Autor-Archiv:Datenschutz

Schadprogramm-Welle im Herbst und Winter

Neue Schadprogramm-Welle im Herbst und Winter

Emotet dominiert die Lage

Dominiert wurde die Lage durch das Schadprogramm Emotet, das sich schon im vergangenen Berichtszeitraum als besonders gefährlich erwiesen hatte. Es ermöglicht eine Kaskade weiterer Schadsoftware-Angriffe bis hin zu gezielten Ransomware.

DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2020

Sehr hohe Anzahl von Angriffen auf ausgewählte, zahlungskräftige Opfer. Insgesamt war das Aufkommen neuer Schadprogramm-Varianten im Herbst und Winter überdurchschnittlich hoch (der Tageszuwachs lag zeitweise bei knapp 470.000 Varianten).

Cyber-Kriminelle kommunizieren verschlüsselt

Das Hypertext Transfer Protocol Secure (HTTPS) steht für sichere, verschlüsselte Datenübertragung im Internet. Im Berichtszeitraum hat sich jedoch der Trend zur Nutzung von HTTPS-Seiten durch Cyber-Kriminelle verstärkt. In Zusammenarbeit mit der Verbraucherzentrale wurde herausgefunden, dass inzwischen mehr als jeder zweite Link in einer Phishing-E-Mail auf eine HTTPS-Webseite (60 %), die im Gegensatz zu einfachen HTTP-Webseiten besonders seriös und sicher erscheinen, tatsächlich aber betrügerischen Zwecken dienen.

Zitat: „Mit einfachen Faustregeln und Checklisten navigiert es sich oft besser durch eine digitale Welt voller Unsicherheiten.“

Bitte seien Sie mit jeder unbekannten und ungewöhnlich aufgebauten digitalen Nachrichten skeptisch.

Industrielle – Desinformation

Industrielle – Desinformation

Sehr geehrte Kunden,

Desinformation lebt von Chaos und Verwirrung: je mehr Chaos, desto mehr Gelegenheiten für Cyber-Kriminelle. Da Desinformation heute auch als Service angeboten wird (Desinformation-as a Service – kurz DFaaS), hat praktisch jede Gruppierung die Möglichkeit, Desinformationswerkzeuge einzusetzen, die zuvor nur Nationalstaaten zur Verfügung standen. Oft wird Desinformation nicht als Angriff wahrgenommen, obwohl schon Fälle bekannt wurden, bei denen Menschen manipuliert und verunsichert werden sollten und versucht wurde, gesellschaftliche Bewegungen aus dem Nichts zu erschaffen.

Das Jahr 2021 wird noch mehr Vergleichbares bringen. Allerdings wird die Zahl der Gruppen und der unterschiedlichen Agenden weiter zunehmen. Die Ziele werden von der Aneignung, dem Ausbau oder dem Festhalten an gesellschaftspolitischer Macht bis hin zur reinen Disruption reichen. In einigen Fällen werden Desinformationswerkzeuge zur Ablenkung bei hybriden Angriffen genutzt werden, bei denen auch die traditionelle Cybersicherheit und physische Angriffe ins Spiel kommen.

Diese Trends werden die Sicherheit im Netz für das Jahr 2021 prägen:

