Schlagwort-Archiv: Datenschutz

Auf den Spuren der Hacker: Wie werden gestohlene Passwörter genutzt?

Trotz ausgereifter Sicherheitstechnologien bleiben Anwender für Unternehmen eine empfindliche Schwachstelle, insbesondere deshalb, weil Cyberkriminelle ihre Social Engineering-Angriffe immer weiter verfeinern.

Vor allem Phishing zählt zu den Angriffsvektoren, die Unternehmen gegenwärtig Kopfschmerzen bereiten. So werden E-Mails im Namen von Payment-Services, Shopanbietern oder E-Mailservicehosts von den kriminellen Hintermännern täuschend echt nachgeahmt, mit dem Ziel, durch das Abfischen von Logindaten weitere sensible, persönliche Daten zu erbeuten.

Doch wie sehen die Konsequenzen aus, wenn Nutzerdaten von Mitarbeitern in die falschen Hände geraten und welche Auswirkungen hätte dies auf das Unternehmen? Das Forschungsteam von Bitglass hat versucht, mithilfe eines Experiments unter dem Namen „Cumulus“ den Verbreitungswegen illegal erbeuteter Daten auf die Spur zu kommen.

Das Experiment: Ein Bankangestellter als Lockvogel

Um diese Fragen zu beantworten, nutzte das Bitglass Forschungsteam einen Lockvogel: Es kreierte die digitale Identität eines Bankangestellten einer fiktiven Bank. Dazu wurde ein funktionierendes Banking-Portal eingerichtet sowie ein Google Drive-Account angelegt, in dem sowohl persönliche Daten wie Kreditkartennummern als auch Dokumente aus dem Arbeitsalltag deponiert wurden.

Die Google-Anmeldedaten des Lockvogel-Accounts wurden vom Forschungsteam schließlich im Darknet veröffentlicht. Alle Dateien in dem Google Drive-Ordner wurden zuvor jedoch mit einem digitalen Wasserzeichen versehen, sodass das Forschungsteam sämtliche Aktivitäten der „Datendiebe“, vom Login bis zum Dateidownload, verfolgen konnte.

In den ersten 24 Stunden nach dem Posting im Darknet hatten mehr als 1400 Besucher aus über 30 Ländern sich die scheinbar gestohlenen Nutzerdaten näher angesehen, die ersten Dateidownloads aus dem Google Drive-Ordner erfolgten binnen 48 Stunden.

Datendiebe gehen selektiv vor

Unter den Besuchern war eindeutig eine gezielte Vorgehensweise erkennbar: So wurden Dateien, die augenscheinlich sensible Finanzinformationen enthielten, am schnellsten geöffnet. Die Aktivitätsprotokolle, die das Bitglass-Team aus der API-Integration der Google-Anwendung erhielt, zeigten zudem, dass in vielen Fällen unmittelbar nach Zugriff auf das Drive-Laufwerk auch der Dateidownload vorgenommen wurde.

Dabei zeigten sich unterschiedliche Vorgehensweisen: Während manche scheinbar wahllos sämtliche Dateien herunterluden – darunter beispielsweise auch die Speisepläne der Kantine – konzentrierte sich ein Anteil von 12 Prozent ausschließlich auf die sensibelsten Inhalte, insbesondere Dokumente mit Kreditkartendaten und Unternehmensdokumente mit Bankkundeninformationen.

Eine Weitergabe oder Nutzung der Kreditkartendaten ist während des Experiments jedoch nicht aufgetreten. Es besteht dennoch keine Gewissheit, dass Hacker diese Daten in Zukunft nicht weiterverwenden werden.

Ein fataler Nutzerfehler: Bequemlichkeit bei der Passwortvergabe

Wie viele Internetuser benutzte auch der fiktive Bankangestellte dasselbe Passwort für unterschiedliche Webservices. Eine Tatsache, der sich Cyberkriminelle bewusst sind: Nachdem die Hacker mit den durchgesickerten Anmeldeinformationen erfolgreich auf das Google Drive-Laufwerk zugegriffen hatten, bemerkte das Forschungsteam, dass die meisten von ihnen anschließend versuchten, dieselben Anmeldeinformationen auch auf anderen Websites anzuwenden.

In dieser Hinsicht waren die Hacker äußerst unerbittlich: 36 Prozent der angelockten Cyberkriminellen stürzten sich auf das private Bankkonto des Opfers, auf das sie mit den Anmeldedaten einfach zugreifen konnten. Dabei beobachteten die Bitglass-Forscher auch mehrere wiederkehrende Logins derselben kriminellen User, einige innerhalb von Stunden, andere wiederum noch Wochen nach dem ersten Login. Ebenso wurde es häufig beobachtet, dass die Hacker die Passwörter änderten, um den Nutzer von seinen Accounts auszusperren.

Hacker wahren professionell ihre Anonymität

Bei einigen Zugriffen auf das Banking-Portal konnte ermittelt werden, dass die Cyberkriminellen aus den US-Bundesstaaten Wisconsin und Kalifornien, sowie aus den Ländern Österreich, den Niederlanden, den Philippinen sowie der Türkei kamen. Die deutliche Mehrheit jedoch – 68 Prozent – nutzten sowohl für den Zugriff auf das Banking-Portal als auch das Google Drive-Laufwerk den Tor-Browser, um ihre IP-Adressen zu verschleiern.

Ein Hacker der Dark Web-Community ermutigte die Mitglieder sogar, einen mit Kryptowährung bezahlten VPN-Dienst in Verbindung mit Tor zu benutzen, um das Risiko einer Strafverfolgung nach dem US-Computerbetrugs- und Missbrauchsgesetz zu minimieren. Ein deutliches Indiz für die zunehmende Professionalisierung und Organisation unter den Cyberkriminellen.

Sicherheit in der Cloud erfordert einen mehrstufigen Ansatz

Wie das Experiment zeigte, sind sowohl Unternehmens- als auch persönliche Daten eine durchaus beliebte Ware, für die sich stets interessierte Abnehmer finden. Um ihre Daten wirksam zu schützen und sich nicht ausschließlich auf das Sicherheitsbewusstsein ihrer Mitarbeiter verlassen zu müssen, sollten Unternehmen auf mehreren Ebenen Kontrollmechanismen etablieren, die dem Verlust sensibler Daten vorbeugen können.

Für öffentliche Cloud-Anwendungen wie Google Drive ist die Möglichkeit, den Zugriff kontextabhängig beschränken oder verhindern zu können, der Schlüssel zum Schutz sensibler Daten.

In dem Bankbeispiel hätte die IT-Abteilung eine Cloud Access Security Broker-Lösung (CASB) nutzen können, um verdächtige Anmeldeversuche zu identifizieren, das Herunterladen von Kundendaten aus der Cloud zu verhindern oder den Upload sensibler Daten in die Cloud zu blockieren. IT-Administratoren werden außerdem unmittelbar auf ungewöhnliche Aktivitäten – wie die im Google-Laufwerk des Bankmitarbeiters – aufmerksam gemacht, insbesondere wenn mehrere Anmeldungen von entfernten Standorten kommen, und können sofort Gegenmaßnahmen einleiten.

Die im Experiment verwendete Wasserzeichentechnologie kann auch einen Einblick in den verdächtigen Umgang mit Daten aus Cloud-Anwendungen geben. Kombiniert mit maschinellen Lerntechniken, um das Nutzerverhalten zu erfassen und Abweichungen zu erkennen, können verdächtige Zugriffe umgehend aufgespürt werden – selbst, wenn sie menschlichen IT-Administratoren wie eine „Nadel im Heuhaufen“ erscheinen mögen.

