Schlagwort-Archiv: Cybercrime

Die Schwachstellen der „Intelligenten Zukunft“

Am Mobile World Congress (MWC) standen vernetzte Fahrzeuge, die Zukunft der Smart Homes und natürlich die neuesten Endgeräte ganz oben auf der Agenda. Laut einer aktuellen Studie von Intel Security verbringt jeder Deutsche inzwischen durchschnittlich 37% seiner Zeit zu Hause im Internet. Trotzdem kann knapp die Hälfte aller Deutschen (48%) nicht überprüfen, ob eines ihrer Geräte schon durch Schadsoftware befallen war. 32% gaben sogar an, dass sie sich nicht sicher sind, wie sie prüfen können, ob ihr Gerät in der Vergangenheit beschädigt wurde.

Es wird daher immer wichtiger, Verbrauchern nicht nur die Risiken von Geräten wie Laptops, Handys und Tablets bewusst zu machen. Kunden müssen auch die potenziellen Gefahren kennen, die von modernen vernetzten Geräten, wie Smart-TVs, Lautsprechern und vernetzten Fahrzeugen ausgehen.

Jugendschutz im vernetzten Zuhause

Die neue Partnerschaft zwischen Humax, Intel und Intel Security sorgt in einem vernetzten Haushalt für eine stabile Konnektivität und Sicherheit. Die McAfee Secure Home Platform bietet eine Sicherheitsebene, die vernetzte Geräte im Heimnetzwerk automatisch vor diversen Bedrohungen schützt. Sie können damit Jugendschutzeinstellungen festlegen und Warnungen vor möglichen Bedrohungen in Echtzeit erhalten.

“Unsere jüngsten Forschungen ergaben, dass sich mehr als drei Viertel aller Eltern (74%) darum sorgen, dass ihre Kinder online mit Kriminellen interagieren“, sagt Raj Samani, Chief Technological Officer EMEA bei Intel Security. “Dennoch verfolgen zwei Fünftel (34%) der Eltern nicht, was ihre Kinder im Internet treiben. Ein Viertel (25%) davon würde jedoch die Online-Aktivität ihrer Kinder überwachen, wenn es dazu eine einfache Möglichkeit gäbe.“

“Die Partnerschaft mit Humax hilft uns dabei, den Eltern die Kontrolle über die internetfähigen Geräte zu Hause zurück zu geben um die eigene Familie vor möglichen Risiken zu schützen. Indem wir uns auf das smarte und vernetzte 5G Zuhause bewegen, steigt die Nutzung des Internet und der Datenmengen, die wir täglich schaffen. Im gleichen Maße steigt unsere Abhängigkeit von Apps, um unser Zuhause zu kontrollieren. Wir müssen sicherstellen, dass angemessene Schutzmaßnahmen installiert sind, um jeden Zugriffspunkt zu schützen. Das gilt sowohl für das Netzwerk, den Router und die Endgeräte, als auch die Apps und die Software, die sie kontrollieren”, so Samani weiter.

Risiko durch „tote Apps“

„Tote Apps“ sind Apps, die nicht geupdatet oder gelöscht wurden aber weiterhin auf den Handys installiert sind. So sind sie nicht auf dem neuesten Sicherheitsstand und Türöffner für Malware und andere Viren. Wie der Mobile Threats Report von Intel Security zeigt, wurden im vergangenen Jahr bei Google Play mehr als 4.000 Apps entfernt – ohne, dass die Nutzer darüber informiert wurden. Telemetriedaten, die von den McAfee Labs erhoben wurden, zeigen, dass nach wie vor mehr als 500.000 Geräte solcher „toten Apps“ auf Smartphones installiert sind.

Ein aktuelles Beispiel ist eine App, die Passwörter stiehlt, indem sie sich als Instagram-Analyse-App ausgibt. Um die angebliche Analyse zu erhalten, müssen Nutzer ihre Instagram Login-Daten eingeben. Den Nutzern ist dabei nicht bewusst, dass sie ihre Nutzerdaten bei einer Phishing-Webseite eingeben und so ihre Anmeldedaten gestohlen werden.

“Um den Verlust ihrer persönlichen Daten an tote Apps zu vermeiden, müssen Verbraucher genau darauf achten, welche Apps sie herunterladen und bei jeder App Informationen zum Entwickler und Bewertungen nachlesen, bevor sie die App installieren”, meint Raj Samani. “Sie sollten auch nach einem Sicherheitstool Ausschau halten, das Apps identifiziert, die nicht mehr im Store sind und eventuell sogar Informationen darüber liefern können, wieso die App entfernt wurde.”

Tipps zum Schutz der persönlichen Daten

„Mit der zunehmenden Vernetzung steigen auch die Risiken durch Cyber-Kriminelle. Allerdings können sich Verbraucher schon mit einigen wenigen Mitteln sehr effektiv schützen,“ sagt Cyber-Sicherheitsexperte Alexander Salvador von Intel Security. Er gibt folgende Tipps, wie Nutzer ihre Geräte schützen können:

  • Sperren Sie Ihre Geräte. Wo möglich sollten Geräte mit einem starken PIN oder einem komplexen Passwort gesperrt werden, um unerlaubte Zugriffe zu vermeiden. Nutzen Sie außerdem eine Multi-Faktor-Authentifizierungslösung, wie True Key von Intel Security, die Ihre starken Passwörter mit einer extra Sicherheitsstufe verbindet – zum Beispiel mit Ihrem Fingerabdruck oder einer Gesichtserkennung. Selbst wenn das Passwort gestohlen werden sollte, bleibt der Zugriff für andere Personen verwehrt.
  • Halten Sie Ihre Geräte auf dem neuesten Stand. Stellen Sie sicher, dass Sie Ihre Geräte aktualisieren, sobald neue Versionen des Betriebssystems oder der Anwendung zur Verfügung stehen. Updates enthalten oft wichtige Sicherheitskorrekturen, die Probleme beheben und vor Angriffen schützen.
  • Kontrollieren Sie Ihr Heimnetzwerk. Die Einrichtung eines WLAN-Netzwerkes für Gäste ermöglicht Ihren Besuchern den Zugang zum Internet, aber sorgt dafür, dass Ihr Heimnetzwerk isoliert bleibt. Sie können auch Ihre IoT-Geräte (Smart-Home-Geräte, Wearables, usw.), auf denen private Informationen gespeichert sind, von traditionellen Geräten (Laptops, Smartphones, Tablets, usw.) trennen. So betrifft die Gefahr eines IoT Gerätes lediglich Geräte, die mit dem Gästenetzwerk verbunden sind.

Biohacking – ein „Trend“ und seine Gefahren

Biohacking ist ein neuer Trend in der Wissenschaftsszene. Den Gesetzgeber stellt dies vor neue Herausforderungen. Das Gentechnikgesetz sei nicht mehr zeitgemäß, sagt Dipl.-Biologe Rüdiger Trojok.

„Biotechnologie wird in Zukunft so alltäglich und verbreitet sein wie heute die Computertechnik“, sagt Rüdiger Trojok. Der Biologe erforscht am Karlsruher Institut für Technologie (KIT) Innovationsprozesse und Technikfolgen. Wie die Computerpioniere der siebziger Jahre würden bald Bio-Nerds in Garagen und Souterrains an Genen herumexperimentieren, so Trojoks Prognose. In Amerika ist das wiederum in Anlehnung an die Computerszene sogenannte „Biohacking“ längst ein Trend. In Deutschland hingegen ist es Privatpersonen derzeit nicht gestattet, gentechnische Veränderungen vorzunehmen.

