Newmedia365.de

Schlagwort: Passwörter

  • Panomity GmbH bringt Adventskalender mit exklusiven Gutscheinen und Preisen auf den Markt

    Panomity GmbH bringt Adventskalender mit exklusiven Gutscheinen und Preisen auf den Markt

    Freuen Sie sich auf exklusive Coupons und tolle Preise! Kostenlose Domainregistrierungen, Hosting, Sicherheitstools, ein Dark-Web-Check und eine Sitzung mit einem echten Hacker warten auf Sie.

    BildDie Panomity GmbH, ein führender Anbieter von digitalen Sicherheitslösungen aus Markt Schwaben bei München, bringt in Zusammenarbeit mit der Outercirc GmbH aus Seligenstadt in dieser Weihnachtszeit einen aufregenden Adventskalender auf den Markt, um die Feiertage zu verschönern und tolle Preise zu verschenken. Kunden können sich auf exklusive Coupons und die Chance freuen, tolle Preise, wie kostenlose Domainregistrierungen, Hosting, Sicherheitstools, einen neuen Dark-Web-Check und eine Einzelsitzung mit einem echten Hacker zu gewinnen.

    Der Online-Adventskalender wurde im Rahmen der Mission von Panomity.de entwickelt, Menschen und Unternehmen vor Cyber-Bedrohungen zu schützen. Der Adventskalender ist vom 1. Dezember bis zum 25. Dezember online abrufbar unter panomity.de/advent-2022. Kunden haben während dieser 25 Tage die Chance, täglich Preise zu gewinnen. Die exklusiven Coupons können für kostenlose Produkte oder Dienstleistungen der Panomity GmbH verwendet werden. Jeder Preis im Adventskalender wurde sorgfältig ausgewählt, um Kunden dabei zu helfen, ihre Online-Präsenz zu schützen. Dies ist die perfekte Gelegenheit für Kunden, das Beste aus ihren digitalen Sicherheitsanforderungen zu erschwinglichen Preisen zu machen.

    „Dieses Jahr war für alle auf unterschiedliche Weise schwierig und ist geprägt durch Unsicherheiten, deshalb wollten wir unseren Kunden etwas zurückgeben“, sagte Dolphi Untch,  Geschäftsführer der Outercirc GmbH. „Wir hoffen, dass unser gemeinsamer Adventskalender während der Feiertage etwas Freude bereitet und unseren Kunden ermöglicht von unseren Produkten und Dienstleistungen zu ermäßigten Preisen zu profitieren.

    Angesichts der ständig wachsenden Zahl böswilliger Angriffe, die jeden Tag stattfinden, möchte Panomity® sicherstellen, dass alle Unternehmen über die notwendigen Ressourcen verfügen, um sicher zu bleiben. „Wir setzen uns leidenschaftlich dafür ein, unseren Kunden den bestmöglichen Schutz vor Cyber-Bedrohungen zu bieten“, sagte der Geschäftsführer der Panomity GmbH, Sascha Endlicher. „Unser Adventskalender ist nur eine Möglichkeit für uns, ihnen unsere Wertschätzung zu zeigen und mehr Bewusstsein für Online-Sicherheit zu schaffen.

    Verantwortlicher für diese Pressemitteilung:

    Panomity GmbH
    Frau Mariella Endlicher
    Seilergasse 34
    85570 Markt Schwaben
    Deutschland

    fon ..: 081217607887
    web ..: https://panomity.de
    email : hallo@panomity.de

    Die Panomity GmbH bietet Hosting- und Domainservices; IT-Beratungs- und Dienstleistungen; Im- und Export sowie Handel von Waren verschiedener Art zur Generierung und Rezeption von virtueller Realität; Planung, Gestaltung, Produktion und Vermarktung zukunftsweisender neuer und virtueller Medien sowie verwandte Geschäfte.

    „Sie können diese Pressemitteilung – auch in geänderter oder gekürzter Form – mit Quelllink auf unsere Homepage auf Ihrer Webseite kostenlos verwenden.“

    Pressekontakt:

    Panomity GmbH
    Frau Mariella Endlicher
    Seilergasse 34
    85570 Markt Schwaben

    fon ..: 081217607887
    web ..: https://panomity.de
    email : mariella.endlicher@panomity.de

  • Passwörter ändern: Abwechslung bringt Sicherheit

    Passwörter ändern: Abwechslung bringt Sicherheit

    Tipps des R+V-Infocenters zum „Ändere-Dein-Passwort-Tag“ am 1. Februar

    Wiesbaden, 28. Januar 2022. Jeder vierte Deutsche hat große Angst vor Datenmissbrauch im Internet. Das zeigt eine repräsentative Langzeitstudie der R+V. Trotzdem nutzen viele Surfer nur einfache Passwörter, um ihre Daten zu schützen – oder setzen eins für alles ein. Damit handeln sie jedoch mehr als fahrlässig, warnt das R+V-Infocenter zum „Ändere-Dein-Passwort-Tag“ am 1. Februar.

    Ob nur den eigenen Vornamen, 123456 oder einfach „Passwort“: Viele Menschen entscheiden sich für Passwörter, die sie sich leicht merken können – und ändern sie nie. Doch so gefährden sie ihre Daten. „Jedes Wort, das in einem Wörterbuch steht, können Kriminelle innerhalb kurzer Zeit knacken. Zudem testen sie auch rückwärts geschriebene Wörter und häufige Verbindungen, etwa aufeinander folgende Zahlen oder Buchstaben“, erklärt Mirko Saam, Informationssicherheitsbeauftragter der R+V Versicherung.

