Schlagwort-Archiv: Datenschutz

Ransomware der Dinge: Das IoT-Gerät als Geisel

swirl-optical-illusion-300x203Die weltweite Vernetzung schreitet kontinuierlich voran, allerdings schaffen die wechselseitigen Abhängigkeiten des digitalen Zeitalters auch eine neue Angriffsfläche für Cyberkriminelle. Leider verzeichneten die letzten Jahre unrühmliche Meilensteile in der Entwicklungsgeschichte des Internet of Things: So war Ende 2016 das erste Mal ein groß angelegter Cyber-Angriff in Form der Mirai Malware erfolgreich, der hunderttausende IoT-Geräte wie Router, Kameras, Drucker und Smart-TVs für den Aufbau eines Botnets nutzte.

Dieses sorgte weltweit für DDoS-Attacken, unter anderem auf Unternehmen wie Twitter, Amazon oder die Deutsche Telekom. Wie groß die Sicherheitslücken im IoT sind, wurde auch auf der Def Con Hacking Conference in Las Vegas gezeigt, indem Sicherheitsforscher vorführten, wie ein IoT-fähiges Thermostat mit einem gezielten Ransomware-Angriff gehackt und gesperrt werden kann.

Zunächst ist es wichtig, zwischen traditioneller Ransomware, die in der Regel auf PCs und Server abzielt, und Attacken auf IoT-Geräte zu unterscheiden. Klassische Ransomware infiziert den Zielcomputer und verschlüsselt die darauf befindlichen Daten, um für deren Entschlüsselung anschließend ein Lösegeld zu erpressen.

Zwar ist es hier möglich, mit einer Datensicherung die betroffenen Daten wiederherzustellen, doch aufgrund mangelhafter Backups sehen sich einige Opfer gezwungen, der Lösegeldforderung nachzugeben. So bleibt diese Methode für Angreifer weiterhin ein profitables Geschäft, wie auch die massiven Ransomware-Wellen von WannaCry und Petya eindrucksvoll unter Beweis gestellt haben. Mit dem geringen Sicherheitsniveau von IoT-Geräten ist daher in den kommenden Jahren auch mit darauf zugeschnittenen Ransomware-Angriffen zu rechnen.

Ziel der IoT-Ransomware: Geiselnahme des Geräts

Datendiebstahl lohnt sich bei IoT-Geräten nicht. Auf ihnen befinden sich in der Regel kaum beziehungsweise keinerlei sensible Daten. Die Strategie der Angreifer konzentriert sich daher darauf, den Nutzerzugriff auf das Gerät zu sperren und das Endgerät sozusagen in Geiselhaft zu nehmen.

Auf den ersten Blick mag dies eher wie eine Unannehmlichkeit erscheinen. Doch bereits ein relativ harmloses Beispiel wie der Hack auf das Computersystem eines Vier-Sterne-Hotels in Kärnten, der 2017 Schlagzeilen machte, zeigt, welche weitreichenden Konsequenzen ein derartiger Angriff nach sich ziehen kann: Kriminelle manipulierten das Schließsystem der Zimmer, infolgedessen sie für die Gäste nicht mehr betretbar waren.

Gleich dreimal in Folge führten die Angreifer erfolgreich diese Attacke gegen Forderung eines Lösegelds aus. Gleiches gilt für den Def Con-Hack des gesperrten Thermostats: Überträgt man dieses Beispiel auf Thermostate zur Steuerung von Kühlaggregaten in einem Lebensmittellager oder auf eine Rechenzentrumsklimaanlage, wird die neue Bedrohungslage von IoT-Ransomware deutlich.

Die zweifelhafte Sicherheitshistorie des Internet of Things

Leider ist eine Vielzahl der derzeit in Betrieb befindlichen IoT-Geräte extrem anfällig für IoT-Ransomware-Angriffe, denn im Zuge der IoT-Popularitätswelle haben viele Hersteller in den letzten Jahren Millionen von IoT-Geräten so schnell wie möglich entwickelt und verkauft, wobei die Gerätesicherheit auf der Strecke blieb. Infolgedessen verfügen die meisten IoT-Geräte heutzutage über Standardberechtigungen, verwenden unsichere Konfigurationen und Protokolle und sind notorisch schwer zu aktualisieren, was sie überaus anfällig für Kompromittierungsversuche und damit zu einem lukrativen Ziel für Cyberkriminelle macht.

Erschwerend kommt hinzu, dass das Auftreten von Low-Level-Protocol-Hacks wie KRACK (Key Reinstallation Attack) Angreifern neue Möglichkeiten bietet, die IoT-Infrastruktur zu umgehen und Geräte durch die Einspeisung eines anderen Codes zu manipulieren. Dies hat besonders schwerwiegende Folgen, wenn die Geräte Steuerbefehle von einer Cloud-Anwendung synchronisieren oder empfangen müssen.

 Drei Punkte zur Bewertung der IoT-Gerätesicherheit

Um sichere Betriebsabläufe gewährleisten zu können, ist beim Einsatz von IoT-Geräten eine umfassende Bewertung der Gerätesicherheit aus verschiedenen Blickwinkeln unabdingbar. Die Evaluierung sollte stets die folgenden drei Bereiche abdecken:

Hardware: Die physische Sicherheit sollte bei der Bewertung eines neuen Geräts immer eine wichtige Rolle spielen. Mit physischen Schaltern kann das Gerät manipulationssicher gemacht werden, indem dafür gesorgt wird, dass einzelne Gerätekomponenten nicht ohne Erlaubnis angesprochen und dekodiert werden können. Beispielsweise können mit einer Stummschalttaste Mikrofone und Audioempfänger sämtlicher Geräte deaktiviert werden.

  • Software: Auch bei IoT-Geräten gilt: Die Software sollte stets auf dem neuesten Stand sein. Bei der Auswahl eines Geräteherstellers muss daher darauf geachtet werden, dass dieser seine Software regelmäßig aktualisiert und patcht.
  • Netzwerk: Der Datenaustausch zwischen IoT-Geräten, Backend-Management- oder Speicherlösungen sollte ausschließlich über sichere Webprotokolle wie HTTPS erfolgen und der Zugriff ausschließlich über mehrstufige Authentifizierungsmethoden. Darüber hinaus ist darauf zu achten, dass alle standardmäßigen Anmeldeinformationen, die mit dem Gerät mitgeliefert wurden, umgehend in starke alphanumerische Zeichenfolgen abgeändert werden.

