Kategorie-Archiv:News

US-CERT und Microsoft warnen

US-CERT und Microsoft warnen

Das US-CERT hat inzwischen eine Sicherheitswarnung herausgegeben, die die Details zusammenfasst. Ab Windows 10 1809 wird der BUILTIN\Users-Gruppe demnach die Lese-Ausführungsberechtigung (RX) folgenden Dateien zugewiesen:

c:\Windows\System32\config\sam

c:\Windows\System32\config\system

c:\Windows\System32\config\security

Sind Volumen-Schattenkopien des Systemlaufwerks verfügbar, kann ein nicht privilegierter lokaler Benutzer den Zugriff auf diese Dateien beispielsweise für folgendes nutzen:

  • Extrahieren und Ausnutzen von Kontokennwort-Hashes mit Tools wie mimikatz für Pass-the-Hash-Angriffe
  • Das ursprüngliche Windows-Installationspasswort herausfinden
  • DPAPI-Computerschlüssel, die zur Entschlüsselung aller privaten Computerschlüssel verwendet werden können, erlangen
  • Ein Computerkonto eines lokalen Administrators für einen Silver-Ticket-Angriff übernehmen

Benjamin Deply demonstriert in einem Video aus diesem Tweet einige der sich abzeichnenden Möglichkeiten. Auf einigen Systemen fehlen zwar die benötigten VSS-Schattenkopien. Wird ein Systemlaufwerk größer als 128 GB für ein Windows-Upgrade verwendet, erstellt Windows automatisch eine VSS-Schattenkopie.

Der Befehl:

vssadmin list shadows

ausgeführt aus einer administrativen Eingabeaufforderung, zeigt diese Volumenschattenkopien an. Microsoft hat mittlerweile auch eine erste Beschreibung der Schwachstelle mit dem Bezeichner CVE-2021-36934 veröffentlicht. Diese bestätigt die fehlerhaften Zugriffsrechte in den Access Control Lists (ACLs) mehrerer Systemdateien, einschließlich der Security Accounts Manager Datenbank (SAM).

Workarounds für die Schwachstelle

Von Microsoft gibt es bisher keine Hinweise zur Beseitigung der Schwachstelle. Man könnte zwar die Schattenkopien löschen beziehungsweise abschalten, verliert dadurch aber die Möglichkeit, beschädigte Hives wiederherzustellen. Vom US-CERT gibt es in der entsprechenden Sicherheitswarnung den Vorschlag, die Zugriffsberechtigungen für die Gruppe Users durch die nachfolgenden Befehle, ausgeführt in einer administrativen Eingabeaufforderung, zu entziehen.

Bitte leiten Sie die Information an ihren IT Bereich weiter.

Schadcode-Lücke in Windows bedroht ganze Netzwerke

Schadcode-Lücke in Windows bedroht ganze Netzwerke

Angreifer könnten viele Windows-Versionen attackieren und kompromittieren. Bislang gibt es keinen Patch. Admins müssen Systeme mit einem Workaround absichern.

Derzeit ist Exploit-Code in Umlauf, der an einer bislang ungepatchten Sicherheitslücke in vielen Windows-Versionen ansetzt. Ein Sicherheitsupdate ist bislang nicht verfügbar. Es gibt aber einen Workaround, über den Admins Systeme vor Attacken schützen können. Ob es bereits Attacken gibt, ist bislang nicht bekannt.

Schadcode mit System-Rechten ausführen

Das Problem findet sich im Printer-Spooler-Service von Windows. Dem derzeitigen Informationsstand zufolge sind davon alle Versionen von Windows 7 SP1 bis Server 2019 betroffen. Verschiedene Sicherheitsforscher geben an, vollständig gepatchte Systeme mit Windows Server 2019 erfolgreich attackiert zu haben.

Als Ergebnis konnten sie Schadcode mit System-Rechten ausführen. Passiert das auf einem Domain-Server, könnten Angreifer sich im Netzwerk ausbreiten und weitere Computer mit Malware infizieren. Einem Bericht des CERT der Carnegie Mellon University zufolge muss ein entfernter Angreifer für eine erfolgreiche Attacke aber authentifiziert sein.