    Einfache Passwörter sind vor allem ein Sicherheitsrisiko für Internetnutzer, die immer dieselbe Kombination verwenden. Denn so bekommen Betrüger mit einem Schlag Zugriff auf viele Seiten und Daten. „Am besten geschützt ist, wer für jede wichtige Internetseite wie Emailkonto oder Online-Banking ein anderes Passwort verwendet, das möglichst kompliziert ist. Sinnlos erscheinende Zeichenkombinationen sind deutlich schwerer zu knacken. Je schlechter also ein Passwort zu merken ist, umso mehr Probleme haben auch Betrüger“, sagt R+V-Experte Saam.

    Möglichst lang und kompliziert
    Ein sicheres Passwort sollte aus mindestens acht Zeichen bestehen, Klein- und Großbuchstaben sowie Zahlen und Sonderzeichen enthalten und für Außenstehende keinen Sinn ergeben. „Internetnutzer können sich aber beispielsweise Zeichenfolgen ausdenken, die nur sie verstehen“, rät Mirko Saam. Eine Möglichkeit ist, die Anfangsbuchstaben eines Satzes mit Zahlen und Satzzeichen zu nehmen: Aus „Mittwochs spiele ich Mensch-ärgere-dich-nicht mit 3 Freunden“ wird dann „MsiM-ä-d-nm3F!“. Für unterschiedliche Seiten können dann leicht veränderte Variationen dieses Passworts zum Einsatz kommen. Wichtig ist zudem, die Passwörter zu ändern, wenn die Nutzer sich über ein unsicheres Netzwerk eingewählt haben oder es einen konkreten Verdacht gibt. „Sicherer ist jedoch, die Passwörter regelmäßig zu ändern. Das gilt vor allem für Seiten, deren Daten gut geschützt sein müssen“, so der Tipp des Experten.

    Doppelt gemoppelt hält besser – auch im Internet
    Viele namhafte Anbieter erlauben heute die Nutzung eines zweiten Faktors, um den jeweils angebotenen Dienst sicher nutzen zu können. Ein typisches Beispiel ist das Online-Banking: Im Rahmen des ChipTAN-Verfahrens erhalten Nutzer ein kleines Gerät, das ihnen nach Einschub ihrer EC-Karte einen Code anzeigt. Diesen müssen sie zusätzlich zu ihrem Passwort verwenden. Alternativ bieten viele Geldhäuser eine App für das Smartphone mit mobiler Tan. Selbst wenn es einem Angreifer gelingt, einen solchen Code in Erfahrung zu bringen, kann er diesen nicht mehr verwenden, weil er zeitlich begrenzt ist und nach einmaliger Nutzung verfällt. „Die Sicherheit dieses Verfahrens besteht in der Kombination aus „Besitz“ und „Wissen“ und wird in der Fachsprache als Multi-Faktor-Authentifizierung bezeichnet“, erklärt Saam.

    Weitere Tipps des R+V-Infocenters:
    – Keine Namen und Daten aus dem direkten Umfeld für ein Passwort verwenden. Das können Betrüger durch kurze Recherche herausfinden.
    – Alte Passwörter nicht erneut nutzen, falls sie schon einmal geklaut wurden.
    – Auf kritische Daten nicht an öffentlichen Rechnern, etwa im Internetcafe, und in ungesicherten oder öffentlichen WLANs zugreifen. Hier können Passwörter leicht abgefangen werden.
    – Banken fragen Passwörter nicht per Email ab. Wer eine solche Aufforderung bekommt, sollte sie sofort löschen – es handelt sich in der Regel um einen Betrugsversuch.
    – Passwörter nicht unter der Tastatur oder an anderen unsicheren Orten notieren, die für Außenstehende leicht zu finden sind.
    – Wer viele Passwörter braucht und sie sich schlecht merken kann, kann auf spezielle Programme zur Abspeicherung ausweichen. Der Fachhandel oder das Internet bieten Informationen über die verschiedenen Systeme. Nutzer sollten dabei unbedingt auf eine vertrauenswürdige Bezugsquelle achten.
    – Ebenso bequem wie sicher: die so genannte Multi-Faktor-Authentifizierung (MFA). Besonders vielversprechend sind dabei die Verfahren TOTP oder FIDO2. Damit können alle Zugänge mittels einer App verwaltet werden.

    Das R+V-Infocenter wurde 1989 als Initiative der R+V Versicherung in Wiesbaden gegründet. Es informiert regelmäßig über Service- und Verbraucherthemen. Das thematische Spektrum ist breit: Sicherheit im Haus, im Straßenverkehr und auf Reisen, Schutz vor Unfällen und Betrug, Recht im Alltag und Gesundheitsvorsorge. Dazu nutzt das R+V-Infocenter das vielfältige Know-how der R+V-Fachleute und wertet Statistiken und Trends aus. Zusätzlich führt das R+V-Infocenter eigene Untersuchungen durch: Die repräsentative Langzeitstudie über die „Ängste der Deutschen“ ermittelt beispielsweise bereits seit 1992 jährlich, welche wirtschaftlichen, politischen und persönlichen Themen den Menschen am meisten Sorgen bereiten.

    Firmenkontakt
    Infocenter der R+V Versicherung
    Brigitte Römstedt
    Raiffeisenplatz 2
    65189 Wiesbaden
    06 11 / 533 – 46 56
    brigitte.roemstedt@ruv.de
    http://www.infocenter.ruv.de

    Pressekontakt
    Infocenter der R+V Versicherung c/o Arts & Others
    Anja Kassubek
    Daimlerstraße 12
    61352 Bad Homburg
    06172/9022-131
    anja.kassubek@arts-others.de
    http://www.infocenter.ruv.de

    Bildquelle: Pixabay

  • 79 Prozent der Mitarbeiter gefährden bewusst die Cybersicherheit ihres Unternehmens

    Eine neue Studie von ThycoticCentrify beleuchtet die Einstellung von Arbeitnehmern zur Cybersicherheit und die hohen Risiken, die sie eingehen, um ihre Arbeit zu erledigen

    Die globale Umfrage unter mehr als 8.000 Mitarbeitern hat ergeben, dass Arbeitnehmer riskante Verhaltensweisen an den Tag legen, die die digitale Sicherheit ihres Unternehmens gefährden könnten, obwohl sie die Gefahren kennen.