  • Eine massive Verbreitung der Remote-Arbeit und eine drastisch steigende Nutzung von Cloud-Anwendungen: Das Jahr 2020 hat der digitalen Transformation einen gehörigen Schub verpasst. Diese Veränderungen haben auch erhebliche Auswirkungen auf die IT-Sicherheit..
  • Die Corona-Krise beschleunigt die Digitalisierung, ob Unternehmen wollen oder nicht. Daher findet derzeit ein Umdenken statt und die IT-Sicherheit rückt in den Fokus. Doch welche Trends werden in dieser Situation wichtig?
  • Cyber-Kriminalität die Weltwirtschaft über eine Billion US-Dollar kostet – das entspricht ungefähr einem Prozent des weltweiten BIP. Zum Vergleich: 2018 belief sich der weltweite Schaden auf knapp 600 Milliarden US-Dollar. Das bedeutet also einen Anstieg der Kosten von über 50 Prozent.
  • Unternehmen und Organisationen weltweit werden weiterhin dezentral arbeiten und vergrößern so die Angriffsfläche für Hacker. Mitarbeiter sowie deren private Haushalte und IoT-Geräte werden verstärkt zum Ziel von Attacken und zum Einfallstor für Cyberkriminelle, die sich Zugang zu Unternehmens- und Personendaten verschaffen möchten. Dynamische Sicherheitsarchitekturen gewinnen an Bedeutung. Desinformation und Bedrohungen durch Cyber-Angriffe werden Nationalstaaten beschäftigen.
  • Microsoft und Google im großen Stil für Phishing missbraucht.
    Sicherheitsforscher sehen derzeit einen starken Anstieg von Phishing-E-Mails, die auf bekannte Marken zurückgreifen, um den Betrug zu verschleiern..
  • Mit dem Projekt Heimdall wurde eine neue Form intelligenter Spam-Abwehr vorgestellt, die zur Verteidigung gegen Spam und Schadsoftware auf Schwarmintelligenz setzt. Heimdall ist eine Anti-Spam-Cloud, die Anwendern der Secure-E-Mail-Gateway-Lösung NoSpamProxy proaktiven Schutz vor Phishing, Spam und weiteren Bedrohungen bieten kann.
  • Makro-Malware hat mit dem Aufkommen ausgefeilter Social-Engineering-Taktiken und der Popularität von Makroprogrammen ein Comeback erlebt. Für Cyberkriminelle sind vor allem Microsoft Office-Makros aufgrund der enorm großen MS-Office-Nutzerbasis ein attraktives Ziel.
  • Kriminelle Vorfälle im Internet nehmen weiter zu: Das geht von Handwerksbetrieben über Logistikunternehmen, bis hin zu Großkonzernen. Sechs von zehn Unternehmen wurden im Jahr 2020 Opfer von Cyberkriminalität – ein Anstieg von 5 Prozentpunkten im Vergleich zum Vorjahr.
  • Kriminelle nutzen die Hoch-Konjunktur des Versandhandels und geben sich in Phishing-E-Mails als DHL aus.

Bleiben sie wachsam…….

Datenleck bei Mail-Konten

So stellen Sie fest, ob Mail-Konten von einem Datenleck betroffen sind

Sind erneut Mail-Adressen und Passwörter in unbefugte Hände geraten und im Internet veröffentlicht worden, ist die Sorge nicht nur in Unternehmen und Behörden groß, selbst betroffen zu sein.

Doch wie stellen Sie fest, ob Sie zu den Opfern zählen?

Vorbereitet für die Datenschutz-Unterweisung

Die Abendnachrichten haben wieder einmal von einem schwerwiegenden Datenschutzvorfall berichtet: Datendiebe erbeuteten eine große Anzahl von E-Mail-Adressen und Passwörtern, ein Teil der Daten ist bereits im Internet aufgetaucht. Da stellt sich schnell die Frage: Bin ich selbst betroffen? Und wie finde ich das heraus? Stellen Sie sich darauf ein, dass die Kolleginnen und Kollegen bei der nächster Gelegenheit eventuell uns als Datenschutzbeauftragten (DSB) dazu befragen. Denn immerhin gilt es dann, so rasch wie möglich seine Passwörter zu ändern.

Phishing-Attacken nicht auf den Leim gehen

Zu den Hinweisen gehört zuerst einmal eine deutliche Warnung. Denn auch Datendiebe schauen die Abendnachrichten oder haben von anderer Seite bereits vom aktuellen Vorfall gehört. Sie nutzen dann die Aufmerksamkeit und Sorge, die die Meldungen erzeugt haben. Meist schicken sie eine Phishing-Mail. Diese behauptet dann, unter Angabe von E-Mail-Adresse und Passwort könne der Adressat erfahren, ob er vom Datenschutz-Vorfall betroffen ist oder nicht. Das soll die Mail-Empfänger in die nächste Datenpanne locken: Wer hier E-Mail-Adresse und Kennwort angibt, erhält vielleicht die Mitteilung, er gehöre nicht zu den Opfern. Doch hat er gerade genau die Daten, um die er sich gesorgt hat, in die falschen Hände gegeben.