Ist das gegeben, könnte er an der verwundbaren RpcAddPrinterDriverEx()-Funktion des Windows-Print-Spooler-Service ansetzen und dem Betriebssystem einen mit Schadcode präparierten Treiber unterschieben.

Diese wird dann mit System-Rechten ausgeführt.

Wie kam es dazu?

Am Patchday im Juni hat Microsoft eine ähnliche Sicherheitslücke (CVE-2021-1675, „hoch“) in Printer Spooler geschlossen.

Für die neue Schwachstelle existiert bislang noch keine CVE-Nummer und Einstufung des Bedrohungsgrads.

Sicherheitsforscher sprechen von einem kritischen Bug.

Das Problem ist, dass Forscher von Sangfor versehentlich Exploit-Code für die neue Lücke veröffentlicht haben.

Das geschah im Zuge der Vorbereitungen für einen Vortrag über Printer-Spooler-Bugs auf der anstehenden Hacker-Konferenz Black Hat im August 2021.

Erst nach der Veröffentlichung stellte sich heraus, dass der Code gar nicht für die bereits geschlossene Lücke ist, sondern für eine neue Schwachstelle.

Doch da war es bereits zu spät und der Zero-Day-Exploit kursiert im Netz.

Was ist jetzt zu tun?

Bislang hat Microsoft keinen Sicherheitspatch angekündigt.

Es ist davon auszugehen, dass das Update erst am Patchday (13. Juli) kommen wird.

Bis dahin sollten Admins den Print-Spooler-Service deaktivieren, um Systeme gegen die geschilderte Attacke abzusichern.

Kinderbilder im Internet nur mit Einwilligung

Kinderbilder im Internet nur mit Einwilligung

  • Wer darf Kinderfotos im Internet veröffentlichen und verbreiten?

Kinderbilder auf Facebook oder im Internet ist ein sehr umstrittenes Thema. Die einen können die Aufregung nicht verstehen und posten munter Bilder ihrer Kleinen im Minutentakt und die anderen wettern gegen jegliche Veröffentlichung von Kinderfotos mit missionarischem Eifer.

  • Wo liegt das Problem bei der Veröffentlichung von Kinderfotos?

Zunächst muss man sich immer die Frage stellen, ob das Kind selbst überhaupt mit der Verbreitung des ihn zeigenden Bildes einverstanden ist. Was manche Eltern süß oder lustig finden, kann für das Kind nur peinlich sein. Solche Bilder sind dann häufig ein gefundenes Fressen für die Klassenkameraden, was bis zu Mobbingattacken führen kann. Wollen Sie ernsthaft der Auslöser für solche Attacken sein? Ein anderes Problem ist, dass insbesondere Bilder von heranwachsenden Teenagern missbraucht werden. Plötzlich findet sich der oder die abgebildete Jugendliche auf irgendwelchen dubiosen Websites wieder, die bspw. sexy Teenager promoten. Solche Seiten und Bilder ziehen dann auch noch Pädophile an, die dann ein leichtes Spiel haben, mit den Kindern in Kontakt zu treten. Daher sollte man sich immer die Frage stellen, muss es wirklich sein, dass ich Bilder meiner Kinder öffentlich, für jeden einsehbar, in sozialen Netzwerken oder dem Internet veröffentliche und verbreite. Reicht es nicht aus, diese maximal in einem überschaubaren geschlossenen Nutzerkreis zu präsentieren?

Wenn die Bilder erst mal im Internet veröffentlicht sind, verliert man ganz schnell die Kontrolle über die Bilder.

  • Wer darf Kinderbilder veröffentlichen?