    Die Ergebnisse sind besorgniserregend – vor allem im Hinblick auf die zunehmende Remote- oder Hybrid-Arbeit. Die Umfrage ergab, dass 79 Prozent der Befragten im letzten Jahr mindestens eine riskante Aktivität im Hinblick auf die Cybersicherheit durchgeführt haben. Mehr als ein Drittel (35 %) der Teilnehmer hat im letzten Jahr Passwörter in ihrem Browser gespeichert, eine ähnliche Anzahl (32 %) hat ein Passwort für den Zugriff auf mehreren Websites verwendet, und etwa jeder Vierte (23 %) hat ein persönliches Gerät mit dem Firmennetzwerk verbunden.

    Obwohl sich fast alle Befragten (98 %) bewusst sind, dass individuelle Handlungen wie das Anklicken von Links aus unbekannten Quellen oder die Weitergabe von Anmeldedaten an Kollegen ein Risiko darstellen, sind nur 16 % der Befragten der Meinung, dass ihr Unternehmen einem sehr hohen Risiko eines Cybersecurity-Angriffs ausgesetzt ist.

    Joseph Carson, Chief Security Scientist und beratender CISO bei ThycoticCentrify, erklärt: „Menschen, die in der Cybersicherheitsbranche arbeiten, wissen, wie sich ihre Kollegen verhalten sollten, wenn es darum geht, ihre Geräte sicher zu halten und das gesamte Unternehmen zu schützen. Aber kommen diese Botschaften auch an?“ Carson fordert daher von den Arbeitgebern, ihre Anstrengungen deutlich zu verstärken, um Mitarbeiter zu den bestmöglichen digitalen Sicherheitspraktiken zu ermutigen und sie an die Risiken zu erinnern, die entstehen, wenn sie ihre Netzwerke nicht sichern. „Ein Ransomware-Angriff oder ein größerer Sicherheitsverstoß hat schwerwiegende Folgen, der sich über Jahre auswirken kann. Daher muss jedes Unternehmen Sicherheitsprozesse einführen und dafür sorgen, dass diese von den Mitarbeitern auch gelebt werden“, betont Carson.

    Nur 44 Prozent der Befragten (38 % in Deutschland) erhielten im vergangenen Jahr eine Cybersecurity-Schulung, was bedeutet, dass mehr als die Hälfte der befragten Mitarbeiter mit der gefährlichen Situation, die durch Heimarbeit entsteht, allein gelassen wurde. Besonders kleinere Unternehmen haben ihre Mitarbeiter im letzten Jahr am seltensten in Sachen Cybersicherheit geschult.

    „Remote oder hybrides Arbeiten stellt eine besondere Herausforderung für die Sicherheit dar, daher sollten Unternehmen darauf achten, ihren Mitarbeitern gute Praktiken zu vermitteln, egal von wo aus sie arbeiten“, so Carson weiter.

    Mitarbeiter schätzen das Cyber-Risiko für ihr Unternehmen höher ein (55 % im Vergleich zu 43 %), wenn sie geschult wurden, was darauf hindeutet, dass sie ein besseres Verständnis für die Risiken entwickelt haben.

    Obwohl sie wissen, dass das Anklicken von Links aus unbekannten Quellen ein Risiko für ein Unternehmen darstellt, sind nur 16 % der Befragten der Meinung, dass ihr Unternehmen einem sehr hohen Risiko von Cybersecurity-Angriffen ausgesetzt ist. Diese Annahme steht im Widerspruch zu den 79 Prozent der Befragten (82 % in Deutschland), die im letzten Jahr einen Anstieg der Anzahl von betrügerischen und Phishing-Nachrichten festgestellt haben.

    Zusammenfassung
    KMUs mit höherem Risiko
    Mitarbeiter in kleinen und mittleren Unternehmen haben im letzten Jahr am seltensten eine Cybersecurity-Schulung erhalten.

    Knapp die Hälfte (47 %) der Mitarbeiter von Unternehmen mit mehr als 5.000 Mitarbeitern wurde in den letzten 12 Monaten geschult, verglichen mit 20 Prozent der Mitarbeiter von Unternehmen mit weniger als 10 Mitarbeitern und 32 Prozent in Organisationen mit 11 bis 50 Mitarbeitern.

    In kleineren Unternehmen wird das Risiko als geringer eingeschätzt: Nur 37 Prozent der Mitarbeiter in Unternehmen mit 1 bis 10 Mitarbeitern geben an, dass ein hohes Risiko besteht, verglichen mit 50 Prozent in Unternehmen mit mehr als 100 Mitarbeitern.

    Kleinere Unternehmen haben auch am seltensten Schutzmaßnahmen wie Multi-Faktor-Authentifizierung (MFA) oder Virtual Private Networks (VPNs) implementiert, verglichen mit größeren Unternehmen.

    Persönliche Verantwortung für die Sicherheit
    Die Umfrage ergab ein übergreifendes Verantwortungsbewusstsein der Mitarbeiter.

    86 Prozent stimmten zu, dass sie eine persönliche Verantwortung dafür tragen, dass sie ihr Unternehmen keinen Cyber-Bedrohungen aussetzen.

    51 Prozent gaben an, dass sie immer noch der Meinung sind, dass die IT-Abteilung die alleinige Verantwortung für den Schutz des Unternehmens tragen sollte.