In den USA kann sich schon heute Jedermann ein Selbstmach-Set für biolumineszierendes Bier, erzeugt mithilfe gentechnisch veränderter Bakterien, im Internet bestellen. Hierzulande dagegen wird beim Gedanken, dass Do-it-yourself-Biologen bald zu Hause an selbst erdachten Erbmolekülen herumtüfteln könnten, nicht nur Biomaisgegnern mulmig. Gehören sechsbeinige Hunde im Park und selbstoptimierte Supermutanten im Sportstudio bald zum Alltag?

Trojok, der am Institut für Technikfolgenabschätzung und Systemanalyse (ITAS) des KIT arbeitet und auch den Bundestag bei der Einschätzung neuer Technologien berät, wiegelt ab: Zwar koste ein gentechnisches Labor einzurichten inzwischen nur noch 5000 Euro und stehe mit der CRISPR/Cas-Methode ein einfaches Verfahren zur Verfügung, um DNA gezielt zu schneiden und zu verändern. „Eigenständige Experimente erfordern aber noch ein fundiertes Fachwissen und langwierige wie akkurate Vorbereitungen.“ Mal eben zum Spaß ein paar Gene auch nur von Bakterien zu verändern oder gar Organismen mit völlig neuen Eigenschaften zu kreieren sei für Hobby-Biologen deshalb schwierig bis unmöglich – für den Moment.

Infolge weiter sinkender Preise, immer einfacherer Verfahren und Labortechnik nicht größer als ein Computerchip, werde die Gentechnik zukünftig der Kontrolle und dem exklusiven Zugriff staatlicher Forschungseinrichtungen, Biotechnologieunternehmen und Großkonzernen entgleiten, erwartet Trojok. Das im Jahr 1990 erlassene Deutsche Gentechnikgesetz hält der Wissenschaftler deshalb für nicht mehr zeitgemäß. Die Risiken der damals noch jungen Gentechnik seien seinerzeit noch nicht abschätzbar gewesen, so der 31-Jährige. Deshalb seien die Regelungen vorsichtshalber extrem streng ausgestaltet. Schon für harmlose, heute tausendfach bewährte Versuche drohten drei Jahre Haft.

„Das Recht auf Forschung ist zusammen mit der Meinungsfreiheit und Kunstfreiheit im Grundgesetz verankert“, sagt Trojok. Der Wissenschaftler schlägt deshalb eine Art Stufenführerschein für Privatforscher vor, damit jeder Zugang zu dem Wissen und der Technologie bekommen könne. Wer mit dem Laborbaukasten harmlose Bakterien bunt färben will, der solle dies tun dürfen. Ein weitergehendes Verändern von Organismen hingegen wäre zum Beispiel nur Genbastlern mit Biologiestudium erlaubt. „Wenn Sie heute eine Fahrerlaubnis erwerben, bekommen Sie damit auch nicht gleich die Zulassung für Schwerlaster“, sagt Trojok.

Momentan seien die rechtlichen Hürden für Biohacker hoch, meint Trojok: So verlange der Gesetzgeber einen Betreiber und einen Sicherheitsbeauftragten pro Gentechniklabor, die jeweils eine spezielle Zulassung benötigten und drei Jahre Laborerfahrung vorweisen müssen. Zudem gebe es eine große Zahl an baulichen Auflagen und Dokumentationspflichten. „Diese Regel lässt sich angesichts der technischen Möglichkeit, Gentechnik in einer dezentralisierten, miniaturisierten Weise durchzuführen, kaum noch sinnvoll umsetzen.“

Praktikabler wäre, die Sicherheitsstufe 1 des Gentechnikgesetzes weiter zu differenzieren, so Trojok. „Man kann aus dieser Stufe bereits nach bestehendem Recht Experimente ausgliedern, die etabliert sind und als sicher bewertet wurden – darunter würden auch cisgenetische und bestimmte CRISPR-Experimente fallen.“ Solche sicheren und bekannten transgenen Arbeiten müssten seiner Auffassung nach nicht den strengen gesetzlichen Auflagen des Gentechnikgesetzes unterliegen und sollten der Gesellschaft freigegeben werden, meint Trojok. Um diese Experimente anzumelden, würde sich ein schnelles Online-Register anbieten, in dem Bundes- oder besser sogar EU-weit legale Experimente gesammelt werden.

Was für Folgen und Konsequenzen eine demokratisierte und dezentrale Nutzung der Genombearbeitung in naher Zukunft haben könnte, darüber diskutieren Nachwuchswissenschaftler der Naturwissenschaften, Sozialwissenschaften, Geistes- und Rechtswissenschaften sowie Biohacker und auch Künstler auf Einladung von KIT und ITAS auf einer Klausurwoche in München vom 12. bis 17. März.

Digitale Identitäten verhindern Kennwort-Klau

In der technisierten Lebens- und Arbeitswelt von heute sind sichere digitale Identitäten unverzichtbar: Nicht nur beim Onlinebanking möchten Nutzer zuverlässig erkannt werden. Für immer mehr Anwendungen in der Cloud oder für das Smartphone ist die sichere und zweifelsfreie Identität des Nutzers Grundvoraussetzung.

Doch wie lässt sich verhindern, dass sich eine Person digital als jemand anders ausgibt? „Ein Passwort zur eindeutigen Authentifizierung der Person hinter einem Benutzernamen reicht nicht mehr aus“, sagt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco – Verband der Internetwirtschaft e. V.

Hunderte Millionen gestohlener Passwörter kursieren im Netz

Das betont auch die Bundesregierung in ihrer am 9. November 2016 beschlossenen Cyber-Sicherheitsstrategie für Deutschland 2016: „Das derzeit verbreitete, aber nicht sichere Benutzername/Passwort-Verfahren ist als Standard zu ergänzen und nach Möglichkeit abzulösen“, fordert sie. Denn bei einer Authentisierung mittels Nutzername und Passwort sind Diebstahl, Manipulation oder Fälschung einer Identität nicht hinreichend ausgeschlossen.

Hunderte Millionen gestohlener Passwörter inklusive Nutzernamen und E-Mail-Adressen kursieren im Internet. Diese stammen aus Hacks großer Seiten. Millionenfacher Passwort-Diebstahl wurde nicht nur von den Online-Diensten Dropbox, Yahoo und LinkedIn eingeräumt. „Es gibt ein großes Bedürfnis nach besseren digitalen Verfahren zum Nachweis der eigenen digitalen Identität“, betont Oliver Dehning.

Großer Bedarf an starken und nutzerfreundlichen Authentisierungs-Methoden

„Eine starke Authentisierung setzt die Nutzung zweier unterschiedlicher Faktoren voraus“, sagt Jens Bender vom Bundesamt für Sicherheit in der Informationstechnik. Dabei gilt es, Authentisierungsfaktoren geschickt zu kombinieren, um verschiedene Angriffskategorien abzuwehren und um die Stärken verschiedener Faktoren zu kombinieren. Es sollten asymmetrische Verfahren bevorzugt werden, bei denen keine zentrale Datenbank notwendig ist.

Mit Ausweisdokumente mit Online-Ausweisfunktion stellt die Bundesregierung bereits eine hochsichere und datensparsame Identifikationsmöglichkeit im Netz bereit, stellt die Cyber-Sicherheitsstrategie für Deutschland 2016 fest. Der neue deutsche Personalausweis (eID) beispielsweise bietet eine sichere Möglichkeit, sich auch für Cloud-Infrastrukturen zu identifizieren. Das zeigte Dr. Detlef Hühnlein von ecsec im Rahmen der Internet Security Days 2016 in Brühl bei Köln.

