Schlagwort-Archiv: Datenschutz

Millionen von Account-Daten stehen im Darknet zum Verkauf: Weitreichende Folgen sind zu befürchten

DarknetWie gestern bekannt wurde, steht eine enorm große Datenbank mit E-Mailadressen sowie Passwörtern auf der Webseite Dream Market zum Verkauf. Hierbei handelt es sich um eine Schwarzmarkt-Seite, die sich nicht im öffentlich zugänglichen Internet befindet. Insgesamt wurden hier Daten von rund 620 Millionen Accounts kompromittiert. Ersten Informationen der britischen News-Seite The Register zufolge sind die Quellen der Anmeldeinformationen 16 verschiedene Websites und sie waren zwischen den Jahren 2016 und 2018 entwendet worden.

Der Vorfall reiht sich ein in eine Welle von verheerenden Datensicherheitsvorfällen, die alleine in diesem Jahr bereits wieder die Schlagzeilen bestimmt haben. Diese Tatsache verwundert nicht, schließlich ist Cyberkriminalität ein florierender Wirtschaftszweig. Der Brancheverband BITKOM schätzt die Schäden für die deutsche Wirtschaft alleine in den letzten 2 Jahren auf rund 43 Milliarden Euro. Die Zusammenhänge der einzelnen Vorfälle sind bisweilen für Außenstehende nicht klar. Datenpannen – wie aktuell der Diebstahl von Abermillionen personenbezogener Informationen – sind dabei nur der Anfang. Die gestohlenen Daten werden oftmals, wie im aktuellen Fall, an Kriminelle im Darknet verkauft.

Die Folgen sind verheerend: Diese können zum einen beispielsweise automatisiert Konten bei Onlinehändlern eröffnen, um mittels gefälschter Identitäten Ware im realen Leben zu erwerben. Doch noch fataler ist die Tatsache, dass die Käufer zum anderen ebenso automatisierte Konten bei Public Cloud Anbietern eröffnen und die Infrastruktur dieser Anbieter für Cyberangriffe missbrauchen können – Beispielsweise für Distributed-Denial-of-Service (DDoS)-Angriffe. So stieg etwa 2018 die Anzahl der DDoS-Angriffe, die alleine über Public Cloud-Dienste generiert wurden, um 35% Prozent gegenüber dem Vorjahr. Nur allzu oft stehen hinter diesen Attacken also gestohlene Datensätze und unbeteiligte Personen, die letztendlich selbst Opfer einer Straftat (nämlich Datendiebstahl) wurden und somit ins Fadenkreuz von Ermittlungen geraten.

Autor: Marc Wilczek, Geschäftsführer und COO von Link11. Link11 ist ein europäischer IT-Security-Provider mit Hauptsitz in Frankfurt am Main und Standorten in Europa, den USA und Asien.  

DSVGO: Die Hälfte sieht keinen Einfluss auf die Sicherheit ihrer Daten im Internet

Seit letztem Jahr gilt die Datenschutz-Grundverordnung, kurz DSGVO. Die Deutschen sehen die Auswirkungen auf die Sicherheit der eigenen Daten im Internet eher kritisch. Über die Hälfte (56 Prozent) gibt an, dass die DSGVO keinen Einfluss auf die Sicherheit ihrer Daten im Internet hat. Nur 13 Prozent sind der Meinung, dass die DSVGO die Sicherheit der eigenen Daten im Internet verbessert hat. Fast jeder Dritte (32 Prozent) ist sogar der Ansicht, dass die DSGVO die Benutzerfreundlichkeit des Internets verschlechtert hat.

Dies ist das Ergebnis einer Analyse des internationalen Marktforschungs- und Beratungsinstituts YouGov, für die 2.055 Personen ab 18 Jahren vom 25. bis 29. Januar 2019 mittels standardisierter Online-Interviews repräsentativ befragt wurden.

Nicht alle Befürworter sehen Nutzen der DSGVO im Internet

Unter den Befürwortern der DSVGO finden zwar zwei von fünf Befragten (38 Prozent), dass sich die Sicherheit ihrer Daten verbessert hat, ein höherer Anteil (43 Prozent) findet allerdings, dass die DSVGO keinen Einfluss auf die Sicherheit ihrer Daten im Internet hat. Die Ablehner der DSVGO beklagen besonders die Verschlechterung der Benutzerfreundlichkeit im Internet (60 Prozent) und dass die Datenschutz-Grundverordnung keinen Einfluss auf die Sicherheit der Daten im Netz hat (73 Prozent).