    Den vollständigen Bericht finden Sie unter: Cyber Security Team“s Guide: Balancing Risk, Security and Productivity

    ThycoticCentrify ist ein führender Anbieter von Cloud-Identity-Sicherheitslösungen, die die digitale Transformation forcieren. Das Unternehmen ist aus dem Zusammenschluss der führenden Anbieter von Privileged Access Management (PAM), Thycotic und Centrify, hervorgegangen. Die branchenführenden Privileged Access Management (PAM)-Lösungen minimieren Risiken, Komplexität und Kosten, während sie Daten, Geräte und Codes von Unternehmen in der Cloud, vor Ort und in hybriden Umgebungen nachhaltig schützen. Weltweit vertrauen mehr als 14.000 führende Unternehmen, darunter mehr als die Hälfte der Fortune 100-Unternehmen, auf ThycoticCentrify. Zu den Kunden zählen die weltweit größten Finanzinstitute, Geheimdienste und Unternehmen mit kritischer Infrastruktur. Weitere Informationen unter www.thycotic.com

    Firmenkontakt
    Thycotic Deutschland
    Claudia Göppel
    Herzogspitalstraße 24
    80331 München
    +49 177 211 8878
    Claudia.Goeppel@thycotic.com
    http://www.thycotic.com

    Pressekontakt
    Weissenbach PR
    Dorothea Keck
    Landsberger Str. 155
    80687 München
    089 54 55 82 01
    thycotic@weissenbach-pr.de
    http://www.weissenbach-pr.de

  • SID: Safer Internet Day 2021

    ARAG Experten geben wertvolle Tipps zum sicheren Surfen

    Am 9. Februar findet der internationale Safer Internet Day (SID) zum 18. Mal statt. Von der Europäischen Union initiiert, rückt dieser Aktionstag das Thema Sicherheit im Internet und in den neuen Medien in den Fokus. Dabei soll die Sensibilität für das Thema „Sicheres Internet“ gefördert und Menschen aller Altersgruppen dazu bewegt werden, der Sicherheit im Internet mehr Aufmerksamkeit zu schenken. ARAG Experten geben aus diesem Anlass einige Tipps für ein sicheres Surfen.

    HTTPS – Zeichen für Sicherheit?
    Ein Mittel, sich relativ sicher im Internet zu bewegen, ist der Besuch der richtigen Seiten. Zu erkennen sind diese an einem Schloss-Symbol, das neben der Adresszeile im Browser auftaucht, und den Buchstaben HTTPS. Das bedeutet, dass die Seite verschlüsselt und damit die Übermittlung von Daten sicher ist. Die Abkürzung steht für das Verschlüsselungs-Verfahren „Hypertext Transfer Protocol Secure“ (Sicheres Hypertext Übertragungsprotokoll). Dieses Protokoll wird genutzt, um Webseiten vom Server in den Browser der Nutzer zu laden.

    Im Gegensatz dazu gibt es auch die ungeschützte Variante HTTP. Wer sich auf solchen Seiten tummelt, surft gefährlich. Denn hier wird die Kommunikation zwischen dem Internetnutzer und dem Webserver, auf dem die Daten der besuchten Internetseite liegen, nicht verschlüsselt. Unseriöse Anbieter und Kriminelle können also relativ leicht auf alle Daten zugreifen, die der Internetnutzer auf der Webseite eingibt. Daher raten die ARAG Experten zur besonderen Vorsicht, wenn es beispielsweise um Kreditkartentransaktionen, Datentransfers oder Logins geht.

    SSL-Zertifikat
    Seriöse Webseiten-Betreiber schützen ihre Seite zusätzlich durch ein SSL-Zertifikat (Secure Sockets Layer). Dies ist ein digitaler Datensatz, der das Sicherheits-Schloss und das HTTPS-Protokoll aktiviert. Dabei stellt das Zertifikat sicher, dass alle Informationen der Webseite verschlüsselt übermittelt werden. Sobald der Besucher der Seite also persönliche Daten oder andere Angaben macht, sind diese Eingaben vor dem Zugriff Dritter geschützt.

    Weitere Tipps im Überblick:
    – Halten Sie Ihre Software immer auf dem aktuellen Stand.
    – Verwenden Sie sichere Passwörter und ändern Sie diese regelmäßig.
    – Nutzen Sie nach Möglichkeit eine Zwei-Faktor-Authentisierung.
    – Schränken Sie Rechte von PC-Mitbenutzern ein.
    – Verwenden Sie eine Firewall.
    – Gehen Sie mit E-Mails und deren Anhängen sorgsam um.
    – Seien Sie zurückhaltend mit der Angabe persönlicher Daten im Internet.
    – Gehen Sie mit Nachrichten von Unbekannten in sozialen Netzwerken vorsichtig um.
    – Vorsicht beim Download von Software aus dem Internet.
    – Sichern Sie Ihre drahtlose (Funk-)Netzwerkverbindung.
    – Schützen Sie Ihre Hardware gegen Diebstahl und unbefugten Zugriff.
    – Online-Banking: Niemals die Seite der Bank über einen Link aus einer E-Mail öffnen. Am besten immer die Adresse selbst in die Browserzeile eingeben.

    Sichere Passwörter – so geht“s!
    Ob beim Online-Banking oder beim Datenklau von E-Mail-Accounts: Immer wieder erweisen sich unsichere Passwörter als Sicherheitslücke und Einladung für Hacker und Internet-Betrüger. Was aber ist ein sicheres Passwort? Eine grundlegende Regel: Jeder E-Mail-Account bekommt ein eigenes Passwort. Das gleiche gilt für die verschiedenen Vorgänge. Ob Online-Buchung, Internet-Banking oder Download von E-Books: Legen Sie für jeden Vorgang ein eigenes Passwort an; sonst machen Sie es Angreifern sehr einfach.

