Monat: Oktober 2022   2022   8 Ergebnisse

Inhaltsverzeichnis
  1. Wirtschaftsschutz Innenministerium NRW 2
  2. Abmahnwelle wegen Google-Fonts Remote 3 - 4
  3. Libreoffice 7 Sicherheitslücke 5
  4. Windows 11 Hardwarevoraussetzungen nicht erfüllt 6
  5. Ende der Sicherheitsupdates Server 2012 R2 7 - 9
  6. Fortinet Firewalls 10
  7. PDF24 Creator sinkt in Bewertung 11 - 12
  8. Erneut Zero-Day Lücken in Exchange - Update 13

Wirtschaftsschutz Innenministerium NRW

Anlässlich der Fachtagung von Raiffeisenverband Westfalen-Lippe und der genobit (Tochtergesellschaft des Genossenschaftsverband Weser-Ems e.V) waren zwei Mitarbeitende des Innenministeriums NRW zu Gast, die einen Vortrag über IT-Sicherheit in Unternehmen aus Sicht der Fachabteilung Wirtschaftsschutz präsentiert haben.

Zunächst wurden die Aufgaben der Fachabteilung erläutert, dann anhand zahlreicher Vorfälle und Praxisbeispiele aktuelle Gefahren und Präventiv-Maßnahmen aufgezeigt. Neben dem interessanten Vortrag war das Highlight, dass das Ministerium kostenlose Vortrags- und Workshop-Angebote für Zielgruppen von Auszubildenden über Personal bis zur Geschäftsleitung anbietet. Kontaktdaten hierzu im Kasten weiter unten.

Auch die weiteren Vorträge aus Sicht von Datenschutz- und IT-Spezialisten der genobit und Verbandsprüfern waren kurzweilig und informativ aufbereitet. Im Schwerpunkt ging es um die aktuellen Fassungen des BSI-Grundschutz-Kompendium und aktuelle Vorkommnisse im Rahmen der Datenschutz-Grundverordnung . Für die Teilnehmenden ein erfolgreicher Tag bei der GWS in Münster.

Die Angebote des Ministeriums stehen selbstverständlich für alle Unternehmen zur Verfügung, nicht nur für die o.g. Teilnehmenden. Wenden Sie sich gern an die untenstehenden Kontaktpersonen.

Ministerium des Innern des Landes Nordrhein-Westfalen
Wirtschaftsschutz
E-Mail: wirtschaftsschutz@im1.nrw.de
im.nrw/wirtschaftsschutz

Quelle: Informationsblatt des Wirtschaftsschutz NRW

Abmahnwelle wegen Google-Fonts Remote

Mit Urteil des Landgerichts München vom 20.01.2022 (Az: 3 O 17493/20) wurde die Rechtswidrigkeit der Einbindung von Google-Fonts durch Aufruf von externen Seiten festgestellt. Mit Aufruf der Website wird durch das Laden der Google-Fonts eine Verbindung zu US-Servern von Google aufgebaut und die IP-Adresse des Besuchers übermittelt.

Da eine Einbindung der Google Fonts oftmals auch bei der Anzeige des „Cookie-Banners“ und bei inhaltsleeren Fehlerseiten (z.B. gelöschte Seiten o.ä.) erfolgt, bleibt die Einbindung trotz Überprüfung gerne zunächst unentdeckt, womit die automatische Übermittlung der IP-Adresse des Besuchers daher gegen die DSGVO verstoßen kann. Details kann Ihnen hierzu ein Fachanwalt für IT-Recht oder Ihr Datenschutzbeauftragter erläutern.

Leider machen sich einige Abmahnanwälte diese Verstöße mit Massen-Abmahnungen zu Nutze und verschicken automatisiert Zahlungsaufforderungen in Höhe von rund 200 €.

Update 21.12.2022: Die beiden Abmahnanwälte, die mehr als 2.000 Abmahnungen verschickt haben, sind nun selbst angeklagt und verurteilt worden (wegen Abmahnbetrugs). In der Begründung der Staatsanwaltschaft Berlin wurde festgestellt, das die Suche nach Webseiten mit verlinkten Google Fonts durch eine Software durchgeführt werden. Da ein Datenschutz-Verstoß nicht gegen Programme, sondern nur gegen natürliche Personen wirksam sind, waren die Abmahnungen in betrügerischer Absicht.
Ungeachtet dieser Massenabmahnung sollten Sie Google Fonts und andere „Open-Source“ Bibliotheken ausschließlich auf dem eigenen Webauftritt betreiben (also keine externen Links setzen).

