Sicherheit Archive - Seite 2 von 18

22. September 20232. Oktober 2023

Vorsicht Phishing, 2023!

Zur Zeit verzeichnen wir massiv viele Versuche, Kunden mit gefälschten Mails auf gefälschte Webseiten zu locken. Diese Webseiten sind den Login Seiten von goneo nachempfunden. Wer dort dann seine Zugangsdaten eingibt, ist Opfer einer Phishing-Attacke geworden. So schützt du dich:

Wenn eine Mail dich auffordert, auf einen Link oder einen Button in der Mail zu klicken, damit du dann irgendwelche Daten überprüfen kannst, sein vorsichtig! Nutze nur die dir bekannten Adressen: www.goneo.de (Login von der Startseite aus), kundencenter.goneo.de oder webmail.goneo.de, wenn es um E-Mail gehen sollte.

Phishing-Versuche kommen immer wieder vor. Doch KI hat auch in der Phishing-Szene Einzug gehalten, so dass bekannte Erkennungsmerkmale wie merkwürdige Formulierungen, grammatische Fehler, Rechtschreibfehler, ungewohnter Sprachgebrauch etc. viel seltener vorkommen.

Der stärkste Hinweise auf eine gefälschte Mail ist die tatsächliche Absenderadresse. Leider ist diese in vielen Mailprogrammen nicht auf den ersten Blick erkennbar. Denn neben der tatsächlichen Absendeadresse gibt im globalen Mailsystem die Möglichkeit, einen lesefreundlichen Absendernamen zu nutzen. Doch dies kann ein beliebiger Name sein, so dass man damit Nutzerinnen und Nutzer täuschen kann.

Ein anderer Hinweis ist die Zieladresse, die hinter einem Link oder Button verborgen ist. Diese verweist auf irgendeinen Server irgendwo in der Welt, wobei dann oft eine Reihe von Weiterleitungen (redirects) ausgeführt werden. Die Besitzer der Webseite, die da letztlich angesteuert wird wie auch der Besitzer der Mailbox, von der aus der Spam versendet wird, sind in aller Regel ebenfalls Opfer von Cyberattacken.

Wie man Phishing-Versuche dennoch erkennen kann

Man muss heuet viel genauer hinsehen und den Absender der Mail anhand der Adresse überprüfen. Diese Phishing-Versuche treffen goneo und alle anderen Provider, auch die, die gänzlich andere Dienste anbieten (Telefongesellschaften, Banken, Stromversorger…).

Richtig ist, dass wir Mitteilungen versenden, sollte es irgendwelche Probleme geben (was immer vorkommen kann). Doch in jedem Fall wird – sollte es eine Angelegenheit dieser Art geben – das Ganze im Kundencenter zu regeln oder nachzuverfolgen sein.

Wir empfehlen also, sich auf unserer Webseite unter https://www.goneo.de/ einzuloggen. Wer den Weg über die Startseite von goneo nicht gehen will, nutzt für das Kundencenter https://kundencenter.goneo.de

Noch ein Tipp: Die Aktivierung der Zwei-Faktor-Authentifizierung für das goneo-Kundencenter schafft eine weitere Sicherheitsebene.

Was kann man gegen Phishing noch tun?

Es ist möglich, den Angriff und den Betrugsversuch zu melden. Das BSI hat weitere Informationen zu Erkennung und Vorsichtsmaßnahmen.

Hier gibt es einen Service, mit dem man Internetadresse prüfen kann. Bereits bekannte Phishing-Seiten werden damit erkannt.

6. September 2023

„Sicherheit“, der neue Menüpunkt im goneo-Kundencenter

Webworker freuen sich über neue Sicherheitsfeatures für das goneo Kundencenter

Ab sofort findest du einen neuen Menüpunkt im goneo-Kundencenter. In der linken Spalte gibt es nun einen Link mit der Beschriftung „Sicherheit“.

