Schlagwort-Archiv: Datenschutz

Bitkom warnt: „Weniger Sicherheit durch digitale Überwachungsmöglichkeiten“

Bundesinnenminister Thomas de Maiziére hat es auf Messengerdienste wie Whatsapp abgesehen. Er will sie anzapfen und damit näher dran sein an islamistischen Gefährdern. Teile der SPD haben im Vorfeld der gerade tagenden Innenministerkonferenz in Dresden Zustimmung signalisiert. Bernhard Rohleder, Hauptgeschäftsführer von Bitkom e.V., warnt davor, Hintertüren einzubauen, durch die die Strafverfolgungsbehörden Zugriff auf die Kommunikation hätten: Diese Einfallstore könnten dann auch von kriminellen Angreifern oder Bot-Netzwerken genutzt werden, meint „Inforadio.de“. … mehr

 

KI-Software: Lügner durch Mausbewegung entlarvt

Forscher der University of Padova haben eine Software entwickelt, die auf Basis der Mausbewegungen des Users Lügner enttarnt. Der Algorithmus funktioniert mittels Künstlicher Intelligenz (KI) und hat eine Trefferquote von 95 Prozent. Forschern zufolge könnte das Programm als zusätzliche Sicherheitsstufe dienen, um Cyber-Kriminalität zu stoppen. Dies wäre vor allem bei sensiblen Informationen, die über das Internet preisgegeben werden, sinnvoll, meint „Pressetext“. … mehr

 

Meldepflicht für Hacks und europäische Cybersicherheitsarchitektur gefordert

Übermittlung von Nachrichten, Verkehr, Industrieproduktion, Forschung, Verwaltung – nahezu kein Bereich kommt mehr ohne moderne Informations- und Kommunikationstechnologien aus. Angriffe auf die digitale Infrastruktur durch Kriminelle oder staatliche Organisationen sind folglich eine Gefahr für Wohlstand und Sicherheit, ja Freiheit und Demokratie.

Der große Hacker-Angriff „Wanna Cry“, von dem am vergangenen Wochenende zehntausende Computer auf der ganzen Welt betroffen waren, ist nur das jüngste einer langen Reihe von Beispielen, für das Gefahrenpotential, die Cyberattacken in hochentwickelten Ländern entfalten können. Zukünftig werde es noch weit bedrohlichere Angriffe von heute ungeahnter Wucht geben, warnt Jörn Müller-Quade vom Karlsruher Institut für Technologie (KIT). Im dortigen Kompetenzzentren für IT-Sicherheitsforschung KASTEL wird heute schon an den Verteidigungsstrategien von morgen geforscht.

 Öffentliche Einrichtungen sind nicht ausreichend geschützt

Cybersicherheitsexperten wie Müller-Quade bemängeln schon lange, deutsche Firmen, öffentliche Einrichtungen und Institutionen, seien nicht ausreichend auf digitale Bedrohungen vorbereitet. Im Gegenteil: Durch die fortschreitende Vernetzung, die sich durch Trends wie Industrie 4.0, Smart Home oder selbstfahrende Autos noch potenzieren wird, würden die Angriffsflächen für Cyberschurken immer größer, warnt er.

Bei der Entwicklung vieler neuer Geräte, sei die Cybersicherheit überhaupt nicht berücksichtigt worden, bemängelt der Sicherheitsforscher. Gleichzeitig seien wegen immer stärkerer Arbeitsteilung und Hacking als käuflichem Service für eine effektive Cyberoffensive immer weniger individuelle Hackerkenntnisse notwendig.

In der Entwicklung befindliche Technologien wie Quantencomputer oder künstliche Intelligenz führten zudem dazu, dass Cyberangreifer in Zukunft noch mächtiger würden, erklärt Müller-Quade. „Gleichwohl ist mangelnde Cybersicherheit kein Zukunftsproblem, sie muss jetzt gewährleistet sein“, fordert er. Den Verteidigern im Cyberkrieg fehlen hingegen häufig die Mittel: Dass ein Sicherheitsanalyst die Schadsoftware „Wanna Cry“ stoppte, war nach Medienberichten purer Zufall.

Forderungen an die Politik

Gemeinsam mit Wissenschaftlern der  Cybersicherheitszentren CISPA in Saarbrücken und CRISP in Darmstadt hat Müller-Quade deshalb klare Forderungen an die Politik formuliert und in einem Thesenpapier an die Bundesregierung übergeben.

Cybersicherheit müsse in einem hochtechnisierten Land als Daseinsvorsorge begriffen werden, so der deutliche Anspruch der Forscher. So wie der Staat mit Straßen und Autobahnen eine Infrastruktur für den Verkehr bereitstelle und auf die Einhaltung der Verkehrsregeln durch die Nutzer achte, müsse er für die Sicherheit in der digitalen Gesellschaft sorgen, indem er Infrastrukturen für Cybersicherheit aufbaue.

Müller-Quade denkt zum Beispiel an öffentliche Prüflabore, die weit verbreitete Computerprogramme auf ihre Verlässlichkeit abklopfen. „Momentan kaufen wir in riesigem Umfang Software und wissen überhaupt nicht, was die eigentlich wirklich macht“, bemängelt der Wissenschaftler. „Im Moment sind wir abhängig von ausländischen Betriebssystemen, deren Quellcode wir noch nie gesehen haben.“

Die Folge sei nicht nur ein gravierender Mangel an Sicherheit, sondern auch der Verlust der „digitalen Souveränität: „Deutschland – und ganz Europa – verfügt derzeit nicht über die Fähigkeiten, für mehr Cybersicherheit wichtige Schlüsseltechnologien selbst zu entwickeln.“ Daraus resultiere eine Abhängigkeit von technologisch führenden Nationen wie Israel oder den USA. Das sei vor allem deshalb bedrohlich, da sich vor dem Hintergrund von Ereignissen wie der Präsidentschaft Trumps und dem Brexit derzeit eine Stagnation der internationalen Zusammenarbeit abzeichne. Die digitale Souveränität auf europäischer und nationaler Ebene zurückzugewinnen, „muss strategisches Ziel sein“, fordert Müller-Quade.