    Tipps für sichere Passwörter
    – Ein gutes Passwort besteht aus mindestens acht Zeichen.
    – Es enthält Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen.
    – Ungeeignet sind Geburtsdaten, der eigene Name, 123456… und das Wort „Passwort“.
    – Idealerweise kommt das Passwort nicht im Wörterbuch vor.
    – Verschiedene Zugänge sollten verschiedene Passwörter haben.
    – Passwörter sollten öfter mal gewechselt werden; am besten alle 6-8 Wochen.

    Vorsicht bei aktuellen Spam-Mails!
    Aufgrund der pandemiebedingten Einschränkungen boomt das E-Commerce-Geschäft. Bei Online-Bestellungen gehören Bestätigungsmails und Lieferbenachrichtigungen nun mal dazu. Und genau da setzen Verbrecher aktuell an: Millionenfach werden gefälschte E-Mails, angeblich vom Paketdienst, an Verbraucher rausgeschickt. Die Betrüger geben an, dass die Lieferadresse falsch sei und mittels eines beigefügten Dokuments berichtigt werden sollte. Öffnen Sie den Anhang auf gar keinen Fall! Der beinhaltet nämlich möglicherweise einen digitalen Schädling, der einen Verschlüsselungstrojaner auf Ihrem System installiert.

    Gesetzgeber bessert nach
    Auch der Gesetzgeber ist um digitale Sicherheit bemüht. So soll ein von der Bundesregierung geplantes Gesetz Verbrauchern umfassende Gewährleistungsrechte bei der Nutzung digitaler Geräte einräumen, wie es sie bislang nur etwa bei Kauf-, Werk- oder Mietverträgen gibt. Die Regelungen sollen für Verbraucherverträge gelten und sich auf die Bereitstellung von digitalen Inhalten wie etwa Software und E-Books, sowie auf digitale Dienstleistungen wie z. B. Videostreaming und soziale Netzwerke beziehen. Hat das digitale Produkt einen Mangel, sollen Kunden Anspruch auf Beseitigung durch Nachbesserung oder eine erneute Bereitstellung haben. Darüber hinaus soll es ein Recht auf Vertragsbeendigung und zur Minderung geben. Das geplante Gesetz sieht ebenfalls Schadensersatz- und Aufwendungsersatzansprüche vor, ebenso wie eine Gewährleistungsfrist von zwei Jahren.

    Außerdem werden Unternehmen zu regelmäßigen funktionserhaltenden Aktualisierungen und Sicherheitsupdates verpflichtet, damit die digitalen Produkte vertragsgemäß bleiben. Mit dem Gesetzesentwurf wird eine EU-Richtlinie aus dem Jahr 2019 in deutsches Recht umgesetzt.

    Weitere interessante Informationen unter:
    https://www.arag.de/service/infos-und-news/rechtstipps-und-gerichtsurteile/internet-und-computer/

    Die ARAG ist das größte Familienunternehmen in der deutschen Assekuranz und versteht sich als vielseitiger Qualitätsversicherer. Neben ihrem Schwerpunkt im Rechtsschutzgeschäft bietet sie ihren Kunden in Deutschland auch eigene einzigartige, bedarfsorientierte Produkte und Services in den Bereichen Komposit und Gesundheit. Aktiv in insgesamt 19 Ländern – inklusive den USA, Kanada und Australien – nimmt die ARAG zudem über ihre internationalen Niederlassungen, Gesellschaften und Beteiligungen in vielen internationalen Märkten mit ihren Rechtsschutzversicherungen und Rechtsdienstleistungen eine führende Position ein. Mit mehr als 4.300 Mitarbeitern erwirtschaftet der Konzern ein Umsatz- und Beitragsvolumen von rund 1,8 Milliarden EUR.

    ARAG SE ARAG Platz 1 40472 Düsseldorf Aufsichtsratsvorsitzender Dr. Dr. h. c. Paul-Otto Faßbender
    Vorstand Dr. Renko Dirksen (Sprecher) Dr. Matthias Maslaton Wolfgang Mathmann Hanno Petersen Dr. Joerg Schwarze Dr. Werenfried Wendler
    Sitz und Registergericht Düsseldorf HRB 66846 USt-ID-Nr.: DE 119 355 995

    Firmenkontakt
    ARAG SE
    Brigitta Mehring
    ARAG Platz 1
    40472 Düsseldorf
    0211 963 25 60
    brigitta.mehring@arag.de
    http://www.arag.de

    Pressekontakt
    Klaarkiming Kommunikation
    Claudia Wenski
    Steinberg 4
    24229 Dänischenhagen
    043 49 – 22 80 26
    cw@klaarkiming-kommunikation.de
    http://www.arag.de

  • Neue Alerts in SearchLight für exponierte Zugriffsschlüssel

    Neue Alerts in SearchLight für exponierte Zugriffsschlüssel

    Monitoring-Tool von Digital Shadows informiert Anwender über öffentliche Access Keys auf Code-Repositories und Pastebins

    Frankfurt, 8. Oktober 2020 – Digital Shadows hat sein Monitoring-Lösung SearchLight um weitere Alerts ergänzt. Ab sofort erhalten Anwender umgehend Meldung, sobald wichtige Zugriffsschlüssel zur Systemauthentifizierung öffentlich auf Code-Repositories wie GitHub oder Pastebins eingestellt werden.

    Jeder Alert enthält eine Risikoeinstufung zur Bewertung und Priorisierung, wichtige Informationen zur Quelle des Datenleaks und den betroffenen Unternehmens-Assets sowie einer historischen Timeline des Alerts für die Kontextualisierung. Das hilft Sicherheitsteams, schneller und gezielter Maßnahmen zur Behebung einzuleiten, darunter das Löschen der Daten auf der Plattform oder die Anpassung der Konfigurationseinstellungen von „öffentlich“ auf „privat“.