Schließlich hätten die im Experiment erfassten erfolgreichen Zugriffe verhindert werden können, wenn die Wiederverwendung von Passwörtern untersagt und fortschrittliche Authentifizierungsmethoden genutzt worden wären. Eine integrierte Identitätsmanagementlösung mit Unterstützung für Single Sign-On, Multi-Faktor-Authentifizierung, sowie Einmal-Passwörtern ist dafür unerlässlich.

Bei verdächtigen Anmeldungen und Aktivitäten beispielsweise wendet diese stets eine Multi-Faktor-Authentifizierung an. Durch die Anwendung dieses mehrstufigen Ansatzes können Unternehmen schließlich nicht nur ihre sensiblen Daten schützen, sondern darüber hinaus ihren Mitarbeitern den Komfort, den die Arbeit mit Cloudanwendungen bietet, weiterhin bieten.

Michael Scheffler ist Regional Director Central and Eastern Europe bei Bitglass.

Michael Scheffler ist Regional Director Central and Eastern Europe bei Bitglass.

Autor: Michael Scheffler ist Regional Director Central and Eastern Europe bei Bitglass.

 

Trotz modernster Technologien bleibt ein ernstes Sicherheitsrisiko: Der Mensch!

WP_001874Vergangenem nachzutrauern, ist selten zielführend. Dennoch: Was waren das noch für Zeiten für die IT und deren Nutzer, als E-Mail-Spam wohl immens nervte, aber in der Regel wenig Schaden anrichtete. Sieht man einmal von der erzwungenen Beschäftigung der Betroffenen ab, den Müll auszusortieren.

Heutzutage fahren Kriminelle ungleich härtere Geschütze auf, um Angriffe per E-Mail zu führen und die Adressaten in die Falle tappen zu lassen. Nur allzu oft sind die Phishing-Kampagnen derart clever, dass neben aller selbstverständlichen Abwehrtechnologie, die eine letzte Verteidigungslinie mitunter die wichtigste ist: Die menschliche Firewall.

Denn oft ist die Lösegeldforderung nur einen bösartigen Klick entfernt. Mitarbeiterschulungen und -trainings sollten daher unbedingt regelmäßiger Bestandteil einer Sicherheitsstrategie der Unternehmen sein, damit die Kollegen und Kolleginnen lernen, Phishing-Versuche zu erkennen und entsprechend sensibel damit umzugehen.

Als erstes stellt sich die Frage, wovor Nutzer auf der Hut sein müssen, wenn es um Phishing-E-Mails geht. Denn die Kriminellen haben nicht nur „die eine“ Methode in petto. Ihre Kreativität kennt kaum Grenzen: Allein im vergangenen Juni blockierte Barracuda weltweit über 1,7 Millionen Phishing-E-Mails.

Beispiele aus dem Alltag

Die folgenden Beispiele tatsächlich stattgefundener Phishing-Versuche verdeutlichen, wie vielfältig, komplex und letzten Endes clever Kriminelle vorgehen, um über das immer noch beliebteste Einfallstor E-Mail* an ihr Ziel zu gelangen.

  • Geldbetrügereien versprechen dem potenziellen Opfer einen attraktiven Geldbetrag.
    So können Geldbetrügereien aussehen (Bildquelle: Barracuda Networks)

    So können Geldbetrügereien aussehen (Bildquelle: Barracuda Networks)

    Antwortet der E-Mail-Empfänger, verlangen die Kriminellen in der Regel eine kleinere Summe und versprechen im Gegenzug eine größere Summe zurück – was natürlich nie passiert. Das Lockmittel „Geld“ dient aber häufig auch dazu, unternehmenskritische Informationen abzugreifen, beziehungsweise, einen Computer mit Malware zu infizieren.

  •  Beim Informationsbetrug versuchen die Kriminellen, möglichst viele relevante Informationen vom E-Mail-Nutzer abzufischen. In diesem Beispiel verschickten die Angreifer eine gefälschte Bankmitteilung, deren vermeintliche Autorität den Adressaten in Sicherheit wiegen und reagieren lassen soll. Klickt der Nutzer auf den Link, wird er aufgefordert, seine Zugangsdaten – Benutzernamen und Passwort – einzugeben, und schon ist es um die Sicherheit geschehen.
  •  Eine weitere, häufig praktizierte Methode des Phishings ist die Verbreitung von Malware durch Viren, Würmer, Bots, Ransomware oder Password Stealer-Malware. Ziel solcher E-Mails ist es, den Adressaten dazu zu bewegen, entweder einen Anhang zu öffnen (wie im Beispiel gezeigt) oder auf einen schadhaften Link zu klicken. Dies wollen Cyberkriminelle erreichen, indem sie eine dringende Angelegenheit vorgeben, die es sofort zu erledigen gilt, und somit Druck aufbauen. Damit die Malware funktioniert, versuchen die Angreifer das Opfer dahingehend zu manipulieren, dass es die Software installiert.
  •  Eigentlich sollte es sich herumgesprochen haben, Anhänge von Unbekannten Absendern oder mit exotisch anmutenden Dateiformatendungen nicht zu öffnen. Damit kalkulieren Cyberkriminelle und minimieren ihr Risiko entdeckt zu werden, mittels Anhängen mit mehreren Dateierweiterungen. Bei dieser Methode versuchen die Angreifer, ihre potenziellen Opfer zu täuschen, indem sie E-Mail-Anhänge mit einem vertrauten Dateityp verschicken. Dahinter lauert dann das Böse.

 Gefährliche Dateien

In diesem realen Versuch verwendeten die Angreifer die Dateierweiterung „PDF.zip“. Hier sollten sofort alle Alarmsirenen schrillen, da es sich um zwei verschiedene Dateitypen handelt. Leider wird die drohende Gefahr aufgrund des allseits bekannten .zip-Dateiformats nur allzu gerne übersehen

  • Nicht alle Bedrohungen kommen in Form von E-Mail-Anhängen daher, ebenso misstrauisch sollten Empfänger sogenannte getarnte Links behandeln. Der Link selbst wirkt erst einmal nicht sonderlich verdächtig. Allerdings ist er nicht das, was er vorgibt zu sein. Dahinter verbirgt sich natürlich eine bösartige URL, die es dann in sich hat. Solche Art Links werden nicht nur zur Verbreitung von Malware verwendet, sondern leiten Nutzer zu Webseiten, die Diebe explizit eingerichtet haben, um Anmeldeinformationen oder andere persönliche Informationen abzugreifen.
  •  Während Phishing gewöhnlich auf Massenreichweite abzielt, nehmen Spear Phishing-Botschaften speziell Einzelpersonen oder einzelne Unternehmen ins Visier. Diese Art des personalisierten Angriffs gibt es in den verschiedensten Varianten, etwa als gefälschte E-Mail von Banken, Bezahl- oder Zustelldiensten und sogar vom eigenen Arbeitgeber. Die Absicht ist stets die gleiche: Die Opfer sollen Geldbeträge überweisen oder sensible Daten an Kriminelle weitergeben, die sich als Chef, Kollege oder vertrauenswürdiger Kunde ausgeben.
  •  In diesem Beispiel haben sich die Kriminellen die Zeit genommen, eine trügerische Domain zu registrieren, die den Namen eines tatsächlich existierenden Unternehmens enthält. Wer jedoch aufmerksam hinschaut, wird den falsch geschriebenen Unternehmensnamen im Link bemerken (Netfliix), und die Alarmglocken sollten läuten. Diese Methode des „Typosquattings“ (engl. squatter = Hausbesetzer, übertragen: Tippfehlerdomain, Domaingrabbing) beruht darauf, dass eine Person die Webadresse versehentlich falsch eintippt und dann auf eine alternative Webseite geführt wird, die dem „Typosquatter“ gehört. Diese Seiten können dann ein Konkurrenzangebot, unpassende Werbung oder sonstige unerwünschte Inhalte enthalten.