Die Umsetzung dieser grundlegenden Sicherheitsprinzipien trägt wesentlich dazu bei, sich gegen viele der aufkommenden Bedrohungen wie die neue Art von IoT-Ransomware-Angriffen zu verteidigen. Wenn die IoT-Welt jedoch wirklich sicher werden soll, ist es an der Zeit, sie wie jedes andere IT-System zu behandeln und sicherzustellen, dass ihr Schutz ebenso robust, effektiv und zukunftssicher ist.

Autor: Christoph M. Kumpa ist Director DACH & EE bei Digital Guardian. Digital Guardian bietet eine bedrohungserkennende Datensicherungsplattform, die speziell entwickelt wurde, um Datendiebstahl sowohl durch interne als auch durch externe Angriffe zu verhindern. Die Digital Guardian-Plattform kann für das gesamte Unternehmensnetzwerk, traditionelle und mobile Endgeräte sowie Cloudanwendungen eingesetzt werden.

Das Gesicht als Barcode: Wie Face ID Sicherheit bietet

Bildquelle: Fraunhofer-Institut für System- und Innovationsforschung ISI, istockphoto /@Jenny Horne

Bildquelle: Fraunhofer-Institut für System- und Innovationsforschung ISI, istockphoto /@Jenny Horne

Smartphone-Hersteller wie Apple setzen bereits auf die Nutzeridentifizierung via Gesichtserkennung. Diese auf dem iPhone X verwendete Gesichtserkennungsmethode nennt sich Face ID und ersetzt auf dem Gerät Touch ID. Face ID entwickelt sich zunehmend zu einem Differenzierungsmerkmal für Unternehmen, die ihren Kunden ein komfortables, mobiles Benutzererlebnis bieten möchten. Vor wenigen Monaten berichteten die Medien darüber, dass sich Face ID angeblich mit einer Maske überlisten lässt. Eignet sich diese Authentifizierungsmethode dann überhaupt für sicherheitskritische Anwendungen wie Banken-Apps?

Balanceakt zwischen Kundenerlebnis und Sicherheit

Technologische Neuerungen sind immer ein Balanceakt zwischen Kundenerlebnis und Sicherheit. Die Lösung muss sicher sein, aber die Methoden dürfen den Nutzer nicht im Komfort einschränken. Der Vorteil biometrischer Authentifizierungstechnologien wie Face ID ist die höhere Akzeptanz beim Anwender im Vergleich zu herkömmlichen Mechanismen wie PIN oder Passwort – Sicherheitsfeatures, die auch einmal vergessen werden können.

Obwohl sich die Gesichtserkennungstechnologie in die richtige Richtung entwickelt, haben viele noch Bedenken, ob jemand „ihr Gesicht“ stehlen kann. Sicherlich sind diese Vorbehalte nicht ganz unbegründet, sie lassen sich aber schnell ausräumen, wenn man versteht, wie Gesichtserkennung funktioniert.

Der große Vorteil der Face-ID-Technologie

Facial Recognition bietet ein hohes Maß an Sicherheit, denn die Technologie ist in der Lage, zwischen dem Bild eines menschlichen Gesichts, zum Beispiel einem Foto, und der Realität zu unterscheiden. Diese Fähigkeit wird als Liveness Detection bezeichnet. Beim iPhone X kommt eine 3D-Kamera zum Einsatz, die die Dreidimensionalität eines Gesichts untersucht, sodass der Schutz nicht mit einem Foto umgangen werden kann. Zur Identifizierung reicht ein Blick in die Kamera – das ist wesentlich benutzerfreundlicher und komfortabler als die Eingabe eines Codes oder einer Wischgeste und bietet trotzdem ein hohes Maß an Sicherheit.

Face-ID-Lösung für das Bankgeschäft

Besonders im Bankgeschäft lohnt sich eine Investition in diese Technologie, denn biometrische Authentifizierung reduziert den Verwaltungsaufwand enorm, wenn beispielsweise vergessene Passwörter neu beantragt werden müssen. Nicht zu unterschätzen ist, dass sich auch die Erwartungshaltung der Kunden ändert. Für Bankkunden wird es zunehmend selbstverständlich, dass ihre Mobile Banking App biometrische Sicherheitsfunktionen besitzt.

Wenn Banken wichtige Wettbewerbsvorteile sichern möchten und ihren Kunden ein optimales Nutzererlebnis bieten möchten, sollten sie also in Techniken wie Face ID investieren. Maximale Sicherheit bietet man seinen Kunden jedoch nur, wenn man mindestens zwei Authentifizierungsmethoden anwendet. Face ID ist somit nur Teil eines komplexen im Hintergrund laufenden Sicherheitssystems.

Fest steht, dass biometrische Verfahren sicherer und benutzerfreundlicher sind als schwache, statische Passwörter oder eine vierstellige PIN, trotzdem bleibt ein mehrschichtiger Ansatz die stärkste Waffe gegen Angriffe. VASCO bietet eine breite Palette von Authentifizierungstechnologien, die miteinander kombiniert werden können, um sowohl ein Optimum an Sicherheit als auch eine hohe Benutzerfreundlichkeit zu gewährleisten.

Guillaume Teixeron_Product Manager_VASCO Data SecurityAutor: Guillaume Teixeron ist Product Manager bei VASCO Data Security. Erberklärt die Vorzüge der Gesichtserkennung als Authentifizierungsmerkmal. VASCO ist ein Anbieter für Sicherheits- und Produktivitätslösungen für Unternehmen auf dem digitalen Markt.P

Cyberkriminalität: Jeder Vierte fürchtet Kamera-Spione

 Versteckte Beobachter in den eigenen vier Wänden zu haben – eine Horrorvorstellung für die meisten Menschen. Für Cyberkriminelle bieten Kameras in Computern und Handy genau das: ein mögliches Einfallstor, um Personen auszuspionieren. Viele Menschen wollen sich gezielt dagegen schützen. So deckt jeder vierte Nutzer (27 Prozent) von Laptops, Tablet-Computern und Smartphones die Kamera seines Geräts bewusst ab. Das ist das Ergebnis einer repräsentativen Umfrage im Auftrag des Digitalverbands Bitkom.

Der unerwünschte Blick ins Wohnzimmer

„Wenn Hightech-Geräte mit Schadprogrammen infiziert sind, können Cyberkriminelle die integrierten Kameras zur ungewollten Überwachung einsetzen“, sagt Dr. Nabil Alsabah, Referent für IT-Sicherheit beim Bitkom. „Wer ganz sicher gehen will und die Gerätekamera kaum nutzt, kann die Linse der Kamera auch abkleben.“ Der Komfort bei der Gerätenutzung werde dadurch aber eingeschränkt.

