Horst Görtz Institut für IT-Sicherheit Ruhr-Universität Bochum ...

01.10.2012 

Horst Görtz Institut für IT-Sicherheit 

Ruhr-Universität Bochum 

Pressespiegel 

Quartal 3 2012 

Der Pressespiegel des Horst Görtz Institutes erscheint einmal im 

Quartal und gibt einen kleinen Überblick über aktuelle Themen 

und Projekte des Instituts. 

Host Görtz Institut für IT-Sicherheit | Ruhr-Universität Bochum | Britta Scherer | 

PR & Marketing | Tel. 0234 – 32 29 162 | Fax 0234 – 32 14886 | britta.scherer@rub.de

Schutz für Apple-Geräte - Im Tal der Sorglosen: Brauchen Macs Viren... http://www.abendblatt.de/ratgeber/multimedia/article2326700/Im-Tal-d... 

(http://www.abendblatt.de/) 

MULTIMEDIA 

SCHUTZ FÜR APPLE-GERÄTE 

03.07.2012, 11:01 Uhr 

Seit Flashback ist nichts mehr, wie es einmal war. Der Mac-Trojaner hat Apple-Nutzer 

nachhaltig nachhaltig verunsichert. Hat sich die Lage nun geändert? 

Virenalarm auf dem Mac: Der Flashback-Trojaner hat gezeigt, dass auch Apple-Rechner 

verwundbar sind 

Foto: picture alliance / dpa-tmn/dpa-tmn 

BERLIN . Windows-Nutzer 

machen sich schon lange 

keine Illusionen mehr über 

die Bedrohungslage ihres 

Betriebssystems: 

Virenscanner und Vorsicht 

sind Pflicht. Viele Apple- 

Jünger wähnen sich 

dagegen in Sicherheit vor 

Schadsoftware, während 

Hersteller von 

Virenwächtern spätestens 

seit dem Durchmarsch des 

Flashback-Trojaners für ihre 

Mac-Scanner trommeln. 

Doch Tests stellen den 

Programmen kein gutes 

Zeugnis aus. Macht nichts, 

sagen Experten. Man kann Macs auch weiter ohne Scanner nutzen – Umsicht vorausgesetzt. 

Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine 

Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. Schnell 

waren weltweit hunderttausende Macs befallen, die zum Versenden von Spam-Mails missbraucht 

werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum. 

Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, 

hat die Zeitschrift „Mac&i“ getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die 

Programme durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein 

„enttäuschendes“ Ergebnis. „Keiner erkannte alle Mac-Viren, obwohl die Signatur-Updates 

gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon 

Jahre auf dem Buckel hatten“, lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe 

kein Virenscanner tatsächlich Schutz vor Flashback geboten. 

+++Apple-Gerüchte: Was ist wahr, was heiße Luft?+++(http://www.abendblatt.de/ratgeber 

/multimedia/article2304845/Apple-Geruechte-Was-ist-wahr-was-heisse-Luft.html) 

+++Google tritt mit eigenem Tablet gegen Amazon und Apple 

an+++(http://www.abendblatt.de/wirtschaft/article2321874/Google-tritt-mit-eigenem-Tablet-gegen- 

1 von 3 04.07.2012 07:44

Schutz für Apple-Geräte - Im Tal der Sorglosen: Brauchen Macs Viren... http://www.abendblatt.de/ratgeber/multimedia/article2326700/Im-Tal-d... 

Amazon-und-Apple-an.html) 

„Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen 

Varianten des Schädlings“, heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates 

von Apple hätten mehr Sicherheit gebracht als jeder Scanner: Der beste enttarnte nur 82 Prozent 

der Schädlinge. Von den bei Windows-Scannern üblichen Erkennungsquoten von 90 Prozent und 

mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der Phishing- 

Abwehr schnitten die Programme nicht besonders gut ab. 

Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. „Aus unserer Sicht ist 

das angesichts der Bedrohungslage nicht notwendig“, sagt Tim Griese vom Bundesamt für 

Sicherheit in der Informationstechnik (BSI). Daran habe Flashback nichts geändert. Trotzdem 

gelte auch für Mac-Nutzer: „Mit offenen Augen und gesundem Menschenverstand durch die Welt 

gehen.“ Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen. 

Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für 

Schadsoftware – ebenso wie das Installieren von Software aus zweifelhaften Quellen. 

Anwendungen und das Betriebssystem sollten unter „Softwareaktualisierung“ stets aktuell 

gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf „täglich“. 

Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von 

Schadsoftware nach wie vor auf diesen „Markt“ konzentrieren. Trotzdem: „Flashback hat gezeigt, 

dass auch Mac OS X angreifbar ist“, sagt Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit 

an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem gibt, 

treffen treffen sie oft Unvorbereitete: „Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser.“ 

Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. „Sie bietet nie hundertprozentigen 

Schutz“, sagt der Professor. Gerade bei Mac-Virenscannern gebe es noch viel 

Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei deshalb auch für 

Mac-Nutzer Vorsicht im Internet unabdingbar. „Nicht auf alles klicken und ein gesundes 

Misstrauen helfen sehr“, rät Holz. 

Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz 

erweitern möchte, kann zu Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die 

Vertrauenswürdigkeit von Seiten anhand von Bewertungen, die die Nutzer abgegeben haben und 

warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den Einstellungen 

des Browsers kann die Sicherheit erheblich steigern. „Bei Java empfehlen wir immer, es nur zu 

aktivieren, wenn man es braucht“, sagt Tim Griese. 

Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard 

mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard kam eine 

Schadsoftware-Erkennung hinzu (Xprotect) – die im „Mac&i“-Test aber nur einmal Alarm schlug. 

Mac- hinken Windows-Scannern hinterher 

In einem Test von sechs Mac-Virenscannern der Zeitschrift „Mac&i“ brachte es der beste Prüfling, 

Kaspersky Anti-Virus 2011, auf eine Erkennungsrate von 82 Prozent. Mit 78 Prozent kaum 

schlechter schnitt das kostenlose Sophos Anti-Virus ab. Verglichen mit Windows-Scannern, die 

ein Vielfaches an Schädlingen erkennen müssen und trotzdem Quoten von weit über 90 Prozent 

erreichen, ist das zu wenig. 

2 von 3 04.07.2012 07:44

dpa-Themendienst vom 03.07.2012 

Seite: 0014 Kurztitel: dpa-tmn0013 

Ressort: Vermischtes Gattung: Agentur-Meldungen 

Im Tal der Sorglosen: Brauchen Macs 

Virenschutz? Von Dirk Averesch, dpa (Mit 

Bildern tmn1100/1101 vom 03.07.12) 

Seit Flashback ist nichts mehr, wie es 

einmal war. Der Mac-Trojaner hat 

Apple-Nutzer nachhaltig verunsichert. 

Schließlich galt jahrelang, dass Virenschutz 

für Macs mangels Bedrohung 

unnötig ist. Hat sich die Lage nun geändert? 

Berlin (dpa/tmn) - Windows-Nutzer 

machen sich schon lange keine Illusionen 

mehr über die Bedrohungslage ihres 

Betriebssystems: Virenscanner und Vorsicht 

sind Pflicht. Viele Apple-Jünger 

wähnen sich dagegen in Sicherheit vor 

Schadsoftware, während Hersteller von 

Virenwächtern spätestens seit dem 

Durchmarsch des Flashback-Trojaners 

für ihre Mac-Scanner trommeln. Doch 

Tests stellen den Programmen kein 

gutes Zeugnis aus. Macht nichts, sagen 

Experten. Man kann Macs auch weiter 

ohne Scanner nutzen - Umsicht vorausgesetzt. 

Flashback rüttelte im April 2012 die 

Mac-Nutzer wach: Der Trojaner nutzte 

eine Java-Schwachstelle aus und drang 

über manipulierte Webseiten in die 

Systeme ein. Schnell waren weltweit 

hunderttausende Macs befallen, die zum 

Versenden von Spam-Mails missbraucht 

werden sollten. Hätten Virenscanner den 

Trojaner stoppen können? Wohl kaum. 

Am Markt gibt es ein Dutzend Mac- 

Virenscanner. Sechs davon, die auch 

Echtzeitschutz bieten, hat die Zeitschrift 

«Mac&i» getestet - mit einer im 

April eingefrorenen Schädlingsauswahl. 

Die Programme durften sich sogar bis 

Mitte Mai aktualisieren und erzielten 

trotzdem nur ein «enttäuschendes» 

Ergebnis. «Keiner erkannte alle Mac- 

Viren, obwohl die Signatur-Updates 

gegenüber den Testschädlingen mindestens 

zwei Wochen Vorsprung und viele 

Viren schon Jahre auf dem Buckel hatten», 

lautet das Fazit der Tester. Zum 

Zeitpunkt der Entdeckung habe kein 

Virenscanner tatsächlich Schutz vor 

Flashback geboten. 

«Selbst Wochen später kennen die getesteten 

AV-Programme nicht alle im 

Umlauf befindlichen Varianten des 

Schädlings», heißt es weiter im Test. 

Selbst die verspätet bereitgestellten 

Updates von Apple hätten mehr Sicherheit 

gebracht als jeder Scanner: Der 

beste enttarnte nur 82 Prozent der 

Schädlinge. Von den bei Windows- 

Scannern üblichen Erkennungsquoten 

von 90 Prozent und mehr ist das weit 

entfernt. Auch bei der Verhaltenserkennung 

von Schädlingen und der Phishing- 

Abwehr schnitten die Programme nicht 

besonders gut ab. 

Doch Experten halten Mac-Virenscanner 

derzeit ohnehin für verzichtbar. 

«Aus unserer Sicht ist das angesichts der 

Bedrohungslage nicht notwendig», sagt 

Tim Griese vom Bundesamt für Sicherheit 

in der Informationstechnik (BSI). 

Daran habe Flashback nichts geändert. 

Trotzdem gelte auch für Mac-Nutzer: 

«Mit offenen Augen und gesundem 

Menschenverstand durch die Welt 

gehen.» Dazu gehöre zum Beispiel, 

nicht gleich jeden Mailanhang zu öffnen. 

Schließlich sind Office, Flash oder der 

Adobe Reader auch auf dem Mac Einfallstore 

für Schadsoftware - ebenso wie 

das Installieren von Software aus zweifelhaften 

Quellen. Anwendungen und 

das Betriebssystem sollten unter «Softwareaktualisierung» 

stets aktuell gehalten 

werden, rät Griese. Das Update- 

Intervall stellt man am besten auf «täglich». 

Gute 90 Prozent aller Computer laufen 

mit Windows. Kein Wunder, dass sich 

Programmierer von Schadsoftware nach 

wie vor auf diesen «Markt» konzentrieren. 

Trotzdem: «Flashback hat gezeigt, 

dass auch Mac OS X angreifbar ist», 

sagt Prof. Thorsten Holz vom Lehrstuhl 

für Systemsicherheit an der RuhrRuhr-Unihr-Uni- versität Bochum. BBochum. 

Und wenn es Angriffe 

auf das Apple-Betriebssystem gibt, treffen 

sie oft Unvorbereitete: «Die typischen 

Mac-Nutzer ssind 

vermutlich ein 

wenig sorgloser.» 

Antivirensoftware ist immer nur Teil 

des Sicherheitskonzepts. «Sie bietet nie 

hundertprozentigen Schutz», sagt der 

Professor. Gerade bei Mac-Virenscannern 

gebe es noch viel Entwicklungsbedarf. 

Neben dem zeitnahen Einspielen 

von Updates sei deshalb auch für Mac- 

Nutzer Vorsicht im Internet unabdingbar. 

«Nicht auf alles klicken und ein 

gesundes Misstrauen helfen sehr», rät 

Holz. 

Einen Phishing-Schutz bieten heute 

schon fast alle aktuellen Browser. Wer 

den Grundschutz erweitern möchte, 

kann zu Erweiterungen wie Web of 

Trust (WOT) greifen. Letzteres prüft die 

Vertrauenswürdigkeit von Seiten 

anhand von Bewertungen, die die Nutzer 

abgegeben haben und warnt gegebenenfalls 

vor dem Öffnen der Seite. Auch 

eine kleine Änderung in den Einstellungen 

des Browsers kann die Sicherheit 

erheblich steigern. «Bei Java empfehlen 

wir immer, es nur zu aktivieren, wenn 

man es braucht», sagt Tim Griese. 

Und was tut Apple? Bevor Software aus 

dem Netz erstmals startet, muss man das 

seit Leopard mit Hinweis auf die Herkunft 

bestätigen (File Quarantine). Mit 

Snow Leopard kam eine Schadsoftware- 

Erkennung hinzu (Xprotect) - die im 

«Mac&i»-Test aber nur einmal Alarm 

schlug. 

Info-Kasten: Mac- hinken Windows- 

Scannern hinterher 

In einem Test von sechs Mac-Virenscannern 

der Zeitschrift «Mac&i» 

brachte es der beste Prüfling, Kaspersky 

Anti-Virus 2011, auf eine Erkennungsrate 

von 82 Prozent. Mit 78 Prozent 

kaum schlechter schnitt das kostenlose 

Sophos Anti-Virus ab. Verglichen

mit Windows-Scannern, die ein Vielfaches 

an Schädlingen erkennen müssen 

Wörter: 808 

Ort: Berlin 

© 2012 PMG Presse-Monitor GmbH 

und trotzdem Quoten von weit über 90 

Prozent erreichen, ist das zu wenig.

Bremer Nachrichten vom 05.07.2012 

Autor: Dirk Averesch Ausgabe: Bremer Nachrichten | Gesamtausgabe 

Seite: BTAG/WIRTSCHAFT Gattung: Tageszeitung 

Ressort: Verbraucher 

Im Tal der SorglosenBrauchen Macs 

Virenschutz? Virenschutz? / Sicherheitsprogramme zeigen im 

Test nur eine durchschnittliche Leistung 

Seit Flashback ist nichts mehr, wie es 

einmal war. Der Mac-Trojaner hat 

Apple-Nutzer nachhaltig verunsichert. 

Schließlich galt jahrelang, dass Virenschutz 

für Macs mangels Bedrohung 

unnötig ist. Hat sich die Lage nun geändert? 

VON DIRK AVERESCHBremen. 

Windows-Nutzer machen sich schon 

lange keine Illusionen mehr über die 

Bedrohungslage ihres Betriebssystems: 

Virenscanner und Vorsicht sind Pflicht. 

Viele Apple-Jünger wähnen sich dagegen 

in Sicherheit vor Schadsoftware, 

während Hersteller von Virenwächtern 

spätestens seit dem Durchmarsch des 

Flashback-Trojaners für ihre Mac-Scanner 

trommeln. Doch Tests stellen den 

Programmen kein gutes Zeugnis aus. 

Macht nichts, sagen Experten. Man 

könne Macs auch weiter ohne Scanner 

nutzen - Umsicht vorausgesetzt.Flashback 

rüttelte im April 2012 die Mac- 

Nutzer wach: Der Trojaner nutzte eine 

Java-Schwachstelle aus und drang über 

manipulierte Webseiten in die Systeme 

ein. Schnell waren weltweit Hunderttausende 

Macs befallen, die zum Versenden 

von Spam-Mails missbraucht werden 

sollten. Hätten Virenscanner den 

Trojaner stoppen können? Wohl 

kaum.Am Markt gibt es ein Dutzend 

Mac-Virenscanner. Sechs davon, die 

auch Echtzeitschutz bieten, hat die Zeitschrift 

"Mac&i" getestet - mit einer im 




trotzdem nur ein "enttäuschendes" 

Ergebnis. "Keiner erkannte alle Mac- 




Viren schon Jahre auf dem Buckel hatten", 




Flashback geboten.Schwache Erken- 

nungsquoten"Selbst Wochen später kennen 

die getesteten AV-Programme nicht 

alle im Umlauf befindlichen Varianten 

des Schädlings", heißt es im Test. Selbst 

die verspätet bereitgestellten Updates 

von Apple hätten mehr Sicherheit 

gebracht als jeder Scanner: Der beste 

enttarnte nur 82 Prozent der Schädlinge. 

Von den bei Windows-Scannern üblichen 

Erkennungsquoten von 90 Prozent 

und mehr ist das weit entfernt. Auch bei 

der Verhaltenserkennung von Schädlingen 

und der Phishing-Abwehr schnitten 

die Programme nicht besonders gut 

ab.Doch Experten halten Mac-Virenscanner 


"Aus unserer Sicht ist das angesichts der 

Bedrohungslage nicht notwendig", sagt 


in der Informationstechnik. Daran 

habe Flashback nichts geändert. Trotzdem 

gelte auch für Mac-Nutzer: "Mit 

offenen Augen und gesundem Menschenverstand 

durch die Welt 

gehen."Dazu gehöre zum Beispiel, nicht 

gleich jeden Mailanhang zu öffnen. 






das Betriebssystem sollten unter "Softwareaktualisierung" 



Intervall stellt man am besten auf "täglich".Gute 

90 Prozent aller Computer 

laufen mit Windows. s. Kein Wunder, dass 

sich Programmierer von Schadsoftware 

nach wie vor auf diesen "Markt" konzentrieren. 

Trotzdem: "Flashback hat 

gezeigt, dass auch Mac OS X angreifbar 

ist", sagt Professor Thorsten Holz 

vom Lehrstuhl für Systemsicherheit an 

der Ruhr-Universität Bochum. 

Und 

wenn es Angriffe auf das Apple-Betriebssystem 

gibt, treffen sie oft Unvorbereitete: 

"Die typischen Mac-Nutzer sind 

vermutlich ein wenig sorgloser."Antivirensoftware 

ist immer nur Teil des 

Sicherheitskonzepts. "Sie bietet nie hundertprozentigen 

Schutz", sagt der Professor. 

Gerade bei Mac-Virenscannern 


Neben dem zeitnahen Einspielen von 

Updates sei deshalb auch für Mac-Nutzer 

Vorsicht im Internet unabdingbar. 

"Nicht auf alles zu klicken und ein 

gesundes Misstrauen helfen sehr", rät 

Holz.Einen Phishing-Schutz bieten 

heute schon fast alle aktuellen Browser. 

Wer den Grundschutz erweitern möchte, 

kann zu Erweiterungen wie Web Of 




abgegeben haben, und warnt gegebenenfalls 




erheblich steigern. "Bei Java empfehlen 


man es braucht", sagt Tim Griese.Und 

was tut Apple? Bevor Software aus dem 

Netz erstmals startet, muss man das seit 

Leopard mit Hinweis auf die Herkunft 

bestätigen (File Quarantine). Mit Snow 

Leopard kam eine Schadsoftware- 


"Mac&i"-Test aber nur einmal Alarm 

schlug.Mac-Scanner hinken hinterhern 


der Zeitschrift "Mac&i" brachte 

es der beste Prüfling, Kaspersky Anti- 

Virus 2011, auf eine Erkennungsrate 

von 82 Prozent. Mit 78 Prozent kaum 

schlechter schnitt das kostenlose Sophos 

Anti-Virus ab. Verglichen mit Windows-Scannern, 

die ein Vielfaches an 

Schädlingen erkennen müssen und trotzdem 

Quoten von weit über 90 Prozent 

erreichen, ist das zu wenig.

Recklinghäuser Zeitung vom 06.07.2012 

Seite: 30 Gattung: Tageszeitung 

Ressort: Service: Multimedia Auflage: 66.639 (gedruckt) 60.386 (verkauft) 

62.148 (verbreitet) 

Ausgabe: Recklinghausen | Hauptausgabe Reichweite: 0,14 (in Mio.) 

Im Tal der Sorglosen 

Brauchen Macs Virenschutz? 

von Dirk Averesch (dpa) 


lange keine Illusionen mehr über die Be 

drohungslage ihres Betriebssystems: 







trommeln. 

Doch Tests stellen den Programmen 

kein gutes Zeugnis aus. Macht nichts, 

sagen Experten. Man kann Macs auch 

weiter ohne Scanner nutzen – Umsicht 

vorausgesetzt. 













„Mac&i“ getestet – mit einer im 




trotzdem nur ein „enttäuschendes“ 

Ergebnis. „Keiner erkannte alle Mac 




Viren schon Jahre auf dem Buckel hatten“, 



Viren-scanner tatsächlich Schutz vor 


„Selbst Wochen später kennen die gete- 

Wörter: 610 

Urheberinformation: (c)Verlag J. Bauer KG 


steten AV-Programme nicht alle im 


Schädlings“, heißt es weiter im Test. 














„Aus unserer Sicht ist das angesichts der 

Bedrohungslage nicht notwendig“, sagt 





„Mit offenen Augen und gesundem 


gehen.“ Dazu gehöre zum Beispiel, 




für Schadsoftware – ebenso wie 



das Betriebssystem sollten unter „Softwareaktualisierung“ 



Intervall stellt man am besten auf „täglich“. 



Programmierer von Schadsoft ware nach 

wie vor auf diesen „Markt“ konzentrieren. 

Trotzdem: „Flashback hat gezeigt, 

dass auch Mac OS X angreifbar ist“ 

ist“, 


für Systemsicherheit an der Ruhr-Universität 

BBochum. 

Und wenn es Angriffe 


sie oft Unvorbereitete: „Die typischen 

Mac-Nutzer sind vermutlich ein 

wenig sorg loser.“ 


des Sicherheitskonzepts. „Sie bietet nie 

hundertprozentigen Schutz“, sagt der 






„Nicht auf alles klicken und ein 

gesundes Misstrauen helfen sehr“, rät 

Holz. 












erheblich steigern. „Bei Java empfehlen 


man es braucht“, sagt Tim Griese. 







„Mac&i“-Test aber nur einmal Alarm 

schlug.

Kölnische Rundschau - Auch Apple-Nutzer sind nicht vor Viren gefeit http://www.rundschau-online.de/service/-apple-rechner-auch-mac-user... 

iMacs und MacBooks 

Flashback hat es deutlich gemacht: Auch Mac-User sind von Viren nicht sicher. 

Foto: dpa 

Service - 

Der Trojaner Flashback hat es deutlich vor Augen geführt: Auch Apple-Rechner sind von Viren bedroht. Schließlich galt 

jahrelang, dass Virenschutz für den Mac mangels Bedrohung unnötig ist. Vor welchen Gefahren sollten man sich 

schützen? 

Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres Betriebssystems: Virenscanner 

und Vorsicht sind Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von 

Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch Tests stellen den 

Programmen kein gutes Zeugnis aus. Macht nichts, sagen Experten. Man kann iMacs und MacBooks auch weiter ohne Scanner 

nutzen – Umsicht vorausgesetzt. 

Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und drang über 

manipulierte Webseiten in die Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum Versenden von 

Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum. 

Wie gut sind Virenscanner für den Mac? 

Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift „Mac&i“ 

getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai aktualisieren und 

erzielten trotzdem nur ein „enttäuschendes“ Ergebnis. „Keiner erkannte alle Mac-Viren, obwohl die Signatur-Updates gegenüber 

den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel hatten“, lautet das Fazit der 

Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten. 

„Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des Schädlings“, heißt 

es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder Scanner: Der 

beste Prüfling, Kaspersky Anti-Virus 2011, brachte auf eine Erkennungsrate von 82 Prozent. Mit 78 Prozent kaum schlechter 

schnitt das kostenlose Sophos Anti-Virus ab. Von den bei Windows-Scannern üblichen Erkennungsquoten von 90 Prozent und 

mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der Phishing-Abwehr schnitten die Programme 

nicht besonders gut ab. 

Was sollten Mac-User beachten? 

von 2 10.07.2012 08:30

Kölnische Rundschau - Auch Apple-Nutzer sind nicht vor Viren gefeit http://www.rundschau-online.de/service/-apple-rechner-auch-mac-user... 

Experten halten Mac-Virenscanner derzeit für verzichtbar. „Aus unserer Sicht ist das angesichts der Bedrohungslage nicht 

notwendig“, sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback nichts 

geändert. Trotzdem gelte auch für Mac-Nutzer: „Mit offenen Augen und gesundem Menschenverstand durch die Welt gehen.“ 

Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen. 

Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware – ebenso wie das 

Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter 

„Softwareaktualisierung“ stets aktuell gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf „täglich“. 

Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von Schadsoftware nach wie vor auf 

diesen „Markt“ konzentrieren. Trotzdem: „Flashback hat gezeigt, dass auch Mac OS X angreifbar ist“, sagt Prof. Thorsten Holz 

vom Lehrstuhl für Systemsicherheit 

y t an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem gibt, 

treffen sie oft Unvorbereitete: „Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser.“ 

Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. „Sie bietet nie hundertprozentigen Schutz“, sagt der Professor. 

Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei deshalb 

auch für Mac-Nutzer Vorsicht im Internet unabdingbar. „Nicht auf alles klicken und ein gesundes Misstrauen helfen sehr“, rät 

Holz. 

Welchen Phishing-Schutz gibt es? 

Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz erweitern möchte, kann zu 

Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von Bewertungen, 

die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den 

Einstellungen des Browsers kann die Sicherheit erheblich steigern. „Bei Java empfehlen wir immer, es nur zu aktivieren, wenn 

man es braucht“, sagt Tim Griese. 

Und was tut Apple? 

Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard mit Hinweis auf die Herkunft bestätigen (File 

Quarantine). Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu (Xprotect) – die im „Mac&i“-Test aber nur einmal 

Alarm schlug. (dpa) 

Artikel URL: http://www.rundschau-online.de/service/-apple-rechner-auch-mac-user-sind-von-virenbedroht,16129094,16581812.html 

Copyright © 2010 Frankfurter Rundschau 

von 2 10.07.2012 08:30

DER NEUE TAG vom 10.07.2012 

Autor: Von Dirk Averesch, dpa Ausgabe: DER NEUE TAG Gesamtausgabe/Mantel 

Seite: 47 Gattung: Tageszeitung 

Ressort: Computer Auflage: 85.640 (gedruckt) 78.741 (verkauft) 


Rubrik: Gesamtausgabe Reichweite: 0,21 (in Mio.) 

Im Tal der Sorg- und Ahnungslosen 

Seit Flashback ist nichts mehr, wie es einmal war: Brauchen auch Apple-Macs einen 

Virenschutz? 

Berlin. Windows-Nutzer machen sich schon lange keine Illusionen mehr über die 

Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind Pflicht. Viele Apple- 

Jünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von 

Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre Mac- 

Scanner trommeln. Doch Tests stellen den Programmen kein gutes Zeugnis aus. 










Schwache Scanner 




"Mac&i" getestet - mit einer im 





Ergebnis. Zum Zeitpunkt der Entdeckung 

habe kein Virenscanner tatsächlich 

Schutz vor Flashback geboten. 

"Selbst Wochen später kennen die getesteten 



Schädlings", heißt es weiter im Test. 












Wörter: 566 










"Mit offenen Augen und gesundem 


gehen." Dazu gehöre zum Beispiel, 










Intervall stellt man am besten auf "täglich". 

Nicht auf alles klicken 




wie vor auf diesen Markt konzentrieren. 

Trotzdem: "Flashback hat gezeigt, dass 

auch Mac OS X angreifbar ist", sagt 

Prof. Thorsten Holz vom Lehrstuhl für 

Systemsicherheit an der Ruhr-Universität 

Bochum. Und wenn es Angriffe auf 

das Apple-Betriebssystem gibt, treffen 

sie oft Unvorbereitete: "Die typischen 

Mac-Nutzer sind vermutlich ein wenig 

sorgloser." 


des Sicherheitskonzepts. "Sie bietet nie 

hundertprozentigen Schutz", sagt der 






"Nicht auf alles klicken und ein 


Holz. 














man es braucht", sagt Tim Griese. 

Und was tut Apple? Bevor Software 

aus dem Netz erstmals startet, muss man 

das seit Leopard mit Hinweis auf die 

Herkunft bestätigen (File Quarantine). 

Mit Snow Leopard kam eine Schadsoftware-Erkennung 

hinzu (Xprotect) - die 

im "Mac&i"-Test aber nur einmal 

Alarm schlug.

Berliner Kurier - Viren bedrohen auch Apple-Rechner http://www.berliner-kurier.de/digital/-apple-rechner-auch-mac-user-sin... 

iMacs und MacBooks 

Digital - 7.7.2012 

Windows-Nutzer machen sich schon lange keine Illusionen mehr über die 

Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind 

Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor 

Schadsoftware, während Hersteller von Virenwächtern spätestens seit dem 

Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch 

Tests stellen den Programmen kein gutes Zeugnis aus. Macht nichts, sagen 

Experten. Man kann iMacs und MacBooks auch weiter ohne Scanner nutzen 

– Umsicht vorausgesetzt. 