Schutz-Maßnahmen

Keine Befürchtungen im Fall einer entsprechenden Abmahnung müssen Sie haben, wenn Sie entweder keine externen Fonts in Ihrem Internetauftritt eingebunden haben oder die Google-Fonts lokal über ihren in Deutschland gehosteten Webserver mit ausliefern.

Das können Sie stichprobenartig einfach prüfen, indem Sie Ihre Internetseite aufrufen und dann im Chrome oder Edge die Taste {F12} drücken. Im Register „Quellcode“ erscheint dann links eine Liste der Quellen, aus denen Ihre Seiten die Daten beziehen. Taucht dort nur die eigene Domain auf, reduziert sich das Risiko einer Abmahnung signifikant. Alternativ rufen Sie von Ihren Seiten und Unterseiten „Seitenquelltext anzeigen“ auf und suchen darin nach „fonts“ oder „google“.

Auf diesen Seiten verwenden wir beispielsweise keine externen Quellen für Google-Fonts, Avatare, Emojis und andere Darstellungs- oder Programmcode-Elemente. Mehr dazu in unserer Datenschutzerklärung.

WordPress

Da mittlerweile rund 64,3% {Quelle: de.statista.com, Oktober 2022} aller Internet-Auftritte die Plattform „WordPress“ verwenden, gibt es zahlreiche empfohlene Maßnahmen, die externen Verbindungen zu kappen, bzw. auf die eigene Seite zu verlagern. Für mehr Details lassen Sie sich bitte von Ihrer Medienagentur oder Ihrem Webdesigner in Abstimmung mit Ihrem Datenschutzbeauftragten und Fachanwalt beraten.

Libreoffice 7 Sicherheitslücke

Die meisten Firmen setzen auf die Standardlösung: Microsoft 365 (oder Microsoft Office). Dabei ist man nur bei der Miet-Variante mit bester Sicherheit und schnellen Updates versorgt. Bei den Kaufvarianten (z. B. Office 2021 Home & Business) gibt es weder effizienten Makroschutz, noch neue Funktionen und Sicherheitsupdates nur alle 4 Wochen am Patchday. Diese wiederum kann man dann auch nicht zentral verteilen.

Ungeachtet davon setzen einige von Ihnen Libreoffice (oder zumindest den Writer davon) ein, um ausfüllbare PDF-Formulare zu erstellen (Meines Wissens die einzige kostenlose Software, die das kann).

Wenn Sie Libreoffice in Ihrem Software-Inventar finden, aktualisieren Sie bitte auf die Version 7.4.2.3 (bestenfalls in der x86_64 Variante). Ansonsten kann durch simplen HTML-Code, der ein einem Dokument ist, Schadcode auf die Zielsysteme eingeschleust werden. Libreoffice hat leider keinen automatischen Updater integriert, daher ist die Aktualisierung von Hand vorzunehmen.

Makros und Sicherheitslücken in Makros gibt es nicht nur in Microsoft Office, sondern auch in Libreoffice!

https://www.libreoffice.org/about-us/security/advisories/cve-2022-3140/

Windows 11 Hardwarevoraussetzungen nicht erfüllt

Lansweeper, ein Hersteller von IT Asset Management (ITAM) Software hat jüngst eine Analyse veröffentlicht, bei der etwa 27 Millionen Geräte in 60.000 Unternehmen ausgewertet wurden, ob sie für Windows (Pro, Enterprise, Business) geeignet sind. Dabei kam heraus, dass 42,76 Prozent nicht geeignet sind und ersetzt werden müssten.

Da nicht zu erwarten ist, dass in den nächsten Monaten oder mittelfristig über 11,5 Millionen PCs in Unternehmen ersetzt werden, wird Microsoft sich eine andere Strategie überlegen müssen, um Windows marktführend auf Endgeräten im Betriebssystemmarkt zu behaupten.

Wir empfehlen weiterhin, vorhandene PCs UND neu angeschaffte Windows Endgeräte mit Windows 10 Pro zu bestellen (die namhaften Hersteller bieten das nachwievor an) oder nach dem Auspacken mit dem Downgraderecht und Windows 10 Pro neu zu installieren. Eine „Neubetankung“ bietet bei der passenden Vorlage die Möglichkeit, das Endgerät von unnützem und werbe-la(ä)stigem Inhalt zu befreien.

