  | Diesen Newsletter im Web lesen | |  | Gefühlt sicher: Mythen und Irrtümer +++ Sicherheit richtig umsetzen +++ Marktübersicht: Elektronische Unterschrift +++ Blade-Server mit Raspi 4 +++ Dense Passage Retrieval: Neuronale Suche in Texten
|
| |
|
| Liebe Leserin, lieber Leser,
|
| kein Administrator nimmt heutzutage die IT-Sicherheit auf die leichte Schulter – doch schützen auch die beste Security-Software und klar definierte Policies nicht vor schlechten Implementierungen, Fehlkonfigurationen und dem berüchtigten Layer-8-Faktor. Titelautor und Sicherheitsexperte Frank Ully erklärt in dieser Ausgabe, woran es in der Praxis oft hakt und wie man es besser machen kann. Einen Überblick aller Themen der neuen iX finden Sie im Inhaltsverzeichnis der iX 6/2023.
| |
|
|
| |
|
|
| | | | Interview: Schluss mit dem Security-Zoo! | |
| |
| |
Frank Ully ist Head of Research der Oneconsult Deutschland AG in München. Er beschäftigt sich mit aktuellen Themen der offensiven IT-Sicherheit.
Moritz: Updates einspielen, Security-Software aktivieren und Richtlinien durchsetzen – warum genügt das nicht, damit sich Administratoren sicher fühlen können?
Frank: Patches und die anderen genannten Maßnahmen halten Angreifer nicht auf, wenn die Umgebung unsicher konfiguriert oder generell schlecht konzipiert ist. Die Gefahr von unsicheren Standardeinstellungen und selbst verursachten Fehlkonfigurationen sollten Admins nicht unterschätzen. Für Angreifer ist es oft einfacher, sich über eine unzureichende Konfiguration Zugang oder erweiterte Rechte zu verschaffen, als eine bestimmte patchbare Schwachstelle auszunutzen. Auch müssen alle Schutzmaßnahmen durchgängig implementiert werden.
Moritz: Viel hilft oft viel – und gerade bei der Sicherheit sollten Unternehmen nicht sparen, meinen Security-Anbieter. Stimmt das?
Frank: Nein. Viele Entscheider glauben den Einflüsterungen der Sicherheitsindustrie, ihr neuestes Produkt mit künstlicher Intelligenz wäre absolut unschlagbar. Damit schaffen sie sich einen Zoo an teuren Tools mit bunten Management-gerechten Grafiken, den niemand mehr überblickt und die Werkzeuge arbeiten gar nicht zusammen. Tools müssen eingerichtet, gewartet und mit anderen Maßnahmen verbunden werden. Sinnvoller wäre es, weniger Software – etwa den ohnehin vorhandenen Malwarescanner – zielgerichtet einzusetzen. Und mehr in die Weiterbildung der vorhandenen Mitarbeiter und in zusätzliche Kollegen zu investieren.
|
| |
|
|
| |
|
| |
|
|
| | Security-Experte Frank Ully (links) im Gespräch mit iX-Redakteur Moritz Förster.
|
|
| |
|
| |
|
| | | | Kleine Unternehmen verdrängen Gefahr meist | |
| |
| |
Moritz: Niemand kann alles perfekt machen. Aber ist das in kleinen Unternehmen überhaupt so dramatisch? Angreifer interessieren sich doch bestimmt eher für die großen Fische.
Frank: Verantwortliche und Admins neigen dazu, die Gefahr für das eigene Unternehmen zu verdrängen. Während sie auf Heise Security von den jüngst lahmgelegten Industrieunternehmen, Stadtverwaltungen oder Hochschulen lesen denken sie: „Uns trifft es eh nicht. Wir sind nicht wichtig und interessant genug.“ Aber diese Angriffe können jeden treffen. Jede Organisation hat IT im Einsatz, sei es eine Website, eine Kundendatenbank oder einfach ein paar vernetzte Rechner, an denen Mitarbeiter E-Mails lesen. KMU werden oft Zufallsopfer von massenhaften Eindringversuchen über Phishing oder ungesicherte, aus dem Internet erreichbare Systeme. Sie fallen solchen Angriffen wahrscheinlicher zum Opfer – denn sie haben weniger Personal und kaum Budget für kostspielige Security-Lösungen.
Moritz: Angreifer ticken anders – und wer weiß, wie Hacker denken, ist im Vorteil. Können Verteidiger das lernen?