Virenalarm auf dem Mac: Der Flashback-Trojaner Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte 

hat gezeigt, dass auch Apple-Rechner verwundbar 

sind. 

eine Java-Schwachstelle aus und drang über manipulierte Webseiten in die 

Foto: dpa 

Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum 

Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner 

den Trojaner stoppen können? Wohl kaum. 


Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift 

„Mac&i“ getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai 

aktualisieren und erzielten trotzdem nur ein „enttäuschendes“ Ergebnis. „Keiner erkannte alle Mac-Viren, obwohl die 

Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf 

dem Buckel hatten“, lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich 


„Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des 

Schädlings“, heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit 

gebracht als jeder Scanner: Der beste Prüfling, Kaspersky Anti-Virus 2011, brachte auf eine Erkennungsrate von 82 

Prozent. Mit 78 Prozent kaum schlechter schnitt das kostenlose Sophos Anti-Virus ab. Von den bei Windows-Scannern 

üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von 

Schädlingen und der Phishing-Abwehr schnitten die Programme nicht besonders gut ab. 


Experten halten Mac-Virenscanner derzeit für verzichtbar. „Aus unserer Sicht ist das angesichts der Bedrohungslage 

nicht notwendig“, sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback 

nichts geändert. Trotzdem gelte auch für Mac-Nutzer: „Mit offenen Augen und gesundem Menschenverstand durch die 

Welt gehen.“ Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen. 

Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware – ebenso wie 

das Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter 

„Softwareaktualisierung“ stets aktuell gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf 

„täglich“. 

von 2 12.07.2012 08:24

Berliner Kurier - Viren bedrohen auch Apple-Rechner http://www.berliner-kurier.de/digital/-apple-rechner-auch-mac-user-sin... 

Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von Schadsoftware nach 

wie vor auf diesen „Markt“ „Markt“ konzentrieren. Trotzdem: Trotzdem: „Flashback hat gezeigt, dass auch Mac OS X angreifbar ist“, sagt 

Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das 

Apple-Betriebssystem gibt, treffen sie oft Unvorbereitete: „Die typischen Mac-Nutzer sind vermutlich ein ein wenig sorgloser.“ 

Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. „Sie bietet nie hundertprozentigen Schutz“, sagt der 

Professor. Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von 

Updates sei deshalb auch für Mac-Nutzer Vorsicht im Internet unabdingbar. unabdingbar. „Nicht auf alles klicken und ein gesundes 

Misstrauen Misstrauen helfen sehr“, rät Holz. 



Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von 

Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine 

Änderung in den Einstellungen des Browsers kann die Sicherheit erheblich steigern. „Bei Java empfehlen wir immer, es 

nur zu aktivieren, wenn man es braucht“, sagt Tim Griese. 



Quarantine). Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu (Xprotect) – die im „Mac&i“-Test aber nur 

einmal Alarm schlug. (dpa) 

Artikel URL: http://www.berliner-kurier.de/digital/-apple-rechner-auch-mac-user-sind-von-virenbedroht,7168826,16596506.html 

Copyright © 2011 Berliner Kurier 

von 2 12.07.2012 08:24

Druckansicht: Im Tal der Sorglosen: Brauchen Macs Virenschutz? http://www.fnp.de/ndp/print_rmn01.c.9984672.de.htm 

10.07.2012 

Im Tal der Sorglosen: Brauchen Macs Virenschutz? 

Virenalarm auf dem Mac: Der 

Flashback-Trojaner hat gezeigt, 

dass auch Apple-Rechner 

verwundbar sind. Foto: Andrea 

Warnecke 

Von Dirk Averesch, dpa 

Seit Flashback ist nichts mehr, wie es einmal war. Der Mac-Trojaner 

hat Apple-Nutzer nachhaltig verunsichert. Schließlich galt jahrelang, 

dass Virenschutz für Macs mangels Bedrohung unnötig ist. Hat sich 

die Lage nun geändert? 

Windows-Nutzer machen sich schon lange keine Illusionen mehr über 

die Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht 

sind Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit 

vor Schadsoftware, während Hersteller von Virenwächtern spätestens 

seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner 

trommeln. Doch Tests stellen den Programmen kein gutes Zeugnis 

aus. Macht nichts, sagen Experten. Man kann Macs auch weiter ohne 

Scanner nutzen - Umsicht vorausgesetzt. 

Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und 

drang über manipulierte Webseiten in die Systeme ein. Schnell waren weltweit hunderttausende Macs 

befallen, die zum Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner 

stoppen können? Wohl kaum. 

Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die 

Zeitschrift "Mac&i" getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich 

sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein "enttäuschendes" Ergebnis. "Keiner erkannte 

alle Mac-Viren, obwohl die Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen 

Vorsprung und viele Viren schon Jahre auf dem Buckel hatten", lautet das Fazit der Tester. Zum Zeitpunkt der 

Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten. 

"Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des 

Schädlings", heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr 

Sicherheit gebracht als jeder Scanner: Der beste enttarnte nur 82 Prozent der Schädlinge. Von den bei 

Windows-Scannern üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der 

Verhaltenserkennung von Schädlingen und der Phishing-Abwehr schnitten die Programme nicht besonders gut 

ab. 

Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. "Aus unserer Sicht ist das angesichts 

der Bedrohungslage nicht notwendig", sagt Tim Griese vom Bundesamt für Sicherheit in der 

Informationstechnik (BSI). Daran habe Flashback nichts geändert. Trotzdem gelte auch für Mac-Nutzer: "Mit 

offenen Augen und gesundem Menschenverstand durch die Welt gehen." Dazu gehöre zum Beispiel, nicht 


Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware - 

ebenso wie das Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem 

sollten unter "Softwareaktualisierung" stets aktuell gehalten werden, rät Griese. Das Update-Intervall stellt 

man am besten auf "täglich". 

Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer von 

Schadsoftware nach wie vor auf diesen "Markt" konzentrieren. Trotzdem: "Flashback hat gezeigt, dass auch 

1 von 2 12.07.2012 08:10

Druckansicht: Im Tal der Sorglosen: Brauchen Macs Virenschutz? http://www.fnp.de/ndp/print_rmn01.c.9984672.de.htm 

Mac OS X angreifbar ist", sagt Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität 

Bochum. Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem gibt, treffen sie oft Unvorbereitete: "Die 

typischen typischen Mac-Nutzer sind vermutlich ein wenig sorgloser." 

Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. "Sie bietet nie hundertprozentigen Schutz", sagt 

der Professor. Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen 

Einspielen von Updates sei deshalb auch für Mac-Nutzer Vorsicht im Internet unabdingbar. "Nicht auf alles 

klicken und ein gesundes Misstrauen helfen sehr", rät Holz. 

Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz erweitern 

möchte, kann zu Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von 

Seiten anhand von Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen 

der Seite. Auch eine kleine Änderung in den Einstellungen des Browsers kann die Sicherheit erheblich 

steigern. "Bei Java empfehlen wir immer, es nur zu aktivieren, wenn man es braucht", sagt Tim Griese. 

Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard mit Hinweis 

auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu 

(Xprotect) - die im "Mac&i"-Test aber nur einmal Alarm schlug. 

Hier geht es zum Apple-Support 

Web of Trust für verschiedene Browser (engl.) 

Mac- hinken Windows-Scannern hinterher 

In einem Test von sechs Mac-Virenscannern der Zeitschrift "Mac&i" brachte es der beste Prüfling, Kaspersky 

Anti-Virus 2011, auf eine Erkennungsrate von 82 Prozent. Mit 78 Prozent kaum schlechter schnitt das 

kostenlose Sophos Anti-Virus ab. Verglichen mit Windows-Scannern, die ein Vielfaches an Schädlingen 

erkennen müssen und trotzdem Quoten von weit über 90 Prozent erreichen, ist das zu wenig. 

© 2012 Bad Vilbeler Neue Presse 

2 von 2 12.07.2012 08:10

Hamburger Morgenpost - Viren bedrohen auch Apple-Rechner http://www.mopo.de/digital/-apple-rechner-auch-mac-user-sind-von-vi... 

IMACS UND MACBOOKS 

Digital - 7.7.2012 

Windows-Nutzer machen sich schon lange keine Illusionen mehr über die 

Bedrohungslage ihres Betriebssystems: Virenscanner und Vorsicht sind 

Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor 

Schadsoftware, während Hersteller von Virenwächtern spätestens seit dem 

Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch 

Tests stellen den Programmen kein gutes Zeugnis aus. Macht nichts, sagen 

Experten. Man kann iMacs und MacBooks auch weiter ohne Scanner nutzen 

– Umsicht vorausgesetzt. 

Virenalarm auf dem Mac: Der Flashback-Trojaner Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte 

hat gezeigt, dass auch Apple-Rechner verwundbar 

eine Java-Schwachstelle aus und drang über manipulierte Webseiten in die 

sind. 

Foto: dpa 

Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum 

Versenden von Spam-Mails missbraucht werden sollten. Hätten Virenscanner 

den Trojaner stoppen können? Wohl kaum. 


Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift 

„Mac&i“ getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai 

aktualisieren und erzielten trotzdem nur ein „enttäuschendes“ Ergebnis. „Keiner erkannte alle Mac-Viren, obwohl die 

Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf 

dem Buckel hatten“, lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich 


„Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des 

Schädlings“, heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit 

gebracht als jeder Scanner: Der beste Prüfling, Kaspersky Anti-Virus 2011, brachte auf eine Erkennungsrate von 82 

Prozent. Mit 78 Prozent kaum schlechter schnitt das kostenlose Sophos Anti-Virus ab. Von den bei Windows-Scannern 

üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von 

Schädlingen und der Phishing-Abwehr schnitten die Programme nicht besonders gut ab. 


Experten halten Mac-Virenscanner derzeit für verzichtbar. „Aus unserer Sicht ist das angesichts der Bedrohungslage 

nicht notwendig“, sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback 

nichts geändert. Trotzdem gelte auch für Mac-Nutzer: „Mit offenen Augen und gesundem Menschenverstand durch die 

Welt gehen.“ Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen. 

Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware – ebenso wie 

das Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter 

„Softwareaktualisierung“ stets aktuell gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf 

1 von 2 12.07.2012 08:31

Hamburger Morgenpost - Viren bedrohen auch Apple-Rechner http://www.mopo.de/digital/-apple-rechner-auch-mac-user-sind-von-vi... 

„täglich“. 

Gute Gute 90 Prozent Prozent aller Computer laufen laufen mit Windows. Kein Wunder, dass sich Programmierer Programmierer von Schadsoftware nach 

wie vor auf diesen „Markt“ „Markt“ konzentrieren. Trotzdem: „Flashback hat gezeigt, dass auch Mac OS X angreifbar ist“, sagt 

Prof. Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das 

Apple-Betriebssystem gibt, treffen treffen sie oft Unvorbereitete: „Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser.“ 

Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. „Sie bietet nie hundertprozentigen Schutz“, sagt der 

Professor. Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von 

Updates sei deshalb deshalb auch für Mac-Nutzer Vorsicht im Internet unabdingbar. „Nicht auf alles klicken und ein gesundes 

Misstrauen helfen sehr“, rät Holz. 



Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von 

Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine 

Änderung in den Einstellungen des Browsers kann die Sicherheit erheblich steigern. „Bei Java empfehlen wir immer, es 

nur zu aktivieren, wenn man es braucht“, sagt Tim Griese. 



Quarantine). Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu (Xprotect) – die im „Mac&i“-Test aber nur 

einmal Alarm schlug. (dpa) 

Artikel URL: http://www.mopo.de/digital/-apple-rechner-auch-mac-user-sind-von-viren-bedroht,5066770,16596506.html 

Copyright © 2011 Hamburger Morgenpost 

2 von 2 12.07.2012 08:31

Im Tal der Sorglosen: Brauchen Macs Virenschutz? - Münstersche Zeitung http://www.muensterschezeitung.de/leben/digitale_welt/multimedia_n... 

Berlin (dpa/tmn) Seit Flashback ist nichts mehr, wie es einmal war. Der Mac-Trojaner hat Apple-Nutzer nachhaltig 

verunsichert. Schließlich galt jahrelang, dass Virenschutz für Macs mangels Bedrohung unnötig ist. Hat sich die Lage 

nun geändert? 

Von Dirk Averesch, dpa 

Virenalarm auf dem Mac: Der Flashback-Trojaner hat gezeigt, dass auch Apple-Rechner verwundbar sind. Foto: Andrea 

Warnecke (Foto: dpa) 

Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres Betriebssystems: Virenscanner 

und Vorsicht sind Pflicht. Viele Apple-Jünger wähnen sich dagegen in Sicherheit vor Schadsoftware, während Hersteller von 

Virenwächtern spätestens seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch Tests stellen 

den Programmen kein gutes Zeugnis aus. Macht nichts, sagen Experten. Man kann Macs auch weiter ohne Scanner nutzen - 

Umsicht vorausgesetzt. 

Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der Trojaner nutzte eine Java-Schwachstelle aus und drang über 

manipulierte Webseiten in die Systeme ein. Schnell waren weltweit hunderttausende Macs befallen, die zum Versenden von 

Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum. 

Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift «Mac&i» 

getestet - mit einer im April eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai aktualisieren und 

erzielten trotzdem nur ein «enttäuschendes» Ergebnis. «Keiner erkannte alle Mac-Viren, obwohl die Signatur-Updates 

gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel hatten», 

lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner tatsächlich Schutz vor Flashback geboten. 

«Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf befindlichen Varianten des Schädlings», 

heißt es weiter im Test. Selbst die verspätet bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder 

Scanner: Der beste enttarnte nur 82 Prozent der Schädlinge. Von den bei Windows-Scannern üblichen Erkennungsquoten von 

90 Prozent und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von Schädlingen und der Phishing-Abwehr 

schnitten die Programme nicht besonders gut ab. 

Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. «Aus unserer Sicht ist das angesichts der 

Bedrohungslage nicht notwendig», sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe 

Flashback nichts geändert. Trotzdem gelte auch für Mac-Nutzer: «Mit offenen Augen und gesundem Menschenverstand durch 

die Welt gehen.» Dazu gehöre zum Beispiel, nicht gleich jeden Mailanhang zu öffnen. 

Schließlich sind Office, Flash oder der Adobe Reader auch auf dem Mac Einfallstore für Schadsoftware - ebenso wie das 

Installieren von Software aus zweifelhaften Quellen. Anwendungen und das Betriebssystem sollten unter 

«Softwareaktualisierung» stets aktuell gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf «täglich». 

1 von 2 12.07.2012 08:52

Im Tal der Sorglosen: Brauchen Macs Virenschutz? - Münstersche Zeitung http://www.muensterschezeitung.de/leben/digitale_welt/multimedia_n... 

Hier geht es zum Apple-Support 

Web of Trust für verschiedene Browser (engl.) 

In einem Test von sechs Mac-Virenscannern der Zeitschrift «Mac&i» brachte es der beste Prüfling, Kaspersky Anti-Virus 2011, 

auf eine Erkennungsrate von 82 Prozent. Mit 78 Prozent kaum schlechter schnitt das kostenlose Sophos Anti-Virus ab. 

Verglichen mit Windows-Scannern, die ein Vielfaches an Schädlingen erkennen müssen und trotzdem Quoten von weit über 90 

Prozent erreichen, ist das zu wenig. 

Gute 90 90 Prozent aller aller Computer laufen mit Windows. Windows. Kein Wunder, dass sich Programmierer von Schadsoftware nach wie vor vor 

auf diesen «Markt» konzentrieren. Trotzdem: «Flashback hat gezeigt, dass auch Mac OS X angreifbar ist», sagt Prof. Thorsten 

Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem 

gibt, treffen sie oft Unvorbereitete: «Die typischen Mac-Nutzer sind vermutlich ein wenig sorgloser.» 

Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. «Sie bietet nie hundertprozentigen Schutz», sagt der Professor. 

Gerade bei Mac-Virenscannern gebe es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei 

deshalb auch für rM Mac-Nutzer Vorsicht im Internet unabdingbar. «Nicht auf alles klicken und ein gesundes Misstrauen helfen 

sehr», rät Holz. 


Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von Bewertungen, 

die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den 

Einstellungen des Browsers kann die Sicherheit erheblich steigern. «Bei Java empfehlen wir immer, es nur zu aktivieren, wenn 

man es braucht», sagt Tim Griese. 

Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard mit Hinweis auf die Herkunft 

bestätigen (File Quarantine). Mit Snow Leopard kam eine Schadsoftware-Erkennung hinzu (Xprotect) - die im «Mac&i»-Test 

aber nur einmal Alarm schlug. 

Das könnte Sie auch interessieren 

hier werben 

23-jährige Schülerin aus Ibbenbüren getötet 

IBBENBÜREN Das Schicksal der vermissten 

23-jährigen Schülerin Natali Isajenko aus Ibbenbüren 

ist... mehr 

Jetzt einstreichen: o2 Blue Allnet Professional 

Alle-Netze-Flat + Extras für Selbständige. Kostenlose 

Hotline – Jetzt beraten lassen und gewinnen mehr 

Wilhelm Schulz ist tot 

STEINFURT Der ehemalige Stadtwerke- 

Geschäftsführer Wilhelm Schulz ist tot. Er nahm sich 

am... mehr 

Uni Münster entzieht Arzt den Doktortitel 

Die brisante Nachricht kam am Donnerstagabend um 

kurz nach 20 Uhr per Mail: Die Medizinische... mehr 

Fußball-Bundesliga: 1. FC Köln - BVB 

Schlechtes Wetter, gutes Spiel: Der BVB bleibt in der 

Erfolgsspur. Beim 1. FC Köln gewannen die... mehr 

Heizkostenrechnung zu hoch? 

Eine Carbon Fassadendämmung spart bis zu 40% 

Heizkosten. Und erhält die Bausubstanz für lange 

Zeit. mehr 

powered by plista 

2 von 2 12.07.2012 08:52

Im Tal der Sorglosen: Brauchen Macs Virenschutz? | WESER-KURIER http://www.weser-kurier.de/Druckansicht/Ratgeber/Multimedia/News/... 

http://www.weser-kurier.de/Artikel/Ratgeber/Multimedia/News/626028/Im-Talder-Sorglosen%3A-Brauchen-Macs-Virenschutz%3F.html 

Verbraucher - 11.07.2012 

Im Tal der Sorglosen: Brauchen Macs Virenschutz? 

Berlin. Seit Flashback ist nichts mehr, wie es einmal war. Der Mac-Trojaner 

hat Apple-Nutzer nachhaltig verunsichert. Schließlich galt jahrelang, dass 

Virenschutz für Macs mangels Bedrohung unnötig ist. Hat sich die Lage nun 

geändert? 

Windows-Nutzer machen sich schon lange 

keine Illusionen mehr über die 


Virenscanner und Vorsicht sind Pflicht. Viele 

Apple-Jünger wähnen sich dagegen in 

Sicherheit vor Schadsoftware, während 

Hersteller von Virenwächtern spätestens seit 

dem Durchmarsch des Flashback-Trojaners 

für ihre Mac-Scanner trommeln. Doch Tests 

stellen den Programmen kein gutes Zeugnis 

aus. Macht nichts, sagen Experten. Man 

kann Macs auch weiter ohne Scanner nutzen 

- Umsicht vorausgesetzt. 

© dpa 

Virenalarm auf dem Mac: Der 

Flashback-Trojaner hat gezeigt, dass 

auch Apple-Rechner verwundbar 

sind. Foto: Andrea Warnecke 


Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. 

Schnell waren weltweit hunderttausende Macs befallen, die zum Versenden von 

Spam-Mails missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen 

können? Wohl kaum. 

Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch 

Echtzeitschutz bieten, hat die Zeitschrift "Mac&i" getestet - mit einer im April 

eingefrorenen Schädlingsauswahl. Die Programme durften sich sogar bis Mitte Mai 

aktualisieren und erzielten trotzdem nur ein "enttäuschendes" Ergebnis. "Keiner 

erkannte alle Mac-Viren, obwohl die Signatur-Updates gegenüber den Testschädlingen 

mindestens zwei Wochen Vorsprung und viele Viren schon Jahre auf dem Buckel 

hatten", lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein 

Virenscanner tatsächlich Schutz vor Flashback geboten. 

"Selbst Wochen später kennen die getesteten AV-Programme nicht alle im Umlauf 

befindlichen Varianten des Schädlings", heißt es weiter im Test. Selbst die verspätet 

bereitgestellten Updates von Apple hätten mehr Sicherheit gebracht als jeder 

Scanner: Der beste enttarnte nur 82 Prozent der Schädlinge. Von den bei Windows- 

Scannern üblichen Erkennungsquoten von 90 Prozent und mehr ist das weit entfernt. 

Auch bei der Verhaltenserkennung von Schädlingen und der Phishing-Abwehr 

schnitten die Programme nicht besonders gut ab. 

Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. "Aus unserer 

Sicht ist das angesichts der Bedrohungslage nicht notwendig", sagt Tim Griese vom 

Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran habe Flashback 

nichts geändert. Trotzdem gelte auch für Mac-Nutzer: "Mit offenen Augen und 

gesundem Menschenverstand durch die Welt gehen." Dazu gehöre zum Beispiel, nicht 

von 2 12.07.2012 08:36

Im Tal der Sorglosen: Brauchen Macs Virenschutz? | WESER-KURIER http://www.weser-kurier.de/Druckansicht/Ratgeber/Multimedia/News/... 



Schadsoftware - ebenso wie das Installieren von Software aus zweifelhaften Quellen. 

Anwendungen und das Betriebssystem sollten unter "Softwareaktualisierung" stets 

aktuell gehalten werden, rät Griese. Das Update-Intervall stellt man am besten auf 

"täglich". 

Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich 

Programmierer von Schadsoftware nach wie vor auf diesen "Markt" konzentrieren. 

Trotzdem: "Flashback hat gezeigt, dass auch Mac OS X angreifbar ist", sagt Prof. 

Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum. 

Und wenn es Angriffe auf das Apple-Betriebssystem gibt, treffen sie oft 

Unvorbereitete: "Die typischen Mac-Nutzer sind vermutlich ein wenig wenig sorgloser." 

Antivirensoftware ist immer nur Teil des Sicherheitskonzepts. "Sie bietet nie 

hundertprozentigen Schutz", sagt der Professor. Gerade bei Mac-Virenscannern gebe 

es noch viel Entwicklungsbedarf. Neben dem zeitnahen Einspielen von Updates sei 

deshalb auch für Mac-Nutzer Vorsicht im Internet unabdingbar. "Nicht auf alles klicken 

und ein gesundes Misstrauen Misstrauen helfen sehr", rät Holz. 

Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den 

Grundschutz erweitern möchte, kann zu Erweiterungen wie Web of Trust (WOT) 

greifen. Letzteres prüft die Vertrauenswürdigkeit von Seiten anhand von 

Bewertungen, die die Nutzer abgegeben haben und warnt gegebenenfalls vor dem 

Öffnen der Seite. Auch eine kleine Änderung in den Einstellungen des Browsers kann 

die Sicherheit erheblich steigern. "Bei Java empfehlen wir immer, es nur zu aktivieren, 

wenn man es braucht", sagt Tim Griese. 

Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit 

Leopard mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard 

kam eine Schadsoftware-Erkennung hinzu (Xprotect) - die im "Mac&i"-Test aber nur 

einmal Alarm schlug. (dpa/tmn) 

von 2 12.07.2012 08:36

Echo Online - Mac-Trojaner verunsichert Apple-Nutzer http://www.echo-online.de/freizeit/multimedia/digitales/Mac-Trojaner-... 

DIGITALES 

Mac-Trojaner verunsichert Apple-Nutzer 

13. Juli 2012 | | Von Dirk Averesch | 

Virengefahr – Bisher fühlten sich Apple-Nutzer gegen Schadsoftware gefeit, doch der 

Flashback-Trojaner hat die Illusionen zerstört 

Seit Flashback ist nichts mehr, wie es einmal war. Der Mac-Trojaner hat Apple-Nutzer 

nachhaltig verunsichert. Schließlich galt jahrelang, dass Virenschutz für Macs mangels 

Bedrohung unnötig ist. Offenbar hat sich die Lage nun geändert. 

Windows-Nutzer machen sich schon lange keine Illusionen mehr über die Bedrohungslage ihres 

Betriebssystems: Virenscanner und Vorsicht sind Pflicht. Viele Apple-Jünger wähnen sich 

dagegen in Sicherheit vor Schadsoftware, während Hersteller von Virenwächtern spätestens 

seit dem Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner trommeln. Doch Tests 

stellen den Programmen kein gutes Zeugnis aus. 


Java-Schwachstelle aus und drang über manipulierte Webseiten in die Systeme ein. Schnell 

waren weltweit hunderttausende Macs befallen, die zum Versenden von Spam-Mails 

missbraucht werden sollten. Hätten Virenscanner den Trojaner stoppen können? Wohl kaum. 

Am Markt gibt es ein Dutzend Mac-Virenscanner. Sechs davon, die auch Echtzeitschutz bieten, 

hat die Zeitschrift „Mac&i“ getestet – mit einer im April eingefrorenen Schädlingsauswahl. Die 

Programme durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein 

„enttäuschendes“ Ergebnis. „Keiner erkannte alle Mac-Viren, obwohl die Signatur-Updates 

gegenüber den Testschädlingen mindestens zwei Wochen Vorsprung und viele Viren schon 

Jahre auf dem Buckel hatten“, lautet das Fazit der Tester. Zum Zeitpunkt der Entdeckung habe 

kein Virenscanner Schutz vor Flashback geboten. Selbst die verspätet bereitgestellten Updates 

von Apple hätten mehr Sicherheit gebracht als jeder Scanner. Auch bei der 

Verhaltenserkennung von Schädlingen und der Phishing-Abwehr schnitten die Programme nicht 


Doch Experten halten Mac-Virenscanner derzeit ohnehin für verzichtbar. „Aus unserer Sicht ist 

das angesichts der Bedrohungslage nicht notwendig“, sagt Tim Griese vom Bundesamt für 

Sicherheit in der Informationstechnik (BSI). Daran habe Flashback nichts geändert. Trotzdem 

gelte auch für Mac-Nutzer: „Mit offenen Augen und gesundem Menschenverstand durch die 

Welt gehen.“ Dazu gehöre zum Beispiel, nicht jeden Mailanhang zu öffnen. 


Schadsoftware – ebenso wie Software aus zweifelhaften Quellen. Anwendungen und das 

Betriebssystem sollten unter „Softwareaktualisierung“ stets aktuell gehalten werden, rät 

Griese. 

Gute 90 Prozent aller Computer laufen mit Windows. Kein Wunder, dass sich Programmierer 

von Schadsoftware nach wie vor auf diesen „Markt“ konzentrieren. Trotzdem: „Flashback hat 

gezeigt, dass auch Mac OS X angreifbar angreifbar ist“, sagt Thorsten Holz vom Lehrstuhl für 

Systemsicherheit an der Ruhr-Universität Bochum. Und wenn es Angriffe auf das Apple- 

Betriebssystem gibt, treffen sie oft Unvorbereitete: „Die typischen Mac-Nutzer sind vermutlich 

vermutlich 

ein wenig sorgloser. 

sorgloser.“ 

Einen Phishing-Schutz bieten heute schon fast alle aktuellen Browser. Wer den Grundschutz 

erweitern möchte, kann zu Erweiterungen wie Web of Trust (WOT) greifen. Letzteres prüft die 

Vertrauenswürdigkeit von Seiten anhand von Bewertungen, die die Nutzer abgegeben haben 

und warnt gegebenenfalls vor dem Öffnen der Seite. Auch eine kleine Änderung in den 

Einstellungen des Browsers kann die Sicherheit erheblich steigern. „Bei Java empfehlen wir 

immer, es nur zu aktivieren, wenn man es braucht“, sagt Tim Griese. 

Und was tut Apple? Bevor Software aus dem Netz erstmals startet, muss man das seit Leopard 

mit Hinweis auf die Herkunft bestätigen (File Quarantine). Mit Snow Leopard kam eine 

Schadsoftware-Erkennung hinzu (Xprotect), die im „Mac&i“-Test aber nur einmal Alarm schlug. 

von 1 16.07.2012 09:00

Geldinstitute http://www.geldinstitute.de/data/news/druck/drucklayout_7595731.html 

Home » 

Nachrichten 

Sicherheit im Cyberspace 

13.07.2012 

Um die Unternehmen der Technologie-Region Karlsruhe über die aktuelle 

Entwicklung der Risiken und Bedrohungen sowie mögliche Schutzmaßnahmen 

zu informieren, führte die Karlsruher IT-Sicherheitsinitiative zusammen mit 

der IHK Karlsruhe, dem Kompetenzzentrum für angewandte 

Sicherheitstechnologie am KIT und dem CyberForum e.V. bereits das vierte 

Jahr in Folge den „Tag der IT-Sicherheit“ durch. 

