Als Hilfe zur Selbsthilfe liefern wir mit der StopTheHacker-Sicherheitssuite ein Tool, mit denen derartige Hacker-Attacken auf Websites gezielt vorgebeugt, rechtzeitig aufgespürt und wirksam abgewehrt werden können. Die Lösung scannt die zu schützende Website samt ihrer Sub-Domains permanent auf Schwachstellen und Bedrohungen. Mittels Machine Learning (ML)- und Artificial Intelligence (AI)-Technologien identifiziert sie dabei Sicherheitslücken sowie eine umfassende Bandbreite an Malware schnell und zuverlässig. Selbst unbekannte Schadsoftware wird treffsicher aufgespürt.

Das Blacklist- und Reputation-Monitoring – ein weiteres Feature der Sicherheitssuite – behält die Reputation der zu schützenden Website in den Suchmaschinen sowie in DNS- und Phishing-Blacklists im Blick. Der Website-Betreiber wird demnach sofort darüber in Kenntnis gesetzt, sobald seine Seite auf einer der schwarzen Listen verzeichnet ist. Für diesen Fall bietet StopTheHacker ebenfalls Abhilfe: Die Cloud-basierte Sicherheitslösung kann bei Aktivierung aufgespürte Malware voll automatisch in Eigenregie entfernen. Damit leistet die Lösung einen wichtigen Beitrag dazu, die betroffene Website wieder von den Blacklists zu entfernen. Spezielle Kenntnisse auf Seiten des Website-Betreibers sind dabei ebenso wenig erforderlich wie eine Installation der Sicherheitssuite.

Weitere Informationen unter www.psw-group.de

Related posts:

1. Hacker mit selbstlernenden Technologien und künstlicher Intelligenz ausbremsen
2. Sparkassen-Hack zeigt: Jede Website kann zur Trojaner-Schleuder werden
3. Infiltration durch Hacker: Die eigene Website mit Anti-Malware Scans aus der Schusslinie bringen

Funktionsweise und Anwendung von SSL-Zertifikaten

Bei der re:publica 2013 war die Rede vom “schizophrenen Konsumenten”: Susanne Dehmel vom Branchenverband Bitkom erklärte in ihrem Vortrag über Datenschutz, dass selbiger zwar oft eingefordert werde, dass Verbraucher aber Services, die schwarze Schafe entlarven könnten, kaum nutzen würden. Es scheint, als sei der Anwender doch oft der Meinung, er habe nichts zu verbergen. Aber switchen wir doch mal aufs Reallife um: Würden Sie sich gerne beim Anprobieren Ihrer Kleidung in die Kabine schauen lassen? Oder beim Abheben von Bargeld über die Schulter? Es geht um Vertraulichkeit, die im “normalen” Leben ganz selbstverständlich ist. Ahnungslose Bankkunden werden mit erschreckender Regelmäßigkeit von organisierten Betrügern dazu gebracht, ihre Online-Banking-Daten inklusive TANs und PINs auf gefälschten Webseiten anzugeben. Wireless-LAN, also Drahtlos-Netzwerke, legen offen, was gesendet wird – unverschlüsselt werden Funksignale ungefähr genauso offen ausgesendet wie Rundfunksendungen im Radio. Das lädt Kriminelle geradezu ein, die Identität zu rauben.

Mit dem “HyperText Transfer Protocol Secure” (HTTPS) wurde im Jahre 1994 der erste Schritt in Richtung Datensicherheit unternommen. Die zu übermittelnden Daten werden dank HTTPS auf 128- oder 256-bit-Stufe verschlüsselt, ohne dass es zusätzliche Software auf dem Rechner braucht. Weiter prüft HTTPS, ob die Identität des Partners stimmt. Phishingattacken durchs Weiterleiten auf manipulierte Webseiten werden durch diese Art der Authentifizierung wesentlich erschwert. Gerade Geldinstitute arbeiten über HTTPS-Server. Viele Shops allerdings überlassen es letztlich dem Anwender, ob er das verschlüsselte HTTPS oder das unverschlüsselte HTTP nutzt.