Auch Kinder haben ein Persönlichkeitsrecht. Genau wie bei Erwachsenen, dürfen keine Bilder von Kindern veröffentlicht und verbreitete werden, für die keine Einwilligung vorliegen. Grundsätzlich muss mindestens ein Teil der sorgeberechtigten Eltern zur Veröffentlichung und Verbreitung eines Kinderfotos einwilligen. Sind sich beide sorgeberechtigten Elternteile über die Veröffentlichung eines oder mehrerer Bilder ihrer Kinder nicht einig, muss gegebenenfalls das Familiengericht über die Veröffentlichung entscheiden. Liegt das Sorgerecht ausschließlich bei einem Elternteil, darf der andere Elternteil Bilder seines Kindes nicht ohne die Einwilligung des sorgeberechtigten Elternteils veröffentlichen. Das Recht über die nach § 22 KUG erforderliche Einwilligung zu entscheiden, liegt gemäß §§ 1626, 1626 a Abs. 2, 1627, 1629 BGB ausschließlich bei dem allein sorgeberechtigten Elternteil.  Auch Verwandte, wie Großeltern, Tanten, etc. müssen die Einwilligung der Sorgeberechtigten Eltern einholen, wenn sie Bilder von deren Kind veröffentlichen und verbreiten wollen. Dessen sind sich scheinbar viele Facebook-Nutzer nicht bewusst.

Anspruch auf Unterlassung bei ungenehmigter Veröffentlichung und Verbreitung

Das abgebildete Kind und die sorgeberechtigten Eltern haben gegenüber der Person, die das Bild des Kindes ohne Einwilligung der Eltern veröffentlicht hat, einen Anspruch auf Unterlassung gem. §§ 1004 Abs.1 S. 2BGB i.V.m. §§ 823 Abs. 2 BGB, 22, 23 KUG.

  • Benötigt man für die Veröffentlichung und Verbreitung des Bildes auch die Einwilligung des abgebildeten Kindes?

Je nach Alter und Einsichtsfähigkeit, bedarf es zur Veröffentlichung und Verbreitung von Kinderfotos neben der Einwilligung der sorgeberechtigten Eltern auch die Einwilligung des abgebildeten Kindes. Die notwendige Einsichtsfähigkeit des Kindes liegt dann vor, wenn dieses in der Lage ist, die Bedeutung und Tragweite seiner Einwilligung zu überblicken. In der Regel geht man davon aus, dass spätestens ab der Vollendung des 14. Lebensjahres von einer solchen Einsichtsfähigkeit ausgegangen werden kann. In diesen Fällen dürfen auch die sorgeberechtigten Eltern nur dann Bilder, auf denen ihre Kinder abgebildet sind, im Internet veröffentlichen und verbreiten, sofern die Kinder damit einverstanden sind.

Kitas, Kindergärten, Schulen und sonstige private oder öffentliche Einrichtungen benötigen ebenfalls eine Einwilligung

Egal ob Einzelbilder oder Gruppen- und Klassenbilder, auch Kitas Kindergärten und Schulen benötigen die Einwilligung der sorgeberechtigten Eltern, wenn Bilder von deren Kinder veröffentlicht oder verbreitet werden sollen. Dies ist auch bei Gruppen und Klassenfotos der Fall, auch wenn auf diesen Bildern teilweise über 30 Kinder abgebildet sind. Solche Klassen Bilder und Gruppenfotos fallen nicht unter die Ausnahme des § 23 Abs. 1 Nr. 3 KunstUrhG.

Fazit

Bilder von minderjährigen Kindern dürfen nur dann veröffentlicht und verbreitet werden, wenn die Einwilligung der sorgeberechtigten Eltern vorliegen. Ab einer gewissen Einsichtsfähigkeit des abgebildeten Kindes, in der Regel spätestens mit der Vollendung des 14. Lebensjahres, bedarf es neben der Einwilligung der sorgeberechtigten Eltern auch noch die Einwilligung des abgebildeten Kindes selbst. Werden Bilder von minderjährigen Kindern ohne die erforderliche Einwilligung bspw. bei Facebook eingestellt, kann dies eine kostenpflichtige Abmahnung zur Folge haben. Sollte es sich sogar um Bilder handeln, die das abgebildete Kind in einer besonders peinlichen Situation zeigen, kann neben Anspruch auf Unterlassung auch ein Anspruch auf Geldentschädigung bestehen.