    Falsch konfigurierte Cloud-Dienste, Datenbanken oder Code-Repositories führen immer wieder dazu, dass sicherheitskritische Daten und Passwörter an die Öffentlichkeit gelangen. Mehr als die Hälfte aller Daten Leaks in der Public Cloud lassen sich auf Fehler in der Konfiguration zurückführen. Das Photon Research Team von Digital Shadows scannte über einen Zeitraum von 30 Tagen mehr als 150 Millionen Entitäten auf GitHub, GitLab und Pastebin und stieß auf fast 800.000 firmeninterne Zugriffsschlüssel, die im Rahmen der Softwareentwicklung unbeabsichtigt auf Kollaborationsplattformen und Code-Hostern veröffentlicht wurden.

    Mit der automatisierten Alert-Funktion in SearchLight können Sicherheitsteams ungewollte Datenleaks schnell und zuverlässig aufspüren und damit verbundene digitale Risiken entschärfen. Zu den Key-Features zählen:

    – Maßgeschneiderte Threat Intelligence: Dank erweiterter Konfigurationen lassen sich die Alerts unternehmensspezifisch anpassen. Das garantiert eine hohe Relevanz der Suchergebnisse und minimiert Fehlmeldungen (False-Positives).
    – Schnelle Behebung: Integrierte Playbooks liefern schrittweise Anweisung zum Entschärfen von Risiken sowie Empfehlungen für Maßnahmen (z. B. Takedown-Verfahren).
    – Internes Reporting: Eine detaillierte Übersicht liefert wichtige Informationen über die Quelle bzw. Autor des technischen Datenleaks.
    – Kontext und Analyse: Mit der integrierten ShadowSearch Suchfunktion können Unternehmen die indizierten Daten eines jeden Alerts näher untersuchen, zusätzliche Informationen sowie den historischen Kontext einsehen.
    – Weite Abdeckung: SearchLight überwacht und indiziert kontinuierlich Hunderte von Millionen Seiten, darunter GitHub und GitLab sowie rund 60 Millionen Paste-Sites.

    Mehr über die technischen Datenleaks und wie Unternehmen die Sicherheitsrisiken des Software Engineering minimieren, erfahren Sie im Blog von Digital Shadows: “ Moderne Softwareentwicklung und DevSecOps: Trotz Sicherheitskontrollen bleibt das Risiko von Datenleaks

    ÜBER DIGITAL SHADOWS:
    Digital Shadows spürt ungewollt öffentlich gewordene Daten im Open, Deep und Dark Web auf und hilft so Organisationen, die hieraus resultierenden digitalen Risiken externer Bedrohungen auf ein Minimum zu reduzieren. Mithilfe von SearchLight™ können Unternehmen Datenschutzvorgaben einhalten, den Verlust von geistigem Eigentum verhindern und Reputationsschäden vermeiden. Die Lösung hilft, digitale Risiken zu minimieren, die Angriffsfläche zu reduzieren und Marken- und Unternehmensnamen zu schützen. Weitere Informationen finden Sie im Internet unter www.digitalshadows.com/de

    Firmenkontakt
    Digital Shadows
    Stefan Bange
    c/o Lucy Turpin Communications GmbH, Prinzregentenstr. 89
    81675 München
    089 417761 0
    Stefan.Bange@digitalshadows.com
    https://www.digitalshadows.com/

    Pressekontakt
    Lucy Turpin Communications GmbH
    Sabine Listl
    Prinzregentenstrasse 89
    81675 München
    089 41776116
    digitalshadows@lucyturpin.com
    http://www.lucyturpin.com

    Die Bildrechte liegen bei dem Verfasser der Mitteilung.

  • Sensible Zugriffsschlüssel öffentlich im Netz

    Sensible Zugriffsschlüssel öffentlich im Netz

    Nachlässige Sicherheitskonfigurationen auf Code-Repositories gefährden unternehmenskritische Systeme

    Frankfurt, 15. September 2020 – Der Threat Intelligence-Experte Digital Shadows hat das Ausmaß von firmeninternen Zugriffsschlüsseln untersucht, die im Rahmen der Softwareentwicklung unbeabsichtigt auf Kollaborationsplattformen und Code-Hostern veröffentlicht werden. Über einen Zeitraum von 30 Tagen scannten die Analysten mehr als 150 Millionen Entitäten auf GitHub, GitLab und Pastebin und stießen dabei auf fast 800.000 exponierte Zugriffsschlüssel.

    Zugriffsschlüssel ermöglichen die Systemauthentifizierung gegenüber Dritt- oder internen Systemen und erlauben dem Anwender häufig erweiterte Berechtigungen. Daher stehen diese Zugangsdaten in der Regel unter besonderem Schutz und werden nur unter Auflagen mit Dritten geteilt (Shared Secrets). Fehlende Sicherheitspraktiken und Nachlässigkeiten auf der Seite von Entwicklern, Anwendern und Auftragnehmern führen jedoch immer wieder dazu, dass selbst hochsensible Daten auf Repositories und Plattformen als „öffentlich“ eingestellt werden. Das versehentliche Teilen dieser Daten kann schwerwiegende Konsequenzen nach sich ziehen, wenn Angreifer sich unbefugt Zugang zu geschäftskritischen Systemen verschaffen.

    Nach Digital Shadows lassen sich die gefundenen Zugriffsschlüssel in folgende Kategorien einordnen (Abb1).