SSL kommt bei der Verbindung via HTTPS-Server zum Einsatz. Werden die technischen Details vereinfacht, arbeitet SSL so: Eine zweite Verbindung (“SSL Record Protocol”) schiebt sich über die bestehende Leitung. Es handelt sich um ein reines Aufzeichnungsprotokoll, das die Verschlüsselung zwischen zwei Rechnern regelt und gleichzeitig überprüft, ob die Daten, die auf der Anwenderseite eingegeben wurden, genau so auf der Anbieterseite ausgegeben werden. Aus den gesendeten Daten werden in regelmäßigen Abständen Prüfziffern errechnet und angefügt. Dieser Wert wird an beiden Enden einer Verbindung wieder abgeglichen.

Bevor aber die Daten ausgetauscht werden, sorgt das “SSL Handshake Protocol” für die Übermittlung persönlicher Identifikationsdaten von den Teilnehmern. Es handelt weiter das Fragmentierungs- und das Verschlüsselungsverfahren aus, welches bei der Verbindung Anwendung finden soll. Oder einfacher ausgedrückt: Die beiden beteiligten Rechner einigen sich auf einen Code und auf eine einheitliche Größe für die zu übermittelnden Datenpakete. Jetzt fließen codierte Informationshäppchen durch den Äther von symmetrischen Algorithmen: Der Empfangsrechner decodiert, setzt zusammen und macht die Informationen für den User lesbar.

Das SSL-Zertifikat tritt während des “Handshakes” in Erscheinung: Der digitale Personalausweis wird von einer Zertifizierungsstelle (Certificate Authority, CA) ausgegeben und durch einen öffentlich zugänglichen Signaturprüfschlüssel einer Person oder einer Organisation zugeordnet. Die Zertifizierungsstelle beglaubigt diese Zuordnung dadurch, dass sie das Zertifikat mit ihrer eigenen digitalen Unterschrift absegnet. Wird also ein bestimmter Code verwendet, kann durch die Zusammensetzung des Codes eindeutig hergeleitet und bestätigt werden, wer diesen Code nutzt.

Weiterführende Informationen

Hierzulande regelt das Signaturgesetz (SigG, hier als PDF) aus dem Jahre 2001 sämtliche Fragen zu SSL-Zertifikaten und digitalen Unterschriften. Anwender und Unternehmen, die sich tiefgehend mit der Materie auseinandersetzen wollen, finden bei Symantec einen interaktiven Starter-Guide: Neben der Frage, was SSL-Zertifikate sind, wird die Geschichte erläutert, die Frage, wie Sie ein Zertifikat bekommen, wer Sie sind und Best Practice-Beispiele zeigen, wie es funktioniert. Eine Übersicht über verschiedene SSL-Zertifikate und ihre jeweiligen Eigenschaften sowie Preise finden Sie zudem auf unserer Webseite.

Haben Sie Ergänzungen oder Fragen zum Thema? Dann nutzen Sie die Kommentarfunktion oder treten Sie mit uns in Kontakt.

Related posts:

1. Kompatibilitätsprobleme zwischen neuestem Cisco AnyConnect Secure Mobility Client und Thawte SSL-Zertifikaten
2. Schutz vor Man-in-the-Middle-Angriffen (MITM-Angriffe) durch EV-Zertifikate
3. EV-Zertifikate zu heißen Sommerpreisen – für das sichere Grün in der Adressleiste

Derzeit ist es so, dass der Teil einer Website, die via HTTPS aufgerufen wird, auch dann angezeigt wird, wenn nicht alle Inhalte über das Protokoll übergeben werden. Zusätzlich gibt Firefox eine Fehlermeldung aus, die besagt, dass die entsprechende Seite sichere und unsichere Elemente umfasst. Das ändert sich jedoch mit der neuen Firefox-Version, denn damit werden Firefox-Anwender entsprechende Websites nicht mehr aufrufen können.

Website-Betreiber können sich auf diese Umstellung jedoch vorbereiten, in dem sie noch vor dem 17. Mai dafür sorgen, dass gemischte aktive Inhalte auch über HTTPS übergeben werden, wenn eine verschlüsselte Verbindung aufgebaut wird. Dann greift der Mixed Content Blocker nämlich nicht und die SSL-gesicherten Seiten können korrekt dargestellt werden.