Die DSGVO spaltet Deutschland

Jeder Dritte (33 Prozent) beurteilt die neue Datenschutz-Grundverordnung alles in allem negativ. Jeder Vierte beurteilt sie alles in allem positiv (28 Prozent). 27 Prozent sind unentschlossen, ob sie die DSVGO nur positiv oder negativ beurteilen sollen.

Roadmap zur Cybersicherheitsforschung

RoadmapWie den digitalen Bedrohungen auf europäischer Ebene künftig besser begegnet werden kann, haben unter der Koordination des BMBF-Verbundprojektes secUnity 30 namhafte europäische IT-Sicherheitsexperten in der secUnity-Roadmap niedergelegt, darunter Forscherinnen und Forscher des Karlsruher Instituts für Technologie (KIT). Am  Dienstag, 5. Februar, stellen die Wissenschaftlerinnen und Wissenschaftler von secUnity die Roadmap in Brüssel vor und übergeben sie offiziell an die Europäische Agentur für Netzwerk und Informationssicherheit ENISA.

Übermittlung von Nachrichten, Verkehr, Industrieproduktion, Forschung, Verwaltung

Übermittlung von Nachrichten, Verkehr, Industrieproduktion, Forschung, Verwaltung – nahezu kein Bereich kommt mehr ohne moderne Informations- und Kommunikationstechnologien aus. Gleichzeitig nimmt die Zahl der Cyberangriffe, die bekannt werden, stetig zu. Solche Attacken auf die digitale Infrastruktur durch Kriminelle oder  staatliche Organisationen bedrohen den Wohlstand und die Sicherheit unserer Gesellschaften, am Ende sogar Freiheit und Demokratie.

Bei einer Abendveranstaltung in der Vertretung des Landes Hessen bei der Europäischen Union in Brüssel werden secUnity-Wissenschaftler mit Vertretern des Europäischen Parlaments und der Europäischen Kommission über „Zivile Cybersicherheitsforschung für digitale Souveränität“ diskutieren und im Anschluss offiziell die secUnity-Roadmap veröffentlichen und an die Europäische Agentur für Netzwerk und Informationssicherheit  übergeben.

„Das Gefahrenpotenzial, das Cyberattacken für hochentwickelte Länder entfalten können, kann man nicht hoch genug einschätzen“, warnt Professor Jörn Müller-Quade, Sprecher des Kompetenzzentrums für IT-Sicherheit KASTEL am KIT. In secUnity arbeiten IT-Sicherheitsexperten aus ganz Deutschland zusammen. Beteiligt sind, neben den drei nationalen Kompetenzzentren KASTEL, CRISP und CISPA, Spezialisten der TU Darmstadt, der Ruhr-Universität Bochum und der Fraunhofer-Institute für Angewandte und Integrierte Sicherheit AISEC und für Sichere Informationstechnologie SIT.

Cybersicherheitsexperten bemängeln schon lange, dass Firmen, öffentliche Einrichtungen und Institutionen nicht ausreichend auf digitale Bedrohungen vorbereitet seien. Im Gegenteil: Durch die fortschreitende Vernetzung, die sich durch digitale Trends wie Industrie 4.0, Smart Home oder selbstfahrende Autos noch potenzieren wird, würden die Angriffsflächen für Cyberkriminelle immer größer.

In der jetzt vorgelegten Roadmap, die das vom Bundesministerium für Bildung und Forschung (BMBF) geförderte Verbundprojekt secUnity initiiert hat, haben die über 30 europäischen Autoren zukünftige Herausforderungen und Lösungswege identifiziert.  Zum Beispiel werden die Sicherheit eingebetteter Systeme, Maschinelles Lernen, die Problematik der fehlenden Awareness und das Phänomen von Fake News untersucht und Vorschläge für mehr Sicherheit erarbeitet.