Doch die große Mehrheit der Gerätenutzer entscheidet sich dagegen. Zwei von Drei (69 Prozent) lassen ihre Kameralinsen unbedeckt. Vor heimlichen Kameraaufnahmen fürchten sich vor allem jüngere Nutzer. Mit 38 Prozent verdeckt mehr als jeder Dritte der 14- bis 29-Jährigen die Linse seines Laptops, Tablet-Computers oder Smartphones. Mit steigendem Alter nehmen diese Bedenken immer mehr ab. Verdecken bei den 50- bis 64-Jährigen noch 23 Prozent der Gerätenutzer ihre Linsen, so sind es bei den über-65-Jährigen nur noch 13 Prozent.

„Nutzer sollten die Software ihrer Geräte immer auf dem aktuellsten Stand halten, um möglichen Sicherheitslücken vorzubeugen“, so Alsabah. Bei verdächtigen Aktivitäten sollte ein Gerät mit Viren-Scannern auf Schadprogramme überprüft werden. „Die letzte Option ist immer, ein infiziertes Gerät zu formatieren, was alle Daten auf den internen Speichern löscht und Schadprogramme entfernt.“

Hinweis zur Methodik: Grundlage der Angaben ist eine Umfrage, die Bitkom Research im Auftrag des Bitkom durchgeführt hat. Dabei wurden 1.166 Personen ab 14 Jahren befragt, die privat einen Computer oder ein Smartphone nutzen. Die Umfrage ist repräsentativ. Die Fragestellungen lautete: „Decken Sie Ihre Kameras an Laptops, Tablets oder Smartphones gezielt ab, um sich vor Angriffen von Hackern und Internetkriminellen zu schützen?“ 

 

 

Datenschutzaufsichtsbehörden: Wearables und die Illusion vom Datenschutz

Bildquelle: fitbit.

Bildquelle: fitbit.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) beteiligte sich an einer deutschlandweiten Prüfaktion und prüfte gemeinsam mit sechs weiteren Aufsichtsbehörden Wearables. Auf dem Prüfstand standen sowohl Fitness-Armbänder als auch Smart Watches mit Gesundheitsfunktionen. Außerdem wurden die Apps der Hersteller einer technischen Analyse unterzogen. Das Ergebnis war eindeutig: kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen.

Daten interessieren Versicherer und Unternehmen der Gesundheitsbranche

Wearables, auch bekannt unter dem Begriff Fitness-Armbänder oder Activity-Tracker, sollen den Nutzer zu einer gesunden Lebensweise motivieren und die Bewegung im Alltag fördern. Schon lange können die Geräte Schritte zählen, zurückgelegte Kilometer messen und verbrauchte Kalorien erfassen. Doch die aktuellsten Wearables bieten noch viel mehr. Die geprüften Geräte überwachen die Herzfrequenz, bestimmen die Körpertemperatur über Sensoren auf der Haut und geben Rückmeldung über den Schlafrhythmus. Diese Angaben interessieren immer mehr Versicherer und Unternehmen der Gesundheitsbranche, sodass es sich lohnt, die Geräte genauer unter die Lupe zu nehmen.

Das BayLDA überprüfte zusammen mit den Datenschutzaufsichtsbehörden aus Schleswig-Holstein, Brandenburg, Niedersachsen, Nordrhein-Westfalen und Hessen sowie der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit insgesamt 16 Wearables von Herstellern, die ca. 70Prozent des Marktanteils in Deutschland abdecken.

Geprüft wurden zum einen rechtliche Fragestellungen, wie z. B. die ausreichende Aufklärung über den Datenumgang oder die Frage, ob tatsächlich Gesundheitsdaten verarbeitet werden. Auch die Technik stand im Fokus. In drei deutschen Prüfzentren wurden die Geräte sowie deren Hersteller-Apps für die Betriebssysteme iOS und Android im Labor getestet.

Es wurden die Datenflüsse analysiert, um festzustellen, wer auf welche Daten Zugriff bekommen kann. Außerdem war ein Blick auf die Apps notwendig. Ohne die dazugehörigen A pps sind die meisten Wearables in ihrer Funktion erheblich eingeschränkt oder sogar unbrauchbar. Diese getesteten Apps wurden durch die Nutzer zusammen mehr als 30 Mio. Mal heruntergeladen.

Die Ergebnisse der Prüfung zeigen zahlreiche Mängel auf

  • Transparenz? Nachvollziehbarkeit? Fehlanzeige! Wer Wearables nutzt, muss zur Kenntnis nehmen, dass oftmals zahlreichen Firmen die Daten erhalten. Hersteller und Betreiber geben sich keine Mühe, Licht in das Dickicht aus Hardware-Hersteller, App-Betreiber, App-Shop-Anbieter und zahlreichen Dienstleistern zu bringen. Für den Nutzer bedeutet das, dass er sich oftmals nur pauschalen Datenschutzerklärungen gegenüber sieht und keine Chance hat, zu erkennen, wer für was zuständig ist und was mit den eigenen Daten bei wem passiert. Tests, bei den Anbietern Auskunft über die gespeicherten Daten zu erhalten, wurden entweder mit pauschalen Verweisen auf Datenschutzerklärungen beantwortet oder wegen vermeintlicher Nicht-Zuständigkeit abgewiesen. Hinzu kommt, dass die Anbieter teilweise im Ausland sitzen und nur eine internationale E-Mail-Adresse als Kontaktmöglichkeit anbieten.
  • Besonders schützenswerte Daten: Die Aufgabe der Fitness-Tracker und Apps ist es, Gesundheitsdaten und damit besonders schützenswerte Daten der Nutzer zu verarbeiten. Zwar sind die Einzelinformationen wie z. B. Körpergewicht, zurückgelegte Schritte, Dauer des Schlafes oder Herzfrequenz für sich betrachtet oftmals wenig aussagekräftig. In der Regel werden diese Daten jedoch mit eindeutig zugewiesenen Personenkennungen verbunden. Bei einer dauerhaften Nutzung fallen derart viele Informationen an, dass sich daraus ein erstaunlich präzises Bild des Tagesablaufs und Gesundheitszustands des Nutzers ergibt (was der Nutzer des Gerätes auch bezweckt). Insbesondere bei Verknüpfung der Einzelinformationen mit Standortdaten ergibt das sehr persönliche Informationen:
  • Wann bin ich morgens aufgestanden?
  • Habe ich unruhig geschlafen, (da ich am Vorabend Alkohol konsumiert habe)?
  • Wo beginnt und endet mein Weg zur Arbeit?
  • Warum bin ich aufgeregt und wieso schlägt mein Herz höher, obwohl ich seit 30 min auf dem Bürostuhl sitze?