Mit der Lösung SkIDentity auf der Basis der Online-Funktion des Personalausweises lassen sich sichere virtuelle Identitäten erstellen und auch transferieren, beispielsweise auf ein Smartphone. Mit dieser vom BSI nach ISO 27001 auf Basis von IT-Grundschutz und von der TÜV Informationstechnik GmbH gemäß dem Trusted Cloud Datenschutz-Profil zertifizierten Lösung können sich Nutzer anschließend bis zu 14 Tage lang auch ohne Nutzung des physikalischen Ausweises für digitale Services authentisieren.

Staat und Wirtschaft schaffen eigene Lösungen für unterschiedliche Anwendungen

Im Internet der Dinge (IoT) benötigen nicht nur Personen, sondern auch Objekte zweifelsfreie Identitäten. „Wenn beispielsweise Fahrzeuge untereinander kommunizieren, um sich gegenseitig vor Gefahren zu warnen oder über die Verkehrslage zu informieren, dann muss die Kommunikation zugleich vertrauenswürdig sein und extrem schnell ablaufen“, sagt Christian Welzel vom Fraunhofer Institut FOKUS. Auch Organisationen und Dienste brauchen digitale Identitäten, denen Nutzer vertrauen können.

„Dem Staat kommt dabei die Rolle zu, den Rahmen festzulegen. Er definiert rechtliche und technische Anforderungen und gewährleistet über Zertifikate Sicherheit.“ Zugleich steht der Staat in Konkurrenz zur Wirtschaft, die eigene Möglichkeiten zur Authentisierung geschaffen hat. Beispiele dafür sind etwa die Facebook ID für Personen oder Gütesiegel für Online-Shops. Generell gilt: „Lösungen für digitale Identitäten müssen global gedacht werden und internationalen Standards und Kriterien genügen“, betont Welzel. Das gelingt mit einheitlichen Standards und Rahmenbedingungen und abgestimmten Vergleichskriterien für Authentisierungsverfahren.

Die Ripper-Polizei: Wenn Betrüger gegen Betrüger vorgehen

Die Homepage von Ripper.cc

Die Homepage von Ripper.cc

Falsche Social-Media-Datenleaks, Handel ungültige Kreditkarten oder bezahlte und nicht ausgeführte Hackerdienste – auch Cyberkriminelle werden hinters Licht geführt. Laut Digital Shadows, einem Anbieter im Bereich Threat-Intelligence, gibt es nun eine Bibliothek in dem sich Cyberkriminelle zu den schwarzen Schafen unter ihnen informieren und so dem Betrug aus den eigenen Reihen vorbeugen können. Auf der Website Ripper.cc finden sich bereits über 1.000 Einträge zu diesen sogenannten „Rippern“ und ihren Maschen.

Ripper sind ein gewaltiges Problem für das florierende Geschäft mit der Cyberkriminalität

Ihre Aktivitäten beeinträchtigen den Markt und schmälern den Gewinn sowohl für Anbieter illegaler Dienste und gestohlener Daten als auch für deren Käufer. Die Mehrheit der kriminellen Plattformen beschäftigt sich daher intensiv mit dem Problem und bietet singuläre Lösungen an.

Mit Ripper.cc soll nun eine übergreifende Bibliothek aufgebaut werden, die sich über unterschiedliche Foren, Webseiten und Plattformen nutzen lässt. Dort können auf der Website Profile vermeintlicher Ripper anlegen und Informationen zu Kontakt, Identifikation und eingesetzter Betrugsmasche online stellen. Neuerdings gibt es sogar ein Plug-In für Jabber – den von Cyberkriminellen bevorzugten Instant-Messaging-Dienst. Damit werden Akteure sofort gewarnt, wenn sie mit einem in der Ripper Datenbank geführten Anbieter in Kontakt treten.

„Es ist erstaunlich, wie schnell sich dieser Bereich der kriminellen Unterwelt reguliert und weiterentwickelt“, erklärt Rick Holland, VP Strategy, Digital Shadows. „Bereits jetzt werden Extensions für Firefox und Chrome von Ripper.cc angeboten, um die Funktionalitäten der Website auszuweiten. Zudem sucht Ripper.cc nach Möglichkeiten, ihren Dienst zu Geld zu machen, z. B. durch Anzeigenschaltung und Abonnements. Die Parallelen zu Geschäftsmodellen von Start-ups und IT-Unternehmen sind ein deutliches Zeichen für die zunehmende Industrialisierung und Professionalisierung der Hacker-Szene.“

 

Warum es nicht immer russische Hacker sind – Insider, die unterschätzte Gefahr

Der Sitzungssaal des Bundestages in Berlin.

Der Sitzungssaal des Bundestages in Berlin.

John Carlin ist Assistant Attorney General for National Security.

John Carlin ist Assistant Attorney General for National Security.

Russische Hacker? Eher nicht. Nach Informationen des Nachrichtemagazins Spiegel vermutet die Bundespolizei nach ihren Ermittlungen, dass im Bundestag möglicherweise ein sogenannter „Maulwurf“ – also ein Insider – sitzt und die Daten aus dem Untersuchungsausschuss an die Enthüllungsplattform WikiLeaks weitergegeben hat.

Nach Angaben von WikiLeaks sollen die rund 2.400 Dokumente zum NSA-Ausschuss aus verschiedenen Quellen stammen und nachweisen, dass die amerikanischen National Security Agency (NSA) und der BND zusammengearbeitet haben. Noch vor einigen Wochen hatte die „Frankfurter Allgemeine Sonntagszeitung“ einen hohen Sicherheitsbeamten mit den Worten zitiert, „es gebe eine „hohe Plausibilität“ dafür, dass die von WikiLeaks veröffentlichten Geheimakten beim Cyberangriff auf den Bundestag erbeutet wurden. Für den Angriff machten Sicherheitskreise russische Hacker verantwortlich.“

Das sieht im Licht der bundepolizeilichen Ermittlungen betrachtet nun anders aus. Wieder ein Insider?

Innentäter die unterschätzte Gefahr

Dass unter bestimmten Umständen praktisch jeder zum Insider werden kann haben Studien ausreichend belegt. Die drei wesentlichen Komponenten von Motiv, Moral und Möglichkeit müssen nur in einem günstigen (oder besser: ungünstigen) Mischungsverhältnis aufeinandertreffen. Das gilt für die großpolitische Gemengelage, Geheimnisverrat oder Wirtschaftsspionage.

Potenzielle Innentäter sind neben den eigenen aktuellen und ehemaligen Mitarbeiter*innen befristet im Unternehmen tätiges Personal und externe Dienstleister. Dass dieses Phänomen nicht neu ist, hatte Anfang dieses Jahres eine Umfrage der Computerwoche bestätigt, bei der im Rahmen des „Vendor Vulnerability Survey 2016“ annähernd 600 IT-Experten aus Deutschland, Frankreich, Großbritannien und den USA befragt wurden.

Die als besonders sicherheitsaffin geltenden Deutschen hegten zwar einerseits große Befürchtungen Opfer eines Cyberangriffs zu werden, vergeben aber andererseits Zugriffsberechtigungen an Dienstleister ausgesprochen großzügig. Zutritts- und Zugangsberechtigungen sind oft viel weiter gefasst als es nach dem Prinzip der minimalen Rechtevergabe notwendig gewesen wäre. Außerdem bleiben diese Berechtigungen gerne selbst dann noch erhalten, wenn ein Projekt längst beendet ist oder der betreffende Mitarbeiter das Unternehmen bereits verlassen hat.

Und Innentäter sind es auch, die aufgrund ihrer physischen und virtuellen Zugangs- und Zugriffsmöglichkeiten potenziell den größten Schaden anrichten.

Laut einer aktuellen Studie des Ponemon Institute belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf mittlerweile rund 4 Millionen US-Dollar.