Problem: Hardwarelösungen ohne IT-Sicherheitsüberprüfung

Sehr kritisch sehen die Experten die Verwendung von Hardwarelösungen, die oft ohne IT-Sicherheitsüberprüfung verwendet werden. Dies gefährde die digitale Souveränität Europas. „Eine Möglichkeit diese Situation zu verbessern, wären hier europäische Prüfinstitute, um die Technik unabhängig zu analysieren“, so Professor Michael Waidner, Direktor des Nationalen Forschungszentrums für angewandte Cybersicherheit CRISP und des Fraunhofer-Instituts SIT in Darmstadt. Zudem könnten Open-Source-Software- und Hardwarelösungen transparent in der EU entwickelt werden.

Da aber auch in Zukunft noch weiterhin eine Vielzahl von preiswerten jedoch unsicheren Hard- und Softwarekomponenten  verbaut und genutzt wird, reichen Ansätze zur Entwicklung vertrauenswürdiger europäischer Lösungen  nicht aus, um  vernetzte Systeme wirksam zu schützen. Am Beispiel Smart Home führt Professorin Claudia Eckert, Direktorin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC in München aus: „Wir brauchen Lösungen, um die Risiken solcher Komponenten zu minimieren und die Systeme resilient zu betreiben.

Kameras, Türöffner, die Heizungssteuerung – jedes Heimautomatisierungsgerät ist ein mögliches Einfallstor für große Netz-Attacken. Sichere Gateways für die Verbindung unsicherer Komponenten können beispielsweise dafür sorgen, dass keine sensitive Information die Heimumgebung verlässt und keine Zugriffe von außen auf Steuerungskomponenten möglich sind.“ Resilienz trotz unkalkulierbarer Komponenten – dies muss natürlich insbesondere für kritische Infrastrukturen wie Gesundheits- und Energieversorgung, aber auch für Behörden und Unternehmen sichergestellt werden.

Auch die weltweit stark vorangetriebene Entwicklung von Quantencomputern berge Gefahren. Jörn Müller-Quade warnt: „Es ist zwar bislang noch nicht gelungen, einen hinreichend großen Quantencomputer zu bauen, um die Sicherheit aktueller kryptographischer Verfahren zu gefährden, aber dies könnte sich schnell ändern. Der derzeitige Fortschritt in der Quantentechnologie ist so groß, dass wir heute schon Vorsorge treffen müssen. Wir müssen unsere komplexen vernetzten Systeme auf zukunftssichere, noch weiter zu erforschende Verschlüsselungsverfahren umstellen.”

Methoden der Künstlichen Intelligenz viele neue Anwendungsfälle, sie bringen aber auch gravierende Risiken für die IT-Sicherheit mit sich: Maschinelle Lernprozesse können durch gezielte Manipulationen während der Lernphase und auch im Betrieb einfach angegriffen werden. „Bevor diese Technologien in kritischen Bereichen oder zur Verbesserung der Lebensqualität eingesetzt werden können, muss das Vertrauen in diese Verfahren und in deren Zuverlässigkeit auf ein wissenschaftliches Fundament gesetzt werden“, fordert Professor Thorsten Holz von der Ruhr-Universität Bochum.

Auch werfen neue Möglichkeiten der Informationsgesellschaft wie etwa intelligente Stromnetze, die den Alltag komfortabler machen und beim Energiesparen helfen, rechtliche und ganz besonders datenschutzrechtliche Fragen auf: „Angesichts der fundamentalen Risiken, die durch die Digitalisierung ganzer Industriezweige und auch kritischer Infrastrukturen wie die Strom- oder Energieversorgung für die Versorgungssicherheit entstehen, brauchen wir dringend einen europäisch harmonisierten Rechtsrahmen für IT-Sicherheit“, sagt Dr. Oliver Raabe vom Zentrum für Angewandte Rechtswissenschaft (ZAR) des KIT.

Die rechtlichen Maßstäbe, welche Risiken akzeptabel sind und welche Schutzmaßnahmen den Unternehmen zugemutet werden könnten, müssten erst noch entwickelt werden. Ebenso Maßgaben für die Sicherung von Qualität und Unverfälschbarkeit der großen Datenbestände (Big Data).

Zudem müssen die Bürgerinnen und Bürger selbst, die zunehmend komplexe Kommunikationssysteme nutzen, beim Schutz ihrer Privatsphäre und IT-Sicherheit unterstützt werden. „Ziel der Forschung ist daher zum Beispiel, Methoden für einen Privacy Advisor zu entwickeln.