All diese Fragen lassen sich beantworten, wenn die Daten der Wearables ausgewertet werden. Kritisch wird dieses insbesondere dadurch, dass viele der Geräte die Daten extern durch Dritte verarbeiten lassen und durch die unklaren Regelungen der Nutzer keine Kontrolle mehr darüber hat, wer die Daten von ihm sonst noch hat.

  • Datenschutzbestimmungen: Datenschutzbestimmungen sollen den Nutzer in die Lage versetzen, zu erkennen, wer welche Daten von ihm zu welchen Zwecken erhebt, was er damit macht und insbesondere auch, an wen er welche Daten weitergibt bzw. wer sonst noch Zugriff darauf hat. Die meisten Datenschutzerklärungen erfüllten diese gesetzlichen Anforderungen nicht. Sie waren in der Regel viele Seiten lang, schwer verständlich, enthielten zu essentiellen Datenschutzfragen nur pauschale Hinweise und waren teilweise nicht einmal in deutscher Sprache vorhanden. So erfährt der Nutzer oftmals nicht im ausreichenden Maße, wer konkret Zugriff auf die Daten hat und wie lange sie gespeichert werden. Dabei wäre es ein Leichtes, dies in wenigen kurzen Sätzen zu beschreiben. Oftmals wurde auch nur auf die generelle Datenschutzerklärung des Unternehmens verwiesen, die kaum konkreten Bezug zu dem Wearable hat.

Erstaunlich ist auch, dass fast kein Gerätehersteller über die besonders schützenswerten Gesundheits- und Standortdaten aufklärt – ganz im Gegenteil: einige Hersteller waren sogar der Auffassung, dass es sich dabei um anonyme Daten handle.

  • Daten mit Freunden teilen: Viele Geräte und Apps bieten die Möglichkeit, die aufgezeichneten Fitness-Daten mit Freunden z. B. über soziale Netzwerke zu teilen. Die Funktion soll den Nutzer zu häufigem Training und Bestleistungen anspornen und das gemeinsame Training fördern. Da hierbei auch sehr sensible Informationen preisgegeben werden können, darf das jedoch nur dann geschehen, wenn der Nutzer es ausdrücklich wünscht.
  • Datenweitergabe an Dritte: Beunruhigend sind auch die Aussagen vieler Hersteller zur Datenweitergabe. Einige Hersteller stellen klar, dass sie die Fitness-Daten der Nutzer für eigene Forschungszwecke und Marketing verwenden und an verbundene Unternehmen weitergeben. Der Nutzer erfährt weder, um wen es sich dabei handelt, noch kann er widersprechen. Ein klarer Verstoß gegen deutsches Datenschutzrecht.
  • Reichweitenmessung: Die technische Analyse brachte mehr Licht ins Dunkel. Fast alle Hersteller setzen Tracking-Tools US-amerikanischer Unternehmen ein. Mithilfe dieser Tools können Hersteller erfassen, wie die Geräte oder Apps genutzt werden, um die Benutzerfreundlichkeit zu verbessern. Die Daten können aber auch für Werbezwecke und zur Profilbildung verwendet werden. Zwar wird oft angegeben, dass hierzu nur anonyme Daten verwendet werden würden. Den Nachweis bleiben die Hersteller jedoch schuldig. Die Erfahrung zeigt, dass in der Regel in solchen Fällen weiterhin bei vielen Daten ein Personenbezug hergestellt werden kann.
  • Datenlöschung: Die Geräte sind schnell verloren oder technisch überholt, sodass zahlreiche Nutzer ihre gebrauchten Geräte weiterverkaufen wollen. Das birgt ein enormes Risiko. Nutzer glauben, dass mit dem Löschen der App alle Daten vernichtet sind. Das ist falsch! Bei vielen Geräten hat der Nutzer keine Möglichkeit, seine Daten selbstständig vollständig zu löschen. Weder im Gerät selbst noch im Nutzerkonto gibt es eine Löschfunktion. Einige Hersteller weisen sogar darauf hin, dass eine Löschung nicht möglich ist. Wie lange die Hersteller die Daten speichern, bleibt verborgen. Fakt ist, dass es sich hierbei um einen gravierenden Verstoß handelt.
 Thomas Kranig, der Präsident des BayLDA.

Thomas Kranig, der Präsident des BayLDA.

„Aufgrund unserer zahlreichen Prüfungen der letzten Jahre im Bereich Internet und smarte Geräte haben wir viel Erfahrung gesammelt. Auch diese Prüfung offenbarte Mängel im Datenschutz, die wir bereits bei anderen Testgeräten feststellten. Dass die Unternehmen ihren Aufklärungspflichten nicht immer vollständig nachkommen, ist bekannt. Mit Erschrecken mussten wir feststellen, dass gerade in sensiblen Bereichen wie Gesundheit und Bewegungsprofile die Daten häufig an Dritte übermittelt werden. Der Nutzer ist aufgrund der mangelnden Transparenz nicht mehr Herr seiner Daten und hat keine Chance zu verfolgen, in wessen Hände seine Gesundheitsdaten gelangen“, erklärte Thomas Kranig, der Präsident des BayLDA.

Einige Mängel ließen sich problemlos dadurch beheben, dass die Fitnessdaten der Wearables lediglich auf das Smartphone weitergeleitet und lokal verarbeitet werden. Eine permanente Übermittlung aller Daten vom Smartphone an Server diverser Firmen ist aus Sicht der Datenschützer in der Regel mit Risiken verbunden, denen sich die Nutzer bewusst sein sollten.

„Würden die Hersteller dieser Empfehlung nachkommen, würden in den wenigsten Fällen Gesundheitsdaten in die Hände Dritter gelangen. Die heutigen Smartphones sind so leistungsstark, dass sich dies ohne Funktionseinschränkung technisch ganz einfach umsetzen ließe. Indem die Hersteller jedoch alle Daten von der App weiterleiten, signalisieren sie ein eigenes Interesse an den

 

 

 

Digitalcourage: Autonomes Fahren muss ohne Grundrechtsverletzungen möglich sein

Die Autoindustrie liefert sich ein Wettrennen um den Markteintritt mit alltagstauglichen autonomen Fahrzeugen. Digitalcourage warnt vor „Schutzranzen“ und anderen Umfelderkennungstechnologien, die auf Überwachung basieren.

Autonomes Fahren wird kommen. Dabei muss natürlich die Verkehrssicherheit gewährleistet sein. Digitalcourage warnt vor Konzepten wie „Schutzranzen“, die auf die Überwachung anderer Verkehrsteilnehmer setzen und fordert von der beteiligten Industrie, Wege zu finden, die nicht die Grundrechte aller Menschen verletzen.