Trotz dieser erschreckenden Zahl sind bei weitem nicht alle Vorstandsmitglieder, Geschäftsführer oder Hauptaktionäre ausreichend gewappnet ihre finanziellen Interessen dahingehend zu schützen. In Abwandlung eines alten Zitats aus der IT-Sicherheit gibt es nur zwei Sorten von Unternehmen: diejenigen, die schon Opfer einer Datenschutzverletzung geworden sind und diejenigen, die es (noch) nicht wissen.

Mehr wissen: Insider versus Algorithmus?

Wie in vielen Bereichen des digitalen Lebens kommt hier eine spezielle Klasse von Algorithmen ins Spiel – die sogenannten selbstlernenden Algorithmen.

Um spezielle Aufgaben lösen zu können sind bestimmte Algorithmen an die Funktionsweise des menschlichen Gehirns angelehnt wie Jürgen Geuter, Informatiker und Blogger, in seiner Wired-Kolumne erläutert. Die künstlichen Neuronen werden dann ähnlich zu einem neuronalen Netz verschaltet wie das in unserem Gehirn geschieht. „Jedes einzelne Neuron im Netzwerk entscheidet nun — abhängig von den Impulsen aus den Neuronen, die mit seinen Eingängen verbunden sind — ob es einen Impuls weiterleitet oder nicht. Erst wenn ein gewisser Schwellenwert erreicht wird, „schaltet“ das Neuron, sonst bleibt es still. Dabei gewichtet jedes Neuron unterschiedliche Impulse höher oder niedriger. Am Ende kommt eine Entscheidung dabei heraus, etwa die Feststellung, dass ein Bild eine Katze enthält, oder der Befehl an den Greifarm, sich um 45 Grad zu drehen.“

Dann kommt das Lernen ins Spiel. Dabei wird das System im Hinblick beispielsweise auf eine Zielfunktion hin trainiert. Immer und immer wieder. Algorithmen dieser Art kommen auch bei der Analyse des Benutzerverhaltens zum Tragen. Dabei wird zunächst ein im Hinblick auf bestimmte Nutzer als normal geltendes Verhalten definiert und entsprechende Grenzwerte festgelegt. Sogenannte prädiktive Bedrohungsmodelle dienen dazu so unterschiedliche Phänomene wie Insider-Bedrohungen, Attacken von außen bis hin zu Infektionen mit verschiedenen Ransomware-Varianten sowie verdächtiges (von den definierten Grenzwerten abweichendes) Nutzerverhalten zu erkennen und zu analysieren.

Haben ein Hacker oder Insider sich Zugang zu einem Konto mit den zugehörigen Berechtigungen für beispielsweise besonders vertrauliche Daten verschafft, kann etwa eine Data-Loss-Prevention-Lösung den Angriff nicht aufhalten.

Um diese Daten zu schützen, braucht man zusätzliche Informationen. Man sollte wissen

  • Wer greift auf diese Daten zu?
  • Wer ist dazu berechtigt?
  • Wer aus dem Kreis dieser Berechtigten muss wahrscheinlich gar nicht mehr auf diese Daten zugreifen?
  • Wem (außerhalb der IT-Abteilung) „gehören“ die Daten? Wer ist der eigentliche Eigentümer der Daten?
  • Wo und wann beginnt ein anomales Benutzerverhalten?Je nach dem, welchen Grad von Vertraulichkeit bestimmte Daten haben, entscheidet man über die entsprechende Risikostufe. Handelt es sich etwa um öffentlich zugängliche und weniger sensible Daten, bei denen die Auswirkungen bei einem potenziellen Angriff eher gering wären, werden sie als weniger gefährdet eingestuft.

Security Insider definiert: „Es werden aber nicht alle ungewöhnlichen Verhaltensweisen gleich als gefährlich eingestuft. Jedes Verhalten wird zusätzlich auch im Bezug auf mögliche Auswirkungen bewertet. Wenn ein auffälliges Verhalten etwa weniger wichtige Ressourcen betrifft, erhält es eine niedrige Einstufung. Wenn es dagegen um sensiblere Daten geht, zum Beispiel Personally Identifiable Information (PII), dann erhält es eine höhere Einstufung.

Auf diese Weise können Security-Teams Prioritäten setzen, welchen Ereignissen sie nachgehen wollen, während das UBA-System automatisch die Zugriffsrechte einer Person anpasst, die ein ungewöhnliches Verhalten zeigt.“Mehr wissen mit MetadatenDas sind zum einen die Benutzer- und Gruppeninformationen (aus Active Directory, LDAP, NIS, SharePoint etc.) sowie die vergebenen Berechtigungen, damit ich weiß, wer auf bestimmte Daten und Informationen überhaupt zugreifen kann (und sollte).

Die Berechtigungen gekoppelt mit den tatsächlichen Dateiaktivitäten sagen bereits eine Menge aus. Sprich, welcher Benutzer wann wie auf welche Dateien und Daten zugegriffen hat. Und schließlich sollten Unternehmen und Behörden genau wissen, wo die Dateien gespeichert sind, die sensible Daten und kritische Informationen enthalten. Kombiniert man anschließend dieses Wissen mit den Grundlagen der Verhaltensanalyse erhält man ein sehr viel genaueres Bild dessen, was im Netzwerk vor sich geht.

Verdächtige Aktivitäten sind beispielsweise ungewöhnliche Spitzen (in E-Mails, beim Zugriff auf Dateien oder auch Zugriffe, die verweigert wurden), das Zugreifen auf Daten, die für einen Benutzer oder auch bestimmte Konten untypisch sind, mehrere offene Events bei Dateien, die höchstwahrscheinlich Zugangsdaten enthalten, ein ungewöhnlicher Zugriff auf sensible oder veraltete Daten, kritische GPOs sind verändert oder Rechte erweitert worden.

John Carlin, Assistant Attorney General for National Security, hatte in der Bloomberg-Talkshow Charlie Rose über Cyberspionage, die Verbreitung von Attacken, Insiderbedrohungen und Prävention gesprochen. Für ihn sind in den weitaus meisten Fällen Insiderbedrohungen sehr viel realer als die Wahrscheinlichkeit in die Fänge eines staatlich beauftragten Hackers zu geraten. Carlins Rat: „Sich ausgerechnet gegen diejenigen zu verteidigen, denen man eigentlich vertrauen sollte, ist eine der schwierigsten Herausforderungen überhaupt. Gleichzeitig sind Insiderbedrohungen etwas mit dem sich Privatwirtschaft und Industrie ernsthaft auseinandersetzen sollten. Das bedeutet im Umkehrschluss, Firmen müssen in der Lage sein, alle potenziellen Veränderungen im Nutzerverhalten zu überwachen, die gegebenenfalls auf einen Insider verweisen. Gleichzeitig sollten Unternehmen ihre Systeme so aufsetzen, dass eine einzige Person niemals auf sämtliche Ressourcen zugreifen kann …“.

David Lin von Varonis

David Lin von Varonis

Autor: David Lin vom Sicherheitsspezialisten Varonis.

 

 

Untersuchungen liefern Beweismaterial für Verhaftung internationaler Cyberkrimineller

Symantec, Anbieter für Cybersicherheit, hat Informationen zu einer zehn Jahre andauernden Untersuchung veröffentlicht: Die Forschungsarbeit trug zur Enttarnung einer internationalen Bande Cyberkrimineller bei.

Die umfangreichen von Symantec bereitgestellten Informationen leiteten eine erfolgreiche verdeckte Ermittlung des FBI ein und führten schließlich zur Festnahme dreier Krimineller in Rumänien. Die als „Bayrob“ bekannte Gruppe gilt als verantwortlich für den Diebstahl von bis zu 35 Millionen USD. Diese konnte „Bayrob“ mittels gefälschter Fahrzeugauktionen, Kreditkartenbetrug und unberechtigter Computerzugriffe von ihren Opfern erbeuten.