„Wenn uns dieses Ziel wichtig ist, müssen wir bereit sein, gemeinsam in seine Erreichung zu investieren.“ Als Beispiel für eine solche gesamteuropäische Kraftanstrengung aus strategischen Gründen nennt Müller-Quade den Luftfahrt- und Rüstungskonzern Airbus. Investitionen von „Airbus-Ausmaßen“ sind laut Müller-Quade für eine robuste europäische Cybersicherheitsarchitektur indes überhaupt nicht notwendig. „Wir könnten zum Beispiel in Open-Source-Systeme investieren“, schlägt der Wissenschaftler vor. Diese seien vielfach schon vorhanden, aber wegen fehlender Benutzerfreundlichkeit wenig verbreitet. Ein Mangel, der sich mit vergleichsweise bescheidenen finanziellen Mitteln beheben ließe.

Bessere Rahmenbedingungen für die Cybersicherheit

Auch müsse der Gesetzgeber für bessere Rahmenbedingungen für die Cybersicherheit sorgen: „Wir brauchen eine Meldepflicht für Cybervorfälle“, fordert Müller-Quade. Firmen, die gehackt worden sind, behalten das aus Angst vor Image-Schäden meist für sich. „Das hat aber zur Folge, dass wir nicht einschätzen können, wie groß das Risiko wirklich ist.“ Ebenso müssten verbindliche Standards für die Vorsorge gesetzt werden: „Es ist wie beim Impfen. Je mehr immun sind, desto weniger kann sich eine Infektion verbreiten.“

BGH bestätigt: Dynamische IP-Adressen sind personenbezogene Daten

Nach einem Urteil des Bundesgerichtshofs vom Dienstag sind dynamisch vergebene IP-Adressen personenbezogen. Unter Umständen dürfen sie dennoch von Website-Betreibern gespeichert werden, berichtet „Heise.de“. Es folgt damit einem im Oktober 2016 ergangenen Urteil des Europäischen Gerichtshofs (EuGH) in derselben Sache. … mehr

 

Deutsche vorsichtig bei WhatsApp und vernetzten Geräten

F5 Networks  hat eine Vergleichsstudie zum App-Nutzungsverhalten in Deutschland, Frankreich und Großbritannien veröffentlicht. Demnach ist fast die Hälfte der befragten Deutschen misstrauisch gegenüber WhatsApp.

36 Prozent sind der Meinung, dass dieser Dienst ein Angriffsziel für Cyberkriminelle sein kann. Dagegen haben die Franzosen keine Berührungsängste: Sie sehen WhatsApp weder als potenzielles Einfallstor für Angriffe noch ist die Angst besonders hoch, dass die App persönliche Daten sammeln und speichern könnte.

Doch nicht nur persönliche Informationen, auch finanzielle Daten sind gefährdet, vor allem bei der Nutzung von Banking Apps. Aktuell sind besonders Banking-Trojaner auf dem Vormarsch, die die Sicherheit unterschiedlicher Anwendungen gefährden. Dies erkennen die Befragten unabhängig von ihrem Herkunftsland.

Gut 4 von 5 Teilnehmer sagen, dass ein Hack dieser Daten für sie am schlimmsten wäre. Ein vollständiger Verzicht auf Banking Apps kommt aber vor allem für die Franzosen nicht in Frage: Sie nutzen deutlich mehr Banking Apps (63% der Befragten) als die Briten oder Deutschen.

Dagegen zeigen sich die Briten bei Smart Devices am unbesorgtesten. 45 Prozent fühlen sich nicht von einem möglichen Hacker-Angriff auf ihre vernetzten Geräte bedroht. In Frankreich sind es nur 26 Prozent und in Deutschland 21 Prozent. Auch hinsichtlich der Vorkehrungen zum eigenen Schutz hinkt Großbritannien hinterher. 26 Prozent der Nutzer prüfen dort die App Security nicht – im Vergleich zu 11 Prozent in Deutschland und 10 Prozent in Frankreich.

Skepsis gegenüber Fitness-Trackern

Ein weiteres Sicherheitsthema ist die Erstellung von Nutzerprofilen. Erstaunlich: Nur 2 Prozent der Befragten in den drei Ländern machen sich Sorgen in Bezug auf Daten, die Aufschluss über die Gesundheit liefern können wie Größe, Gewicht, Gewohnheiten oder Hobbies. Ähnlich verhält es sich bei Bewegungsprofilen: Bei der Taxi-App Uber haben nur durchschnittlich 8 Prozent der Nutzer in den drei Ländern Bedenken bezüglich ihrer Daten, die sich etwa aus der Ortung ableiten lassen.

„Bei gesundheitsrelevanten Daten und Bewegungsprofilen ist die Skepsis zwar gering, doch im Hinblick auf Fitness-Tracker ergibt sich ein anderes Bild: Durchschnittlich 12 Prozent der Befragten sehen aus Sicherheitsgründen von einem Kauf ab“, sagt Ralf Sydekum, Technical Manager bei F5 Networks.

„Fitness-Tracker am Handgelenk wirken sozusagen als Erinnerung an die Gefahren. Das ist besonders in Deutschland ausgeprägt: Während sich nur 2 Prozent bei Gesundheitsdaten und 4 Prozent bei Uber Sorgen machen, sind es bei Fitness-Trackern 15 Prozent. Obwohl die Deutschen im europäischen Vergleich meist am vorsichtigsten sind, sollten sie auch bei der Abfrage einzelner personenbezogener Daten kritischer sein.“

Über die Studie

Opinum research hat im Januar 2017 im Auftrag von F5 Networks je 2.000 Nutzer aus Deutschland, Frankreich und Großbritannien zu ihrem Verhalten online und ihrer Wahrnehmung in Bezug auf Sicherheit befragt.

 Über F5 Networks

F5  macht Apps schneller, intelligenter und sicherer für die weltweit größten Unternehmen, Dienstleister, Regierungen und Verbrauchermarken. F5 liefert Cloud- und Sicherheitslösungen, die es Unternehmen ermöglichen, die von ihnen gewählte Anwendungsinfrastruktur zu nutzen, ohne dabei auf Geschwindigkeit und Kontrolle zu verzichten.

