese. Das UpdateIntervall stellt man am besten auf "täglich". "Flashback hat gezeigt, dass auch Mac OS X angreifbar ist", sagt Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Und wenn es Angriffe auf das Bochum. U Apple-Betriebssystem gibt, treffen sie oft Unvorbereitete: "Die typischen MacNutzer sind vermutlich ein wenig sorgloser. Nicht auf alles klicken und ein gesundes Misstrauen helfen sehr", rät Holz. XML-Signature-Wrapping-Angriffe hebeln digitale Signatur aus - Sich... http://www.dv-dialog.de/nc/home/newsdetails/article/sicherheitsluecke... Home Software SIE SIND HIER: Infrastruktur HOME IT-Anwendungen Aktuelle Ausgabe Organisation Specials Media Newsletter Abo IT-Markt Archiv Verlag Kontakt Termine Impressum Trends NEWSDETAILS 13.08.2012 SICHERHEIT ANZEIGE Von: Berthold Wesseler XML-Signature-Wrapping-Angriffe hebeln digitale Signatur aus SICHERHEITSLÜ SICHERHEITSLÜCKE BEI SINGLE-SIGN-ON GESCHLOSSEN Bochumer Forscher haben beim „Single-Sign-on“ mit der Security Assertion Markup Language (SAML) ein Sicherheitsproblem entdeckt und gemeinsam mit den betroffenen Anbietern behoben. ANZEIGE Bei 11 von 14 untersuchten Systemen, mit denen sich User durch einmaliges Login für mehrere Dienste und Anwendungen anmelden können, lässt sich die digitale Signatur aushebeln, meldete das Forscherteam rund um Professor Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum. „Mit einem neuartigen XML-Signature-Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt”, berichtet Schwenk. So habe man sich jede beliebige Identität aneignen können, sogar die eines Systemadministrators. Zu den verwundbaren Systemen zählen die CRM-Software Salesforce, das IBM Datapower Security Gateway XS40, das Framework Open SAML und das Open Source-Toolkit Onelogin, das z.B. von Joomla, SugarCRM und Drupal benutzt wird. WEB-SPECIAL DELL MEISTGELESENE ARTIKEL Virtualisierung im Mittelstand UNTERNEHMEN SCHÄTZEN DIE VORTEILE VIRTUELLER SERVER Bladeserver HIGHEND-SYSTEME FÜR WEB UND SAP Bereitstellung und Konfiguration SOFORT EINSATZBEREITE SYSTEME IT-MARKT 54 Prozent der deutschen Unternehmen kaufen im Internet ein E-COMMERCE FEST ETABLIERT www.nds.rub.de/research/publications/BreakingSAML/ Bildquelle: Gerd Altmann / pixelio.de Innovative Abschlussarbeiten gesucht DNUG-HOCHSCHULWETTBEWERB 2012 In Verbindung stehende Artikel: Höhere Datensicherheit dank Single Sign On - 04.07.2012 11:56 CHG-Meridian AG erweitert Vorstand NEUE KRÄFTE FÜR DIE SPITZE Single-Sign-On für mehr Datensicherheit - 29.02.2012 17:05 Kantara-Initiative will globale Identitätslandschaft neu gestalten - 22.06.2009 18:01 IT-Messe Stuttgart setzt verstärkt auf CRM und ERP BUSINESS-IT IM RAMPENLICHT Identitätsmanagement und Single Sign-On - 03.01.2007 10:53 Vom Schnittstellenbauer zum DruckserviceExperten 20 JAHRE CSP « Home ANZEIGE MEISTGELESENE ARTIKEL ANZEIGE IBM meldet Erfolge mit dem Auslagern von IT-Infrastruktur und Software CITY CLOUD WÄCHST SCHNELLER ALS GEPLANT Microsofts Preview auf Office 2013 OFFICE AS A SERVICE AKTUELLE AUSGABE 1 von 4 NEWSLETTER ARCHIV 14.08.2012 08:43 Sicherheitslücken in Anmeldesystemen - Online PC Magazin 1 von 2 Abobestellung ¦ Home Archiv ¦ Download ¦ Leseraktionen ¦ http://www.onlinepc.ch/index.cfm?page=104029&artikel_id=34651 Newsletter ¦ Testberichte ¦ Suche auf www.onlinepc.ch Newsticker News How to deploy SSO Testberichte Aktuelle Ausgabe Tipps & Tricks ¦ The 7 golden rules for a successful SSO project. www.evidian.com Leserservice Weiterbildung Job-Monster Publireportage 15.08.2012 Sicherheitslücken in Anmeldesystemen Aboservice Wissenschaftler der Ruhr-Universität Bochum haben Single-Sign-on-Systeme auf Newsletter mögliche Sicherheitsanfälligkeiten hin untersucht. Die Mehrheit der Systeme konnte durch XML-Signature-Wrapping (XSW) gehackt werden. Mediadaten Über Online PC Kino- und Filmtrailer Techvideos Jetzt am Kiosk! Wer im Internet viele unterschiedliche Dienste nutzt, benötigt eine entsprechende Menge Benutzernamen und Kennwörter. Das ist lästig, und etliche Nutzer verwenden daher überall die gleichen Login-Informationen, was aber als nicht besonders sicher gilt. Mehr Komfort versprechen Single-Sign-on-System (SSO). Hier muss sich ein Nutzer nur einmal am zentralen SSO-System anmelden und authentifizieren. Danach kann er sich in alle Systeme und Anwendungen einloggen, für die sein Account eine Berechtigung hat. Ein SSO muss besonders hohen Sicherheitsanforderungen genügen. Denn wenn es geknackt wird, hat ein Angreifer auf einen Schlag Zugriff auf alle damit verbundenen Konten. Webcode Domainsuche Jetzt Ihre Wunschdomain schnell & einfach finden! wunschdomain.ch Bereitgestellt durch Hoststar Gratis: USB-Tischventilator Inhaltsverzeichnis Das kühle Lüftchen für Ihren Arbeitsplatz! Zum Angebot geht es hier Google-Anzeigen SSO SSO Security SSO F d i Offenbar sind die Systeme bei weitem nicht so sicher, wie bisher vermutet. Nach � Untersuchungen der Ruhr-Universität Bochum konnten zwölf von vierzehn Single Sign-On-Systeme über XML-Signature-Wrapping gehackt werden. Die Wissenschaftler konnten sich bei beliebigen Konten anmelden und sogar administrativen Zugang erhalten. Anfällig für diese noch relativ neue Angriffsmethode sind unter anderem der Clouddienst Salesforce, das IBM DataPower Security Gateway, Onelogin und das Framework OpenSAML. Diese SSO-Systeme werden von zahlreichen Angeboten im Internet genutzt, die beispielsweise die Content Management Systeme (CMS) Joomla, Wordpress oder Drupal einsetzen. giveaway-discount.com Komplettpreis inkl. Werbe-Druck zB: 1000 Gummibärchen-Werbetüten 199,www.giveaway-discount.com Kurz nach Entdeckung der Anfälligkeiten haben die Wissenschaftler die betroffenen Herstellerfirmen und Projekte benachrichtigt. Inzwischen wurden entsprechende Gegenmassnahmen eingeleitet und die Sicherheitslücken in den Produkten geschlossen. Juraj Somorovsky von der RUB hat ausserdem die Renditestark mit Edelholz Ökologisch und � börsenunabhängig. Top-Renditen bis zu 12% p.a. und mehr. Jetzt anlegen » KommunikationsleiterIn Erfahrene Dozenten unterrichten Sie praxisbezogen. Lehrgangsstart am 17.10. Hier anmelden! sawi.com/kommunikationsleiter Ergebnisse der Untersuchungen auf dem 21. USENIX Security Symposium in Bellevue, in Washington (USA) vorgestellt. Bereits im Mai 2012 hatten Experten der Indiana University Bloomington und von Microsoft Research die Sicherheit einiger kommerzieller SSO-Systeme untersucht. Darunter waren populäre Dienste und Produkte wie OpenID (GoogleID, Paypal Access), Facebook und JanRain. Auch bei dieser Untersuchung wurden mehrere Sicherheitslücken gefunden, die die Unternehmen dann auf Anregung der Wissenschaftler geschlossen haben. (ph/com!) Zum Newsticker Kostenlosen Newsletter abonnieren Kommunikationsplaner Ausbildung mit hervorragendem Ruf. Lehrgangsstart im Oktober in BE & ZH. Jetzt anmelden! sawi.com/kommunikationsplaner RSS-Feed buchen 15.08.2012 11:57 Sicherheitslücken in Anmeldesystemen - Online PC Magazin 2 von 2 http://www.onlinepc.ch/index.cfm?page=104029&artikel_id=34651 Möchten Sie diesen Artikel an einen Freund senden? Absender-Emailadresse Absendername Empfänger-Emailadresse Kommentar Impressum | Datenschutzerklärung | Mediadaten WEITERE PORTALE DER NEUEN MEDIENGESELLSCHAFT ULM MBH APPSUNDCO.DE | COM-MAGAZIN.DE | INTERNETWORLD.DE | MOBILE-DEVELOPER.DE | MOBILE-NEXT.DE | REPUTEER.DE | SPORTONLINE.DE | TELECOM-HANDEL.DE | WEB-DEVELOPER.DE 15.08.2012 11:57 XML-Signature-Wrapping-Angriffe hebeln digitale Signatur aus - Sich... http://www.dv-dialog.de/nc/home/newsdetails/article/sicherheitsluecke... Home Software SIE SIND HIER: Infrastruktur HOME IT-Anwendungen Aktuelle Ausgabe Organisation Specials Media Newsletter Abo IT-Markt Archiv Verlag Kontakt Termine Impressum Trends NEWSDETAILS 13.08.2012 SICHERHEIT ANZEIGE Von: Berthold Wesseler XML-Signature-Wrapping-Angriffe hebeln digitale Signatur aus SICHERHEITSLÜCKE BEI SINGLE-SIGN-ON GESCHLOSSEN Bochumer Forscher haben beim „Single-Sign-on“ mit der Security Assertion Markup Language (SAML) ein Sicherheitsproblem entdeckt und gemeinsam mit den betroffenen Anbietern behoben. ANZEIGE Bei 11 von 14 untersuchten Systemen, mit denen sich User durch einmaliges Login für mehrere Dienste und Anwendungen anmelden können, lässt sich die digitale Signatur aushebeln, meldete das Forscherteam rund um Professor Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum. „Mit einem neuartigen XML-Signature-Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt”, berichtet Schwenk. So habe man sich jede beliebige Identität aneignen können, sogar die eines Systemadministrators. Zu den verwundbaren Systemen zählen die CRM-Software Salesforce, das IBM Datapower Security Gateway XS40, das Framework Open SAML und das Open Source-Toolkit Onelogin, das z.B. von Joomla, SugarCRM und Drupal benutzt wird. WEB-SPECIAL DELL MEISTGELESENE ARTIKEL Barbara Wittmann, Dell Deutschland AUS WENIGER WIRD MEHR Bladeserver HIGHEND-SYSTEME FÜR WEB UND SAP Bereitstellung und Konfiguration SOFORT EINSATZBEREITE SYSTEME IT-MARKT 54 Prozent der deutschen Unternehmen kaufen im Internet ein E-COMMERCE FEST ETABLIERT www.nds.rub.de/research/publications/BreakingSAML/ Bildquelle: Gerd Altmann / pixelio.de Innovative Abschlussarbeiten gesucht DNUG-HOCHSCHULWETTBEWERB 2012 In Verbindung stehende Artikel: CHG-Meridian AG erweitert Vorstand NEUE KRÄFTE FÜR DIE SPITZE Höhere Datensicherheit dank Single Sign On - 04.07.2012 11:56 Single-Sign-On für mehr Datensicherheit - 29.02.2012 17:05 IT-Messe Stuttgart setzt verstärkt auf CRM und ERP BUSINESS-IT IM RAMPENLICHT Kantara-Initiative will globale Identitätslandschaft neu gestalten - 22.06.2009 18:01 Identitätsmanagement und Single Sign-On - 03.01.2007 10:53 Vom Schnittstellenbauer zum DruckserviceExperten 20 JAHRE CSP « Home ANZEIGE MEISTGELESENE ARTIKEL IBM meldet Erfolge mit dem Auslagern von IT-Infrastruktur und Software CITY CLOUD WÄCHST SCHNELLER ALS GEPLANT ANZEIGE Microsofts Preview auf Office 2013 OFFICE AS A SERVICE AKTUELLE AUSGABE 1 von 4 NEWSLETTER ARCHIV 15.08.2012 11:59 Sicherheitslücken in Anmeldesystemen | com! - Das Computer-Magazin 1 von 1 http://www.com-magazin.de/index.php?id=204&type=98&tx_ttnews[t... Sicherheitslücken in Anmeldesystemen 14.08.2012 Wissenschaftler der Ruhr-Universität Bochum haben Single-Sign-on-Systeme