Den Vorträgen folgten knapp 110 Verantwortliche für Datenschutz und Datensicherheit 

aus den Unternehmen der Region. 

Nach einem Einblick in aktuelle Angriffstechniken („Live-Hacking“) des aus 

Fernsehauftritten bekannten Sebastian Schreiber, Geschäftsführer der SySS GmbH, 

zeigte Professor Güneysu von der Ruhr-Universität Bochum welchen Bedrohungen 

Hardware-Systeme wie Chipkarten, Garagentoröffner oder Autoschlüssel heute 

ausgesetzt sind. 

Professor Müller-Quade, Leiter des Instituts für Kryptographie und Sicherheit am KIT 

und Mitinitiator von KASTEL, stellte anschließend vor, welche „Wunder“ mit 

Verschlüsselungstechniken möglich sind. 

Wie Sicherheit im Unternehmen von Anfang an, also „by Design“ berücksichtigt werden 

kann, zeigte Wolfgang Reibenspies, Chief Information Security Officer (CISO) bei der 

EnBW. 

Abschließend skizzierte Dr. Boris Hemkemeier von der Commerzbank AG, welche 

sicherheitstechnischen Herausforderungen eine Internet-Anwendung wie Online- 

Banking für den Anbieter darstellt – und wie Banken sich und ihre Kunden heute vor 

den Bedrohungen aus dem „Cyberspace“schützen. 

Die Vorträge zum „4. Tag der Sicherheit“ stehen ab dem 17. Juli 2012 online unter 

www.tag-der-it-sicherheit.de zum Download bereit. 

1 von 1 16.07.2012 08:15

Nach dem Angriff auf die Seiten der Stadt Bochum jagt der Staatsanwa... http://www.derwesten.de/staedte/bochum/nach-dem-angriff-auf-die-sei... 

von 3 18.07.2012 08:34


von 3 18.07.2012 08:34


von 3 18.07.2012 08:34

Mantelbogen 

Bochum 18.07.2012

Mantelbogen 

Bochum 17.07.2012

Cloud-Computing-21.de vom 23.07.2012 

Seite: Online 23.07.2012, 18:36 Uhr Nummer: 459605989 

Gattung: Online-Quelle 

Weblink: http://www.cloud-computing-21.de/nc/cloudcomputing-news/artikel/59286-eco-it-sicherheit-in-nrw-durch-netzwerk/256/ 

Eco: IT-Sicherheit in NRW durch Netzwerk 

Starkes Netzwerk IT-Sicherheit.NRW gegen Bedrohungen 

Köln, 23.07.12 - Unternehmen gegen 

Sicherheitsrisiken wappnen, Wissenschaft 

und Wirtschaft zusammenbringengen 

und Trends in die Zukunft begleiten 

- das hat sich das Netzwerk IT- 

Sicherheit.NRW auf die Fahnen Fahnen 

geschrieben. Gemeinsam setzen sich das 

Horst Götz Institut Institut für IT-Sicherheit 

(HGI) der Ruhr-Universität Bochum, 

die networker NRW und eco - Verband Verband 

der der deutschen deutschen Internetwirtschaft Internetwirtschaft in in dem dem 

Projekt für mehr IT-Sicherheit IT-Sicherheit am 

Standort NRW NRW ein. Unterstützt werden 

sie dabei von der IHK Mittleres Ruhrgebiet, 

dem Europäischen Kompetenzzentrum 

für IT-Sicherheit (eurobits) und der 

Wirtschaftsförderung der Stadt Bochum. 

Das Ministerium Ministerium für für Wirtschaft, Energie, 

Bauen, Wohnen Wohnen und Verkehr des 

Landes Nordrhein-Westfalen hat jetzt 

die Projektförderung bewilligt. 

"IT-Sicherheit ist für den Erfolg von 

Unternehmen ein zentrales Thema: 

Jedes Unternehmen muss wissen, wie es 

Firmengeheimnisse schützt und Infrastrukturen 

absichert. Auf neue Bedro- 

Wörter: 361 


hungen müssen wir sehr schnell reagieren 

können. Dabei will das Netzwerk 

IT-Sicherheit.NRW helfen. Mit über 

300 Unternehmen aus der Security- 

Branche und 20 Hochschul- und Forschungseinrichtungen 

ist Nordrhein- 

Westfalen der ideale Standort für ein 

solches Netzwerk - ein europäischer 

Spitzenplatz", sagt eco Geschäftsführer 

Harald A. Summa. Prof. Alexander 

May, geschäftsführender Direktor des 

Horst Görtz Instituts für IT-Sicherheit 

der Ruhr-Universität Bochum, ergänzt: 

"Der IT-Sicherheit kommt eine zentrale 

Rolle in unserer heutigen digitalen Welt 

zu. Das Land NRW beheimatet eine 

Fülle von Spezialisten, sowohl in der 

Industrie als auch in der Wissenschaft, 

die unterschiedliche Aspekte von IT- 

Sicherheit abdecken. Das Projekt IT- 

Sicherheit.NRW fördert deren Zusammenarbeit 

und erhöht ihre Sichtbarkeit 

nach außen." 

"Die von Seiten des Landes NRW 

erfolgte Bewilligung gibt uns nun die 

Planungssicherheit und Möglichkeit, die 

Aktivitäten um das Thema IT-Sicherheit 

in Nordrhein-Westfalen gemeinsam 

mit dem HGI und dem eco zu forcieren. 

Wir haben ein großes Potenzial, das 

sukzessive ausgebaut werden kann", so 

Hubert Martens, Geschäftsführer des 

networker NRW e. V. 

IT-Sicherheit.NRW wird mit Fachvorträgen 

und Expertenworkshops zu 

Sicherheitsrisiken und Schutzmaßnahmen 

informieren, Netzwerke zwischen 

Innovationspartnern fördern und ein 

Karriereforum für Unternehmen und 

Hochschulabsolventen im Bereich IT- 

Sicherheit aufbauen. Der Fokus des Projekts 

liegt auf der Netzwerk- und Datensicherheit, 

Sicherheit im E-Business, 

Cloud Computing und IT-Recht. 

finden sich aktuelle Termine für Veranstaltungen 

des Netzwerks, beispielsweise 

die Internet Security Days vom 

11. bis 12. September 2012 im Phantasialand 

in Brühl bei Köln. (jpp)

Regionales Netzwerk gegen IT-Bedrohungen - Computer Reseller News http://www.crn.de/security/artikel-96156.html 

Computer Reseller News 

Home » Security 

IT-Sicherheit für NRW: 

Regionales Netzwerk gegen IT-Bedrohungen 

von Folker Lück (folker.lueck@crn.de) 

23.07.2012 

Das neugegründete Netzwerk »IT-Sicherheit.NRW« hat sich auf die Fahnen geschrieben, 

Unternehmen gegen Sicherheitsrisiken zu wappnen, Wissenschaft und Wirtschaft 

zusammenzubringen und Zukunftstrends zu ermitteln. 

Für mehr IT-Sicherheit im Bundesland Bundesland Nordrhein-Westfalen setzen 

sich künftig das Horst Götz Institut für IT-Sicherheit (HGI), die 

Ruhr-Universität Bochum und die Verbände »networker NRW« und 

»eco – Verband der deutschen Internetwirtschaft« in dem Projekt 

ein. Unterstützt werden sie dabei von der IHK Mittleres Ruhrgebiet, 

dem Europäischen Kompetenzzentrum für IT-Sicherheit (eurobits) 

und der Wirtschaftsförderung der Stadt Bochum. Das Ministerium für 

Wirtschaft, Energie, Bauen, Wohnen und Verkehr des Landes 

Nordrhein-Westfalen hat jetzt die Projektförderung bewilligt. 

»IT-Sicherheit ist für den Erfolg von Unternehmen ein zentrales 

Thema: Jedes Unternehmen muss wissen, wie es Firmengeheimnisse 

schützt und Infrastrukturen absichert. Auf neue Bedrohungen 

müssen wir sehr schnell reagieren können. Dabei will das Netzwerk 

IT-Sicherheit.NRW helfen. Mit über 300 Unternehmen aus der 

Security-Branche und 20 Hochschul- und Forschungseinrichtungen 

ist Nordrhein-Westfalen der ideale Standort für ein solches Netzwerk 

– ein europäischer Spitzenplatz«, sagt eco Geschäftsführer Harald A. 

Summa. 

Wappen des Bundeslands 

Nordrhein-Westfalen: »Der 

ideale Standort für ein solches 

Netzwerk«. 

»IT-Sicherheit.NRW« will künftig mit Fachvorträgen und Expertenworkshops zu Sicherheitsrisiken und 

Schutzmaßnahmen informieren, Netzwerke zwischen Innovationspartnern fördern und ein 

Karriereforum für Unternehmen und Hochschulabsolventen im Bereich IT-Sicherheit aufbauen. Der 

Fokus des Projekts liegt auf der Netzwerk- und Datensicherheit, Sicherheit im E-Business, Cloud 

Computing und IT-Recht. 

Unter http://itsicherheit-nrw.de/ [1] finden sich aktuelle Termine für Veranstaltungen des Netzwerks, 

beispielsweise die Internet Security Days vom 11. bis 12. September 2012 im Phantasialand in Brühl 

bei Köln. 

[1] http://itsicherheit-nrw.de/ 

VERWANDTE ARTIKEL 

Westcon Technologietag – IT-Security trifft auf Filmgeschichte 

(http://www.crn.de/security/artikel-95990.html) 

Länder sollen für Speicherung zahlen – Eco-Verband kritisiert Vorratsdatenspeicherung 

(http://www.crn.de/netzwerke-tk/artikel-91067.html) 

1 von 1 24.07.2012 08:15

Business und IT, die Zeitschrift für den erfolgreichen Geschäftsmann -... http://www.business-und-it.de/news_trends_strategien/show_article.ph... 

Microsoft: 

Mehr Sicherheit, mehr 

Performance - der neue 

Internet Explorer 9 von 

Microsoft! 

Lesen Sie hier mehr ... 

News 

Business & IT Newsletter 

Aktuelles Heft 

IT Strategien 

IT-Praxis 

Unternehmensführung 

Business-Hardware 

Business-Software 

Expertenmeinung 

Arbeitsdokumente 

KarriereCenter 

B2B Forum/Markt 

Media 

Impressum 

Online-Shop 

News zu IT-Lösungen: 

05.07 - Dell 

Dell Newsletter 

Businesshelden 

view 

News, Trends, Strategien 

Business & IT Newsletter | Preisvergleich | Software Guide 

Regionales Netzwerk gegen IT-Bedrohungen 

Das neugegründete Netzwerk »IT-Sicherheit.NRW« hat sich auf die Fahnen geschrieben, 

Unternehmen gegen Sicherheitsrisiken zu wappnen, Wissenschaft und Wirtschaft 

zusammenzubringen und Zukunftstrends zu ermitteln. 

Für mehr IT-Sicherheit im Bundesland Nordrhein-Westfalen setzen sich künftig g das Horst Götz Institut für 

IT-Sicherheit (HGI), die Ruhr-Universität Bochum und die Verbände »networker NRW« und »eco - Verband der 

deutschen Internetwirtschaft« in dem Projekt ein. Unterstützt werden sie dabei von der IHK Mittleres Ruhrgebiet, 

dem Europäischen Kompetenzzentrum für IT-Sicherheit (eurobits) und der Wirtschaftsförderung der Stadt 

Bochum. Bochum. Das Ministerium für Wirtschaft, Energie, Bauen, Wohnen und Verkehr des Landes Nordrhein-Westfalen 

hat hat jetzt die Projektförderung bewilligt.»IT-Sicherheit ist für den Erfolg von Unternehmen ein zentrales Thema: 

Jedes Unternehmen muss wissen, wie es Firmengeheimnisse schützt und Infrastrukturen absichert. 

Auf neue 

Bedrohungen müssen wir sehr schnell reagieren können. Dabei will das Netzwerk IT-Sicherheit.NRW helfen. Mit 

über 300 Unternehmen aus der Security-Branche und 20 Hochschul- und Forschungseinrichtungen ist Nordrhein- 

Westfalen der ideale Standort für ein solches Netzwerk - ein europäischer Spitzenplatz«, sagt eco 

Geschäftsführer Harald A. Summa.»IT-Sicherheit.NRW« will künftig mit Fachvorträgen und Expertenworkshops 

zu Sicherheitsrisiken und Schutzmaßnahmen informieren, Netzwerke zwischen Innovationspartnern fördern und 

ein Karriereforum für Unternehmen und Hochschulabsolventen im Bereich IT-Sicherheit aufbauen. Der Fokus des 

Projekts liegt auf der Netzwerk- und Datensicherheit, Sicherheit im E-Business, Cloud Computing und 

IT-Recht.Unter http://itsicherheit-nrw.de/ finden sich aktuelle Termine für Veranstaltungen des Netzwerks, 

beispielsweise die Internet Security Days vom 11. bis 12. September 2012 im Phantasialand in Brühl bei Köln. 

zurück zur Übersicht 

© 2000-2012 All Rights Reserved. 

Alle Rechte vorbehalten 

WEKA MEDIA PUBLISHING GmbH 

Verwandte Webseiten: 

Hardware-Tests * Office-Tipps * Webprogrammierung * Computer-Bücher * www.crn.de 

von 1 24.07.2012 08:13

iX magazin vom 26.07.2012 

Seite: 102 bis 107 Nummer: 08 

Gattung: Zeitschrift Auflage: 59.960 (gedruckt) 42.183 (verkauft) 


Jahrgang: 2012 

Wissen 

Kryptografie 

Kryptografie 

Kryptoalgorithmus für eingebettete 

Systeme 

Verschlüsseln 

für die Kleinen 

Klaus Schmeh 

PRESENT ist ein neues Verschlüsselungsverfahren 

speziell für 

RFID-Chips und andere ressourcenarme 

Hardware. Angesichts des Trends, 

Computer-Chips nahezu überall einzubauen 

(Ubiquitous 

Computing), ist der Bedarf an derartigen 

Algorithmen groß. 

Da PRESENT kürzlich von der ISO 

standardisiert wurde, könnte 

das Verfahren in den nächsten Jahren 

erheblich an Bedeutung 

gewinnen. 

Wir brauchen Sicherheit mit weniger 

als 2000 Gattern , forderte im Jahr 2002 

der RFID-Visionär Sanjay Sarma. 

Gemeint war damit ein Verschlüsselungsverfahren, 

das sich mit einer entsprechend 

geringen Gatterzahl implementieren 

lassen sollte. Damals wie 

heute galt der Advanced Encryption 

Standard (AES) als das Maß aller 

Dinge, wenn es um das (symmetrische) 

Verschlüsseln geht [1]. 

Das AES-Verfahren, das im Jahr 2000 

nach einem mehrjährigen Wettbewerb 

aus 15 Kandidaten ausgewählt wurde, 

ist offizieller US-Standard und hat sich 

auch in anderen Ländern durchgesetzt. 

Vom kostenlosen PC-Verschlüsselungstool 

über den E-Mail-Client bis zu hochsicheren 

Militäranwendungen ist der 

Algorithmus heute nahezu überall anzutreffen. 

Theoretische Überlegungen lassen 

es wahrscheinlich erscheinen, dass 

der AES niemals geknackt werden wird. 

Etwa 3000 Gatter sind notwendig, das 

Verfahren in Hardware zu implementieren 

- nach Meinung von Sarma zu viel 

für einen RFID-Chip. 

Geiz mit Gattern 

Neben RFID-Chips gibt es noch wei- 

tere Plattformen, auf denen nur geringe 

Hardwareressourcen zur Verfügung stehen, 

etwa Chipkarten, Sensoren, Autoschlüssel 

oder Herzschrittmacher. Verschlüsselung 

spielt in solchen Umgebungen 

eine wichtige Rolle. Man denke 

nur an RFID-Chips, die mit einem kryptografischen 

Verfahren vor Fälschung 

geschützt werden. Da derartige Kleinstcomputer 

zudem im Moment einen 

Boom erleben - Ziel ist das Ubiquitous 

Computing , also die allgegenwärtige 

Computertechnik -, beschäftigen sich 

längst zahlreiche Kryptologen mit speziell 

für Low-End-Umgebungen geeigneten 

Verschlüsselungsverfahren. 

Auf einem einfachen RFID-Chip stehen 

oft nur 5000 bis 10 000 Gatter zur 

Verfügung. Davon sollen möglichst 

wenige für die Verschlüsselung geopfert 

werden, am besten nicht mehr als 

die anfangs erwähnten 2000. Zwar lassen 

sich auf diese Weise meist nur 

Bruchteile eines Cent einsparen, doch 

bei großen Stückzahlen macht sich 

selbst das bemerkbar. Noch wichtiger 

als niedrige Kosten ist oft ein möglichst 

geringer Energieverbrauch: Ein Batteriewechsel 

ist in vielen eingebetteten 

Systemen nun einmal recht aufwendig. 

Da sich bei einem Verschlüsselungsverfahren 

die Anzahl der Gatter etwa proportional 

zum verbrauchten Strom verhält, 

lohnt sich die Sparsamkeit. Die 

Situation entbehrt nicht einer gewissen 

Komik: Während Server, PCs und 

Smartphones längst in Gigahertz- und 

Gigabyte-Dimensionen vorgestoßen 

sind, muss so mancher Kryptologe mit 

einzelnen Bytes und Gattern geizen. 

Hochsicherheit nicht immer nötig 

Angesichts dieser Voraussetzungen 

haben Kryptologen schon so manchen 

Low-End-Verschlüsselungsalgorithmus 

für ressourcenarme Plattformen entwickelt. 

Bei der Sicherheit konnten sie 

dabei meist Abstriche machen. So muss 

beispielsweise die verschlüsselte Mel- 

dung eines Sensors im Chemiewerk 

nicht für alle Zeiten unknackbar sein - 

ein paar Tage tun es zur Not auch. 

Ebenso wenig würde jemand ein Millionen-Budget 

aufwenden, nur um ein mit 

RFID-Chip gesichertes Ersatzteil zu fälschen. 

Außerdem spielt die Verschlüsselungsgeschwindigkeit 

im Low-End- 

Bereich häufig keine zentrale Rolle, da 

auf Sensoren, RFID-Chips und ähnlichen 

Plattformen meist nur kurze Nachrichten 

verschlüsselt werden. 

Die meisten Designer von Low-End- 

Verschlüsselungsalgorithmen setzten 

lange Zeit auf sogenannte Stromchiffren. 

Darunter versteht man ein Verfahren, 

das schlüsselabhängig eine scheinbar 

zufällige Folge von Bits produziert 

(Keystream), die anschließend zum 

Klartext addiert wird. Der Empfänger 

entschlüsselt, indem er den Keystream 

wieder abzieht. Der AES ist dagegen 

keine Strom-, sondern eine Blockchiffre. 

Es handelt sich also um ein Verfahren, 

das (zumindest in seiner naheliegenden 

Verwendungsform) keinen Keystream 

produziert, sondern direkt blockweise 

verschlüsselt. 

Der AES ist kein Einzelfall, denn während 

im Low-End-Bereich Stromchiffren 

populär wurden, setzten sich 

andernorts größtenteils Blockchiffren 

durch. Diese Aufteilung hat vor allem 

historische Gründe - es spricht nichts 

dagegen, auch in Umgebungen mit 

wenigen Ressourcen Blockchiffren zu 

nutzen. Tatsächlich machten sich Kryptologen 

vor etwa zehn Jahren erstmals 

daran, Blockchiffren speziell für diesen 

Zweck zu entwickeln. Frühe Verfahren 

dieser Art hießen mCrypton (2005), 

SEA (2006) oder HIGHT (2006). Eine 

nennenswerte Verbreitung fanden sie 

nicht. 

Überall präsent: PRESENT 

Im Jahr 2007 kam mit PRESENT ein 

weiterer Low-End-VerschlüsselungsalLow-End-Verschlüsselungsalgorithmus 

dazu [2]. Er entstand 

nd 

d als

Koproduktion der Ruhr-Universität 

Bochum, der Orange Labs Frankreich 

und der Technischen Universität Dänemark. 

Christof Paar, Bochumer Professor 

und Mitglied des Entwicklerteams 

berichtet: PRESENT ist eine Ultra- 

Leichtgewichts-Blockchiffre. Der Name 

erklärt sich dadurch, dass das Verfahren 

zukünftig überall ,präsent sein soll - auf auf 

jedem noch noch so kleinen Computer-Chip, 

der irgendwo irgendwo in einem Gegenstand 

steckt. PRESENT soll soll also die Verschlüsselungschlüsselung 

für das Ubiquitous Computing 

liefern. 

Schon die wichtigsten Parameter lassen 

erkennen, für welchen Zweck PRE- 

SENT gedacht ist. Die Schlüssellänge 

von 80 (oder alternativ 128) Bit ist kürzer 

als beim AES (128, 192 oder 256 

Bit), für RFID-Chips und ähnliche 

Umgebungen aber sicherlich ausreichend. 

Die Blocklänge ist mit 64 Bit 

halb so groß wie beim AES - angesichts 

der zu erwartenden eher kurzen Klartexte 

sicherlich angemessen. Auffällig 

ist die Rundenzahl, die mit 31 recht 

hoch ist (der AES arbeitet mit maximal 

14 Runden). Auch hier ist das Kalkül 

offensichtlich: Ein einfacher Rundenaufbau 

spart Ressourcen; um aber ein 

hohes Sicherheitsniveau zu erreichen, 

sind viele Runden erforderlich. Die Verschlüsselungsgeschwindigkeit 

ist dennoch 

erstaunlich hoch. Nach Angaben 

der Entwickler ist PRESENT im 

Extremfall 20-mal so schnell wie der 

(allerdings nicht für eine Hardware- 

Implementierung optimierte) AES. 

Die Funktionsweise des Algorithmus ist 

im Kasten So funktioniert PRESENT 

beschrieben. Wie viele andere gängige 

symmetrische Verschlüsselungsverfahren 

nutzt auch dieses nur sehr einfache 

arithmetische Operationen wie das 

Ersetzen von Bits, das Ändern der Bit- 

Reihenfolge (Permutation) und die 

Exklusiv-oder-Verknüpfung. Der 

Ablauf von PRESENT sieht die besagten 

31 Runden vor, in denen sich das 

Einbringen eines Teilschlüssels, die 

Nutzung von Ersetzungstabellen und das 

Permutieren der Bits abwechseln. Dieses 

Funktionsprinzip wird SP-Chiffre 

(SP steht für Substitution und Permutation) 

genannt. Es liegt auch dem AES 

zugrunde. Statt das Rad neu zu erfinden, 

haben die PRESENT-Entwickler also 

ein bewährtes Funktionsprinzip übernommen 

- und versucht, es auf minimalistische 

Weise umzusetzen. 

Nach Angaben der PRESENT-Entwickler 

sind 1570 Gatter notwendig, das 

Verfahren mit hoher Performance zu 

implementieren, die 2000-Gatter-Grenze 

ist also klar unterschritten. Als sicher 

geltende Stromchiffren liegen mit 1300 

bis 2600 Gattern in der gleichen Größenordnung. 

Der AES ist dagegen mit 

seinen etwa 3000 Gattern deutlich aufwendiger 

zu realisieren. Die wichtigsten 

Low-End-Konkurrenten mCrypton 

(2950 Gatter), HIGHT (3000) und SEA 

(2280) sind nach Angaben der PRE- 

SENT-Entwickler ebenfalls nicht ganz 

so sparsam. 

Sparsamer als 

die Konkurrenz 

Durch die geringen Hardwareanforderungen 

und die hohe Performance benötigt 

PRESENT laut seinen Erfindern in 

typischen Einsatzszenarien nur etwa ein 

Vierzigstel der Energie, die der AES 

verbraucht - eine erhebliche Entlastung 

für die Batterien. Wenn allein das Einsparen 

von Hardware im Vordergrund 

steht, dann lässt sich PRESENT durch 

einen seriellen Aufbau auch mit nur 

etwa 1000 Gattern realisieren, was allerdings 

den Energieverbrauch in die Höhe 

treibt. Wir haben ausgerechnet, dass bei 

etwa 800 Gattern eine theoretische 

Grenze liegt, die mit einem Verschlüsselungsverfahren 

nicht unterschritten werden 

kann , so Christof Paar, dieser 

Grenze sind wir schon recht nahe 

gekommen . 

Inzwischen hat PRESENT den Segen 

der internationalen Standardisierungsbehörde 

ISO erhalten, die das Verfahren in 

den Standard ISO/IEC 29192-2:2012 

aufnahm. Er widmet sich ausschließlich 

dem Thema Low-End-Verschlüsselung 

und wurde von der Industrie gefordert. 

Der Standardisierung gingen fünf Jahre 

der Prüfung voraus, in denen etwa ein 

Dutzend Forschungsarbeiten veröffentlicht 

wurden, die PRESENT auf etwaige 

Schwachstellen abklopften - ohne 

Erfolg. Eine unumstößliche Sicherheitsgarantie 

ist das allerdings nicht. Zum 

Vergleich: Beim AES wurde der bisher 

beste Angriff (er entspricht einer Verkürzung 

des Schlüssels um etwa zwei 

Bit, was nicht dramatisch ist) erst nach 

14 Jahren entdeckt, obwohl bis dahin 

ein ganzes Heer von Kryptologen nach 

Sicherheitslücken gesucht hatte. 

Neben PRESENT spezifiziert der ISO- 

Standard noch ein zweites Verfahren: 

den von Sony entwickelten Verschlüsselungsalgorithmus 

CLEFIA. Dabei handelt 

es sich ebenfalls um eine Blockchiffre. 

Im Gegensatz zu PRESENT ist 

CLEFIA jedoch nicht für minimale 

Hardwareanforderungen optimiert. 

Stattdessen ist das Verfahren auf das 

Verschlüsseln großer Datenmengen mit 

einer hohen Geschwindigkeit ausgelegt. 

Außerdem soll es für Hardware und 

Software gleichermaßen geeignet sein. 

Block- und Schlüssellänge entsprechen 

den Werten des AES. CLEFIA soll vor 

allem im Digital Rights Management 

eingesetzt werden. 

Stromchiffre 

oder Blockchiffre? 

Keine Frage, PRESENT hat gute Chancen, 

sich in den nächsten Jahren weltweit 

durchzusetzen. Die Nachfrage nach 

Low-End-Verschlüsselung ist groß, und 

durch die ISO-Standardisierung hat das 

Verfahren einen klaren Vorteil gegenüber 

der Konkurrenz. Zwar haben verschiedene 

Kryptologen längst das eine 

oder andere weitere kryptografische 

Leichtgewicht vorgestellt (zum Beispiel 

PRINT oder Hummingbird 2), doch 

diese Verfahren müssen sich erst 

bewähren. Das letzte Wort in Sachen 

Low-End-Blockchiffre ist noch lange 

nicht gesprochen. Denn es handelt sich 

dabei um eine recht junge Technologie, 

in der es noch viel zu forschen gibt. 

Vielleicht wird es eines Tages einen 

Wettbewerb geben, bei dem das beste 

Low-End-Verfahren gesucht wird - so 

wie es beim AES der Fall war und wie 

es gerade beim SHA-3-Wettbewerb um 

die beste kryptografische Hashfunktion 

abläuft. 

Vor einem solchen Wettbewerb muss 

sich die Kryptologenszene jedoch noch 

einer anderen Frage widmen: Ist der 

Einsatz einer Low-End-Blockchiffre 

überhaupt sinnvoll, oder sollte man für 

ressourcenschwache Umgebungen lieber 

eine Stromchiffre verwenden? 

Gegen Letzteres spricht, dass sich Kryptologen 

bisher mit Stromchiffren 

schwertun. Bereits beim sogenannten 

NESSIE-Wettbwerb, in dem sich in den 

Jahren 2000 bis 2003 Kryptoverfahren 

in verschiedenen Kategorien zum Vergleich 

stellten, ergab sich eine Pleite: In 

der Kategorie Stromchiffren wurde keiner 

der sechs Teilnehmer zum Sieger 

erklärt, da alle Schwächen gezeigt hatten. 