Frank: Ja, wie Angreifer denken, können und sollten Verteidiger lernen. Der Microsoft-Mitarbeiter John Lambert hat dazu einen Blogbeitrag „Defender’s Mindset“ veröffentlicht, den ich in den Artikeln der neuen iX öfter zitiere. Er beschreibt etwa, dass Verteidiger oft in Listen denken und Angreifer in Graphen. Solange dies zutrifft, werden Angreifer die Oberhand behalten.
|
| |
|
|
| |
|
| |
|
|
| | | | Im Heft geschmökert: Empfehlungen der iX-Redaktion | |
| |
|
| |
| | Der Raspberry Pi hat sich als günstiger und vielseitig einsetzbarer Mini-Computer einen Namen gemacht. Doch taugt das Compute Module 4 auch als Server für professionelle Anwendungen? Der Hersteller Uptime Lab verspricht mit seinem neuen Blade-Server genau das, denn so passen ganze 22 der Systeme in ein 1U-Gehäuse. Im Test fühlt die iX-Redaktion dem kompakten Server auf die Schaltkreise und findet heraus, wie es um Energieeffizienz und Leistung bestellt ist – denn auch wenn der Stromverbrauch sensationell niedrig ist, muss dennoch die Performance stimmen.
– Sven Scharpe, iX-Redakeur
|
| |
|
|
| |
|
| |
|
| | Wer mit Java programmiert, sollte gerade dann, wenn es um Webanwendungen und Microservices geht, unbedingt das Framework Spring Boot für seine Projekte in Betracht ziehen. Seit der Veröffentlichung der ersten Version im Jahr 2014 haben sich sowohl der Funktionsumfang als auch die Performance von Spring-Boot-Anwendungen stetig verbessert. Das aktuelle Tutorial demonstriert, wie unter Spring Boot 3 eine Datenbank angewendet werden kann, um die Daten zu persistieren. Außerdem zeigt der spannende Artikel, dass dafür das selbst in Java implementierte, schlanke Datenbanksystem H2 besonders gut geeignet ist.
– Frank-Michael Schlede, iX-Redakteur
|
| |
|
|
| |
|
| |
| | | | iX-Workshops vorgestellt: Azure Active Directory | |
| |
|
| |
| | Im Tagesworkshop Azure Active Directory als zentralen Authentifizierungsdienst einrichten am 22. Juni lernen Sie, wie Sie das lokale AD Ihrer Domäne mit Azure AD, Microsofts Cloud-basierter Identitäts- und Zugriffsverwaltungsdienst, synchronisieren. Das Ziel dabei: eine zentrale, hochverfügbare und sichere Umgebung zur Authentifizierung und Autorisierung der Nutzer und Ressourcen in Ihrem Netzwerk und bei verschiedensten SaaS-Anwendungen, darunter auch Microsoft 365.
|
| |
|
| |
|
| |
|
|
| | | | Weitere Themen in der iX 6/2023 | |
| |
| | Außerdem erfahren Sie in der neuen iX, warum elektronische Unterschriften nicht mehr so kompliziert und mühsam wie ihr Ruf sind. Ans KI-Eingemachte geht der Wissensartikel über neuronale Suchmaschinen: denn das Dense Passage Retrieval kann semantische Ähnlichkeiten verstehen und findet so passende Begriffe, bei der klassischen Textsuche die Segel streicht. Alle Artikel finden Sie im Inhaltsverzeichnis der iX 6/2023.
Haben Sie Anregungen zum Newsletter oder zum Heft allgemein? Schreiben Sie mir unter fo@ix.de! Viel Spaß beim Schmökern in der Sonne – aber hoffentlich ohne Sonnenbrand, Ihr
|
|
| |
|
| |
 | | Neugierig geworden? Sie erhalten die iX 6/2023 ab dem 25. Mai
|
| |
| |
| |
| Diese E-Mail weitergeleitet erhalten?
|
| |
|
| |
|
| |
|
| Sie sind unter folgender Adresse eingetragen: unknown@unknown.invalid - .
Hier können Sie sich von künftigen Zusendungen abmelden.
| |
| Verantwortlich für den Inhalt:
Heise Medien GmbH & Co. KG
Karl-Wiechert-Allee 10
30625 Hannover
Telefon: +49 [0]511 5352-0
E-Mail: infoservice@heise.de
Registergericht:
Amtsgericht Hannover HRA 26709
|
Persönlich haftende Gesellschafterin:
Heise Medien Geschäftsführung GmbH
Registergericht:
Amtsgericht Hannover, HRB 60405
Geschäftsführer: Ansgar Heise, Beate Gerold
|
|
| |
| Herausgeber: Christian Heise, Ansgar Heise
Chefredakteur: Dr. Oliver Diedrich (verantwortlich)
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium als Ganzes oder in Teilen bedarf der schriftlichen Zustimmung des Verlags. Copyright © 2023 Heise Medien GmbH & Co. KG
| |
|
|
|