auf mögliche Sicherheitsanfälligkeiten hin untersucht. Die Mehrheit der Systeme konnte durch XML-SignatureWrapping (XSW) gehackt werden. Weiter >> Wer im Internet viele unterschiedliche Dienste nutzt, benötigt eine entsprechende Menge Benutzernamen und Kennwörter. Das ist lästig, und etliche Nutzer verwenden daher überall die gleichen LoginInformationen, was aber als nicht besonders sicher gilt. Mehr Komfort versprechen Single-Sign-on-System (SSO). Hier muss sich ein Nutzer nur einmal am zentralen SSO-System anmelden und authentifizieren. Danach kann er sich in alle Systeme und Anwendungen einloggen, für die sein Account eine Berechtigung hat. Ein SSO muss besonders hohen Sicherheitsanforderungen genügen. Denn wenn es geknackt wird, hat ein Angreifer auf einen Schlag Zugriff auf alle damit verbundenen Konten. Offenbar sind die Systeme bei weitem nicht so sicher, wie bisher vermutet. Nach Untersuchungen der Ruhr-Universität Bochum konnten zwölf von vierzehn Single Sign-On-Systeme über XML-SignatureWrapping gehackt werden. Die Wissenschaftler konnten sich bei beliebigen Konten anmelden und sogar administrativen Zugang erhalten. Anfällig für diese noch relativ neue Angriffsmethode sind unter anderem der Clouddienst Salesforce, das IBM DataPower Security Gateway, Onelogin und das Framework OpenSAML. Diese SSO-Systeme werden von zahlreichen Angeboten im Internet genutzt, die beispielsweise die Content Management Systeme (CMS) Joomla, Wordpress oder Drupal einsetzen. Kurz nach Entdeckung der Anfälligkeiten haben die Wissenschaftler die betroffenen Herstellerfirmen und Projekte benachrichtigt. Inzwischen wurden entsprechende Gegenmaßnahmen eingeleitet und die Sicherheitslücken in den Produkten geschlossen. Juraj Somorovsky von der RUB hat außerdem die Ergebnisse der Untersuchungen auf dem 21. USENIX Security Symposium in Bellevue, in Washington (USA) vorgestellt. Bereits im Mai 2012 hatten Experten der Indiana University Bloomington und von Microsoft Research die Sicherheit einiger kommerzieller SSO-Systeme untersucht. Darunter waren populäre Dienste und Produkte wie OpenID (GoogleID, Paypal Access), Facebook und JanRain. Auch bei dieser Untersuchung wurden mehrere Sicherheitslücken gefunden, die die Unternehmen dann auf Anregung der Wissenschaftler geschlossen haben. rd, 14.08.2012 - Rubrik(en): Sicherheit, Datenschutz, Internet Neue Mediengesellschaft Ulm mbH | Bayerstr. 16a | D-80335 München Telefon: +49 89 74 117-0 | Telefax: +49 89 74 117-132 Email: [email protected] | Internet: www.com-magazin.de 15.08.2012 12:01 Buergerstimmen.de aus Göttingen - Bochumer Informatiker h... 2 von 6 http://www.buergerstimmen.de/wirtschaft/wirtschaft_635.htm Meldung gesetzt von ~ Dr. Dieter Porth --- <<< Vorheriges --- >>> Zukünftiges --- Weitere Links unter Ticker, Historie oder Startseite Themenlisten: ~ erzählen ~ berichten ~ Wirtschaft ~ Hochschule ~ irgendwo ~ Universität ~ Bookmark setzen ɛ Netzsicherheit Bochumer Informatiker häckten sich bei Cloud-Anbietern ein 13.08.2012 Um dem Nutzer der Cloud-Datendiensten den Zugang zu erleichtern, wurde der Industriestandard des Single Sign-On eingeführt. Wenn ein Angreifer diese Hürde ersteinmal überwunden hat, kann er auf sämtliche Daten zugreifen, die mit dem Generalschlüssel des Single Sign-Ons zugänglich sind. Den Informatikern der Ruhr-Universität Bochum ist es nun mit einer neuartigen Cyber-Angriffsstrategie f gelungen, in solchen Systemen Identitäten zu übernehmen. Sie konnten sogar mit ihrer Technik neue Systemadministratoren erfinden und so den Zugriff auf alle Daten erhalten. Bei zwölf von vierzehn überprüften bekannten Cloud-Anbietern wurden kritische Sicherheitslücken entdeckt. Die Forscher haben die Unternehmen kontaktiert und ihnen auch Sicherheitsvorschläge unterbreitet. Beigefügt ist eine ältere Meldung zu einer Umfrage der BITKOM zum Thema Cloud-Computing. Danach nutzt gut jedes vierte Unternehmen in Deutschland schon Cloud-Dienste. Gut jedes zwanigste Unternehmen nutzt das sogenannte Public Cloud, bei der das Unternehmen zur Nutzung ihrer Daten auch die Software des Cloud-Anbieters nutzen muss. [Cloud (engl.: Wolke als Substantiv oder verschleiern als Verb) spricht sich im Deutschen wie "klaut". Die Meldung zeigt, dass Daten im Internet niemals 100% geheim und sicher bleiben. Jeder sollte sich wirklich überlegen, wie abhängig er oder sie sich von wildfremden Menschen und fremden Unternehmen machen will. Dr. Dieter Porth] Emailnachricht: Kontaktlink zu Ruhr-Universität Bochum (RUB) [ Homepage ] (Info zur Meldung am 10.8.12 – Link zur Meldung beim Informationsdienst Wissenschaft (IDW) – Link zur Originalmeldung bei der Ruhr Universität Bochum) Webshops, Cloud Computing, Online-Banking: Tagtäglich fordern viele unterschiedliche IT-Systeme den Nutzer auf, sich immer wieder über Benutzername und Passwort zu identifizieren. Als praktisches Mittel gegen die Flut von Mehrfachanmeldungen gilt das so genannte "Single Sign-On". Hier weist sich der Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen automatisch. Dass die Einmal-Anmeldung jedoch längst nicht so sicher ist wie bislang angenommen, zeigen jetzt Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum: Ungefähr 80 Prozent der untersuchten Systeme wiesen massive Sicherheitslücken auf. 15.08.2012 07:35 Buergerstimmen.de aus Göttingen - Bochumer Informatiker h... 3 von 6 http://www.buergerstimmen.de/wirtschaft/wirtschaft_635.htm Digitale Signatur soll schützen Das "Single Sign-On"-Verfahren, kurz SSO, kann mit einem gut bewachten Tor verglichen werden, das die sensiblen Firmendaten schützt: Wer den Eingang einmal passiert hat, kann auf alle Informationen und Dienste zugreifen, denn er gilt als angemeldet und zugriffsberechtigt. Viele SSO-Systeme setzen auf die weit verbreitete Security Assertion Markup Language (SAML). Die Identitätsinformationen werden in einer SAML-Nachricht gespeichert und durch eine digitale Signatur geschützt. Doch die Bochumer Forscher fanden einen Weg, diesen Schutz zu umgehen. Sicherheitsfunktion ausgehebelt "Mit einem neuartigen XML Signature Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt", berichtet Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. "Dadurch konnten wir uns jede beliebige Identität aneignen und uns sogar als Systemadministratoren ausgeben". Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen 12 kritische Lücken auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce, das IBM DataPower Security Gateway, Onelogin (benutzt in Joomla, Wordpress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML). Gegenmaßnahmen vorgeschlagen "Nachdem wir die Sicherheitslücken entdeckt hatten, kontaktierten wir umgehend die betroffenen Firmen und schlugen Gegenmaßnahmen vor", berichtet der Sicherheitsexperte und externe Doktorand Andreas Mayer (Adolf Würth GmbH & Co. KG). "Durch die professionelle Zusammenarbeit mit den Herstellern konnten die kritischen Schwachstellen in den betroffenen Produkten geschlossen werden", ergänzt Juraj Somorovsky vom Lehrstuhl für Netz- und Datensicherheit. Ergebnisvorschau Am 10. August 2012 stellt Juraj Somorovsky die Ergebnisse auf dem 21. USENIX Security Symposium in Bellevue, Washington (USA) vor. Das Paper ist im Internet veröffentlicht unter: http://www.nds.rub.de/research/publications/BreakingSAML (Email vom 7.3.12) Repräsentative Unternehmensbefragung "Cloud-Monitor 2012" Jeder vierte User pflegt Terminkalender und Adressen online Hannover, 7. März 2012 - Gut ein Viertel (28 Prozent) aller Unternehmen in Deutschland nutzt Cloud Computing. Vorreiter beim Einsatz dieser neuen Technologie sind u.a. Finanzdienstleister. Größere Unternehmen nutzen Cloud Computing überdurchschnittlich häufig. Dabei haben rund zwei Drittel aller Nutzer mit der Cloud positive Erfahrung gemacht. Das hat der "Cloud Monitor 2012" von KPMG und BITKOM ergeben. Die repräsentative Unternehmensbefragung ist zum ersten Mal durchgeführt worden und wird bis 2015 jährlich wiederholt. "Zwar stehen einige Unternehmen Cloud Computing noch skeptisch gegenüber. Doch diejenigen, die bereits Erfahrungen mit Cloud Computing gemacht haben, sind in der Regel durchweg zufrieden", sagte BITKOM-Präsident Prof. Dieter Kempf bei der Präsentation der Studie auf der CeBIT. Beim Cloud Computing kann fast die gesamte Palette von IT-Leistungen über Netze (meist über das Internet) bereitgestellt werden, und zwar je nach aktuellem Bedarf. Der Nutzer erhält seine IT-Leistungen in dem Maße und dem Moment, wie und wo er sie anfordert – bezahlt wird nach Nutzung. Die weit überwiegende Zahl der Cloud-Nutzer setzt derzeit auf so genannte Private Clouds. 27 Prozent der Unternehmen nutzen diese Form des Cloud Computings, weitere 21 Prozent haben in diesem Bereich konkrete Investitionspläne für die kommenden 2 Jahre. Private Clouds sind quasi unternehmenseigen und können vom Unternehmen selbst oder von einem externen Dienstleister betrieben werden. Fast zwei Drittel der Nutzer beurteilen ihre Erfahrungen mit der Cloud als positiv. Nur 6 Prozent der Unternehmen nutzen schon eine Public Cloud. Hier werden ITK-Leistungen von einem externen Dienstleister über das öffentliche Internet bezogen. Daten und Anwendungen der verschiedenen Kunden werden zwar logisch getrennt, aber auf denselben physischen Rechnern gespeichert. "Public Clouds spielen im Unternehmensalltag bislang eine untergeordnete Rolle. Hauptgrund dafür ist die Angst vor Datenverlust", sagte Kempf. Dabei zeigen die Erfahrungen der Nutzer, dass diese Angst weitgehend unbegründet ist. Vier von fünf Nutzern der Public Cloud haben positive Erfahrungen gesammelt. Zu den wichtigsten positiven Auswirkungen der Public-Cloud-Nutzung zählen eine höhere Flexibilität der IT-Leistungen (80 Prozent der Nutzer), eine höhere Innovationsfähigkeit (70 Prozent) sowie die bessere Performance der IT-Leistungen und der mobile Zugriff auf die IT (60 Prozent). Bruno Wallraf, Partner bei KPMG, sagte: "Unsere Umfrage zeigt, dass viele Unternehmen beim Thema Cloud Computing noch etwas unsicher und unentschlossen sind. Diejenigen, die bereits derartige Anwendungen nutzen, berichten fast ausschließlich von positiven Erfahrungen. Deshalb dürfte sich Cloud Computing schon bald weiter etablieren, zumal die Bandbreiten und das entsprechende Angebot an Dienstleistungen stark 15.08.2012 07:35 