Aus diesem Grund wurde anschließend 

ein weiterer Wettbewerb namens 

eSTREAM aus der Taufe gehoben, in 

dem die Experten ausschließlich Stromchiffren 

betrachteten (in vier Kategorien). 

Das Ergebnis war erneut enttäuschend: 

In zwei der Kategorien gab es 

am Ende keinen Sieger, und mit Trivium 

konnte überhaupt nur ein Teilnehmer 

(von über 50) vollständig überzeugen. 

Bis heute haben Stromchiffren den

Entwicklungsrückstand gegenüber den 

Blockchiffren nicht aufgeholt. 

Doch selbst wenn sich die Lage im 

Bereich der Stromchiffren bessern 

sollte, hält Christof Paar es für wahrscheinlich, 

dass sich auch im Low-End- 

Bereich Blockchiffren durchsetzen werden. 

Dafür spricht zum einen, dass aktuelle 

Low-End-Blockchiffren wie PRE- 

SENT weniger Ressourcen benötigen 

als gängige Stromchiffren. Zum anderen 

benötigen Stromchiffren für einen 

sicheren Betrieb meist eine Anlaufzeit - 

aus Sicherheitsgründen wird zunächst 

Keystream produziert, der nicht verwendet 

wird. Dieser Nachteil, der vor allem 

bei kürzeren Nachrichten ins Gewicht 

fällt, ist bei Blockchiffren nicht gegeben. 

Sollte sich Paars Prognose bewahrheiten 

und sollte sich außerdem PRESENT 

im Low End durchsetzen, dann wäre 

dies ein großer Erfolg für die deutsche 

Kryptologie. Diese genießt zwar seit 

Jahrzehnten einen guten Ruf, doch Verfahren, 

die in der Praxis eine Rolle spielen, 

kamen bisher auffällig selten aus 

Deutschland. Bleibt also zu hoffen, dass 

PRESENT seinem Namen alle Ehre 

machen wird. (ur) 

Klaus Schmeh 

ist Berater bei der Gelsenkirchener 

Firma cryptovision sowie Autor des 

populärwissenschaftlichen Kryptologie- 

Buchs Nicht zu 

knacken . 

Literatur 

[1] Klaus Schmeh; Kryptografie - Verfahren, 

Protokolle, Infrastrukturen; 

dpunkt.verlag 2009 

[2] Andrey Bogdanov, Lars R. Knudsen, 

Gregor 

Leander, Christof Paar, Axel Poschmann, 

Matthew J.B. Robshaw, 

Yannick Seurin, Charlotte Vikkelsoe; 

PRESENT: 

An Ultra-Lightweight Block Cipher; 

Cryptographic Hardware and Embedded 

Systems; CHES 2007 iX 8/2012 

Ein RFID-Chip muss mit minimaler 

Hardwareausstattung auskommen. Ein 

Verschlüsselungsverfahren sollte auf 

einer solchen Plattform nicht mehr als 

2000 logische Gatter benötigen. PRE- 

SENT erfüllt diese Anforderung (Abb. 

1). 

x-tract 

- Chip-Hersteller fordern Verschlüsse- 

Wörter: 2296 


lungsverfahren, die sich mit maximal 

2000 Gattern implementieren lassen. 

Diese werden für RFID-Chips, Sensoren, 

Chipkarten und ähnliche 

Umgebungen benötigt. 

- Das Verschlüsselungsverfahren PRE- 

SENT kommt mit 1570 Gattern aus, gilt 

als sicher und ist inzwischen ein offizieller 

Standard. Es könnte sich in den 

nächsten Jahren auf ressourcenarmen 

Plattformen durchsetzen. 

- PRESENT gehört zu den Blockchiffren. 

Diese sind bisher 

im Low-End-Segment nur schwach vertreten, 

da dort meist Stromchiffren 

genutzt werden. Dies könnte sich dank 

der neuen Low-End-Blockchiffren 

ändern. 

iX 8/2012 Wissen 

Kryptografie 

Die Verschlüsselungsverfahren PRE- 

SENT und AES im Vergleich. PRE- 

SENT ist für ressourcenschwache 

Umgebungen optimiert. Den einfachen 

Aufbau kompensiert eine hohe Rundenzahl 

(Abb. 2). iX 8/2012 

iX 8/2012 Wissen 

Kryptografie 

So funktioniert PRESENT 

PRESENT nimmt einen Klartext-Block 

der Länge 64 Bit entgegen und gibt als 

Geheimtext einen Block gleicher Größe 

aus. Dabei verarbeitet das Verfahren 

einen 80 oder 128 Bit langen Schlüssel. 

Der Ablauf der Verschlüsselung gliedert 

sich in 31 gleich aufgebaute Runden, 

die jeweils aus drei Schritten bestehen: 

1. Das Ergebnis der vorhergehenden 

Runde (beziehungsweise der Klartext- 

Block, wenn es sich um die erste Runde 

handelt) wird mit 64-Bit-Schlüsselmaterial 

(einem sogenannten Rundenschlüssel) 

exklusiv-oder-verknüpft. Das 

Ergebnis besteht wiederum aus 64 Bits. 

2. Die 64 Bit werden in Vierergruppen 

jeweils einer Ersetzungstabelle (S-Box) 

zugeführt. Jede S-Box gibt 4 Bit aus, 

wodurch wiederum 64 Bits entstehen. 

3. Die Reihenfolge der 64 Bits wird 

(wie in Abbildung 3 gezeigt) verändert. 

Dies bezeichnet man als Permutation. 

Nach der 31. Runde folgt eine weitere 

Exklusiv-oder-Verknüpfung mit einem 

Rundenschlüssel (wie in Schritt 1), 

danach ist das Verfahren abgeschlossen. 

Da sich der Ablauf umkehren lässt, ist 

das Entschlüsseln bei bekanntem 

Schlüssel einfach möglich. Die Sicherheit 

der Verschlüsselung liegt vor allem 

in der S-Box - also in einer Ersetzungstabelle 

für Vier-Bit-Werte. Andere 

Blockchiffren arbeiten meist ebenfalls 

mit S-Boxen, allerdings in der Regel mit 

größeren oder mit mehreren unterschiedlichen 

Varianten. PRESENT 

kompensiert den sparsamen Umgang 

mit S-Boxen durch eine große Rundenzahl. 

Der Entwickler eines Verschlüsselungsverfahrens 

muss seine 

S-Boxen sorgfältig auswählen, denn 

sonst haben Angriffsmethoden wie die 

differenzielle und die lineare Kryptoanalyse 

Erfolg. 

Sowohl der erste als auch der letzte 

Schritt einer PRESENT-Verschlüsselung 

besteht aus einer Exklusiv-oder- 

Verknüpfung mit Schlüsselmaterial. 

Dieses Designmerkmal wird Whitening 

genannt. Es hat den Vorteil, dass ein 

Angreifer nicht weiß, welche Werte in 

die erste S-Box hineingehen und welche 

aus der letzten herauskommen. Whitening 

kommt auch im AES und vielen 

anderen Verfahren zum Einsatz. Die 

Permutation am Ende jeder PRESENT- 

Runde ist ebenfalls ein Standardbestandteil 

von Blockchiffren. Sie hat den 

Zweck, die Bits zwischen den S-Boxen 

durcheinanderzumischen. Die Kombination 

von parallelen S-Boxen mit einer 

Permutation ist deutlich wirtschaftlicher 

als der Einsatz besonders großer S- 

Boxen (eine S-Box mit 64-Bit-Eingabewerten 

müsste über 1019 Einträge 

haben), hat aber einen ähnlichen Effekt. 

Der Ablauf einer PRESENT-Verschlüsselung 

erfordert 32 Rundenschlüssel der 

Länge 64 Bit. Jeder dieser Rundenschlüssel 

wird aus dem 80 oder 128 Bit 

langen Schlüssel generiert. Bei diesem 

als Schlüsselaufbereitung bezeichneten 

Vorgang spielen erneut die S-Box von 

PRESENT sowie eine Permutation eine 

Rolle. Der Ablauf bei einem 128-Bit- 

Schlüssel ist ähnlich. 

PRESENT arbeitet in 31 einfach aufgebauten 

Runden. Jede Runde sieht eine 

Schlüsseladdition, die Anwendung einer 

Bit-Ersetzungstabelle (S-Box) sowie 

eine Bit-Permutation vor (Abb. 3). iX 

8/2012 

iX 8/2012

Umstrittener Virenschutz für Apple-Computer - Nachrichten - Schwäb... http://www.tagblatt.de/Home/nachrichten_artikel,-Umstrittener-Virens... 

Startseite Nachrichten 

SORGLOSE MAC-NUTZER 

Ein Virenschutz für Apple-Computer ist unnötig - so hieß es 

jahrelang. Doch ein Mac-Trojaner hat diese Ansicht bei vielen 

geändert. Apple-Nutzer sind nachhaltig verunsichert. Gilt die alte 

Weisheit nicht mehr? 

DIRK AVERESCH, DPA 

Windows-Nutzer machen sich schon lange keine Illusionen 

mehr über die Bedrohungslage ihres Betriebssystems: 

Virenscanner und Vorsicht sind Pflicht. Viele Apple-Jünger 

wähnen sich dagegen in Sicherheit vor Schadsoftware, 

während Hersteller von Virenwächtern spätestens seit dem 

Durchmarsch des Flashback-Trojaners für ihre Mac-Scanner 

trommeln. 

Flashback rüttelte im April 2012 die Mac-Nutzer wach: Der 

Trojaner nutzte eine Java-Schwachstelle aus und drang 

Böse Viren 

über manipulierte Webseiten in die Systeme ein. Schnell 

befallen auch 

waren weltweit hunderttausende Macs befallen, die zum 

Apple- 

Versenden von Spam-Mails missbraucht werden sollten. 

Computer. 

Foto: dpa 

Hätten Virenscanner den Trojaner stoppen können? Wohl 

kaum. Am Markt gibt es ein Dutzend Mac-Virenscanner. 

Sechs davon, die auch Echtzeitschutz bieten, hat die Zeitschrift "Mac&i" mit 

einer im April eingefrorenen Schädlingsauswahl getestet. Die Programme 

durften sich sogar bis Mitte Mai aktualisieren und erzielten trotzdem nur ein 

"enttäuschendes" Ergebnis. "Keiner erkannte alle Mac-Viren, obwohl die 

Signatur-Updates gegenüber den Testschädlingen mindestens zwei Wochen 

Vorsprung und viele Viren schon Jahre auf dem Buckel hatten", lautet das 

Fazit der Tester. Zum Zeitpunkt der Entdeckung habe kein Virenscanner 

tatsächlich Schutz vor Flashback geboten. 

"Selbst Wochen später kennen die getesteten AV-Programme nicht alle im 

Umlauf befindlichen Varianten des Schädlings", heißt es weiter im Test. 

Selbst die verspätet bereitgestellten Updates von Apple hätten mehr 

Sicherheit gebracht als jeder Scanner: Der beste enttarnte nur 82 Prozent 

der Schädlinge. 

1 von 2 30.07.2012 07:42

Umstrittener Virenschutz für Apple-Computer - Nachrichten - Schwäb... http://www.tagblatt.de/Home/nachrichten_artikel,-Umstrittener-Virens... 

Von den bei Windows-Scannern üblichen Erkennungsquoten von 90 Prozent 

und mehr ist das weit entfernt. Auch bei der Verhaltenserkennung von 

Schädlingen und der Phishing-Abwehr schnitten die Programme nicht 


Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält 

Mac-Virenscanner derzeit ohnehin für verzichtbar. "Aus unserer Sicht ist das 

angesichts der Bedrohungslage nicht notwendig", sagt Tim Griese vom BSI. 

Für Mac-Nutzer gilt: Mit offenen Augen und gesundem Menschenverstand 

durch die Welt gehen. Dazu gehöre zum Beispiel, nicht gleich jeden 

Mailanhang zu öffnen. Anwendungen und das Betriebssystem sollten unter 

"Softwareaktualisierung" stets aktuell gehalten werden, rät Griese. Das 

Update-Intervall stellt man am besten auf "täglich". 

"Flashback hat gezeigt, dass auch Mac OS X angreifbar ist", sagt Prof. 

Thorsten Holz vom Lehrstuhl für Systemsicherheit an der Ruhr-Universität 

Bochum. Und wenn es Angriffe auf das Apple-Betriebssystem gibt, treffen 

sie oft Unvorbereitete: Unvorbereitete: "Die typischen Mac-Nutzer sind sind vermutlich vermutlich ein wenig 

sorgloser. Nicht auf alles klicken und ein gesundes Misstrauen helfen sehr", 

rät Holz. 

28.07.2012 - 08:30 Uhr 

(c) Alle Artikel, Bilder und sonstigen Inhalte der Website www.tagblatt.de sind 

urheberrechtlich geschützt. Eine Weiterverbreitung ist nur mit ausdrücklicher 

Genehmigung des Verlags Schwäbisches Tagblatt gestattet. 

2 von 2 30.07.2012 07:42

Systeme für Single-Sign-On geknackt | heise online http://www.heise.de/newsticker/meldung/Systeme-fuer-Single-Sign-O... 

10.08.2012 14:45 

Systeme für Single-Sign-On geknackt 

Forscher der Ruhr-Universität Bochum[1] (RUB) haben 14 sogenannte Single-Sign-on-Systeme auf ihre Sicherheit überprüft - mit alarmierendem 

Ergebnis. Solche Systeme, die häufig in Unternehmen oder Portalen eingesetzt werden, ermöglichen das einmalige Anmelden an zahlreiche Ressourcen 

und Anwendungen, für die der jeweilige Nutzer die Berechtigung hat. Rund 80 Prozent der untersuchten Systeme wiesen gravierende Sicherheitslücken 

auf, lautet das Ergebnis der Bochumer Forscher. 

Die meisten dieser Systeme basieren auf der Security Assertion Markup Language[2] (SAML), einem XML-Framework, das dem Austausch von 

Authentifizierungs- und Autorisierungsinformationen dient. Die für die Anmeldung erforderlichen Informationen sind in einer SAML-Nachricht gespeichert 

und durch eine digitale Signatur geschützt. Den Bochumer Forschern gelang es mit einem neuartigen XML-Signature-Wrapping-Angriff, diesen Schutz zu 

umgehen, berichtet Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. "Dadurch", erklärt Schwenk, "konnten wir uns jede beliebige 

Identität aneignen und uns sogar als Systemadministratoren ausgeben." 

Von den 14 getesteten Systemen erwiesen sich 12 als angreifbar - darunter der Clouddienst Salesforce, das IBM DataPower Security Gateway, Onelogin 

(benutzt in Joomla, Wordpress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML). 

Nach ihrer Entdeckung kontaktierten der Sicherheitsexperte Andreas Mayer und seine Kollegen die betroffenen Firmen und schlugen Gegenmaßnahmen 

vor. Zwischenzeitlich konnten die Schwachstellen in den Produkten geschlossen werden. Beim heute stattfindenden 21. USENIX Security Symposium[3] 

in Bellevue, Washington (USA) stellt Juraj Somorovsky von der RUB die Forschungsergebnisse, die auch im Internet veröffentlicht[4] sind, vor. (ur[5]) 

URL dieses Artikels: 

http://www.heise.de/newsticker/meldung/Systeme-fuer-Single-Sign-On-geknackt-1665205.html 

Links in diesem Artikel: 

[1] http://www.ruhr-uni-bochum.de/ 

[2] http://de.wikipedia.org/wiki/Security_Assertion_Markup_Language 

[3] https://www.usenix.org/conference/usenixsecurity12/ 

[4] http://www.nds.rub.de/research/publications/BreakingSAML/ 

[5] mailto:ur@ix.de 

902863 Copyright © 2012 Heise Zeitschriften Verlag Hosted by Plus.line Content Management by InterRed 

von 1 13.08.2012 09:07

Single Sign-On Verfahren von RUB-Forschern geknackt http://www.iavcworld.de/index.php/cloud-computing/projekte-anwen... 

Montag, 13. August 2012 

HOME VISUAL COMMMUNICATIONS UNIFIED COMMUNICATIONS WEB COLLABORATION 

CLOUD COMPUTING STREAMING MEDIA UNTERNEHMEN VIDEOS IAVC-BLOG 

Cloud Lösungen Cloud Services Projekte / Anwendungen Marktinfos 

SAMSTAG, 11. AUGUST 2012 IDW 

ZUGRIFFE: 53 

Webshops, Cloud Computing, Online-Banking: Tagtäglich fordern 

viele unterschiedliche IT-Systeme den Nutzer auf, sich immer 

wieder über Benutzername und Passwort zu identifizieren. 

Als praktisches Mittel gegen die Flut von Mehrfachanmeldungen gilt 

das so genannte „Single Sign-On“. Hier weist sich der Nutzer genau 

einmal aus, alle weiteren Authentifizierungen erfolgen automatisch. 

Dass die Einmal-Anmeldung jedoch längst nicht so sicher ist wie 

bislang angenommen, zeigen jetzt Forscher vom Horst Görtz Institut 

für IT-Sicherheit der Ruhr-Universität Bochum: Ungefähr 80 Prozent 

der untersuchten Systeme wiesen massive Sicherheitslücken auf. 

Digitale Signatur soll schützen 

Das „Single Sign-On“-Verfahren, kurz SSO, kann mit einem gut 

bewachten Tor verglichen werden, das die sensiblen Firmendaten 

schützt: Wer den Eingang einmal passiert hat, kann auf alle 

Informationen und Dienste zugreifen, denn er gilt als angemeldet 

und zugriffsberechtigt. Viele SSO-Systeme setzen auf die weit 

verbreitete Security Assertion Markup Language (SAML). Die 

Identitätsinformationen werden in einer SAML-Nachricht 

gespeichert und durch eine digitale Signatur geschützt. Doch die 

Bochumer Forscher fanden einen Weg, diesen Schutz zu umgehen. 

Sicherheitsfunktion ausgehebelt 

„Mit einem neuartigen XML Signature Wrapping-Angriff haben wir 

sämtliche Sicherheitsfunktionen der digitalen Signatur komplett 

ausgehebelt“, berichtet Prof. Dr. Jörg Schwenk vom Lehrstuhl für 

Netz- und Datensicherheit. „Dadurch konnten wir uns jede beliebige 

Identität aneignen und uns sogar als Systemadministratoren 

ausgeben“. Die Wissenschaftler testeten 14 weit verbreitete 

SAML-Anbieter und -Systeme. 

Davon wiesen 12 kritische Lücken auf. Anfällig waren unter 

Suchen... Suchen 

YOU ARE HERE CLOUD COMPUTING PROJEKTE / ANWENDUNGEN SINGLE SIGN-ON 

VERFAHREN VON RUB-FORSCHERN GEKNACKT 

LOGIN 

Benutzername ●●●●●●●● 

LATEST NEWS 

3KV ergänzt UC as-a-Service-Lösung mit 

SIP Telefonen von snom 

DEKOM realisiert interaktive 

Kongressübertragung per HD 

Videokonferenz 

Neue Arbeitsformen: Verführerisch, 

rasant und riskant 

REALTECH Cloud-Beratung sorgt für 

Transparenz 

Avayas neue Business Collaboration 

Lösungen 

MovingIMAGE24 initiiert Markteintritt 

in den Niederlanden 

VIDEOS 

Fujitsu 

Webcas... 

OpenScape 

Offi... 

LG 

Werbespot 

EMC 

HD-Connect 

Polycom 

Immers... 

MAIN WER IST 

MindManager 

8 

1 von 4 13.08.2012 09:32


anderem der Cloud-Anbieter Salesforce, das IBM DataPower 

Security Gateway, Onelogin (benutzt in Joomla, Wordpress, 

SugarCRM und Drupal) und das Framework OpenSAML 

(Shibboleth, SuisseID und OpenSAML). 

Gegenmaßnahmen vorgeschlagen 

„Nachdem wir die Sicherheitslücken entdeckt hatten, kontaktierten 

wir umgehend die betroffenen Firmen und schlugen 

Gegenmaßnahmen vor“, berichtet der Sicherheitsexperte und externe 

Doktorand Andreas Mayer (Adolf Würth GmbH & Co. KG). „Durch 

die professionelle Zusammenarbeit mit den Herstellern konnten die 

kritischen Schwachstellen in den betroffenen Produkten geschlossen 

werden“, ergänzt Juraj Somorovsky vom Lehrstuhl für Netz- und 

Datensicherheit. 

Empfehlen Tweet 0 

Share 

1 

0 

NAVIGATION 

Visual 

Commmunications 

Unified 

Communications 

Web Collaboration 

Cloud Computing 

Streaming Media 

Unternehmen 

IAVC-Blog 

Videos 

ONLINE? 

Wir haben 4 

Gäste online 

IAVC - 

BLOGGER 

Lukas 

Pfeiffer 

3 post(s) 

"Lukas Pfeiffer, 

geboren in 

Weimar, ist 

Mitgründer ..." 

Gerhard 

Voss 

18 post(s) 

"Initiator and 

Owner of 

IAVCworld" 

LATEST IAVC - BLOGPOSTS 

Apple Mitbegründer Woznika kritisiert 

Cloud Computing 

Focus.de - Der Co-Gründer des 

US-Elektronikriesen Apple, Steve Wozniak, 

sieht den Trend zum sogenannten Cloud 

Computing sehr kriti 

53 hits · Read More 

posted by Gerhard Voss on Montag, 06 

August 2012 

swabr startet Crowdfunding- 

Finanzierung auf Innovestment 

Wir, die Gründer des Enterprise- 

Microblogging-Dienstes swabr, wollen mit 

Hilfe von Mikroinvestoren die 

Weiterentwicklung des Dien 


posted by Lukas Pfeiffer on Mittwoch, 01 

August 2012 

US-Firmen fühlen sich im Cloud 

Geschäft benachteiligt 

NZZ.ch - US-Anbieter kritisieren, dass 

europäische Unternehmen den Patriot Act 

als Marketinginstrument nutzen, um ihre 

eigenen Clo 


posted by Gerhard Voss on Freitag, 27 Juli 2012 

2 von 4 13.08.2012 09:32


Facebook meldet enttäuschende 

Geschäftszahlen 

Stern.de - Für das erste Quartal als 

börsennotiertes Unternehmen hat Facebook 

hat einen Verlust von 157 Millionen Dollar 

gemeldet. 


posted by Gerhard Voss on Freitag, 27 Juli 

2012 

UNTERNEHMEN 

3 von 4 13.08.2012 09:32


IMPRESSUM DATENSCHUTZ NUTZUNGSBEDINGUNGEN 

©Copyright 2007-2012 IAVCworld | Powered by IAVC 

RESET USER SETTING TOP 

4 von 4 13.08.2012 09:32

Bochumer Forscher haben Single Sign-On ausgehebelt | ITespresso.de http://www.itespresso.de/2012/08/10/bochumer-forscher-haben-single-... 

für IT-Pros und Entscheider Gefällt mir 529 Suchen in itespresso.de 

Bochumer Forscher haben Single Sign-On ausgehebelt 

Die Lücke fand sich in der weit verbreiteten Security Assertion Markup Language (SAML). 

Unter anderem wäre dadurch ein Angriff auf Nutzer von Salesforce.com, Joomla, WordPress, 

SugarCRM und Drupal sowie das Framework OpenSAML möglich gewesen. Die Anbieter 

wurden darauf hingewiesen, die Schwachstelle ist behoben. 

10. August 2012 von Peter Marwan 0 

Juraj Somorovky, Andreas Mayer, Jörg Schwenk, Marco Kampmann und Meiko Jensen vom Horst Görtz Institut für 

IT-Sicherheit der Ruhr-Universität Bochum ist es gelungen nachzuweisen, dass die Authentifizierungsmethode Single- 

Sign-On nicht ausreichend sicher ist. Die Ergebnisse ihrer Arbeiten hat Juraj Somorovky heute auf dem 21. USENIX 

Security Symposium in Bellevue im US-Bundesstaat Washington vorgestellt. 

Das sogenannte “Single Sign-On” als praktisches Mittel um der Tatsache Herr zu werden, dass heute tagtäglich viele 

unterschiedliche IT-Systeme Nutzer auffordern, sich über Benutzername und Passwort zu identifizieren – seien es nun 

Webshops, Cloud-Computing-Anwendungen wie Web-Mail, Online-Speicher oder Zugriff auf Dienste, die der 

Anwender in seiner Firma nutzt. Mit Single-Sign-On weist sich der Nutzer genau einmal aus, alle weiteren 

Authentifizierungen erfolgen automatisch. 

Die Einmalanmeldung ist jedoch bei weitem nicht so sicher, wie bislang angenommen: Ungefähr 80 Prozent der von 

ihnen untersuchten Systeme wiesen massive Sicherheitslücken auf. Die Forscher vergleichen Single Sign-On- mit 

einem gut bewachten Tor verglichen: Wer den Eingang einmal passiert hat, kann auf alle Informationen und Dienste 

zugreifen, denn er gilt als angemeldet und zugriffsberechtigt. 

Viele Single-Sign-On-Systeme setzen auf die Security Assertion Markup Language (SAML), um diese Aufgabe zu 

meistern. Die Identitätsinformationen werden in einer SAML-Nachricht gespeichert und durch eine digitale Signatur 

geschützt. 

“Mit einem neuartigen XML-Signature-Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen 

Signatur komplett ausgehebelt”, berichtet Professor Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. 

“Dadurch konnten wir uns jede beliebige Identität aneignen und uns sogar als Systemadministratoren ausgeben.” 

Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen 12 kritische Lücken auf. 

Anfällig waren unter anderem Salesforce.com, das IBM DataPower Security Gateway, Onelogin, das in Joomla, 

WordPress, SugarCRM und Drupal benutzt wird, sowie das Framework OpenSAML (Shibboleth, SuisseID und 

OpenSAML). 

„Nachdem wir die Sicherheitslücken entdeckt hatten, kontaktierten wir umgehend die betroffenen Firmen und 

schlugen Gegenmaßnahmen vor“, berichtet der Sicherheitsexperte Andreas Mayer. “Durch die professionelle 

Zusammenarbeit mit den Herstellern konnten die kritischen Schwachstellen in den betroffenen Produkten geschlossen 

werden”, ergänzt Juraj Somorovsky. 

Dennoch bleibt ein schaler Nachgeschmack: Erst kürzlich hat der Fall des US-Journalisten Mat Honan für Aufsehen 

gesorgt. Ihm hatte ein Angreifer – der sich inzwischen bei Honan gemeldet hat – nahezu ohne technische Kenntnisse, 

aber mit etwas kombinatorischem Geschick und unter Ausnutzung der sich für einen Angriff ideal ergänzende Lücken 

der Sicherheitspraktiken von Anbietern wie Apple und Amazon, sowohl die von ihm genutzten Apple-Geräte sperren 

sowie auch Passwörter für andere Dienste und Kreditkartendaten abgreifen und es Honan außerordentlich schwer 

machen können, die Firmen zu überzeugen, dass er das Opfer und nicht selber ein dreister Angreifer ist. 

Durch die Arbeit der Bochumer Forscher geraten auch die in vielen Firmen beim Cloud Computing genutzten 

technischen Vorkehrungen in Misskredit. Die Schuld dafür ist nicht bei den Wissenschaftler zu suchen: Vielmehr ist 

den Firmen vorzuwerfen, dass sie durch externe auf Schwachstellen in denen von ihnen genutzten Technologien 

hingewiesen werden müssen. Unterm Strich bleibt der Eindruck, dass auch beim Cloud Computing – trotz 

anderslautender Beteuerungen – Sicherheit wie so oft bei der technischen Entwicklung nicht von Anfang an im Design 

berücksichtigt, sondern erst nachträglich aufgepfroft wird. Das rächt sich über kurz oder lang – wie zum Beispiel ale 

Nutzer von Microsoft- und Adobe-Produkten jeden zweiten Dienstag im Monat – dem sogenannten Patchday – 

erfahren müssen. 

Hinweis: Artikel von ITespresso.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren. 

Drucken PDF Email 

0 Twittern 2 

Gefällt mir 

Registrieren, um sehen zu 

können, was deinen 

Tags: Authentifizierung, Cloud Computing, Passwort, Salesforce, Sicherheitslücken. 

Das könnte Sie auch interessieren 

ITespresso Channelbiz Downloads Gizmodo 

Virus “Dorifel” verschlüsselt Word- und Excel-Dokumente 

Die Malware trat zuerst in den Niederlanden auf, hat sich aber inzwischen auch nach 

Deutschland ausgebreitet. Sie zirkuliert vor allem in Behörden... Mehr 

NEWSLETTER 

Die tägliche Dosis IT-News per Newsletter direkt in 

ihr Postfach. Jetzt abonnieren! 

