Monatliches Archiv:Mai 2020

27.05.2020

Schul-Cloud des Hasso-Plattner-Instituts angegriffen und gehackt

Datenschutz in Schulen ist wichtiger denn je!!!!!

Eine vom Bund geförderte Schul-Cloud des Hasso-Plattner-Instituts (HPI), die in abgewandelter Form in mehreren Bundesländern eingesetzt wird, ist von Hackern angegriffen worden. „Wir wurden vom Saarländischen Datenschutzbeauftragten auf eine potenzielle Lücke hingewiesen, über die es Hackern offenbar möglich war, sich illegal einen Account in der HPI Schul-Cloud anzulegen“. Das HPI habe diese Missbrauchsmöglichkeit sofort behoben und die Lücke geschlossen. „Die HPI Schul-Cloud ist weiter sicher nutzbar und ihre Funktionalität und Sicherheit wird weiter ausgebaut.“ Dennoch finden wir immer wieder Lücken im System der Schul-Cloud u.a. bei der Schul-Cloud Brandenburg. Das Datenschutzbüro Gass & Gimbel hat daher kontakt mit dem HPI aufgenommen.

Nach Angabe des Instituts konnten sich Unberechtigte über einen allgemeinen Ein-Cladungslink als vermeintliche Schulangehörige bei dem System anmelden und dabei Vor- und Nachnamen von Anwendern einsehen. Der verdächtige Nutzer habe in dem Schul-System eine Gruppe erstellt und versucht, Schülerinnen und Schüler sowie Lehrkräfte in dieses Team einzuladen.

„Nach allem, was wir wissen, sind lediglich Vor- und Nachnamen von Lehrkräften und Schülern einer teilnehmenden Schule im Saarland illegal abgegriffen worden, aber es sind keine Daten missbraucht worden“. Laut Institut eigneten sich Hacker dort eine Liste mit 103 Namen von Schülern und Lehrern an. Im Rahmen der weiteren Analyse identifizierte das HPI insgesamt 13 Schulen, bei denen vermutlich unberechtigte Registrierungen stattgefunden haben.

„Sieben Schulen befinden sich in der Instanz der HPI Schul-Cloud, sechs in der Brandenburger Schul-Cloud. Davon war bei sieben Schulen die Option aktiviert, dass Schüler Teams erstellen können.“ Vier der 13 Schulen seien Testschulen von Projektpartnern ohne Schülerdaten gewesen. Im Rahmen des Vorfalls wurde das HPI auch auf eine kleinere Datenschutzlücke in seinem Ticketsystem hingewiesen, in dem Fehlermeldungen oder Verbesserungsvorschläge von Nutzern erfasst wurden. „Das Ticketsystem der HPI Schul-Cloud war so konfiguriert, dass die Einträge in einem bestimmten Bereich von jedem eingesehen werden konnten. Das ist bei Open-Source-Projekten durchaus üblich, um eine maximale Transparenz in der Entwicklung zu gewährleisten.“ Da das Ticketsystem aber schon vor dem Hinweis geschlossen worden sei, habe man an dieser Stelle keine weiteren Maßnahmen ergriffen. Die HPI Schul-Cloud wird vom Bundesbildungsministerium finanziell gefördert und derzeit vor allem in Brandenburg, Thüringen und Niedersachsen sowie in etlichen deutschen Schulen im Ausland eingesetzt. Ende März kündigte das Ministerium an, den Zugang zu dem System bundesweit zu öffnen. Das System wird wiederum von kommerziellen Anbietern von Lernplattformen als wettbewerbsverzerrend und unzulässiger staatlicher Eingriff kritisiert. Allein in Niedersachsen hatten rund 2.000 Schulen im Zuge der Coronakrise Interesse an der Software des Hasso-Plattner-Instituts (HPI) bekundet. Zwar sei die niedersächsische Bildungscloud von der Sicherheitslücke offenbar nicht direkt betroffen gewesen, weil eine dafür notwendige Funktion zuvor deaktiviert worden war, betonte das niedersächsische Kultusministerium.

Dennoch habe man sicherheitshalber Konsequenzen gezogen. Eigentlich sollten am Montag 450 Schulen mit der Cloud starten. Aufgrund des Vorfalls würden nun vorerst keine Nutzerdaten hochgeladen, erklärte ein Ministeriumssprecher. „Zurzeit wird sichergestellt, dass mit Blick auf den Fall im Saarland keine datenschutzrechtlichen Risiken für niedersächsische Schulen bestehen, das Projekt fortzuführen.“

20.05.2020

Wie schützt man sich gegen Phishing?