Best practice

Lesen Sie dazu auch unseren Artikel zu Windows 11.

Ende der Sicherheitsupdates Server 2012 R2

Der 10. Oktober 2023 ist der letzte „Patchday“, an dem Microsoft für sein Server-Betriebssystem „Windows Server 2012 R2“ ausrollt. Danach ist mit mehr oder weniger kritischen Sicherheitslücken zu rechnen, die nicht mehr geschlossen werden. Diese Server sind dann – nicht nur als Terminalserver – angreifbar und werden von Kriminellen genutzt werden, um Schadsoftware zu installieren und Daten- und Identitätsdiebstahl zu betreiben.

  Jukebox    gru-alarmsound2
seit Di. 10. Okt. 2023, 00:00:00   vor 2 Jahren  
Oktober 2023
MODIMIDOFRSASOKw
1
39
2
3
4
5
6
7
8
40
9
10
11
12
13
14
15
41
16
17
18
19
20
21
22
42
23
24
25
26
27
28
29
43
30
31
44

Bin ich betroffen?

Server 2012 R2 sind in der Regel erkennbar an der türkisfarbenen Taskleiste mit Startknopf links und dem bildschirmfüllenden Startmenü, das auch unten links den Startknopf hat:

Windows Server 2012 R2 Taskleiste

Um herauszufinden, ob Sie noch Server 2012 im Einsatz haben und wie viele mit welcher Software, empfehlen wir unsere IT-Dokumentation. Diese liefert Ihnen nicht nur die 2012er Server, sondern auch ein komplettes Software und Hardware-Inventar und einer IST-Aufnahme nach BSI-Standard 200-1.

Soll die IT-Dokumentation für die Verbandsprüfung oder zur Dokumentation für Versicherungen genutzt werden, empfiehlt sich der IT-Sicherheitscheck, der Ihnen ein Testat nach dem BSI-Standard 200-1 und IDW PS330 liefert. Er wird durch einen TÜV-zertifizierten IT-Security Manager und -Auditor ausgeführt.

Kontaktieren Sie mich gern bei Fragen oder zur Beauftragung über das Kontaktformular des Syskoportals.

Was kann ich tun?

  • Neuinstallation der Programme auf Server 2019 bzw. 2022 und Umzug der Daten und Programme sind empfehlenswert. Server 2016 ist auch möglich, die Sicherheitsupdates enden hier aber bereits im September 2025 – also nur zwei Jahre später.
  • Bei Verwendung der Server On-Premises müssen dazu meist neue CALS und teure Server-Betriebssystem-Lizenzen (meistens in der Datacenter-Edition) angeschafft werden. Nur wenn Sie Ihre VM-Hosts bereits mit einer Server 2019 oder neuer Lizenz angeschafft haben, ist die Migration auf eines der Betriebssysteme ohne weitere Lizenzkosten. Das gilt auch nur dann, wenn die Windows Server CALS ebenfalls auf eins der neueren Betriebssysteme lauten. Zusätzlich müssen bei Terminalservern die RDS-CALs zum neuen Betriebssystem passen – ansonsten neu angeschafft werden.
  • Wenn Sie die betroffenen bereits in Microsoft Azure (IaaS) betreiben, können Sie auf den Server 2012 Betriebssystemen noch weiter drei Jahre Updates installieren, da im Rahmen der Cloud-Miete die sonst kostenpflichtigen ESU Updates bezogen werden können. Eine Modernisierung ist dennoch empfehlenswert, um die Update-Handlungen zu vereinheitlichen. Zumal nur Dienstleistungs- und keine Lizenzkosten dafür anfallen.

Ich habe meine Server On-Premises – wie komme ich in die Cloud?

Beauftragen Sie den Cloud Readiness Check und wir prüfen, welche Schritte notwendig und angezeigt sind, um hochpreisige Hardware-Neuanschaffungen und immer kürzeren Software-Updates Zyklen zu begegnen.

Ihr Ansprechpartner ist Andreas Lübke. Gern können Sie sich auch an die Kontaktpersonen in Ihrer Business Unit wenden.