AKTUELLES ZU IT-LÖSUNGEN 

MEINUNG 

Wenn Mitarbeiter zu IT-Admins 

werden 

31. Juli 2012 von Mehmet Toprak 0 

QUIZ 

Der Hype um Smartphones und 

Tablet-PCs in Unternehmen wird 

immer stärker. IT-Experten und 

Hersteller fordern, dass 

Mitarbeiter mehr Mitsprache bei 

der Wahl der Geräte bekommen. 

Doch trotz aller Vorteile der neuen 

Technik gibt es Dinge, die sich 

auch in der schicken Welt der 

Mobilgeräte nie ändern. 

Mehr 

Überprüfen Sie Ihr Wissen 

Wie gut kennen Sie sich mit Druckern aus? 

Wie gut kennen Sie Google? 

Wie gut kennen Sie sich mit Tablets aus? 

Windows 7, Mac OS X, Ubuntu, ... Kennen Sie 

die Unterschiede zwischen den wichtigsten 

Betriebssystemen? 

Sind Sie ein Fachmann in Sachen Cloud 

Computing? 

Wie gut kennen Sie sich mit Prozessoren aus? 

Wie gut kennen Sie sich mit Browsern aus? 

NEWS 

08.08. silicon.de 

Know How für Manager: 

kostenlose Whitepaper, Studien ... 

view 

HP: Lenovo wird Schwierigkeiten im Cloud 

Computing haben 

13. August 2012 von Manfred Kohlen 0 

Oracle verlängert Support für Java 6 erneut 

13. August 2012 von Martin Schindler 0 

Samsung bringt Ultrabook-Konkurrenten mit 

AMD-CPUs 

12. August 2012 von Björn Greif 0 

Google Übersetzer 2.5 für Android erhält 

Texterkennung 

12. August 2012 von Björn Greif 0 

1 von 3 13.08.2012 09:39


hier werben 

0 Antworten zu Bochumer Forscher haben Single Sign-On ausgehebelt 

Kategorien 

Home 

News 

Der sichere Weg zur perfekten Sehschärfe. 

Finden Sie hier den besten Augenlaser-Spezialisten in Ihrer Nähe. Jetzt unverbindlich 

informieren. Mehr 

Bundesgerichtshof erleichtert Rechteinhabern Zugriff auf Adressdaten... 

Internet-Provider müssen Rechteinhabern auf deren Verlangen den Namen und die 

Anschrift des Nutzers einer IP-Adresse mitteilen, wenn diese ein... Mehr 

So unterstützt Google die Stellvertreterkriege gegen Apple 

Noch stellt sich der Internetkonzern im Kampf um den Smartphone-Markt nicht offen 

gegen Apple. Aber er hilft seinen Android-Partnern aus dem... Mehr 

Google Übersetzer 2.5 für Android erhält Texterkennung 

Die App kann jetzt auch Text in einem Foto erkennen und übersetzen. Der Zugriff auf 

die Kamera ist aus der Anwendung heraus möglich. So lassen sich... Mehr 

Auf den Spuren Bruckners 

Musikalischen Wochenendreise in die Donaustadt ab 232 €. Mehr 

LETZTER KOMMENTAR 

Seiten 

Impressum 

AGB 

powered by plista 

Kommentar hinzufügen 

NetMediaEurope DE 

ITespresso 

ChannelBiz 

So unterstützt Google die Stellvertreterkriege 

gegen Apple 

11. August 2012 von Bernd Kling 0 

INTERVIEW 

“Wir wollen hunderttausende 

Web-Entwickler für Firefox OS 

begeistern” 

23. Juli 2012 von Peter Marwan 0 

UMFRAGE 

Im Interview gibt sich Mozillas 

Europapräsident Tristan Nitot 

zuversichtlich: Firefox OS, das 

Smartphone-Betriebssystem von 

Mozilla, werde umfangreiche 

Unterstützung von Entwicklern 

erfahren. Der Grund: Die meisten 

Apps würden ohnehin schon in 

HTML5 geschrieben. 

Mehr 

Nutzen Sie beruflich Online-Angebote wie 

Dropbox für den Austausch oder die 

Speicherung von Dateien? 

Nein, habe aber auch keinen Bedarf dafür. 

Nein, ist bei uns in der Firma nicht erlaubt. 

Ist in der Firma nicht erlaubt, mache ich aber 

trotzdem. 

Ist in der Firma nicht ausdrücklich verboten und 

nutze ich gelegentlich. 

Meine Firma hat einen Dienst ausgewählt, den 

ich regelmäßig nutze. 

Meine Firma hat einen Dienst ausgewählt, ich 

persönlich benötige das aber nicht. 

Abstimmen 

Ergebnisse 

IT IM MITTELSTAND 

Tipps vom Experten: Web-Videos 

für Unternehmen 

21. Juli 2012 von Mehmet Toprak 0 

FOLGEN SIE UNS 

TAGS 

Viele Unternehmen stellen Image- 

Videos ins Internet oder werben 

per Video für ihre Produkte. Lohnt 

sich das auch für kleine 

Unternehmen? Worauf sollte man 

achten, wenn man einen 

Videoproduzenten beauftragt? 

Diese und andere Fragen 

beantwortet Martin Goldmann von 

Redgo.TV. 

Mehr 

Android iPhone 4S Windows 8 Android 

Apple Betriebssysteme Browser Cloud Computing 

Datenschutz Festplatten Finanzen Google 

Handys Hardware Intel Internet 

IT-Strategie Linux Markt Microsoft 

Mobile Computing Mobilfunk Netzwerke 

Notebooks Open Source Politik Prozessoren 

Recht Server Sicherheit Smartphones 

Software Suchmaschinen Telekommunikation 

Unternehmen Web-Development Windows 

Windows XP 

NetMediaEurope 

Frankreich 

Deutschland 

2 von 3 13.08.2012 09:39


Tests 

Management 

Knowledge Center 

Downloads 

Datenschutzerklärung 

Mediadaten 

Jobs 

Downloads 

Gizmodo 

NetMediaEurope Deutschland GmbH © Copyright 2012 All rights reserved. Part of NetMediaEurope 

3 von 3 13.08.2012 09:39 

Spanien 

Italien

Single Sign-On: RUB-Forscher knacken Industriestandard für Identifiz... http://www.juraforum.de/wissenschaft/single-sign-on-rub-forscher-kna... 

JuraForum.de > Nachrichten > Wissenschaft > Single Sign-On: RUB-Forscher knacken Industriestandard für 

Identifizierung 

Google Anzeigen 

Wirtschaftspsychologie Fernstudium Wirtschaftspsychologie mit Bachelor- und Master-Abschluss! 

www.Euro-FH.de 

FIM Identity-Management Beratung, Integration und Training durch die weltweiten FIM Experten 

www.oxfordcomputergroup.de 

Join SSONetwork Today Be Part of the Largest Global Online Outsourcing Community. 

www.ssonetwork.com 

Single Sign-On: RUB-Forscher knacken Industriestandard für 

Identifizierung 

10.08.2012, 10:10 | Wissenschaft | Autor: idw 

Gefällt mir 0 Twittern 0 

Webshops, Cloud Computing, Online-Banking: Tagtäglich fordern viele unterschiedliche IT-Systeme 

den Nutzer auf, sich immer wieder über Benutzername und Passwort zu identifizieren. Als 

praktisches Mittel gegen die Flut von Mehrfachanmeldungen gilt das so genannte „Single Sign-On“. 

Hier weist sich der Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen 

automatisch. Dass die Einmal-Anmeldung jedoch längst nicht so sicher ist wie bislang angenommen, 

zeigen jetzt Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum: 

Ungefähr 80 Prozent der untersuchten Systeme wiesen massive Sicherheitslücken auf. 


Das „Single Sign-On“-Verfahren, kurz SSO, kann mit einem gut bewachten Tor verglichen werden, das die 

sensiblen Firmendaten schützt: Wer den Eingang einmal passiert hat, kann auf alle Informationen und Dienste 

zugreifen, denn er gilt als angemeldet und zugriffsberechtigt. Viele SSO-Systeme setzen auf die weit verbreitete 

Security Assertion Markup Language (SAML). Die Identitätsinformationen werden in einer SAML-Nachricht 

gespeichert und durch eine digitale Signatur geschützt. Doch die Bochumer Forscher fanden einen Weg, diesen 

Schutz zu umgehen. 


„Mit einem neuartigen XML Signature Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen 

Signatur komplett ausgehebelt“, berichtet Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. 

„Dadurch konnten wir uns jede beliebige Identität aneignen und uns sogar als Systemadministratoren 

ausgeben“. Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen 12 

kritische Lücken auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce, das IBM DataPower Security 

Gateway, Onelogin (benutzt in Joomla, Wordpress, SugarCRM und Drupal) und das Framework OpenSAML 

(Shibboleth, SuisseID und OpenSAML). 


„Nachdem wir die Sicherheitslücken entdeckt hatten, kontaktierten wir umgehend die betroffenen Firmen und 

schlugen Gegenmaßnahmen vor“, berichtet der Sicherheitsexperte und externe Doktorand Andreas Mayer 

(Adolf Würth GmbH & Co. KG). „Durch die professionelle Zusammenarbeit mit den Herstellern konnten die 

kritischen Schwachstellen in den betroffenen Produkten geschlossen werden“, ergänzt Juraj Somorovsky vom 

Lehrstuhl für Netz- und Datensicherheit. 

Ergebnisvorschau 

Am 10. August 2012 stellt Juraj Somorovsky die Ergebnisse auf dem 21. USENIX Security Symposium in 

von 2 13.08.2012 09:41 

0

Single Sign-On: RUB-Forscher knacken Industriestandard für Identifiz... http://www.juraforum.de/wissenschaft/single-sign-on-rub-forscher-kna... 

Bellevue, Washington (USA) vor. Das Paper ist im Internet veröffentlicht unter: http://www.nds.rub.de 

/research/publications/BreakingSAML 

Weitere Informationen 

Prof. Dr. Jörg Schwenk, Fakultät für Elektrotechnik und Informationstechnik der RUB, Lehrstuhl für Netz- und 

Datensicherheit, Tel. 0234/32-26692 

joerg.schwenk@rub.de 

Redaktion: Jens Wylkop 

Quelle: idw 

http://www.juraforum.de/wissenschaft/single-sign-on-rub-forscher-knacken-industriestandard-fuer-identifizierung-408519 

"Single Sign-On: RUB-Forscher knacken Industriestandard für Identifizierung - Wissenschaft" © JuraForum.de — 2003-2012 

von 2 13.08.2012 09:41

SAML für SSO unsicherer als gedacht (Druckansicht) http://www.computerwoche.de/_misc/article/articleprintpopup/index.c... 

RUB-Forscher 

SAML für SSO unsicherer als gedacht 

Datum: 

Autor(en): 

URL: 

10.08.2012 

Thomas Cloer 

http://www.computerwoche.de/2520100 

Bochumer Forscher haben die in vielen Single-Sign-On-Systemen g g 

(SSO) verwendete SAML-Signatur 

(Security Assertion Markup Language) ausgehebelt. 

Tagtäglich fordern viele unterschiedliche IT-Systeme den Nutzer auf, sich immer wieder über Benutzername und 

Passwort zu identifizieren. Beim sogenannten Single Sign-On weist sich der Nutzer genau einmal aus, alle weiteren 

Authentifizierungen erfolgen automatisch. Diese Einmal-Anmeldung sei längst nicht so sicher ist wie bislang 

angenommen, erklären nun Forscher 1 Tagtäglich fordern viele unterschiedliche IT-Systeme den Nutzer auf, sich immer wieder über Benutzername und 

Passwort zu identifizieren. Beim sogenannten Single Sign-On weist sich der Nutzer genau einmal aus, alle weiteren 

Authentifizierungen erfolgen automatisch. Diese Einmal-Anmeldung sei längst nicht so sicher ist wie bislang 

Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum 

(RUB) - ungefähr 80 Prozent der untersuchten Systeme wiesen demnach massive Sicherheitslücken auf. 

1 

angenommen, erklären nun vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum 

(RUB) - ungefähr 80 Prozent der untersuchten Systeme wiesen demnach massive Sicherheitslücken auf. 

Viele SSO-Systeme setzen auf die weit verbreitete Security Assertion Markup Language (SAML) 2 . Die 

Identitätsinformationen werden dabei in einer SAML-Nachricht gespeichert und durch eine digitale Signatur 

geschützt. Die Bochumer Forscher fanden einen Weg, diesen Schutz zu umgehen. "Mit einem neuartigen 

XML-Signature-Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett 

ausgehebelt", sagt Professor Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. Dadurch habe man sich 

jede beliebige Identität aneignen und sogar als Systemadministrator ausgeben können. 

Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen zwölf kritische Lücken 

auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce, das IBM "DataPower Security Gateway", "Onelogin" 

(benutzt in Joomla, Wordpress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und 

OpenSAML). 

Die betroffenen Firmen beziehungsweise Anbieter wurden umgehend kontaktiert und Gegenmaßnahmen 

vorgeschlagen; die Schwachstellen sind mittlerweile entfernt. Heute stellt Juraj Somorovsky vom Lehrstuhl für Netzund 

Datensicherheits die Ergebnisse beim USENIX Security Symposium in Washington vor. Das Paper ist bereits im 

Internet veröffentlicht unter http://www.nds.rub.de/research/publications/BreakingSAML 3 . 

Links im Artikel: 

1 http://idw-online.de/de/news491524 

2 http://de.wikipedia.org/wiki/Security_Assertion_Markup_Language 

3 http://www.nds.rub.de/research/publications/BreakingSAML 

IDG Business Media GmbH 

Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen 

Zustimmung der IDG Business Media GmbH. DPA-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch 

wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass in Computerwoche unzutreffende Informationen 

veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des 

Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und 

Illustrationen. Für Inhalte externer Seiten, auf die von Computerwoche aus gelinkt wird, übernimmt die IDG Business Media GmbH keine 

Verantwortung. 

1 von 2 13.08.2012 07:58

Südwest Presse vom 13.08.2012 

Autor: DIRK AVERESCH, DPA Gattung: Tageszeitung 

Seite: 24 Auflage: 322.997 (gedruckt) 297.473 (verkauft) 


Ressort: Ulm und Neu-Ulm Reichweite: 0,85 (in Mio.) 

Sorglose Mac-Nutzer 

Umstrittener Virenschutz für Apple-Computer - Programme schneiden im Test nicht gut ab 

Ein Virenschutz für Apple-Computer ist unnötig - hieß es. Ein Mac-Trojaner hat diese Ansicht 

jedoch geändert. Apple-Nutzer sind nachhaltig nachhaltig verunsichert. 










trommeln. 








werden sollten. 

Hätten Virenscanner den Trojaner stoppen 

können? Wohl kaum. Am Markt 

gibt es ein Dutzend Mac-Virenscanner. 

Sechs davon, die auch Echtzeitschutz 

bieten, hat die Zeitschrift "Mac&i" mit 

einer im April eingefrorenen Schädlingsauswahl 

getestet. Die Programme 

durften sich sogar bis Mitte Mai aktuali- 

Wörter: 371 


sieren und erzielten trotzdem nur ein 

"enttäuschendes" Ergebnis. "Keiner 

erkannte alle Mac-Viren, obwohl die 

Signatur-Updates gegenüber den Testschädlingen 

mindestens zwei Wochen 

Vorsprung und viele Viren schon Jahre 

auf dem Buckel hatten", lautet das Fazit 

der Tester. Zum Zeitpunkt der Entdeckung 

habe kein Virenscanner tatsächlich 

Schutz vor Flashback geboten. geboten. 









Schädlinge. 

Von den bei Windows-Scannern üblichen 

Erkennungsquoten von 90 Prozent 

und mehr ist das weit entfernt. Auch bei 

der Verhaltenserkennung von Schädlingen 

und der Phishing-Abwehr schnitten 

die Programme nicht besonders gut ab. 

Das Bundesamt für Sicherheit in der 

Informationstechnik (BSI) hält Mac- 

Virenscanner derzeit ohnehin für verzichtbar. 

"Aus unserer Sicht ist das 

angesichts der Bedrohungslage nicht 

notwendig", sagt Tim Griese vom BSI. 

Für Mac-Nutzer gilt: nicht gleich jeden 

Mailanhang öffnen. Anwendungen und 




Intervall stellt man am besten auf "täg- 

lich". 

"Flashback hat hat gezeigt, dass dass auch Mac 

OS X angreifbar ist", sagt Prof. Thorsten 

Holz vom vom Lehrstuhl für für Systemsicherheit 

an der Ruhr-Universität 

Bochum. Und U wenn es Angriffe auf das 

Apple-Betriebssystem gibt, treffen sie 

oft Unvorbereitete: "Die typischen Mac- 

Nutzer sind vermutlich ein wenig sorgloser. 

Nicht auf alles klicken und ein 


Holz.

XML-Signature-Wrapping-Angriffe hebeln digitale Signatur aus - Sich... http://www.dv-dialog.de/nc/home/newsdetails/article/sicherheitsluecke... 

Home Aktuelle Ausgabe Specials Media Newsletter Abo Archiv Verlag Kontakt Impressum 

Software Infrastruktur IT-Anwendungen Organisation IT-Markt Termine Trends 

SIE SIND HIER: HOME NEWSDETAILS 

13.08.2012 

SICHERHEIT 

Von: Berthold Wesseler 

XML-Signature-Wrapping-Angriffe hebeln digitale Signatur aus 

SICHERHEITSLÜCKE SICHERHEITSLÜ BEI SINGLE-SIGN-ON 

GESCHLOSSEN 

Bochumer Forscher haben beim „Single-Sign-on“ mit der Security Assertion Markup 

Language (SAML) ein Sicherheitsproblem entdeckt und gemeinsam mit den betroffenen 

Anbietern behoben. 

Bei 11 von 14 untersuchten Systemen, mit denen sich User durch einmaliges 

Login für mehrere Dienste und Anwendungen anmelden können, lässt sich die 

digitale Signatur aushebeln, meldete das Forscherteam rund um Professor Jörg 

Schwenk vom Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum. 

„Mit einem neuartigen XML-Signature-Wrapping-Angriff haben wir sämtliche 

Sicherheitsfunktionen der digitalen Signatur komplett komplett ausgehebelt”, berichtet 

Schwenk. So habe man sich jede beliebige Identität aneignen können, sogar die 

eines Systemadministrators. 

Zu den verwundbaren Systemen zählen die CRM-Software Salesforce, das IBM 

Datapower Security Gateway XS40, das Framework Open SAML und das Open 

Source-Toolkit Onelogin, das z.B. von Joomla, SugarCRM und Drupal benutzt 

wird. 

www.nds.rub.de/research/publications/BreakingSAML/ 

Bildquelle: Gerd Altmann / pixelio.de 

In Verbindung stehende Artikel: 

Höhere Datensicherheit dank Single Sign On - 04.07.2012 11:56 

Single-Sign-On für mehr Datensicherheit - 29.02.2012 17:05 

Kantara-Initiative will globale Identitätslandschaft neu gestalten - 22.06.2009 18:01 

Identitätsmanagement und Single Sign-On - 03.01.2007 10:53 

« Home 

AKTUELLE AUSGABE NEWSLETTER ARCHIV 

ANZEIGE 

ANZEIGE 

WEB-SPECIAL DELL 

MEISTGELESENE ARTIKEL 

Virtualisierung im Mittelstand 

UNTERNEHMEN SCHÄTZEN DIE VORTEILE 

VIRTUELLER SERVER 

Bladeserver 

HIGHEND-SYSTEME FÜR WEB UND SAP 

Bereitstellung und Konfiguration 

SOFORT EINSATZBEREITE SYSTEME 

IT-MARKT 

54 Prozent der deutschen Unternehmen kaufen im 

Internet ein 

E-COMMERCE FEST ETABLIERT 

Innovative Abschlussarbeiten gesucht 

DNUG-HOCHSCHULWETTBEWERB 2012 

CHG-Meridian AG erweitert Vorstand 

NEUE KRÄFTE FÜR DIE SPITZE 

ANZEIGE 

ANZEIGE 

IT-Messe Stuttgart setzt verstärkt auf CRM und ERP 

BUSINESS-IT IM RAMPENLICHT 

Vom Schnittstellenbauer zum Druckservice- 

Experten 

20 JAHRE CSP 


IBM meldet Erfolge mit dem Auslagern von 

IT-Infrastruktur und Software 

CITY CLOUD WÄCHST SCHNELLER ALS 

GEPLANT 

Microsofts Preview auf Office 2013 

OFFICE AS A SERVICE 

1 von 4 14.08.2012 08:43

Sicherheitslücken in Anmeldesystemen - Online PC Magazin http://www.onlinepc.ch/index.cfm?page=104029&artikel_id=34651 

Home 

News 

Testberichte 

Aktuelle Ausgabe 

Leserservice 

Weiterbildung 

Job-Monster 

Publireportage 

Aboservice 

Newsletter 

Mediadaten 

Über Online PC 

Kino- und Filmtrailer 

Techvideos 

Jetzt am Kiosk! 

Inhaltsverzeichnis 

Google-Anzeigen 

SSO 

SSO Security 

SSO F d i 

Abobestellung ¦ Archiv ¦ Download ¦ Leseraktionen ¦ Newsletter ¦ Testberichte ¦ Tipps & Tricks ¦ 

Newsticker 

How to deploy SSO 

The 7 golden rules for a successful SSO project. 

www.evidian.com 

15.08.2012 

Sicherheitslücken in Anmeldesystemen 

Wissenschaftler der Ruhr-Universität Bochum haben Single-Sign-on-Systeme auf 

mögliche Sicherheitsanfälligkeiten hin untersucht. Die Mehrheit der Systeme 

konnte durch XML-Signature-Wrapping (XSW) gehackt werden. 

Wer im Internet viele unterschiedliche Dienste nutzt, benötigt eine 

entsprechende Menge Benutzernamen und Kennwörter. Das ist lästig, und etliche 

Nutzer verwenden daher überall die gleichen Login-Informationen, was aber als 

nicht besonders sicher gilt. Mehr Komfort versprechen Single-Sign-on-System 

(SSO). Hier muss sich ein Nutzer nur einmal am zentralen SSO-System 

anmelden und authentifizieren. Danach kann er sich in alle Systeme und 

Anwendungen einloggen, für die sein Account eine Berechtigung hat. Ein SSO 

muss besonders hohen Sicherheitsanforderungen genügen. Denn wenn es 

geknackt wird, hat ein Angreifer auf einen Schlag Zugriff auf alle damit 

verbundenen Konten. 

Kurz nach Entdeckung der Anfälligkeiten haben die Wissenschaftler die 

betroffenen Herstellerfirmen und Projekte benachrichtigt. Inzwischen wurden 

entsprechende Gegenmassnahmen eingeleitet und die Sicherheitslücken in den 

Produkten geschlossen. Juraj Somorovsky von der RUB hat ausserdem die 

Ergebnisse der Untersuchungen auf dem 21. USENIX Security Symposium in 

Bellevue, in Washington (USA) vorgestellt. 

Bereits im Mai 2012 hatten Experten der Indiana University Bloomington und von 

Microsoft Research die Sicherheit einiger kommerzieller SSO-Systeme 

untersucht. Darunter waren populäre Dienste und Produkte wie OpenID 

(GoogleID, Paypal Access), Facebook und JanRain. Auch bei dieser Untersuchung 

wurden mehrere Sicherheitslücken gefunden, die die Unternehmen dann auf 

Anregung der Wissenschaftler geschlossen haben. (ph/com!) 

Zum Newsticker 

Kostenlosen Newsletter abonnieren 

RSS-Feed buchen 

Suche auf 

www.onlinepc.ch 

Webcode 

Domainsuche 

Jetzt Ihre Wunschdomain 

schnell & einfach finden! 

wunschdomain.ch 

Bereitgestellt durch Hoststar 

Gratis: USB-Tischventilator 

Das kühle Lüftchen für Ihren 

Arbeitsplatz! 

Zum Angebot geht es hier 

Offenbar sind die Systeme bei weitem nicht so sicher, wie bisher vermutet. Nach 

Untersuchungen der Ruhr-Universität Bochum konnten zwölf von vierzehn Single 

Sign-On-Systeme über XML-Signature-Wrapping gehackt werden. Die 

Wissenschaftler konnten sich bei beliebigen Konten anmelden und sogar 

administrativen Zugang erhalten. Anfällig für diese noch relativ neue 

giveaway-discount.com 

Angriffsmethode sind unter anderem der Clouddienst Salesforce, das IBM 

Komplettpreis inkl. 

DataPower Security Gateway, Onelogin und das Framework OpenSAML. Diese 

Werbe-Druck zB: 1000 

SSO-Systeme werden von zahlreichen Angeboten im Internet genutzt, die 

Gummibärchen-Werbetüten 

beispielsweise die Content Management Systeme (CMS) Joomla, Wordpress oder 

199,- 

Drupal einsetzen. 

www.giveaway-discount.com 

 

Renditestark mit Edelholz 

Ökologisch und 

börsenunabhängig. 

Top-Renditen bis zu 12% p.a. 

und mehr. 

Jetzt anlegen » 

KommunikationsleiterIn 

Erfahrene Dozenten 

unterrichten Sie 

praxisbezogen. Lehrgangsstart 

am 17.10. Hier anmelden! 

sawi.com/kommunikationsleiter 

Kommunikationsplaner 

Ausbildung mit 

hervorragendem Ruf. 

Lehrgangsstart im Oktober in 

BE & ZH. Jetzt anmelden! 

sawi.com/kommunikationsplaner 

1 von 2 15.08.2012 11:57

Sicherheitslücken in Anmeldesystemen - Online PC Magazin http://www.onlinepc.ch/index.cfm?page=104029&artikel_id=34651 

Möchten Sie diesen Artikel an einen Freund senden? 

Absender-Emailadresse 

Absendername 

Empfänger-Emailadresse 

Kommentar 

Impressum | Datenschutzerklärung | Mediadaten 

WEITERE PORTALE DER NEUEN MEDIENGESELLSCHAFT ULM MBH 

APPSUNDCO.DE | COM-MAGAZIN.DE | INTERNETWORLD.DE | MOBILE-DEVELOPER.DE | MOBILE-NEXT.DE | 

REPUTEER.DE | SPORTONLINE.DE | TELECOM-HANDEL.DE | WEB-DEVELOPER.DE 

2 von 2 15.08.2012 11:57

XML-Signature-Wrapping-Angriffe hebeln digitale Signatur aus - Sich... http://www.dv-dialog.de/nc/home/newsdetails/article/sicherheitsluecke... 

Home Aktuelle Ausgabe Specials Media Newsletter Abo Archiv Verlag Kontakt Impressum 

Software Infrastruktur IT-Anwendungen Organisation IT-Markt Termine Trends 

SIE SIND HIER: HOME NEWSDETAILS 

13.08.2012 

SICHERHEIT 

Von: Berthold Wesseler 

XML-Signature-Wrapping-Angriffe hebeln digitale Signatur aus 

SICHERHEITSLÜCKE BEI SINGLE-SIGN-ON 

GESCHLOSSEN 

Bochumer Forscher haben beim „Single-Sign-on“ mit der Security Assertion Markup 

Language (SAML) ein Sicherheitsproblem entdeckt und gemeinsam mit den betroffenen 

Anbietern behoben. 

Bei 11 von 14 untersuchten Systemen, mit denen sich User durch einmaliges 

Login für mehrere Dienste und Anwendungen anmelden können, lässt sich die 

digitale Signatur aushebeln, meldete das Forscherteam rund um Professor Jörg 

Schwenk vom Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum. 

„Mit einem neuartigen XML-Signature-Wrapping-Angriff haben wir sämtliche 

Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt”, berichtet 

Schwenk. So habe man sich jede beliebige Identität aneignen können, sogar die 

eines Systemadministrators. 