Besser seriöse Datenbanken nutzen

Es gibt allerdings Datenbanken, die tatsächlich die Möglichkeit bieten, bis zu einem gewissen Grad in Erfahrung zu bringen, ob die eigenen Daten betroffen sind oder nicht. Ob diese Datenbanken den aktuellen Fall enthalten und auf dem neuesten Stand sind oder nicht, liegt in der Verantwortung des Datenbank-Betreibers. In jedem Fall sind für die Abfragen keine Kennwörter erforderlich. Es reicht, die E-Mail-Adresse anzugeben. Dennoch sollte jeder, der eine solche Datenbank nutzen will, sie genau prüfen. Ein Blick in die Datenschutzerklärung und das Impressum ist mehr als sinnvoll.

fürs Monitoring einrichten

Es gibt auch Online-Dienste, bei denen man seine Mail-Adresse hinterlegt, um bei einem Datenschutzvorfall einen Warnhinweis zu bekommen.

Auch hier muss der Nutzer sich immer die aktuelle Datenschutzerklärung und den Anbieter ansehen. Sie können in öffentlich zugänglichen Datenlecks nach E-Mail-Adressen suchen, ohne ein Firefox-Konto zu erstellen. Wer bei zukünftigen Datenlecks jedoch Warnmeldungen und einen Bericht erhalten möchte, muss ein Firefox-Konto bei monitor.firefox.com erstellen.

Im Ernstfall Passwort ändern!

Es reicht allerdings nicht, die Datenbanken zu durchforsten. Wer von einem Datenleck betroffen ist, muss schnell und richtig reagieren.

Das Datenschutzbüro Gaß & Gimbel empfiehlt daher, sein Passwort schnellstmöglich zu ändern, sobald es Hinweise gibt, dass es  in die Hände von unbefugten Dritten gelangt ist.

Ein solcher Hinweis kann die direkte Aufforderung eines Dienste-Anbieters sein, das Passwort zu ändern. Ebenso die Nachricht, dass Datendiebe Passwörter eines bestimmten Dienstleisters gestohlen haben und diese Daten nun im Internet aufgetaucht sind.

Abzocke online

Abzocke online: Wie erkenne ich Fake-Shops im Internet?

Im Netz tummeln sich falsche Läden, die Nutzer mit günstigen Preisen zum Kauf verführen wollen. Die Ware kommt aber nie an. So erkennen Sie die Betrüger. Weihnachten steht an, der Geburtstag ist auch bald und dann kommt noch der Jahrestag: Manchmal braucht man sehr schnell ein sehr schönes Geschenk. Zum Glück gibts das Netz. An jeder Ecke findet man gute Angebote für Markenartikel, die ruckzuck beim Käufer sein sollen. Und das oft günstiger als beim Laden um die Ecke.

Doch auch Betrüger sind aktiv, erstellen täuschend echt aussehende Shops und verführen Nutzer dazu, unüberlegt und schnell ein besonders günstiges Produkt zu kaufen. Fällt man auf so einen Shop rein, ist das Geld weg, und das bestellte Produkt kommt nie an oder es handelt sich nur um Ramschware. Eventuell meldet sich sogar der Zoll, der gefälschte Ware abgefangen hat. Auch die persönlichen Daten der Opfer können die Betrüger nun missbrauchen. Betrüger verteilen die Links zu den Fakeshops per Spam-Mail oder sie werden über Google gefunden. Manche Fakeshops sind gar nicht so einfach zu erkennen.