Sicherheitslücken in Anmeldesystemen | com! - Das Computer-Magazin 2 von 3 http://www.com-magazin.de/sicherheit/news/detail/artikel/sicherheitsl... Offenbar sind die Systeme bei weitem nicht so sicher, wie bisher vermutet. Nach Untersuchungen der Ruhr-Universität Bochum konnten zwölf von vierzehn Single Sign-On-Systeme über XML-Signature-Wrapping gehackt werden. Die Wissenschaftler konnten sich bei beliebigen Konten anmelden und sogar administrativen Zugang erhalten. Anfällig für diese noch relativ neue Angriffsmethode sind unter anderem der Clouddienst Salesforce, das IBM DataPower Security Gateway, Onelogin und das Framework OpenSAML. Diese SSO-Systeme werden von zahlreichen Angeboten im Internet genutzt, die beispielsweise die Content Management Systeme (CMS) Joomla, Wordpress oder Drupal einsetzen. Kurz nach Entdeckung der Anfälligkeiten haben die Wissenschaftler die betroffenen Herstellerfirmen und Projekte benachrichtigt. Inzwischen wurden entsprechende Gegenmaßnahmen eingeleitet und die Sicherheitslücken in den Produkten geschlossen. Juraj Somorovsky von der RUB hat außerdem die Ergebnisse der Untersuchungen auf dem 21. USENIX Security Symposium in Bellevue, in Washington (USA) vorgestellt. Bereits im Mai 2012 hatten Experten der Indiana University Bloomington und von Microsoft Research die Sicherheit einiger kommerzieller SSO-Systeme untersucht. Darunter waren populäre Dienste und Produkte wie OpenID (GoogleID, Paypal Access), Facebook und JanRain. Auch bei dieser Untersuchung wurden mehrere Sicherheitslücken gefunden, die die Unternehmen dann auf Anregung der Wissenschaftler geschlossen haben. rd, 14.08.2012 - Rubrik(en): Sicherheit, Datenschutz, Internet News-Suche com! Newsfeeds com! - Tipps com! - Sicherheits-News com! - Praxis Advertorials Archiv August 2012 Juli 2012 Juni 2012 Mai 2012 April 2012 März 2012 Februar 2012 Januar 2012 Dezember 2011 November 2011 Oktober 2011 September 2011 August 2011 Juli 2011 Juni 2011 Mai 2011 April 2011 März 2011 Februar 2011 Januar 2011 Dezember 2010 November 2010 Oktober 2010 September 2010 August 2010 Juli 2010 Juni 2010 Mai 2010 April 2010 März 2010 Februar 2010 Januar 2010 Dezember 2009 November 2009 Oktober 2009 September 2009 15.08.2012 07:53 Druckversion 1 von 1 http://www.aachener-zeitung.de/sixcms/detail.php?template=az_druck... DRUC K E N Von Thomas Cloer | 13.08.2012, 10:41 Aachen. Bochumer Forscher haben die in vielen Single-Sign-On-Systemen (SSO) verwendete SAML-Signatur (Security Assertion Markup Language) ausgehebelt. Tagtäglich fordern viele unterschiedliche IT-Systeme den Nutzer auf, sich immer wieder über Benutzername und Passwort zu identifizieren. Beim sogenannten Single Sign-On weist sich der Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen automatisch. Diese Einmal-Anmeldung sei längst nicht so sicher ist wie bislang angenommen, erklären nun Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum (RUB) ungefähr 80 Prozent der untersuchten Systeme wiesen demnach massive Sicherheitslücken auf. Viele SSO-Systeme setzen auf die weit verbreitete Security Assertion Markup Language (SAML). Die Identitätsinformationen werden dabei in einer SAML-Nachricht gespeichert und durch eine digitale Signatur geschützt. Die Bochumer Forscher fanden einen Weg, diesen Schutz zu umgehen. «Mit einem neuartigen XML-Signature-Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt», sagt Professor Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. Dadurch habe man sich jede beliebige Identität aneignen und sogar als Systemadministrator ausgeben können. Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen zwölf kritische Lücken auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce, das IBM «DataPower Security Gateway», «Onelogin» (benutzt in Joomla, Wordpress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML). Die betroffenen Firmen beziehungsweise Anbieter wurden umgehend kontaktiert und Gegenmaßnahmen vorgeschlagen; die Schwachstellen sind mittlerweile entfernt. Heute stellt Juraj Somorovsky vom Lehrstuhl für Netz- und Datensicherheits die Ergebnisse beim USENIX Security Symposium in Washington vor. Das Paper ist bereits im Internet veröffentlicht unter http://www.nds.rub.de/research/publications/BreakingSAML. © IDG / In Zusammenarbeit mit computerwoche.de www.az-web.de/sixcms/detail.php?template=az_detail&id=2639651 15.08.2012 07:55 Be whoever you want to be! | e! Science News -X C h a n F http://esciencenews.com/articles/2012/08/15/be.whoever.you.want.be -X C h a n PD F ge W O N y bu .d o m w .c o .c lic k to c u -tr a c k C m e! Science News o .d o w w w w w C lic k to bu y N O W ! ge ! PD c u -tr a c k Be whoever you want to be! Published: Wednesday, August 15, 2012 - 10:41 Online shopping, cloud computing, online CRM systems: Each day many IT systems require the user to identify himself/herself. Single Sign-On (SSO) systems were introduced to circumvent this problem, and to establish structured Identity Management (IDM) systems in industry: Here the user only has to identify once, all subsequent authentications are done automatically. However, SSO systems based on the industry standard SAML have huge vulnerabilities: Roughly 80 percent of these systems could be broken by the researchers from Ruhr-Universität Bochum. Protection through digital signatures Single Sign-On (SSO) can be compared to a well guarded door, which protects sensitive company data: Once you have passed this door, you can access all data. Many industry SSO systems are built on the basis of the Security Assertion Markup Language (SAML). Identity information is stored in a SAML message, protected by a digital signature. Researchers from Bochum were able to circumvent this protection completely in 12 out of 14 SAML systems. Security functions circumvented "With novel XML Signature Wrapping techniques we were able to circumvent these digital signatures completely," says Prof. Jörg Schwenk from Ruhr-Universität. "Thus we could impersonate any user, even system administrators." Amongst the 12 affected systems were the SaaS Cloud provider Salesforce, the IBM Datapower security gateway, Onelogin (could e.g. be used as an optional module in Joomla, Wordpress, SugarCRM, or Drupal) and OpenSAML (used e.g. in Shibboleth, and SuisseID, and OpenSAML). "After we found the attacks, we immediately informed the affected companies, and proposed ways to mitigate the attacks," states security expert and external PhD student Andreas Mayer (Adolf Würth GmbH & Co. KG). "Through the close cooperation with the responsible security teams, the vulnerabilities are now fixed," Juraj Somorovsky adds. Source: Ruhr-Universitaet-Bochum Check out our next project, Biology.Net We hope you enjoyed reading this article. Share it with friends, pin it to a wall or at the very least recycle it! And don't forget, you can always find more of the same at e! Science News http://www.esciencenews.com 1 von 1 16.08.2012 07:43 1 von 2 http://www.sciencedaily.com/releases/2012/08/120815082713.htm Web address: http://www.sciencedaily.com/releases/2012/08/ 120815082713.htm ScienceDaily (Aug. 15, 2012) — Online shopping, cloud computing, online CRM systems: Each day many IT systems require the user to identify himself/herself. Single Sign-On (SSO) systems were introduced to circumvent this problem, and to establish structured Identity Management (IDM) systems in industry: Here the user only has to identify once, all subsequent authentications are done automatically. However, SSO systems based on the industry standard SAML have huge vulnerabilities: Roughly 80 percent of these systems could be broken by the rresearchers from Ruhr-Universität Bochum. enlarge Single-sign-on. (Credit: Image courtesy of Ruhr-Universitaet-Bochum) Protection through digital signatures Single Sign-On (SSO) can be compared to a well guarded door, which protects sensitive company data: Once you have passed this door, you can access all data. Many industry SSO systems are built on the basis of the Security Assertion Markup Language (SAML). Identity information is stored in a SAML message, protected by a digital signature. Researchers from Bochum were able to circumvent this protection completely in 12 out of 14 SAML systems. Security functions circumvented "With novel XML Signature Wrapping techniques we were able to circumvent these digital signatures completely," says Prof. Jörg Schwenk from Ruhr-Universität. "Thus we could impersonate any user, even system administrators." Amongst the 12 affected systems were the SaaS Cloud provider Salesforce, the IBM Datapower security gateway, Onelogin (could e.g. be used as an optional module in Joomla, Wordpress, SugarCRM, or Drupal) and OpenSAML (used e.g. in Shibboleth, and SuisseID, and OpenSAML). "After we found the attacks, we immediately informed the affected companies, and proposed ways to mitigate the attacks," states security expert and external PhD student Andreas Mayer (Adolf Würth GmbH & Co. KG). "Through the close cooperation with the responsible security teams, the vulnerabilities are now fixed," Juraj Somorovsky adds. Share this story on Facebook, Twitter, and Google: Like 3 Tweet 14 0 Other social bookmarking and sharing tools: 16.08.2012 07:46 Landeszeitung für die Lüneburger Heide vom 18.08.2012 Seite: MAG-7 Auflage: Gattung: Tageszeitung Reichweite: 33.370 (gedruckt) 31.687 (verkauft) 32.337 (verbreitet) 0,07 (in Mio.) Im Tal der Sorglosen Brauchen Macs Virenschutz? Mac- hinter Windows-Scannern In einem Test von sechs Mac-Virenscannern der Zeitschrift "Maci" brachte es der bes-te Prüfling, Kaspersky AntiVirus 2011, auf eine Erkennungsrate von 82 Prozent. Mit 78 Prozent kaum schlechter schnitt das kostenlose Sophos Anti-Virus ab. Verglichen mit Windows-Scannern, die ein Vielfaches an Schädlingen erkennen müssen und trotzdem Quoten von weit über 90 Pro- zent erreichen, ist das zu wenig. Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch Tests stellen den Programmen kein gutes Zeugnis aus. Macht nichts, sagen Experten. Man kann Macs auch weiter ohne Scanner nutzen - Umsicht vorausgesetzt. Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. Schnell waren weltweit Hunderttausende Macs befallen, die zum Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum. Am Markt gibt es ein Dutzend MacVirenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift "Maci" getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein "enttäuschendes" Ergebnis. "Keiner erkannte alle MacViren, obwohl die Signatur-Updates gegenüber den Testschädlingen mindeWörter: © 2012 PMG Presse-Monitor GmbH 674 stens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel hatten", lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten. "Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des Schädlings", heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder Scanner: Der beste enttarnte nur 82 Prozent der Schädlinge. Von den bei WindowsScannern üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der PhishingAbwehr schnitten die Programme nicht besonders gut ab. Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. "Aus unserer Sicht ist das angesichts der Bedrohungslage nicht notwendig", sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback nichts geändert. Trotzdem gelte auch für Mac-Nutzer: "Mit offenen Augen und gesundem Menschenverstand durch die Welt gehen." Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen. Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware - ebenso wie das Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter "Softwareaktualisierung" stets aktuell gehalten werden, rät Griese. Das UpdateIntervall stellt man am besten auf "täglich". Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von Schadsoftware nach wie vor auf diesen "Markt" konzentrieren. Trotzdem: "Flashback hat gezeigt, dass auch Mac OS X angreifbar ist", sagt Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem gibt, treffen sie oft Unvorbereitete: "Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser." Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. "Sie bietet nie hundertprozentigen Schutz", sagt der Professor. Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei deshalb auch für MacNutzer Vorsicht im Internet unabdingbar. "Nicht auf alles klicken und ein gesundes Misstrauen helfen sehr", rät Holz. Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz erweitern möchte, kann zu Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den Einstellungen des Browsers kann die Sicherheit erheblich steigern. "Bei Java empfehlen wir immer, es nur zu aktivieren, wenn man es braucht", sagt Tim Griese. Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard kam eine SchadsoftwareErkennung hinzu (Xprotect) - die im "Maci"-Test aber nur einmal Alarm schlug. dirk averesch Internet: http://dpaq.de/dtJZw (Web of Trust für verschiedene Browser) iX magazin vom 23.08.2012 Seite: Gattung: 018 Zeitschrift Jahrgang: 2012 Nummer: Auflage: 09 60.000 (gedruckt) 41.073 (verkauft) 42.188 (verbreitet) Markt + Trends | Security Händler lieben Vorkasse und PayPal Händler lieben Vorkasse und PayPal Für Händler müssen die Zahlungsmittel ihres Onlineshops vor allem sicher und wirtschaftlich sein. Kleinere Unternehmen setzen daher am liebsten die Überweisung per Vorkasse und PayPal ein. Große Händler favorisieren die Kreditkarte. Zu diesem Ergebnis kommt das Projekt E-Commerce-Leitfaden in der Online-Befragung Die Qual der Wahl Wie Online-Händler ihre Zahlungsverfahren auswählen . Weitere Ergebnisse: Etwa ein Drittel der 297 Teilnehmer differenzieren zwischen Neu- und Bestandskunden und bieten Neukunden eine reduzierte Auswahl an Zahlungsmitteln an. Als die drei wichtigsten Anforderungen nannten die Befragten die Akzeptanz und Verbreitung des Verfahrens im deutschsprachigen Raum, Schutz vor Zahlungsausfällen sowie die Kosten. Kostenloser Download der 34seitigen Studie: www.ecom merce-leitfaden.de/zvauswahl. html. Barbara Lange Logfiles sammeln und auswerten Wallix, ein auf Privileged-User-Management-Produkte spezialisierter Anbieter mit Sitz in Frankreich, England und den USA, versucht derzeit, auf dem deutschen Markt Fuß zu fassen - etwa Wörter: © 2012 PMG Presse-Monitor GmbH 405 mit der neuen Version seiner LogBox. Diese sammelt Logdaten aus verschiedenen Quellen (alle gängigen Betriebssysteme, Businessanwendungen, Server, Datenbanken, Sicherheitssysteme et cetera), normalisiert, filtert, indiziert und archiviert sie oder verarbeitet sie zu Reports. Außerdem gibt das agentenlos arbeitende Gerät bei definierten Ereignissen Warnungen in Echtzeit aus. Neu sind laut Hersteller die Reporting-Möglichkeiten: sechs Berichtsvorlagen für drei Zeiträume (täglich, wöchentlich, benutzerdefiniert). Ausgabeformate sind PDF oder HTML. Außerdem hat Wallix die Verarbeitungsleistung auf 2000 Logs/s erhöht. Systeme für Single Sign-on geknackt Forscher der Ruhr-Universität Bochum (RUB) haben 14 sogenannte SingleSign-on-Systeme auf ihre Sicherheit überprüft - mit alarmierendem Ergebnis. Rund 80 Prozent der untersuchten Systeme, die ein einmaliges Anmelden bei mehreren IT-Anwendungen oder Ressourcen ermöglichen, wiesen gravierende Sicherheitslücken auf, lautet das Ergebnis der Bochumer Forscher. Die meisten dieser Systeme basieren auf der Security Assertion Markup Language (SAML), einem XML-Frame- work, das dem Austausch von Authentifizierungs- und Autorisierungsinformationen dient. Die für die Anmeldung erforderlichen Informationen sind in einer SAML-Nachricht gespeichert und durch eine digitale Signatur geschützt. Den Bochumer Forschern gelang es mit einem neuartigen XML-SignatureWrapping-Angriff, diesen Schutz zu umgehen, berichtete Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. Dadurch konnten sich die Forscher jede beliebige Identität aneignen und sich sogar als Systemadministratoren ausgeben. Von den 14 getesteten Systemen erwiesen sich 12 als angreifbar - darunter der Clouddienst Salesforce, das IBM DataPower Security Gateway, OneLogin (benutzt in Joomla, WordPress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML). Mit den Hinweisen der Forscher konnten die Schwachstellen in den Produkten geschlossen werden. Die Forschungsergebnisse sind im Internet veröffentlicht (s. Alle Links ). iX 9/2012 Alle Links: www.ix.de/ix1209018 Mantelbogen X Bochum X 28.08.2012 Tech SEARCH IBTIMES Everyone y is Listening: g How Cheap p and Easy Call Monitoring Puts You at Risk By David Gilbert: Subscribe to David's RSS feed August 28, 2012 4:06 PM GMT Spying on telephone calls made by your neighbours or corporate rivals has never been easier - or cheaper - and according to one security expert this represents a major chink in the security armour of many individuals and companies. Generally speaking, over the last few years, most people have understood the need to secure their PCs and laptops, whether that is against malware looking to steal your banking details, or rival companies looking to steal your corporate secrets. "By now there is no credible corporation around that hasn't secured its IT infrastructure with firewalls, anti-virus software. [But] voice and mobile devices are the chink in the security armour." So says Bjoern Rupp, CEO at GSMK Cryptophone which specialises in providing end-to-end encryption of voice and mobile calls to individuals as well as businesses. Follow us Rupp belieeves people stilll work on the assumption a that the telephone system s is a trusted, governmennt-run entity, ev ven though this is no llonger the case. One of thee main reasons that t call monito oring like this iss becoming succh a huge probleem, it that the ccost to interceptt telephone calls and aattack mobile deevices has decreased enormouusly in the last couple c of decades. "Twenty yyears ago this was w the preservee of law enforceement agencies,, [using] specialised, expensivee equipment wh hich could not be bouught on the openn market. Nowaadays, if you knnow what you are a doing, you can c go into an eelectronics shop p and for just a few hundred poundds you are in bu usiness." ot yet arrived at that level of awareness." a While Ruppp says the use of such technollogy is widesprread, "the generral public has no Larger corrporations, espeecially those reg gularly targetedd by interested parties p and subject to espionagge, have woken up and understoodd this reality hoowever, but "your average smaall or medium-ssized company has h no clue how w dangerous thiis is." Researcheers Karsten Nohhl and Luca Mellette from Chaoos Computer Cllub recently dem monstrated for G German busineess magazine Wirtschaftswocche how easy an nd cheaply callls can be interceepted remotely. All that is needed for a medium-skilled m computer c hobbyyist to interceptt a mobile phon ne call is a laptoop, four traditio onal mobile phones andd spying softwaare, which is av vailable on the iinternet. All this is available fo or a minimal coost of around a few f hundred poounds and it haas opened voice interception too a much larger,, mass market where w specialistt knowledge is no longer required. GSM calls with h self-built 'IMS SI' catchers, moobile networks have h not Despite sccientists provingg how it easy it is to intercept G been able tto stop such atttacks. "Progress in terms of secuurity in the telecoms world is m much slower th han the general IT world, as appplying a fix to mobile and fixed-line phones will cosst a lot of moneey, which leads to companies not n carrying outt the work," sayys Rupp. No easy fiixes "For somee problems, therre are no easy fixes. fi Telephonee interception, the t only solutio on to that is endd-to-end encrypttion and that's someething that has to happen on th he terminal sidee." GSMK haas seen the adopption rate of enccrypted handsetts among manag gement increasee dramatically iin the last 12 months. m More and more companiees are supplying g their employeees with encrypted handsets wh hich they must use when makiing calls relating to sensitive comppany informatio on. urity systems, by y adopting betteer encryption sttandards, From a nettwork point of view, they havee started to impprove their secu but this is still some way from ideal: "[T This encryption]] only provides a basic level off security that iis good for protecting an i Of course thhat encryption can c never be end d-to-end when it is provided by b the individual from his neighhbour listening in. networks."" Rupp addss that if you aree dealing with in ndustrial espionnage or even go overnment secreets, then you muust assume thatt the attacker is sophisticated enough e to know w that when therre is no end-to-end