Zu den verwundbaren Systemen zählen die CRM-Software Salesforce, das IBM 

Datapower Security Gateway XS40, das Framework Open SAML und das Open 

Source-Toolkit Onelogin, das z.B. von Joomla, SugarCRM und Drupal benutzt 

wird. 

www.nds.rub.de/research/publications/BreakingSAML/ 

Bildquelle: Gerd Altmann / pixelio.de 

In Verbindung stehende Artikel: 

Höhere Datensicherheit dank Single Sign On - 04.07.2012 11:56 

Single-Sign-On für mehr Datensicherheit - 29.02.2012 17:05 

Kantara-Initiative will globale Identitätslandschaft neu gestalten - 22.06.2009 18:01 

Identitätsmanagement und Single Sign-On - 03.01.2007 10:53 

« Home 

AKTUELLE AUSGABE NEWSLETTER ARCHIV 

ANZEIGE 

ANZEIGE 

WEB-SPECIAL DELL 


Barbara Wittmann, Dell Deutschland 

AUS WENIGER WIRD MEHR 

Bladeserver 

HIGHEND-SYSTEME FÜR WEB UND SAP 

Bereitstellung und Konfiguration 

SOFORT EINSATZBEREITE SYSTEME 

IT-MARKT 

54 Prozent der deutschen Unternehmen kaufen im 

Internet ein 

E-COMMERCE FEST ETABLIERT 

Innovative Abschlussarbeiten gesucht 

DNUG-HOCHSCHULWETTBEWERB 2012 

CHG-Meridian AG erweitert Vorstand 

NEUE KRÄFTE FÜR DIE SPITZE 

ANZEIGE 

ANZEIGE 

IT-Messe Stuttgart setzt verstärkt auf CRM und ERP 

BUSINESS-IT IM RAMPENLICHT 

Vom Schnittstellenbauer zum Druckservice- 

Experten 

20 JAHRE CSP 


IBM meldet Erfolge mit dem Auslagern von 

IT-Infrastruktur und Software 

CITY CLOUD WÄCHST SCHNELLER ALS 

GEPLANT 

Microsofts Preview auf Office 2013 

OFFICE AS A SERVICE 

1 von 4 15.08.2012 11:59

Sicherheitslücken in Anmeldesystemen | com! - Das Computer-Magazin http://www.com-magazin.de/index.php?id=204&type=98&tx_ttnews[t... 

Sicherheitslücken in Anmeldesystemen 

14.08.2012 Wissenschaftler der Ruhr-Universität Bochum haben Single-Sign-on-Systeme auf mögliche 

Sicherheitsanfälligkeiten hin untersucht. Die Mehrheit der Systeme konnte durch XML-Signature- 

Wrapping (XSW) gehackt werden. 

Weiter >> 

Wer im Internet viele unterschiedliche Dienste nutzt, benötigt eine 

entsprechende Menge Benutzernamen und Kennwörter. Das ist lästig, 

und etliche Nutzer verwenden daher überall die gleichen Login- 

Informationen, was aber als nicht besonders sicher gilt. Mehr Komfort 

versprechen Single-Sign-on-System (SSO). Hier muss sich ein Nutzer 

nur einmal am zentralen SSO-System anmelden und authentifizieren. 

Danach kann er sich in alle Systeme und Anwendungen einloggen, für 

die sein Account eine Berechtigung hat. Ein SSO muss besonders 

hohen Sicherheitsanforderungen genügen. Denn wenn es geknackt 

wird, hat ein Angreifer auf einen Schlag Zugriff auf alle damit verbundenen Konten. 

Offenbar sind die Systeme bei weitem nicht so sicher, wie bisher vermutet. Nach Untersuchungen der 

Ruhr-Universität Bochum konnten zwölf von vierzehn Single Sign-On-Systeme über XML-Signature- 

Wrapping gehackt werden. Die Wissenschaftler konnten sich bei beliebigen Konten anmelden und sogar 

administrativen Zugang erhalten. Anfällig für diese noch relativ neue Angriffsmethode sind unter 

anderem der Clouddienst Salesforce, das IBM DataPower Security Gateway, Onelogin und das Framework 

OpenSAML. Diese SSO-Systeme werden von zahlreichen Angeboten im Internet genutzt, die 

beispielsweise die Content Management Systeme (CMS) Joomla, Wordpress oder Drupal einsetzen. 

Kurz nach Entdeckung der Anfälligkeiten haben die Wissenschaftler die betroffenen Herstellerfirmen und 

Projekte benachrichtigt. Inzwischen wurden entsprechende Gegenmaßnahmen eingeleitet und die 

Sicherheitslücken in den Produkten geschlossen. Juraj Somorovsky von der RUB hat außerdem die 

Ergebnisse der Untersuchungen auf dem 21. USENIX Security Symposium in Bellevue, in Washington 

(USA) vorgestellt. 

Bereits im Mai 2012 hatten Experten der Indiana University Bloomington und von Microsoft Research die 

Sicherheit einiger kommerzieller SSO-Systeme untersucht. Darunter waren populäre Dienste und 

Produkte wie OpenID (GoogleID, Paypal Access), Facebook und JanRain. Auch bei dieser Untersuchung 

wurden mehrere Sicherheitslücken gefunden, die die Unternehmen dann auf Anregung der 

Wissenschaftler geschlossen haben. 

rd, 14.08.2012 - Rubrik(en): Sicherheit, Datenschutz, Internet 

Neue Mediengesellschaft Ulm mbH | Bayerstr. 16a | D-80335 München 

Telefon: +49 89 74 117-0 | Telefax: +49 89 74 117-132 

Email: info@com-magazin.de | Internet: www.com-magazin.de 

1 von 1 15.08.2012 12:01

Buergerstimmen.de aus Göttingen - Bochumer Informatiker h... http://www.buergerstimmen.de/wirtschaft/wirtschaft_635.htm 

Meldung gesetzt von ~ Dr. Dieter Porth --- > Zukünftiges --- Weitere Links unter Ticker, Historie oder Startseite 

Themenlisten: ~ erzählen ~ berichten ~ Wirtschaft ~ Hochschule ~ irgendwo ~ Universität ~ 

Bookmark setzen - 

Netzsicherheit 

Bochumer Informatiker häckten sich bei Cloud-Anbietern ein 

13.08.2012 

Um dem Nutzer der Cloud-Datendiensten den Zugang zu erleichtern, wurde der Industriestandard des Single Sign-On eingeführt. Wenn ein Angreifer 

diese Hürde ersteinmal überwunden hat, kann er auf sämtliche Daten zugreifen, die mit dem Generalschlüssel des Single Sign-Ons zugänglich sind. Den 

Informatikern der Ruhr-Universität Bochum ist es nun mit einer neuartigen Cyber-Angriffsstrategie f gelungen, in solchen Systemen Identitäten zu übernehmen. 

Sie konnten sogar mit ihrer Technik neue Systemadministratoren erfinden und so den Zugriff auf alle Daten erhalten. Bei zwölf von vierzehn überprüften 

bekannten Cloud-Anbietern wurden kritische Sicherheitslücken entdeckt. Die Forscher haben die Unternehmen kontaktiert und ihnen auch 

Sicherheitsvorschläge unterbreitet. Beigefügt ist eine ältere Meldung zu einer Umfrage der BITKOM zum Thema Cloud-Computing. Danach nutzt gut jedes 

vierte Unternehmen in Deutschland schon Cloud-Dienste. Gut jedes zwanigste Unternehmen nutzt das sogenannte Public Cloud, bei der das Unternehmen zur 

Nutzung ihrer Daten auch die Software des Cloud-Anbieters nutzen muss. 

[Cloud (engl.: Wolke als Substantiv oder verschleiern als Verb) spricht sich im Deutschen wie "klaut". Die Meldung zeigt, dass Daten im Internet niemals 100% 

geheim und sicher bleiben. Jeder sollte sich wirklich überlegen, wie abhängig er oder sie sich von wildfremden Menschen und fremden Unternehmen machen 

will. Dr. Dieter Porth] 

Emailnachricht: Kontaktlink zu Ruhr-Universität Bochum (RUB) [ Homepage ] 

(Info zur Meldung am 10.8.12 – Link zur Meldung beim Informationsdienst Wissenschaft (IDW) – Link zur Originalmeldung bei der Ruhr Universität Bochum) 

Webshops, Cloud Computing, Online-Banking: Tagtäglich fordern viele unterschiedliche IT-Systeme den Nutzer auf, sich immer wieder über 

Benutzername und Passwort zu identifizieren. Als praktisches Mittel gegen die Flut von Mehrfachanmeldungen gilt das so genannte "Single 

Sign-On". Hier weist sich der Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen automatisch. Dass die Einmal-Anmeldung 

jedoch längst nicht so sicher ist wie bislang angenommen, zeigen jetzt Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität 

Bochum: Ungefähr 80 Prozent der untersuchten Systeme wiesen massive Sicherheitslücken Sicherheitslücken auf. 

2 von 6 15.08.2012 07:35

Buergerstimmen.de aus Göttingen - Bochumer Informatiker h... http://www.buergerstimmen.de/wirtschaft/wirtschaft_635.htm 


Das "Single Sign-On"-Verfahren, kurz SSO, kann mit einem gut bewachten Tor verglichen werden, das die sensiblen Firmendaten schützt: Wer den 

Eingang einmal passiert hat, kann auf alle Informationen und Dienste zugreifen, denn er gilt als angemeldet und zugriffsberechtigt. Viele 

SSO-Systeme setzen auf die weit verbreitete Security Assertion Markup Language (SAML). Die Identitätsinformationen werden in einer 

SAML-Nachricht gespeichert und durch eine digitale Signatur geschützt. Doch die Bochumer Forscher fanden einen Weg, diesen Schutz zu 

umgehen. 


"Mit einem neuartigen XML Signature Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt", 

berichtet Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. "Dadurch konnten wir uns jede beliebige Identität aneignen und uns 

sogar als Systemadministratoren ausgeben". Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen 12 

kritische Lücken auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce, das IBM DataPower Security Gateway, Onelogin (benutzt in 

Joomla, Wordpress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML). 


"Nachdem wir die Sicherheitslücken entdeckt hatten, kontaktierten wir umgehend die betroffenen Firmen und schlugen Gegenmaßnahmen vor", 

berichtet der Sicherheitsexperte und externe Doktorand Andreas Mayer (Adolf Würth GmbH & Co. KG). "Durch die professionelle 

Zusammenarbeit mit den Herstellern konnten die kritischen Schwachstellen in den betroffenen Produkten geschlossen werden", ergänzt Juraj 

Somorovsky vom Lehrstuhl für Netz- und Datensicherheit. 

Ergebnisvorschau 

Am 10. August 2012 stellt Juraj Somorovsky die Ergebnisse auf dem 21. USENIX Security Symposium in Bellevue, Washington (USA) vor. Das 

Paper ist im Internet veröffentlicht unter: 

http://www.nds.rub.de/research/publications/BreakingSAML 

(Email vom 7.3.12) 

Repräsentative Unternehmensbefragung "Cloud-Monitor 2012" 

Jeder vierte User pflegt Terminkalender und Adressen online 

Hannover, 7. März 2012 - Gut ein Viertel (28 Prozent) aller Unternehmen in Deutschland nutzt Cloud Computing. Vorreiter beim Einsatz dieser 

neuen Technologie sind u.a. Finanzdienstleister. Größere Unternehmen nutzen Cloud Computing überdurchschnittlich häufig. Dabei haben rund 

zwei Drittel aller Nutzer mit der Cloud positive Erfahrung gemacht. Das hat der "Cloud Monitor 2012" von KPMG und BITKOM ergeben. Die 

repräsentative Unternehmensbefragung ist zum ersten Mal durchgeführt worden und wird bis 2015 jährlich wiederholt. "Zwar stehen einige 

Unternehmen Cloud Computing noch skeptisch gegenüber. Doch diejenigen, die bereits Erfahrungen mit Cloud Computing gemacht haben, sind in 

der Regel durchweg zufrieden", sagte BITKOM-Präsident Prof. Dieter Kempf bei der Präsentation der Studie auf der CeBIT. 

Beim Cloud Computing kann fast die gesamte Palette von IT-Leistungen über Netze (meist über das Internet) bereitgestellt werden, und zwar je 

nach aktuellem Bedarf. Der Nutzer erhält seine IT-Leistungen in dem Maße und dem Moment, wie und wo er sie anfordert – bezahlt wird nach 

Nutzung. 

Die weit überwiegende Zahl der Cloud-Nutzer setzt derzeit auf so genannte Private Clouds. 27 Prozent der Unternehmen nutzen diese Form des 

Cloud Computings, weitere 21 Prozent haben in diesem Bereich konkrete Investitionspläne für die kommenden 2 Jahre. Private Clouds sind quasi 

unternehmenseigen und können vom Unternehmen selbst oder von einem externen Dienstleister betrieben werden. Fast zwei Drittel der Nutzer 

beurteilen ihre Erfahrungen mit der Cloud als positiv. 

Nur 6 Prozent der Unternehmen nutzen schon eine Public Cloud. Hier werden ITK-Leistungen von einem externen Dienstleister über das 

öffentliche Internet bezogen. Daten und Anwendungen der verschiedenen Kunden werden zwar logisch getrennt, aber auf denselben physischen 

Rechnern gespeichert. "Public Clouds spielen im Unternehmensalltag bislang eine untergeordnete Rolle. Hauptgrund dafür ist die Angst vor 

Datenverlust", sagte Kempf. Dabei zeigen die Erfahrungen der Nutzer, dass diese Angst weitgehend unbegründet ist. Vier von fünf Nutzern der 

Public Cloud haben positive Erfahrungen gesammelt. Zu den wichtigsten positiven Auswirkungen der Public-Cloud-Nutzung zählen eine höhere 

Flexibilität der IT-Leistungen (80 Prozent der Nutzer), eine höhere Innovationsfähigkeit (70 Prozent) sowie die bessere Performance der 

IT-Leistungen und der mobile Zugriff auf die IT (60 Prozent). 

Bruno Wallraf, Partner bei KPMG, sagte: "Unsere Umfrage zeigt, dass viele Unternehmen beim Thema Cloud Computing noch etwas unsicher und 

unentschlossen sind. Diejenigen, die bereits derartige Anwendungen nutzen, berichten fast ausschließlich von positiven Erfahrungen. Deshalb 

dürfte sich Cloud Computing schon bald weiter etablieren, zumal die Bandbreiten und das entsprechende Angebot an Dienstleistungen stark 

3 von 6 15.08.2012 07:35

Sicherheitslücken in Anmeldesystemen | com! - Das Computer-Magazin http://www.com-magazin.de/sicherheit/news/detail/artikel/sicherheitsl... 

Offenbar sind die Systeme bei weitem nicht so sicher, wie bisher vermutet. Nach Untersuchungen der Ruhr-Universität Bochum konnten 

zwölf von vierzehn Single Sign-On-Systeme über XML-Signature-Wrapping gehackt werden. Die Wissenschaftler konnten sich bei 

beliebigen Konten anmelden und sogar administrativen Zugang erhalten. Anfällig für diese noch relativ neue Angriffsmethode sind unter 

anderem der Clouddienst Salesforce, das IBM DataPower Security Gateway, Onelogin und das Framework OpenSAML. Diese 

SSO-Systeme werden von zahlreichen Angeboten im Internet genutzt, die beispielsweise die Content Management Systeme (CMS) 

Joomla, Wordpress oder Drupal einsetzen. 

Kurz nach Entdeckung der Anfälligkeiten haben die Wissenschaftler die betroffenen Herstellerfirmen und Projekte benachrichtigt. 

Inzwischen wurden entsprechende Gegenmaßnahmen eingeleitet und die Sicherheitslücken in den Produkten geschlossen. Juraj 

Somorovsky von der RUB hat außerdem die Ergebnisse der Untersuchungen auf dem 21. USENIX Security Symposium in Bellevue, in 

Washington (USA) vorgestellt. 

Bereits im Mai 2012 hatten Experten der Indiana University Bloomington und von Microsoft Research die Sicherheit einiger kommerzieller 

SSO-Systeme untersucht. Darunter waren populäre Dienste und Produkte wie OpenID (GoogleID, Paypal Access), Facebook und JanRain. 

Auch bei dieser Untersuchung wurden mehrere Sicherheitslücken gefunden, die die Unternehmen dann auf Anregung der Wissenschaftler 

geschlossen haben. 

rd, 14.08.2012 - Rubrik(en): Sicherheit, Datenschutz, Internet 

News-Suche 

com! Newsfeeds 

Advertorials 

Archiv 

com! - Tipps 

com! - Sicherheits-News 

com! - Praxis 

August 2012 

Juli 2012 

Juni 2012 

Mai 2012 

April 2012 

März 2012 

Februar 2012 

Januar 2012 

Dezember 2011 

November 2011 

Oktober 2011 

September 2011 

August 2011 

Juli 2011 

Juni 2011 

Mai 2011 

April 2011 

März 2011 

Februar 2011 

Januar 2011 

Dezember 2010 

November 2010 

Oktober 2010 


August 2010 

Juli 2010 

Juni 2010 

Mai 2010 

April 2010 

März 2010 

Februar 2010 

Januar 2010 

Dezember 2009 

November 2009 

Oktober 2009 


von 3 15.08.2012 07:53

Druckversion http://www.aachener-zeitung.de/sixcms/detail.php?template=az_druck... 

Von Thomas Cloer | 13.08.2012, 10:41 

DRUCKEN 

Aachen. Bochumer Forscher haben die in vielen Single-Sign-On-Systemen (SSO) verwendete 

SAML-Signatur (Security Assertion Markup Language) ausgehebelt. 

ausgehebelt. 

Tagtäglich fordern viele unterschiedliche IT-Systeme den Nutzer auf, sich immer wieder über 

Benutzername und Passwort zu identifizieren. Beim sogenannten Single Sign-On weist sich der 

Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen automatisch. Diese 

Einmal-Anmeldung sei längst nicht so sicher ist wie bislang angenommen, erklären nun 

Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum (RUB) - 

ungefähr 80 Prozent der untersuchten Systeme wiesen demnach massive Sicherheitslücken 

auf. 

Viele SSO-Systeme setzen auf die weit verbreitete Security Assertion Markup Language 

(SAML). Die Identitätsinformationen werden dabei in einer SAML-Nachricht gespeichert und 

durch eine digitale Signatur geschützt. Die Bochumer Forscher fanden einen Weg, diesen 

Schutz zu umgehen. «Mit einem neuartigen XML-Signature-Wrapping-Angriff haben wir 

sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt», sagt Professor 

Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. Dadurch habe man sich jede 

beliebige Identität aneignen und sogar als Systemadministrator ausgeben können. 

Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen 

zwölf kritische Lücken auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce, das 

IBM «DataPower Security Gateway», «Onelogin» (benutzt in Joomla, Wordpress, SugarCRM 

und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML). 

Die betroffenen Firmen beziehungsweise Anbieter wurden umgehend kontaktiert und 

Gegenmaßnahmen vorgeschlagen; die Schwachstellen sind mittlerweile entfernt. Heute stellt 

Juraj Somorovsky vom Lehrstuhl für Netz- und Datensicherheits die Ergebnisse beim USENIX 

Security Symposium in Washington vor. Das Paper ist bereits im Internet veröffentlicht unter 

http://www.nds.rub.de/research/publications/BreakingSAML. 

© IDG / In Zusammenarbeit mit computerwoche.de 

www.az-web.de/sixcms/detail.php?template=az_detail&id=2639651 

1 von 1 15.08.2012 07:55

Be whoever you want to be! | e! Science News http://esciencenews.com/articles/2012/08/15/be.whoever.you.want.be 

PDF-XChange 

w w w.docu-track.co m 

Click to buy NOW! 

e! Science News 

Be whoever you want to be! 

Published: Wednesday, August 15, 2012 - 10:41 

Online shopping, cloud computing, online CRM systems: Each day many IT systems require the user to identify 

himself/herself. Single Sign-On (SSO) systems were introduced to circumvent this problem, and to establish 

structured Identity Management (IDM) systems in industry: Here the user only has to identify once, all subsequent 

authentications are done automatically. However, SSO systems based on the industry standard SAML have huge 

vulnerabilities: Roughly 80 percent of these systems systems could be broken by the researchers from Ruhr-Universität 

Bochum. Protection through digital signatures 

Single Sign-On (SSO) can be compared to a well guarded door, which protects sensitive company data: Once you 

have passed this door, you can access all data. Many industry SSO systems are built on the basis of the Security 

Assertion Markup Language (SAML). Identity information is stored in a SAML message, protected by a digital 

signature. Researchers from Bochum were able to circumvent this protection completely in 12 out of 14 SAML 

systems. 

Security functions circumvented 

"With novel XML Signature Wrapping techniques we were able to circumvent these digital signatures completely," 

says Prof. Jörg Schwenk from Ruhr-Universität. "Thus we could impersonate any user, even system 

administrators." Amongst the 12 affected systems were the SaaS Cloud provider Salesforce, the IBM Datapower 

security gateway, Onelogin (could e.g. be used as an optional module in Joomla, Wordpress, SugarCRM, or 

Drupal) and OpenSAML (used e.g. in Shibboleth, and SuisseID, and OpenSAML). 

"After we found the attacks, we immediately informed the affected companies, and proposed ways to mitigate the 

attacks," states security expert and external PhD student Andreas Mayer (Adolf Würth GmbH & Co. KG). "Through 

the close cooperation with the responsible security teams, the vulnerabilities are now fixed," Juraj Somorovsky 

adds. 

Source: Ruhr-Universitaet-Bochum 

Check out our next project, Biology.Net 

We hope you enjoyed reading this article. Share it with friends, pin it to 

a wall or at the very least recycle it! And don't forget, you can always 

find more of the same at e! Science News - 

http://www.esciencenews.com 

PDF-XChange 

w w w.docu-track.co m 

Click to buy NOW! 

1 von 1 16.08.2012 07:43

ScienceDaily (Aug. 15, 2012) — Online shopping, 

cloud computing, online CRM systems: Each day many 

IT systems require the user to identify himself/herself. 

Single Sign-On (SSO) systems were introduced to 

circumvent this problem, and to establish structured 

Identity Management (IDM) systems in industry: Here 

the user only has to identify once, all subsequent 

authentications are done automatically. However, SSO 

systems based on the industry standard SAML have 

huge vulnerabilities: Roughly 80 percent of these 

systems could be broken by the researchers rresearchers 

from 

Ruhr-Universität Bochum. 

Protection through digital signatures 

Web address: 

http://www.sciencedaily.com/releases/2012/08/ 

120815082713.htm 

Single-sign-on. (Credit: Image courtesy of 

Ruhr-Universitaet-Bochum) 

Single Sign-On (SSO) can be compared to a well guarded door, which protects sensitive company data: 

Once you have passed this door, you can access all data. Many industry SSO systems are built on the 

basis of the Security Assertion Markup Language (SAML). Identity information is stored in a SAML 

message, protected by a digital signature. Researchers from Bochum were able to circumvent this 

protection completely in 12 out of 14 SAML systems. 

Security functions circumvented 

"With novel XML Signature Wrapping techniques we were able to circumvent these digital signatures 

completely," says Prof. Jörg Schwenk from Ruhr-Universität. "Thus we could impersonate any user, even 

system administrators." Amongst the 12 affected systems were the SaaS Cloud provider Salesforce, the 

IBM Datapower security gateway, Onelogin (could e.g. be used as an optional module in Joomla, 

Wordpress, SugarCRM, or Drupal) and OpenSAML (used e.g. in Shibboleth, and SuisseID, and 

OpenSAML). 

"After we found the attacks, we immediately informed the affected companies, and proposed ways to 

mitigate the attacks," states security expert and external PhD student Andreas Mayer (Adolf Würth GmbH 

& Co. KG). "Through the close cooperation with the responsible security teams, the vulnerabilities are 

now fixed," Juraj Somorovsky adds. 

Share this story on Facebook, Twitter, and Google: 

Like 3 Tweet 14 0 

Other social bookmarking and sharing tools: 

http://www.sciencedaily.com/releases/2012/08/120815082713.htm 

von 2 16.08.2012 07:46 

enlarge

Landeszeitung für die Lüneburger Heide vom 18.08.2012 

Seite: MAG-7 Auflage: 33.370 (gedruckt) 31.687 (verkauft) 


Gattung: Tageszeitung Reichweite: 0,07 (in Mio.) 

Im Tal der Sorglosen 

Brauchen Macs Virenschutz? 

Mac- hinter Windows-Scannern 


der Zeitschrift "Maci" brachte 

es der bes-te Prüfling, Kaspersky Anti- 

Virus 2011, auf eine Erkennungsrate 

von 82 Prozent. Mit 78 Prozent kaum 

schlechter schnitt das kostenlose Sophos 

Anti-Virus ab. Verglichen mit Windows-Scannern, 

die ein Vielfaches an 

Schädlingen erkennen müssen und trotzdem 

Quoten von weit über 90 Pro- zent 

erreichen, ist das zu wenig. 










trommeln. Doch Tests stellen den 

Programmen kein gutes Zeugnis aus. 

Macht nichts, sagen Experten. Man 

kann Macs auch weiter ohne Scanner 

nutzen - Umsicht vorausgesetzt. 






Hunderttausende Macs befallen, die 

zum Versenden von Spam-Mails 

missbraucht werden sollten. Hätten 

Virenscanner den Trojaner stoppen können? 

Wohl kaum. 




"Maci" getestet - mit einer im 





Ergebnis. "Keiner erkannte alle Mac- 


gegenüber den Testschädlingen minde- 

Wörter: 674 


stens zwei Wochen Vorsprung und viele 

Viren schon Jahre auf dem Buckel hatten", 




























"Mit offenen Augen und gesundem 


gehen." Dazu gehöre zum Beispiel, 










Intervall stellt man am besten auf "täglich". 


mit Windows. Windows. Kein Kein Wunder, Wunder, dass dass sich sich 


wie vor auf diesen "Markt" konzentrieren. 

Trotzdem: "Flashback hat gezeigt, 

dass auch Mac OS X angreifbar ist", 


für Systemsicherheit an der Ruhr-Universität 

Bochum. Und wenn es Angriffe 


sie oft Unvorbereitete: "Die typischen 

Mac-Nutzer sind vermutlich ein 

wenig sorgloser." 


des Sicherheitskonzepts. "Sie bietet nie 

hundertprozentigen Schutz", sagt der 






"Nicht auf alles klicken und ein 


Holz. 














man es braucht", sagt Tim Griese. 







"Maci"-Test aber nur einmal Alarm 

schlug. dirk averesch 

Internet: http://dpaq.de/dtJZw (Web of 

Trust für verschiedene Browser)

iX magazin vom 23.08.2012 

Seite: 018 Nummer: 09 

Gattung: Zeitschrift Auflage: 60.000 (gedruckt) 41.073 (verkauft) 


Jahrgang: 2012 

Markt + Trends | Security 

Händler lieben Vorkasse und PayPal 

Händler lieben Vorkasse und PayPal 

Für Händler müssen die Zahlungsmittel 

ihres Onlineshops vor allem sicher 

und wirtschaftlich sein. Kleinere Unternehmen 

setzen daher am liebsten die 

Überweisung per Vorkasse und PayPal 

ein. Große Händler favorisieren die Kreditkarte. 

Zu diesem Ergebnis kommt das 

Projekt E-Commerce-Leitfaden in der 

Online-Befragung Die Qual der Wahl - 

Wie Online-Händler ihre Zahlungsverfahren 

auswählen . Weitere Ergebnisse: 

Etwa ein Drittel der 297 Teilnehmer differenzieren 

zwischen Neu- und 

Bestandskunden und bieten Neukunden 

eine reduzierte Auswahl an Zahlungsmitteln 

an. Als die drei wichtigsten 

Anforderungen nannten die Befragten 

die Akzeptanz und Verbreitung des Verfahrens 

im deutschsprachigen Raum, 

Schutz vor Zahlungsausfällen sowie die 

Kosten. Kostenloser Download der 34seitigen 

Studie: www.ecom 

merce-leitfaden.de/zvauswahl. 

html. Barbara Lange 

Logfiles sammeln und auswerten 

Wallix, ein auf Privileged-User-Management-Produkte 

spezialisierter Anbieter 

mit Sitz in Frankreich, England und 

den USA, versucht derzeit, auf dem 

deutschen Markt Fuß zu fassen - etwa 

Wörter: 405 


mit der neuen Version seiner LogBox. 

Diese sammelt Logdaten aus verschiedenen 

Quellen (alle gängigen Betriebssysteme, 

Businessanwendungen, Server, 

Datenbanken, Sicherheitssysteme et 

cetera), normalisiert, filtert, indiziert 

und archiviert sie oder verarbeitet sie zu 

Reports. Außerdem gibt das agentenlos 

arbeitende Gerät bei definierten Ereignissen 

Warnungen in Echtzeit aus. Neu 

sind laut Hersteller die Reporting-Möglichkeiten: 

sechs Berichtsvorlagen für 

drei Zeiträume (täglich, wöchentlich, 

benutzerdefiniert). Ausgabeformate sind 

PDF oder HTML. Außerdem hat Wallix 

die Verarbeitungsleistung auf 2000 

Logs/s erhöht. 

