NIS2 – Sicherheits-Richtlinie ab Herbst 2024
Die NIS2 ist Nachfolger der NIS1 EU-Richtlinie und betrifft die Anforderung, gewisse IT-Sicherheitsstandards zu erfüllen, da ansonsten empfindliche Bußgelder verhängt werden. Während die derzeit in deutsches Recht umgesetzte NIS1 nur große Unternehmen und Firmen im Bereich kritischer Infrastrukturen betraf, ist NIS2 auch auf mittelständische und kleine Unternehmen ausgeweitet. #Wichtig - So ist ein mittelständischer Betrieb mit mehr als 50 Mitarbeitern oder/und 10 mio Euro Bilanzsumme, der Lebensmittel produziert oder damit handelt oder mit Chemikalien (z.B. Pflanzenschutz) handelt, von der NIS2 betroffen. Die Umsetzung der EU-Richtline in deutsches Recht muss bis Mitte 2024 erfolgen - einen dritten Entwurf gibt es derzeit. Da dieser sich kaum von Entwürfen 1 und 2 unterscheidet, ist davon auszugehen, dass dieser in nationales Recht umgesetzt wird. Geplant war Juli 2024, im Moment liegt die Deadline bei September 2024. Wer ist betroffen? Zählt deren Branche zur kritischen Infrastruktur, sind auch Kleinunternehmen betroffen. Neu ist, dass auch für andere Geschäftszwecke Unternehmen, die mehr als 50 Personen beschäftigen und Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR übersteigt, unter die NIS2 fallen. Neu ist auch die Unterscheidung von "wesentlichen" (wie bisher KRITIS mit erweiterten Kriterien) und "wichtigen" Unternehmen. Die Einstufung hat Einfluss auf die Höhe der Bußgelder. mindestens 50 Mitarbeiterinnen und Mitarbeiternund einem Jahresumsatz/einer Jahresbilanz von über 10 Mio. Euround einer Tätigkeit aus den Folgenden: Herstellung, Produktion und Vertrieb von ChemikalienLebensmittelproduktion, -verarbeitung und -vertriebEnergie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)Produktion (Herstellung von Medizinprodukten, Maschinen, Fahrzeugen)Gesundheit (Gesundheitsdienstleister, EU Labore, Medizinforschung, Pharmazeutik, Medizingeräte)Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)Bankwesen (Kreditinstitute)Finanzmarktinfrastruktur (Handelsplätze)Digitale Infrastruktur (Internet-Knoten, Cloud Provider, Rechenzentren,…
Kategoriebild
WordPress und PHP Support
Viele große Provider wie IONOS und STRATO, all-inkl.com bieten im Web-Hosting die Möglichkeit, als Content Management-System #WordPress einzusetzen. Wer diese Plattform einsetzt, muss darauf achten, dass nicht nur WordPress und die installierten Themes und Plugins auf dem aktuellen Stand sind (das lässt sich bei unterstützten Plugins weitgehend automatisieren), sondern dass auch die eingesetzte PHP Version noch im offiziellen Support ist. Endet hier der Support-Zeitraum und man setzt die Version weiterhin ein, nehmen die meisten Provider eine hohe monatliche Service-Gebühr zusätzlich – da der Support für Sicherheitsupdates dieser alten Versionen auch bei PHP Geld kostet. Achten Sie darauf, dass Sie immer eine aktuelle PHP Version einsetzen. Support-Ende für Version 8.0 ist bereits Anfang Dezember 2023! Für Version 8.1 ein Jahr später und für Version 8.2 in gut 2 Jahren (Dez 2025). Stellen Sie Version PHP 8.2 in der Oberfläche Ihres Providers ein und prüfen, ob Ihre Designs und Plugin keine Fehler auswerfen. Stellen Sie die Datenbank von (Oracle) MYSQL auf die quelloffene MariaDB um. Diese wird häufiger aktualisiert und hat mehr kostenlose Möglichkeiten. Prüfen Sie, ob Ihre Designs und Plugins noch aktuelle Updates erhalten. Das funktioniert am einfachsten mit dem kostenlosen Plugin „Plugin-Report“. Für das Design (Theme) bitte auf der Theme-Website in wordpress.org nachsehen, wann hier das letzte Update war und ob es frei von Warnungen ist. Grundsätzlich ist es empfehlenswert, regelmäßig im Portal Ihres Web-Hosters nachzuschauen. So fordern die meisten Provider Sie aktuell auf (sofern diese noch nicht vorhanden ist), eine AVV zu schließen, die nach DSGVO vorgeschrieben ist. Diese…
Kategoriebild
Ghostscript kritische Lücke
Ghostscript ist eine Software, die von vielen Produkten eingesetzt wird, um PDF-Dateien zu erstellen, Wasserzeichen beizumischen oder Druckausgaben aufzubereiten. Die Sicherheitslücke CVE-2023-36664, CVSS 9.8 von 10, Risiko „kritisch“ erlaubt Codeschmuggel, d.h. es können bei Infektion von Systemen Schadprogramme darauf installiert werden. Betroffen sind auch zahlreiche Open-Source-Produkte, die AGPL Ghostscript „unter der Motorhaube“ zum PDF-Erstellen verwenden – wie PDF24, Libreoffice, Inkscape oder ImageMagick, einige Plugins von Paint.Net. Die Lücke wurde mit dem Update 10.01.2 geschlossen. Ältere Ghostscript Installationen oder Bestandteile von Programmen sollten umgehend auf den aktuellen Stand gebracht werden – sofern das möglich ist. #Wichtig – Sind noch alte Ghostscript Versionen im Einsatz (z.B. 8.6.2) ist vor dem Rollout an einzelnen Endgeräten und Servern zu prüfen, ob die Software (beispielsweise Microsoft Dynamics NAV 2009 R2) mit der Ghostscript-Versionen Wasserzeichen (Briefbögen) kompatibel ist. Dies können Sie nur selbst herausfinden, weil einige der Produkte keinen Hersteller-Support mehr haben. Entscheidend ist, bei 32-Bit Programmen (z.B. NAV 2009) NUR die 32-Bit Version von Ghostscript zu installieren, bei 64-Bit Software (z. B. ab NAV 2013, RTC oder Buinsess Central) ausschließlich die 64-Bit Version auf den Service Tiers. Betroffene Produkte können auch Signosign/2 von Signotec oder s.dok/sscan sein - hier muss zusätzlich ein Update der Software beim Hersteller angefragt und heruntergeladen werden, um Sicherheit und Kompatibilität herzustellen. Sicherheitsbulletin von Kroll.com
Kategoriebild