Symantec hat im Rahmen seiner Forschungsarbeit verschiedene Varianten der von „Bayrob“ entwickelten Malware aufgedeckt, sammelte hilfreiche Aufklärungsdaten und war Zeuge, wie sich die Gruppe vom einfachem Online-Betrug hin zu einem aus mehr als 300.000 Computern bestehenden Botnet für das Mining von Kryptowährung entwickelte. Mit der Zeit konnte das Forschungsteam von Symantec tiefe technische Einblicke in die Tätigkeiten und kriminellen Aktivitäten von „Bayrob“ wie zum Beispiel das Rekrutieren von Geldkurieren gewinnen.

Seit 2007 hat Symantec Informationen zu Infektionsvektoren, Schadprogrammen und Angriffsmethoden der Gruppe sowie zu den Opfern zusammengestellt. Diese Ermittlungen und entsprechende Gegenmaßnahmen trugen dazu bei, dass das FBI und die Behörden in Rumänien das notwendige Beweismaterial zusammentragen konnten. Dadurch konnten drei der wichtigsten Drahtzieher von „Bayrob“ festgenommen und an die USA ausgeliefert werden.

„Das Symantec Security Response Team ist verantwortlich für die Sammlung der Informationen, die letztlich zur Festnahme durch das FBI geführt haben. Es hat eine beispiellose Erfolgsquote, wenn es darum geht, Cyberkriminelle und ihre verdeckten Methoden aufzuspüren“, erklärt Michael Fey, President and Chief Operating Officer bei Symantec. „Wir gehen davon aus, dass unsere Erfolgsbilanz noch besser wird, nachdem nun Symantecs Gobal Threat Intelligence mit Blue Coat zusammengeführt wurde. Mit der Vereinheitlichung unserer Telemetrie-Netzwerke können wir täglich 500.000 neue Fälle aufdecken. Das hilft uns, Angreifern einen Schritt voraus zu sein und unsere Kunden zu schützen.“

Mehr Informationen zur Forschungsarbeit von Symantec zur Aufdeckung und Verfolgung von „Bayrob“ finden Sie auf dem Security Response-Blog.

 

Lieber Autoklau als Datendiebstahl

(Bildquelle: Thinkstock_iStock_Hiscox Studie_Digital Economy in Cyber-Gefahr)

(Bildquelle: Thinkstock_iStock_Hiscox Studie_Digital Economy in Cyber-Gefahr)

Die Angst vor finanziellen Verlusten durch gestohlene Daten ist größer als die Angst vor Einbruch und Diebstahl in den eigenen vier Wänden. Dies ist eine der wichtigen Erkenntnisse aus einer Befragung, die Sophos im September 2016 unter 1.250 Verbrauchern in den USA, Großbritannien und der DACH-Region (Deutschland, Österreich, Schweiz) durchführen ließ. Die Studie sollte unter anderem Aufschluss über die empfundene Bedrohungslage, die Wahrnehmung und Einschätzung der persönlichen Sicherheit sowie Kenntnis über Schadsoftware und mögliche und Schutzmaßnahmen geben.

Bemerkenswert ist die Tatsache, dass die Angst vor Hackern zwar groß, das Wissen über die unterschiedlichen Betrugsmaschen in der Cyberkriminalität aber immer noch gering ist. Die Ergebnisse der Studie liegen im internationalen Vergleich bei den gestellten Fragen nah beieinander.

Dennoch zeigen sich regionale Unterschiede: so erweist sich der deutschsprachige Raum als ängstlicher und fühlt sich schlechter geschützt als die englischsprachigen Regionen. Dies wird besonders deutlich bei der empfundenen Bedrohung durch Terror in der realen Welt. Während dieser Punkt in den USA und Großbritannien im Ranking der Befürchtungen auf Platz sechs rangiert, bezeichneten die Befragten in der DACH-Region diesen als ihre zweitgrößte Sorge. Im Gesamtergebnis der Studie landet die Angst vor Terror auf Platz vier.

 Regionen übergreifend digitale Gefahren klar vorn

Was die Gefahren- und Bedrohungslage in der Wahrnehmung der Verbraucher angeht, hat die digitale- der offline-Welt im internationalen Vergleich den Rang abgelaufen. An der Spitze rangieren drei digitale Bedrohungsszenarien: 63 Prozent aller Befragten fürchten sich am meisten vor finanziellen Verlusten durch Datendiebstahl.

61 Prozent ängstigt die Vorstellung, dass Hacker ihren Computer kapern und beispielsweise für die Versendung von Spam und Schadsoftware an persönliche Kontakte und Fremde missbrauchen könnten. Für 58 Prozent wäre es das schlimmste Szenario, wenn ihr Computer durch Cyberkriminelle lahmgelegt und nutzlos würde. Im Vergleich dazu sorgen sich 46 Prozent der Befragten, dass ihr Auto gestohlen werden könnte, 52 Prozent bezeichnen Einbruch und Diebstahl als ihre größte Befürchtung und für 56 Prozent ist die Terrorgefahr die gefühlt größte Bedrohung. Die geringsten Sorgen machen sich übrigens alle darüber, ob ihre Kinder über das Internet Zugang zu pornografischen Inhalten haben.

 DACH mit eigener Gefühlslage – weniger Sorge um Geldverlust

Während in den USA und Großbritannien die Sorge vor finanziellem Verlust durch gestohlene Daten klar oberste Priorität hat, ist es für Menschen in Deutschland, Österreich und der Schweiz hingegen die schlimmste Vorstellung, dass nach einer feindlichen Übernahme durch Cyberkriminelle von ihrem Rechner aus Spam und Schadsoftware an Freunde, Bekannte und auch Fremde versendet werden könnte. An zweiter Stelle steht, wie bereits beschrieben, die Angst vor Terror.

Die drittgrößte Bedrohung in der DACH-Region ist ein möglicher Hackerangriff, der den persönlichen Computer ein für allemal lahmlegt und zerstört. Auf Platz vier landet schließlich der Spitzenreiter der anderen Regionen, nämlich der mögliche finanzielle Schaden durch gestohlene Daten. Auch bei einem anderen Punkt erweisen sich die Befragten in DACH vergleichsweise entspannt: 31 Prozent äußerten besondere Besorgnis, dass ihr Nachwuchs im Internet pornografische Inhalte zu sehen bekommen könnte. In den USA und Großbritannien taten dies immerhin 43 beziehungsweise 42 Prozent der Befragten.

 Ransomware? Was ist Ransomware? DACH schwach.

Bei der Frage, welche der digitalen Bedrohungen als besonders gefährlich erachtet wird, erwiesen sich die Befragten in allen Regionen trotz der geäußerten Ängste zur Cyberkriminalität überraschend schlecht informiert. So gab mit insgesamt 47 Prozent immerhin fast die Hälfte aller befragten Verbraucher an, Phishing nicht zu kennen oder es als eine geringfügige Gefahr zu erachten – in völliger Unkenntnis der Tatsache also, dass Phishing die Angriffsmethode Nummer Eins ist, um persönliche Daten zu stehlen.

Auch hier zeigen sich wieder Abweichungen zur DACH-Region, wo immerhin 70 Prozent der Befragten Phishing kennen und es für eine Gefahr oder sogar große Gefahr halten. Das leider entgegengesetzte Bild zeigt sich beim Thema Ransomware: 31 Prozent der Befragten aller Regionen bezeichneten sich als unerfahren was die Erpressungssoftware betrifft oder hielten es für eine eher kleine Bedrohung. Für die DACH-Region behaupten dies sogar erschreckende 54 Prozent. Gut bekannt sind in allen Regionen dagegen Schadsoftwarearten wie Spam oder Spionagesoftware.

