Auch wenn ich einige wenige Dinge beherzige, so ist dieses kleine digitale Kritzeltet doch im Handstreich platt, wenn es jemand nur wirklich darauf anlegt. Auch die markigen Werbesprüche meines Webkrauters, hier mit DDoS-Schutz-Sicherheit zu bieten und ähnliches, werden da sicher nicht helfen. Zudem heißt auch nicht jedes Unternehmen Spamhaus, das muss klar gesagt werden. Und dass ich mir ein „paar Kohlen“ bei Akamai dazu kaufen kann, wie es die großen GAFA-Unternehmen, immer wieder Apple bei Mammutveranstaltungen wie der WWDC machen, ist auch nicht gegeben. Das würde mein Budget sehr deutlich sprengen.
Gut, ich könnte ein CDN wie etwa Cloudflare nutzen, will ich aber gar nicht. Das hat weniger etwas mit der durchaus guten Technologie zu tun, sondern mit DSGV. Was ich nach Erprobungen deutlich feststellte (nativ Cloudflare und innerhalb von IONOS angeboten).
Da hatte ich doch vor ein paar Tage mit ZAP angefangen, das Blog zu pentesten, wie ich es ja schon mal machte (etwa hier, hier oder hier). Das ganze zog sich über einige Tage hin. Mein kleines WAF dreht ordentlich auf und bestrafte ZAP mit bannig vielen 404 und mich mit etlichen Warnmeldungen.
Ob ich mir aber jemals die knapp 30 GB Session Data ansehen werde, mag bezweifelt werden. ZAP hat ja den kruden Scharm einer Linux-Konsolenanwendung, der man (scheinbar) mit AWT eine GUI verpass hat. Ich werde es aber weiter nutzen, auch wenn die Software immer mal wieder durchgereicht wird, d.h. den Eigenümer wechselt.
Wir haben uns auf verschiedensten Wegen die Identitäten der Patientinnen und Patienten besorgt (…), wir haben uns auf verschiedensten Wegen die Praxisidentitäten besorgt (…) und damit hatten wir wirklich alles beisammen, um auf (…) alle 70 Millionen Akten zuzugreifen.“
Was Kastl und Tschirsich auf der CCC-Bühne demonstrierten, war ein Angriff auf die privatesten Daten, die Mensch überhaupt haben: die eigenen Gesundheitsdaten. Die beiden Hacker haben diese Angriffe ausprobiert, um Sicherheitslücken aufzudecken – doch schon bald könnten die Schwachstellen auch von Kriminellen ausgenutzt werden.
..
Der Chaos Computer Club kommt angesichts der Erkenntnisse zu einem vernichtenden Urteil. Der Verband fordert ein „Ende der EPA-Experimente am lebenden Bürger“.
HAZ, tomorrow
Chapeau! CCC, denn schon vorm Start der elektronischen Patientenakte einen Supergau-Hack. Das zeigt wieder einmal und sehr erwartet: Security made in Germany sucht ihresgleichen in der internationalen IT-Landschaft.
Wenn es nicht so extrem bitter wäre, würde ich glatt drüber lachen.
Da haben nicht alle Abgeordneten oder deren Mitarbeiter richtig auf die unangekündigte Phishingmail im Rahmen eines Pentest reagiert.
Das ist auch wirklich nicht zu erwaeten, denn derariges ist im Bundedtag noch neu. Wie bei allem Neuen hilf ab und zu unangekündigt „trainieren“, um eine Awareness zu erzeugen. Allerdings auf der präparieren Seite dann auch noch das Paßwort preiszugeben, ist leider sehr ungeschickt.
Auch dieses Mal sind es 21 Warnungen ((8 medium, 8 low und 5 informational) wie vor 1,5 Jahren. Diesmal waren es 32322 gefundene URLs. Das ist Faktor 3,8 mehr als beim letzten Scan.
81 Prozent der Unternehmen gaben an, in den vergangenen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen gewesen zu sein, weitere 10 Prozent erklärten, sie seien „vermutlich betroffen“. Das ist ein deutlicher Anstieg im Vergleich zum Vorjahr, doch Sinan Selen, Vizechef des Bundesamts für Verfassungsschutz, glaubt, dass es noch immer nicht die Realität wiedergibt.
…
Die Auswirkungen für die Wirtschaft sind groß: Durch Angriffe in den vergangenen zwölf Monaten sei ein Schaden von 266,6 Milliarden Euro entstanden. „Das ist ein neuer Rekordwert“, sagte Wintergerst. Im vergangenen Jahr lag der Wert bei 206 Milliarden, der bisherige Rekordwert aus dem Jahr 2021 betrug 233 Milliarden Euro. Zwei Drittel der Unternehmen sähen sich durch Attacken über das Datennetz gar in ihrer Existenz bedroht.
•••• Mit Klick auf die Abspielschaltfläche wird das Video im eingebetten IFrame gestartet. Das Vorschaubild kann schon auf diesem Blog vorhanden sein, so dass erst beim Abspielen eine Verbindung mit YouTube aufgebaut wird und Daten übertragen werden. ••••
Auch das Blog blog.softwing.de mag Kekse. Einige Cookies sind unerlässlich, andere helfen, das Blog für Dich zu verbessern. Du hast das Recht den nur funktionsfähigen Cookies zuzustimmen und Deine Einwilligung jederzeit zu ändern. Du bist unter 16 Jahre alt? Dann kannst Du nur den nur funktionsfähigen Cookies zustimmen oder Du kannst Deine Eltern oder Deinen Erziehungsberechtigten bitten, mit Dir gemeinsam anderen Cookies zuzustimmen.
Funktionale Cookies
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich, um die Nutzung eines bestimmten Dienstes zu ermöglichen, der ausdrücklich vom Teilnehmer oder Benutzer angefordert wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff wird ausschließlich zu statistischen Zwecken verwendet.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung bzw. der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu tracken.