Die gezeigten Beispiele sind nur eine kleine Auswahl der vielen Varianten von Phishing-Betrug, die Kriminelle jeden Tag zigtausendfach versenden. Eine E-Mail-Sicherheitslösung, die Sandboxing sowie einen erweiterten Schutz vor Bedrohungen bietet und Malware blockiert– und zwar noch bevor das kriminelle Anschreiben den E-Mail-Server des Unternehmens erreicht, ist ein „Muss“.

Zur Abwehr von E-Mails mit bösartigen Links hilft zudem ein Anti-Phishing-Schutz, der eine Link Protection-Funktion enthält. Diese sucht nach URLs zu Webseiten, die bösartigen Code enthalten, und blockiert Links zu gefährdeten Webseiten, selbst wenn diese sich im Inhalt eines Dokuments verstecken.

Fälschliche Links (Bildquelle: barracuda Networks)

Fälschliche Links (Bildquelle: barracuda Networks)

Ein Tipp: Indem lediglich der Mauszeiger über den Link bewegt wird – ohne diesen anzuklicken – offenbart sich die tatsächliche, kriminelle Absicht dahinter.

Allen erforderlichen Sicherheitstechnologien voran sollte jedoch immer eine fundierte Aufklärung der Mitarbeiter und Mitarbeiterinnen stehen. Diese müssen regelmäßig über aktuelle Gefahren und Phishing-Methoden geschult und anschließend getestet werden, um ihr Sicherheitsbewusstsein für verschiedene gezielte Angriffe zu erhöhen. Das simulierte Angriffstraining ist hier bei Weitem die effektivste Form solcher Schulungen. Funktioniert die menschliche Firewall, ist ein wesentlicher Schritt getan, es Cyberkriminellen – zumindest – deutlich schwerer zu machen.

Autor: Klaus Gheri, Vice President and General Manager Network Security, Barracuda Networks  

 

Ransomware der Dinge: Das IoT-Gerät als Geisel

swirl-optical-illusion-300x203Die weltweite Vernetzung schreitet kontinuierlich voran, allerdings schaffen die wechselseitigen Abhängigkeiten des digitalen Zeitalters auch eine neue Angriffsfläche für Cyberkriminelle. Leider verzeichneten die letzten Jahre unrühmliche Meilensteile in der Entwicklungsgeschichte des Internet of Things: So war Ende 2016 das erste Mal ein groß angelegter Cyber-Angriff in Form der Mirai Malware erfolgreich, der hunderttausende IoT-Geräte wie Router, Kameras, Drucker und Smart-TVs für den Aufbau eines Botnets nutzte.

Dieses sorgte weltweit für DDoS-Attacken, unter anderem auf Unternehmen wie Twitter, Amazon oder die Deutsche Telekom. Wie groß die Sicherheitslücken im IoT sind, wurde auch auf der Def Con Hacking Conference in Las Vegas gezeigt, indem Sicherheitsforscher vorführten, wie ein IoT-fähiges Thermostat mit einem gezielten Ransomware-Angriff gehackt und gesperrt werden kann.

Zunächst ist es wichtig, zwischen traditioneller Ransomware, die in der Regel auf PCs und Server abzielt, und Attacken auf IoT-Geräte zu unterscheiden. Klassische Ransomware infiziert den Zielcomputer und verschlüsselt die darauf befindlichen Daten, um für deren Entschlüsselung anschließend ein Lösegeld zu erpressen.

Zwar ist es hier möglich, mit einer Datensicherung die betroffenen Daten wiederherzustellen, doch aufgrund mangelhafter Backups sehen sich einige Opfer gezwungen, der Lösegeldforderung nachzugeben. So bleibt diese Methode für Angreifer weiterhin ein profitables Geschäft, wie auch die massiven Ransomware-Wellen von WannaCry und Petya eindrucksvoll unter Beweis gestellt haben. Mit dem geringen Sicherheitsniveau von IoT-Geräten ist daher in den kommenden Jahren auch mit darauf zugeschnittenen Ransomware-Angriffen zu rechnen.

Ziel der IoT-Ransomware: Geiselnahme des Geräts

Datendiebstahl lohnt sich bei IoT-Geräten nicht. Auf ihnen befinden sich in der Regel kaum beziehungsweise keinerlei sensible Daten. Die Strategie der Angreifer konzentriert sich daher darauf, den Nutzerzugriff auf das Gerät zu sperren und das Endgerät sozusagen in Geiselhaft zu nehmen.

Auf den ersten Blick mag dies eher wie eine Unannehmlichkeit erscheinen. Doch bereits ein relativ harmloses Beispiel wie der Hack auf das Computersystem eines Vier-Sterne-Hotels in Kärnten, der 2017 Schlagzeilen machte, zeigt, welche weitreichenden Konsequenzen ein derartiger Angriff nach sich ziehen kann: Kriminelle manipulierten das Schließsystem der Zimmer, infolgedessen sie für die Gäste nicht mehr betretbar waren.

Gleich dreimal in Folge führten die Angreifer erfolgreich diese Attacke gegen Forderung eines Lösegelds aus. Gleiches gilt für den Def Con-Hack des gesperrten Thermostats: Überträgt man dieses Beispiel auf Thermostate zur Steuerung von Kühlaggregaten in einem Lebensmittellager oder auf eine Rechenzentrumsklimaanlage, wird die neue Bedrohungslage von IoT-Ransomware deutlich.

Die zweifelhafte Sicherheitshistorie des Internet of Things

Leider ist eine Vielzahl der derzeit in Betrieb befindlichen IoT-Geräte extrem anfällig für IoT-Ransomware-Angriffe, denn im Zuge der IoT-Popularitätswelle haben viele Hersteller in den letzten Jahren Millionen von IoT-Geräten so schnell wie möglich entwickelt und verkauft, wobei die Gerätesicherheit auf der Strecke blieb. Infolgedessen verfügen die meisten IoT-Geräte heutzutage über Standardberechtigungen, verwenden unsichere Konfigurationen und Protokolle und sind notorisch schwer zu aktualisieren, was sie überaus anfällig für Kompromittierungsversuche und damit zu einem lukrativen Ziel für Cyberkriminelle macht.

Erschwerend kommt hinzu, dass das Auftreten von Low-Level-Protocol-Hacks wie KRACK (Key Reinstallation Attack) Angreifern neue Möglichkeiten bietet, die IoT-Infrastruktur zu umgehen und Geräte durch die Einspeisung eines anderen Codes zu manipulieren. Dies hat besonders schwerwiegende Folgen, wenn die Geräte Steuerbefehle von einer Cloud-Anwendung synchronisieren oder empfangen müssen.

 Drei Punkte zur Bewertung der IoT-Gerätesicherheit

Um sichere Betriebsabläufe gewährleisten zu können, ist beim Einsatz von IoT-Geräten eine umfassende Bewertung der Gerätesicherheit aus verschiedenen Blickwinkeln unabdingbar. Die Evaluierung sollte stets die folgenden drei Bereiche abdecken:

Hardware: Die physische Sicherheit sollte bei der Bewertung eines neuen Geräts immer eine wichtige Rolle spielen. Mit physischen Schaltern kann das Gerät manipulationssicher gemacht werden, indem dafür gesorgt wird, dass einzelne Gerätekomponenten nicht ohne Erlaubnis angesprochen und dekodiert werden können. Beispielsweise können mit einer Stummschalttaste Mikrofone und Audioempfänger sämtlicher Geräte deaktiviert werden.

