Sichtwort "Conditional Access": Sollen aus Sicherheitsgründen alle Zugriffe auf ein Netzwerk aus den Staaten der u.g. Liste des BMI generell gesperrt werden?
Als ich dann berichtete, das die letzten Analysen von Cyber-Angriffen gezeigt haben, dass der Ursprung der Cyber-Angriffe seinen Ursprung in den Cloud-Computing-Diensten der großen Hyperscaler genommen hatte, war man erstaunt. Hinter dem vermeintlich Guten, befindet sich manchmal auch das Böse 😉.
Ich bin ein wenig entäuscht bzgl. der Darstellung des Themas "Interoperable und einfach nutzbare Ende-zu-Ende-Verschlüsselung", wie sie in dem u.g. Whitepaper zu Webmail-Diensten vom @bsi beschrieben wird.
Bei Verwendung von OpenPGP und S/MIME handelt es sich um eine Inhaltsverschlüsselung einer E-Mail. In der Regel kann ich immer sehen, wer mit wem kommuniziert hat. Unter einer Ende-zu-Ende-Verschlüsselung verstehe ich etwas anderes.
E-Mail-Dienste sind ein zentraler Baustein digitaler Kommunikation und Identitätsverwaltung. Allerdings ist der Schutz der Verbraucherinnen und Verbraucher vor Sicherheitsrisiken wie Phishing und Identitätsdiebstahl bei Webmail-Anbietern teilweise noch lückenhaft umgesetzt. Des Weiteren ist die einfache Anwendung einer Ende-zu-Ende-Verschlüsselung (E2EE) aus dem Webmailer heraus und anbieterübergreifend meist nicht möglich. Das vorliegende Whitepaper identifiziert fünf zentrale Handlungsfelder und formuliert konkrete Forderungen an Anbieter von Webmail-Diensten. Ziel ist es, den digitalen Verbraucherschutz in diesem Bereich zu stärken. Der Fokus liegt dabei auf IT-Sicherheit, Transparenz und Usability.
Es ist schon intressanst welche Ergebnisse die KI zu den Begrifflichkeiten SVCB, HTTPS, DNS, Empfehlung BSI liefert:
Der Begriff bezieht sich auf das Bundesamt für Sicherheit in der Informationstechnik (BSI) und seine Sicherheitsstandards und -empfehlungen (SVCB), wobei SVCB eine Abkürzung für "Standards, Verfahren, Konzepte, Best Practices" darstellt 😂 .
Wie gut, das andere Quellen das Thema schon 2014 einmal erläutert haben.
In a historic breach of China's censorship infrastructure, over 500 gigabytes of internal data were leaked from Chinese infrastructure firms associated with the Great Firewall (GFW).
While preparing for my Black Hat and DEF CON talks in July of this year, I found the most impactful Entra ID vulnerability that I will probably ever find. One that could have allowed me to compromise every Entra ID tenant in the world (except probably those in national cloud deployments). If you are an Entra ID admin reading this, yes that means complete access to your tenant. The vulnerability consisted of two components: undocumented impersonation tokens that Microsoft uses in their backend for service-to-service (S2S) communication, called “Actor tokens”, and a critical vulnerability in the (legacy) Azure AD Graph API that did not properly validate the originating tenant, allowing these tokens to be used for cross-tenant access.
Oft sprechen wir bei Repuations-Diensten wie z.B. für EMails oder URLs von Black- oder White-Listing. Dabei ist das Grau dazwischen viel interessanter. @spamhaus hat das ganze mal ein wenig transparanter gemacht.
https://www.dotmagazine.online/issues/strengthening-digital-trust/reputation-it-isnt-black-or-white