encryption. m the mobile ph hone to the basee station is encrrypted, the link from the base sstation to the sw witching "Even if thhe first link from centre is nnot encrypted, annd you just log on to that and iintercept it, and d boom, there you y have all the contents." If you are making a phonne call back to your y head officee from abroad, talking t about a sensitive piece of corporate in nformation, Rupp sayss that without ennd-to-end encry yption, your com mpetitors are lik kely going to be able to snoopp on your conveersations. The first liine of security needs n to happen n in the phones themselves and d Kopp believes it is up to each ch company to "beef " up security," jjust as it is the company's obliigation to protecct their laptops and PCs. Vulnerablle Inn another example p of how vulnerable telecoms networks are,, Ruhr Universityy Bochum in Germany recently demonstrated that satellite telephony, which was thought to be secure against eavesdropping, can be intercepted. Researchers cracked the encryption algorithms of the European Telecommunications Standards Institute (ETSI), which is used globally for satellite telephones, and revealed significant weaknesses. Rupp also says that telephone interception and monitoring is not the preserve of nosey neighbours or criminals. He says that in most countries "you must assume that all calls are recorded." With digital storage costs dropping in recent years, governments the world over are now able to record and store every single phone call. "It has become really cheap to record everything by default. Any decent intelligence agency can easily afford to record all calls made in a given year on their local networks - be it mobile or fixed line. The cost is negligible for the budget these intelligence agencies typically have." Rupp says that every one of your calls is stored somewhere and it is only a matter of someone accessing it from an archive to listen back to your conversations. Most countries use intelligence support systems (ISS) which make life for the analyst a lot easier by filtering out the calls which might be important. The first-stage filters monitor call patterns. For example a typical call pattern for an organised crime group would see one person call five people, then each of those five people call another five people and so on. Pre-filtering by call data records is then carried out, and once you have a group of 'interesting' calls, speech analysis is done on them to identify key words. Vocal recognition is not carried out on the whole set of calls as it is still relatively expensive to do this for such a large sample. Street In terms of carrying out surveillance on your neighbours, Rupp says local interception can be extremely cheap, but you do need to be relatively close to the victim. "Corporations and governments just need to adopt the same approach that they already apply to other mobile devices, most notably laptops, notebooks and so on. "Of course mobile phones these days are computers that happen to fit in a pocket, that have a microphone and a speaker. They are full blown computers that are subject to the same risks as laptops and desktop computers are." A criminal will always look for the soft link as the place to attack, and right now, Rupp believes this means mobile phones. "They [mobile phones] all have access to the corporate email system and they are carried by key individuals in their pockets all the time." Rupp says the technology to do voice encryption, message encryption and mobile device security is available. "It's just like in the early days of email encryption and hard disk encryption, the perception is not yet there to the level it is there now in laptops, but it is a matter of time." There is an obvious expense for corporations looking to implement these security measures, but Rupp says compared to the alternative of losing critical data to a competitor, the cost is much lower. To report problems or to leave feedback about this article, e-mail: [email protected] To contact the editor, e-mail: [email protected] WE RECOMMEND x x x x x Wenger Explains Sahin Snub, Reveals Transfer Target Iran is Not Crazy, Says Iran-Israel Expert RIM: BlackBerry Security Not Compromised in India Telstra Targets 60Pct 4G/LTE Coverage by Mid-2013 Upgrade HTC Desire to Android 4.1.1 Jelly Bean with CyanogenMod 10 [How to Install] Radio Bochum : Das Europäische Kompetenzzentrum für IT-Sicherhei... 1 von 1 http://www.radiobochum.de/Lokalnachrichten.592+M52494286e93.0.... LOKALNACHRICHTEN 29.08.2012 15:30 Alter: 16 Stunden Das Europäische Kompetenzzentrum für IT-Sicherheit eurobits e. V. mit Beteiligung der Ruhr-Universität Bochum ist als „Ausgewählter Ort 2012“ ausgezeichnet worden. Die Auszeichnung gehört zum Wettbewerb „365 Orte im Land der Ideen“ und prämiert Projekte, die einen Beitrag zur Zukunftsfähigkeit der Bundesrepublik Deutschland leisten. Im Kompetenzzentrum für IT-Sicherheit würden Wissenschaftler aus der universitären Forschung und Ingenieure aus Technologiefirmen eng und örtlich verbunden zusammen arbeiten und internationale Spitzenforschung betreiben, heißt es vom Wettbewerbskommitee. < zurück < alle Lokalnachrichten anzeigen Kommentar schreiben WEITERSAGEN UND KOMMENTIEREN Bulgarien online buchen Buchen Sie Ihren Bulgarien Urlaub beim STIFTUNG WARENTEST-Sieger www.Bulgarien.holidaycheck… Billige Reisen Mallorca ab-in-de-urlaub.de nach Mallorca TÜV geprüft zum Tiefstpreis buchen! www.ab-in-den-urlaub.de/M… Last Minute Reisen Best Price Angebote & TÜV geprüft. Beim mehrfachen Testsieger buchen! www.start.de/Last-Minute Zahnarzt Wattenscheid Wir kümmern uns um Ihr Lächeln Dr. med. dent. Elisabeth Koster www.zahnarztpraxis-watten… Krisenmanagement Krisenkommunikation, Lobbying, Frühwarnsysteme, Krisenhandbuch www.advicepartners.de 30.08.2012 07:45 Wie wird man IT-Security-Profi? (Druckansicht) http://www.computerwoche.de/_misc/article/articleprintpopup/index.c... IT-Sicherheit Wie wird man IT-Security-Profi? Datum: Autor(en): URL: 04.09.2012 Uta Fendt http://www.computerwoche.de/2520172 In den Bereich IT-Sicherheit fanden viele Informatiker früher über den Quereinstieg. Heute gibt es spezielle Studiengänge und berufsbegleitende Ausbildungsangebote. 1 Vor der Jahrtausendwende gab es keine Berufe im Bereich IT-Sicherheit , denn die Sicherheit ist ein sehr junges Spezialgebiet der IT. 1987 wurde das erste Computervirus entdeckt und bereits 1990 behaupteten die ersten Hersteller von Sicherheitssoftware, dass es kaum noch unbekannte Themen in der IT-Sicherheit gäbe. Im Jahr 2000 meinten die Experten, die IT-Sicherheitslage im Griff zu haben. Die Problematik schien ihrer Meinung nach ausschließlich an der Schnittstelle zwischen dem Unternehmensnetz und dem Internet zu liegen. 2010 stellte die 2 Industrie ernüchtert fest, dass ihnen die Sicherheitsprobleme über den Kopf wachsen. 2012 markiert "Flame " das "Versagen der Antivirus-Industrie" - und einen Wendepunkt in der IT-Sicherheit. Viele IT-Sicherheitsexperten sind durch diese Entwicklungen in ihren Expertenstatus hineingewachsen und haben sich 3 ihr Wissen autodidaktisch angeeignet. Später ergänzten die Fachleute das Wissen durch Weiterbildung . Bachelor oder Master in IT-Sicherheit Die ursprünglich vielfältigen Möglichkeiten des Einstiegs in das Thema der IT-Sicherheit haben sich nun auf eine akademische Ausbildung g konzentriert. Führte der Weg g nach der Jahrtausendwende über die Belegung g g entsprechender Fächer und Kurse während eines IT-bezogenen Studiums, werden jetzt IT-Sicherheits-Studiengänge 4 an Hochschulen angeboten, die mit dem Bachelor oder Master abschließen. Die Ruhr-Universität Bochum beispielsweise ist eine international anerkannte Adresse für die IT-Sicherheit. Wer allerdings g bereits arbeitet und seine Berufstätigkeit nicht aufgeben möchte, kann etwa im Fernstudium bei der isits AG International School of 5 IT Security y den "Master in Applied IT Security" (M.Sc.) erwerben. (Mehr zum Thema: "IT-Sicherheit: Experten 6 sind gefragt ".) Qualifizierung von Softwareentwicklern Es gibt aber immer noch Systemadministratoren oder Softwareentwickler im Unternehmen, die keinen Hochschulabschluss erwerben können oder möchten, aber durch Praxis und zielgerichtete Weiterbildung einen ebenfalls hohen Grad an Expertise erreichen. Eine überschaubare Anzahl an Weiterbildungszertifikaten wie beispielsweise C.I.S.S.P., T.I.S.P. oder ISMS Auditor werden in vielen Unternehmen aktiv gefördert, um Fachwissen ins Unternehmen zu holen, Mitarbeiter zu binden und dem Fachkräftemangel vorzubeugen. Letztendlich führt der Weg zum IT-Security-Spezialisten aber immer über eine profunde Grundausbildung in der Informationstechnologie gepaart mit Praxiserfahrung, Neugier und einer spezialisierten Zusatzausbildung in der IT-Sicherheit, ohne die man die komplexen Zusammenhänge zwischen Mensch, Information und Maschine nicht verstehen kann. Die vier am häufigsten gesuchten Berufe in der IT-Sicherheit sind wohl: 1 von 3 04.09.2012 07:42 Wie wird man IT-Security-Profi? (Druckansicht) http://www.computerwoche.de/_misc/article/articleprintpopup/index.c... IT Security Consultant Tätigkeit: Beratung von Kunden in komplexen IT-Sicherheitsprojekten Voraussetzungen: Technischer Studien- oder Berufsabschluss, zwingend Aufbauwissen IT-Sicherheit, Erfahrungen in Systemanalyse, Spaß am Kundenkontakt, gute Kommunikationsfähigkeiten Information Security Officer Tätigkeit: Verantwortung für die IT- und Informationssicherheit im Unternehmen, Definition von Anforderungen, ggf. Durchführung von IT-Security-Audits und Awareness-Kamapagnen, Eskalation von IT-Sicherheitsvorfällen Voraussetzungen: Technischer Studienabschluss und Aufbauwissen IT-Sicherheit, Erfahrungen in Systemadministration, Verständnis für das Informationsmanagement und IT-Sicherheitsarchitektur, gute Kommunikationsfähigkeiten Virusanalyst / Reverse Engineer / Softwareentwickler für Sicherheitslösungen Tätigkeit: Erstellen von Signaturen, Analyse von Schadsoftware, Entwicklung von Tools, Entwicklung von Sicherheitssoftware Voraussetzungen: Technischer Studienabschluss und Aufbauwissen IT-Sicherheit, Kenntnisse in embedded und Low-Level-Programmiersprachen, Talent zum Fehlerfinden und zur Datenanalyse, Talent für Code-Analyse und Kryptografie Datenschutzbeauftragter / IT-Sicherheitsbeauftragter Tätigkeit: Interne oder externe Beratung im Bereich Datenschutz und Informationssicherheit Voraussetzungen: Technische Ausbildung und zertifizierte Qualifikation als Datenschutzbeauftragter, Abstraktionsvermögen für die Komplexität des Informationsmanagementsystems und der Geschäftsprozesse, Genauigkeit, Verbindlichkeit, gute Kommunikations- und Moderationsfähigkeiten Nützliche Links: 7 www.is-its.org http://www.hgi.rub.de 8 Über isits: Die isits International School of IT Security AG hat sich seit 2001 europaweit als Weiterbildungs- und Konferenzanbieter der IT-Sicherheit und der Informationssicherheit etabliert und passt ihr Aus- und Weiterbildungsprogramm laufend an die aktuellen Anforderungen der neuen Berufsbilder an. Aktuell startete auch eine spezialisierte Internetjobbörse der isits. Die konzentrierte Ausrichtung innerhalb der Branche sowie die enge Zusammenarbeit mit Unternehmen und Universitäten macht die isits AG zu dem professionellen Weiterbildungspartner für IT-Anwender, -Profis und -Experten. Weitere Informationen finden Sie unter https://www.is-its.org 9 Links im Artikel: 2 von 3 1 http://www.computerwoche.de/schwerpunkt/i/it_security.html 2 http://www.computerwoche.de/schwerpunkt/f/flame.html 3 http://www.computerwoche.de/schwerpunkt/w/weiterbildung.html 4 http://www.hgi.rub.de/hgi/news/ 04.09.2012 07:42 Nie mehr Passwörter vergessen 1 von 3 http://www.ard.de/ratgeber/multimedia/passwortsicherheit/-/id=13302... http://www.ard.de/-/id=1931164/1pycv5q/index.html Multimedia Schutz vor Kriminellen im Netz Nie mehr Passwörter vergessen Rachel Schröder E-Mail, Onlinebanking, Facebook oder Twitter: Jeder Internetnutzer braucht inzwischen dutzende Passwörter. Um nicht den Überblick zu verlieren, benutzen viele die immer gleichen oder möglichst simplen Kombinationen - und öffnen Datendieben Tür und Tor. Wie Sie sichere Passwörter finden - und nie mehr vergessen. Lieblingsstadt, Lieblingstier, Lieblingsessen - wer angesichts unaufhörlich kursierender Nachrichten über Datendiebstahl und Identitätsklau noch immer an seinem Lieblingspasswort festhält, das er noch dazu für alle Accounts verwendet, handelt schlicht leichtsinnig. Immer ausgeklügelter werden die Methoden der so genannten "Cracker" - keine Kekse, sondern Menschen, die in krimineller Absicht fremde Rechner knacken, inklusive Passwörtern und sensibler Daten wie Kreditkarten- und Kontonummern. Bei geschätzten 30.000 neuen Schadsoftwarevarianten, die zum Teil von regelrechten Cracker-Mafien pro Tag ins Netz geschickt werden, kapituliert auch das beste Viren- und Firewallprogramm. Eine Sicherheitslücke im Adobe-Flash-Player brachte selbst Hacker-Profi Jörg g Schwenk einen Virus ein. Der Professor für Netz- und Datensicherheit an der Universität Bochum staunte nicht schlecht, als seine privaten Dateien plötzlich irgendwo g in den Untiefen seiner Verzeichnisbäume versteckt waren. Zum Glück waren sie nicht gelöscht. Passwörter knacken - für Diebe ein Kinderspiel Opfer eines Angriffs tun gut daran, zumindest ihre Passwörter möglichst sicher zu gestalten. Für jeden Account, ob E-Mail, Online-Shop oder Bank, sollte man sich ein anderes Passwort ausdenken. Nicht enden wollende Hieroglyphenbandwürmer sollen es sein, raten Experten, am besten mit Groß- und Kleinbuchstaben und Sonderzeichen gespickt, unbedingt aus verschiedenen Sprachen. Denn Passwörter, die aus Haustier- oder Städtenamen bestehen, lassen sich mittels der so genannten Wörterbuchattacke manchmal in Sekundenschnelle herausfinden. Dabei nutzen Cracker Wörterbücher, die in allen erdenklichen Varianten im Netz stehen: Haustier-Wörterbücher, Filmtitel-Wörterbücher, Harry-Potter-Wörterbücher, ja sogar die Online-Enzyklopädie Wikipedia dient als Wortliste. Darin stehen praktisch alle Wörter, die existieren. Ein automatisiertes Crack-Programm, das so lange probiert, bis das richtige Passwort gefunden ist, erledigt den Rest. Das Kreuz mit der Eselsbrücke Aber wie kann man sich die 15 bis 20 Passwörter, die jeder PC- und Internetnutzer im Laufe der Zeit nach Schätzungen des Branchenverbandes Bitcom anhäuft, merken? Kein Problem, sagen Gedächtnisweltmeister. Sie raten zu Eselsbrücken, der so genannten 04.09.2012 07:53 Nie mehr Passwörter vergessen 2 von 3 http://www.ard.de/ratgeber/multimedia/passwortsicherheit/-/id=13302... "Mnemotechnik". Doch auch die schönste Eselsbrücke ist zum Scheitern verurteilt, wenn sich der Betreffende beim besten Willen nicht mehr daran erinnert. Der Psychologe Felix R. Paturi rät deshalb, Zahlen von 1 bis 100 mit bestimmten Bildern, die man sich ausdenkt, zu verknüpfen und auswendig zu lernen (z.B. 1 = Eisbecher, 2 = Zweig, 3 = Brei). Wer eine Pin oder ein aus Zahlen bestehendes Passwort auswendig lernen will, braucht dann nur noch eine Geschichte zu erfinden, in der die entsprechenden Dinge vorkommen. Ebenso verhält es sich mit Konsonanten, die man bestimmten Zahlen zuordnet, so Gedächtnisakrobat Paturi in seinem Buch "Perfekt merken, nichts vergessen" (etwa o = Z, S, C und 9 = P, B). Das menschliche Gehirn könne sich von Natur aus Geschichten besser merken als abstrakte Zahlen- und Buchstabenkombinationen. Hilft fast immer gegen das vergessen: Eine möglichst gute Eselsbrücke Für alle, denen das Geschichten-, Bildfolgen-, und Weglistenerfinden irgendwann zu aufwändig wird, gibt es technische Hilfsmittel. Die Passwörter einfach auf einem Zettel zu notieren, ist zwar gar nicht so dumm, wie es scheint, erläutert Datensicherheitsexperte Schwenk. Denn der Zettel unter dem heimischen Kopfkissen kann schließlich nicht per PC-Attacke geknackt werden. Doch haben wir den Zettel natürlich immer dann nicht dabei, wenn wir im Netz einkaufen gehen wollen, Mails abrufen oder bei Facebook einen Bekannten "anstupsen" wollen. Retter in der Not: Passwort-Manager Mit einem Passwortmanager behalten Sie immer den Überblick. Abhilfe schaffen sollen deshalb so genannte PasswortManager, die sich mittlerweile meist als kostenlose Freeware im Internet selbst Konkurrenz machen. Das Ganze funktioniert so: Man speichert seine - möglichst komplizierten - Passwörter einfach in dem Programm und sichert sie mit einem Master-Passwort, das man sich natürlich merken muss, denn es ist wie ein Tresorschlüssel, ohne den man verloren wäre. Selbst Bank-Tans lassen sich auf diese Weise ziemlich sicher archivieren. Am besten lässt man sich von dem Programm gleich ein besonders kryptisches Passwort generieren, das garantiert kein Hackerprogramm errät. Passwortmanager und was sie können * "Keepass" und "KeepassX": In der Regel kostenlos. Läuft auf allen Betriebssystemen und existiert zudem als Version für den USB-Stick. Inkl. Passwortgenerator. Auf Android und iPhone je 79 Cent. * "Any Password": Kostenlos. Inkl. Passwortgenerator. * "Alle meine Passworte": Kostenlos. Nur für Windows, existiert als USB-Stick-Version * "Password Safe": PC-Version kostenlos, Stick-Version ca. 9,- EUR. Läuft nur auf Windows * "Steganos Passwort-Manager": ca. 11,95 EUR. Nur für Windows * "Moxier Wallet": Kostenlos. Für Mac OS X, Windows, iPhone, Android. Noch sicherer ist es, den Passwort-Manager nicht direkt auf dem Rechner zu installieren. Ist der einmal geknackt, so könnten theoretisch alle im Passwortmanager gespeicherten Passwörter ausgelesen werden. Denn auch wenn Programme wie "Keepass", "Any Password" oder "Alle meine Passworte" komplizierte Verschlüsselungsalgorithmen verwenden, ist das Master-Passwort immer noch ein Passwort. Noch sicherer ist es, so Professor Schwenk, das Programm auf einem mobilen Endgerät oder - noch besser - auf einem USB-Stick zu speichern. Der Vorteil: Man hat das Smartphone oder den Schlüsselbund-Stick in der Regel immer dabei. Relikt aus der Steinzeit des World Wide Web Hundertprozentigen Schutz bietet jedoch kein Passwortmanager. "Passwörter sind als Identifizierungsmittel eigentlich antiquiert", sagt Datenjongleur Jörg Schwenk. "Ein gutes Beispiel sind die Banken wie jetzt die Postbank. Die schaffen das iTan-Verfahren ab, obwohl die Tan ja ein sehr starkes Passwort ist, was nur ein einziges Mal verwendet werden kann". Doch auch beim vermeintlich sicheren Tan-Verfahren ist es durch das Phishing immer wieder zu Schadensfällen gekommen. Sicherer sei da schon der Fingerabdruck, doch der sei im Internet schwer einsetzbar, und wenn er übermittelt werden müsse, sei er per se auch abfangbar. Schwenk rät daher zur chipkartenbasierten Lösung, wie sie der neue elektronische Personalausweis vorsieht. Bei aller Kritik könne der E-Ausweis die Basis für künftige Lösungen sein. Um Kunden vor Betrug zu schützen, seien vor allem die 04.09.2012 07:53 Nie mehr Passwörter vergessen 3 von 3 http://www.ard.de/ratgeber/multimedia/passwortsicherheit/-/id=13302... Unternehmen gefragt. "Firmen sollten in mehr Technik investieren, um vom Passwort-System wegzukommen." Stand: 20.08.2012 Die ARD ist nicht für die Inhalte fremder Seiten verantwortlich, die über einen Link erreicht werden. Das Thema im Programm Gibt es das hundertprozentig sichere Passwort? "Ratgeber: Internet" |18.08.2012|17:03 Uhr [ard mediathek] URL: http://www.ardmediathek.de/das-erste/ratgeber-internet/passwoerter?documentId=11444522 Links in der ARD Was ist Mnemotechnik? Wörter besser einprägen [br/swr/wdr] URL: http://www.planet-wissen.de/alltag_gesundheit/lernen/gedaechtnis/mnemotechnik.jsp Mach Dein Netz sicherer Schnell und leicht ein sicheres Passwort erstellen [swr] URL: http://www.dasding.de/multimedia/Passwoerter/-/id=414/cat=1/pic=51/dcgrp=0/nid=414 /did=248014/1iw2y0w/index.html So legen Sie sich ein sicheres Passwort zu Tipps vom Netzreporter [ard mediathek] URL: http://www.ardmediathek.de/inforadio/netzfischer/netzreporter-wie-lege-ich-mir-ein-sicherespasswort-zu?documentId=11305140 Die Landesrundfunkanstalten der ARD: BR, HR, MDR, NDR, Radio Bremen, RBB, SR, SWR, WDR, Weitere Einrichtungen und Kooperationen: ARD Digital, ARTE, PHOENIX, 3sat, KI.KA, DLF/ DKultur, DW 04.09.2012 07:53 GIT Sicherheit + Management vom 14.09.2012 Seite: Rubrik: Gattung: 184 IT UND IT-SECURITY Zeitschrift Nummer: Auflage: 09 30.000 (gedruckt) 3.351 (verkauft) 29.038 (verbreitet) IT-Frühwarnsystem: iAId bietet Schutz im cyberwar Das Forschungsprojekt iAID (innovative Anomaly and Intrusion-Detection) wurde erfolgreich mit dem Ziel gestartet, effektive