  • Software: Auch bei IoT-Geräten gilt: Die Software sollte stets auf dem neuesten Stand sein. Bei der Auswahl eines Geräteherstellers muss daher darauf geachtet werden, dass dieser seine Software regelmäßig aktualisiert und patcht.
  • Netzwerk: Der Datenaustausch zwischen IoT-Geräten, Backend-Management- oder Speicherlösungen sollte ausschließlich über sichere Webprotokolle wie HTTPS erfolgen und der Zugriff ausschließlich über mehrstufige Authentifizierungsmethoden. Darüber hinaus ist darauf zu achten, dass alle standardmäßigen Anmeldeinformationen, die mit dem Gerät mitgeliefert wurden, umgehend in starke alphanumerische Zeichenfolgen abgeändert werden.

Die Umsetzung dieser grundlegenden Sicherheitsprinzipien trägt wesentlich dazu bei, sich gegen viele der aufkommenden Bedrohungen wie die neue Art von IoT-Ransomware-Angriffen zu verteidigen. Wenn die IoT-Welt jedoch wirklich sicher werden soll, ist es an der Zeit, sie wie jedes andere IT-System zu behandeln und sicherzustellen, dass ihr Schutz ebenso robust, effektiv und zukunftssicher ist.

Autor: Christoph M. Kumpa ist Director DACH & EE bei Digital Guardian. Digital Guardian bietet eine bedrohungserkennende Datensicherungsplattform, die speziell entwickelt wurde, um Datendiebstahl sowohl durch interne als auch durch externe Angriffe zu verhindern. Die Digital Guardian-Plattform kann für das gesamte Unternehmensnetzwerk, traditionelle und mobile Endgeräte sowie Cloudanwendungen eingesetzt werden.

Das Gesicht als Barcode: Wie Face ID Sicherheit bietet

Bildquelle: Fraunhofer-Institut für System- und Innovationsforschung ISI, istockphoto /@Jenny Horne

Bildquelle: Fraunhofer-Institut für System- und Innovationsforschung ISI, istockphoto /@Jenny Horne

Smartphone-Hersteller wie Apple setzen bereits auf die Nutzeridentifizierung via Gesichtserkennung. Diese auf dem iPhone X verwendete Gesichtserkennungsmethode nennt sich Face ID und ersetzt auf dem Gerät Touch ID. Face ID entwickelt sich zunehmend zu einem Differenzierungsmerkmal für Unternehmen, die ihren Kunden ein komfortables, mobiles Benutzererlebnis bieten möchten. Vor wenigen Monaten berichteten die Medien darüber, dass sich Face ID angeblich mit einer Maske überlisten lässt. Eignet sich diese Authentifizierungsmethode dann überhaupt für sicherheitskritische Anwendungen wie Banken-Apps?

Balanceakt zwischen Kundenerlebnis und Sicherheit

Technologische Neuerungen sind immer ein Balanceakt zwischen Kundenerlebnis und Sicherheit. Die Lösung muss sicher sein, aber die Methoden dürfen den Nutzer nicht im Komfort einschränken. Der Vorteil biometrischer Authentifizierungstechnologien wie Face ID ist die höhere Akzeptanz beim Anwender im Vergleich zu herkömmlichen Mechanismen wie PIN oder Passwort – Sicherheitsfeatures, die auch einmal vergessen werden können.

Obwohl sich die Gesichtserkennungstechnologie in die richtige Richtung entwickelt, haben viele noch Bedenken, ob jemand „ihr Gesicht“ stehlen kann. Sicherlich sind diese Vorbehalte nicht ganz unbegründet, sie lassen sich aber schnell ausräumen, wenn man versteht, wie Gesichtserkennung funktioniert.

Der große Vorteil der Face-ID-Technologie

Facial Recognition bietet ein hohes Maß an Sicherheit, denn die Technologie ist in der Lage, zwischen dem Bild eines menschlichen Gesichts, zum Beispiel einem Foto, und der Realität zu unterscheiden. Diese Fähigkeit wird als Liveness Detection bezeichnet. Beim iPhone X kommt eine 3D-Kamera zum Einsatz, die die Dreidimensionalität eines Gesichts untersucht, sodass der Schutz nicht mit einem Foto umgangen werden kann. Zur Identifizierung reicht ein Blick in die Kamera – das ist wesentlich benutzerfreundlicher und komfortabler als die Eingabe eines Codes oder einer Wischgeste und bietet trotzdem ein hohes Maß an Sicherheit.

Face-ID-Lösung für das Bankgeschäft

Besonders im Bankgeschäft lohnt sich eine Investition in diese Technologie, denn biometrische Authentifizierung reduziert den Verwaltungsaufwand enorm, wenn beispielsweise vergessene Passwörter neu beantragt werden müssen. Nicht zu unterschätzen ist, dass sich auch die Erwartungshaltung der Kunden ändert. Für Bankkunden wird es zunehmend selbstverständlich, dass ihre Mobile Banking App biometrische Sicherheitsfunktionen besitzt.

Wenn Banken wichtige Wettbewerbsvorteile sichern möchten und ihren Kunden ein optimales Nutzererlebnis bieten möchten, sollten sie also in Techniken wie Face ID investieren. Maximale Sicherheit bietet man seinen Kunden jedoch nur, wenn man mindestens zwei Authentifizierungsmethoden anwendet. Face ID ist somit nur Teil eines komplexen im Hintergrund laufenden Sicherheitssystems.

Fest steht, dass biometrische Verfahren sicherer und benutzerfreundlicher sind als schwache, statische Passwörter oder eine vierstellige PIN, trotzdem bleibt ein mehrschichtiger Ansatz die stärkste Waffe gegen Angriffe. VASCO bietet eine breite Palette von Authentifizierungstechnologien, die miteinander kombiniert werden können, um sowohl ein Optimum an Sicherheit als auch eine hohe Benutzerfreundlichkeit zu gewährleisten.

Guillaume Teixeron_Product Manager_VASCO Data SecurityAutor: Guillaume Teixeron ist Product Manager bei VASCO Data Security. Erberklärt die Vorzüge der Gesichtserkennung als Authentifizierungsmerkmal. VASCO ist ein Anbieter für Sicherheits- und Produktivitätslösungen für Unternehmen auf dem digitalen Markt.P

Cyberkriminalität: Jeder Vierte fürchtet Kamera-Spione

 Versteckte Beobachter in den eigenen vier Wänden zu haben – eine Horrorvorstellung für die meisten Menschen. Für Cyberkriminelle bieten Kameras in Computern und Handy genau das: ein mögliches Einfallstor, um Personen auszuspionieren. Viele Menschen wollen sich gezielt dagegen schützen. So deckt jeder vierte Nutzer (27 Prozent) von Laptops, Tablet-Computern und Smartphones die Kamera seines Geräts bewusst ab. Das ist das Ergebnis einer repräsentativen Umfrage im Auftrag des Digitalverbands Bitkom.

Der unerwünschte Blick ins Wohnzimmer

„Wenn Hightech-Geräte mit Schadprogrammen infiziert sind, können Cyberkriminelle die integrierten Kameras zur ungewollten Überwachung einsetzen“, sagt Dr. Nabil Alsabah, Referent für IT-Sicherheit beim Bitkom. „Wer ganz sicher gehen will und die Gerätekamera kaum nutzt, kann die Linse der Kamera auch abkleben.“ Der Komfort bei der Gerätenutzung werde dadurch aber eingeschränkt.

Doch die große Mehrheit der Gerätenutzer entscheidet sich dagegen. Zwei von Drei (69 Prozent) lassen ihre Kameralinsen unbedeckt. Vor heimlichen Kameraaufnahmen fürchten sich vor allem jüngere Nutzer. Mit 38 Prozent verdeckt mehr als jeder Dritte der 14- bis 29-Jährigen die Linse seines Laptops, Tablet-Computers oder Smartphones. Mit steigendem Alter nehmen diese Bedenken immer mehr ab. Verdecken bei den 50- bis 64-Jährigen noch 23 Prozent der Gerätenutzer ihre Linsen, so sind es bei den über-65-Jährigen nur noch 13 Prozent.

