Hacking MFA & Privilege Escalation: Help-Desk-Agent zu Domain Administrator in 3 Minuten

By |2019-03-19T09:58:24+00:0011 / 03 / 2019|BLOG|

MFA Basics MFA (Multi-Factor-Authentication) erfordert bei der Authentifizierung eines Benutzers nicht nur einen Faktor (zum Beispiel ein Passwort) sondern einen zweiten oder sogar mehrere Faktoren. Gängige Beispiele sind OTP (One Time Passwords) die von einem Token generiert werden, oder Smart Cards. Man spricht hierbei von mehreren Faktoren in folgender Form: Passwort: Etwas, das ich [...]

Bilanz nach sechs Monaten DSGVO: Datenschutzbeschwerden nehmen zu

By |2019-02-12T18:04:20+00:0007 / 02 / 2019|BLOG|

Seit Inkrafttreten der DSGVO vor über sechs Monaten nehmen Bürger das Recht zum Schutz ihrer persönlichen Daten verstärkt wahr. In Deutschland meldeten die Ausfichtsbehörden deutlich mehr Zuschriften, als noch vor dem Mai 2018. Das zeigt nun ein Bericht der Datenschutzbehörde. Innerhalb des letzten halben Jahres hat die Anzahl der Beschwerden beim "Bundesbeauftragten für den Datenschutz [...]

Namen von 14.000 HIV-Patienten online gestellt: Datenlecks im Healthcare-Bereich häufen sich

By |2019-02-12T18:05:00+00:0029 / 01 / 2019|BLOG|

In Singapur wurden durch ein Datenleck die Namen und weitere persönliche Angaben von mehr als 14.000 HIV-infizierten Personen im Internet veröffentlicht. Unter den Betroffenen befinden sich auch über 8.800 ausländische Patienten. Die Daten wurden von einem US-Amerikaner gestohlen und ins Internet gestellt. Der Mann kam durch seinen ehemaligen Partner, der zwischen März 2012 und [...]

HR-Daten nutzen, um unerlaubte IT-Zugriffe zu verhindern

By |2019-03-11T10:12:12+00:0007 / 01 / 2019|BLOG|

Wie funktioniert das? Ein Thema, das bei Identity Management Projekten mit tenfold (gerade bei Kunden mit mehr als 500 Arbeitsplätzen) immer wieder aufkommt, ist der Wunsch, Benutzerdaten automatisiert aus Personaldatenbanken (SAP HCM usw.) übernehmen zu können. Dabei sollen Personen nicht manuell in tenfold eingegeben, sondern über eine Schnittstelle automatisch übertragen werden, sobald sie im [...]

Mit Rezertifizierung bringen Sie Ordnung in Ihre Berechtigungslandschaft

By |2019-02-19T09:29:24+00:0003 / 01 / 2019|BLOG|

Während es für die Vergabe von Zugriffsberechtigungen in vielen Unternehmen einen strukturierten Prozess gibt, wird das Entfernen veralteter Rechte gerne vergessen. Genau aus diesem Grund findet man in Organisationen oft eine chaotische Berechtigungslandschaft: Abteilungswechsel, Firmen-Austritte und die Vergabe von Sonderrechten führen dazu, dass Unternehmen die Kontrolle über die Zugriffsrechte ihrer IT-Nutzer verlieren. Nicht umsonst [...]

Sicherheitslücke: Der VPN-Zugang, der vergessen wurde

By |2019-02-21T15:54:05+00:0018 / 12 / 2018|BLOG|

Es begann mit einem alltäglichen Vorgang... Gerhard, Mitarbeiter in der Entwicklungsabteilung eines mittelständischen Unternehmens, muss aus familiären Gründen einige Wochen aus dem Home Office arbeiten – eine Option, die das Unternehmen standardmäßig eigentlich nicht anbietet. Da es sich bei Gerhard allerdings um einen langjährigen und verdienten Mitarbeiter handelt, wird eine Ausnahme gemacht: Die IT-Abteilung [...]

Fehlerhaftes Berechtigungsmanagement: 400.000 Euro Strafe für DSGVO Verstoß in Portugal

By |2019-02-12T18:06:20+00:0018 / 12 / 2018|BLOG|

In Portugal droht dem Krankenhaus Barreiro Montijo ein Bußgeld wegen eines Verstoßes gegen die Datenschutzgrundverordnung. Die örtliche Datenschutzbehörde CNPD hat europaweit die erste beträchtliche Geldstrafe von € 400.000,- verhängt. Unbefugter Zugriff auf personenbezogene Daten Das Krankenhaus hat zugelassen, dass Techniker im IT-System sensible Patientendaten einsehen können, die nur für Ärzte zugänglich sein sollten. Darüber hinaus [...]

Berechtigungsmanagement: Warum Integration der entscheidende Erfolgsfaktor ist

By |2019-02-12T18:09:30+00:0024 / 09 / 2018|BLOG|

Was ist Gesetz? Nicht zuletzt die neue EU-DSGVO hat bei vielen Unternehmen für einen Innovationsschub in der IT-Sicherheit gesorgt. Unter den zahlreichen Maßnahmen, die es umzusetzen gilt, findet sich auch immer wieder das Thema Benutzer- und Berechtigungsverwaltung. Im Rahmen der Zugriffskontrolle geht es darum, unerlaubte Zugriffe auf IT-Systeme außerhalb der Möglichkeiten der [...]

Listrechte und Access Based Enumeration

By |2019-02-12T18:09:59+00:0016 / 07 / 2018|BLOG|

Vorgehensweise, bevor es ABE gab Berechtigungen benötigt man auf dem Fileserver, damit man steuern kann, welche Benutzer Zugriff auf welche Daten erhalten sollen. Um den Zugriff granular zu regeln, gibt es bei Microsoft unterschiedliche Stufen des Zugriffs: Ordnerinhalt auflisten, Lesen und Ausführen, Ändern und so weiter. Bis Windows Server 2008 musste man grundsätzlich [...]

Vier Punkte, die Sie bei der Auswahl einer Berechtigungsmanagement Software berücksichtigen müssen

By |2019-02-12T18:10:31+00:0007 / 06 / 2018|BLOG|

IT-Systeme Eine Berechtigungsmanagement Software muss alle wichtigen IT-Systeme einbeziehen.  Dazu gehören auf der einen Seite wichtige Kernsysteme wie Active Directory und Systeme die darauf aufbauen und in denen Berechtigungsmanagement eine Rolle spielt: Freigaben (Netzwerk-Shares), Exchange, SharePoint oder Citrix. Bei vielen Anwendungen werden aber Benutzer und Berechtigungen in einer zusätzlichen, eigenen Benutzerdatenbank verwaltet. Diese Benutzerkonten und Berechtigungen [...]