Sie müssen auf folgende Punkte achten,

  • wissen, ob eine HTTPS-Adresse sicher ist
  • Sicherheitszertifikat von der Webseite überprüfen
  • den Preis ( zu günstig oder zu teuer )
  • das Impressum
  • die AGB
  • seriösen Prüfsiegeln sichten und überprüfen
  • Zahlungsmethoden einsehen, Kreditkarte oder EC Karte wird teilweise nicht akzeptiert oder funktioniert nicht, die Daten wurden aber schon eingegeben und gespeichert

Oft werden Kunden bis zum letzten Bestellschritt mehrere Zahlungsweisen angeboten. Doch bei der eigentlichen Bestellung wird dann nur noch Vorkasse z. B. in Form einer Überweisung verlangt.

Es sollte aber umgekehrt sein: erst die Ware, dann das Geld. Ohne kundenfreundliche Zahlungsweise sollten Sie besser nichts bestellen.

Selbst auf Amazon und Ebay warten betrügerische Händler auf Sie. Wenn Sie unsicher sind, können Sie und gerne kontaktieren.

Durchführung von Videokonferenzen

Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen

Für die Durchführung von datenschutzgerechten virtuellen Konferenzen empfehlen wir Unternehmen, Behörden und anderen Organisationen, wie folgt vorzugehen. Prüfen Sie

  1. ob anstelle von Videokonferenzen auch Telefonkonferenzen ausreichen könnten, um die gewünschte Abstimmung untereinander herbeizuführen. Diese können sehr viel leichter datenschutzgerecht durchgeführt werden.
  2. ob es Ihnen mit verhältnismäßigem Aufwand möglich ist, einen eigenen Dienst im Quelltext mit öffentlich verfügbarer (Open-Source-) oder kommerziell erhältlicher Software bereitzustellen. Stellen Sie dabei sicher, dass die eingesetzte Software keine Daten über Ihre Beschäftigten oder deren Kommunikationspartner/-innen an den Hersteller für dessen Zwecke oder Zwecke Dritter übermittelt.
  3. ob eine der Lösungen eines Anbieters mit Sitz und Verarbeitungsort, insbesondere Server-Standort, im Europäischen Wirtschaftsraum (EWR) oder aus einem Land mit gleichwertigem Datenschutzniveau (https://ec.europa.eu/info/law/law-topic/dataprotection/international-dimension-data-protection/adequacy-decisions_en) Ihren Bedürfnissen entspricht.

Prüfen Sie des Weiteren, ob der Anbieter

  1. a) erwarten lässt, dass er die Daten nur im zulässigen Rahmen verarbeitet und insbesondere nicht entgegen europäischem Datenschutzrecht an Dritte – einschließlich ausländische Behörden – weitergibt,
  2. b) ausreichende Datensicherheit (zum Beispiel durch Zertifizierung) nachweisen kann und
  3. c) Ihnen die Verschlüsselung der Datenübertragung garantiert. Fällt die Prüfung positiv aus, dann
  4. d) schließen Sie einen ordnungsgemäßen Auftragsverarbeitungsvertrag mit dem Anbieter, und stellen Sie sicher, dass der Betreiber
  5. e) keine Angaben über Ihre Beschäftigten und deren Kommunikation oder über die Nutzung der Software für eigene Zwecke oder Zwecke Dritter verarbeitet sowie
  6. f) Unterauftragnehmer mit Verarbeitungsort, insbesondere Server-Standort, außerhalb der EU/des EWR für die Bereitstellung des Videokonferenzdiensts nur einsetzt, wenn der Datenexport die Anforderungen des Kapitels V der Datenschutz-Grundverordnung erfüllt.

Bitte beachten Sie, dass der Beschluss der EU-Kommission zur Gleichwertigkeit des Datenschutzniveaus in den USA sich ausschließlich auf Organisationen erstreckt, die sich durch Selbstzertifizierung beim US-Handelsministerium zur Einhaltung der Grundsätze des Privacy Shields verpflichtet haben. Die Zertifizierung muss sich auch auf Personaldaten (HR) erstrecken. Sie überprüfen dies durch Einsicht in die Liste des US-Handelsministeriums unter https://www.privacyshield.gov/list .