Diese sollen beim Hochladen von Bildern oder Nachrichten ins Netz die Risiken einschätzen und unter Berücksichtigung bisheriger Posts aufzeigen, wie viel zusätzliche private Information durch die Veröffentlichung preisgegeben wird. Dies würde die Bürger dabei unterstützen, sich souverän in sozialen Netzwerken zu bewegen“, kündigt Professor Michael Backes, Gründungsdirektor des CISPA Helmholtz-Zentrums für Informationssicherheit, an.

Möglichkeiten für Innovationen, aber auch die Gefahr eine scheinbar sichere Marktposition

Angesichts dieser immer größer werdenden Datenbestände, ergeben sich für viele Unternehmen neue Möglichkeiten für Innovationen, aber auch die Gefahr eine scheinbar sichere Marktposition im digitalen Zeitalter zu verlieren. „Daten sind nicht per se das Öl des 21. Jahrhunderts. Sie bekommen erst dann einen Wert, wenn Geschäftsmodelle entwickelt werden, die sie wertvoll machen – und Wertvolles hat besonderen Schutz und Sicherheit verdient“, erklärt Peter Buxmann, CRISP-Wissenschaftler und Professor für Wirtschaftsinformatik sowie Leiter des Gründungszentrums HIGHEST an der TU Darmstadt. Bürgerinnen und Bürger müssen sich des Wertes und Schutzbedarfs ihrer Daten bewusst werden, während Transparenz bei der Nutzung und Weiterverarbeitung von Daten sowie faire Preismodelle von Anbietern umgesetzt werden müssen. „Politisch sollten wir uns deswegen eher weg vom Prinzip der Datensparsamkeit in Richtung Datensouveränität bewegen und faire Geschäftsmodelle fördern und fordern“, so Buxmann.

„Um all diesen Herausforderungen zu begegnen, braucht die zivile Cybersicherheit ein interdisziplinäres Netzwerk von Experten der zivilen Cybersicherheitsforschung auf EU-Ebene“, fasst secUnity-Sprecher Jörn Müller-Quade zusammen.

Weitere Informationen  im Internet unter: https://it-security-map.eu/de/startseite/

CEO & Co. als Zielscheibe von Cyberkriminellen

(Bildquelle: Thinkstock_iStock_Hiscox Studie_Digital Economy in Cyber-Gefahr)

(Bildquelle: Thinkstock_iStock_Hiscox Studie_Digital Economy in Cyber-Gefahr)

Die Wellen in Politik und Presse schlagen hoch, wenn persönliche Daten von Personen des öffentlichen Lebens böswillig exponiert werden. Das zeigt gerade eindrücklich der Datenleak hunderter deutscher Politiker, Journalisten und Prominenten. Doch auch in Unternehmen herrscht beim Umgang mit sensiblen Daten oft eine gefährliche Mischung aus Unwissenheit und sträflicher Ignoranz. Anders lässt sich der enorme Umfang an sensiblen Daten im Netz nicht erklären.

Cybercrime kann jeden treffen

Betroffen sind längst nicht nur Politiker und Prominente. Wer sich die Mühe macht, nach sicherheitsrelevanten Informationen im Netz zu suchen, wird fündig – egal ob es sich um einen Bundestagsabgeordneten oder den CEO eines Unternehmens handelt. Erst im letzten Jahr stieß der Threat Intelligence Anbieter Digital Shadows bei einer Untersuchung auf insgesamt 1,5 Mrd. geleakte Unternehmens- und Kundendokumente. Die 12.000 Terabyte an Daten wurden meist unwissentlich und ohne böse Absicht über falsch konfigurierte Server wie FTP, SMB, rsync und Amazon S3 öffentlich ins Netz gestellt.

Risiken und Folgen von Identitätsklau im Internet. (Bildquelle: Digital Shadows)

Risiken und Folgen von Identitätsklau im Internet. (Bildquelle: Digital Shadows)

Auch die nun über Twitter veröffentlichten Adressbücher mit Telefonnummern, E-Mailkonten mit Nachrichten, Messaging-Apps mit Fotos und Chatverläufen waren teilweise bereits seit 2017 im Netz zu finden. In der Regel werden solche Informationen von Cyberkriminellen genutzt, um Angriffe vorzubereiten wie etwa Business Email Compromise(BEC).