Des Weiteren muss man sich bewusst sein, dass eine ungenehmigte Veröffentlichung und Verbreitung nicht nur zivilrechtliche Folgen, sondern auf Antrag (§33 KUG) sogar strafrechtliche Folgen haben.

An die sorgeberechtigten Eltern oder sonstige sorgeberechtigten Personen kann man nur appellieren, Bilder seiner Kinder nur mit sehr viel Vorsicht und bedacht zu veröffentlichen. Bestenfalls sollten diese Bilder nur einem engen geschlossenen Nutzerkreis zur Verfügung gestellt werden.

Datenschutzkonforme WhatsApp-Alternativen

Wie wir ja wissen dürfen aus Datenschutzgründen Unternehmen Whatsapp nicht mehr verwenden.

Ein Überblick über DSGVO-konforme Messenger-Alternativen für die schnelle Kommunikation via Smartphone habe wir hier aufgeführt. Wenn Mitarbeiter zur firmeninternen Kommunikation oder zur Kommunikation mit Kunden Whatsapp benutzen, dann ist das spätestens seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) rechtlich heikel. Doch welche datenschutzkonformen Whatsapp-Alternativen gibt es für die schnelle, mobile Kommunikation? Ein Überblick über allgemeine Messenger-Dienste, die Datenschutz ernst nehmen, und solche, die speziell auf Unternehmen ausgerichtet sind.

Threema

  • Vorteile: Der Messenger-Dienst ist in der Schweiz ansässig und im Gegensatz zu anderen Apps nicht an eine Handynummer gekoppelt. Stattdessen erstellt Threema einen zufällig generierten Code – die Threema-ID. Man kann Threema nutzen, ohne der App Zugriff auf das Adressbuch zu geben.
  • Wer auf den praktischen Adressbuch-Upload nicht verzichten will, kann Threema Zugriff auf seine Kontakte geben. Dann funktioniert der Messenger wie Whatsapp – mit einem wichtigen Unterschied: Threema lädt die Nummern nicht auf seine Server, sondern erstellt aus ihnen einen sogenannten „Hash“. Das ist eine zufällige Nummernfolge, mit der sich zwar abgleichen lässt, ob Freunde den Dienst nutzen, die aber nicht die Telefonnummer selbst ist. So überträgt man keine Daten von anderen an das Unternehmen und ist datenschutzrechtlich aus dem Schneider.
  • Bei Threema ist die gesamte Kommunikation verschlüsselt und mit Threema Work gibt es auch eine Lösung, die speziell auf Unternehmen zugeschnitten ist.
  • Kosten: Android-Nutzer zahlen einmalig 2,99 Euro, im iTunes Store kostet die Threema-App 3,49 Euro. Für Threema Work zahlt man pro Nutzer und Monat je nach Leistungsumfang zwischen 1,40 CHF und 1,90 CHF.

Hoccer

  • Vorteile: Wurde von der Stiftung Warentest 2015 zum Testsieger der Messenger-Dienste gekürt. Der seit 2009 bestehende Dienst aus Deutschland legt das Augenmerk auf den Datenschutz: Sämtliche Informationen werden verschlüsselt an deutsche Server übermittelt und anschließend umgehend gelöscht. Nutzer müssen keine Telefonnummer angeben und der Dienst fordert keinen Zugriff auf das Adressbuch. Allerdings muss deshalb jeder Kontakt über die sogenannte Hoccer-ID zum Messenger hinzugefügt werden.
  • Kosten: Hoccer kann gratis für Android und iOS-Geräte heruntergeladen werden.