Screenshot Kundencenter mit neuem Menüpunkt „Sicherheit“

Hier haben wir nun einige Sicherheitsfunktionen gebündelt. Damit hast du nun einen schnelleren und einfacheren Zugriff auf die entsprechenden Features.

Du kannst hier das Passwort für das Kundencenter ändern

Das bezieht sich nur auf den Login für das Kundencenter, nicht für Email, nicht für SFTP und so weiter.

Du kannst hier die Zwei-Faktor-Authentifizierung einrichten

Damit kannst du eine App einrichten, mit der du beim Anmeldeversuch einen weiteren Code bekommst.

Neu: Wir zeigen dir hier die Login-Historie

Damit kannst du nachverfolgen, welche Anmeldungen passiert sind. Wenn du hier Logins siehst, die du nicht kennst, dann ist das ein Warnzeichen und du solltest die Zugangsdaten ändern.

18. August 202323. August 2023

goneo E-Mail nur noch mit Transport Layer Security 1.2 und höher

DALL·E 2023-08-18 13.47.47 - A criminal hacker is trying to intrude into a computer system to read unencrypted email messages. Landscape format

Am 1.10.2023 möchten wir bei goneo veralte Versionen des Verschlüsselungsprotokoll entfernen, vor allem aus Sicherheitsgründen. Versionen, die eine Releasenummer kleiner als TLS 1.2 haben, werden von den E-Mail-Servern nicht mehr unterstützt.

TLS 1.0 wurde 1999 eingeführt, weist also ein eher biblisches Alter auf. Die Version 1.1 kam 2006. Inzwischen sind also Jahrzehnte vergangen. Zeit für ein Update.

Was das bedeutet, liest du hier (Spoiler: Höchstwahrscheinlich betrifft es dich nicht).

23. Mai 202323. Mai 2023

Noch ein weiteres WordPress Sicherheits-Release (6.2.2)

DALL·E 2023-05-23 - workers repair holes in a futuristic machine made of digital code fragments

Erst am 16.5.2023 erschien WordPress 6.2.1 als „Maintenance- und Security Release“, also ohne neue Features, aber mit einigen kleineren Reparaturen im Code und geschlossenen Sicherheitslücken.

Nun folgte am 20.3.2023 schon ein „Rapid Response Release“ als Version 6.2.2, mit der erneut mindestens eine Sicherheitslücke geschlossen werden sollte.

Offenbar war dieses Thema schon für 6.2.1 vorgesehen, benötigte aber wohl noch mehr Aufmerksamkeit. Um welches Problem es sich dabei handelt, bleibt unklar.

Das Update repariert offenbar auch frühere WordPress-Hauptversionen zurück bis 5.9. In der Regel sollte sich WordPress automatisch aktualisieren, es sei denn eigene Einstellungen, Caches oder CDNs verhindern dies.

Sowohl 6.2.2 als auch schon 6.2.1 wurde außerhalb der ursprünglichen Planung veröffentlicht. Man darf also davon ausgehen, dass Eile geboten war.

Als regulär geplantes Update ist WordPress 6.3 für den August 2023 vorgesehen.

15. Mai 202315. Mai 2023

Sicherheitslücke in „Elementor Essential Addons“

Der Securityserviceanbieter Patchstack meldet eine kritisches Sicherheitsproblem mit dem WordPress-Plugin Elementor Essential Addons.

Angriffsvektor Privilege Escalation

Angreifer können Passwörter ersetzen, sofern ihnen der Nutzername bekannt ist. Damit lässt sich die WordPress Installation übernehmen. Es gibt ein neues Release mit der Nummer 5.7.2, das sofort eingespielt werden sollte. Damit wird die Lücke, die am 8.Mai 2023 gefunden wurde, geschlossen.

Elementor ist ein Plugin für WordPress, das weitere Seitengestaltungsmöglichkeiten eröffnet. Zu diesem Plugin gibt es teils kostenlose Addons mit weiteren Zusatzfunktionen. Eines dieser Addons ist Essential Addons.