Related posts:

1. PSW GROUP unterstützt ab sofort auch digitale Bürgerrechtsbewegung EFF und HTTPS Everywhere als Sponsor

Apple, Google, Facebook & Co.

Der Konzern Apple wurde vom Bundesverband der Verbraucherzentralen (vzbv) aufgrund seiner Datenschutzbestimmungen verklagt. Apple wurde in einem noch nicht rechtskräftigen Urteil untersagt, Kundendaten wie Namen, Adressen, E-Mail-Adressen oder Telefonnummern ohne Einwilligung der Kunden zu verwenden. Weiter sorgte das Gericht dafür, die Nutzungsbedingungen für unwirksam zu erklären, nach denen Apple-Kunden dem Konzern die globale Datennutzung überlassen sollten. Kundendaten dürften laut Gericht auch nicht an andere Unternehmen weitergegeben werden. Daneben haben sich die Unternehmen Google, Xing, Facebook und Stayfriends gegen freiwillige Datenschutzvereinbarungen ausgesprochen. Die Folge: Man wolle nun EU-weite Vorgaben verpflichtend einführen.

TÜV Süd bemängelt Datenschutz bei Partnerschaften

Dass Unternehmen diverse Geschäftsbereiche auslagern, bemängelt der TÜV Süd in seiner aktuellen Pressemeldung keinesfalls. Wohl aber die Tatsache, dass 30 Prozent der Unternehmen Datenschutz bei externen Partnern als irrelevant erachten. Die Datenschutzstudie 2012 führte weiter zutage, dass 58 Prozent der vorrangig mittelständischen befragten Unternehmen ihre Dienstleister nicht in Bezug auf technische und organisatorische Maßnahmen zur Datensicherheit prüfen.

Die bittere Wahrheit: Unternehmen trauen sich selbst nicht

Heise berichtete im August 2012, dass erschreckende 90 Prozent der Unternehmen ihre eigenen Daten für nicht sicher halten, und stellt eine berechtigte Frage: “wenn schon die Experten in den Unternehmen der eigenen Datensicherung nicht trauen, warum sollten wir es dann tun?” Die meisten Zwischenfälle in der Datensicherheit sind dabei auf menschliche Fehler zurückzuführen, nur ein geringer Teil auf “Naturkatastrophen”. Zwar würden viele Unternehmen in die Optimierung des Datenschutzes investieren, aber elf Prozent der befragten IT-Manager sehen die Unternehmensdaten als “extrem anfällig”.

Datensicherheit und Datenschutz bringen Kundenvertrauen

Angesichts aktueller und vergangener Berichterstattungen ist es wenig verwunderlich, dass die meisten Verbraucher nicht auf E-Commerce vertrauen, wir berichteten daürber in einer Pressemitteilung. Der Bekanntheitsgrad eines Onlinehändlers ist weit weniger wichtig für Verbraucher als nachvollziehbare Datensicherheit und transparenter Datenschutz. Erst muss das Vertrauen in den Online-Shop vorhanden sein, dann bestellen die meisten Verbraucher. Christian Heutger, Geschäftsführer der PSW GROUP, erklärte kürzlich in einem Interview mit shopanbieter.de: “Die größte Herausforderung besteht darin, Hackern und anderen Online-Kriminellen immer einen Schritt voraus zu bleiben.” Und weiter: “Viele im E-Commerce angesiedelte Unternehmen können sich entscheidend dadurch verbessern, dass sie in regelmäßigen, kurzen Abständen prüfen, ob ihre Sicherheitsmaßnahmen, Siegel usw. noch auf dem aktuellen Stand sind. Darüber hinaus erfordert der durch den Durchbruch des Smartphones wachsende Mobile-Markt auch in dieser Hinsicht maßgeschneiderte Lösungen.”

PSW GROUP unterstützt digitale Bürgerrechtsbewegung

Neben unserer Aufklärungsarbeit in Interviews und unseren Produkten sind wir Sponsor der digitalen Bürgerrechtsbewegung EFF und HTTPS Everywhere geworden. Die EFF setzt sich für den Datenschutz im World Wide Web und für die sichere Kommunikation ein. Weitere Informationen darüber erhalten Sie auf der Website der Electronic Frontier Foundation (EFF). Ihre Fragen rund um den Datenschutz beantworten wir gerne in den Kommentaren – diskutieren Sie mit zum Thema.