  1. Wenn Sie einen Anbieter mit Verarbeitungsort außerhalb von EU/EWR oder einem Land mit gleichwertigem Datenschutzniveau bzw. einen nicht im Rahmen des Privacy Shields für die Verarbeitung von Personaldaten zertifizierten Anbieter in den USA beauftragen wollen, dann erfüllen Sie die Bedingungen unter Ziff. 3. a) – c) und e) und schließen mit ihm zur Erfüllung der Bedingung in Ziff. 3. d) einen Vertrag gemäß den von der EU-Kommission genehmigten Standardvertragsklauseln ( https://eur-lex.europa.eu/legalcontent/DE/TXT/?uri=CELEX%3A32010D0087 ). Eine Einschränkung der Wirkung dieser Klauseln durch anderweitige Vereinbarungen ist nicht zulässig. Dies gilt für jede Art von zusätzlichen Bedingungen und Einschränkungen für die Pflichten und Rechte aus den Standardvertragsklauseln.

Die Erfüllung der Ziff. 3. a) bis 3. f) sowie ggf. Ziff. 4. bzw. im Fall von selbst betriebenen Lösungen Ziff. 2 Satz 2 ist in der Regel zwingende Voraussetzung für die Rechtmäßigkeit der Nutzung der jeweiligen Lösung. Wir weisen darauf hin, dass einige verbreitet eingesetzte Anbieter nicht alle Rechtmäßigkeitsvoraussetzungen erfüllen, darunter die Dienste Blizz, Cisco WebEx, Cisco WebEx über Telekom, Google Meet, GoToMeeting, Microsoft Teams, Skype, Skype for Business Online und zoom.

Mit NETWAYS Web Services Jitsi, sichere-videokonferenz.de, TixeoCloud, Werk21 BigBlueButton und Wire stehen allerdings Alternativen bereit, die die datenschutzrechtlichen Anforderungen erfüllen. Nicht datenschutzgerechte Lösungen, die aufgrund der Einführung der Kontaktbeschränkungen von Ihrer Institution kurzfristig eingesetzt wurden, sollten so bald wie möglich abgelöst bzw. so nachgebessert werden, dass sie den datenschutzrechtlichen Anforderungen entsprechen.

Warnung vor automatisierten Online-Profilbildungen

Warnung vor automatisierten Online-Profilbildungen

Thüringens oberster Datenschützer warnt: Aus Nutzerdaten im Internet lassen sich intime Persönlichkeitsprofile erstellen – mit unangenehmen Konsequenzen. Thüringens oberster Datenschutzbeauftragter, Lutz Hasse, warnt vor einer unkontrollierten automatisierten Erstellung von Online-Profilen, etwa auf Grundlage von Daten Einzelner in sozialen Netzwerken wie Facebook. Er wünscht sich mehr Handhabe der Behörden. „Mir schwebt vor, dass es eine Meldepflicht gibt, wenn solche Profile gebildet werden“, sagte Hasse im Gespräch mit der Deutschen Presse-Agentur. Gebe es eine solche Pflicht, könne er mit seiner Behörde überprüfen, ob diese Profilbildungen überhaupt auf legalem Wege zustande kommen, sollte etwa ein Thüringer Unternehmen so etwas anbieten.

Banken, Arbeitgeber, Parteien, Geheimdienste an Profilen interessiert

Das Grundproblem der Profilbildung beschreibt Hasse so: Anhand etwa von Facebook-Likes ließen sich über Algorithmen Profile über einzelne Nutzer erstellen. In diesen Profilen fließen dann vermeintliche Erkenntnisse über die Nutzer zusammen. „Mit zehn Facebook-Likes kennt der Algorithmus jemanden besser als etwa die Arbeitskollegen der betroffenen Person, und bei 250 Facebook-Likes kennt der Algorithmus jemanden besser, als es ein Ehepartner tut“, sagt Hasse. Diese Profile, die Informationen etwa über Herkunft, sexuelle Orientierung und Charaktereigenschaften enthalten können, könnten vielfach genutzt werden – von Banken bei Kreditvergaben und Arbeitgebern etwa, aber auch von Parteien. Gerade Letzteres hatte im vergangenen US-Wahlkampf eine Rolle gespielt. So soll die Firma Cambridge Analytica, die später für das Wahlkampfteam von US-Präsident Donald Trump arbeitete, Facebook-Daten zu solchen Profilen verarbeitet haben.