Systeme für Single Single Sign-on geknackt 

Forscher der Ruhr-Universität Bochum 

(RUB) haben 14 sogenannte sogenannte Single- 

Sign-on-Systeme auf auf ihre Sicherheit 

überprüft - mit alarmierendem Ergebnis. 

Rund Rund 80 Prozent der untersuchten 

untersuchten 

Systeme, die ein einmaliges Anmelden 

bei mehreren IT-Anwendungen oder 

Ressourcen ermöglichen, ermöglichen, wiesen gravierende 

Sicherheitslücken auf, lautet das 

Ergebnis der Bochumer Forscher. 

Die meisten dieser Systeme basieren 

auf der Security Assertion Markup Language 

(SAML), einem XML-Frame- 

work, das dem Austausch von Authentifizierungs- 

und Autorisierungsinformationen 

dient. Die für die Anmeldung 

erforderlichen Informationen sind in 

einer SAML-Nachricht gespeichert und 

durch eine digitale Signatur geschützt. 

Den Bochumer Forschern gelang es mit 

einem neuartigen XML-Signature- 

Wrapping-Angriff, diesen Schutz zu 

umgehen, berichtete Jörg Schwenk vom 

Lehrstuhl für Netz- und Datensicherheit. 

Dadurch konnten sich die Forscher jede 

beliebige Identität aneignen und sich 

sogar als Systemadministratoren ausgeben. 

Von den 14 getesteten Systemen 

erwiesen sich 12 als angreifbar - darunter 

der Clouddienst Salesforce, das IBM 

DataPower Security Gateway, OneLogin 

(benutzt in Joomla, WordPress, SugarCRM 

und Drupal) und das Framework 

OpenSAML (Shibboleth, SuisseID 

und OpenSAML). Mit den Hinweisen 

der Forscher konnten die Schwachstellen 

in den Produkten geschlossen 

werden. Die Forschungsergebnisse sind 

im Internet veröffentlicht (s. Alle Links 

). iX 9/2012 

Alle Links: www.ix.de/ix1209018

Mantelbogen X 

Bochum X 28.08.2012

Tech 

SEARCH IBTIMES 

Everyone y is Listening: g How Cheap p and 

Easy Call Monitoring Puts You at Risk 

By David Gilbert: Subscribe to David's RSS feed 

August 28, 2012 4:06 PM GMT 

Spying on telephone calls made by your neighbours or corporate rivals has never been easier - or cheaper - and according 

to one security expert this represents a major chink in the security armour of many individuals and companies. 

Generally speaking, over the last few years, most people have understood the need to secure their PCs and laptops, whether 

that is against malware looking to steal your banking details, or rival companies looking to steal your corporate secrets. 

"By now there is no credible corporation around that hasn't secured its IT infrastructure with firewalls, anti-virus software. 

[But] voice and mobile devices are the chink in the security armour." 

So says Bjoern Rupp, CEO at GSMK Cryptophone which specialises in providing end-to-end encryption of voice and mobile 

calls to individuals as well as businesses.

Follow us 

Rupp belieeves 

people stilll 

work on the assumption a that the telephone system s is a trusted, 

governmennt-run 

entity, ev ven though 

this is no llonger 

the case. 

One of thee 

main reasons tthat 

call monito oring like this iss 

becoming suc ch a huge proble em, it that the ccost 

to intercept t telephone 

calls and aattack 

mobile deevices 

has decreased 

enormouusly 

in the last couple c of decades. 

"Twenty yyears 

ago this wwas 

the preserve e of law enforceement 

agencies, , [using] specialised, 

expensivee 

equipment wh hich could 

not be bouught 

on the openn 

market. Nowa adays, if you knnow 

what you are a doing, you can c go into an eelectronics 

shop p and for 

just a few hundred poundds 

you are in bu usiness." 

While Ruppp 

says the use of such technol logy is widesprread, 

"the gener ral public has no ot yet arrived at that level of awareness." a 

Larger corrporations, 

espeecially 

those reg gularly targetedd 

by interested parties p and subject 

to espionagge, 

have woken up and 

understoodd 

this reality hoowever, 

but "your 

average smaall 

or medium-s sized company has h no clue howw 

dangerous thi is is." 

Researcheers 

Karsten Nohhl 

and Luca Mel lette from Chaoos 

Computer Cl lub recently dem monstrated for GGerman 

busine ess 

magazine Wirtschaftswocche 

how easy an nd cheaply callls 

can be interce epted remotely. 

All that is needed for a mmedium-skilled 

computer c hobbyyist 

to intercept t a mobile phon ne call is a laptoop, 

four traditio onal mobile 

phones andd 

spying softwaare, 

which is av vailable on the iinternet. 

All this 

is available fo or a minimal coost 

of around a few f 

hundred poounds 

and it haas 

opened voice interception too 

a much larger, , mass market where w specialistt 

knowledge is no longer 

required. 

Despite sccientists 

provingg 

how it easy it is to intercept GGSM 

calls with h self-built 'IMS SI' catchers, moobile 

networks have h not 

been able tto 

stop such atttacks. 

"Progress in terms of secuurity 

in the telecoms 

world is mmuch 

slower th han the general IT world, as appplying 

a fix to mobile and 

fixed-line phones will cosst 

a lot of mone ey, which leads to companies not n carrying out t the work," sayys 

Rupp. 

No easy fiixes 

"For somee 

problems, therre 

are no easy fixes. fi Telephonee 

interception, the t only solutio on to that is endd-to-end 

encrypt tion and 

that's someething 

that has to happen on th he terminal sidee." 

GSMK haas 

seen the adopption 

rate of enc crypted handsetts 

among manag gement increase e dramatically iin 

the last 12 months. m 

More and more companiees 

are supplying g their employeees 

with encrypted 

handsets wh hich they must use when maki ing calls 

relating to sensitive comppany 

informatio on. 

From a nettwork 

point of view, they have e started to impprove 

their secu urity systems, by y adopting betteer 

encryption st tandards, 

but this is still some way from ideal: "[T This encryption] ] only provides a basic level of f security that iis 

good for protecting 

an 

individual from his neighhbour 

listening in. i Of course thhat 

encryption can c never be end d-to-end when it is provided by b the 

networks." " 

Rupp addss 

that if you aree 

dealing with in ndustrial espionnage 

or even go overnment secre ets, then you muust 

assume that t the 

attacker is sophisticated eenough 

to know w that when therre 

is no end-to- end encryption. 

"Even if thhe 

first link fromm 

the mobile ph hone to the basee 

station is encr rypted, the link from the base sstation 

to the sw witching 

centre is nnot 

encrypted, annd 

you just log on to that and iintercept 

it, and d boom, there you y have all the contents." 

If you are making a phonne 

call back to your y head officee 

from abroad, talking t about a sensitive piece of corporate in nformation, 

Rupp sayss 

that without ennd-to-end 

encry yption, your commpetitors 

are lik kely going to be 

able to snoop p on your conve ersations. 

The first liine 

of security nneeds 

to happen n in the phones themselves and d Kopp believes 

it is up to each ch company to "beef " up 

security," jjust 

as it is the company's obli igation to protecct 

their laptops and PCs. 

Vulnerablle

In n another example p of how vulnerable telecoms networks are, , Ruhr University y Bochum in Germany recently demonstrated 

that satellite telephony, which which was thought to be secure against eavesdropping, can be intercepted. 

Researchers cracked the encryption algorithms of the European Telecommunications Standards Institute (ETSI), which is 

used globally for satellite telephones, and revealed significant weaknesses. 

Rupp also says that telephone interception and monitoring is not the preserve of nosey neighbours or criminals. He says that 

in most countries "you must assume that all calls are recorded." With digital storage costs dropping in recent years, 

governments the world over are now able to record and store every single phone call. 

"It has become really cheap to record everything by default. Any decent intelligence agency can easily afford to record all 

calls made in a given year on their local networks - be it mobile or fixed line. The cost is negligible for the budget these 

intelligence agencies typically have." 

Rupp says that every one of your calls is stored somewhere and it is only a matter of someone accessing it from an archive to 

listen back to your conversations. 

Most countries use intelligence support systems (ISS) which make life for the analyst a lot easier by filtering out the calls 

which might be important. 

The first-stage filters monitor call patterns. For example a typical call pattern for an organised crime group would see one 

person call five people, then each of those five people call another five people and so on. 

Pre-filtering by call data records is then carried out, and once you have a group of 'interesting' calls, speech analysis is done 

on them to identify key words. Vocal recognition is not carried out on the whole set of calls as it is still relatively expensive 

to do this for such a large sample. 

Street 

In terms of carrying out surveillance on your neighbours, Rupp says local interception can be extremely cheap, but you do 

need to be relatively close to the victim. 

"Corporations and governments just need to adopt the same approach that they already apply to other mobile devices, most 

notably laptops, notebooks and so on. 

"Of course mobile phones these days are computers that happen to fit in a pocket, that have a microphone and a speaker. 

They are full blown computers that are subject to the same risks as laptops and desktop computers are." 

A criminal will always look for the soft link as the place to attack, and right now, Rupp believes this means mobile phones. 

"They [mobile phones] all have access to the corporate email system and they are carried by key individuals in their pockets 

all the time." 

Rupp says the technology to do voice encryption, message encryption and mobile device security is available. "It's just like in 

the early days of email encryption and hard disk encryption, the perception is not yet there to the level it is there now in 

laptops, but it is a matter of time." 

There is an obvious expense for corporations looking to implement these security measures, but Rupp says compared to the 

alternative of losing critical data to a competitor, the cost is much lower. 

To report problems or to leave feedback about this article, e-mail: d.gilbert@ibtimes.co.uk 

To contact the editor, e-mail: editor@ibtimes.co.uk 

WE RECOMMEND 

Wenger Explains Sahin Snub, Reveals Transfer Target 

Iran is Not Crazy, Says Iran-Israel Expert 

RIM: BlackBerry Security Not Compromised in India 

Telstra Targets 60Pct 4G/LTE Coverage by Mid-2013 

Upgrade HTC Desire to Android 4.1.1 Jelly Bean with CyanogenMod 10 [How to 

Install]

Radio Bochum : Das Europäische Kompetenzzentrum für IT-Sicherhei... http://www.radiobochum.de/Lokalnachrichten.592+M52494286e93.0.... 

LOKALNACHRICHTEN 

29.08.2012 15:30 Alter: 16 Stunden 

Das Europäische Kompetenzzentrum für IT-Sicherheit eurobits e. 

V. mit Beteiligung der Ruhr-Universität Bochum ist als „Ausgewählter Ort 2012“ ausgezeichnet worden. Die 

Auszeichnung gehört zum Wettbewerb „365 Orte im Land der Ideen“ und prämiert Projekte, Projekte, die einen Beitrag 

zur Zukunftsfähigkeit der Bundesrepublik Deutschland leisten. 

Im Kompetenzzentrum für IT-Sicherheit würden 

Wissenschaftler aus der universitären Forschung und Ingenieure aus Technologiefirmen eng und örtlich 

verbunden zusammen arbeiten und internationale Spitzenforschung betreiben, heißt es vom 

Wettbewerbskommitee. 

< zurück 

< alle Lokalnachrichten anzeigen 

Kommentar schreiben 

WEITERSAGEN UND KOMMENTIEREN 

Bulgarien online 

buchen 

Buchen Sie Ihren 

Bulgarien Urlaub beim 

STIFTUNG 

WARENTEST-Sieger 

www.Bulgarien.holidaycheck… 

Billige Reisen 

Mallorca 

ab-in-de-urlaub.de 

nach Mallorca TÜV 

geprüft zum 

Tiefstpreis buchen! 

www.ab-in-den-urlaub.de/M… 

Last Minute Reisen 

Best Price Angebote & 

TÜV geprüft. Beim 

mehrfachen Testsieger 

buchen! 

www.start.de/Last-Minute 

Zahnarzt 

Wattenscheid 

Wir kümmern uns um 

Ihr Lächeln Dr. med. 

dent. Elisabeth Koster 

www.zahnarztpraxis-watten… 

Krisenmanagement 

Krisenkommunikation, 

Lobbying, 

Frühwarnsysteme, 

Krisenhandbuch 

www.advicepartners.de 

1 von 1 30.08.2012 07:45

Wie wird man IT-Security-Profi? (Druckansicht) http://www.computerwoche.de/_misc/article/articleprintpopup/index.c... 

IT-Sicherheit 

Wie wird man IT-Security-Profi? 

Datum: 

Autor(en): 

URL: 

04.09.2012 

Uta Fendt 


In den Bereich IT-Sicherheit fanden viele Informatiker früher über den Quereinstieg. Heute gibt es 

spezielle Studiengänge und berufsbegleitende Ausbildungsangebote. 

Vor der Jahrtausendwende gab es keine Berufe im Bereich IT-Sicherheit 1 , denn die Sicherheit ist ein sehr junges 

Spezialgebiet der IT. 1987 wurde das erste Computervirus entdeckt und bereits 1990 behaupteten die ersten 

Hersteller von Sicherheitssoftware, dass es kaum noch unbekannte Themen in der IT-Sicherheit gäbe. Im Jahr 2000 

meinten die Experten, die IT-Sicherheitslage im Griff zu haben. Die Problematik schien ihrer Meinung nach 

ausschließlich an der Schnittstelle zwischen dem Unternehmensnetz und dem Internet zu liegen. 2010 stellte die 

Industrie ernüchtert fest, dass ihnen die Sicherheitsprobleme über den Kopf wachsen. 2012 markiert "Flame 2 " das 

"Versagen der Antivirus-Industrie" - und einen Wendepunkt in der IT-Sicherheit. 

Viele IT-Sicherheitsexperten sind durch diese Entwicklungen in ihren Expertenstatus hineingewachsen und haben sich 

ihr Wissen autodidaktisch angeeignet. Später ergänzten die Fachleute das Wissen durch Weiterbildung 3 . 

Bachelor oder Master in IT-Sicherheit 

Die ursprünglich vielfältigen Möglichkeiten des Einstiegs in das Thema der IT-Sicherheit haben sich nun auf eine 

akademische Ausbildung konzentriert. Führte der Weg nach der Jahrtausendwende über die Belegung 

entsprechender Fächer und Kurse während eines IT-bezogenen Studiums, werden jetzt IT-Sicherheits-Studiengänge 

an Hochschulen angeboten, die mit dem Bachelor oder Master abschließen. Die Ruhr-Universität Bochum 4 

beispielsweise ist eine international anerkannte Adresse für die IT-Sicherheit. Wer allerdings bereits arbeitet und 

seine Berufstätigkeit nicht aufgeben möchte, kann etwa im Fernstudium bei der isits AG International School of 

IT Security 5 den "Master in Applied IT Security" (M.Sc.) erwerben. (Mehr zum Thema: "IT-Sicherheit: Experten 

sind gefragt 6 Die ursprünglich vielfältigen Möglichkeiten des Einstiegs in das Thema der IT-Sicherheit haben sich nun auf eine 

akademische Ausbildung g konzentriert. Führte der Weg g nach der Jahrtausendwende über die Belegung g g 

entsprechender Fächer und Kurse während eines IT-bezogenen Studiums, werden jetzt IT-Sicherheits-Studiengänge 

Bochum 

".) 

4 

an Hochschulen angeboten, die mit dem Bachelor oder Master abschließen. Die Ruhr-Universität 

beispielsweise ist eine international anerkannte Adresse für die IT-Sicherheit. Wer allerdings g bereits arbeitet und 

seine Berufstätigkeit nicht aufgeben möchte, kann etwa im Fernstudium bei der isits AG International School of 

Security 5 

IT y den "Master in Applied IT Security" (M.Sc.) erwerben. (Mehr zum Thema: "IT-Sicherheit: Experten 

gefragt 6 sind 

".) 

Qualifizierung von Softwareentwicklern 

Es gibt aber immer noch Systemadministratoren oder Softwareentwickler im Unternehmen, die keinen 

Hochschulabschluss erwerben können oder möchten, aber durch Praxis und zielgerichtete Weiterbildung einen 

ebenfalls hohen Grad an Expertise erreichen. Eine überschaubare Anzahl an Weiterbildungszertifikaten wie 

beispielsweise C.I.S.S.P., T.I.S.P. oder ISMS Auditor werden in vielen Unternehmen aktiv gefördert, um Fachwissen 

ins Unternehmen zu holen, Mitarbeiter zu binden und dem Fachkräftemangel vorzubeugen. 

Letztendlich führt der Weg zum IT-Security-Spezialisten aber immer über eine profunde Grundausbildung in der 

Informationstechnologie gepaart mit Praxiserfahrung, Neugier und einer spezialisierten Zusatzausbildung in der 

IT-Sicherheit, ohne die man die komplexen Zusammenhänge zwischen Mensch, Information und Maschine nicht 

verstehen kann. 

Die vier am häufigsten gesuchten Berufe in der IT-Sicherheit sind wohl: 

1 von 3 04.09.2012 07:42

Wie wird man IT-Security-Profi? (Druckansicht) http://www.computerwoche.de/_misc/article/articleprintpopup/index.c... 

IT Security Consultant 

Tätigkeit: Beratung von Kunden in komplexen IT-Sicherheitsprojekten 

Voraussetzungen: Technischer Studien- oder Berufsabschluss, zwingend Aufbauwissen IT-Sicherheit, Erfahrungen in 

Systemanalyse, Spaß am Kundenkontakt, gute Kommunikationsfähigkeiten 

Information Security Officer 

Tätigkeit: Verantwortung für die IT- und Informationssicherheit im Unternehmen, Definition von Anforderungen, ggf. 

Durchführung von IT-Security-Audits und Awareness-Kamapagnen, Eskalation von IT-Sicherheitsvorfällen 

Voraussetzungen: Technischer Studienabschluss und Aufbauwissen IT-Sicherheit, Erfahrungen in 

Systemadministration, Verständnis für das Informationsmanagement und IT-Sicherheitsarchitektur, gute 

Kommunikationsfähigkeiten 

Virusanalyst / Reverse Engineer / Softwareentwickler für Sicherheitslösungen 

Tätigkeit: Erstellen von Signaturen, Analyse von Schadsoftware, Entwicklung von Tools, Entwicklung von 

Sicherheitssoftware 

Voraussetzungen: Technischer Studienabschluss und Aufbauwissen IT-Sicherheit, Kenntnisse in embedded und 

Low-Level-Programmiersprachen, Talent zum Fehlerfinden und zur Datenanalyse, Talent für Code-Analyse und 

Kryptografie 

Datenschutzbeauftragter / IT-Sicherheitsbeauftragter 

Tätigkeit: Interne oder externe Beratung im Bereich Datenschutz und Informationssicherheit 

Voraussetzungen: Technische Ausbildung und zertifizierte Qualifikation als Datenschutzbeauftragter, 

Abstraktionsvermögen für die Komplexität des Informationsmanagementsystems und der Geschäftsprozesse, 

Genauigkeit, Verbindlichkeit, gute Kommunikations- und Moderationsfähigkeiten 

Nützliche Links: 

Über isits: 

www.is-its.org 7 

http://www.hgi.rub.de 8 

Die isits International School of IT Security AG hat sich seit 2001 europaweit als Weiterbildungs- und 

Konferenzanbieter der IT-Sicherheit und der Informationssicherheit etabliert und passt ihr Aus- und 

Weiterbildungsprogramm laufend an die aktuellen Anforderungen der neuen Berufsbilder an. Aktuell startete auch 

eine spezialisierte Internetjobbörse der isits. Die konzentrierte Ausrichtung innerhalb der Branche sowie die enge 

Zusammenarbeit mit Unternehmen und Universitäten macht die isits AG zu dem professionellen 

Weiterbildungspartner für IT-Anwender, -Profis und -Experten. 

Weitere Informationen finden Sie unter https://www.is-its.org 9 


1 http://www.computerwoche.de/schwerpunkt/i/it_security.html 

2 http://www.computerwoche.de/schwerpunkt/f/flame.html 

3 http://www.computerwoche.de/schwerpunkt/w/weiterbildung.html 

4 http://www.hgi.rub.de/hgi/news/ 

2 von 3 04.09.2012 07:42

Nie mehr Passwörter vergessen http://www.ard.de/ratgeber/multimedia/passwortsicherheit/-/id=13302... 

Schutz vor Kriminellen im Netz 

Nie mehr Passwörter vergessen 

Rachel Schröder 

http://www.ard.de/-/id=1931164/1pycv5q/index.html 

Multimedia 

E-Mail, Onlinebanking, Facebook oder Twitter: Jeder Internetnutzer braucht inzwischen 

dutzende Passwörter. Um nicht den Überblick zu verlieren, benutzen viele die immer 

gleichen oder möglichst simplen Kombinationen - und öffnen Datendieben Tür und Tor. 

Wie Sie sichere Passwörter finden - und nie mehr vergessen. 

Lieblingsstadt, Lieblingstier, Lieblingsessen - wer angesichts unaufhörlich kursierender Nachrichten 

über Datendiebstahl und Identitätsklau noch immer an seinem Lieblingspasswort festhält, das er noch 

dazu für alle Accounts verwendet, handelt schlicht leichtsinnig. Immer ausgeklügelter werden die 

Methoden der so genannten "Cracker" - keine Kekse, sondern Menschen, die in krimineller Absicht 

fremde Rechner knacken, inklusive Passwörtern und sensibler Daten wie Kreditkarten- und 

Kontonummern. Bei geschätzten 30.000 neuen Schadsoftwarevarianten, die zum Teil von regelrechten 

Cracker-Mafien pro Tag ins Netz geschickt werden, kapituliert auch das beste Viren- und 

Firewallprogramm. 

Eine Sicherheitslücke im Adobe-Flash-Player brachte selbst Hacker-Profi Jörg g Schwenk einen Virus ein. 

Der Professor für Netz- und Datensicherheit an der Universität Bochum staunte nicht schlecht, als 

seine privaten Dateien plötzlich irgendwo g in den Untiefen seiner Verzeichnisbäume versteckt waren. 

Zum Glück waren sie nicht gelöscht. 

Passwörter knacken - für Diebe ein Kinderspiel 

Opfer eines Angriffs tun gut daran, zumindest ihre Passwörter möglichst sicher zu gestalten. Für jeden 

Account, ob E-Mail, Online-Shop oder Bank, sollte man sich ein anderes Passwort ausdenken. Nicht 

enden wollende Hieroglyphenbandwürmer sollen es sein, raten Experten, am besten mit Groß- und 

Kleinbuchstaben und Sonderzeichen gespickt, unbedingt aus verschiedenen Sprachen. Denn 

Passwörter, die aus Haustier- oder Städtenamen bestehen, lassen sich mittels der so genannten 

Wörterbuchattacke manchmal in Sekundenschnelle herausfinden. Dabei nutzen Cracker Wörterbücher, 

die in allen erdenklichen Varianten im Netz stehen: Haustier-Wörterbücher, Filmtitel-Wörterbücher, 

Harry-Potter-Wörterbücher, ja sogar die Online-Enzyklopädie Wikipedia dient als Wortliste. Darin 

stehen praktisch alle Wörter, die existieren. Ein automatisiertes Crack-Programm, das so lange 

probiert, bis das richtige Passwort gefunden ist, erledigt den Rest. 

Das Kreuz mit der Eselsbrücke 

Aber wie kann man sich die 15 bis 20 Passwörter, die jeder PC- und 

Internetnutzer im Laufe der Zeit nach Schätzungen des 

Branchenverbandes Bitcom anhäuft, merken? Kein Problem, sagen 

Gedächtnisweltmeister. Sie raten zu Eselsbrücken, der so genannten 

von 3 04.09.2012 07:53


"Mnemotechnik". Doch auch die schönste Eselsbrücke ist zum 

Scheitern verurteilt, wenn sich der Betreffende beim besten Willen 

nicht mehr daran erinnert. Der Psychologe Felix R. Paturi rät 

deshalb, Zahlen von 1 bis 100 mit bestimmten Bildern, die man sich 

ausdenkt, zu verknüpfen und auswendig zu lernen (z.B. 1 = 

Eisbecher, 2 = Zweig, 3 = Brei). Wer eine Pin oder ein aus Zahlen 

bestehendes Passwort auswendig lernen will, braucht dann nur noch 

eine Geschichte zu erfinden, in der die entsprechenden Dinge 

vorkommen. 

Ebenso verhält es sich mit Konsonanten, die man bestimmten 

Zahlen zuordnet, so Gedächtnisakrobat Paturi in seinem Buch 

"Perfekt merken, nichts vergessen" (etwa o = Z, S, C und 9 = P, B). 

Das menschliche Gehirn könne sich von Natur aus Geschichten 

besser merken als abstrakte Zahlen- und Buchstabenkombinationen. 

Mit einem Passwortmanager behalten 

Sie immer den Überblick. 

Hilft fast immer gegen das 

vergessen: Eine möglichst 

gute Eselsbrücke 

Für alle, denen das Geschichten-, Bildfolgen-, und Weglistenerfinden 

irgendwann zu aufwändig wird, gibt es technische Hilfsmittel. Die 

Passwörter einfach auf einem Zettel zu notieren, ist zwar gar nicht so dumm, wie es scheint, erläutert 

Datensicherheitsexperte Schwenk. Denn der Zettel unter dem heimischen Kopfkissen kann schließlich 

nicht per PC-Attacke geknackt werden. Doch haben wir den Zettel natürlich immer dann nicht dabei, 

wenn wir im Netz einkaufen gehen wollen, Mails abrufen oder bei Facebook einen Bekannten 

"anstupsen" wollen. 

Retter in der Not: Passwort-Manager 

Abhilfe schaffen sollen deshalb so genannte Passwort- 

Manager, die sich mittlerweile meist als kostenlose 

Freeware im Internet selbst Konkurrenz machen. Das 

Ganze funktioniert so: Man speichert seine - möglichst 

komplizierten - Passwörter einfach in dem Programm und 

sichert sie mit einem Master-Passwort, das man sich 

natürlich merken muss, denn es ist wie ein Tresorschlüssel, 

ohne den man verloren wäre. Selbst Bank-Tans lassen sich 

auf diese Weise ziemlich sicher archivieren. Am besten 

lässt man sich von dem Programm gleich ein besonders 

kryptisches Passwort generieren, das garantiert kein 

Hackerprogramm errät. 

Passwortmanager und was sie können 

* "Keepass" und "KeepassX": In der Regel kostenlos. Läuft auf allen Betriebssystemen und existiert 

zudem als Version für den USB-Stick. Inkl. Passwortgenerator. Auf Android und iPhone je 79 Cent. 

* "Any Password": Kostenlos. Inkl. Passwortgenerator. 

* "Alle meine Passworte": Kostenlos. Nur für Windows, existiert als USB-Stick-Version 

* "Password Safe": PC-Version kostenlos, Stick-Version ca. 9,- EUR. Läuft nur auf Windows 

* "Steganos Passwort-Manager": ca. 11,95 EUR. Nur für Windows 

* "Moxier Wallet": Kostenlos. Für Mac OS X, Windows, iPhone, Android. 

Noch sicherer ist es, den Passwort-Manager nicht direkt auf dem Rechner zu installieren. Ist der einmal 

geknackt, so könnten theoretisch alle im Passwortmanager gespeicherten Passwörter ausgelesen 

werden. Denn auch wenn Programme wie "Keepass", "Any Password" oder "Alle meine Passworte" 

komplizierte Verschlüsselungsalgorithmen verwenden, ist das Master-Passwort immer noch ein 

Passwort. Noch sicherer ist es, so Professor Schwenk, das Programm auf einem mobilen Endgerät oder 

- noch besser - auf einem USB-Stick zu speichern. Der Vorteil: Man hat das Smartphone oder den 

Schlüsselbund-Stick in der Regel immer dabei. 

Relikt aus der Steinzeit des World Wide Web 

Hundertprozentigen Schutz bietet jedoch kein Passwortmanager. "Passwörter sind als 

Identifizierungsmittel eigentlich antiquiert", sagt Datenjongleur Jörg Schwenk. "Ein gutes Beispiel sind 

die Banken wie jetzt die Postbank. Die schaffen das iTan-Verfahren ab, obwohl die Tan ja ein sehr 

starkes Passwort ist, was nur ein einziges Mal verwendet werden kann". Doch auch beim vermeintlich 

sicheren Tan-Verfahren ist es durch das Phishing immer wieder zu Schadensfällen gekommen. 

