Die OXID eSales AG als Herstellerin der gleichnamigen und weitverbreiteten Shopsoftware kam vor kurzem auf uns zu, um Unterstützung beim Umgang mit einer neu entdeckten Sicherheitslücke zu erhalten. Wie auch schon bei der letzten größeren OXID Sicherheitslücke war unser Security-Team natürlich gern bereit, unseren Partner auch dieses Mal wieder tatkräftig zu unterstützen. Read more
Letztes Jahr haben wir in unserem Blogartikel mit dem Titel “ISO 27001: SysEleven erneuert Commitment“ darüber berichtet, dass wir erfolgreich die Zertifizierung gemäß der ISO 27001 bestanden haben und, dass wir als Unternehmen hinter diesem wichtigen internationalen Standard stehen. Dieses Commitment werden wir in Zukunft weiter steigern. Hierfür sind kurz- und mittelfristig Änderungen notwendig, die wir an dieser Stelle gern vorstellen möchten. 1. Derzeitiger Aufbau des ISMS Derzeit sind wir sowohl nach dem BSI IT-Grundschutz Standard als auch dem ISO 27001 Standard zertifiziert. Die [...]
“Es muss nicht immer Slack sein” titelte golem.de unlängst. Dies nehmen wir zum Anlass, unsere Chatlösung auch einmal vorzustellen. Anfang 2015 startete SysEleven mit Hipchat, was zu diesem Zeitpunkt noch von Atlassian vertrieben wurde. Das erschien uns als eine gute Lösung, weil auch andere Produkte von Atlassian eingesetzt wurden und auch immer noch werden. Mittlerweile ist Hipchat bekanntermaßen von Slack übernommen worden. Das betraf uns jedoch nicht mehr, denn Mitte 2016 stürzten wir uns in das Experiment Rocketchat, das zu [...]
Google hat die Symantec Certificate Authority (CA) aus dem Trust Store seines Chrome Browsers geworfen. Andere Browser-Hersteller werden nachziehen und in der Konsequenz sind SSL-Zertifikate unbrauchbar, die von Symantec’s CA ausgestellt wurden. Es gibt aber keinen Grund zur Panik. Die Ankündigungen ließen Zeit zur Vorbereitung. (mehr …)
Seit dem 11. Juli 2018 ist es offiziell: SysEleven hat die Zertifizierung gemäß ISO 27001 (nativ) erneut erhalten. Nachdem wir im Jahr 2015 die Zertifizierung durchgeführt hatten, haben wir kontinuierlich daran gearbeitet, unser Managementsystem für Informationssicherheit (ISMS) zu verbessern. In dem Rezertifizierungsaudit diesen Sommer konnten wir den hohen Reifegrad unseres ISMS unter Beweis stellen. (mehr …)
Bei fast jeder Fachkonferenz zum Thema Internet- und Infrastruktursicherheit gibt es Vorträge zu DDoS-Angriffen, dessen Auswirkungen und potenzielle Gegenmaßnahmen. Oft wird mit großen Zahlen und Attacken im Terabit-Bereich hantiert. Doch wie sieht die Realität im täglichen Umgang mit diesen Angriffen aus? Und wie funktioniert die DDoS-Protection bei SysEleven? DDoS-Angriffe bei SysEleven: Status Quo DDoS-Attacken sind auf Volumen oder Frequenz angelegten Angriffe, die darauf abzielen einen Dienst, einen Server, ein DataCenter oder gar einen ganzen Provider vom Netz (also offline) zu nehmen. [...]
Am Jahreswechsel verabschieden wir uns von den Geistern der Vergangenheit – und damit auch endgültig von SHA-1 signierten SSL-Zertifikaten. Ab dem 1. Januar 2017 akzeptieren die großen Browser nur noch Zertifikate mit neuen SHA-Standards. Überprüfen Sie Ihre Server und tauschen Sie die unsicheren Datensätze jetzt aus. Das Ende von SHA-1 SHA-1 gilt seit über zehn Jahren als unsicher. Bei dem Hash-Verfahren lassen sich relativ einfach Kollisionen provozieren, die Einfallstore für gefälschte Zertifikate liefern. Zum 1. Januar 2017 werden die großen Browser [...]
Mit CVE-2016-5195 alias Dirty COW wurde vor ein paar Tagen eine Schwachstelle im Linux-Kernel bekannt, die es Nutzern ermöglicht, Dateien mit Inhalten zu beschreiben, obwohl sie für diese eigentlich nur Leserechte zugewiesen bekommen haben. Durch diese Lücke wird es möglich, die eigenen Nutzerrechte zu erweitern. Kenny vom Team Security erklärt, was Dirty COW so gefährlich macht. Was macht Dirty COW? Dirty COW selbst ist ein Exploit für die Kernel-Schwachstelle mit der Bezeichnung CVE-2016-5195. Dabei kommt eine Race-Condition zum Einsatz, die in vier Schritten abläuft. 1. Initialisierung Im [...]
Als sicherheitsbewusster Hostinganbieter würden wir vertrauliche Informationen am liebsten ausschließlich über GPG-verschlüsselte E-Mails mit unseren Kunden und externen Partnern austauschen. Das ist jedoch leider nicht immer möglich – zum Beispiel dann, wenn der jeweilige Empfänger noch keine eigene Kryptostrategie etabliert hat. Mit unserer neu entwickelten Webanwendung kommen wir diesem Ziel nun einen Schritt näher. Verschlüsselter Informationsaustausch über Webadressen Um auch in Fällen, in denen der Empfänger keine GPG-Verschlüsselung unterstützt, die zu schützenden Inhalte (z.B. Initialpasswörter) nicht völlig ungesichert per E-Mail verschicken zu [...]
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist als Bundesoberbehörde für Informationssicherheit direkt für die Informationssicherheit zuständig und hat durch BSIG §4 folgende Aufgaben: “Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und für die Prüfung und Bewertung der Konformität im Bereich der IT-Sicherheit.” Diese Aufgaben wurden initial unter anderem durch das IT-Grundschutzhandbuch umgesetzt, das sich dann zum IT-Grundschutzkatalog weiterentwickelt hat und durch Aufnahme von ISMS-Themen zu einer Ausprägung [...]
© Copyright 2019. All Rights Reserved. 