In vielen Fällen geht es jedoch schlichtweg darum, Unternehmen und Personen Schaden zuzufügen, ein politisches Statement zu setzen oder Aufmerksamkeit zu erregen (Doxing). VIP Exposure reicht dabei vom gefälschten LinkedIn-Account des Personalchefs, der Bewerber auf gefährliche Webportale lotst, bis zur Verbreitung der privaten Handynummer des CEOs durch einen unzufriedenen Mitarbeiter.

CEOs bevorzugtes Ziel

„In jedem Unternehmen gibt es Personen, die in der Öffentlichkeit stehen und sehr schnell zur Zielscheibe von Cyberkriminellen werden können“; erklärt Stefan Bange, Country Manager Deutschland bei Digital Shadows. „Unternehmen müssen diese VIPs kennen und genau beobachten, welche Informationen über Vorstandsmitglieder, Aufsichtsrat oder wichtige Führungskräfte im Umlauf sind. Erst dann lassen sich entsprechende Gegenmaßnahmen ergreifen – und zwar zeitnah, ehe es zur nächsten großen Enthüllungsstory kommt und der Ruf des Unternehmens in Mitleidenschaft gezogen wird.“

So ist die Cyber-Abwehr in Deutschland organisiert

Wer kümmert sich eigentlich um die Cyber-Sicherheit in Deutschland? Wer das beantworten will, muss erst mal tief Luft holen, schreibt die „Internetworld“. Polizei, Geheimdienste und ein eigenes Bundesamt: Bei der IT-SicherheitIT-Sicherheit braucht eine gute Organisation reden viele mit in Deutschland. Auch beim Datenklau mit rund 1.000 Betroffenen ist gleich eine ganze Behördenriege involviert. … mehr

 

Amazon Interview zu Alexa Hacking, Datenschutz und Ethik

(Bildquelle: Amazon)

(Bildquelle: Amazon)

Ein Beitrag in „Home&Smart“: Mit dem Einzug von Alexa in die deutschen Privathaushalte hat sich Amazons Sprachassistentin binnen eines Jahres vom Geek-Objekt zum digitalen Superstar entwickelt. Vom TV bis zur Ratgeberzeitschrift – es gibt kaum ein Medienformat, das sich noch nicht mit Amazons intelligenten Echo-Lautsprecher und Alexa beschäftigt hat. Doch was verbirgt sich wirklich hinter dem Lautsprecher-Chassis eines Echos? Im Tiefen-Interview hat sich der deutsche „Alexa Vater“, Alexa-Manager Dr. Philipp Berger den kritischen Fragen der homeandsmart-Redaktion gestellt und verraten, wieviel Spionin oder Engel in Alexa steckt. Dabei musste der Country Manager Amazon Alexa Rede und Antwort stehen, zu den Themen Sprachaufzeichnung, Analyse von Emotionen und Nebengeräuschen, Hacking sowie Ethik und Datenschutz. … mehr …

 

Malware nutzt Facebook, WhatsApp und Co

Laut dem IT-Security-Experten Trend Micro  gibt es im Google Play Store derzeit sechs Anwendungen, die auf sensible Daten von WhatsApp, Facebook und Co zugreifen. Die in den Apps identifizierte Malware nennt sich „ANDROIDOS_MOBSTSPY“. Die Programme konnten im Jahr 2018 heruntergeladen werden und haben User in mehr als 200 Ländern betroffen, berichtet „Pressetext“. … mehr

 

IBM: „Weather Channel“ missbraucht Daten

Die „Weather Channel„-App des IT-Giganten IBM  wird der Datenweitergabe an Dritte beschuldigt. Laut der Klage der Stadt Los Angeles gegen das Unternehmen geht hervor, dass der Weather Channel Zugriff auf persönliche Standortdaten genommen und diese an Dritte weitergegen haben soll, berichtet „Pressetext“. … mehr

 

Die ultimative Liste: So viele Datenskandale gab es 2018 bei Facebook

Cambridge Analytica war nur die Spitze des Eisberges: Weitergabe von Nutzerdaten, Hacks und Sicherheitslücken – die Skandale bei Facebook reißen nicht ab. Wer soll sich das alles merken? Hier sind die elf wichtigsten Skandalmeldungen des Jahres zum Chaoskonzern, berichtet „Netzpolitik.org“. …mehr

 

Angriffe auf Krankenhäuser über E-Mails: Das Problem ist Teil der Lösung

AskulapKnapp eineinhalb Wochen musste das Klinikum Fürstenfeldbruck ohne seine 450 Computer auskommen und war auch nicht per E-Mail, sondern nur noch telefonisch erreichbar. Ursache ist wohl ein E-Mail-Trojaner, der über einen Anhang ins System eingedrungen ist. Inzwischen ermittelt die Zentralstelle Cybercrime Bayern, und das Klinikum hat alle Bankkonten sperren lassen.