Sicherer sei da schon der Fingerabdruck, doch der sei im Internet schwer einsetzbar, und wenn er 

übermittelt werden müsse, sei er per se auch abfangbar. Schwenk rät daher zur chipkartenbasierten 

Lösung, wie sie der neue elektronische Personalausweis vorsieht. Bei aller Kritik könne der E-Ausweis 

die Basis für künftige Lösungen sein. Um Kunden vor Betrug zu schützen, seien vor allem die 

von 3 04.09.2012 07:53


Unternehmen gefragt. "Firmen sollten in mehr Technik investieren, um vom Passwort-System 

wegzukommen." 

Die ARD ist nicht für die Inhalte fremder Seiten verantwortlich, die über einen Link erreicht werden. 

Das Thema im Programm 

Gibt es das hundertprozentig sichere Passwort? "Ratgeber: Internet" |18.08.2012|17:03 Uhr 

[ard mediathek] 

URL: http://www.ardmediathek.de/das-erste/ratgeber-internet/passwoerter?documentId=11444522 

Links in der ARD 

Stand: 20.08.2012 

Was ist Mnemotechnik? Wörter besser einprägen 

[br/swr/wdr] 

URL: http://www.planet-wissen.de/alltag_gesundheit/lernen/gedaechtnis/mnemotechnik.jsp 

Mach Dein Netz sicherer Schnell und leicht ein sicheres Passwort erstellen 

[swr] 

URL: http://www.dasding.de/multimedia/Passwoerter/-/id=414/cat=1/pic=51/dcgrp=0/nid=414 

/did=248014/1iw2y0w/index.html 

So legen Sie sich ein sicheres Passwort zu Tipps vom Netzreporter 

[ard mediathek] 

URL: http://www.ardmediathek.de/inforadio/netzfischer/netzreporter-wie-lege-ich-mir-ein-sicherespasswort-zu?documentId=11305140 

Die Landesrundfunkanstalten der ARD: BR, HR, MDR, NDR, Radio Bremen, RBB, SR, SWR, 

WDR, 

Weitere Einrichtungen und Kooperationen: ARD Digital, ARTE, PHOENIX, 3sat, KI.KA, DLF/ 

DKultur, DW 

von 3 04.09.2012 07:53

GIT Sicherheit + Management vom 14.09.2012 

Seite: 184 Nummer: 09 

Rubrik: IT UND IT-SECURITY Auflage: 30.000 (gedruckt) 3.351 (verkauft) 29.038 (verbreitet) 

Gattung: Zeitschrift 

IT-Frühwarnsystem: iAId bietet Schutz im cyberwar 

Das Forschungsprojekt iAID (innovative 

Anomaly and Intrusion-Detection) 

wurde erfolgreich mit dem Ziel gestartet, 

effektive Schutzmaßnahmen gegen 

neue Angriffsmechanismen im sogenannten 

"Cyberwar" zu entwickeln. Die 

Zusammenarbeit von vier deutschen 

Hochschulen (Westfälische Hochschule 

Gelsenkirchen, Hochschule Darmstadt, 

Fachhochschule Frankfurt am Main und 

Wörter: 114 


Ruhr-Universität Bochum) sowie zwei 

Industriepartnern (Vodafone D2 GmbH 

und Dr. Bülow & Masiak GmbH) im 

Projekt iAID ist eine Antwort auf die 

aktuelle Bedrohungslage der IT-Sicherheit 

in der Bundesrepublik. 

Ziel von 

iAID ist die Entwicklung von innovativen 

Lösungen und Verfahren zur Vorbeugung, 

Erkennung und Reaktion auf 

Angriffe über Netzwerke. Während 

klassische Erkennungssysteme nur 

bekannte Angriffsmuster erkennen können, 

werden im Rahmen von iAID innovative 

Methoden der Anomalie-Detektion 

entwickelt, um auch unbekannte 

Angriffe zu erkennen. petersen@internet-sicherheit.de

Computerwoche vom 24.09.2012 

Autor: Stephan Hornung [SH] Gattung: Zeitschrift 

Seite: 0 Auflage: 19.099 (gedruckt) 16.883 (verkauft) 


IT-Security-Recruiting: Frühe Bindung hilft 

Das Sicherheitsbewusstsein in den Unternehmen wächst. Und damit auch die Nachfrage nach 

IT-Sicherheits-Experten. Bei der Suche nach geeigneten Kandidaten müssen sich die Firmen 

aber schon etwas einfallen lassen. 

Evelyn Spitzwieser (26) kommt aus 

Österreich und hat in Salzburg Informatik 

studiert. Anschließend zog sie für ein 

Master-Studium der IT-Sicherheit nach 

Bochum. 

Die Gegend war ihr nicht 

fremd: Bereits als Informatikstudentin 

hatte sie ihr Praktikum bei der Secunet 

Security Networks AG in Essen absolviert: 

"Ich hatte nach möglichen Firmen 

gegoogelt und mich für Secunet deshalb 

entschieden, weil das Unternehmen auf 

mehreren Gebieten der IT-Sicherheit 

und insbesondere der Biometrie unterwegs 

ist." Secunet bietet Beratung und 

Produkte an, die sich an höchste 

Geheimhaltungsstufen anlehnen, etwa 

an die der Bundeswehr. Die Essener 

beschäftigen knapp 300 Mitarbeiter und 

setzten zuletzt rund 60 Millionen Euro 

um. Spitzwieser wurde nach dem Praktikum 

studentische Hilfskraft, arbeitete 

bei Secunet in den Ferien, schrieb dort 

ihre Master-Arbeit - und hat das Angebot 

der Firma angenommen, nach Studienabschluss 

im Unternehmen zu arbeiten: 

"Ich hatte genügend Zeit, die Firma 

kennenzulernen. Mir hat es gefallen, 

deshalb bin ich geblieben." Seit Oktober 

2011 ist Spitzwieser Beraterin für 

Biometrie und hoheitliche Dokumente 

im Geschäftsbereich Government. 

Die Österreicherin ist kein Einzelfall. 

Knapp ein Viertel aller im Jahr 2010 

neu besetzten Stellen wurde über persönliche 

Kontakte vergeben. Ein weiteres 

Viertel entfiel auf Stellenangebote in 

Zeitungen und Zeitschriften. Jeweils 

jede siebte Stelle wurde über die Arbeitsagenturen 

oder Stellenbörsen im Internet 

besetzt. Private Arbeitsvermittler, 

Inserate Arbeitssuchender und die Übernahme 

von Leiharbeitern spielen dagegen 

eine untergeordnete Rolle. 

Zu diesen Ergebnissen kommt das Institut 

für Arbeitsmarkt- und Berufsforschung 

(IAB) in Nürnberg nach einer 

repräsentativen Befragung in 15.000 

Unternehmen. "Praktika, studentische 

Tätigkeiten und Bachelor- beziehungsweise 

Master-Arbeiten sind ideale Testphasen 

für potenzielle Mitarbeiter und 

das Unternehmen, um sich gegenseitig 

kennenzulernen", sagt Thomas Pleines, 

Vorstand Personal, Finanzen und Controlling 

bei Secunet. Er schätzt, dass 

sein Unternehmen zuletzt die Hälfte 

aller neuen Mitarbeiter auf diese Art und 

Weise gefunden hat. Die Besonderheit 

daran: "Diese Mitarbeiter bleiben deutlich 

länger in der Firma als andere." 

Etwa jeder dritte Secunet-Mitarbeiter ist 

Informatiker. 20 offene Stellen zählen 

die Essener derzeit, 15 davon sind akut 

zu besetzen. Für fünf Positionen wird 

geprüft, ob es am Markt Kandidaten 

gibt, mit denen sich das Unternehmen 

fachlich verbessern kann. "Wir haben 

enge Kontakte zu Universitäten, an 

denen IT-Security gelehrt wird, und lassen 

uns Empfehlungen von Professoren 

geben", sagt Pleines. Und weil das 

Unternehmen noch weitere sechs Niederlassungen 

in Deutschland hat, weiß 

das Vorstandsmitglied, dass das Angebot 

an IT-Security-Fachkräften regional 

sehr unterschiedlich ist: Hamburg, Dresden, 

Essen, Frankfurt am Main und Berlin 

seien Städte, in denen der Markt ausreichend 

Kandidaten hergebe. "München 

ist für uns schwierig, weil das 

Angebot kleiner und die Gehälter spürbar 

höher sind als in anderen Städten." 

Nach den Erfahrungen von Pleines sind 

es auch nicht die Exzellenz-Unis, die 

sich dem Nischenthema IT-Security 

widmen, sondern kleinere Hochschulen 

wie Ilmenau, Cottbus oder Gelsenkirchen. 

Dass Secunet zur Ruhruniversität 

Bochum gute Kontakte unterhält, unterhält, ist 

selbstverständlich, gibt es dort doch 

gleich vier Studiengänge für IT-Sicherheit 

- ein Bachelor- und drei Master- 

Programme. Zudem Z sind die jährlich 

knapp 50 Absolventen Exoten auf ihrem 

Gebiet. Sie reichen bei Weitem nicht 

aus, um den Bedarf an IT-Security-Spezialisten 

in der Wirtschaft zu decken. 

Dem gegenüber stehen rund 9500 

Absolventen des Studiengangs Informatik. 

So viele waren es nach Auskunft des 

Statistischen Bundesamts 2010. "Spezialisten 

sind bei uns klar in der Minderheit, 

reine Informatiker beschäftigen wir 

deutlich mehr", so Pleines. Was das 

Fachwissen anbelangt, stellt er keinen 

großen Unterschied zwischen den 

Experten aus Bochum und Informatikern, 

die sich im Studium auf IT-Sicherheit 

spezialisiert haben, fest. Für Secunet 

ist nicht das Studienfach, sondern 

das Interesse am Thema wichtig. Und 

damit setzen sich die einen wie die 

anderen auseinander - die einen eben 

mehr, die anderen weniger. 

Der ITK-Branchenverband Bitkom in 

Berlin schätzt, dass etwa 60.000 bis 

80.000 IT-Sicherheitsexperten in der IT- 

Branche selbst, in Beratungs- oder in 

Anwenderunternehmen wie Banken 

arbeiten. Lutz Neugebauer, Bereichsleiter 

IT-Sicherheit im Bitkom, geht davon 

aus, dass künftig mehr IT-Sicherheitsexperten 

gebraucht werden, und zwar 

sowohl Spezialisten als auch Generalisten. 

"Spezialisten arbeiten in der IT- 

Branche und schaffen technische Lösungen. 

Generalisten schauen eher von der 

organisatorischen Seite auf IT-Sicherheit, 

sie werden in Anwenderunternehmen 

gebraucht." Weil IT-Sicherheit 

häufig stiefmütterlich behandelt worden 

sei, habe es an Ausbildungsmöglichkeiten 

gemangelt. "Wir sehen in beiden 

Fällen einen Wandel, mit der Konsequenz, 

dass völlig neue Studienangebote 

entstehen." 

Bei der Suche nach geeigneten Kandidaten 

müssen sich die Firmen deshalb 

etwas einfallen lassen, um erfolgreich zu 

sein. Der britische Geheimdienst MI6 

zum Beispiel hat Ende 2011 Bewerber

Once usability becomes secure http://www.ecnmag.com/print/news/2012/09/once-usability-becomes-s... 

Published on ECN Magazine (http://www.ecnmag.com) 

Home > Once usability becomes secure 

Eurekalert! 

Risk increases with comfort: "Single g Sign-On" g permits users to access all their protected Web 

resources, replacing p g repeated p sign-ins g with passwords. p However, attackers also know about 

the advantages g such a single g point of attack offers to them. Andreas Mayer, y who is writing his 

PhD thesis as an external doctoral candidate at the Chair for Network and Data Security 

(Prof. ( Dr. Jörg g Schwenk) ) at Ruhr-Universität Bochum, has now been able to significantly g 

increase the security of this central interface for the simpleSAMLphp framework. 

In the past, no protection against targeted Web attacks 

The "Single sign-on" system, in short SSO, seems to be a wonderful solution for any user: 

"Once authenticated, the information and services are immediately available,without repeated 

inconvenient password input", says Mayer. However, this concept significantly increases the 

possible damage, which could harm the user through a "single point of attack". The 

researchers in Bochum recently showed that the single sign-on is not as safe as assumed: 

They broke 12 of 14 SSO systems that had critical security flaws. "In the near future, we 

expect an increasing number of attacks on browser based SSO solutions such as Facebook 

Connect, SAML, OpenID and Microsoft Cardspace", explains Mayer. "It is very alarming that 

none of the currently used SSO protocols, developed during the last twelve years, provides 

effective protection against targeted attacks". 

Highly efficient open source SSO solution 

In the past, the many threatening scenarios, such as phishing, man-in-the-middle attacks, 

cross site scripting or Web malware, did not negatively affect the increasing popularity of SSO 

offerings. The "single sign-on, access everywhere" model is too comfortable and the users 

are too unsuspecting. Andreas Mayer addresses this risk with his own results: He 

implemented the OASIS-standardized "SAML Holder-of-Key Web Browser SSO Profile" in the 

popular open source framework "SimpleSAMLphp". "This profile binds the critical 

authentication and authorization information – the so-called security tokens – 

cryptographically to the browser of the legitimate user", explains Mayer. "The result is a highly 

effective, open source solution that is supported by all established browsers". 

Andreas Mayer works at Adolf Würth GmbH & Co. KG and works in his free time at his 

doctoral thesis at the Chair for Network and Data Security of the RUB. 

Source URL (retrieved on 09/24/2012 - 1:43am): http://www.ecnmag.com/news/2012/09/once-usability-becomessecure 

1 von 1 24.09.2012 07:43

Frühe Bindung hilft (Druckansicht) http://www.computerwoche.de/_misc/article/articleprintpopup/index.c... 

Recruiting von IT-Security-Spezialisten 

Frühe Bindung hilft 

Datum: 

Autor(en): 

URL: 

25.09.2012 

Peter Ilg 


Die Nachfrage g nach IT-Sicherheits-Profis wächst. Bei der Personalsuche müssen sich die Firmen etwas 

einfallen lassen, um Nachwuchs wie Evelyn Evelyn Spitzwieser zu finden und zu binden. binden. 

Evelyn Spitzwieser, 26, kommt aus Österreich und hat in Salzburg Informatik studiert. Anschließend zog sie für ein 

Masterstudium in IT-Sicherheit nach Bochum. Die Gegend war ihr nicht fremd: Bereits als Informatikstudentin 

absolvierte sie ihr Praktikum bei der secunet Security Networks AG 1 in Essen. "Ich hatte nach möglichen Firmen 

gegoogelt und mich für secunet deshalb entschieden, weil das Unternehmen auf mehreren Gebieten der IT-Sicherheit 

und insbesondere der Biometrie unterwegs ist." 

Secunet bietet in der IT-Sicherheit Beratung und Produkte an, die höchsten Geheimhaltungsstufen entsprechen, etwa 

denen der Bundeswehr. Das Unternehmen hat seine Zentrale in Essen, knapp 300 Mitarbeiter und setzte zuletzt rund 

60 Millionen Euro um. So fand für das Praktikum zusammen, was zusammen passt. Secunet nutzte die Chance und 

band die junge Frau ans Unternehmen: Spitzwieser wurde nach dem Praktikum studentische Hilfskraft, arbeitete dort 

in den Ferien, schrieb ihre Master-Arbeit bei secunet - und hat das Angebot der Firma angenommen, nach 

Studienabschluss im Unternehmen zu arbeiten. "Ich hatte genügend Zeit, die Firma kennen zu lernen. Mir hat es 

gefallen, deshalb bin ich geblieben." Seit Oktober 2011 ist Spitzwieser Beraterin für Biometrie und hoheitliche 

Dokumente im Geschäftsbereich Government. 

Spitzwieser ist kein Einzelfall. Knapp ein Viertel aller im Jahr 2010 neu besetzten Stellen wurden über persönliche 

Kontakte vergeben. Ein weiteres Viertel entfiel auf Stellenangebote in Zeitungen und Zeitschriften. Jeweils jede 

siebte Stelle wurde über die Arbeitsagenturen oder Stellenbörsen im Internet besetzt. Private Arbeitsvermittler, 

Inserate Arbeitssuchender und die Übernahme von Leiharbeitern spielen dagegen eine vergleichsweise 

untergeordnete Rolle. Zu diesen Ergebnissen kommt das Institut für Arbeitsmarkt- und Berufsforschung 

(IAB) 2 in Nürnberg durch eine repräsentative Befragung in 15.000 Unternehmen. "Praktika, studentische Tätigkeiten 

und Bachelor- beziehungsweise Master-Arbeiten sind tolle Testphasen für potenzielle Mitarbeiter und das 

Unternehmen, um sich gegenseitig kennen zu lernen", sagt Thomas Pleines, Vorstand Personal, Finanzen und 

Controlling bei secunet. Er schätzt, dass sich die Hälfte aller neuen Mitarbeiter bei secunet auf diese Art und Weise 

gefunden haben. Die Besonderheit daran: "Diese Mitarbeiter bleiben deutlich länger in der Firma als andere." 

Regionale Unterschiede 

Etwa jeder Dritte der secunet-Mitarbeiter ist Informatiker. 20 offene Stellen hat das Unternehmen derzeit, davon sind 

15 akut. Auf fünf Positionen wird geprüft, ob es am Markt Kandidaten gibt, mit denen sich das Unternehmen fachlich 

verbessern kann. "Wir haben enge Kontakte zu Universitäten, an denen IT-Security gelehrt wird und lassen uns 

Studenten und Absolventen von Professoren empfehlen", sagt Pleines. Und weil das Unternehmen neben seinem 

Stammsitz in Essen sechs Niederlassungen in Deutschland hat, weiß das Vorstandsmitglied, dass das Angebot an 

geeigneten IT-Security-Fachkräften regional sehr unterschiedlich ist: Hamburg, Dresden, Essen, Frankfurt und Berlin 

seien Städte, in denen der Markt ausreichend Kandidaten hergebe. "München ist für uns schwierig, weil das Angebot 

kleiner und die Gehälter spürbar höher sind, als in anderen Städten." Nach den Erfahrungen von Pleines sind es auch 

nicht die Exzellenz-Unis, die sich dem Nischenthema IT-Security widmen, sondern kleinere Hochschulen wie 

Illmenau, Cottbus oder Gelsenkirchen. 

1 von 3 25.09.2012 07:37


Dass secunet zur Ruhruniversität Bochum 3 Bochum gute Kontakte unterhält, ist selbstverständlich, gibt es dort doch gleich 

vier Studiengänge IT-Sicherheit - ein Bachelor- und drei Master-Programme. Zudem sind die jährlich knapp 50 

Bochumer Absolventen Exoten auf ihrem Gebiet. Sie reichen bei weitem nicht aus, um den Bedarf an IT-Security- 

Spezialisten in der Wirtschaft zu decken. Dem gegenüber stehen rund 9500 Absolventen des Studiengangs 

Informatik. So viele waren es nach Auskunft des Statistischen Bundesamts 2010. "Spezialisten sind bei uns deutlich 

in der Minderheit, reine Informatiker beschäftigen wir deutlich mehr", so Pleines. Was das Fachwissen anbelangt, 

stellt er keinen großen Unterschied zwischen den Experten aus Bochum fest und Informatikern, die sich im Studium 

auf IT-Sicherheit spezialisiert haben. Für secunet ist bei der Einstellung nicht das Studienfach, sondern das Interesse 

am Thema wichtig. Und damit setzen sich die einen wie die anderen auseinander - die einen eben mehr, die anderen 

weniger. 

3 

Dass secunet zur Ruhruniversität gute Kontakte unterhält, ist selbstverständlich, gibt es dort doch gleich 

vier Studiengänge IT-Sicherheit - ein Bachelor- und drei Master-Programme. Zudem sind die jährlich knapp 50 

Bochumer Absolventen Exoten auf ihrem Gebiet. Sie reichen bei weitem nicht aus, um den Bedarf an IT-Security- 

Spezialisten in der Wirtschaft zu decken. Dem gegenüber stehen rund 9500 Absolventen des Studiengangs 

Informatik. So viele waren es nach Auskunft des Statistischen Bundesamts 2010. "Spezialisten sind bei uns deutlich 

in der Minderheit, reine Informatiker beschäftigen g wir deutlich mehr", so Pleines. Was das Fachwissen anbelangt, g 

stellt er keinen großen Unterschied zwischen den Experten aus Bochum fest und Informatikern, die sich im Studium 

auf IT-Sicherheit spezialisiert haben. Für secunet ist bei der Einstellung nicht das Studienfach, sondern das Interesse 

am Thema wichtig. Und damit setzen sich die einen wie die anderen auseinander - die einen eben mehr, die anderen 

weniger. 

Der Bedarf wächst 

Der IT-Branchenverband Bitkom 4 schätzt, dass etwa 60.000 bis 80.000 IT-Sicherheitsexperten in der IT-Branche 

selbst, in Beratungs- oder Anwenderunternehmen, beispielsweise Banken, arbeiten. Lutz Neugebauer, Bereichsleiter 

IT-Sicherheit beim Branchenverband Bitkom in Berlin, geht davon aus, dass künftig mehr IT-Sicherheitsleute 

gebraucht werden und zwar sowohl Spezialisten als auch Generalisten. "Spezialisten arbeiten in der IT-Branche und 

schaffen technische Lösungen. Generalisten schauen eher von der organisatorischen Seite auf IT-Sicherheit, sie 

werden in Anwenderunternehmen gebraucht." Weil IT-Sicherheit häufig stiefmütterlich behandelt wurde, habe es an 

Ausbildungsmöglichkeiten gemangelt. "Wir sehen in beiden Fällen einen Wandel, mit der Konsequenz, dass völlig 

neue Studienangebote entstehen." 

Bei der Suche nach geeigneten Kandidaten müssen sich die Firmen deshalb schon etwas einfallen lassen, um 

erfolgreich zu sein. Der britische Geheimdienst zum Beispiel hat Ende 2011 Bewerber via Online-Rätsel gesucht. 

Mitmachen konnte jeder, den kryptischen Code nur wenige knacken. Es ging um drei Buttons, mit denen der 

ellenlange Code zur Entschlüsselung der Anzeige auf Facebook, Twitter und Google+ gepostet werden könnte. Dass 

das Bewerbungsspiel dadurch viele Interessenten erreicht, war ein weiterer Clou der Aktion. "Die Nachfrage nach 

IT-Sicherheitsexperten ist sehr hoch", stellt Anja Nuß fest. Als Geschäftsführerin des Horst Görtz Instituts für 

IT-Sicherheit an der Ruhr-Universität-Bochum kommt sie sowohl mit Firmen als auch Studenten in Kontakt und 

kennt daher die Versuche der Unternehmen, an Absolventen zu gelangen. Das Institut ist eine der größten und 

renommiertesten Hochschuleinrichtungen für IT-Sicherheit in Europa. 

Unternehmen und Behörden teilen der Hochschule offene Stellen mit, die in einem internen Verteiler an Studenten 

weitergegeben werden. Wöchentlich sind das bis zu zehn Angebote. Andere Firmen bieten an der Hochschule 

Work-Shops zu Projekt- oder Zeitmanagement an, um mit potenziellen Mitarbeitern in Kontakt zu kommen. Andere 

schicken Referenten in Seminare zu wissenschaftlichen Themen und wieder andere arrangieren ein 

Tischfußballturnier. Beim Kickern sollen Studenten Leute aus der Firma kennen lernen, sie im Idealfall nett finden 

und dort später anheuern. 

Anlaufpunkt Jobmesse 

Um Studenten und Firmen zusammen zu bringen, veranstaltet das Institut einmal jährlich eine Jobmesse für 

IT-Sicherheitsspezialisten. Die findet im Mai oder Juni statt, zuletzt präsentierten sich 25 Firmen. Etwa 180 

Studenten aus ganz Deutschland nahmen teil. "Das Standpersonal lockte mit Security-Aufgaben, zusätzlich standen 

dort Mitarbeiter aus den Fachabteilungen zum Fachsimpeln mit den Studierenden", berichtet Nuß. Interessante 

Praktika, vielleicht sogar im Ausland, hält sie für einen erfolgreichen Weg, um an Mitarbeiter von morgen zu 

kommen. Im Gegensatz zum secunet-Vorstand sieht sie schon einen deutlichen Unterschied zwischen speziell 

ausgebildeten IT-Sicherheitsexperten und Informatikern: "Bei uns hören die Studenten mindestens die doppelte Zahl 

an IT-Security-Vorlesungen." Weil die Angebote der Firmen mitunter so verlockend seien, hätte unlängst ein Student 

nicht einmal mehr seine Abschlussarbeit geschrieben und ohne Abschluss im Unternehmen angefangen. 

Nach Meinung von Reinhard Scharff, dem Geschäftsführer der Stuttgarter Niederlassung von Personal Total 5 , einer 

bundesweit vertretenen Personalberatung, hat die Nachfrage nach IT-Sicherheitsleuten in den vergangenen Monaten 

etwas abgenommen. Aktuell sucht das Unternehmen bundesweit 60 IT-Security-Spezialisten im Auftrag von 

Unternehmen. "Manche der Firmen kommen gleich zu uns, andere haben schon alles Mögliche versucht." Sie haben 

im Netz gefischt, auf der eigenen Website Stellen angeboten, ebenso in Zeitung, Fachzeitschriften und Online, 

Freelancer angesprochen und dennoch waren sie erfolglos. "Wir suchen in denselben Quellen, aber wir können das 

anonym machen", sagt Scharff. Darin liege der Vorteil der Personalberatung, Kandidaten heiß machen zu können, 

ohne den Namen der Firma nennen zu müssen. Oder beim Wettbewerb Mitarbeiter abwerben. Auch das machen viele 

Firmen nicht, weil das zum Bumerang werden könnte. 

Mehr indirekte Bewerbersuche 

2 von 3 25.09.2012 07:37


"Um neue Mitarbeiter zu finden, beschränken wir uns auf eine Stellenanzeige auf unserer Homepage", sagt Susanne 

Cussler. Sie ist zuständig fürs Personalwesen bei secorvo security consulting 6 in Karlsruhe. Das Unternehmen hat 

19 Mitarbeiter und sucht weitere IT-Sicherheitsexperten. Doch das sollen Leute mit mehrjähriger Berufserfahrung 

sein. Aktionen an Hochschulen scheiden deshalb aus. "Die Anzeige mag zu wenig sein, doch wir haben noch keinen 

besseren Weg für uns gefunden." Stellenanzeigen in Zeitungen oder Online-Portalen würden zwar Masse, damit aber 

nicht automatisch Qualität bringen. "Das wiederholen wir nicht mehr, sondern gehen bei der Mitarbeitersuche 

indirekt vor." Als Beispiel nennt Cussler Vorträge auf Fachmessen oder Beiträge in Fachzeitschriften, "um unseren 

Bekanntheitsgrad zu steigern". Was Secorvo letztendlich damit bezweckt, ist Employer Branding, also eine 

Arbeitgebermarke in der Öffentlichkeit zu schaffen. 

Evelyn Spitzwieser ist zufrieden mit ihrem Job bei secunet in Essen. Und hat fast schon vergessen, dass ein anderes 

IT-Unternehmen ihr ein Stipendium während des Master-Studiums in Bochum gewährte. "Ich hatte mich für das 

Stipendium beworben, bekam eine schriftliche Zusage und daraufhin monatlich rund 400 Euro überwiesen." 

Ansonsten hat sie nie mehr etwas von der Firma gehört. (sh) 

Fotoquelle Homepage: Fotolia / Sven Jungmann 


1 http://www.secunet.com/ 

2 http://www.iab.de/ 

3 http://www.ruhr-uni-bochum.de/ 

4 http://www.bitkom.org/ 

5 http://www.personal-total.de/ 

6 http://www.secorvo.de/ 

IDG Business Media GmbH 

Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen 

Zustimmung der IDG Business Media GmbH. DPA-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch 

wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass in Computerwoche unzutreffende Informationen 

veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des 

Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und 

Illustrationen. Für Inhalte externer Seiten, auf die von Computerwoche aus gelinkt wird, übernimmt die IDG Business Media GmbH keine 

Verantwortung. 

3 von 3 25.09.2012 07:37

Horst Görtz Institut für IT-Sicherheit Ruhr-Universität Bochum ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?