Elementor Essential Add On im WordPress Plugin Verzeichnis

Laut des WordPress Org – Pluginverzeichnisses wurde Elementor Essential Addons mehr als eine Million Mal installiert. Entsprechend viele Websites dürften betroffen sein.

Diese Sicherheitslücke bekam die Kennung CVE-2023-32243.

3. März 202324. April 2023

Erneut bestätigt: Verfügbarkeit 100% im Februar 2023

goneo Officebuilding in Minden, Westfalen, Deutschland.

Optimale Verfügbarkeit auch im Februar 2023: goneo konnte im unabhängigen Verfügbarkeitstest von Hosttest wieder überzeugen. goneo-Kundenserver waren durchgängig erreichbar. Das ergaben Tausende Einzeltests. Das bringt goneo erneut in die Hosttest-Top-20-Liste.

Warum ist es wichtig, dass eine Website durchgängig verfügbar ist ?

Experten sprechen von einer positiven User Experience, die leiden wird, wenn eine Website nicht verfügbar ist. In der Praxis heißt das, es erscheint eine Fehlermeldung, wenn man einem Link folgt oder die Domain direkt eingibt. Dann verlieren Userinnen und User Vertrauen in das Unternehmen oder die Organisation.

Direkt abhängig davon ist der Umsatz oder allgemein die Anzahl der Transaktionen, die man mit einer Website erreichen will.

goneo tut alles, um die Kundenwebsites 24/7 verfügbar zu halten

goneo Server waren im Februar 2023 rund um die Uhr erreichbar.

24/7 Monitoring
Netzwerk-Redundanz
Peerings
Aktive Malwarescans
Prozess- und Qualitätszertifizierungen
Periodische Updateprozesse zur Systempflege

Allerdings gibt es viele Ursachen für einen Ausfall einer Website.

Nicht alles hat ein Hosting-Provider unter Kontrolle

Wenn eine Website nicht verfügbar ist, kann das viele Gründe haben:

Mangelnde Serverleistung angesichts der zu erwartenden Serverlast
Als Hoster hat man dies unter Kontrolle. Überlastungen versuchen wir in jedem Fall durch proaktives Servermanagement zu verhindern. Wichtig ist hier, den Server nicht durch zu hohe Dichte an Kundenwebsites zu überlasten.
Der Server wird angegriffen (DDoS)
Hier werden Websites gezielt durch Überlastung durch sinnlose Anfragen von Hunderten bis Tausenden Servern irgendwo auf der Welt lahmgelegt. Solche Attacken lassen sich sogar im Dark Net einkaufen. Natürlich ist das illegal, Dennoch gibt es viele solcher Versuche. Es gibt einige Möglichkeiten, dagegen Maßnahmen zu ergreifen, doch vorhersehbar sind die Angriffe nicht.
Im Shared-Hosting-Konzept kann durch angegriffene Servernachbarschaft die Websiteperformance leiden. Managed Server als Alternative zu einem Webhosting-Paket bringen mehr Sicherheit.
Ausfall des Netzwerks, etwa durch defekte Switches, Router oder Fehler in der Konfiguration
Diese Probleme können irgendwo im Internet auftreten. Manchmal reicht ein Bagger, der ein Glasfaserkabel durchtrennt und ganze Regionen gehen offline.
Konfigurationsfehler oder Softwareprobleme
Dies passiert oft nach Updates der Webanwendungen.
Hacking
Eine Website wurde gehackt, entweder gezielt oder im Rahmen einer massenhaften Ausnutzung einer bekanntgewordenen Sicherheitslücke in häufig verwendeter Webanwendungssoftware mit Bots.

24. November 202225. November 2022

End of Life für PHP 7.4

🗓️ Ende der Unterstützung von PHP 7.4 bei goneo am 1.2.2023

Mit Ende November 2022 gilt PHP 7.4 als veraltet („end of life“) und ist damit planmäßig am Ende seines – wie es heißt – „Lifecycles“ angekommen. Mit PHP 7.4 endet auch die Hauptversionsnummer 7 und der Wechsel auf 8 ist nötig.