FAQ

    Sortierung
1. Woran erkenne ich Server 2012 R2

An der türkisfarbenen Taskleiste mit Startknopf links oder nach Eingabe von Winver – oder Sie beauftragen eine IT-Dokumentation oder den IT-Sicherheitcheck

2. Sind Server in Azure betroffen

Nein, da für die die ESU-Updates gelten. Trotzdem ist eine Migration auf Server 2019 (mindestens 2016) empfohlen

3. Kann ich meine Server in die Cloud migrieren

Der obligatorische Cloud-Readiness Check beantwortet alle Erfordernisse

4. Kann ich ESU einzeln kaufen bei Microsoft?

Nein, ESU steht nur Enterprise-Kunden und Cloud-Kunden von Microsoft zur Verfügung. Für die Verwendung On-Premises ruft Microsoft sehr hohe monatliche Gebühren pro Server bzw. Endgerät auf.

5. Sind Windows Endgeräte auch betroffen?

Sofern Sie noch Rechner mit Windows 8.1 (Pro) im Einsatz haben, sind bereits jetzt einige Softwareprodukte nicht mehr darauf lauffähig. Ein Upgrade auf Windows 10 Pro (ja, wir raten weiterhin von Windows 11 Pro ab!) ist empfehlenswert. Da solche Rechner meist 8-10 Jahre alt sind, am besten kombiniert mit Austausch der Hardware

Fortinet Firewalls

Kein Produkt, das wir unterstützen – dennoch kommen Fortinet #Drittanbieter Firewalls häufiger im beobachteten Umfeld (auch als Azure vpn Gateway) vor. Aktuell haben die Fortigate Firewalls und Proxies von Fortinet einige kritische Sicherheitslücken, die es Angreifern ermöglicht, aus der Ferne Zugriff auf die Admin-Oberfläche der Firewalls zu erlangen. Fortinet stuft die Sicherheitslücke als kritisch ein und vergibt einen CVSS-Score von 9.6/10.

Wer ein Fortinet-Produkt administriert, sollte den Fortinet Oktober-Patchday nicht abwarten. Die sind in FortiOS 7.0.7, 7.2.2, in FortiProxy 7.0.7 und 7.2.1 und in allen neueren Versionen behoben. Ist ein Update kurzfristig nicht möglich, so können Admins einen Workaround einspielen, den Fortinet seinen zahlenden Kunden im Support-Dokument CSB-221006-1 beschreibt.

Da in modernen Azure Umgebungen mit Azure Virtual Desktop statt RDS- oder Citrix-Terminalservern eine On-Premises Firewall nicht ausreicht und erst eine CloudGen-Firewall mindestens der zweiten Generation zu einer guten Absicherung führt, empfehlen wir die Barracuda-Produkte. Diese sind Cloud-zertifiziert und praxiserprobt und bieten einen gemanagten, umfassenden Schutz mit hohem Wirkungsgrad.

Die von unserem Partner NetGo vermarkteten und betreuten Firewalls setzen zudem das sog. TINA Protokoll ein, dass bei Einsatz von Backup-Geräten (z. B. einem LTE-Router) automatisches Fallback und automatisches Fall-Forward auf die Hauptleitung bietet. Fragen Sie gern die Kollegen aus unserem Vertriebsteam Cloud&Technologies für Details. Im Rahmen unseres Cloud-Readiness-Checks erhalten Sie zudem ein Firewall-Konzept.

Unser Firewall-Partner, die NetGo berät Sie hier gern

PDF24 Creator sinkt in Bewertung

[Update 08.06.2024] – es gibt wieder eine aktuelle 9.x Version in 64-Bit und ohne Java/Webview). Seit Version 11.2 stellt der Hersteller der beliebten PDF-Drucker-Software (die mit dem Schaf) einige der in der GUI integrierten Funktionen auf JAVA um. Bis Version 11.1.0 konnte man das JRE- Unterverzeichnis (rund 200 MB), den WebView2-Ordner (rund 400 MB) löschen und viele Funktionen wie die Datei-Tools (im Prinzip alles außer der Toolbox, die für die meisten Nutzer im Umfeld unserer Redaktion keine nennenswerten Zusatzfunktionen enthielt) trotzdem nutzen.

