Im Zuge eines Kundenprojekts konnte das Research Team der it.sec eine bisher unbekannte Schwachstelle in der Oracle Fusion Middleware - Oracle WebLogic Server - identifizieren und ausnutzen. Hierbei konnte die Funktionalität des WLST Script Recordings genutzt werden, um Dateien auf…
Die Europäische Kommission hat am 10. Juli 2023 einen neuen Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework erlassen, der zertifizierten Unternehmen in den USA erneut ein angemessenes Datenschutzniveau bescheinigt. In der Konsequenz müssen neben den allgemein gültigen Sicherheitsmaßnahmen der DSGVO keine…
Zum 01.07.2023 trat das neue Pflegeunterstützungs- und -entlastungsgesetz (PUEG) in Kraft. Seit dessen Verabschiedung konnten wir in unserer Funktion als Datenschutzbeauftragte bereits mehrfach beobachten, dass einige Verantwortliche bzw. deren externe Lohnbüros und Steuerberatenden Nachweise zur Elterneigenschaft ihrer Beschäftigten anforderten bzw.…
The End Ein Jahr mit vielen Erzählungen aus unseren Red-Teaming-Projekten ist vergangen. Mit diesem Artikel endet die Serie „Aus dem Tagebuch eines Red Teams“ – aber nicht, ohne einen Blick zurückzuwerfen und einen Ausblick zu geben! Rückblick In „Bitte, bitte…
CobaltStrike is a Red Teaming platform which we use in internal infrastructure engagements in order to collaboratively discover systems, exploit vulnerabilities, and deploy penetration testing tools. It consists of a "Command and Control" (CoC) or Team Server which we can…
Die Anleitung zum Erfolg (Teil 2/2) In diesem Blog-Artikel knüpfen wir an den vergangenen Artikel an. Wir sind also im Projekt von außen über die in der Grafik abgebildeten Schritte in die interne Infrastruktur des Kunden eingedrungen. Kurzer Rückblick Per…
Die meisten Unternehmen außerhalb der EU/Schweiz brauchen einen Vertreter. Wenn Ihr Unternehmen keine Büros, Niederlassungen oder sonstigen Einrichtungen in der EU/Schweiz hat, aber Geschäfte mit Kunden in der Union/Schweiz macht, müssen Sie einen Vertreter bestellen. Unsere Juristen dienen als Ansprechpartner…
Die Anleitung zum Erfolg (Teil 1/2) In diesem Red-Teaming-Projekt starteten wir erneut ohne jegliche Hilfestellung des Kunden. Doch am Ende schrieb der Kunde unbeabsichtigt selbst die Anleitung, mit der wir das Projekt-Ziel erreichten. Die Erzählung zu diesem Red-Teaming-Projekt gliedert sich…
Was macht ein/e Datenschutzbeauftragte/r?In der Hauptfunktion berät dieser in Bezug auf Datenschutzpflichten. Als Schnittstelle zwischen Unternehmen und Aufsichtsbehörde überwacht und kontrolliert er, ob personenbezogene Daten ausreichend geschützt werden. Zudem sensibilisiert er die Mitarbeiter eines Unternehmens rund um das Thema Datenschutz…
Wenn die Katze die Maus nur halb erwischt In diesem Red-Teaming-Projekt starteten wir – abgesehen vom Kundennamen – ohne jegliche Informationen. Ziel war es, von außen ins interne Netzwerk einzudringen. Und wie das funktionierte, erzählen wir euch in der nächsten…