Studie: Alarmierende Zunahme politisch motivierter Cyber-Attacken

Cyberkriminelle haben 2016 mit ihren Aktivitäten eine neue Dimension erreicht. Außergewöhnliche Angriffe wie millionenschwere virtuelle Banküberfälle oder die offenkundig staatlich-induzierten Versuche, den US-Wahlkampf zu beeinflussen, stechen besonders hervor. Das zeigt die 22. Auflage des Internet Security Threat Report (ISTR) von Symantec.

Der jährlich erscheinende Bericht bietet einen umfassenden Überblick über die weltweite Bedrohungslandschaft. Er gibt zudem ausführliche Einblicke in globale Angriffsaktivitäten, Trends im Bereich Cyberkriminalität und die Motivation der Angreifer.

„Einfallsreichtum und Raffinesse bestimmen seit jeher die Bedrohungslandschaft. Dieses Jahr aber konnten wir einschneidende Veränderungen bei der Motivation und Ausrichtung der Attacken feststellen“, sagt Candid Wüest, Principal Threat Researcher bei Symantec. „Die Welt wurde Zeuge, wie einige Staaten ihre Bemühungen, politische Prozesse zu manipulieren und Sabotageaktionen durchzuführen, verdoppelt haben. Gleichzeit konnten Cyberkriminelle mit Cloud-Services und simplen IT-Werkzeugen Störungen in bislang unbekanntem Ausmaß verursachen.“

Einige der wichtigsten Ergebnisse im Überblick

Angriffe mit dem Ziel der Sabotage und politischer Einflussnahme führend

Cyberkriminelle führen vermehrt verheerende, politisch motivierte Angriffe durch, um einer neuen Art von Zielen zu schaden. Die Cyberattacken gegen die Demokratische Partei in den USA und die anschließende Veröffentlichung gestohlener Informationen stehen stellvertretend für den neuen Trend: Kriminelle greifen offenkundig öffentlich wahrnehmbar Organisationen und Staaten an, um diese zu destabilisieren.

Cyberattacken mit dem Ziel der Sabotage waren in der Vergangenheit relativ selten. Die als erfolgreich empfundenen Attacken wie bei den US-Wahlen und im Fall von Shamoon weisen nun hingegen auf die zunehmenden Versuche Krimineller hin, politische Vorgänge zu beeinflussen und in anderen Ländern Unruhe zu stiften.

Staaten haben es auf große Beute abgesehen

Eine neue Art von Angreifern hat es auf große finanzielle Gewinne abgesehen, um mit diesen dann möglicherweise weitere verdeckte und subversive Aktivitäten zu finanzieren. Die größten Diebstähle passieren inzwischen virtuell, Cyberkriminelle stehlen dabei Milliarden. Während einige dieser Angriffe auf das Konto organisierter, krimineller Gruppierungen gehen, scheinen nun zum ersten Mal auch Nationalstaaten involviert zu sein. Symantec hat Belege, die Nordkorea mit Attacken auf Banken in Bangladesh, Vietnam, Ecuador und Polen in Verbindung bringen.

„Bei diesem Fall handelt es sich um einen unglaublich dreisten Angriff. Zugleich war es das erste Mal, dass wir deutliche Hinweise hatten, dass staatliche Stellen an Cyberangriffen beteiligt waren, allein um sich zu bereichern“, erklärt Candid Wüest. „Die Angreifer haben mindestens 94 Millionen US-Dollar erbeutet, im Visier hatten sie aber noch wesentlich größere Summen.“

Angreifer machen gewöhnliche Software zur Waffe – E-Mail wird zum Mittel der Wahl

Im vergangenen Jahr wurden nach Recherchen von Symantec auch PowerShell – eine geläufige, auf PCs installierte Skriptsprache – und Microsoft Office-Dateien verstärkt für Angriffe genutzt. Während Systemadministratoren diese Tools häufig für ihre täglichen Aufgaben nutzen, verwenden Angreifer diese Kombination verstärkt für ihre kriminellen Aktivitäten, da sie schwerer zu entdecken sind und wenig Spuren hinterlassen. Durch ihre häufige Verwendung bei Angriffen waren deshalb 95 Prozent der im vergangenen Jahr von Symantec online untersuchten PowerShell-Dateien bösartig.

Des Weiteren nutzten Cyberkriminelle 2016 verstärkt E-Mails als Angriffsvektor. Die Untersuchungen von Symantec haben ergeben, dass weltweit eine von 131 E-Mails bösartige Links oder Anhänge enthielt. Das ist der höchste Wert der vergangenen fünf Jahre. In Deutschland ist die Rate sogar noch höher: Hier war eine von 94 E-Mails mit einem bösartigen Link oder verseuchtem Anhang versehen.

Außerdem wurden durch sogenannte Business E-Mail Compromise (BEC) Betrugsfälle über die letzten drei Jahre mehr als drei Milliarden Dollar erbeutet und dabei 400 Unternehmen pro Tag angegriffen. Für diese Art des Betrugs sind nicht mehr als sorgfältig zusammengestellte Spear-Phishing E-Mails nötig.

Digitaler Erpressung nachgeben: Amerikaner zahlen am ehesten Lösegeldforderungen

Ransomware wird immer mehr zum globalen Problem, da sie für viele Kriminelle ein lukratives Geschäft ist. Symantec hat im letzten Jahr 101 neue Malware-Familien identifiziert, dreimal so viele wie bisher bekannt. Weltweit stiegen die Ransomware-Attacken um 36 Prozent.

Besonders im Visier der Angreifer sind die USA. Symantec fand dabei heraus, dass 64 Prozent der amerikanischen Opfer von Ransomware die geforderten Summen auch bezahlen, während weltweit nur 34 Prozent der Betroffenen das Lösegeld entrichten und in Deutschland sogar nur 16 Prozent. Das durchschnittlich gezahlte Lösegeld betrug im Jahr 2016 1077 US-Dollar und ist damit um 266 Prozent im Vergleich zum Vorjahr gestiegen.

