infrastructure

Ellen Nakashima, Yvonne Wingett Sanchez und Joseph Menn schreiben in »Global hack on Microsoft product hits U.S., state agencies, researchers say« für washingtonpost.com What’s also alarming, researchers said, is that the hackers have gained access to keys that may allow them to regain entry even after a system is patched. Mal wieder wurde eine Sicherheitslücke in Microsofts Software ausgenutzt. Und natürlich gilt: Kein System ist völlig sicher. Aber wenn fast alle dieselbe Software verwenden, wird aus einem Fehler ein flächendeckendes Risiko. Genau das ist bei Microsoft Office, Sharepoint oder Windows der Fall. ...

Olivia von Westernhagen schreibt in »Microsoft: Techniker aus China betreuten Cloud des US-Verteidigungsministeriums« für heise.de Microsoft scheint derzeit nicht genau sagen zu können, wer ihre Cloud tatsächlich verwaltet. Es wirkt, als hätten sie das einfach nicht besser im Griff.

Benjamin Stiebel und Christiane Rebhan schreiben in »Wo beim NIS-2-Gesetz noch nachgebessert werden soll« für tagesspiegel.de Zwar seien die formulierten Sicherheitsanforderungen relativ gut und ausgewogen, räumt die Abgeordnete ein. „Das Problem ist ein Wirrwarr von Ausnahmeregeln und Intransparenz, insbesondere was den Staat selbst betrifft“. So dürften die meisten Bundesbehörden auf das Risikomanagement verzichten und seien anders als andere Akteure von Bußgeldern befreit. IT-Dienstleister der öffentlichen Hand seien zudem weitgehend ausgenommen, wodurch die IT-Sicherheit insgesamt unterwandert werde. Dass die Verwaltung von Bußgeldern befreit ist, ist üblich. Auch für Datenschutzverstöße müssen Behörden nicht zahlen. ...

Heute habe ich etwas Neues gelernt. CDN-Anbieter können verschlüsselte Verbindungen öffnen. Katharina M. Schwarz schreibt in »Unsere Daten sind ein Koffer – doch wer hat den Schlüssel?« für egovernment.de Damit Content Delivery Networks (CDNs) oder Schutzsysteme für Webapplikationen Angriffe im verschlüsselten Datenverkehr abwehren können, müssen sie die Verschlüsselung temporär aufbrechen. Nur so können die Dienste erkennen, ob eine eingehende Datenanfrage schädlich ist oder nicht. Dafür dekodiert der Anbieter den Datenstrom – mit einem Zertifikatsschlüssel, den er zuvor vom Seitenbetreiber erhalten hat. Dieser Vorgang nennt sich SSL/TLS-Terminierung. ...

Marie-Claire Koch schreibt in »Security-Bericht: On-Premises-Angebote erleben Renaissance« für heise.de Ein zentrales Ergebnis des Berichts ist die wachsende Bedeutung der digitalen Souveränität. 70 Prozent der Unternehmen empfinden die Abhängigkeit von nicht-europäischer Technik als zu hoch. 78 Prozent der Entscheider in Europa geben an, dass das Thema Souveränität für sie wichtiger geworden ist. Für 59 Prozent ist dies inzwischen ein entscheidendes Kaufkriterium, 11 Prozent sehen digitale Souveränität sogar als das wichtigste. ...