„Nutzer sollten die Software ihrer Geräte immer auf dem aktuellsten Stand halten, um möglichen Sicherheitslücken vorzubeugen“, so Alsabah. Bei verdächtigen Aktivitäten sollte ein Gerät mit Viren-Scannern auf Schadprogramme überprüft werden. „Die letzte Option ist immer, ein infiziertes Gerät zu formatieren, was alle Daten auf den internen Speichern löscht und Schadprogramme entfernt.“

Hinweis zur Methodik: Grundlage der Angaben ist eine Umfrage, die Bitkom Research im Auftrag des Bitkom durchgeführt hat. Dabei wurden 1.166 Personen ab 14 Jahren befragt, die privat einen Computer oder ein Smartphone nutzen. Die Umfrage ist repräsentativ. Die Fragestellungen lautete: „Decken Sie Ihre Kameras an Laptops, Tablets oder Smartphones gezielt ab, um sich vor Angriffen von Hackern und Internetkriminellen zu schützen?“ 

 

 

Datenschutzaufsichtsbehörden: Wearables und die Illusion vom Datenschutz

Bildquelle: fitbit.

Bildquelle: fitbit.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) beteiligte sich an einer deutschlandweiten Prüfaktion und prüfte gemeinsam mit sechs weiteren Aufsichtsbehörden Wearables. Auf dem Prüfstand standen sowohl Fitness-Armbänder als auch Smart Watches mit Gesundheitsfunktionen. Außerdem wurden die Apps der Hersteller einer technischen Analyse unterzogen. Das Ergebnis war eindeutig: kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen.

Daten interessieren Versicherer und Unternehmen der Gesundheitsbranche

Wearables, auch bekannt unter dem Begriff Fitness-Armbänder oder Activity-Tracker, sollen den Nutzer zu einer gesunden Lebensweise motivieren und die Bewegung im Alltag fördern. Schon lange können die Geräte Schritte zählen, zurückgelegte Kilometer messen und verbrauchte Kalorien erfassen. Doch die aktuellsten Wearables bieten noch viel mehr. Die geprüften Geräte überwachen die Herzfrequenz, bestimmen die Körpertemperatur über Sensoren auf der Haut und geben Rückmeldung über den Schlafrhythmus. Diese Angaben interessieren immer mehr Versicherer und Unternehmen der Gesundheitsbranche, sodass es sich lohnt, die Geräte genauer unter die Lupe zu nehmen.

Das BayLDA überprüfte zusammen mit den Datenschutzaufsichtsbehörden aus Schleswig-Holstein, Brandenburg, Niedersachsen, Nordrhein-Westfalen und Hessen sowie der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit insgesamt 16 Wearables von Herstellern, die ca. 70Prozent des Marktanteils in Deutschland abdecken.

Geprüft wurden zum einen rechtliche Fragestellungen, wie z. B. die ausreichende Aufklärung über den Datenumgang oder die Frage, ob tatsächlich Gesundheitsdaten verarbeitet werden. Auch die Technik stand im Fokus. In drei deutschen Prüfzentren wurden die Geräte sowie deren Hersteller-Apps für die Betriebssysteme iOS und Android im Labor getestet.

Es wurden die Datenflüsse analysiert, um festzustellen, wer auf welche Daten Zugriff bekommen kann. Außerdem war ein Blick auf die Apps notwendig. Ohne die dazugehörigen A pps sind die meisten Wearables in ihrer Funktion erheblich eingeschränkt oder sogar unbrauchbar. Diese getesteten Apps wurden durch die Nutzer zusammen mehr als 30 Mio. Mal heruntergeladen.

Die Ergebnisse der Prüfung zeigen zahlreiche Mängel auf

  • Transparenz? Nachvollziehbarkeit? Fehlanzeige! Wer Wearables nutzt, muss zur Kenntnis nehmen, dass oftmals zahlreichen Firmen die Daten erhalten. Hersteller und Betreiber geben sich keine Mühe, Licht in das Dickicht aus Hardware-Hersteller, App-Betreiber, App-Shop-Anbieter und zahlreichen Dienstleistern zu bringen. Für den Nutzer bedeutet das, dass er sich oftmals nur pauschalen Datenschutzerklärungen gegenüber sieht und keine Chance hat, zu erkennen, wer für was zuständig ist und was mit den eigenen Daten bei wem passiert. Tests, bei den Anbietern Auskunft über die gespeicherten Daten zu erhalten, wurden entweder mit pauschalen Verweisen auf Datenschutzerklärungen beantwortet oder wegen vermeintlicher Nicht-Zuständigkeit abgewiesen. Hinzu kommt, dass die Anbieter teilweise im Ausland sitzen und nur eine internationale E-Mail-Adresse als Kontaktmöglichkeit anbieten.
  • Besonders schützenswerte Daten: Die Aufgabe der Fitness-Tracker und Apps ist es, Gesundheitsdaten und damit besonders schützenswerte Daten der Nutzer zu verarbeiten. Zwar sind die Einzelinformationen wie z. B. Körpergewicht, zurückgelegte Schritte, Dauer des Schlafes oder Herzfrequenz für sich betrachtet oftmals wenig aussagekräftig. In der Regel werden diese Daten jedoch mit eindeutig zugewiesenen Personenkennungen verbunden. Bei einer dauerhaften Nutzung fallen derart viele Informationen an, dass sich daraus ein erstaunlich präzises Bild des Tagesablaufs und Gesundheitszustands des Nutzers ergibt (was der Nutzer des Gerätes auch bezweckt). Insbesondere bei Verknüpfung der Einzelinformationen mit Standortdaten ergibt das sehr persönliche Informationen:
  • Wann bin ich morgens aufgestanden?
  • Habe ich unruhig geschlafen, (da ich am Vorabend Alkohol konsumiert habe)?
  • Wo beginnt und endet mein Weg zur Arbeit?
  • Warum bin ich aufgeregt und wieso schlägt mein Herz höher, obwohl ich seit 30 min auf dem Bürostuhl sitze?

All diese Fragen lassen sich beantworten, wenn die Daten der Wearables ausgewertet werden. Kritisch wird dieses insbesondere dadurch, dass viele der Geräte die Daten extern durch Dritte verarbeiten lassen und durch die unklaren Regelungen der Nutzer keine Kontrolle mehr darüber hat, wer die Daten von ihm sonst noch hat.

  • Datenschutzbestimmungen: Datenschutzbestimmungen sollen den Nutzer in die Lage versetzen, zu erkennen, wer welche Daten von ihm zu welchen Zwecken erhebt, was er damit macht und insbesondere auch, an wen er welche Daten weitergibt bzw. wer sonst noch Zugriff darauf hat. Die meisten Datenschutzerklärungen erfüllten diese gesetzlichen Anforderungen nicht. Sie waren in der Regel viele Seiten lang, schwer verständlich, enthielten zu essentiellen Datenschutzfragen nur pauschale Hinweise und waren teilweise nicht einmal in deutscher Sprache vorhanden. So erfährt der Nutzer oftmals nicht im ausreichenden Maße, wer konkret Zugriff auf die Daten hat und wie lange sie gespeichert werden. Dabei wäre es ein Leichtes, dies in wenigen kurzen Sätzen zu beschreiben. Oftmals wurde auch nur auf die generelle Datenschutzerklärung des Unternehmens verwiesen, die kaum konkreten Bezug zu dem Wearable hat.

Erstaunlich ist auch, dass fast kein Gerätehersteller über die besonders schützenswerten Gesundheits- und Standortdaten aufklärt – ganz im Gegenteil: einige Hersteller waren sogar der Auffassung, dass es sich dabei um anonyme Daten handle.