„Selbstfahrende Fahrzeuge können uns bereichern, aber nur, wenn dabei unsere Grundrechte respektiert werden,“ meint Kerstin Demuth von Digitalcourage. „Die Industrie muss nach Lösungen forschen, die Verkehrssicherheit gewährleisten und gleichzeitig ohne Überwachung auskommen.“

Digitalcourage hat im Januar 2018 aufgedeckt, dass „Schutzranzen“-GPS-Tracker an Kinder in öffentlichen Grundschulen verteilt werden sollen. Der Geschäftsführer des Startups Coodriver, von dem das Produkt stammt, räumte inzwischen gegenüber Heise Online ein, dass die Technik als Werkzeug für selbstfahrende Fahrzeuge verwendet werden sollte. Digitalcourage fordert mit einem offenen Brief die Einstellung des Projekts „Schutzranzen“. Nachdem das Projekt nach Kritik der Datenschutzbeauftragten und des Landesschulamtes Niedersachsen in Wolfsburg gestoppt wurde, hält die Stadt Ludwigsburg weiter an den Konzept fest. Digitalcourage mahnt an, Fortschritt ohne Überwachung voranzutreiben.

„Wirtschaft, Politik, Bürgerinnen und Bürger müssen jetzt an die Technikfolgen von morgen denken“, warnt Friedemann Ebelt von Digitalcourage. „Überwachung darf keine Bedingung für Sicherheit im Straßenverkehr werden. Die Ethikkommission zum automatisierten Fahren warnte bereits vor drohender Totalüberwachung. Jetzt müssen Entscheidungen her, damit wir uns in Zukunft frei und unbeobachtet bewegen können.“

Olympia 2018: Spielwiese der Hacker

DigitalShadows_Winterspiele2018_FancyBearsGroßveranstaltungen wie die Olympischen Spiele bieten naturgemäß eine öffentliche Plattform für kriminelle und politisch aufgeladene Cyberaktivitäten – so auch bei den Winterspielen 2018 in Südkorea.

Bereits im Vorfeld verzeichnete Digital Shadows Datenleaks, Phishing-Versuche sowie Fake Domains und Social Media Konten, die sich sowohl gegen die Organisatoren und Partnerunternehmen der Spiele als auch gegen Teilnehmer, Besucher und Sportinteressierte richteten.

Neben politisch motivierten Aktionen (Hacktivismus) im Spannungsfeld von Nordkorea, Südkorea und Russland, sind vor allem Betrugsmaschen bei Geldautomaten sowie bei Kredit- und Bankkarten zu erwarten. Dabei profitieren die Angreifer von lokalen, ungeschützten Wi-Fi-Netzen sowie der hohen Zahl an getätigten Finanztransaktionen. Zu den gefährlichsten Cyberrisiken während der Spiele zählen:

  • Phishing & Fake Domainnamen: Im Netz finden sich bereits eine Vielzahl an Typo-Squat-Domains, die Markennamen der Olympischen Winterspiele 2018 und der World Anti-Doping Agency (WADA) verwenden. Mehr als die Hälfte der Adressen konnte nach Russland, der Ukraine und anderen Proy-Diensten zurückverfolgt werden.
  • Kompromittierte Zugangsdaten: Eine Überprüfung der Datenleaks der letzten 12 Monate deckte mehr als 300 Fälle auf, bei denen Login-Daten von Organisatoren der Spiele sowie von WADA gestohlen wurden.
  • Datenleaks: Im Januar veröffentlichte die Hacktivisten-Gruppe Fancy Bears den E-Mailverkehr zwischen dem IOCs sowie dem Internationaler Rennrodelverband. Weitere sensible Informationen über kanadische Athleten folgten, die den Verdacht von Doping nahelegten. Die Aktion scheint eine Reaktion auf das Teilnahmeverbot russischer Athleten wegen angeblichen Dopings gewesen zu sein.
  • Malware: Freiwillige Helfer wurden mit Emails überschwemmt, die Makro-Malware enthielt. Dabei wurde das offizielle IOC-Portal imitiert und angebliche logistische Details zur Organisation der Spiele bereitgestellt. Die Schadsoftware GoldDragon richtete sich gezielt an Organisationen, die mit den Spielen in Verbindung stehen.
  • Angriffe auf Wi-Fi-Netze: Öffentlich zugängliche Netz werden genutzt, um an die Daten von hochrangigen und damit lukrativen Zielen zu gelangen. Die DarkHotel-Kampagne zielt dabei auf Hotels in Asien, wobei sie sich über gefälschte Software-Updates Zugriff auf die Wi-Fi-Netzwerke verschafft.
  • Kreditkartenbetrug: Insbesondere in Stadtzentren, Hotels, Restaurants und Einkaufszentren rücken Besucher und Touristen ins Ziel der Angreifer. 2017 wurden bei Angriffen Kundenkarten von über 41 Hyatt Hotels in 11 Ländern kompromittiert. Darunter auch China (18 Standorte) sowie Südkorea und Japan.

Generell ist bei Emails, Webseiten oder beim Download von Apps, die mit den Olympischen Spielen werben, Wachsamkeit angesagt. Besucher sollten vor allem bei Geldautomaten auf Anzeichen von „Skimming“, dem illegalen Ausspähen von elektronischen Daten von Zahlungskarten (girocard und Kreditkarte). Dazu gehören beispielsweise wackelige Kartenleser, sichtbare Spuren im PIN-Code-Eingabebereich oder andere Manipulationen. Sinnvoll sind zudem alternative Zahlungsformen wie Chip und Pin, Prepaid- und Pre-Capped-Karten.

Um sicher von Unternehmensnetzwerken und Firmenkonten aus auf Wi-Fi-Netzwerke zuzugreifen, sollte Virtual Private Network (VPN) Tunneling sowie Multi-Faktor-Authentifizierung genutzt werden. Unternehmensmitarbeiter, die zum Zeitpunkt der Spiele vor Ort sind, können Geräte und Konten zudem vorübergehend auf separate Unternehmensnetzwerke laufen lassen. Bei der Rückkehr empfiehlt sich eine Art Quarantänezeit, um sicherzustellen, dass keine Schadsoftware als Mitbringsel nach Hause gebracht wurde.

1.Februar ist der „Change your Password Day“

Der 1. Februar ist der „Change your Password Day“. Aus diesem Anlass erinnert das Potsdamer Hasso-Plattner-Institut (HPI) an die wichtigsten Tipps zur Erstellung starker Passwörter.