Risse in der Cloud: Die nächste Ebene von Cyberkriminalität ist erreicht

Die steigende Abhängigkeit von Cloud-Services erhöht das Angriffsrisiko für Organisationen und Unternehmen. Zehntausende Cloud-basierter Datenbanken wurden 2016 mit Lösegeldforderungen gekapert, nachdem Benutzer veralteter Datenbanken diese ungeschützt und ohne notwendige Authentifizierung online zugänglich machten.

Grundsätzlich bleibt Sicherheit in der Cloud für Chief Information Officers (CIOs) eine große Herausforderung. Laut den Daten von Symantec haben viele CIOs den Überblick darüber verloren, wie viele Cloud-basierte Programme in ihrem Unternehmen genutzt werden. Die meisten vermuten, dass es innerhalb ihrer Organisation nicht mehr als vierzig Applikationen sind. Dagegen haben die Recherchen von Symantec ergeben, dass es durchschnittlich sogar beinahe tausend sind.

Diese Diskrepanz führt häufig zu fehlenden Vorgaben und Verhaltensrichtlinien für den Umgang mit Cloud-Services im Unternehmen, was deren Einsatz noch riskanter macht – die „Risse“ in der Cloud werden also größer. Laut Symantec müssen sich CIOs deshalb verstärkt um Cloud-basierte Programme und deren Einsatz kümmern. Andernfalls entstehen neue Einfallstore für Bedrohungen in das IT-System des Unternehmens.

Über den Internet Security Threat Report (ISTR)

Der Internet Security Threat Report bietet einen Überblick und eine Analyse der weltweiten Bedrohungsaktivitäten eines Jahres. Der Bericht basiert auf Daten aus dem Symantec Global Intelligence Network, mit dem Analysten von Symantec neu entstehende Trends bei Angriffen, bösartigem Code, Phishing und Spam identifizieren, analysieren und kommentieren.

Symantec veranstaltet am 4. Mai 2017, 12:00 Uhr ein Webinar zu den diesjährigen Ergebnissen des ISTR. Klicken Sie hier um teilzunehmen sowie für mehr Informationen. Den vollständigen Report sowie weitere Materialien finden Sie auf der Website von Symantec zum Download.

 

Wilhelmshavener Polizei gelingt Schlag gegen international tätige Cybercrime-Betrüger

Ende Februar hat das Team Cybercrime der Polizeiinspektion Wilhelmshaven-Friesland Wohn- und Geschäftsräume im Raum Wilhelmshaven durchsucht und dabei zwei Tatverdächtige vorläufig festgenommen sowie umfangreiche Beweismittel sichergestellt. Die beiden Verdächtigen haben mutmaßlich für eine international operierende Tätergruppe gearbeitet, die sich als Microsoft Mitarbeiter ausgibt und per Telefon kostenpflichtige Support-Dienstleistungen für mit Schadsoftware infizierte Windows-Rechner anbietet.

Internationale Kriminellenbande gibt sich als Microsoft-Mitarbeiter aus

Diese Betrugsmasche ist seit Monaten bekannt, allerdings handelten die jetzt verdächtigten Personen anders, wie die Polizei Wilhelmshaven in einer Pressemitteilung bekannt gab. Demnach wurden Rechner von Anwendern gesperrt, die Webseiten von unseriösen Quellen, oftmals mit pornografischem Inhalt, aufgerufen haben. Auf dem Sperrbildschirm erschien eine 0800-Telefonnummer, unter der angeblich Hilfe zu erwarten sei.

Hinter der Nummer boten angebliche Microsoft-Mitarbeiter kostenpflichtige Dienstleistungen an, um das System wieder freizuschalten. Die Polizei Wilhelmshaven ermittelt gegen die beiden Verdächtigen wegen banden- und gewerbsmäßig begangener Computersabotage sowie Erpressung. Das zuständige Amtsgericht Osnabrück hat Haftbefehle erlassen, die nach richterlicher Anhörung der Festgenommenen aber außer Vollzug gesetzt wurden. Die Ermittler werden nun Kontakt zu den Geschädigten aufnehmen und klären, welchen Tatbeitrag die Festgenommenen tatsächlich geleistet haben.

Microsoft arbeitet mit einer eigenen Digital Crimes Unit

Microsoft hat die Strafverfolgungsbehörden bei den Ermittlungsarbeiten mit seiner Digital Crimes Unit unterstützt, mit der das Unternehmen auf der Basis modernster Analysemethoden eigene Untersuchungen gegen Cyber-Kriminalität durchführt. Die Unit besteht aus Anwälten, Forensikern und Ingenieuren. Das Unternehmen hat im Zusammenhang mit den Ermittlungen des Wilhelmshavener Team Cybercrime einen eigenen Strafantrag gestellt und der Osnabrücker Staatsanwaltschaft Erkenntnisse aus seinen Ermittlungen in USA, England, Deutschland, Indien und Australien zur Verfügung gestellt.

„Wir begrüßen das engagierte Vorgehen der Behörden gegen Callcenter, die unter falscher Identität Computernutzer einschüchtern und in eine Betrugsmasche verwickeln“, sagt Joachim Rosenögger, Ermittler bei der Digital Crimes Unit von Microsoft: „Das Vorgehen der Behörden in Wilhelmshaven zeigt, dass solche Banden zur Rechenschaft gezogen werden und sich nicht hinter einem internationalen Geflecht von Firmen verstecken können. Microsoft wird bei weiteren Fällen außerhalb Deutschlands auch selbst den Strafverfolgungsdruck auf diese Gruppen weiter erhöhen.“

Microsoft weist darauf hin, dass es in Kombination mit der in Wilhelmshaven aufgeflogenen Masche weitere Betrugsversuche gibt. Dabei wird Verbrauchern, die bereits Opfer der Betrüger geworden sind, die Rückzahlung der von ihnen bezahlten Gebühren für den Fall in Aussicht gestellt, dass ein noch fehlender Betrag eingezahlt wird. Bei diesen erneuten Betrügereien entstehen mitunter Schäden im vier- bis fünfstelligen Bereich.