  • Daten mit Freunden teilen: Viele Geräte und Apps bieten die Möglichkeit, die aufgezeichneten Fitness-Daten mit Freunden z. B. über soziale Netzwerke zu teilen. Die Funktion soll den Nutzer zu häufigem Training und Bestleistungen anspornen und das gemeinsame Training fördern. Da hierbei auch sehr sensible Informationen preisgegeben werden können, darf das jedoch nur dann geschehen, wenn der Nutzer es ausdrücklich wünscht.
  • Datenweitergabe an Dritte: Beunruhigend sind auch die Aussagen vieler Hersteller zur Datenweitergabe. Einige Hersteller stellen klar, dass sie die Fitness-Daten der Nutzer für eigene Forschungszwecke und Marketing verwenden und an verbundene Unternehmen weitergeben. Der Nutzer erfährt weder, um wen es sich dabei handelt, noch kann er widersprechen. Ein klarer Verstoß gegen deutsches Datenschutzrecht.
  • Reichweitenmessung: Die technische Analyse brachte mehr Licht ins Dunkel. Fast alle Hersteller setzen Tracking-Tools US-amerikanischer Unternehmen ein. Mithilfe dieser Tools können Hersteller erfassen, wie die Geräte oder Apps genutzt werden, um die Benutzerfreundlichkeit zu verbessern. Die Daten können aber auch für Werbezwecke und zur Profilbildung verwendet werden. Zwar wird oft angegeben, dass hierzu nur anonyme Daten verwendet werden würden. Den Nachweis bleiben die Hersteller jedoch schuldig. Die Erfahrung zeigt, dass in der Regel in solchen Fällen weiterhin bei vielen Daten ein Personenbezug hergestellt werden kann.
  • Datenlöschung: Die Geräte sind schnell verloren oder technisch überholt, sodass zahlreiche Nutzer ihre gebrauchten Geräte weiterverkaufen wollen. Das birgt ein enormes Risiko. Nutzer glauben, dass mit dem Löschen der App alle Daten vernichtet sind. Das ist falsch! Bei vielen Geräten hat der Nutzer keine Möglichkeit, seine Daten selbstständig vollständig zu löschen. Weder im Gerät selbst noch im Nutzerkonto gibt es eine Löschfunktion. Einige Hersteller weisen sogar darauf hin, dass eine Löschung nicht möglich ist. Wie lange die Hersteller die Daten speichern, bleibt verborgen. Fakt ist, dass es sich hierbei um einen gravierenden Verstoß handelt.
 Thomas Kranig, der Präsident des BayLDA.

Thomas Kranig, der Präsident des BayLDA.

„Aufgrund unserer zahlreichen Prüfungen der letzten Jahre im Bereich Internet und smarte Geräte haben wir viel Erfahrung gesammelt. Auch diese Prüfung offenbarte Mängel im Datenschutz, die wir bereits bei anderen Testgeräten feststellten. Dass die Unternehmen ihren Aufklärungspflichten nicht immer vollständig nachkommen, ist bekannt. Mit Erschrecken mussten wir feststellen, dass gerade in sensiblen Bereichen wie Gesundheit und Bewegungsprofile die Daten häufig an Dritte übermittelt werden. Der Nutzer ist aufgrund der mangelnden Transparenz nicht mehr Herr seiner Daten und hat keine Chance zu verfolgen, in wessen Hände seine Gesundheitsdaten gelangen“, erklärte Thomas Kranig, der Präsident des BayLDA.

Einige Mängel ließen sich problemlos dadurch beheben, dass die Fitnessdaten der Wearables lediglich auf das Smartphone weitergeleitet und lokal verarbeitet werden. Eine permanente Übermittlung aller Daten vom Smartphone an Server diverser Firmen ist aus Sicht der Datenschützer in der Regel mit Risiken verbunden, denen sich die Nutzer bewusst sein sollten.

„Würden die Hersteller dieser Empfehlung nachkommen, würden in den wenigsten Fällen Gesundheitsdaten in die Hände Dritter gelangen. Die heutigen Smartphones sind so leistungsstark, dass sich dies ohne Funktionseinschränkung technisch ganz einfach umsetzen ließe. Indem die Hersteller jedoch alle Daten von der App weiterleiten, signalisieren sie ein eigenes Interesse an den

 

 

 

Digitalcourage: Autonomes Fahren muss ohne Grundrechtsverletzungen möglich sein

Die Autoindustrie liefert sich ein Wettrennen um den Markteintritt mit alltagstauglichen autonomen Fahrzeugen. Digitalcourage warnt vor „Schutzranzen“ und anderen Umfelderkennungstechnologien, die auf Überwachung basieren.

Autonomes Fahren wird kommen. Dabei muss natürlich die Verkehrssicherheit gewährleistet sein. Digitalcourage warnt vor Konzepten wie „Schutzranzen“, die auf die Überwachung anderer Verkehrsteilnehmer setzen und fordert von der beteiligten Industrie, Wege zu finden, die nicht die Grundrechte aller Menschen verletzen.

„Selbstfahrende Fahrzeuge können uns bereichern, aber nur, wenn dabei unsere Grundrechte respektiert werden,“ meint Kerstin Demuth von Digitalcourage. „Die Industrie muss nach Lösungen forschen, die Verkehrssicherheit gewährleisten und gleichzeitig ohne Überwachung auskommen.“

Digitalcourage hat im Januar 2018 aufgedeckt, dass „Schutzranzen“-GPS-Tracker an Kinder in öffentlichen Grundschulen verteilt werden sollen. Der Geschäftsführer des Startups Coodriver, von dem das Produkt stammt, räumte inzwischen gegenüber Heise Online ein, dass die Technik als Werkzeug für selbstfahrende Fahrzeuge verwendet werden sollte. Digitalcourage fordert mit einem offenen Brief die Einstellung des Projekts „Schutzranzen“. Nachdem das Projekt nach Kritik der Datenschutzbeauftragten und des Landesschulamtes Niedersachsen in Wolfsburg gestoppt wurde, hält die Stadt Ludwigsburg weiter an den Konzept fest. Digitalcourage mahnt an, Fortschritt ohne Überwachung voranzutreiben.

„Wirtschaft, Politik, Bürgerinnen und Bürger müssen jetzt an die Technikfolgen von morgen denken“, warnt Friedemann Ebelt von Digitalcourage. „Überwachung darf keine Bedingung für Sicherheit im Straßenverkehr werden. Die Ethikkommission zum automatisierten Fahren warnte bereits vor drohender Totalüberwachung. Jetzt müssen Entscheidungen her, damit wir uns in Zukunft frei und unbeobachtet bewegen können.“

Olympia 2018: Spielwiese der Hacker

DigitalShadows_Winterspiele2018_FancyBearsGroßveranstaltungen wie die Olympischen Spiele bieten naturgemäß eine öffentliche Plattform für kriminelle und politisch aufgeladene Cyberaktivitäten – so auch bei den Winterspielen 2018 in Südkorea.

Bereits im Vorfeld verzeichnete Digital Shadows Datenleaks, Phishing-Versuche sowie Fake Domains und Social Media Konten, die sich sowohl gegen die Organisatoren und Partnerunternehmen der Spiele als auch gegen Teilnehmer, Besucher und Sportinteressierte richteten.