HPI-Direktor Professor Christoph Meinel kritisiert, dass die Zahlenfolge „123456“ nach wie vor das weltweit beliebteste Passwort ist, dicht gefolgt von „12345678“, „111111“ und „qwerty“. Rund jeder fünfte Internetnutzer verwende nach einer Auswertung des Potsdamer Informatikinstituts das gleiche Passwort für mehrere Dienste. Dabei ließen sich Meinel zufolge die Risiken eines Identitätsdiebstahls leicht minimieren.

Einfache und kurze Passwörter können in nur wenigen Sekunden von professionellen Programmen geknackt werden

„Einfache und kurze Passwörter können in nur wenigen Sekunden von professionellen Programmen geknackt werden“, so der Informatikwissenschaftler. Zugleich seien sich viele Verbraucher der Folgen nicht bewusst, die ein Identitätsdiebstahl haben könnte: „Der Missbrauch von Passwörtern ist mittlerweile ein lukratives Geschäftsmodell“, warnt Meinel. Kriminelle könnten beispielsweise auf falschen Namen Einkäufe tätigen und E-Mails versenden.

Die wichtigsten Regeln zur Erstellung starker Passwörter

Die Länge des Passworts sollte mindestens 10 bis 15 Zeichen umfassen und verschiedene Zeichentypen (Buchstaben, Ziffern, Sonderzeichen) sowie Groß- und Kleinschreibung mit einbeziehen (ab 00:01:45). Beispiel: Während sogenannter Brute-Force-Attacken, bei denen Software die Abfolgen bestimmter Zeichen zum Entschlüsseln eines Passworts ausprobiert, wird für die Aufdeckung des Passworts „secret“ weniger als eine Sekunde benötigt. Für das Passwort „!sEcRe!2%9“ wären es nach aktuellem Stand über 19 Jahre.

Niemals persönliche Informationen wie Namen, Geburtsdaten, Haustiernamen, Namen der Partner oder der jeweiligen Anwendung (z.B. „Adobe“) verwenden. Diese Daten könnten leicht erraten werden.

Keine Begriffe aus dem Wörterbuch oder andere „sinnvolle“ Zeichenfolgen verwenden. Neben den Brute-Force-Attacken sind vor allem „Wörterbuchangriffe“ üblich, um Passworte zu knacken: Hierbei werden Listen mit Wörtern genutzt, um fremde Passwörter zu entschlüsseln.

Nie dasselbe Passwort für mehrere Konten verwenden. Wird ein Passwort geknackt, ermöglicht es Kriminellen sonst den Zugang zu allen anderen Diensten.

Meinel zufolge sollten Nutzer ihre Passwörter außerdem von Zeit zu Zeit auswechseln, keinesfalls sollte hierbei auf alte Passwörter oder Variationen zurückgegriffen werden (ab 00:03:21). Sofern Multi-Faktor-Authentifizierung angeboten wird, sollte diese Option genutzt werden. „Bei einem solchen Authentifizierungsprozess überprüft der jeweilige Dienst neben dem Passwort zusätzlich, ob der Nutzer einen bestimmten Gegenstand besitzt oder ein spezifisches Merkmal aufweist. Das macht es für Angreifer schwieriger, in ein fremdes Konto einzubrechen“, erklärt Meinel.

Opfer eines Datendiebstahls

Ob man selbst Opfer eines Datendiebstahls geworden ist, lässt sich mit dem Identity Leak Checker, einem Online-Sicherheitscheck des Hasso-Plattner-Instituts (HPI), sehr leicht überprüfen (ab 00:00:38). Seit 2014 kann dort jeder Internetnutzer unter https://sec.hpi.de/ilc kostenlos durch Eingabe seiner E-Mail-Adresse prüfen lassen, ob Identitätsdaten von ihm frei im Internet kursieren und missbraucht werden könnten. Die Sicherheitsforscher ermöglichen den Abgleich mit mittlerweile mehr als 5 Milliarden gestohlener und im Internet verfügbarer Identitätsdaten. Dabei liegt der Fokus auf Leaks, bei denen deutsche Nutzer betroffen sind.

Wie man sich sicher im Internet bewegen und dort seine Privatsphäre schützen kann, zeigt auch ein neuer Onlinekurs des HPI. Am 26. Februar startet der kostenlose Kurs „Internet Security for Beginners“ auf der interaktiven Bildungsplattform openHPI. Anmelden kann man sich unter https://open.hpi.de/courses/intsec2018

Jeder dritte Verbraucher berichtet von Missbrauch seiner Daten im Internet

 In kaum einem anderen Land wird so viel über die Nutzung von Daten und Privatsphäre diskutiert wie in Deutschland. Dennoch berichtet über ein Drittel deutscher Online-Nutzer von Erfahrungen, bei denen persönliche Daten im Internet missbraucht wurden.

Trotzdem empfinden die meisten Verbraucher ein hohes Sicherheitsgefühl bei Transaktionen im Internet – insbesondere beim Online-Banking. Dies ergab die aktuelle bevölkerungsrepräsentative Verbraucherbefragung der Creditreform Boniversum  zum Thema Datensicherheit im Internet.

Missbrauch von persönlichen Daten beim Online-Shopping

Der Missbrauch von persönlichen Daten beim Online-Shopping im Speziellen bzw. bei Transaktionen im Internet im Allgemeinen weist eine nicht zu unterschätzende Größenordnung auf. Über ein Drittel der befragten Personen gibt an (34 Prozent; 19,2 Millionen Verbraucher), bereits einmal erlebt zu haben, dass persönliche Daten im Internet missbraucht, d.h. gegen den eigenen ausdrücklichen Willen verwendet worden sind.

12 Prozent der Verbraucher berichten sogar von häufigen Missbrauchserfahrungen persönlicher Daten. Überdurchschnittlich betroffen sind Männer, Personen unter 40 Jahren, Personen mit gehobenem Bildungsabschluss, Gering- und Normalverdiener sowie Personen, die im Westen Deutschlands leben. Die gute Nachricht: Die meisten deutschen Online-Nutzer (66 Prozent) haben allerdings noch keine negativen Erfahrungen mit Datenmissbrauch im Internet gemacht.

Hohes Sicherheitsgefühl bei deutschen Verbrauchern

Trotzdem empfinden die meisten Verbraucher ein hohes Sicherheitsgefühl bei Transaktionen im Internet. Am sichersten fühlen sich Verbraucher beim Online-Banking und beim Online-Shopping. 69 Prozent der Befragten gibt an, dass sie die Weitergabe ihrer Daten bei Online-Bankgeschäften für sicher halten – 44 Prozent der Verbraucher haben beim Online-Shopping sicheres Gefühl.