Noch einmal die Grundregel vorweg:

Kein Kreditkarteninstitut und kein seriöser Anbieter fordert Sie per E-Mail auf, vertrauliche Zugangsdaten preiszugeben – auch nicht um der Sicherheit willen.

Was Sie außerdem beachten sollten, wenn Sie Daten- oder Passwortdiebstahl entgehen möchten:

  • Überprüfen Sie stets die Adressleiste in Ihrem Browser. Am besten tragen Sie die Adressen zu häufig besuchten Login-Seiten in die Favoritenliste Ihres Browsers ein.
  • Klicken Sie niemals auf Links in einer dubiosen E-Mail. Versuchen Sie im Zweifelsfall stattdessen, die im E-Mail-Text genannte Seite über die Startseite der betreffenden Organisation zu erreichen – also ohne den angegebenen Link in die Adresszeile des Browsers einzutippen.
  • Wenn Sie sich nicht sicher sind, ob eine E-Mail vielleicht berechtigter Weise nach vertraulichen Daten fragt, fragen Sie am besten telefonisch bei dem genannten Anbieter nach.
  • Geben Sie keinesfalls persönliche Daten wie Passwörter, Kreditkarten- oder Transaktionsnummern via E-Mail preis – egal, wie vertrauenserweckend die betreffende E-Mail erscheint.
  • Geben Sie persönliche Informationen nur in der gewohnten Weise etwa auf der Online-Banking-Website ein. Sobald Ihnen irgendetwas seltsam vorkommt, beenden Sie die Verbindung sofort und kontaktieren Sie den regulären Website-Betreiber.
  • Starten Sie niemals einen Download-Link direkt aus einer E-Mail heraus, auf deren Echtheit Sie sich nicht hundertprozentig verlassen können. Starten Sie, wenn möglich, einen Download stets direkt von der Anbieter-Website.
  • Öffnen Sie insbesondere niemals Dateien im Anhang einer verdächtigen E-Mail.
  • Beenden Sie jede Online-Session durch einen regulären Log-out – statt einfach nur das Browserfenster zu schließen.
  • Kontrollieren Sie regelmäßig den Saldo Ihres Bankkontos sowie Umsätze zum Beispiel von Internetzahlungsdienstleistern. So können Sie bei unbefugten Abbuchungen schneller reagieren.
  • Geben Sie niemals persönliche Daten auf Webseiten mit unverschlüsselter Verbindung ein. Ob eine Website verschlüsselt mit Ihrem Browser kommuniziert, erkennen Sie an der Abkürzung „https://“ in der Adresszeile sowie an dem kleinen Vorhängeschloss- Symbol neben der Adresszeile des Browsers.
  • Achten Sie stets darauf, dass Ihre Antivirus-Software aktuell und die Firewall aktiv ist.

18.05.2020

Spam nicht löschen

Keine Frage: Spam nervt, kostet Zeit und verstopft den Posteingang. Da löschen wir die Massenmails doch mal eben flott, oder…? Die Antwort lautet ganz klar: Nein!

Das Löschen bringt zwar kurzfristig Erleichterung, hat aber keinen Effekt in punkto Spam-Reduktion.

Was stattdessen hilft!

Löschen Sie Spam-Mails im Posteingang gewohnheitsmäßig? Dann sind Sie mit dieser Angewohnheit nicht allein: Eine aktuelle Umfrage zum Umgang mit Spam belegt, dass die große Mehrheit der E-Mail-Nutzer das auch tut. Rund 60 Prozent der Nutzer handeln also falsch, indem sie löschen.

Richtig wäre folgendes Vorgehen:

Die goldene Regel lautet schlicht und einfach: Verschieben Sie Spam in den dafür vorgesehenen Spamverdacht-Ordner. Wahlweise per Drag and Drop oder via Verschiebe-Button. Das Verschieben in den Ordner trainiert die Spamfilter und sorgt dafür, dass Mails dieses Absenders bzw. Mails mit ähnlichen Inhalten im Betreff künftig nicht mehr in Ihren Posteingang gelangen, sondern vorher als Spam abgefangen werden. Mails im Spam-Ordner können Sie dann natürlich löschen. Entweder, indem Sie die Mails händisch löschen, oder aber Sie passen die Aufbewahrungszeit für Mails im Spamverdacht-Ordner entsprechend an. Nach Ablauf der Frist werden die E-Mails dann automatisch gelöscht.