Neben politisch motivierten Aktionen (Hacktivismus) im Spannungsfeld von Nordkorea, Südkorea und Russland, sind vor allem Betrugsmaschen bei Geldautomaten sowie bei Kredit- und Bankkarten zu erwarten. Dabei profitieren die Angreifer von lokalen, ungeschützten Wi-Fi-Netzen sowie der hohen Zahl an getätigten Finanztransaktionen. Zu den gefährlichsten Cyberrisiken während der Spiele zählen:

  • Phishing & Fake Domainnamen: Im Netz finden sich bereits eine Vielzahl an Typo-Squat-Domains, die Markennamen der Olympischen Winterspiele 2018 und der World Anti-Doping Agency (WADA) verwenden. Mehr als die Hälfte der Adressen konnte nach Russland, der Ukraine und anderen Proy-Diensten zurückverfolgt werden.
  • Kompromittierte Zugangsdaten: Eine Überprüfung der Datenleaks der letzten 12 Monate deckte mehr als 300 Fälle auf, bei denen Login-Daten von Organisatoren der Spiele sowie von WADA gestohlen wurden.
  • Datenleaks: Im Januar veröffentlichte die Hacktivisten-Gruppe Fancy Bears den E-Mailverkehr zwischen dem IOCs sowie dem Internationaler Rennrodelverband. Weitere sensible Informationen über kanadische Athleten folgten, die den Verdacht von Doping nahelegten. Die Aktion scheint eine Reaktion auf das Teilnahmeverbot russischer Athleten wegen angeblichen Dopings gewesen zu sein.
  • Malware: Freiwillige Helfer wurden mit Emails überschwemmt, die Makro-Malware enthielt. Dabei wurde das offizielle IOC-Portal imitiert und angebliche logistische Details zur Organisation der Spiele bereitgestellt. Die Schadsoftware GoldDragon richtete sich gezielt an Organisationen, die mit den Spielen in Verbindung stehen.
  • Angriffe auf Wi-Fi-Netze: Öffentlich zugängliche Netz werden genutzt, um an die Daten von hochrangigen und damit lukrativen Zielen zu gelangen. Die DarkHotel-Kampagne zielt dabei auf Hotels in Asien, wobei sie sich über gefälschte Software-Updates Zugriff auf die Wi-Fi-Netzwerke verschafft.
  • Kreditkartenbetrug: Insbesondere in Stadtzentren, Hotels, Restaurants und Einkaufszentren rücken Besucher und Touristen ins Ziel der Angreifer. 2017 wurden bei Angriffen Kundenkarten von über 41 Hyatt Hotels in 11 Ländern kompromittiert. Darunter auch China (18 Standorte) sowie Südkorea und Japan.

Generell ist bei Emails, Webseiten oder beim Download von Apps, die mit den Olympischen Spielen werben, Wachsamkeit angesagt. Besucher sollten vor allem bei Geldautomaten auf Anzeichen von „Skimming“, dem illegalen Ausspähen von elektronischen Daten von Zahlungskarten (girocard und Kreditkarte). Dazu gehören beispielsweise wackelige Kartenleser, sichtbare Spuren im PIN-Code-Eingabebereich oder andere Manipulationen. Sinnvoll sind zudem alternative Zahlungsformen wie Chip und Pin, Prepaid- und Pre-Capped-Karten.

Um sicher von Unternehmensnetzwerken und Firmenkonten aus auf Wi-Fi-Netzwerke zuzugreifen, sollte Virtual Private Network (VPN) Tunneling sowie Multi-Faktor-Authentifizierung genutzt werden. Unternehmensmitarbeiter, die zum Zeitpunkt der Spiele vor Ort sind, können Geräte und Konten zudem vorübergehend auf separate Unternehmensnetzwerke laufen lassen. Bei der Rückkehr empfiehlt sich eine Art Quarantänezeit, um sicherzustellen, dass keine Schadsoftware als Mitbringsel nach Hause gebracht wurde.

1.Februar ist der „Change your Password Day“

Der 1. Februar ist der „Change your Password Day“. Aus diesem Anlass erinnert das Potsdamer Hasso-Plattner-Institut (HPI) an die wichtigsten Tipps zur Erstellung starker Passwörter.

HPI-Direktor Professor Christoph Meinel kritisiert, dass die Zahlenfolge „123456“ nach wie vor das weltweit beliebteste Passwort ist, dicht gefolgt von „12345678“, „111111“ und „qwerty“. Rund jeder fünfte Internetnutzer verwende nach einer Auswertung des Potsdamer Informatikinstituts das gleiche Passwort für mehrere Dienste. Dabei ließen sich Meinel zufolge die Risiken eines Identitätsdiebstahls leicht minimieren.

Einfache und kurze Passwörter können in nur wenigen Sekunden von professionellen Programmen geknackt werden

„Einfache und kurze Passwörter können in nur wenigen Sekunden von professionellen Programmen geknackt werden“, so der Informatikwissenschaftler. Zugleich seien sich viele Verbraucher der Folgen nicht bewusst, die ein Identitätsdiebstahl haben könnte: „Der Missbrauch von Passwörtern ist mittlerweile ein lukratives Geschäftsmodell“, warnt Meinel. Kriminelle könnten beispielsweise auf falschen Namen Einkäufe tätigen und E-Mails versenden.

Die wichtigsten Regeln zur Erstellung starker Passwörter

Die Länge des Passworts sollte mindestens 10 bis 15 Zeichen umfassen und verschiedene Zeichentypen (Buchstaben, Ziffern, Sonderzeichen) sowie Groß- und Kleinschreibung mit einbeziehen (ab 00:01:45). Beispiel: Während sogenannter Brute-Force-Attacken, bei denen Software die Abfolgen bestimmter Zeichen zum Entschlüsseln eines Passworts ausprobiert, wird für die Aufdeckung des Passworts „secret“ weniger als eine Sekunde benötigt. Für das Passwort „!sEcRe!2%9“ wären es nach aktuellem Stand über 19 Jahre.

Niemals persönliche Informationen wie Namen, Geburtsdaten, Haustiernamen, Namen der Partner oder der jeweiligen Anwendung (z.B. „Adobe“) verwenden. Diese Daten könnten leicht erraten werden.

Keine Begriffe aus dem Wörterbuch oder andere „sinnvolle“ Zeichenfolgen verwenden. Neben den Brute-Force-Attacken sind vor allem „Wörterbuchangriffe“ üblich, um Passworte zu knacken: Hierbei werden Listen mit Wörtern genutzt, um fremde Passwörter zu entschlüsseln.

Nie dasselbe Passwort für mehrere Konten verwenden. Wird ein Passwort geknackt, ermöglicht es Kriminellen sonst den Zugang zu allen anderen Diensten.

Meinel zufolge sollten Nutzer ihre Passwörter außerdem von Zeit zu Zeit auswechseln, keinesfalls sollte hierbei auf alte Passwörter oder Variationen zurückgegriffen werden (ab 00:03:21). Sofern Multi-Faktor-Authentifizierung angeboten wird, sollte diese Option genutzt werden. „Bei einem solchen Authentifizierungsprozess überprüft der jeweilige Dienst neben dem Passwort zusätzlich, ob der Nutzer einen bestimmten Gegenstand besitzt oder ein spezifisches Merkmal aufweist. Das macht es für Angreifer schwieriger, in ein fremdes Konto einzubrechen“, erklärt Meinel.

Opfer eines Datendiebstahls

Ob man selbst Opfer eines Datendiebstahls geworden ist, lässt sich mit dem Identity Leak Checker, einem Online-Sicherheitscheck des Hasso-Plattner-Instituts (HPI), sehr leicht überprüfen (ab 00:00:38). Seit 2014 kann dort jeder Internetnutzer unter https://sec.hpi.de/ilc kostenlos durch Eingabe seiner E-Mail-Adresse prüfen lassen, ob Identitätsdaten von ihm frei im Internet kursieren und missbraucht werden könnten. Die Sicherheitsforscher ermöglichen den Abgleich mit mittlerweile mehr als 5 Milliarden gestohlener und im Internet verfügbarer Identitätsdaten. Dabei liegt der Fokus auf Leaks, bei denen deutsche Nutzer betroffen sind.