Signal

  • Vorteile: Signal kommt aus den USA und hat Server in mehreren Ländern. Eine gemeinnützige Stiftung hat den Dienst entwickelt und betreibt ihn. Die App verlangt eine Handynummer, damit man sich anmelden kann, und möchte gerne auf das Adressbuch des Smartphones zugreifen. Allerdings werden beim Abgleich des Adressbuches alle Kontakte anonymisiert und nach dem Abgleich wieder von den Servern gelöscht.
  • Signal arbeitet außerdem an einem Verfahren, das verhindert, dass Serverbetreiber Einblick in übertragene Kontaktdaten bekommen. Das könnte möglicherweise das Datenschutz-Problem aller Anbieter lösen. Zudem gilt das Verschlüsselungsprotokoll der App als „Goldstandard“ in der Kryptoszene.
  • Kosten: Signal ist kostenlos für Android und iOS sowie für den Windows-Desktop.

Wire

  • Vorteile: Das Unternehmen hinter Wire sitzt in der Schweiz und hat Server in Deutschland und Irland. Der Messenger-Dienst funktioniert nicht nur auf Smartphones und Tablets, sondern auch auf Desktop-Geräten und bietet auch die Möglichkeit, über VoIP zu telefonieren. Wire bündelt somit Funktionen, für die man sonst zwei Programme benötigt. Zur Anmeldung muss man eine E-Mail-Adresse angeben.
  • Die gesamte Kommunikation wird verschlüsselt; Wire kann sie nicht entschlüsseln: Die erforderlichen Schlüssel befinden sich ausschließlich auf den Geräten der Gesprächspartner. Mit Wire kann man auch Nachrichten versenden, die sich nach einer bestimmten Zeit selbst zerstören. Neben der Basisversion gibt es auch Wire Teams speziell für die Unternehmenskommunikation.
  • Kosten: Wire ist kostenlos für iOS, Windows- und Android-Geräte. Wire Teams kostet ab 5 Euro pro Monat und Nutzer.

Ginlo

  • Vorteile: Der Instant Messenger ginlo war früher bekannt unter dem Namen SIMSme. Die Server stehen in Deutschland und die Kommunikation darüber ist Ende-zu-Ende verschlüsselt, Dritte können nicht mitlesen. ginlo ist DSGVO-konform. Besonders wichtige Nachrichten oder Bilder kann man mit einer Selbstzerstörungsfunktion versehen. Anrufe sind allerdings nicht möglich.
  • Mit ginlo Business gibt es auch eine Version speziell für Unternehmen, die auch auf Desktop-Geräten läuft. Sie wird unter anderem von den Volkswagen Financial Services und dem Bayerischen Landkreistag genutzt.
  • Kosten: ginlo ist kostenlos für Android- und iOS-Geräte erhältlich. Die Business-Variante kostet 3 Euro pro Nutzer und Monat bei einer Mindestlaufzeit von einem Jahr.

Beekeeper

  • Vorteile: Die Messenger App eines Züricher Start-ups richtet sich gezielt an Unternehmen und soll es ermöglichen, insbesondere Mitarbeiter ohne PC-Arbeitsplatz und geschäftliche E-Mail-Adresse in die Unternehmenskommunikation miteinzubeziehen. Mit der App lässt sich jedes Teammitglied über mobile Endgeräte, den Desktop oder TV-Bildschirme verbinden. Mit Beekeeper kann man außerdem sehr einfach Mitarbeiterbefragungen machen.
  • Die App, die von Unternehmen wie Media Markt, Leonardo Hotels und Globus genutzt wird, ist DSGVO-konform.
  • Kosten: Je nach Version kostet Beekeeper ab 90 Euro pro Monat für 20 Nutzer, jeder weitere Nutzer kostet 4,50 Euro pro Monat.