Schutzmaßnahmen gegen neue Angriffsmechanismen im sogenannten "Cyberwar" zu entwickeln. Die Zusammenarbeit von vier deutschen Hochschulen (Westfälische Hochschule Gelsenkirchen, Hochschule Darmstadt, Fachhochschule Frankfurt am Main und Wörter: © 2012 PMG Presse-Monitor GmbH 114 Ruhr-Universität Bochum) sowie zwei Industriepartnern (Vodafone D2 GmbH und Dr. Bülow & Masiak GmbH) im Projekt iAID ist eine Antwort auf die aktuelle Bedrohungslage der IT-Sicherheit in der Bundesrepublik. Ziel von iAID ist die Entwicklung von innovativen Lösungen und Verfahren zur Vorbeugung, Erkennung und Reaktion auf Angriffe über Netzwerke. Während klassische Erkennungssysteme nur bekannte Angriffsmuster erkennen können, werden im Rahmen von iAID innovative Methoden der Anomalie-Detektion entwickelt, um auch unbekannte Angriffe zu erkennen. [email protected] Computerwoche vom 24.09.2012 Autor: Seite: Stephan Hornung [SH] 0 Gattung: Auflage: Zeitschrift 19.099 (gedruckt) 16.883 (verkauft) 19.744 (verbreitet) IT-Security-Recruiting: Frühe Bindung hilft Das Sicherheitsbewusstsein in den Unternehmen wächst. Und damit auch die Nachfrage nach IT-Sicherheits-Experten. Bei der Suche nach geeigneten Kandidaten müssen sich die Firmen aber schon etwas einfallen lassen. Evelyn Spitzwieser (26) kommt aus Österreich und hat in Salzburg Informatik studiert. Anschließend zog sie für ein Master-Studium der IT-Sicherheit nach Bochum. Die Gegend war ihr nicht fremd: Bereits als Informatikstudentin hatte sie ihr Praktikum bei der Secunet Security Networks AG in Essen absolviert: "Ich hatte nach möglichen Firmen gegoogelt und mich für Secunet deshalb entschieden, weil das Unternehmen auf mehreren Gebieten der IT-Sicherheit und insbesondere der Biometrie unterwegs ist." Secunet bietet Beratung und Produkte an, die sich an höchste Geheimhaltungsstufen anlehnen, etwa an die der Bundeswehr. Die Essener beschäftigen knapp 300 Mitarbeiter und setzten zuletzt rund 60 Millionen Euro um. Spitzwieser wurde nach dem Praktikum studentische Hilfskraft, arbeitete bei Secunet in den Ferien, schrieb dort ihre Master-Arbeit - und hat das Angebot der Firma angenommen, nach Studienabschluss im Unternehmen zu arbeiten: "Ich hatte genügend Zeit, die Firma kennenzulernen. Mir hat es gefallen, deshalb bin ich geblieben." Seit Oktober 2011 ist Spitzwieser Beraterin für Biometrie und hoheitliche Dokumente im Geschäftsbereich Government. Die Österreicherin ist kein Einzelfall. Knapp ein Viertel aller im Jahr 2010 neu besetzten Stellen wurde über persönliche Kontakte vergeben. Ein weiteres Viertel entfiel auf Stellenangebote in Zeitungen und Zeitschriften. Jeweils jede siebte Stelle wurde über die Arbeitsagenturen oder Stellenbörsen im Internet besetzt. Private Arbeitsvermittler, Inserate Arbeitssuchender und die Übernahme von Leiharbeitern spielen dagegen eine untergeordnete Rolle. Zu diesen Ergebnissen kommt das Institut für Arbeitsmarkt- und Berufsforschung (IAB) in Nürnberg nach einer repräsentativen Befragung in 15.000 Unternehmen. "Praktika, studentische Tätigkeiten und Bachelor- beziehungsweise Master-Arbeiten sind ideale Testphasen für potenzielle Mitarbeiter und das Unternehmen, um sich gegenseitig kennenzulernen", sagt Thomas Pleines, Vorstand Personal, Finanzen und Controlling bei Secunet. Er schätzt, dass sein Unternehmen zuletzt die Hälfte aller neuen Mitarbeiter auf diese Art und Weise gefunden hat. Die Besonderheit daran: "Diese Mitarbeiter bleiben deutlich länger in der Firma als andere." Etwa jeder dritte Secunet-Mitarbeiter ist Informatiker. 20 offene Stellen zählen die Essener derzeit, 15 davon sind akut zu besetzen. Für fünf Positionen wird geprüft, ob es am Markt Kandidaten gibt, mit denen sich das Unternehmen fachlich verbessern kann. "Wir haben enge Kontakte zu Universitäten, an denen IT-Security gelehrt wird, und lassen uns Empfehlungen von Professoren geben", sagt Pleines. Und weil das Unternehmen noch weitere sechs Niederlassungen in Deutschland hat, weiß das Vorstandsmitglied, dass das Angebot an IT-Security-Fachkräften regional sehr unterschiedlich ist: Hamburg, Dresden, Essen, Frankfurt am Main und Berlin seien Städte, in denen der Markt ausreichend Kandidaten hergebe. "München ist für uns schwierig, weil das Angebot kleiner und die Gehälter spürbar höher sind als in anderen Städten." Nach den Erfahrungen von Pleines sind es auch nicht die Exzellenz-Unis, die sich dem Nischenthema IT-Security widmen, sondern kleinere Hochschulen wie Ilmenau, Cottbus oder Gelsenkirchen. Dass Secunet zur Ruhruniversität Bochum gute Kontakte unterhält, ist selbstverständlich, gibt es dort doch gleich vier Studiengänge für IT-Sicherheit - ein Bachelor- und drei MasterProgramme. Z Zudem sind die jährlich knapp 50 Absolventen Exoten auf ihrem Gebiet. Sie reichen bei Weitem nicht aus, um den Bedarf an IT-Security-Spezialisten in der Wirtschaft zu decken. Dem gegenüber stehen rund 9500 Absolventen des Studiengangs Informatik. So viele waren es nach Auskunft des Statistischen Bundesamts 2010. "Spezialisten sind bei uns klar in der Minderheit, reine Informatiker beschäftigen wir deutlich mehr", so Pleines. Was das Fachwissen anbelangt, stellt er keinen großen Unterschied zwischen den Experten aus Bochum und Informatikern, die sich im Studium auf IT-Sicherheit spezialisiert haben, fest. Für Secunet ist nicht das Studienfach, sondern das Interesse am Thema wichtig. Und damit setzen sich die einen wie die anderen auseinander - die einen eben mehr, die anderen weniger. Der ITK-Branchenverband Bitkom in Berlin schätzt, dass etwa 60.000 bis 80.000 IT-Sicherheitsexperten in der ITBranche selbst, in Beratungs- oder in Anwenderunternehmen wie Banken arbeiten. Lutz Neugebauer, Bereichsleiter IT-Sicherheit im Bitkom, geht davon aus, dass künftig mehr IT-Sicherheitsexperten gebraucht werden, und zwar sowohl Spezialisten als auch Generalisten. "Spezialisten arbeiten in der ITBranche und schaffen technische Lösungen. Generalisten schauen eher von der organisatorischen Seite auf IT-Sicherheit, sie werden in Anwenderunternehmen gebraucht." Weil IT-Sicherheit häufig stiefmütterlich behandelt worden sei, habe es an Ausbildungsmöglichkeiten gemangelt. "Wir sehen in beiden Fällen einen Wandel, mit der Konsequenz, dass völlig neue Studienangebote entstehen." Bei der Suche nach geeigneten Kandidaten müssen sich die Firmen deshalb etwas einfallen lassen, um erfolgreich zu sein. Der britische Geheimdienst MI6 zum Beispiel hat Ende 2011 Bewerber Once usability becomes secure 1 von 1 http://www.ecnmag.com/print/news/2012/09/once-usability-becomes-s... Published on ECN Magazine (http://www.ecnmag.com) Home > Once usability becomes secure Eurekalert! Risk increases with comfort: "Single g Sign-On" g permits users to access all their protected Web resources, replacing p g repeated p sign-ins g with passwords. p However, attackers also know about the advantages g such a single g point of attack offers to them. Andreas Mayer, y who is writing his PhD thesis as an external doctoral candidate at the Chair for Network and Data Security y ((Prof. Dr. Jörg g Schwenk)) at Ruhr-Universität Bochum, has now been able to significantly g increase the security of this central interface for the simpleSAMLphp framework. In the past, no protection against targeted Web attacks The "Single sign-on" system, in short SSO, seems to be a wonderful solution for any user: "Once authenticated, the information and services are immediately available,without repeated inconvenient password input", says Mayer. However, this concept significantly increases the possible damage, which could harm the user through a "single point of attack". The researchers in Bochum recently showed that the single sign-on is not as safe as assumed: They broke 12 of 14 SSO systems that had critical security flaws. "In the near future, we expect an increasing number of attacks on browser based SSO solutions such as Facebook Connect, SAML, OpenID and Microsoft Cardspace", explains Mayer. "It is very alarming that none of the currently used SSO protocols, developed during the last twelve years, provides effective protection against targeted attacks". Highly efficient open source SSO solution In the past, the many threatening scenarios, such as phishing, man-in-the-middle attacks, cross site scripting or Web malware, did not negatively affect the increasing popularity of SSO offerings. The "single sign-on, access everywhere" model is too comfortable and the users are too unsuspecting. Andreas Mayer addresses this risk with his own results: He implemented the OASIS-standardized "SAML Holder-of-Key Web Browser SSO Profile" in the popular open source framework "SimpleSAMLphp". "This profile binds the critical authentication and authorization information – the so-called security tokens – cryptographically to the browser of the legitimate user", explains Mayer. "The result is a highly effective, open source solution that is supported by all established browsers". Andreas Mayer works at Adolf Würth GmbH & Co. KG and works in his free time at his doctoral thesis at the Chair for Network and Data Security of the RUB. Source URL (retrieved on 09/24/2012 - 1:43am): http://www.ecnmag.com/news/2012/09/once-usability-becomessecure 24.09.2012 07:43 Frühe Bindung hilft (Druckansicht) 1 von 3 http://www.computerwoche.de/_misc/article/articleprintpopup/index.c... Recruiting von IT-Security-Spezialisten Frühe Bindung hilft Datum: Autor(en): URL: 25.09.2012 Peter Ilg http://www.computerwoche.de/2520513 Die Nachfrage g nach IT-Sicherheits-Profis wächst. Bei der Personalsuche müssen sich die Firmen etwas einfallen lassen, um Nachwuchs wie Evelyn Spitzwieser zu finden und zu binden. Evelyn Spitzwieser, 26, kommt aus Österreich und hat in Salzburg Informatik studiert. Anschließend zog sie für ein Masterstudium in IT-Sicherheit nach Bochum. Die Gegend war ihr nicht fremd: Bereits als Informatikstudentin 1 absolvierte sie ihr Praktikum bei der secunet Security Networks AG in Essen. "Ich hatte nach möglichen Firmen gegoogelt und mich für secunet deshalb entschieden, weil das Unternehmen auf mehreren Gebieten der IT-Sicherheit und insbesondere der Biometrie unterwegs ist." Secunet bietet in der IT-Sicherheit Beratung und Produkte an, die höchsten Geheimhaltungsstufen entsprechen, etwa denen