In der Praxis heißt das konkret: Für den Fall, dass Sicherheitslücken in PHP 7.4 gefunden werden, gibt es keine Unterstützung seitens des Herausgebers mehr. Die aktive Weiterentwicklung zur Funktionsverbesserung dieser Version ist schon vor einem Jahr eingestellt worden.

Die Roadmap von PHP findest du hier:
https://www.php.net/supported-versions.php

End of Life PHP 7.4: Was du jetzt tun kannst

goneo wird diese Version noch weiter anbieten, um einen stressfreien Übergang auf eine neuere Version zu ermöglichen. Dennoch wird goneo aus Sicherheitsgründen PHP 7.4 ab 1.2.2023 nicht mehr bereitstellen.

Daher ist es jetzt an der Zeit, Webanwendungen und PHP-Skripte, die zur Zeit unter PHP 7.4 betrieben werden, zu überprüfen.

Wir schlagen das gleiche Verfahren vor, mit dem wir schon den Wechsel von PHP 5.6 auf PHP 7 unterstützt haben.

Programme und Skripte mit PHP 8 testen

Es ist wichtig, festzustellen, ob die Programme auch unter PHP 8.x funktionieren. Du kannst das im goneo-Kundencenter gefahrlos testen. Du musst nur die Version versuchsweise umschalten und prüfen, ob die Websites bzw. die Anwendung noch funktionieren. Falls nicht, kannst du zunächst wieder zu PHP 7.4 zurückschalten und eventuell aufgetretenen Problemen nachgehen.

End of Life PHP 7.4. Dieses Release steht nur bis 1.2.2023 noch bereit. Ein Wechsel ist jetzt schon möglich und auch umkehrbar, falls etwas nicht fuznktioniert. — Im goneo-Kundencenter lässt sich die gewünschte PHP-Version festlegen. Die Änderungen werden sofort wirksam, so dass man bequem prüfen kann, ob die Webanwendung unter einer Domain problemlos mit einer neueren Version funktioniert. Wenn nicht, ist ein Zurückschalten möglich.

Bei goneo stehen mehrere PHP Releases zur Auswahl. Empfehlung ist, die neuste Variante zu nutzen. — goneo bietet stets mehrere PHP-Releases zur Auswahl an. Diese lassen sich problemlos umschalten. Die Änderungen werden sofort wirksam, so dass man so bequem und einfach testen kann, ob die Anwendungen und Skripte kompatibel sind.

Wo du Änderungen, die PHP 8 bringt, nachlesen kannst

Wie sich eine Umschaltung auswirkt, lässt sich allgemein schlecht prognostizieren. Je standardmäßiger und aktueller die eingesetzten Webanwendungen sind, desto weniger Probleme sind zu erwarten. Dementsprechend empfiehlt es sich immer, möglichst die neuste Version der Anwendungen zu nutzen. Bitte bei dieser Überprüfung auch Erweiterungen, Templates, Plugins, Themes etc. nicht vergessen.

Um PHP-Programmierern und Entwicklern von Skripten mehr Informationen bereitzustellen, hat die PHP-Organisation eine Hilfe-Seite angelegt. Insbesondere die Änderungen in Release 8, die nicht mehr kompatibel zu älteren Versionen sind, dürften interessant sein.

https://www.php.net/manual/de/migration80.incompatible.php (auch auf deutsch verfügbar)

Tipp: Stets die höchste PHP-Versionsnummer wählen

Es empfiehlt sich immer, den Release mit der höchsten Versionsnummer einzusetzen. Dies gilt insbesondere, wenn du ein neues Webprojekt anlegst. Was grundsätzlich neu ist, steht bei php.net im Einzelnen beschrieben.

Websites, die schon vor einiger Zeit entstanden sind, müssen angepasst werden. Manche Content Management Systeme wie WordPress sind in ihren aktuellem Releases meist schon kompatibel. Andere folgen mit Verzögerung.