Besonders wichtig ist den Verbrauchern beim Online-Einkauf die „Sicherheit der Bezahlung“ (94 Prozent). Danach folgen mit Abstand die Kriterien „Preis-Leistungsverhältnis“ (88 Prozent), „Einfachheit der Bezahlung“ (86 Prozent) sowie die „Einfachheit des Bestellvorgangs“ (84 Prozent).

Das Kriterium „Schnelligkeit der Lieferung“ wird von den Verbrauchern als am wenigsten wichtig eingestuft (75 Prozent). Wird die Forderung der Verbraucher nach sicheren Zahlarten nicht bedient, brechen sie den Kaufvorgang ab. 67 Prozent geben an, dies bereits schon mal getan zu haben. 38 Prozent der Verbraucher brechen ihren Bestellvorgang auch ab, wenn keine für sie passenden Bezahlverfahren angeboten werden.

Drei Bezahlverfahren dominieren das Online-Shopping der Verbraucher

Bezahlsysteme wie z.B. PayPal oder Sofortüberweisung.de (46 Prozent), Kauf auf Rechnung (31 Prozent) und Kreditkarte (9 Prozent) zählen zu den drei meistgenutzen und beliebtesten Bezahlverfahren der Deutschen. Ebenso werden diese Verfahren von den Verbrauchern als am sichersten eingestuft. Speziell beim „Kauf auf Rechnung“ steht der Sicherheitsaspekt bei den Verbrauchern im Vordergrund – insbesondere Frauen bevorzugen unter diesem Aspekt den Kauf auf Rechnung.

„Verbraucher empfinden den Kauf auf Rechnung nach wie vor als sichere Zahlart. Sie ist nicht nur sehr bequem – der Verbraucher kann sich die Ware vor Bezahlung in Ruhe ansehen – sondern er kann dabei auch sparsam mit seinen Daten umgehen. Er braucht nicht mehr Daten anzugeben als beispielsweise in einem öffentlichen Telefonbuch zu finden sind. Weiterer Vorteil: im Falle von Reklamationen und/oder Rücksendungen, muss der Verbraucher nicht warten bis das Geld wieder auf sein PayPal-, Kreditkarten-, oder Bankkonto zurücküberwiesen wird. Er zahlt die Ware ja erst, wenn er entschieden hat, dass er sie auch behält“, so Marion Lanaro, Mitglied der Geschäftsleitung bei Boniversum.

Im Rahmen der Umfrage wurden die Verbraucher auch nach ihrer allgemeinen Einschätzung zur Sicherheit beim Bezahlen im Internet befragt. Die Hälfte der Verbraucher (51 Prozent) geht davon aus, dass das Bezahlen im Internet in den letzten fünf Jahren sicherer geworden ist. Überwiegend sind Männer und jüngere Personengruppen dieser Auffassung.

 Die aktuelle Erhebung der Creditreform Boniversum, die auf einer repräsentativen Online-Umfrage von 1.045 Verbrauchern im Alter von 18 bis 69 Jahren basiert, befasst sich mit dem Thema „Datensicherheit im Internet“.

 

Aktion „Bezahlen Sie mit Ihren Daten!“ am Europäischen Datenschutztag 2018

Unter dem Motto „Bezahlen Sie mit Ihren Daten!“ will das Museum für Kommunikation Nürnberg am Sonntag (28.01.18) die Besucher über den Umgang mit persönlichen Daten im Internet informieren. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. unterstützt den Aktionstag gemeinsam mit dem Bayerischen Landesamt für Datenschutzaufsicht und dem DB Museum.

„Täglich werden die Verbraucher beim Online-Einkauf oder in den Sozialen Netzwerken verführt, persönliche Daten wie Alter und Adressen im Tausch für Rabatte oder kostenlose Angebote preiszugeben,“ sagte BvD-Vorstand Rudi Kramer. „Für einen eigenverantwortlichen Umgang mit personenbezogenen Daten fehlt oft das Bewusstsein. Damit geben die Verbraucher aber eigene Rechte preis“, warnte Kramer.

Am Aktionstag können die Besucher von 10 bis 15 Uhr selbst ausprobieren, wie es um ihre Datensensibilität bestellt ist. Fachleute der Bayerischen Datenschutzaufsicht, des BvD und von der Deutschen Bahn AG stehen als Ansprechpartner zur Verfügung.

Zudem bietet das Museum Sonderführungen zum Datenschutz in der Geschichte der Kommunikation an. Auch die EU-Datenschutzgrundverordnung (DS-GVO), die die Rechte der Betroffenen ab 25. Mai 2018 neu regelt, wird Thema sein.

Am Dienstag (23.01.2018) setzte das Kommunikationsmuseum in Kooperation mit dem BvD und dem BayLDA die Vortrags-Reihe „Daten-Dienstag“ fort. Der Nürnberger Kriminalhauptkommissar Stefan Malek spricht über die Anwerbetechniken Rechtsextremer im Internet. Am 6. Februar klärt der Unternehmer Ernst Schulten über Tracking im Internet auf.

 

Europäischer Datenschutztag 2018: Diese Tipps schützen vor Datenmissbrauch im Netz

Dr. Carsten Föhlisch ist Bereichsleiter Recht sowie Prokurist von Trusted Shops  und seit vielen  Jahren im E-Commerce-Recht tätig.

Dr. Carsten Föhlisch ist Bereichsleiter Recht sowie Prokurist von Trusted Shops und seit vielen Jahren im E-Commerce-Recht tätig.

Der Europäische Datenschutztag wird jährlich am 28. Januar begangen. Das Ziel: Für den Umgang mit personenbezogenen Daten zu sensibilisieren. Wie akut das Thema ist, belegt eine aktuelle YouGov-Studie: Jeder Fünfte shoppt mit wenig Vertrauen im Netz und hat Angst vor Datenmissbrauch. Was tun gegen diesen Identitätsdiebstahl? Dazu fünf Tipps von Dr. Carsten Föhlisch, Verbraucherrechtsexperte des europäischen Online-Gütesiegels Trusted Shops.