Was den Schutz gegen die einzelnen digitalen Bedrohungen angeht halten sich alle Regionen für durchschnittlich gut geschützt – in der DACH-Region sind hier die Werte um wenige Prozentpunkte geringer, die Unsicherheit scheint also etwas größer.

 Bedarf an Wissen

„Verbraucher sind durch Ransomware, Malware und Spyware besonders bedroht und die Lage wird immer ernster,” weiß Michael Veit, Sicherheitsexperte bei Sophos. „Anders als in einer Firma gibt es zuhause keine IT-Abteilung, die sich professionell um die Sicherheit der Daten kümmert und User aufklärt. Gleichzeitig entwickelt sich der Markt der Cyberkriminalität schnell wobei der Endverbraucher zunehmend in den Fokus rückt. Auch Privatanwender sollten noch mehr über Hacker-Maschen lernen und vor allem wissen, wie man sich effektiv schützt. Eine Möglichkeit hierfür ist beispielsweise das kostenlose Produkt Sophos Home, das Endverbrauchern Sicherheit auf dem Niveau unserer Firmenlösungen bietet.“

Die Studie

Sophos ließ im September 2016 insgesamt 1.250 Endverbraucher ab 18 Jahren befragen, davon jeweils 500 in den USA und Großbritannien sowie insgesamt 250 in Deutschland, Österreich und der Schweiz (DACH). Durchgeführt wurde die Studie von ReRez Research, einem unabhängigen Marktforschungsunternehmen aus Dallas, Texas.

Das Mirai-Botnetz oder die Rache des IoT

miraiAnfang 2016 haben die Sicherheitsexperten von Varonis mit Penetrationstester Ken Munro ein Gespräch über die Sicherheit von IoT-Geräten geführt: Funkgesteuerte Türklingeln oder Kaffeemaschinen und all die zahlreichen Haushaltsgeräte mit Internetanbindung. Seine Antwort auf die Frage nach grundlegenden Schutzmechanismen dieser Geräte: „Dass Hersteller auch nur einen Gedanken an Hacker-Angriffe verschwendet haben, halte ich für eine gewagte These.“ Privacy by Design ist ein Konzept, das vielen Herstellern von IoT-Geräten offensichtlich wenig geläufig ist.

Das von Munro gegründete IT-Sicherheitsunternehmen „Pen Test Partners“ veröffentlicht einen Blog, in dem Munro etliche Beispiele für den fahrlässigen Umgang von Herstellern mit dem Thema Privacy by Design schildert. Beispielsweise hat er sich einige Angriffsszenarien im Zusammenhang mit IP-Kameras einfallen lassen. Also genau die Art von IoT-Geräten, die jüngst beim Mirai-Angriff betroffen waren.

Wenn man die Methoden erst einmal einigermaßen durchschaut hat, kommt man auf eine Art „goldene Regel“ im Umgang mit IoT-Geräten im Consumer-Umfeld“. Will man seine IoT-Geräte nicht Hackern überlassen, muss man sich die Mühe machen, die Standardeinstellungen zu ändern.

Gelingt es einem Hacker zum Beispiel eine Kaffeemaschine mit Internetanbindung zu kontrollieren (weil ein leicht zu erratendes Standardpasswort nicht geändert worden ist), dann ist der Weg nicht weit den voreingestellten WLAN-Schlüssel herauszufinden, der in Klartext auf dem Gerät gespeichert ist. Ab dem Zeitpunkt wird die Sache schnell ernst.

Und dann kam Mirai

Bei solchen Angriffen muss der Hacker sich allerdings in Reichweite des WLAN-Signals befinden, die Verbindung des IoT-Geräts mit einem Tool wie aireplay-ng unterbrechen und anschließend eine neue Verbindung mit einem eigenen Zugangspunkt erzwingen. Es ist also realistischer, sich nahe liegende Szenarien und das gelegentlich vorkommende Wardriving Gedanken zu machen.

IoT-Geräte für Endverbraucher sind zwar nicht besonders gut geschützt. Bis vor kurzem schien das aber nur Schwachstellen zu betreffen, die lediglich einigen wenigen Sicherheitsexperten bekannt waren. Mit dem Mirai-Angriff hat sich das drastisch geändert. Das Internet der unsicheren Dinge wurde mit einem Mal außerhalb der Fachpresse diskutiert. Ausgerechnet im Wirtschaftsmagazin Forbes wurde schlüssig dargestellt wie Bots im Rahmen des Mirai-DDoS-Angriffs auf den DNS-Anbieter Dyn die Kontrolle über Kameras wie die von Munro getesteten übernommen haben.

Was die genauen Einzelheiten des Angriffs auf Dyn betrifft laufen die Analysen noch immer, aber eins ist klar: Es waren WLAN-Kameras im Spiel – möglicherweise bis zu 30.000 Stück.

Wie ist es den Hackern also gelungen, den oben erwähnten Angriff derart auszuweiten, dass sie weltweit Tausende WLAN-Kameras unter ihre Kontrolle bringen konnten?

Standardmäßig angreifbar

Die Angreifer haben herausgefunden, dass Endanwender wie auch IT-Experten die schlechte Angewohnheit teilen, Standardeinstellungen unverändert zu lassen. Wenn es IT-Sicherheitsexperten und -Administratoren schon nicht schaffen, Standardpasswörter wie „123456“ zu ändern, wie will man es dann von einem durchschnittlichen Benutzer verlangen?

Man hätte annehmen können, dass es am schwierigsten war die IP-Adressen der Kameras herauszufinden. Doch das stellte sich als relativ einfach heraus und zwar dank einer Standardeinstellung bei WLAN-Routern, die Anwender ohne IT-Hintergrund normalerweise nie ändern. Oder weiß jemand spontan, was UPnP beziehungsweise universelles Plug & Play ist? Eben. UPnP ist ein Protokoll, mit dessen Hilfe vernetzte Geräte automatisch einen Port des Routers öffnen, damit man per Remotezugriff mit einem Gerät kommunizieren kann.

Im Zusammenhang mit WLAN-Kameras ist UPnP schon eine sinnvolle Sache: Es kann schließlich sein, dass man mithilfe seines Browsers remote überwachen will, was in einem anderen Teil des Hauses vor sich geht, oder Administratoraufgaben über Telnet remote ausführen will. Für solche Fälle braucht man einen öffentlichen Port, dessen Daten vom Router an das Gerät weitergeleitet werden. UPnP übernimmt die Zuweisung.

UPnP ist praktisch, kann aber die Sicherheit beeinträchtigen, wenn man keine sicheren Administratorpasswörter für die Geräte festgelegt hat.

Die Hacker machten sich die verhängnisvolle Neigung der Anwender zunutze Standardeinstellungen beizubehalten. Konkret durchsuchten die Angreifer Zehntausende oder sogar Hunderttausende Router weltweit mithilfe der Brute-Force-Methode nach geöffneten Telnet-Ports, die vermutlich über UPnP zugewiesen worden waren.

So haben sie Zugriff auf die Shell bekommen, indem sie ein paar häufig verwendete Standardpasswörter wie „12345“, „admin“ usw. durchprobiert haben, bis es schließlich gelungen ist, sich anzumelden. Falls das nicht funktioniert, einfach weiter zum nächsten Router.

Hatten die Angreifer dann die Geräte, oftmals Funkkameras einer bestimmten Marke, unter ihre Kontrolle gebracht, wurde die Mirai-Software geladen. Die Kameras wurden damit zu Bots, die UDP-Pakete an Dyn übermittelt haben.