Wie man sich sicher im Internet bewegen und dort seine Privatsphäre schützen kann, zeigt auch ein neuer Onlinekurs des HPI. Am 26. Februar startet der kostenlose Kurs „Internet Security for Beginners“ auf der interaktiven Bildungsplattform openHPI. Anmelden kann man sich unter https://open.hpi.de/courses/intsec2018

Jeder dritte Verbraucher berichtet von Missbrauch seiner Daten im Internet

 In kaum einem anderen Land wird so viel über die Nutzung von Daten und Privatsphäre diskutiert wie in Deutschland. Dennoch berichtet über ein Drittel deutscher Online-Nutzer von Erfahrungen, bei denen persönliche Daten im Internet missbraucht wurden.

Trotzdem empfinden die meisten Verbraucher ein hohes Sicherheitsgefühl bei Transaktionen im Internet – insbesondere beim Online-Banking. Dies ergab die aktuelle bevölkerungsrepräsentative Verbraucherbefragung der Creditreform Boniversum  zum Thema Datensicherheit im Internet.

Missbrauch von persönlichen Daten beim Online-Shopping

Der Missbrauch von persönlichen Daten beim Online-Shopping im Speziellen bzw. bei Transaktionen im Internet im Allgemeinen weist eine nicht zu unterschätzende Größenordnung auf. Über ein Drittel der befragten Personen gibt an (34 Prozent; 19,2 Millionen Verbraucher), bereits einmal erlebt zu haben, dass persönliche Daten im Internet missbraucht, d.h. gegen den eigenen ausdrücklichen Willen verwendet worden sind.

12 Prozent der Verbraucher berichten sogar von häufigen Missbrauchserfahrungen persönlicher Daten. Überdurchschnittlich betroffen sind Männer, Personen unter 40 Jahren, Personen mit gehobenem Bildungsabschluss, Gering- und Normalverdiener sowie Personen, die im Westen Deutschlands leben. Die gute Nachricht: Die meisten deutschen Online-Nutzer (66 Prozent) haben allerdings noch keine negativen Erfahrungen mit Datenmissbrauch im Internet gemacht.

Hohes Sicherheitsgefühl bei deutschen Verbrauchern

Trotzdem empfinden die meisten Verbraucher ein hohes Sicherheitsgefühl bei Transaktionen im Internet. Am sichersten fühlen sich Verbraucher beim Online-Banking und beim Online-Shopping. 69 Prozent der Befragten gibt an, dass sie die Weitergabe ihrer Daten bei Online-Bankgeschäften für sicher halten – 44 Prozent der Verbraucher haben beim Online-Shopping sicheres Gefühl.

Besonders wichtig ist den Verbrauchern beim Online-Einkauf die „Sicherheit der Bezahlung“ (94 Prozent). Danach folgen mit Abstand die Kriterien „Preis-Leistungsverhältnis“ (88 Prozent), „Einfachheit der Bezahlung“ (86 Prozent) sowie die „Einfachheit des Bestellvorgangs“ (84 Prozent).

Das Kriterium „Schnelligkeit der Lieferung“ wird von den Verbrauchern als am wenigsten wichtig eingestuft (75 Prozent). Wird die Forderung der Verbraucher nach sicheren Zahlarten nicht bedient, brechen sie den Kaufvorgang ab. 67 Prozent geben an, dies bereits schon mal getan zu haben. 38 Prozent der Verbraucher brechen ihren Bestellvorgang auch ab, wenn keine für sie passenden Bezahlverfahren angeboten werden.

Drei Bezahlverfahren dominieren das Online-Shopping der Verbraucher

Bezahlsysteme wie z.B. PayPal oder Sofortüberweisung.de (46 Prozent), Kauf auf Rechnung (31 Prozent) und Kreditkarte (9 Prozent) zählen zu den drei meistgenutzen und beliebtesten Bezahlverfahren der Deutschen. Ebenso werden diese Verfahren von den Verbrauchern als am sichersten eingestuft. Speziell beim „Kauf auf Rechnung“ steht der Sicherheitsaspekt bei den Verbrauchern im Vordergrund – insbesondere Frauen bevorzugen unter diesem Aspekt den Kauf auf Rechnung.

„Verbraucher empfinden den Kauf auf Rechnung nach wie vor als sichere Zahlart. Sie ist nicht nur sehr bequem – der Verbraucher kann sich die Ware vor Bezahlung in Ruhe ansehen – sondern er kann dabei auch sparsam mit seinen Daten umgehen. Er braucht nicht mehr Daten anzugeben als beispielsweise in einem öffentlichen Telefonbuch zu finden sind. Weiterer Vorteil: im Falle von Reklamationen und/oder Rücksendungen, muss der Verbraucher nicht warten bis das Geld wieder auf sein PayPal-, Kreditkarten-, oder Bankkonto zurücküberwiesen wird. Er zahlt die Ware ja erst, wenn er entschieden hat, dass er sie auch behält“, so Marion Lanaro, Mitglied der Geschäftsleitung bei Boniversum.

Im Rahmen der Umfrage wurden die Verbraucher auch nach ihrer allgemeinen Einschätzung zur Sicherheit beim Bezahlen im Internet befragt. Die Hälfte der Verbraucher (51 Prozent) geht davon aus, dass das Bezahlen im Internet in den letzten fünf Jahren sicherer geworden ist. Überwiegend sind Männer und jüngere Personengruppen dieser Auffassung.

 Die aktuelle Erhebung der Creditreform Boniversum, die auf einer repräsentativen Online-Umfrage von 1.045 Verbrauchern im Alter von 18 bis 69 Jahren basiert, befasst sich mit dem Thema „Datensicherheit im Internet“.

 

Aktion „Bezahlen Sie mit Ihren Daten!“ am Europäischen Datenschutztag 2018

Unter dem Motto „Bezahlen Sie mit Ihren Daten!“ will das Museum für Kommunikation Nürnberg am Sonntag (28.01.18) die Besucher über den Umgang mit persönlichen Daten im Internet informieren. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. unterstützt den Aktionstag gemeinsam mit dem Bayerischen Landesamt für Datenschutzaufsicht und dem DB Museum.

„Täglich werden die Verbraucher beim Online-Einkauf oder in den Sozialen Netzwerken verführt, persönliche Daten wie Alter und Adressen im Tausch für Rabatte oder kostenlose Angebote preiszugeben,“ sagte BvD-Vorstand Rudi Kramer. „Für einen eigenverantwortlichen Umgang mit personenbezogenen Daten fehlt oft das Bewusstsein. Damit geben die Verbraucher aber eigene Rechte preis“, warnte Kramer.

Am Aktionstag können die Besucher von 10 bis 15 Uhr selbst ausprobieren, wie es um ihre Datensensibilität bestellt ist. Fachleute der Bayerischen Datenschutzaufsicht, des BvD und von der Deutschen Bahn AG stehen als Ansprechpartner zur Verfügung.

Zudem bietet das Museum Sonderführungen zum Datenschutz in der Geschichte der Kommunikation an. Auch die EU-Datenschutzgrundverordnung (DS-GVO), die die Rechte der Betroffenen ab 25. Mai 2018 neu regelt, wird Thema sein.

Am Dienstag (23.01.2018) setzte das Kommunikationsmuseum in Kooperation mit dem BvD und dem BayLDA die Vortrags-Reihe „Daten-Dienstag“ fort. Der Nürnberger Kriminalhauptkommissar Stefan Malek spricht über die Anwerbetechniken Rechtsextremer im Internet. Am 6. Februar klärt der Unternehmer Ernst Schulten über Tracking im Internet auf.