Related posts:

1. Ohne Kundenvertrauen kein Geschäft: Datensicherheit und Datenschutz für Online-Händler wesentliche K.o.-Kriterien
2. Datenschutz – Was gilt es zu beachten?
3. Vertraulichkeit und Integrität: Datenschutz auch in der E-Mail-Kommunikation gewährleisten

Comodo EV $115 / 1 Jahr
GeoTrust EV $125 / 1 Jahr
Secure Site EV $590 / 1 Jahr
Secure Site Pro EV $845 / 1 Jahr
thawte EV $190 / 1 Jahr

Um diese Konditionen zu nutzen, geben Sie den Rabattcode HEISOM13 im Feld „Bemerkungen“ bei Ihrer Bestellung über unsere Website an. Sämtliche Konditionen verstehen sich als Netto-Preise, die zum jeweils tagesaktuellen Eurokurs umgerechnet werden.

Haben Sie Fragen zu den EV-Zertifikaten oder unseren Konditionen? Dann treten Sie in Kontakt mit uns – für Sie haben wir immer ein offenes Ohr!

Related posts:

1. PSW GROUP bietet Zertifikate vom SSL-Pionier Thawte zu noch günstigeren Konditionen
2. Grüne Adressleiste nicht nur beim Online-Banking eine sichere Bank
3. Schnelle und sichere Übertragung von Web-Inhalten: Secure CDN als Umsatzmotor für den Online-Handel

Was der Sparkasse im konkreten Fall wiederfahren ist, ist keineswegs ein Einzelfall und könnte jede Website treffen. Daher empfehlen wir Website-Betreibern entsprechende Schutzvorkehrungen zu treffen. Vertrauenswürdige Websites Dritter als Schleuder zur Verbreitung von Malware zu missbrauchen, steht für Hacker und Datendiebe derzeit leider hoch im Kurs. Die Zahl derartiger Attacken ist in den vergangenen zwei Jahren sprunghaft angestiegen.

Mit einer breiten Auswahl an Malware- und PCI-Scans bieten wir Website-Betreibern daher eine Möglichkeit, ihre Internet-Auftritte vor entsprechenden Hacker-Attacken wirksam zu schützen und eventuell auf ihren Seiten platzierten Schadcode schnell aufzuspüren. Die weltweit etablierten Lösungen – darunter StopTheHacker, Comodo HackerProof, der GeoTrust Web Site Anti-Malware Scan und Comodo HackerGuardian PCI-Scan – setzen dabei auf ausgefeilte teils Machine Learning (ML)- und Artificial Intelligence (AI)-Technologien. Einfach in den eigenen Web-Auftritt implementierbar und hochgradig konfigurierbar, detektieren sie durch permanente Scans nicht nur Sicherheitslücken sondern sogar bis dato unbekannte Schadsoftware zuverlässig. Im Falle einer Hacker-Attacke oder von Manipulationen an der Seite schlagen die Cloud-basierten Lösungen sofort Alarm und unterstützen den Website-Betreiber dabei, festgestellte Sicherheitslücken zu schließen.

Mit unseren Malware- und PCI-Scans sind Website-Betreiber auf der sicheren Seite und schützen ihre Reputation sowie Umsätze nachhaltig. Ihnen gelingt es zugleich den hohen PCI-Sicherheitsstandards der Kreditkartenindustrie zu entsprechen. Ein Trust Seal, das einfach in den eigenen Internet-Auftritt eingebunden werden kann, unterstützt Website-Betreiber als reputationsfördernde Maßnahme zugleich dabei, die ergriffenen Schutzmaßnahmen den eigenen Nutzern und Kunden zu visualisieren.

Weitere Informationen unter www.psw.net

Related posts:

1. Infiltration durch Hacker: Die eigene Website mit Anti-Malware Scans aus der Schusslinie bringen
2. Website Anti-Malware Scans schaffen Vertrauen und schützen die Reputation von Unternehmen
3. Wenn die eigene Website auf der Blacklist landet: PSW bietet Hilfe für Betreiber infizierter Seiten

Der komplette SHA2-Zertifizierungspfad ist verfügbar bei allen Zertifikaten von GlobalSign und bei organisationsvalidierten Zertifikaten von Comodo. Bei Zertifikaten der Symantec-Gruppe erfolgt einzig die Unterzeichnung des Endpunktzertifikats mit SHA2.