Jetzt das Richtige tun

Viele Kunden sind sich der UPnP-Funktionen ihres Routers nicht bewusst und UPnP ist tatsächlich aktiviert (unter Umständen sogar als Standardeinstellung des Anbieters, wie bei Linksys der Fall).

Will man vermeiden unwillentlich Teil des nächsten IoT-DDoS-Angriffs zu werden, hilft es die folgenden Schritte zu beherzigen:

  1. Wenn Sie Endanwender oder Inhaber eines kleinen Unternehmens sind, sollten Sie die UPnP-Funktion umgehend deaktivieren! Zur Veranschaulichung haben wir einen Screenshot der Verwaltungseinstellungen eines Linksys-Routers ausgewählt über die UPnP aktiviert bzw. deaktiviert werden kann.

Deaktivieren Sie UPnP.

  1. Ändern Sie außerdem das Administratorpasswort des Routers und den voreingestellten WLAN-Schlüssel. Wählen Sie dabei Passwörter mit einer möglichst hohen Entropie und mindestens acht Zeichen nach der „Correct Horse Battery Staple“ -Methode. Der voreingestellte Schlüssel sämtlicher Computer und aller Geräte, die bereits mit dem WLAN verbunden sind, sollte ebenfalls geändert werden.
  2. Nachdem UPnP deaktiviert ist, müssen Sie die jeweiligen Ports künftig manuell freigeben, wenn Sie neue Geräte hinzufügen. Zumindest, wenn Sie der Ansicht sind, dass der Remotezugriff unbedingt nötig ist.

Dazu öffnen Sie in der Router-Verwaltung die Seite für die Portweiterleitung und fügen einen Zuordnungseintrag hinzu. Weitere Einzelheiten finden Sie im Handbuch des jeweiligen Geräts (Kamera, Kaffeemaschine, Gefrierschrank usw.). Dieser Ansatz ist zwar aufwendiger, zwingt den Benutzer aber dazu, sich wirklich Gedanken über die Anbindung von IoT-Geräten zu machen.

Machen Sie sich mit der Portweiterleitungstabelle des Routers vertraut. Möglicherweise müssen Sie manuell Einträge hinzufügen. Denken Sie daran, sichere Passwörter für Geräte festzulegen, die von außen erreichbar sind!

  1. Ersetzen Sie die Administratorpasswörter sämtlicher IoT-Geräte, die bereits mit dem Netzwerk verbunden sind, durch längere und komplexere Zeichenfolgen! Wenn UPnP deaktiviert ist, ist es zwar nicht mehr möglich von außen auf ein Gerät zuzugreifen. Trotzdem besteht weiterhin das Risiko eines lokalen Angriffs, wie oben beschrieben.
  2. Laden Sie zu guter Letzt Nmap herunter und führen den Portscanner im WLAN aus. Sie erhalten dann einen Bericht, der zeigt welche Ports im WLAN offen sind. Danach sollte man entscheiden, ob die angezeigten Anwendungen oder Geräte tatsächlich Zugang zur Welt da draußen haben sollten.

Nmap benötigt dabei die öffentliche IP-Adresse des Routers, nicht die interne IP-Adresse, d. h. 198.x.x.1.Um die IP-Adresse des Netzwerks herauszufinden, geben Sie im Browser in die Google-Suchleiste „Was ist meine IP-Adresse“ ein.

Geben Sie die IP-Adresse aus den Google-Suchergebnissen in Nmap ein, um eine umfassende Prüfung durchzuführen.

Sicherheitslücken in Serie

„Schuld“ am Mirai-Botnetz sind praktisch alle Beteiligten: Anbieter, Öffentlichkeit und die Behörden.

Hersteller sind gehalten die Sicherheitsausstattung von IoT-Geräten zu verbessern, bevor sie in den Handel kommen. Munro schildert in seinem Blog derart viele grundlegende Authentifizierungs- und Passwortprobleme bei den getesteten Geräten, dass man fast den Eindruck gewinnt, sie seien darauf ausgelegt, gehackt zu werden.

Verschlüsselung und Signatur der herunterladbaren Firmware ist eine Möglichkeit, mit der Anbieter es Hackern erschweren, über eine Prüfung der Binärdateien für bestimmte Zeichenfolgen Exploits zu entwickeln. Zumindest sollten WLAN-Passwörter auf den Geräten nur verschlüsselt gespeichert werden.

Endanwender müssen ihre Einstellung zum Thema Sicherheit grundlegend überdenken. Man sollte keinesfalls davon ausgehen, dass die installierten IoT-Geräte, sich schon selbst um alles kümmern. Wenn Sie während der Installation nicht aufgefordert werden, das Administratorpasswort zu ändern, dann läuft etwas falsch. Geben Sie das Gerät besser zurück. Schließlich achtet man beim Kauf anderer elektronischer Geräte ja auch auf grundlegende Tests und Zertifikate.

Wie wäre es mit einer Zertifizierung für Datenschutz und Sicherheit?

Einige der Kameras, die im Zuge des Mirai-Angriffs gehackt wurden, hätten niemals zum Verkauf zugelassen werden dürfen. Derzeit gibt es im Bereich der Datensicherheit kein Gegenstück zu den FCC-Vorschriften für Elektro- und Elektronikgeräte.Vielleicht sollte es das aber. Oder die IoT-Branche muss sich zumindest um eigene Sicherheitsstandards kümmern und deren Einhaltung gewährleisten.

Hilfe, Cyberkriminelle unter dem Weihnachtsbaum!

Weihnachtsmann8Wenn die Temperaturen fallen und hoffentlich der erste Schnee die Straßen überzieht, beginnt die Zeit der hektischen Betriebsamkeit in den Einkaufsmeilen dieser Welt und den glühenden Servern bei Online-Händlern. Auch dieses Jahr sind vernetztes Spielzeug- und Technikgeschenke auf der Liste der beliebtesten Geschenke.

Vielen Verbrauchern ist aber nicht bekannt, dass diese Geräte Sicherheitsrisiken in sich bergen, sobald sie mit dem Internet oder anderen Devices verbunden sind. Viele der beliebtesten Technikprodukte – darunter Smartphones oder Wearables wie Fitness Tracker und Smartwatches – sind deshalb nicht nur besonders ansprechend, sondern potenziell gefährlich. Eine von Intel Security beauftragte Studie hat die gefährlichsten Geschenke identifiziert, die sich am leichtesten hacken lassen.

„Es ist wenig überraschend, dass vernetzte Geräte auf den Einkaufslisten für Weihnachten ganz weit oben stehen. Alarmierend jedoch ist die Tatsache, dass Verbraucher nicht bewusst ist, welche Sicherheitsrisiken sich hinter den modernen Geräten verbergen können,“ sagt Alexander Salvador, Online-Sicherheitsexperte bei Intel Security.

Ahnungslosigkeit bei vielen Verbrauchern

Der Studie zufolge planen knapp 60 Prozent der in Deutschland Befragten, ein internetfähiges Geschenk zu erwerben. Neben den Klassikern wie Smartphones oder Tablets stehen dieses Jahr auch Fitness Tracker, Smart TVs oder Streaming Sticks ganz oben auf der Liste. Dass damit Hackern Tür und Tor geöffnet wird, ist zwar manchen Verbrauchern bewusst, dennoch verpasst es die Mehrheit angemessene Sicherheitsvorkehrungen zu treffen. 45 Prozent der Befragten geben zu, nicht sicher zu sein, welche Schutzmaßnahmen eigentlich die richtigen sind.