Wie in anderen bekannt gewordenen Fällen auch spielen E-Mails eine zentrale Rolle, sie sind nach wie vor das Haupteinfallstor für Schad-Software aller Art. Das ist Teil des Problems und kann Teil der Lösung sein – wenn Einrichtungen, Unternehmen und Behörden die Art ihrer Kommunikation ändern. Der Vorfall zeigt, dass die Sensibilisierung von Mitarbeitern für das Thema Cyber-Sicherheit unabdingbar ist, aber nicht isoliert betrachtet werden sollte.

Schadsoftware in E-Mails

Berichten zufolge fiel der erste Rechner des Krankenhauses aus, vermutlich nachdem ein E-Mail-Anhang mit einer darin versteckten Schadsoftware geöffnet wurde, danach hätten immer mehr Abteilungen Probleme gemeldet. Zwar ist die Versorgung der Patienten nach Angaben der Klinikleitung gewährleistet, allerdings hatte sich das einzige Krankenhaus in dem westlich von München gelegenen Landkreis von der Rettungsleitstelle abgemeldet, damit Ambulanzen nur noch lebensgefährlich verletzte Menschen dorthin brachten.

Horrorszenario: Komplettausfall einer Klinik-IT

Es ist zu vermuten, dass dahinter eine Infektion mit der Schad-Software Emotet steckt: Die auf Passwort-Diebstahl und Onlinebanking-Betrug spezialisierte Malware wird derzeit verstärkt in Rechnungen per E-Mail verbreitet. Egal ob gefälschte Rechnungen oder Bewerbungen – die Kriminellen versuchen immer, den Empfänger einer E-Mail dazu zu bringen, einen Dateianhang zu öffnen und auszuführen oder Links zu infizierten Webseiten anzuklicken.

Überhaupt spielt E-Mail hier eine zentrale Rolle: Sie hat sich speziell im Unternehmensumfeld seit vielen Jahren als Hauptkommunikationsmittel etabliert, ist einfach zu bedienen und universell verfügbar – und andererseits seit langem ein bevorzugtes Angriffsziel von Kriminellen, Hackern und Wirtschaftsspionen. Wie auch das aktuelle Beispiel zeigt, lauern die Gefahren in der Art, wie Mitarbeiter kommunizieren. Daher kommt es für IT-Verantwortliche darauf an, die Angriffsfläche zu verringern.

KRITIS: Ein kritischer Blick auf Kommunikationsprozesse ist nötig

Bisheriger „Höhepunkt“ ähnlicher Fälle war die „WannaCry“-Attacke im Mai 2017, bei der mehr als 300.000 Rechner in rund 150 Ländern infiziert worden waren. Getroffen hatte es Unternehmen in der Logistik, der Telekommunikation und dem Gesundheitswesen: In Großbritannien kam es beispielsweise zu erheblichen Störungen in der medizinischen Versorgung, während hierzulande Anzeigetafeln und Fahrkartenautomaten auf Bahnhöfen ausfielen.

Ein Jahr vorher machte das Lukas-Krankenhaus im nordrhein-westfälischen Neuss Schlagzeilen, als ein Erpressungstrojaner alle IT-Systeme lahmlegte. Drastischer hätte uns die Verwundbarkeit der digitalen Infrastruktur wohl kaum vor Augen geführt werden können. Wie eine Studie der Unternehmensberatung Roland Berger ergab, wurden knapp zwei Drittel der deutschen Krankenhäuser (64 Prozent) schon einmal Opfer eines Hacker-Angriffs. Es ist auffällig, dass sehr oft Systeme in so genannten „kritischen Infrastrukturen (KRITIS)“ infiziert wurden. Dazu zählen die großen Krankenhäuser, die in schwerwiegenden Fällen der Meldepflicht unterliegen.