Manipulation per Wahlwerbung befürchtet

„Die Profile können eben auch für individualisierte Wahlwerbung genutzt werden“, sagte Hasse. Das könne seiner Ansicht nach dazu führen, dass der einzelne Wähler in seiner Entscheidung manipuliert werden könne. Ähnliche tief in das Datenschutzgrundrecht eingreifende Programme mit Bezug auf die anstehende Landtags- und Bundestagswahl sind Hasse bislang noch nicht bekannt. Aber er gehe davon aus, dass man sich auch hierzulande mit dem Potenzial solcher Datensätze einzelner Wähler beschäftige. Auch die Datenethikkommission der Bundesregierung und der Bundesverband der Verbraucherzentralen haben in der Vergangenheit bereits auf die Problematik automatisierter Profilbildungen aufmerksam gemacht.

„Mit das Schlimmste an diesen Profilen aber ist, dass der Einzelne nichts über ihre Existenz weiß; man weiß nicht, wer sie erstellt, was darin steht – und ob der Inhalt überhaupt stimmt“, kritisiert Hasse und fordert deshalb die Meldepflicht.

Neue Phising Taktiken durch Corona

In der Coronakrise hat sich die Anzahl an Phishing-Angriffen vervielfacht – Cyber-Kriminelle nutzen die Verunsicherung und das allgemeine Bedürfnis nach Schutz und Informationen gezielt aus. Unternehmen müssen den Faktor Mensch nun intensiver in Maßnahmen zur Stärkung der IT-Sicherheit miteinbeziehen, um wenig Angriffsfläche zu bieten.

Mit dem Poster „Neue Phishing-Taktiken durch Corona“ zeigen wir anschaulich die Taktiken der Hacker auf und gibt Ihnen Mittel an die Hand, um die perfiden Angriffe abzuwehren. Mit der Verteilung des Posters – ob ausgedruckt oder digital – sensibilisieren Sie Ihr Team für Cyber-Gefahren und schützen Ihr Unternehmen auch in der Krise.

Totalüberwachung mit Gesichtserkennung

Datenschützer warnen vor Totalüberwachung mit Gesichtserkennung

Der rheinland-pfälzische Datenschutzbeauftragte wirft IT-Unternehmen eine Salami-Taktik vor. Besondere Risiken gebe es bei der Verknüpfung von Anwendungen. Der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann hat vor einer umfassenden Einführung von Techniken zur Gesichtserkennung gewarnt. „Eine flächendeckende, automatisierte Gesichtserkennung in öffentlichen Räumen könnte zu einer Totalüberwachung führen“, sagte Kugelmann der Deutschen Presse-Agentur und fügte hinzu: „Davor graut es mir.“

Datenschützer pro Open Source

Vielen Menschen seien die Gefahren einer flächendeckenden, automatisierten Erfassung biometrischer Merkmale noch nicht bewusst. Kugelmann regte eine breite Debatte dazu an, etwa in Stadt- und Gemeinderäten, Schulen und Verbänden. „Auch bei der Polizei muss eine Debatte her. Das Thema betrifft auch die Ebene des Bundes und der EU, dabei will ich mich einschalten.“