Eine neue Version zu nutzen bringt viele Vorteile:

mehr Sicherheit im Betrieb der Website
mehr Performance durch effizienteren Code
Zukunftsfähigkeit
Neue Möglichkeiten wie JIT (Just in time) Compiler, opCache-Erweiterung …
Entwickler freuen sich auf mehr Konsistenz, Transparenz, Klarheit dank verbesserter Syntax und neuen API-Möglichkeiten

Wie du dich über geplante Updates auf dem Laufenden halten kannst

Weitere langfristig geplante Änderungen, Updates und Systemänderungen stellen wir auf dieser Seite zusammen: https://www.goneo.de/blog/geplante-updates.

Insbesondere für Nutzerinnen und Nutzer, die „exotischere“ Usecases anwenden und eigene Skripte erstellen, empfiehlt es sich darauf ein Auge zu haben.

Im Prinzip ist mit etwa vier Softwareupdates pro Jahr zu rechnen. Ausnahmsweise können auch kürzerfristig Softwareversionen implementiert werden, sollten dringende Sicherheitspatches geliefert werden.

13. Juni 202213. Juni 2022

goneo-Kundencenter erhält erweiterten Modus

Wir werden das goneo-Kundencenter nun mit einem neuen Sicherheitsfeature ausstatten. Eine der wichtigsten Herausforderungen in der Informationstechnologie ist die Sicherheit. Ganz besonders gilt das auch für die Onlineservices, die goneo anbietet.

Erweiterter Modus nach zusätzlichem Code

Im goneo-Kundencenter führen wir einen zusätzlichen Modus ein. So gibt es jetzt den eingeschränkten Modus und den erweiterten Modus.

10. Mai 202213. Mai 2022

2FA: So wichtig ist ein zweiter Sicherheitsfaktor

closeup photography of white gate with brass colored padlock

Die Zwei-Faktor-Authentifizierung oder Zwei-Faktor-Authentisierung, kurz: 2FA, ist eine Art Rettungsanker für den Fall, dass unberechtigte Personen die Zugangsdaten für einen Onlinedienst kennen. Wir haben schon oft gewarnt, dass Phisher unterwegs sind. Als „Phishing“ bezeichnet man eine illegale Aktivität.

Mit dieser Aktivität versuchen Cyberkriminelle Zugangsdaten zu geschützten Onlinebereichen bei Banken und Servicedienstleistern zu erbeuten. Das trifft nun auch die Kunden und Nutzer von Hosting-Providern wie goneo.

Einige Zugänge zu Onlineservices lassen sich schützen, indem man ein zweites Passwort fordert. Dieses ist bei diesem Sicherheitsverfahren allerdings meist nur eine kurze Zeit lang gültig und wird automatisch erzeugt. Es wird in dem Moment übermittelt, wenn man sich anmelden will. Verwendet wird dafür idealerweise ein anderes Gerät wie zum Beispiel ein Smartphone. Diese Absicherung mit einem zweiten Faktor muss der Benutzer beziehungsweise die Benutzerin allerdings aktivieren. Ein zusätzlicher Aufwand, ja, aber es gibt gute Gründe, diese zusätzliche Hürde aufzustellen.

5. April 202211. April 2022

Neue Phishing-Welle mit gefälschten E-Mails

Momentan scheint es viele Phishing-Angriffe zu geben. Cyber-Banditen versuchen verstärkt, Daten von goneo-Kunden zu erbeuten. So verzeichnen wir eine erhöhte Anzahl an Kundenanfragen, die sich auf eingegangene E-Mails beziehen. Mails, die vorgeblich goneo hat, um auf ein (in Wahrheit nicht vorhandenes) Problem mit dem Kundenkonto hinzuweisen.

Dadurch sind wir darauf aufmerksam geworden, dass sehr viele E-Mail gleichlautenden Inhalts recht zielgerichtet an goneo-Kunden versendet wird.