Microsoft rät Anwendern dazu, telefonische Betrugsversuche umgehend zu beenden und auf keinen Fall Fremdsoftware für ihr Endgerät zu erwerben oder zu installieren. Stattdessen sollten Betroffene die Polizei aufsuchen und den Betrugsversuch dort anzeigen. Verbraucher können der Microsoft Digital Crimes Unit über eine spezielle Webseite Scam-Versuche melden: www.microsoft.com/reportascam. Bitte informieren Sie Ihre Leser über diese Kontaktmöglichkeit.

#Freundesverrat: Wie gut sind Daten Ihrer Freunde bei Ihnen aufgehoben?

Wie halten Sie es eigentlich mit den Daten Ihrer Freunde, Bekannten und Verwandten? Sind diese bei Ihnen gut aufgehoben? Das frägt sich „Klartext“. Wie wir alle wissen, ziehen Details aus unserem Privatleben die Internet-Datenkraken an, wie der Honig die Bären. Aber es sind nicht nur unsere eigenen Profile, auch die Daten all unserer Familienmitglieder, Freunde und Bekanntschaften – gespeichert in unseren elektronischen Adressbüchern – wecken Begehrlichkeiten. … mehr

 

Die Schwachstellen der „Intelligenten Zukunft“

Am Mobile World Congress (MWC) standen vernetzte Fahrzeuge, die Zukunft der Smart Homes und natürlich die neuesten Endgeräte ganz oben auf der Agenda. Laut einer aktuellen Studie von Intel Security verbringt jeder Deutsche inzwischen durchschnittlich 37% seiner Zeit zu Hause im Internet. Trotzdem kann knapp die Hälfte aller Deutschen (48%) nicht überprüfen, ob eines ihrer Geräte schon durch Schadsoftware befallen war. 32% gaben sogar an, dass sie sich nicht sicher sind, wie sie prüfen können, ob ihr Gerät in der Vergangenheit beschädigt wurde.

Es wird daher immer wichtiger, Verbrauchern nicht nur die Risiken von Geräten wie Laptops, Handys und Tablets bewusst zu machen. Kunden müssen auch die potenziellen Gefahren kennen, die von modernen vernetzten Geräten, wie Smart-TVs, Lautsprechern und vernetzten Fahrzeugen ausgehen.

Jugendschutz im vernetzten Zuhause

Die neue Partnerschaft zwischen Humax, Intel und Intel Security sorgt in einem vernetzten Haushalt für eine stabile Konnektivität und Sicherheit. Die McAfee Secure Home Platform bietet eine Sicherheitsebene, die vernetzte Geräte im Heimnetzwerk automatisch vor diversen Bedrohungen schützt. Sie können damit Jugendschutzeinstellungen festlegen und Warnungen vor möglichen Bedrohungen in Echtzeit erhalten.

“Unsere jüngsten Forschungen ergaben, dass sich mehr als drei Viertel aller Eltern (74%) darum sorgen, dass ihre Kinder online mit Kriminellen interagieren“, sagt Raj Samani, Chief Technological Officer EMEA bei Intel Security. “Dennoch verfolgen zwei Fünftel (34%) der Eltern nicht, was ihre Kinder im Internet treiben. Ein Viertel (25%) davon würde jedoch die Online-Aktivität ihrer Kinder überwachen, wenn es dazu eine einfache Möglichkeit gäbe.“

“Die Partnerschaft mit Humax hilft uns dabei, den Eltern die Kontrolle über die internetfähigen Geräte zu Hause zurück zu geben um die eigene Familie vor möglichen Risiken zu schützen. Indem wir uns auf das smarte und vernetzte 5G Zuhause bewegen, steigt die Nutzung des Internet und der Datenmengen, die wir täglich schaffen. Im gleichen Maße steigt unsere Abhängigkeit von Apps, um unser Zuhause zu kontrollieren. Wir müssen sicherstellen, dass angemessene Schutzmaßnahmen installiert sind, um jeden Zugriffspunkt zu schützen. Das gilt sowohl für das Netzwerk, den Router und die Endgeräte, als auch die Apps und die Software, die sie kontrollieren”, so Samani weiter.

Risiko durch „tote Apps“

„Tote Apps“ sind Apps, die nicht geupdatet oder gelöscht wurden aber weiterhin auf den Handys installiert sind. So sind sie nicht auf dem neuesten Sicherheitsstand und Türöffner für Malware und andere Viren. Wie der Mobile Threats Report von Intel Security zeigt, wurden im vergangenen Jahr bei Google Play mehr als 4.000 Apps entfernt – ohne, dass die Nutzer darüber informiert wurden. Telemetriedaten, die von den McAfee Labs erhoben wurden, zeigen, dass nach wie vor mehr als 500.000 Geräte solcher „toten Apps“ auf Smartphones installiert sind.

Ein aktuelles Beispiel ist eine App, die Passwörter stiehlt, indem sie sich als Instagram-Analyse-App ausgibt. Um die angebliche Analyse zu erhalten, müssen Nutzer ihre Instagram Login-Daten eingeben. Den Nutzern ist dabei nicht bewusst, dass sie ihre Nutzerdaten bei einer Phishing-Webseite eingeben und so ihre Anmeldedaten gestohlen werden.

“Um den Verlust ihrer persönlichen Daten an tote Apps zu vermeiden, müssen Verbraucher genau darauf achten, welche Apps sie herunterladen und bei jeder App Informationen zum Entwickler und Bewertungen nachlesen, bevor sie die App installieren”, meint Raj Samani. “Sie sollten auch nach einem Sicherheitstool Ausschau halten, das Apps identifiziert, die nicht mehr im Store sind und eventuell sogar Informationen darüber liefern können, wieso die App entfernt wurde.”