    – Datenbanken
    Mehr als 40% der Access Keys ermöglichen den Zugang zu unternehmenseigenen Datenbanksystemen, darunter IBM DB2, Microsoft SQL Server, MongoDB, MySQL, Oracle DB, PostgreSQL, RabbitMQ und Redis. Insgesamt entdeckten die Analysten 129.550 Zugangsdaten, wobei Redis (37,2%), MySQL (23,8%) und MongoDB (19,3%) am häufigsten betroffen sind.

    – Cloud-Anbieter
    Rund 38% der Zugriffsschlüssel verweisen auf Unternehmenskonten bei Cloud-Anbietern. Die meisten exponierten Anmeldedaten finden sich demnach bei Google (56,5%), gefolgt von Microsoft Azure Storage (22,7%) und Azure SAS (12,4%). Auf den Marktführer Amazon Web Services entfallen hingegen nur 8,3% der exponierten Zugriffsschlüssel.

    – Online-Services
    11% der Daten betreffen Online-Dienste, darunter Kollaborationsplattformen wie Slack und Zahlungssysteme wie Stripe. Beunruhigend ist auch die große Zahl an exponierten Google OAuth IDs (95%). Sie können genutzt werden, um von Anwendern die Erlaubnis zu erhalten, Dateien im Filehosting-Dienst Google Drive zu speichern.

    „Softwareentwicklung findet heute nicht mehr im Alleingang, sondern in Zusammenarbeit mit Partnern und Dienstleistern statt. Das macht es schwieriger, die Einhaltung von Sicherheitspraktiken zu überwachen“, erklärt Stefan Bange, Country Manager DACH bei Digital Shadows. „Auf Kollaborationsplattformen und Code-Repositories werden tagtäglich technische Informationen geteilt – darunter leider auch Authentifizierungsschlüssel und Secrets. Auf Seite der Anwender passiert das oft ohne böse Absicht. Cyberkriminelle jedoch halten gezielt nach diesen Informationen Ausschau, um sich damit Zugriff auf Unternehmensnetzwerke zu verschaffen. Die Datenbanken, Online-Service oder Cloudanbieter selbst verfügen in den meisten Fällen über ausreichende Sicherheitsmechanismen. Nur leider mangelt es nach wie vor am Sicherheitsbewusstsein vieler Mitarbeiter, diese auch kontinuierlich und sorgfältig umzusetzen.“

    Mehr über technische Datenleaks und wie Unternehmen die Sicherheitsrisiken des Software Engineering minimieren, erfahren Sie im Blog von Digital Shadows: “ Moderne Softwareentwicklung und DevSecOps: Trotz Sicherheitskontrollen bleibt das Risiko von Datenleaks„.

    ÜBER DIGITAL SHADOWS:
    Digital Shadows spürt ungewollt öffentlich gewordene Daten im Open, Deep und Dark Web auf und hilft so Organisationen, die hieraus resultierenden digitalen Risiken externer Bedrohungen auf ein Minimum zu reduzieren. Mithilfe von SearchLight™ können Unternehmen Datenschutzvorgaben einhalten, den Verlust von geistigem Eigentum verhindern und Reputationsschäden vermeiden. Die Lösung hilft, digitale Risiken zu minimieren, die Angriffsfläche zu reduzieren und Marken- und Unternehmensnamen zu schützen. Weitere Informationen finden Sie im Internet unter www.digitalshadows.com/de

    Firmenkontakt
    Digital Shadows
    Stefan Bange
    c/o Lucy Turpin Communications GmbH, Prinzregentenstr. 89
    81675 München
    089 417761 0
    Stefan.Bange@digitalshadows.com
    https://www.digitalshadows.com/

    Pressekontakt
    Lucy Turpin Communications GmbH
    Sabine Listl
    Prinzregentenstrasse 89
    81675 München
    089 41776116
    digitalshadows@lucyturpin.com
    http://www.lucyturpin.com

    Die Bildrechte liegen bei dem Verfasser der Mitteilung.

  • 15 Milliarden Zugangsdaten frei im Netz zugänglich

    15 Milliarden Zugangsdaten frei im Netz zugänglich

    Zahl der exponierten Benutzer-Passwort-Kombinationen hat sich in den letzten zwei Jahren verdreifacht

    Frankfurt, 8. Juli 2020 – Ein neuer Report von Digital Shadows hat die Ausmaße von geleakten Logindaten im Zusammenhang mit Kontoübernahmen (ATO) untersucht. Dabei fanden die Threat Intelligence-Experten mehr als 15 Milliarden Benutzer-Passwort-Kombinationen, die auf cyberkriminellen Marktplätzen gehandelt werden – viele davon im Dark Web.

    Damit ist die Zahl der gestohlenen und offengelegten Zugangsdaten seit 2018 um rund 300% gestiegen. Die kompromittierten Daten stammen aus mehr als 100.000 unterschiedlichen Verstößen gegen Datenschutzbestimmungen, Cyberhacks und anderen Datenleaks. Insgesamt 5 Milliarden der aufgedeckten Logindaten sind als „unique“ eingestuft und wurden damit erstmals und einmalig auf einem Marktplatz zum Verkauf angeboten.

    Die Mehrzahl der exponierten Daten betrifft Privatpersonen und Verbraucher und umfasst Benutzernamen und Passwörter von diversen Kundenaccounts – angefangen bei Bankkonten bis hin zu Streamingdiensten wie Netflix oder Spotify. Viele der Kontodaten sind kostenlos auf einschlägigen Foren erhältlich oder werden zu Spottpreisen verkauft. Durchschnittlich kostet der Zugang zu einem Konto 13,68 Euro. Bei Konten von Banken, Bezahldiensten und anderen Finanzdienstleistern, die bei einem erfolgreichen Zugriff mit einem höheren Gewinn winken, liegt der Preis mit 62,86 Euro deutlich höher. Über dem Durchschnittspreis liegen auch Zugangsdaten für Antivirenprogramme mit 19,21 Euro. Für unter 10 Euro können Cyberkriminelle auf fremde Konten bei Streamingdiensten, Social Media-Profilen, virtuelle private Netzwerke (VPNs) und Webseiten mit pornographischen Inhalten zugreifen.