Doch gerade hier tun sich die Betroffenen schwer, die immer wieder erhobenen Forderungen nach dem sofortigen Aktualisieren von Software umzusetzen. Vielmehr ist ein Perspektivenwechsel nötig – weg von der IT und hin zu den in vielen Unternehmen und Behörden vorherrschenden Kommunikationsprozessen.

Wie Einrichtungen, Behörden und Unternehmen die Angriffsfläche verringern können

Der aktuelle Vorfall zeigt erneut, dass die Sensibilisierung von Mitarbeitern für das Thema Cyber-Sicherheit in Form von regelmäßigen Schulungen unabdingbar ist, aber nicht isoliert betrachtet werden sollte.

Neben Informationen, die Angreifer aus den sozialen Medien ziehen, sind auch jene aus unverschlüsselten E-Mails ein Risiko. Und selbst bei verschlüsselten E-Mails (S/MIME und PGP) ist noch im Klartext ersichtlich, wer mit wem über welches Thema kommuniziert – über die Betreffzeile. Dies kann ausreichen, um einem der beiden Kommunikationsteilnehmer weitere Informationen zu entlocken, was für die Vorbereitung eines Social-Engineering-Angriffs genügen kann.

Hier bieten spezielle Software-Lösungen Schutz, mit deren Hilfe IT-Verantwortliche die Angriffsfläche von E-Mails verringern und so Kriminellen die Arbeit erheblich erschweren können. Eine spezielle Authentifizierung sowie das verschlüsselte Übertragen der Inhalte machen dann das Mitlesen von E-Mail-Korrespondenz unmöglich. Wenn auch die Betreffzeile verschlüsselt ist, können Angreifer nicht erkennen, wer mit wem worüber spricht und daraus Rückschlüsse für Social-Engineering-Angriffe ziehen. Zusätzlich wird es so äußerst schwer, Schad-Software einzuschleusen – eine Man-in-the-Middle-Attacke auf dem Weg einer Nachricht von A nach B, bei der die Zahlungsinformationen des eigentlichen Empfängers durch die der Kriminellen ersetzt werden, ist nahezu unmöglich.

Matthias Kess ist CTO der befine Solutions AG mit Sitz in Freiburg im Breisgau.

Matthias Kess ist CTO der befine Solutions AG mit Sitz in Freiburg im Breisgau.

Autor: Matthias Kess ist CTO der befine Solutions AG mit Sitz in Freiburg im Breisgau, die Kommunikationslösungen für Unternehmen entwickelt und vertreibt. Die inhabergeführte befine Solutions AG entwickelt und vertreibt Softwarelösungen für Unternehmen, die damit ihre Prozesse unterstützen, optimieren und überwachen können. Hauptsitz und Entwicklungsstandort des im Jahr 2000 gegründeten Unternehmens mit über 50 Mitarbeitern ist Freiburg im Breisgau. Vertriebsstandorte gibt es in Großbritannien sowie den Niederlanden, eine Tochtergesellschaft in den USA.

Geheime Botschaften für Alexa und Co: Verborgene Audiobefehle können Sprachassistenten manipulieren

Unhörbare Manipulation: Die Spracherkennung von Alexa, Cortana, Siri und Co kann ein Einfallstor für subtile Manipulation sein, wie deutsche IT-Forscher festgestellt haben. Denn über für uns unhörbare Kanäle – beispielsweise versteckt in einem Radiosong – können geheime Befehle an die Assistenten gesendet werden. Diese manipulativen Botschaften bringen das System dann dazu, eine Tür zu öffnen oder online Waren zu kaufen – von uns unbemerkt, berichtet „Scinexx“ . … mehr

 

Digitale Ethik im Datenkosmos

Ein Bericht im Behördenspiegel: Obwohl die Digitalisierung den Datenaustausch und die Kommunikation extrem beschleunigt und erleichtert hat, wohnen der globalen Vernetzung Schattenseiten inne. Um ein wirksames Regulativ gegen Cybermobbing, Hate Speech, Trolling und Co. zu besitzen, wirbt die Digitale Ethik für korrekte Verhaltensweisen im Internet. Sie ist ein Leitfaden für den zivilen Umgang im Netz. … mehr …