Tipps zum Schutz der persönlichen Daten

„Mit der zunehmenden Vernetzung steigen auch die Risiken durch Cyber-Kriminelle. Allerdings können sich Verbraucher schon mit einigen wenigen Mitteln sehr effektiv schützen,“ sagt Cyber-Sicherheitsexperte Alexander Salvador von Intel Security. Er gibt folgende Tipps, wie Nutzer ihre Geräte schützen können:

  • Sperren Sie Ihre Geräte. Wo möglich sollten Geräte mit einem starken PIN oder einem komplexen Passwort gesperrt werden, um unerlaubte Zugriffe zu vermeiden. Nutzen Sie außerdem eine Multi-Faktor-Authentifizierungslösung, wie True Key von Intel Security, die Ihre starken Passwörter mit einer extra Sicherheitsstufe verbindet – zum Beispiel mit Ihrem Fingerabdruck oder einer Gesichtserkennung. Selbst wenn das Passwort gestohlen werden sollte, bleibt der Zugriff für andere Personen verwehrt.
  • Halten Sie Ihre Geräte auf dem neuesten Stand. Stellen Sie sicher, dass Sie Ihre Geräte aktualisieren, sobald neue Versionen des Betriebssystems oder der Anwendung zur Verfügung stehen. Updates enthalten oft wichtige Sicherheitskorrekturen, die Probleme beheben und vor Angriffen schützen.
  • Kontrollieren Sie Ihr Heimnetzwerk. Die Einrichtung eines WLAN-Netzwerkes für Gäste ermöglicht Ihren Besuchern den Zugang zum Internet, aber sorgt dafür, dass Ihr Heimnetzwerk isoliert bleibt. Sie können auch Ihre IoT-Geräte (Smart-Home-Geräte, Wearables, usw.), auf denen private Informationen gespeichert sind, von traditionellen Geräten (Laptops, Smartphones, Tablets, usw.) trennen. So betrifft die Gefahr eines IoT Gerätes lediglich Geräte, die mit dem Gästenetzwerk verbunden sind.

Datenschutz: Wenn der Teddybär Geheimnisse ausplaudert

Teddybaer Der Sicherheitsforscher Troy Hunt hat einen Blogpost veröffentlicht, in dem er beschreibt, wie Hacker über eine ungesicherte Datenbank an vertrauliche Daten gelangen konnten, die von CloudPets Teddybären generierte wurden. In erster Linie handelt es sich dabei um Sprachnachrichten von Kindern und Eltern, mit denen die Kriminellen mutmaßlich versuchen, das Herstellerunternehmen SpiralToys zu erpressen.

Zwar bestreitet die Firma das Datenleck gegenüber Networkworld und gibt an, dass die öffentlich zugängliche MongoDB-Datenbank, in der sich die Aufnahmen und weitere Anmeldedaten von Nutzern befanden, von einem externen Unternehmen verwaltet wird; sie haben allerdings dennoch allen Nutzern die Änderung des Passworts empfohlen.

Vernetzte Spielzeuge mit Risikopotenzial

Es ist nicht das erste Mal, dass moderne vernetzte Spielzeuge in letzter Zeit in die Schlagzeilen geraten: Erst vor Kurzem hat die Bundesnetzagentur die Kinderpuppe Cayla aus ähnlichen Gründen vom Markt nehmen lassen.

Oliver Keizers, Regional Director DACH beim Sicherheitsspezialisten Fidelis Cybersecurity.

Oliver Keizers, Regional Director DACH beim Sicherheitsspezialisten Fidelis Cybersecurity.

Oliver Keizers, Regional Director DACH beim Sicherheitsspezialisten Fidelis Cybersecurity, sieht Hersteller und Eltern nun in der Pflicht:

„Die Tatsache, dass die Sprachaufnahmen ihrer Kinder frei online zugänglich und vielleicht in den falschen Händen sind, wird wohl alle Eltern zum Schwitzen bringen. Dieses Datenleck ist nach aktuellem Kenntnisstand einer Mischung aus schlechten Authentifizierungsmethoden und dem Nutzen einer Datenbank geschuldet, die bereits Anfang des Jahres als risikoanfällig beschreiben wurde.

Für Nutzer und Eltern, die mit dem Gedanken spielen, ihren Kindern ein ähnliches, vernetztes Spielzeug zu kaufen, gilt es jetzt abzuwägen, ob man das Risiko eingehen möchte, dass damit einhergeht. Zudem sollten sie sofort natürlich ihr Zugangspasswort ändern, sowohl bei ihrem CloudPets-Account, als auch bei allen anderen Zugängen, die das gleiche Passwort nutzen. Viele Menschen verwenden ein und das selbe Passwort für mehrere Apps und Websites, was Cyberkriminellen nach einem Datenklau immer wieder Zugriff auf weit mehr Daten gibt, als zunächst angenommen.

CloudPets wiederum wird seine eigene Infrastruktur, ihre Authentifizierungsmaßnahmen und die Verwendung einer unsicheren Datenbank in den Händen eines Drittanbieters evaluieren müssen. Die Sicherung der Nutzerdaten muss für jedes moderne Unternehmen oberste Priorität besitzen – ansonsten riskieren sie vom Vertrauensverlust wie im vorliegenden Fall bis zum Verbot wie im Fall ‚Cayla‘ alles.“

 

Wenn die Liebe zu Apps gefährlich wird

Bildquelle: Fotolia/beugdesign

Bildquelle: Fotolia/beugdesign

Die Deutschen lieben ihre Apps. In anderen Ländern mögen die Download-Zahlen rückläufig sein, nur in Deutschland installieren wir wie die Weltmeister. Das ergab eine Studie von Adobe Digital Insights, die während des auf dem Mobile World Congress veröffentlicht wurde. Aber bei all der Begeisterung für die Apps, vergessen viele, dass sie mit „toten Apps“ Hackern Tür und Tor zum eigenen Smartphone öffnen.

„Tote Apps“ sind Apps, die nicht geupdatet oder gelöscht wurden. So sind sie nicht auf dem neuesten Sicherheitsstand und öffnen Tür und Tor für Malware und Datenklau – der Vorstellung sind hier keine Grenzen gesetzt. Der Mobile Threats Report, den Intel Security ebenfalls in Barcelona auf dem MWC veorgestellt hat, zeigt, dass nach wie vor auf mehr als 500.000 Geräten solche „toten Apps“ installiert sind.