Update mit Version 11.10.0: Nun kann man Webview2 bei der Installation abwählen. Ist diese Komponente bereits in Windows aktiv, wird diese verwendet. Das hat den Vorteil, dass die Installation von Microsoft automatisch aktualisiert wird und die Installationsdateien des Edge Browsers verwendet. Es gibt somit keine doppelten Bibliotheken mehr im System. Liebe Entwickler von Creator: Jetzt braucht Ihr nur noch JAVA ebenfalls optional zu machen. Wenn man JAVA abwählt, muss die Verbinden-Funktion wieder QPDF verwenden und am Besten das Toolbox Symbol ausgeblendet werden. Dann habt Ihr auch wieder die Gunst aller Anwender, die so ticken die Redaktion – und unsere 10 Punkte Bewertung wieder.

Seit Version 11.2 wird auch für Funktionen wie die Datei-Tools JAVA genutzt. Löscht man den enthaltenen JRE-Ordner, muss nun Adoptium Temurin JAVA Runtime 19/64-Bit installiert sein und alle drei Monate von Hand aktualisiert werden. Immerhin funktioniert OpenJDK (Adoptium Temurin) und es muss kein lizenzpflichtiges JAVA von Oracle sein. Gleiches gilt für die WebView2 Engine – und das obwohl Microsoft diese, wenn Edge installiert ist, aus demselben Ordner wie den Browser nimmt. Mit PDF24 Creator kommt also nochmal eine Webview Runtime auf das System, die nicht im Rahmen des Browsers automatisch aktualisiert wird.

PDF24Creator auf TerminalServern bzw. in AVD-Umgebungen automatisiert auf dem aktuellen Stand zu halten ist eine besondere Herausforderung und funktioniert ohne Profiwerkzeuge eher mäßig.

Stattdessen die Version 9.x (die noch nicht diesen mächtige Overhead der beiden Runtimes enthielt), ist keine Alternative, da erst mit Version 10 die echte 64-Bit-Umgebung und Bereinigung der 32-Bit-Registry-Einträge erfolgte.

Wer den PDF24-Creator als schlankes Werkzeug zum Zero-Click PDF-Erstellen beim Drucken verwenden möchte und aus der GUI alle Funktionen inklusive verbinden von Dateien, Extrahieren einzelner Seiten, Web-Optimierung, Bilder extrahieren und nicht die Toolbox benötigt, bleibe bitte bei Version 11.1.0.0 und behalte das Changelog im Auge, ob künftige Versionen Sicherheitslücken schließen. Ist das der Fall, wird man ein Riesen-Trümmer zum PDF erstellen auf Rechnern (oder Terminalservern) haben oder sich nach was Anderem umsehen müssen.

Version 11.1.0 kann hier beim Hersteller heruntergeladen werden.

Dieser Artikel ist ein Kommentar mit der Meinung der Redaktion

Erneut Zero-Day Lücken in Exchange - Update

Update vom 12.10.2022: Laut Microsoft wurden die untenstehenden Lücken mit einem aktuellen Patch für Exchange Server zum Oktober-Patchday bereitgestellt. sie sollten umgehend installiert werden. Leider wurde zeitgleich eine weitere Sicherheitslücke bekannt. Für diese 0-Day-Lücke gibt es noch keinen Patch und sie ist ebenfalls kritisch. Der Exchange Server im eigenen Serverraum bleibt damit (vermutlich von Microsoft so gewollt, denn die Cloud-Lösung ist wieder einmal nicht betroffen) ein unsicheres Fahrwasser.

3.1: Wieder wurden in Servern 2013,2016 und 2019 entdeckt. Betroffen sind mit Sicherheit auch ältere Versionen – dafür werden aber keine Patches mehr bereitgestellt. Microsoft hat die Sicherheitslücken (CVE-2022-41040, CVE-2022-41082) bestätigt.

Hinweis: Die Online-Version im Rahmen von Microsoft 365 / Exchange online ist laut Microsoft nicht betroffen.

Da es aber für die Exchange Server Versionen 2013-19 noch keinen Patch gibt und die Lücken bereits von Kriminellen ausgenutzt werden, stellt Microsoft einen Notfall-Patch bereit, der unbedingt von Administratoren auf betroffenen Servern installiert werden sollten.

https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/

Microsoft Workaround gegen Sicherheitslücke und Anleitung

https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/

Erweiterte Anleitung, die Sicherheitslücke zu schließen, da der erste Fix nicht ausreicht