Verpasste Gelegenheit im Kampf gegen Spam

Laut Umfrage verschieben nur 20 Prozent der E-Mail-Nutzer Spam in den entsprechenden Ordner. Und das, obwohl das Verschieben doch so einfach ist.

Leichtfertig bis kurios: Umgang mit Spam

Die Umfrage fördert noch weitere seltsame Umgangsformen mit Spam zu Tage: Zwar bequem, aber sehr leichtfertig: Einigen Nutzer (wenn auch nur einem kleinen Teil) scheint Spam komplett egal zu sein. Sie belassen die unliebsamen Mails einfach im Posteingang – und das wird vor allem riskant, wenn es eng wird mit dem Speicherplatz. Spätestens dann muss man seine Mails sortieren und damit auch die Spam-Mails. Und das wiederum birgt potentielle Gefahren: Beim Sichten und Löschen öffnet man aus Versehen eine der Mails und der Spammer bekommt die Bestätigung, dass es diese Adresse tatsächlich gibt. Noch mehr Spam-Mails im Postfach sind die logische Folge. Direkt gefährlich wird es, wenn die Spam-Mail Links und Inhalte transportiert, die mit Schadsoftware verseucht sind.

Wohl doch eher speziell ist dieser Umgang mit Spam:

Immerhin jeder hundertste E-Mail-Nutzer legt einen eigenen Ordner für Spam an und verschiebt die Spam-Mails dorthin. Man kann es gar nicht oft genug betonen Verschieben Sie Spam-Mails immer in den dafür vorgesehenen Ordner. So können Sie sie dauerhaft deutlich reduzieren. Zusätzlich können Sie noch eine Verbesserte Spam-Erkennung in Ihren Einstellungen aktivieren.

05.05.2020

LKA Niedersachsen warnt vor neuer Corona-Spam-Kampagne

Mit gefälschten Mails zu Corona-Hilfen, unter anderem im Namen der niedersächsischen NBank, will eine neue Spam-Kampagne Daten abgreifen, warnt die Polizei. Wieder macht sich eine Spamwelle die Coronakrise für Betrugsversuche zunutze: Diesmal geben sich die Spammer als öffentliche Banken oder Behörden aus und fordern die Angeschriebenen zur Kontaktaufnahme wegen vermeintlicher Rückzahlungen über Coronahilfen auf, warnt das Landeskriminalamt (LKA) Niedersachsen. Die Spammer versendeten dabei unter anderem Fake-Schreiben im Namen der NBank, welches die Investitions- und Förderbank des Landes Niedersachsen ist. Die Absenderadresse lautet dabei: corona-zuschuss@nbank.de.com. Auch in anderen Bundesländern seien ähnliche Schreiben aufgetaucht, laut LKA mit folgenden Fake-Absendern:

corona-zuschuss@nrw.de.com

corona-zuschuss@ib-sachsen-anhalt.de.com

corona-zuschuss@ifbhh.de.com

corona-zuschuss@l-bank.de.com

corona-zuschuss@stmwi-bayern.de.com

corona-zuschuss@aufbaubank.de.com

Die sehr authentisch klingenden Mails bauten eine Drohkulisse auf und verlangten von den Angeschriebenen, ein beigelegtes PDF-Formular auszufüllen und per Mail einzuschicken. Nutzer sollten keinesfalls auf die E-Mails antworten und auch das PDF-Formular nicht ausfüllen, betont das LKA. Die Kampagne ziele wohl nicht auf die Verbreitung von Malware-Payload über Mailanhänge, erklärte die Polizeibehörde auf Anfrage. Offenbar gehe es um reines Abphishen von Daten. Welche Zwecke mit den erbeuteten Daten im Weiteren verfolgt werden, könne man angesichts der frischen Spamwelle noch nicht sagen, hieß es vom LKA.

WHO-Spam und Soforthilfe-Fakeseiten

Angst und Unsicherheit in der Coronakrise geben offenbar eine gute Basis für eine Vielzahl für ein Spam- und Phishing-Kampagnen ab. So grassierten bereits Spamwellen vermeintlich im Namen der WHO, der Sparkassen oder für angebliche Schutzmasken-Angebote. In Nordrhein-Westfalen richteten Cyberganoven gar Fake-Webseiten für die Beantragung von Corona-Soforthilfen ein, um mit den erlangten Daten eigene Anträge zu stellen. Das Bundesland musste Anfang April deshalb für eine Woche die Zahlung der Hilfen aussetzen, um das eigene Verfahren gegen die Betrugsversuche abzusichern.