Tipp 1: Manchmal ist weniger mehr

Dr. Carsten Föhlisch: Ob in sozialen Netzwerken oder auch beim Online-Shopping – Verbraucher sollten sparsam mit den eigenen Daten umgehen. Sie sollten niemals mehr preisgeben, als es unbedingt notwendig ist. Nur so können Verbraucher vermeiden, dass ihre Daten in falsche Hände gelangen. Das gilt auch für die E-Mail-Adresse. Online-Händler beispielsweise benötigen zwar immer eine E-Mail-Adresse, um eine Bestellbestätigung schicken zu können, aber besonders bei Foren oder Gewinnspielen sollten Verbraucher aufmerksam sein und auf Seriosität achten. Zudem sind Spam-Mails im Posteingang oftmals sehr ärgerlich. Um diese zu vermeiden, sollte die E-Mail-Adresse nicht zu leichtfertig angeben werden.

Tipp 2: Keine unverschlüsselten Daten übertragen

Dr. Carsten Föhlisch: Beim Online-Shopping sind die Zahlung per Kreditkarte oder Einzugsermächtigung gängige Verfahren. Verbraucher sollten Zahlungsdaten niemals unverschlüsselt übertragen. Denn sonst könnten die Daten leicht abgefangen und für andere Zwecke missbraucht werden.

Was viele Verbraucher nicht wissen: Beim Senden von unverschlüsselten Daten verstoßen viele Online-Käufer gegen die Bedingungen ihrer Bank. Um auf der sicheren Seite zu sein, ist es deshalb ratsam, dass Verbraucher vor dem Senden der Zahlungsdaten immer schauen, ob im Browserfenster ein Schloss-Symbol bzw. ein „https“ in der URL angezeigt wird. Das Symbol garantiert eine verschlüsselte Datenübertragung.

Tipp 3: Unseriöse Online-Shops erkennen

Dr. Carsten Föhlisch: Im Internet gibt es zahlreiche Online-Shops. Die meisten Shop-Betreiber sind ehrliche Händler. Doch immer häufiger nutzen Betrüger sogenannte Fake-Shops, um Verbraucher abzuzocken. Verbraucher sollten deshalb unbedingt auf eine vollständige Anbieterkennzeichnung sowie auf umfängliche Informationen zu Widerruf, Versandkosten und Zahlungsmethoden achten.

Bei unseriösen Shop-Betreibern sind diese oft fehlerhaft oder schwer zu finden. Zudem kann eine kurze Internetrecherche sinnvoll sein. Vielleicht gibt es Negativeinträge in Foren, die zu erhöhter Wachsamkeit mahnen. Lässt sich ein Online-Shop darüber hinaus von seinen Kunden direkt bewerten und blendet das Ergebnis auf seiner Website ein – etwa über das Kundenbewertungssystem –, kann dies zusätzlichen Aufschluss über die Qualität von Service und Angebot geben. Trusted Shops stellt die Unabhängigkeit und Echtheit der Bewertungen über eine mehrstufige Überprüfung sicher. Darüber hinaus sollten Verbraucher schauen, ob ein Shop mit einem Gütesiegel zertifiziert ist. So geraten die sensiblen Daten gar nicht erst in falsche Hände.

Tipp 4: Passwörter niemals auf öffentlichen PCs speichern

Dr. Carsten Föhlisch: Gespeicherte Passwörter erleichtern das Surfen im Internet, da das lästige Einloggen entfällt. Jedoch sollten Internet-Nutzer unbedingt darauf verzichten, wenn sie an einem öffentlichen Computer, zum Beispiel in einem Internetcafé, sitzen. Die Passwörter werden über sogenannte Cookies gespeichert, die auf dem Computer abgelegt werden.

Vergisst der Nutzer am Ende die Cookies zu löschen, wird der nächste Computernutzer automatisch mit dem Account angemeldet. Was viele nicht wissen: Einige Computerviren lesen die Cookie-Listen ohne Zustimmung des Nutzers aus. Grundsätzlich sollten Verbraucher es Betrügern schwer machen, das Passwort zu knacken.

Die verwendeten Passwörter sollten immer aus einer Kombination von Sonderzeichen, Buchstaben und Zahlen bestehen. Am besten verwendet man unterschiedliche Passwörter für verschiedene Anwendungen. Regelmäßiges Ändern des Passworts und Sicherheitsfragen, die nur vom Verbraucher selbst beantwortet werden können, schützen zusätzlich vor Datenmissbrauch.

Tipp 5: Zuerst die Allgemeinen Geschäftsbedingungen lesen, dann zustimmen

Dr. Carsten Föhlisch: Bei sozialen Netzwerken und Internet-Diensten müssen sich Nutzer häufig registrieren. Auch wenn es keine spannende Lektüre ist, ist es empfehlenswert, dass sich Nutzer trotzdem unbedingt die AGB und die Datenschutzerklärungen bei der Registrierung durchlesen. Denn nur so wissen Nutzer, was mit ihren Daten geschieht.

Beispiel facebook: Hier sollten Nutzer einiges beachten. Drückt ein Nutzer auf einer Internetseite einen „Gefällt mir“-Button und ist gleichzeitig bei facebook angemeldet, dann erhält das soziale Netzwerk die Information, dass der Nutzer die Website besucht hat. Die Information wird auch dann übertragen und kann dem Nutzerprofil zugeordnet werden, wenn der Nutzer den Button nicht gedrückt hat.

Studie: Zusammenhänge zwischen geopolitischen Konflikten und „Hacktivism“-Angriffen

Forscher von Trend Micro zeigen in dem neuen Bericht „A Deep Dive into Defacement“ die Zusammenhänge zwischen geopolitischen Konflikten und Defacement-Angriffen auf Websites auf. Die Konflikte, die die meisten solcher Cyberangriffe zur Folge hatten, sind der Kaschmir-Konflikt, der Nahost-Konflikt und der syrische Bürgerkrieg.

 13 Millionen Defacement-Angriffe aus einen Zeitraum von über 18 Jahren

Für die Erstellung des Berichts sammelten die Forscher von Trend Micro Meldungen über mehr als 13 Millionen Defacement-Angriffe aus einen Zeitraum von über 18 Jahren. Bei solchen Angriffen wird eine Website unberechtigterweise so verändert, dass sie neue Inhalte anzeigt. Im Fall von durch „Hacktivism“ getriebenen Angriffen handelt es sich dabei meist um politisch oder ideologisch motivierte Botschaften.

Der Forschungsbericht geht neben den Aktivitäten und Methoden der Angreifer auch auf deren Motivation und Zusammenhänge mit geopolitischen Konflikten ein. Die Kampagne mit den meisten nachgewiesenen Angriffen („Free Kashmir“) stand dabei in Verbindung mit dem Kaschmir-Konflikt zwischen Indien und Pakistan. Danach folgten der Nahost-Konflikt (Kampagne #opisrael) und der syrische Bürgerkrieg (Kampagne #savesyria).