„Um den Verlust ihrer persönlichen Daten an tote Apps zu vermeiden, müssen Verbraucher genau darauf achten, welche Apps sie herunterladen und bei jeder App Informationen zum Entwickler und Bewertungen nachlesen, bevor sie die App installieren”, meint Raj Samani, CTO Intel Security EMEA. „Sie sollten auch nach einem Sicherheitstool Ausschau halten, das Apps identifiziert, die nicht mehr im Store sind und eventuell sogar Informationen darüber liefern können, wieso die App entfernt wurde.”

Microsoft hat sich dem Problem von einer anderen Seite angenähert und seinen App Store anlässlich neuer Altersfreigabe-Regeln radikal aufgeräumt – Anwendungen, die durch ihren Entwickler nicht aktualisiert wurden, flogen raus (über 60 Prozent der Apps). Bis die anderen App-Stores nachziehen liegt es auch an den Verbrauchern, ein wachsames Auge zu haben, ob sie sich nicht eine gefährliche App eingefangen haben. Liebe zur App macht blind – und das kann gefährlich werden. Überprüfen Sie doch mal, welche Leichen Sie im Smartphone haben.

Das Internet der Dinge kann auch Mörder verraten…

Mit smarten Kameras von LUPUS-Electronics haben Sie ihr Zuhause von überall aus im Blick © LUPUS-Electronics

Mit smarten Kameras von LUPUS-Electronics haben Sie ihr Zuhause von überall aus im Blick © LUPUS-Electronics

Das Internet der Dinge (IoT) ist definitiv in unseren Haushalten angekommen und irgendwie fühlt man sich schon fast wie auf der Brücke vom Raumschiff Enterprise. Coole Gadgets steuern vieles per Stimme, wofür wir normalerweise ein paar Schritte wie beispielsweise zum Lichtschalter oder zur Stereoanlage gehen müssten – alles ganz einfach per Sprachbefehl oder Frage.

Damit diese beeindruckenden persönlichen Assistenten funktionieren benötigen sie das Internet und das nicht nur, um Musik abzuspielen oder eine Antwort zu geben. Sie nehmen alle Befehle auf und speichern diese. Erst so können Hersteller von Echo/Alexa, Siri, Cortana oder Google Home die Qualität der sprachlichen Interaktion weiter verbessern und den Geräten noch mehr Beeindruckendes beibringen.

In einem jüngeren Fall in USA wollte sich die Polizei derartiger Sprachaufnahmen einer Anwenderin zunutze machen. In Zusammenhang mit einem Mord verlangte die Polizei sämtliche Sprachaufnahmen des Amazon Echo-Geräts in der Hoffnung, Hinweise zur Aufklärung der Tat zu erhalten. Doch Amazon hat sich an den Datenschutz gehalten und geweigert, die entsprechenden Sprachaufzeichnungen herauszugeben. Dieser Fall zeigt, dass bestimmte Einrichtungen ein valides Interesse an derartig gespeicherten Informationen haben. Es ist aber auch leicht vorstellbar, dass Cyber-Kriminelle eine lohnende Einnahmequelle durch Erpressung daraus entwickeln könnten.

Hundertprozentige Privatsphäre ausgeschlossen

Anwender, die solche Technologien zuhause oder im Büro einsetzen, dürfen nicht mit einer hundertprozentigen Privatsphäre rechnen. Aber es gibt ein paar Dinge, auf die Benutzer achten sollten, um zumindest etwas mehr Sicherheit zu erhalten:

Wenn Echo nicht genutzt wird, sollte die Stummtaste aktiviert sein. Die Stummschaltung befindet sich direkt am Gerät. Das „immer hörende“ Mikrofon wird somit abgeschaltet, bis es wieder aktiviert wird.

  1. Man sollte Echo nicht mit sensiblen Accounts verbinden. Es gab bereits einige Fälle in denen die Verkettung von mehreren Accounts zu unschönen Überraschungen oder Tränen geführt haben. Ein Kontrollverlust wie beispielsweise bei Bestellungen ist schnell geschehen.
  2. Alte Aufnahmen sollten gelöscht werden. Bei Echo beispielsweise können auf dem Amazon-Konto unter „Manage my Device“ über ein praktisches Dashboard einzelne Abfragen oder der gesamten Suchverlauf gelöscht werden.
  3. Google-Settings sollten restriktiv eingestellt sein. Wer Google Home verwendet, kennt das immense Datensammelverhalten des Unternehmens. Aber immerhin bietet Google auf der Webseite diverse Einstellmöglichkeiten an, um Berechtigungen zu erlauben oder zu entziehen. Darüber hinaus verfügt auch Home über eine Mute-Taste.

„Systeme wie Amazon Echo/Alexa oder Google Home sind faszinierend und werden sich in unserer technisch affinen Welt sehr schnell verbreiten. So angenehm und interessant sie unser Leben auch gestalten, die Nutzer sollten unbedingt auf Sicherheit und Privatsphäre achten. Hier ist jeder einzelne Nutzer gefragt, aktiv darüber nachzudenken, welche Informationen er preis gibt und welche nicht“, sagt Michael Veit, Security-Experte bei Sophos.

Datenschutz ist kein Selbstzweck

Daten als das neue Öl, das neue Gold, als Währung, als Produktionsfaktor, als Rohstoff des 21. Jahrhunderts. Viele – mal mehr, mal weniger gelungene – Bilder wurden in den vergangenen Jahren entworfen, um die Bedeutung von Daten für die digitale Entwicklung zu unterstreichen. Mittlerweile hat wohl jeder verstanden, dass Daten auch zu attraktiven Wirtschaftsgütern geworden sind. Leider vernebeln einige zweifelhafte Grundannahmen die öffentliche Debatte über Datenschutz und Privatsphäre, ist es im „Tagesspiegel“ zu lesen. … mehr

 

Lassen Sie am Valentinstag das WLAN Amor spielen

HerzAm 14. Februar ist es wieder soweit. Der Valentinstag erinnert uns daran, was wir uns von einer Liebesbeziehung wünschen: Vertrauen, Verlässlichkeit, Sicherheit und Integrität. Und genau das erwarten wir auch von einem gut funktionierenden WLAN. Die Realität sieht in beiden Fällen schon mal völlig anders aus. Damit Ihnen zumindest die Funktechnologie nicht das Herz bricht, sind hier ein paar Ratschläge, wie eine gute, stabile und dauerhafte WLAN-Verbindung aussehen könnte.

