Unser Blog

CVE-Scans (Common Vulnerabilities and Exposures) sind für die Sicherung Ihrer Softwareanwendungen unerlässlich. Angesichts der zunehmenden Komplexität von Software-Stacks kann es jedoch eine Herausforderung sein, alle CVEs zu identifizieren und anzugehen. Eines der größten Probleme bei CVE-Scans ist heutzutage die Verbreitung falsch positiver Ergebnisse, bei denen eine Schwachstelle in einem Paket identifiziert wird, das nicht […]

Im März 2023 veröffentlichte das Weiße Haus eine neue nationale Cybersicherheitsstrategie. Die Strategie beschreibt eine Liste von fünf Säulen, die das Weiße Haus für entscheidend für die Verbesserung der Cybersicherheit für alle Amerikaner, sowohl im öffentlichen als auch im privaten Sektor, hält. Die dritte Säule befasst sich mit dem Bestreben, die Marktkräfte so zu gestalten, dass Sicherheit und Widerstandsfähigkeit verbessert werden. Ein Teil davon […]

Im April 2023 veröffentlichte CISA einen neuen gemeinsamen Leitfaden für Softwaresicherheit mit dem Titel „Shifting the Balance of Cybersecurity Risk: Security-by-Design and Default Principles“. Der Leitfaden wurde in Zusammenarbeit mit neun verschiedenen Behörden erstellt, darunter unter anderem der NSA, dem Australian Cyber ​​Security Centre (ACSC) und dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Tatsache, dass […]

Am 20. März hat OpenAI das beliebte generative KI-Tool ChatGPT für einige Stunden lahmgelegt. Später wurde zugegeben, dass der Grund für den Ausfall eine Sicherheitslücke in der Software-Lieferkette war, die ihren Ursprung in der Open-Source-In-Memory-Datenspeicherbibliothek „Redis“ hatte. Aufgrund dieser Sicherheitslücke gab es ein Zeitfenster (zwischen 1 und 10 Uhr morgens).

Im April 2023 veröffentlichten DHS, CISA, DOE und CESER einen Bericht mit dem Titel „Software Bill of Materials (SBOM) Sharing Lifecycle Report“. Der Zweck des Berichts bestand darin, die aktuelle Art und Weise zu untersuchen, wie Menschen SBOMs teilen, und allgemein zu skizzieren, wie dieser Austausch besser und ausgefeilter gestaltet werden könnte, um […]

Da das Bewusstsein immer größer wird, sollte der Schutz Ihrer Software-Lieferketten ein wesentlicher Bestandteil der Cybersicherheitsstrategie jedes Unternehmens sein. Eine der Hauptschwierigkeiten bei der Entwicklung einer umfassenden Strategie zur Minderung von Bedrohungen in der Software-Lieferkette ist die Komplexität und Vielfalt der Lieferketten. Jede Lieferkette ist einzigartig und die Elemente […]

Ende März 2023 deckten Sicherheitsforscher den komplexen Software-Lieferkettenangriff eines Bedrohungsakteurs auf Geschäftskommunikationssoftware von 3CX auf, hauptsächlich auf die Desktop-App des Unternehmens für Sprach- und Videoanrufe. Die Forscher warnten, dass die App irgendwie mit einem Trojaner infiziert sei und dass ihre Verwendung die Organisation einem möglichen Exfiltrationsplan eines Bedrohungsakteurs aussetzen könnte. […]

CI/CD-Pipelines sind bekanntermaßen undurchsichtig, was genau darin geschieht. Selbst wenn Sie derjenige sind, der die YAML-Konfigurationsdatei (die Pipeline-Anweisungsliste) geschrieben hat, wie können Sie dann sicher sein, dass alles genau wie beschrieben abläuft? Schlimmer noch, die meisten Pipelines sind völlig vergänglich, sodass selbst wenn etwas Schlimmes passiert, keine […]

OpenSSL ist eine weit verbreitete Open-Source-Softwarebibliothek zur Implementierung sicherer Kommunikation über Computernetzwerke. Wie weit verbreitet? Wenn Sie jemals auf eine HTTPS-Webseite zugegriffen haben, ist die Wahrscheinlichkeit groß, dass Sie dies über eine OpenSSL-Verschlüsselung getan haben. Die Bibliothek bietet kryptografische Funktionen und Protokolle für die Datenverschlüsselung, -entschlüsselung, -authentifizierung und die Überprüfung digitaler Signaturen. OpenSSL kann […]

Erfolgreiche Cyberangriffe auf Hardware- und Softwareprodukte kommen immer häufiger vor. Laut Cybersecurity Ventures kostet Cyberkriminalität die Welt im Jahr 7 schätzungsweise 2022 Billionen US-Dollar. Bei einem so hohen Preis ist es kein Wunder, dass sowohl Unternehmen als auch Regierungen darauf aufmerksam werden. Die USA gingen mit der Präsidialverordnung (President Executive Order) voran.