    „Allein in den letzten 18 Monaten hat das Photon Research Team von Digital Shadows etwa 27,3 Millionen Benutzer-Passwort-Kombinationen bei unseren Kunden identifiziert“, erklärt Stefan Bange, Country Manager DACH von Digital Shadows. „Natürlich folgt nicht auf jedes geleakte Login auch ein erfolgreicher Cyberangriff. Trotzdem enthalten viele dieser Konten personenbezogene und sehr sensible Informationen, die von Cyberkriminellen ausgenutzt werden können – sei es für Phishing, Social Engineering, Extortion oder das Infiltrieren des Netzwerks. Das Risiko für den Einzelnen ist groß, aber auch Organisationen und Unternehmen sind direkt und indirekt über ihre Mitarbeiter und Kunden betroffen.“

    Die Analysten fanden insgesamt zwei Millionen E-Mail-Adressen und Benutzernamen, die mit Schlüsselabteilungen von Unternehmen (z. B. „Buchhaltung“, „Controlling“) in Verbindung stehen. Darüber hinaus entdeckte Digital Shadows zu Verkauf stehende Domain Admins, die je nach Unternehmensgröße und Branche einen Preis zwischen 500 und 120.000 Euro erzielen. Inwiefern diese sicherheitskritischen Zugangsdaten aktuell und valide sind, lässt sich schwer beurteilen. Auf der Liste der Domain Admins finden sich jedoch sowohl große Konzerne und Global Player als auch unterschiedliche staatliche Behörden und Regierungsstellen.

    „Die Wahrheit ist, dass es für Cyberkriminelle noch nie so einfach war, das Konto von Anwendern zu hacken. Brute-Force-Cracking-Tools und Account Checker sind im Dark Web schon ab 4 Euro erhältlich. Zudem beobachten wir seit geraumer Zeit eine Zunahme von sogenannten „as-a-Service“-Angeboten, bei denen Kriminelle gar nicht mehr selbst tätig werden müssen, sondern sich den Zugang zu einem Konto und damit die Identität des Anwenders für weniger als 10 Euro einfach mieten können“, so Bange. „Multi-Faktor-Authentifizierung (MFA) macht ATO-Angriffe zwar schwieriger, aber nicht unmöglich. Hier sehen wir immer wieder neue Methoden, die 2FA umgehen und auf cyberkriminellen Foren diskutiert und gehandelt werden.“

    Um das Risiko von Account Takover Fraud (ATO) auf ein Minimum zu reduzieren, sollten Unternehmen bestimmte Sicherheitsmaßnahmen implementieren und eine umfassende Threat Intelligence aufbauen. Dazu gehört:

    1. Monitoring von Zugangsdaten von Mitarbeitern (z. B. über HaveIBeenPwned) sowie das Einrichten von Alerts, die über aktuellen Daten-Hacks informieren.

    2. Monitoring des Unternehmens- und Markennamens in gängigen Foren. Google Alerts beispielsweise können richtig konfiguriert Indikatoren für drohende für drohende ATO-Versuche liefern.

    3. Monitoring von Zugangsdaten von Kunden.

    4. Umfassende Abdeckung von Quellen im Open, Deep und Dark Web. In Code-Repositories wie GitHub beispielsweise finden sich öffentlich zugängliche technische Daten, die von Cyberkriminellen ausgenutzt werden können – darunter Authentifizierungsschlüssel, hartcodierte Passwörter, Code Snippets oder API-Schlüssel.

    5. Implementierung einer Online-Firewall für Webanwendungen. Kommerzielle und Open-Source-Firewalls, wie ModSecurity, helfen, Angriffe auf Zugangsdaten zu identifizieren und zu blockieren.

    6. Sicherheitsbewusstsein bei Anwendern schärfen, um das Nutzen der unternehmenseigenen E-Mail für private Konten und die Wiederverwendung von Passwörtern zu unterbinden.

    7. Beobachten von Credential Stuffing Tools. Einige Lösungen sind mittlerweile in der Lage, CAPTCHAs zu umgehen.

    8. Implementierung von Multi-Faktor-Authentifizierung ohne SMS-Token. Dabei gilt es, zwischen der höheren Sicherheit durch 2FA und eventuellen Reibungen sowie Kosten abzuwägen.

    ÜBER DIGITAL SHADOWS:
    Digital Shadows spürt ungewollt öffentlich gewordene Daten im Open, Deep und Dark Web auf und hilft so Organisationen, die hieraus resultierenden digitalen Risiken externer Bedrohungen auf ein Minimum zu reduzieren. Mithilfe von SearchLight™ können Unternehmen Datenschutzvorgaben einhalten, den Verlust von geistigem Eigentum verhindern und Reputationsschäden vermeiden. Die Lösung hilft, digitale Risiken zu minimieren, die Angriffsfläche zu reduzieren und Marken- und Unternehmensnamen zu schützen. Weitere Informationen finden Sie im Internet unter www.digitalshadows.com/de

    Firmenkontakt
    Digital Shadows
    Stefan Bange
    c/o Lucy Turpin Communications GmbH, Prinzregentenstr. 89
    81675 München
    089 417761 0
    Stefan.Bange@digitalshadows.com
    https://www.digitalshadows.com/

    Pressekontakt
    Lucy Turpin Communications GmbH
    Sabine Listl
    Prinzregentenstrasse 89
    81675 München
    089 41776116
    digitalshadows@lucyturpin.com
    http://www.lucyturpin.com

    Die Bildrechte liegen bei dem Verfasser der Mitteilung.