Der Datenschützer warf der IT-Branche vor, schrittweise die Grenzen des Zulässigen auszuloten: „Bei digitalen Entwicklungen verfolgen manche Unternehmen eine Salami-Taktik.“ Einzelne Anwendungen könnten zwar sinnvoll sein. „Wenn aber viele solcher Anwendungen miteinander verknüpft werden, mündet das in eine umfassende Überwachung.“ Bei Software-Entwicklungen sei zu beobachten, dass beanstandete Punkte in späteren Versionen behoben würden, sagte Kugelmann. „Wir rennen da ein bisschen hinterher.“ Grundsätzlich habe Open-Source-Software beim Datenschutz größere Vorteile, weil von vornherein volle Transparenz gegeben sei. Unternehmen hätten zwar ein berechtigtes Interesse, Betriebs- und Geschäftsgeheimnisse zu wahren. „Aber für uns ist es immer gut, wenn offene Produkte verwendet werden“, sagte Kugelmann. „Ich denke, als Datenschützer sollten wir der Verwaltung empfehlen, verstärkt Open-Source-Systeme zu verwenden.“ Nicht nur das Gesicht wird erfasst, auch werde das Umfeld digitalisiert und Metadaten gespeichert, was für viele Firmen einer Spionage ähnelt.

Smartphone Besitzer mit Face ID aufgepasst …………..

Emotet versteckt sich nun in passwortgeschützten Archiven

Aufgepasst: Emotet versteckt sich nun in passwortgeschützten Archiven

Die Drahtzieher hinter Emotet haben eine neue Kampagne gestartet, um die Malware zu verbreiten. Dieses Mal haben Sie aber bei einer Sache gepennt. Wer dieser Tage im Dateianhang einer Mail ein gepacktes Archiv vorfindet, sollte besonders gut aufpassen: Darin könnte die hoch entwickelte Windows-Malware Emotet lauern. Wie Microsoft auf Twitter berichtet, sollen solche Mails derzeit weltweit und in verschiedenen Sprachen unterwegs sein. An den als Arbeits- oder Rechnungsmails getarnten Nachrichten hängt ein mit einem Passwort geschütztes Archiv. Dieser Ansatz sorgt dafür, dass Antiviren-Software auf Mail-Gateways nicht in das Archiv gucken kann und somit die Bedrohung darin nicht sieht. Der Text in der Mail bittet das Opfer darum, das Archiv mit dem in der Nachricht enthaltenen Passwort zu öffnen. Darin befindet sich ein Word-Dokument mit vermeintlichen weiterführenden Informationen zum Betreff der Mail.

Infektion nicht ohne Weiteres

Um eins gleich klarzustellen: Der alleinige Empfang der Mail und selbst das Öffnen des Archivs und im Anschluss des Dokuments hat noch keine Emotet-Infektion zufolge. Erst wenn ein Opfer die Makros im Word-Dokument aktiviert, kommt die Malware auf den Computer. Um das zu erreichen, tun die Kriminellen so, als wenn das Dokument mit Windows 10 Mobile oder Android erzeugt wurde. Um es lesen zu können, muss das Opfer den „Kompatibilitätsmodus“ aktivieren. Doch diesen Modus gibt es gar nicht. Fällt das Opfer auf die Finte rein, aktiviert es die Makros im Dokument.

Emotet-Mails mit einem Blick enttarnen

In der Vergangenheit hing Emotet an Mails, die in der Regel sehr gut gefälscht waren und selbst Admins mussten zum Teil mehrmals hingucken, um den Schwindel aufzudecken. Dafür werteten die Emotet-Macher bereits kopierte Interna aus und strickten daraus maßgeschneiderte Betrüger-Mails mit gefährlichem Anhang. So waren in Unternehmen beispielsweise Mails im Namens des Chefs in Umlauf, die an bestehende Projekte anknüpften und so besonders glaubhaft wirkten.