„Verbraucher sind oft so begierig darauf, ihre neuen Geräte sofort in Betrieb zu nehmen und verpassen daher, sicherzustellen, dass ihr Gerät richtig abgesichert ist,“ erklärt Alexander Salvador weiter. „Cyberkriminelle können dadurch leichter Einfallstore finden, um an persönliche Nutzerdaten zu kommen, Malware zu installieren oder sogar Identitäten zu stehlen.“

Die „Most Hackable Gifts“ in diesem Jahr

  • Laptops und PCs: sind nach wie vor sehr beliebte Geschenke. Aber bösartige Applikationen nehmen Computer bevorzugt ins Visier und lassen so das Traumgeschenk schnell zum Alptraum werden. Durch E-Mail Anhänge, mit Malware verseuchte Seiten oder unsichere W-LAN-Verbindungen bieten sich Hackern viele Möglichkeiten, Zugang zu Computern zu erlangen.
  • Smartphones und Tablets stehen bei 62 Prozent der Befragten dieses Jahr ganz hoch im Kurs. Aber wie bei den Laptops und PCs eignen sich auch diese Geräte als hervorragende Türöffner für Cyberkriminelle, die auf persönliche oder finanzielle Daten aus sind.
  • Media Player und Streaming Sticks sind gerade der letzte Schrei unter Verbrauchern, wenn es um Film- und Fernsehgenuss geht. Da diese aber ebenfalls internetfähig sind, wirken mangelnde Updates wie eine virtuelle Einladung und können Einlass ins W-LAN Netz gewährleisten und persönliche Daten auslesen.
  • Smartwatches und Fitness Tracker könnten als sogenannte „Gateway“-Geräte missbraucht werden, um Zugriff auf Mobilgeräte der Nutzer zu erhalten, da diese oft per Bluetooth mit Smartphones oder Laptops verbunden sind. Hacker können diese Verbindung missbrauchen, persönliche Daten oder Identitäten stehlen, gezielte Spear-Phishing-Angriffe starten und Schadsoftware installieren.
  • Drohnen sind in Sachen Beliebtheit zwar noch weit hinter den oben genannten, aber dennoch auf dem Vormarsch und dürften in den nächsten Jahren deutlich zulegen. Doch auch hier besteht Potenzial für IT-Sicherheitsangriffe. Das Risiko liegt darin, wie Daten mit dem Internet geteilt werden und Geräte interagieren. Ohne ausreichenden Schutz können Drohnen in fremde Kontrolle geraten und Schäden anrichten.

Aber was kann man als Verbraucher tun, um sich zu schützen? Hier hat Sicherheitsexperte Salvador einige Tipps bereit: „Der Großteil aller Online-Gefahren lässt sich mit der Durchführung regelmäßiger Updates abwehren. Außerdem sollten Sie Geräte nicht mit Standard-Passwörtern absichern und zusätzlich, wenn möglich, auf Multi-Faktor-Authentifizierung zurückgreifen, da diese mehr Sicherheit bietet als das Passwort alleine. Wenn Sie dann noch mit einem gesunden Misstrauen an E-Mails und Links herangehen, die Sie geschickt bekommen, ist der Großteil aller Gefahren abgewendet.“

Über die Umfrage

Im Auftrag von Intel Security befragte OnePoll im September 2016 insgesamt über 9.800 Erwachsene, davon 1.000 in Deutschland, die täglich vernetzte Geräte verwenden.

Cyberkriminalität: So schützen Sie sich vor gefälschten Apps

In Apples App-Store sind hunderte gefälschte Apps aufgetaucht, die als angebliche Originale bekannter Marken angepriesen wurden, berichtet die „Süddeutsche“. Daher nimmt auch die Gefahr durch bösartige Apps zu: Experten zufolge wächst die Zahl der für Smartphones entwickelten Virenprogramme dieses Jahr auf 20 Millionen an. … mehr

 

„Smarte“ Geräte sind Geldmaschinen für Hacker

Cyber-Kriminelle haben einen neuen Weg gefunden, wie sich die zunehmende Vernetzung im Internet of Things (IoT) in eine gewinnbringende Geldmaschine verwandeln lässt. Hierfür hacken sie sich einfach in die zumeist nur schlecht gesicherten „smarten“ Geräte wie Kühlschränke oder Toaster und rekrutieren diese für ihre eigenen Botnetze, ist auf „Pressetext“ zu lesen. … mehr

 

Lahmgelegtes Internet: Der nächste Hacker-Angriff kommt schon bald

Wer es schafft, das halbe amerikanische Internet lahmzulegen, der hat schon einiges erreicht. So wie die Hacker am Freitag: Twitter, Paypal, Netflix, Spotify, Amazon, die „New York Times“ und viele Seiten mehr – all diese waren für viele Amerikaner nicht mehr erreichbar, berichtet die „FAZ“. … mehr

 

NIFIS: Nicht alles gehört in die Cloud

Firmen und Verbraucher sollten Cloud-Diensten nicht alle ihre Daten pauschal anvertrauen, empfiehlt die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS). Als Anlass für die aktuelle Warnung nennt der NIFIS-Vorsitzende Rechtsanwalt Dr. Thomas Lapp das neue Apple-Betriebssystem MacOS Sierra, das ausnahmslos alle auf dem Desktop abgelegten Daten automatisch in Apples iCloud hochlädt, und die neue Niederlassung des Cloud-Dienstes Dropbox in Berlin, der damit wirbt, dass seine Cloud damit dem deutschen Datenschutzrecht genügt.

Dropbox hat erst vor wenigen Jahren einen der größten Datendiebstähle in der Geschichte verkraften müssen. Hacker hatten 2012 mehr als 68 Millionen Datensätze von Dropbox-Kunden erbeutet. Wer heute wichtige Datenbestände bei Dropbox ablegt, sollte diese Historie zumindest kennen“, sagt RA Dr. Thomas Lapp. Der Jurist rät Unternehmen für das Speichern von Daten in der Cloud nach Möglichkeit ausschließlich Dienste in Anspruch zu nehmen, die der Deutsche Anwaltverein (DAV) auch für Anwälte empfiehlt. Diese zählen ebenso wie Ärzte oder Wirtschaftsprüfer zu den Berufsgeheimnisträgern. Diese Berufsgruppen unterliegen nach § 203 Strafgesetzbuch einer besonderen Geheimhaltungspflicht.

Vom pauschalen iCloud-Hochladen sämtlicher auf dem Desktop abgelegter Daten durch Apples neues Betriebssystem MacOS Sierra rät RA Dr. Thomas Lapp ab. „Jedes Unternehmen, das auf dem Desktop auch nur temporär personenbezogene Daten ablegt und diese damit der iCloud anvertraut, verstößt dadurch automatisch gegen den deutschen Datenschutz, weil Apple die Daten bekanntermaßen auf Servern in den USA speichert“, sagt der Jurist.

NIFIS Nationale Initiative für Informations- und Internet-Sicherheit e.V. ist eine neutrale Selbsthilfeorganisation, die die deutsche Wirtschaft im Kampf gegen die täglich wachsenden Bedrohungen aus dem Netz technisch, organisatorisch und rechtlich unterstützen möchte. Vornehmliches Ziel der Arbeit der unter dem Dach der NIFIS organisierten Gremien ist es, Vertraulichkeit, Verfügbarkeit und Integrität sowie den sicheren Transport von Daten in digitalen Netzwerken sicherzustellen. Dazu entwickelt die NIFIS seit ihrer Gründung im Jahr 2005 unterschied¬liche Konzepte und setzt diese in pragmatische Lösungen um. Zu den Schwerpunkten der Tätigkeit zählen die aktive Kommunikation und die Bereitstellung von Handlungsempfehlungen und Dienstleistungen.