der Bundeswehr. Das Unternehmen hat seine Zentrale in Essen, knapp 300 Mitarbeiter und setzte zuletzt rund 60 Millionen Euro um. So fand für das Praktikum zusammen, was zusammen passt. Secunet nutzte die Chance und band die junge Frau ans Unternehmen: Spitzwieser wurde nach dem Praktikum studentische Hilfskraft, arbeitete dort in den Ferien, schrieb ihre Master-Arbeit bei secunet - und hat das Angebot der Firma angenommen, nach Studienabschluss im Unternehmen zu arbeiten. "Ich hatte genügend Zeit, die Firma kennen zu lernen. Mir hat es gefallen, deshalb bin ich geblieben." Seit Oktober 2011 ist Spitzwieser Beraterin für Biometrie und hoheitliche Dokumente im Geschäftsbereich Government. Spitzwieser ist kein Einzelfall. Knapp ein Viertel aller im Jahr 2010 neu besetzten Stellen wurden über persönliche Kontakte vergeben. Ein weiteres Viertel entfiel auf Stellenangebote in Zeitungen und Zeitschriften. Jeweils jede siebte Stelle wurde über die Arbeitsagenturen oder Stellenbörsen im Internet besetzt. Private Arbeitsvermittler, Inserate Arbeitssuchender und die Übernahme von Leiharbeitern spielen dagegen eine vergleichsweise untergeordnete Rolle. Zu diesen Ergebnissen kommt das Institut für Arbeitsmarkt- und Berufsforschung 2 (IAB) in Nürnberg durch eine repräsentative Befragung in 15.000 Unternehmen. "Praktika, studentische Tätigkeiten und Bachelor- beziehungsweise Master-Arbeiten sind tolle Testphasen für potenzielle Mitarbeiter und das Unternehmen, um sich gegenseitig kennen zu lernen", sagt Thomas Pleines, Vorstand Personal, Finanzen und Controlling bei secunet. Er schätzt, dass sich die Hälfte aller neuen Mitarbeiter bei secunet auf diese Art und Weise gefunden haben. Die Besonderheit daran: "Diese Mitarbeiter bleiben deutlich länger in der Firma als andere." Regionale Unterschiede Etwa jeder Dritte der secunet-Mitarbeiter ist Informatiker. 20 offene Stellen hat das Unternehmen derzeit, davon sind 15 akut. Auf fünf Positionen wird geprüft, ob es am Markt Kandidaten gibt, mit denen sich das Unternehmen fachlich verbessern kann. "Wir haben enge Kontakte zu Universitäten, an denen IT-Security gelehrt wird und lassen uns Studenten und Absolventen von Professoren empfehlen", sagt Pleines. Und weil das Unternehmen neben seinem Stammsitz in Essen sechs Niederlassungen in Deutschland hat, weiß das Vorstandsmitglied, dass das Angebot an geeigneten IT-Security-Fachkräften regional sehr unterschiedlich ist: Hamburg, Dresden, Essen, Frankfurt und Berlin seien Städte, in denen der Markt ausreichend Kandidaten hergebe. "München ist für uns schwierig, weil das Angebot kleiner und die Gehälter spürbar höher sind, als in anderen Städten." Nach den Erfahrungen von Pleines sind es auch nicht die Exzellenz-Unis, die sich dem Nischenthema IT-Security widmen, sondern kleinere Hochschulen wie Illmenau, Cottbus oder Gelsenkirchen. 25.09.2012 07:37 Frühe Bindung hilft (Druckansicht) 2 von 3 http://www.computerwoche.de/_misc/article/articleprintpopup/index.c... 3 Dass secunet zur Ruhruniversität Bochum gute Kontakte unterhält, ist selbstverständlich, gibt es dort doch gleich vier Studiengänge IT-Sicherheit - ein Bachelor- und drei Master-Programme. Zudem sind die jährlich knapp 50 Bochumer Absolventen Exoten auf ihrem Gebiet. Sie reichen bei weitem nicht aus, um den Bedarf an IT-SecuritySpezialisten in der Wirtschaft zu decken. Dem gegenüber stehen rund 9500 Absolventen des Studiengangs Informatik. So viele waren es nach Auskunft des Statistischen Bundesamts 2010. "Spezialisten sind bei uns deutlich in der Minderheit, reine Informatiker beschäftigen wir deutlich mehr", so Pleines. Was das Fachwissen anbelangt, g g stellt er keinen großen Unterschied zwischen den Experten aus Bochum fest und Informatikern, die sich im Studium auf IT-Sicherheit spezialisiert haben. Für secunet ist bei der Einstellung nicht das Studienfach, sondern das Interesse am Thema wichtig. Und damit setzen sich die einen wie die anderen auseinander - die einen eben mehr, die anderen weniger. Der Bedarf wächst 4 Der IT-Branchenverband Bitkom schätzt, dass etwa 60.000 bis 80.000 IT-Sicherheitsexperten in der IT-Branche selbst, in Beratungs- oder Anwenderunternehmen, beispielsweise Banken, arbeiten. Lutz Neugebauer, Bereichsleiter IT-Sicherheit beim Branchenverband Bitkom in Berlin, geht davon aus, dass künftig mehr IT-Sicherheitsleute gebraucht werden und zwar sowohl Spezialisten als auch Generalisten. "Spezialisten arbeiten in der IT-Branche und schaffen technische Lösungen. Generalisten schauen eher von der organisatorischen Seite auf IT-Sicherheit, sie werden in Anwenderunternehmen gebraucht." Weil IT-Sicherheit häufig stiefmütterlich behandelt wurde, habe es an Ausbildungsmöglichkeiten gemangelt. "Wir sehen in beiden Fällen einen Wandel, mit der Konsequenz, dass völlig neue Studienangebote entstehen." Bei der Suche nach geeigneten Kandidaten müssen sich die Firmen deshalb schon etwas einfallen lassen, um erfolgreich zu sein. Der britische Geheimdienst zum Beispiel hat Ende 2011 Bewerber via Online-Rätsel gesucht. Mitmachen konnte jeder, den kryptischen Code nur wenige knacken. Es ging um drei Buttons, mit denen der ellenlange Code zur Entschlüsselung der Anzeige auf Facebook, Twitter und Google+ gepostet werden könnte. Dass das Bewerbungsspiel dadurch viele Interessenten erreicht, war ein weiterer Clou der Aktion. "Die Nachfrage nach IT-Sicherheitsexperten ist sehr hoch", stellt Anja Nuß fest. Als Geschäftsführerin des Horst Görtz Instituts für IT-Sicherheit an der Ruhr-Universität-Bochum kommt sie sowohl mit Firmen als auch Studenten in Kontakt und kennt daher die Versuche der Unternehmen, an Absolventen zu gelangen. Das Institut ist eine der größten und renommiertesten Hochschuleinrichtungen für IT-Sicherheit in Europa. Unternehmen und Behörden teilen der Hochschule offene Stellen mit, die in einem internen Verteiler an Studenten weitergegeben werden. Wöchentlich sind das bis zu zehn Angebote. Andere Firmen bieten an der Hochschule Work-Shops zu Projekt- oder Zeitmanagement an, um mit potenziellen Mitarbeitern in Kontakt zu kommen. Andere schicken Referenten in Seminare zu wissenschaftlichen Themen und wieder andere arrangieren ein Tischfußballturnier. Beim Kickern sollen Studenten Leute aus der Firma kennen lernen, sie im Idealfall nett finden und dort später anheuern. Anlaufpunkt Jobmesse Um Studenten und Firmen zusammen zu bringen, veranstaltet das Institut einmal jährlich eine Jobmesse für IT-Sicherheitsspezialisten. Die findet im Mai oder Juni statt, zuletzt präsentierten sich 25 Firmen. Etwa 180 Studenten aus ganz Deutschland nahmen teil. "Das Standpersonal lockte mit Security-Aufgaben, zusätzlich standen dort Mitarbeiter aus den Fachabteilungen zum Fachsimpeln mit den Studierenden", berichtet Nuß. Interessante Praktika, vielleicht sogar im Ausland, hält sie für einen erfolgreichen Weg, um an Mitarbeiter von morgen zu kommen. Im Gegensatz zum secunet-Vorstand sieht sie schon einen deutlichen Unterschied zwischen speziell ausgebildeten IT-Sicherheitsexperten und Informatikern: "Bei uns hören die Studenten mindestens die doppelte Zahl an IT-Security-Vorlesungen." Weil die Angebote der Firmen mitunter so verlockend seien, hätte unlängst ein Student nicht einmal mehr seine Abschlussarbeit geschrieben und ohne Abschluss im Unternehmen angefangen. 5 Nach Meinung von Reinhard Scharff, dem Geschäftsführer der Stuttgarter Niederlassung von Personal Total , einer bundesweit vertretenen Personalberatung, hat die Nachfrage nach IT-Sicherheitsleuten in den vergangenen Monaten etwas abgenommen. Aktuell sucht das Unternehmen bundesweit 60 IT-Security-Spezialisten im Auftrag von Unternehmen. "Manche der Firmen kommen gleich zu uns, andere haben schon alles Mögliche versucht." Sie haben im Netz gefischt, auf der eigenen Website Stellen angeboten, ebenso in Zeitung, Fachzeitschriften und Online, Freelancer angesprochen und dennoch waren sie erfolglos. "Wir suchen in denselben Quellen, aber wir können das anonym machen", sagt Scharff. Darin liege der Vorteil der Personalberatung, Kandidaten heiß machen zu können, ohne den Namen der Firma nennen zu müssen. Oder beim Wettbewerb Mitarbeiter abwerben. Auch das machen viele Firmen nicht, weil das zum Bumerang werden könnte. Mehr indirekte Bewerbersuche 25.09.2012 07:37 Frühe Bindung hilft (Druckansicht) 3 von 3 http://www.computerwoche.de/_misc/article/articleprintpopup/index.c... "Um neue Mitarbeiter zu finden, beschränken wir uns auf eine Stellenanzeige auf unserer Homepage", sagt Susanne 6 Cussler. Sie ist zuständig fürs Personalwesen bei secorvo security consulting in Karlsruhe. Das Unternehmen hat 19 Mitarbeiter und sucht weitere IT-Sicherheitsexperten. Doch das sollen Leute mit mehrjähriger Berufserfahrung sein. Aktionen an Hochschulen scheiden deshalb aus. "Die Anzeige mag zu wenig sein, doch wir haben noch keinen besseren Weg für uns gefunden." Stellenanzeigen in Zeitungen oder Online-Portalen würden zwar Masse, damit aber nicht automatisch Qualität bringen. "Das wiederholen wir nicht mehr, sondern gehen bei der Mitarbeitersuche indirekt vor." Als Beispiel nennt Cussler Vorträge auf Fachmessen oder Beiträge in Fachzeitschriften, "um unseren Bekanntheitsgrad zu steigern". Was Secorvo letztendlich damit bezweckt, ist Employer Branding, also eine Arbeitgebermarke in der Öffentlichkeit zu schaffen. Evelyn Spitzwieser ist zufrieden mit ihrem Job bei secunet in Essen. Und hat fast schon vergessen, dass ein anderes IT-Unternehmen ihr ein Stipendium während des Master-Studiums in Bochum gewährte. "Ich hatte mich für das Stipendium beworben, bekam eine schriftliche Zusage und daraufhin monatlich rund 400 Euro überwiesen." Ansonsten hat sie nie mehr etwas von der Firma gehört. (sh) Fotoquelle Homepage: Fotolia / Sven Jungmann Links im Artikel: 1 http://www.secunet.com/ 2 http://www.iab.de/ 3 http://www.ruhr-uni-bochum.de/ 4 http://www.bitkom.org/ 5 http://www.personal-total.de/ 6 http://www.secorvo.de/ IDG Business Media GmbH Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Business Media GmbH. DPA-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass in Computerwoche unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von Computerwoche aus gelinkt wird, übernimmt die IDG Business Media GmbH keine Verantwortung. 25.09.2012 07:37