Bei SHA handelt es sich um eine Gruppe standardisierter kryptologischer Hash-Funktionen. Sie dienen im Rahmen digitaler Signaturen zur Berechnung eines eindeutigen Prüfwerts für digitale Daten beziehungsweise Nachrichten. Dieser Wert wird zur Gewährleistung der Integrität einer Nachricht herangezogen. Aufgrund der Kollisionssicherheit von SHA soll es praktisch unmöglich sein, dass zwei verschiedene Nachrichten denselben Prüfwert aufweisen. Ein Abgleich der Prüfwerte liefert somit Aufschluss darüber, ob eine Nachricht während der Übermittlung manipuliert worden ist. SHA2 gilt dabei als die dritte Generation des Secure Hash Algorithm und fasst die jüngsten Weiterentwicklungen von SHA1 zusammen.

Letztere waren notwendig geworden, nachdem die Vorgänger-Generation im Rahmen von Kollisionsangriffen Schwächen offenbarte. Das National Institute of Standards and Technology (NIST), das federführend an der SHA-Entwicklung beteiligt ist, empfiehlt ausdrücklich den Übergang von SHA1 zu Hash-Funktionen der SHA2-Familie. Zu ihr zählen die Varianten SHA-224, SHA-256, SHA-384 und SHA-512. Die angefügte Zahl gibt dabei jeweils die Länge des Hash-Werts in Bit an. Die SHA-256-Zertifikate sind die SHA2-Zertifikate, die ab sofort von uns angeboten werden.

Weitere Informationen unter www.psw-group.de

Related posts:

1. PSW GROUP bietet Zertifikate vom SSL-Pionier Thawte zu noch günstigeren Konditionen
2. PSW GROUP bietet Hash-Verfahren als Alternative für die Validierung von SSL-Zertifikaten
3. PSW GROUP optimiert auch Comodo- und Symantec-Zertifikate für SNI-Einsatz in der Cloud

Während GlobalSign-Zertifikate bereits SNI unterstützen, sind die SSL-Zertifikate von Comodo und Symantec noch nicht fit für das Protokoll. Als Reaktion auf dieses Problem bieten wir allen Administratoren, die auf die SSL-Verschlüsselung mittels Comodo- und Symantec-Zertifikate vertrauen und auf den Einsatz von SNI dennoch nicht verzichten wollen, eine Lösung. Bei der Bestellung von organisations- (OV) und erweitert validierten (EV) Einzelzertifikaten von Comodo- und Symantec erhalten Sie zusätzlich ein domainvalidiertes Multidomainzertifikat. Das Multidomainzertifikat umfasst alle einzeln zertifizierten Hostnamen, die unter der SNI-IP-Adresse betrieben werden sollen.

Der Clou: Mit dem Multidomainzertifikat wird eine Default-Website ausgestattet, auf die die Nutzer von SNI-inkompatiblen Browsern und Clients umgeleitet werden. Während die anderen Nutzer die passende SNI-Website mit dem jeweiligen individuellen Zertifikat angezeigt bekommen, ermöglicht die Default-Website für sie einen fehlerfreien SSL/TLS-Handshake und die anschließende fehlerfreie Anzeige der korrekten Inhalte. Mit diesem speziellen Service und der besonderen Herangehensweise liefern wir Administratoren – insbesondere Cloud-Dienste-Anbietern – einen echten, gangbaren Ausweg aus dem bisherigen SNI-Dilemma. Sie können fortan das neue Protokoll mit all seinen Vorzügen endlich nutzen, ohne Gefahr zu laufen, einen Teil der Nutzerschaft von einer wirksamen SSL-Verschlüsselung auszuschließen.