Massenhaftem Auslesen von Kontakten

Massenhaftem Auslesen von Kontakten

Verfahren zur Kontaktermittlung bei populären Messengern gefährdeten die Privatsphäre von über einer Milliarde Nutzern, schlagen Datenschützer Alarm. Der Zugriff von Messenger-Diensten wie WhatsApp auf das Adressbuch für die Kommunikation mit bereits bestehenden Kontakten gilt generell als datenschutzrechtlich problematisch. Über einfache Crawling-Angriffe in Form der zufälligen Abfrage von Telefonnummern lässt sich das soziale Umfeld von Nutzern aber in noch stärker ausspionieren, zeigt eine Studie von IT-Sicherheitsforschern. Sie sehen damit „die Privatsphäre von weit mehr als einer Milliarde“ Anwender bedroht. Für die Untersuchung fragten die Wissenschaftler der Würzburger Secure Software Systems Group und der Darmstädter Cryptography and Privacy Engineering Group laut der als Preprint veröffentlichten Ergebnisse zunächst anhand einer Datenbank zufällig ausgewählte zehn Prozent aller Mobilfunknummern in den USA für WhatsApp und 100 Prozent für Signal ab. Dadurch waren sie in der Lage, persönliche Informationen inklusive Metadaten zu sammeln, wie sie üblicherweise in den Nutzerprofilen der Messenger gespeichert werden. Dazu gehörten etwa auch Profilbilder, Nutzernamen, Statustexte und die „zuletzt online“ verbrachte Zeit. Die analysierten Daten offenbaren aussagekräftige Statistiken über das Verhalten der Anwender. So ändern nur sehr wenige Nutzer die standardmäßigen Privatsphäre-Einstellungen, obwohl diese für die meisten nicht sonderlich datenschutzfreundlich sind. Die Teams fanden heraus, dass ungefähr 50 Prozent aller WhatsApp-User in den USA ein öffentliches Profilbild haben und 90 Prozent einen öffentlichen Infotext. 40 Prozent aller bei Signal Registrierten hatten auch das von Datenschützern kritischer gesehene WhatsApp in Betrieb, die Hälfte davon sogar ein öffentliches Profilbild dort gespeichert.

Verhaltensmodelle möglich

Angreifer, die solche Daten über die Zeit hinweg verfolgen, können genaue Verhaltensmodelle in Form des sogenannten Social Graph erstellen. Wenn sie die Informationen mit weiteren Angaben in sozialen Netzwerken und anderen öffentlichen Datenquellen abgleichen, können sie auch detaillierte Profile erstellen und etwa für Betrugsmaschen sowie Abzocke nutzen. Auch Telegram nahmen die Experten unter die Lupe und stellten fest, dass der Dienst zur Kontaktermittlung sogar die Anzahl möglicher Kommunikationspartner für die Besitzer von Telefonnummern preisgibt, die gar nicht bei dem Dienst registriert sind. Das API der App legt eine breite Palette sensibler Informationen offen. Welche Daten während des Adressbuchabgleichs publik werden und über Crawling-Angriffe gesammelt werden können, hängt vom Dienstanbieter und den gewählten Privatsphäre-Einstellungen ab. WhatsApp und Telegram übertragen das komplette Adressbuch der Nutzer an Server, während sich Signal etwa mit kurzen kryptographischen Hashwerten von Telefonnummern begnügt.

Keine nennenswerten Hürden

Die Forscher zeigen jedoch, dass es mit optimierten Angriffsstrategien auch möglich ist, von diesen Prüfsummen innerhalb von Millisekunden auf die zugehörigen Telefonnummern zu schließen. Dritte könnten einfach eine große Anzahl an Konten erstellen und die Nutzerdatenbanken eines Messengers dann nach Informationen durchforsten, indem sie Daten für zufällige Telefonnummern abfragen. Nennenswerte Hürden für die Registrierung bei Chat-Diensten gebe es nicht. Zudem schlagen sie verschiedene Techniken zum Schutz vor Crawling-Angriffen vor wie etwa ein verbessertes Verfahren zur Kontaktermittlung, wodurch die Nutzbarkeit der Anwendungen nicht negativ beeinflusst würde. Ihre Resultate, die sie auf einer GitHub-Seite zusammengefasst haben, wollen sie im Februar 2021 auch auf dem 28. Annual Network and Distributed System Security Symposium (NDSS) präsentieren.