1. Vertrauen Sie einander

Sicherheit und Integrität sind die Eckpfeiler jeder guten Partnerschaft und genauso wichtig sind sie für eine gute WLAN-Verbindung. Eine Studie von Xirrus zeigt, dass 91 Prozent aller Nutzer von WLANs davon ausgehen, dass öffentliches WLAN unsicher ist, es 89 Prozent aber dennoch verwenden. Es lohnt sich, auf das richtige Netzwerk zu warten, bevor man ihm seine persönlichen Daten anvertraut. Achten Sie darauf, dass Sie Ihre persönlichsten Geheimnisse nur einem WLAN anvertrauen, das robuste Sicherheitsrichtlinien und eine geeignete Infrastruktur besitzt.

2. Bitte ein wenig Privatsphäre

Privatsphäre ist nicht nur am Valentinstag gewünscht und nicht nur im menschlichen Miteinander. Daran sollte man auch denken, wenn man eine Bindung mit einem WLAN eingehen will. Es ist wichtig, einige Dinge privat zu halten, gerade in öffentlichen Netzwerken. Beispielsweise sollten Sie sicherstellen, dass der SSID-Name und die Verschlüsselungsmethode dem entsprechen, was der Anbieter verspricht.

Geben Sie nur dann Kreditkartendaten oder sonstige persönliche Informationen über das Anbieternetzwerk ein, wenn Sie ein sicheres persönliches Netzwerk verwenden. Ansonsten sollten Sie für den Moment auf Online-Shopping verzichten. Und stellen Sie sicher, dass in öffentlichen Netzwerken die direkte Kommunikation zwischen Geräten deaktiviert ist. Wenn Sie andere Benutzer im Netzwerk sehen können, etwa über AirDrop, Finder oder Explorer, trennen Sie sofort die Verbindung, überprüfen Sie die öffentliche IP-Adresse des Netzwerks, etwa über mxtoolbox.com, . Überprüfen Sie den DNS-Namen, um sicherzustellen, dass es sich tatsächlich um das Netzwerk des Anbieters handelt.

3. Machen Sie sich nicht abhängig

Immer mehr Menschen werden Opfer von Ransomware und meist zahlen sie das Lösegeld, um die Kontrolle über ihre Daten wiederzubekommen. Denken Sie aber daran, dass Ransomware heutzutage nicht ausschließlich Ihren Laptop infiziert. Es gibt ausgefeilte Apps und Bots im Web, die auch in Ihr Smartphone oder Ihre Smart Devices eindringen können. Es lohnt sich, wachsam zu sein, da Angreifer heute durchschnittlich rund 640 Euro Lösegeld verlangen. Eine schmerzhafte Erfahrung.

4. Lassen Sie aus Datenströmen keine Tränenströme werden

Sie sind im Hotel und möchten zusammen etwas Romantisches auf Netflix schauen, um in die richtige Valentinstagstimmung zu kommen? Vorsicht! Streaming Media ist noch immer das größte Problem in den WLANs der meisten Hotels. Wenn das WLAN Ihres Hotels nicht fortschrittlich genug ist, um bestimmten Datenverkehr zu priorisieren oder es keine separaten Netzwerke für Zimmer, öffentliche Bereiche und Mitarbeiter gibt, kann es immer Auslastungsspitzen geben.

Performance-Probleme sind da schon fast vorprogrammiert, was wirklich das Letzte ist, was man am Valentinstag gebrauchen kann. Für den Fall, dass das WLAN Ihres Hotels es nicht bringt, sollten Sie zur Sicherheit ein paar romantische Playlists auf Spotify, GooglePlay oder iTunes dabeihaben, damit es sicher romantisch wird ? vergessen Sie jedoch nicht Ihre WLAN-Lautsprecher!

6. Es tut mir Leid, mein Fehler, nicht deiner

Unsere Studie zeigt, dass die überwältigende Mehrzahl der WLAN-Benutzer sich selbst die Schuld geben würde, falls ein Hacker sie erwischt, während nur ein Drittel den WLAN-Anbieter und ein Viertel den Betreiber vor Ort verantwortlich machen würden. Die meisten Unternehmen geben ihren Mitarbeitern schlicht nicht das notwendige Wissen und die Tools an die Hand, um wachsam zu bleiben und die Sicherheit zu gewährleisten.

7. Mach mich an

Die Rede ist natürlich von den Geräten! Der Vorteil heutiger Smart Homes ist, dass sich per WLAN und einer mobilen App die Heizung hochregeln, der Ofen vorheizen oder Whirlpool aufwärmen lässt, lange bevor Sie zu Hause sind. Das ist gerade am Valentinstag nützlich, wenn Sie auf dem Heimweg Essen zum Mitnehmen besorgen und so tun möchten, als hätten Sie stundenlang daheim in der Küche gestanden (keine Sorge, wir verraten Sie nicht!). Auch das richtige Ambiente ist wichtig, um die passende Stimmung zu erzeugen. Per WLAN steuerbare LED-Lampen bieten heute warme, angenehme Farbtöne und Beleuchtungsoptionen, die mit einer einfachen Berührung Ihres Touchscreen gedimmt werden können. Lassen Sie Valentinstag das WLAN Amor spielen.

Das sind viele Möglichkeiten, wie Sie mit Ihrem WLAN den Valentinstag verschönern können. Eines ist jedoch keine gute Idee: Auch wenn es noch so verlockend sein mag, beim Date im Restaurant die Fußballergebnisse oder VIP-News zu checken – wenn Sie auf Ihr Smartphone gucken, statt ihr oder ihm in die Augen zu schauen, wird Ihr Abend nicht in die Verlängerung gehen. Denken Sie stets daran: Am Valentinstag ist Romantik die einzige Sportart, die zählt.

Autor: Shane Buckley ist CEO von Xirrus