Weitere Informationen unter www.psw-group.de

Related posts:

1. PSW GROUP erweitert Security Signing Solutions um S/MIME kompatible PGP-Produktpalette von Symantec
2. PSW GROUP bietet Zertifikate vom SSL-Pionier Thawte zu noch günstigeren Konditionen
3. SSL-Zertifikate aus Europa: PSW GROUP erweitert Produktportfolio um Lösungen der europäischen Zertifizierungsstelle SwissSign

Die kostengünstige Preisgestaltung – basierend auf ein Abo-Modell mit niedrigen Jahresgebühren – spricht ebenso für den Einsatz des GeoTrust Enterprise Security Center wie die unter anderem daraus resultierende noch nie dagewesene Flexibilität und Agilität beim SSL-Zertifikatsmanagement.
Mit dem GeoTrust Enterprise Security Center sind Sie stets im Besitz gültiger Zertifikate, denn je mehr Zertifikate Sie verwalten müssen, desto größer ist die Gefahr, dass Sie verpassen, auslaufende Zertifikate rechtzeitig zu erneuern. Das GeoTrust Enterprise Security Center warnt Sie in solchen Fällen nicht nur rechtzeitig, sondern ermöglicht es Ihnen, das betreffende Zertifikat per einfachen Klick zu erneuern.

Selbst wenn Sie Zertifikate bereits zentral verwalten, kann es sehr zeitraubend sein, für jedes einzelne SSL-Zertifikat eine eigene Bestellung anzustoßen. Gerade bei erweitert validierten Zertifikaten müsste der Validierungsprozess für jedes Zertifikat einzeln durchgeführt werden. Das GeoTrust Enterprise Security Center automatisiert daher die entscheidenden Prozesse rund um die Zertifikatsbeantragung und -erneuerung.

Zeit ist Geld – denn mit steigender Anzahl an zu verwaltenden Zertifikaten steigt nicht der bürokratische Aufwand sondern auch die Verwaltungskosten. Das GeoTrust Enterprise Security Center bildet daher alle wesentlichen Verwaltungsroutinen über den gesamten Lebenszyklus eines SSL-Zertifikats ab, vereinfacht das Management und hilft so Kosten zu senken.

Weitere Informationen unter: www.psw-group.de

Related posts:

1. Kompatibilitätsprobleme zwischen neuestem Cisco AnyConnect Secure Mobility Client und Thawte SSL-Zertifikaten
2. PSW GROUP bietet Hash-Verfahren als Alternative für die Validierung von SSL-Zertifikaten
3. PSW GROUP springt TC TrustCenter-Kunden nach angekündigtem Verkaufsstopp von Zertifikaten zur Seite

Vor diesem Hintergrund setzt sich die EFF vornehmlich für sichere Kommunikation und Datenschutz im weltweiten Datennetz ein. Im Fokus unseres Engagements bei der EFF wird daher auch das HTTPS Everywhere-Projekt der Bürgerrechtsorganisation stehen. Dabei handelt es sich um ein Browser-Plugin für Firefox und Google Chrome, das die Web-Kommunikation automatisch über geschützte SSL-Verbindungen abwickelt. Internet-Nutzer, die auf HTTPS Everywhere zurückgreifen, surfen grundsätzlich verschlüsselt, tauschen ihre Daten somit sicher per HTTPS-Protokoll mit allen Websites aus und verhindern so effizient, dass diese von unbefugten Dritten abgefangen und mitgelesen werden.

Daher begrüßen wir auch, dass die Internet Engineering Task Force (IETF) die HTTPS-Sicherung HTTP Strict Transport Security (HSTS) nun auch als Internet-Standard veröffentlicht hat. Mit dem Protokoll, das sich gegen Attacken auf SSL-geschützte Websites richtet, sind Web-Server in der Lage vorzugeben, dass die Kommunikationen zwischen Browser und Website nur verschlüsselt erfolgt. So wird der mögliche Aufbau unverschlüsselter Verbindungen verhindert. HSTS adressiert damit dasselbe Problem wie das von uns unterstützte HTTPS Everywhere-Projekt der EFF.

Weitere Informationen unter www.psw.net und www.eff.org

Related posts:

1. PSW GROUP optimiert auch Comodo- und Symantec-Zertifikate für SNI-Einsatz in der Cloud
2. PSW und Signtrust machen Unternehmen gemeinsam fit für die digitale Unterschrift und eVergabe
3. Neuer Firefox 23 blockiert gemischte Inhalte: SSL-gesicherte Websites schon jetzt auf „Aurora“ vorbereiten