Teamwire

  • Vorteile: Teamwire ist ein deutscher Instant-Messenger-Dienst, den vor allem Behörden und Organisationen mit Sicherheitsaufgaben nutzen. Der Dienst, der WhatsApp stark ähnelt, ist für iOS, Android und Windows verfügbar und funktioniert sowohl auf mobilen als auch auf Desktop-Geräten.  Alle Nachrichten werden verschlüsselt versendet, die Nutzerdaten anonymisiert. Adressdaten speichert Teamwire nicht und verarbeitet und Nachrichten speichert die App ausschließlich in deutschen Rechenzentren. Teamwire ist DSGVO-konform.
  • Kosten: Je nach Paket kostet Teamwire zwischen 1,50 Euro pro Endgerät im Monat und 4 Euro pro Nutzer im Monat.

Urheberrechtsreform: Bundestag stimmt für Upload-Filter und Leistungsschutzrecht

Urheberrechtsreform: Bundestag stimmt für Upload-Filter und Leistungsschutzrecht

Der Bundestag hat den Entwurf zur Urheberrechtsnovelle beschlossen. Inhalte-Schnipsel bleiben lizenzierungsfrei, Rechteinhaber erhalten einen Sperrknopf.

Nach einer hitzigen Aussprache hat der Bundestag am Donnerstag die seit Monaten umstrittene Urheberrechtsreform mit den Stimmen der großen Koalition verabschiedet. Kern der Initiative ist ein neues „Urheberrechts-Diensteanbieter-Gesetz“ (UrhDaG).

Damit wollen die Abgeordneten Upload-Plattformen wie YouTube, Facebook und Twitter stärker in die Pflicht nehmen und Artikel 17 der EU-Urheberrechtsrichtlinie umsetzen, was in diesem Fall ohne Upload-Filter nicht geht. AfD, FDP und die Linke lehnten das Vorhaben ab, die Grünen enthielten sich.

Konzept der urheberrechtlich „mutmaßlich erlaubten Nutzungen“

Zum Schutz der Kunstfreiheit und der sozialen Kommunikation erlaubt der Gesetzgeber von August an die Nutzung urheberrechtlich geschützter Werke insbesondere zu den Zwecken von Zitat, Karikatur, Parodie und Pastiche.

Um unverhältnismäßige Blockaden entsprechender Uploads beim Einsatz automatisierter Verfahren zu vermeiden, sind besondere Regeln für die öffentliche Wiedergabe vorgesehen.

Das Parlament führt dazu das Konzept der urheberrechtlich „mutmaßlich erlaubten Nutzungen“ auf Online-Plattformen ein. Damit sollen User Inhalte im geringfügigen Maß als legal kennzeichnen können, damit sie nicht direkt durch Upload-Filter blockiert werden.

Ausnahmen und gesetzlich erlaubte Nutzungen

Die Ausnahme vom exklusiven Verwertungsrecht für solche Schnipsel aus Video-, Audio- und Textmaterial für nichtkommerzielle Zwecke umfasst 15 Sekunden je eines Filmwerks oder Laufbilds und einer Tonspur, 160 Zeichen eines Texts sowie 125 Kilobyte je eines Fotos oder einer Grafik. Die Klausel erstreckt sich auf nutzergenerierte Inhalte, die weniger als die Hälfte eines Werkes von Dritten enthalten, und grundsätzlich zulässige Auszüge zu den genannten Zwecken „mit anderem Inhalt kombinieren“. Die im Netz beliebten Memes sowie etwa Remixe, Fan Art und gesampelte Mini-Stücke sollen unter diesen Bedingungen weiterhin veröffentlicht und verbreitet werden können.

Für gesetzlich erlaubte Nutzungen von Karikaturen, Parodien und Pastiches müssen Diensteanbieter eine Vergütung zahlen. Zitate oder die Veröffentlichung von Bildern, die unter die Panoramafreiheit fallen, bleiben auch beim Verbreiten über Upload-Plattformen abgabenfrei. Eine entsprechende Änderung am Regierungsentwurf setzte Schwarz-Rot durch, um der Kritik aus Zivilgesellschaft und Rechtswissenschaft Rechnung zu tragen.

„Roter Knopf“ zum unverzüglichen Blockieren

Maßnahmen wie der Einsatz von Filtern sollen laut der Novelle nicht dazu führen, dass von Nutzern hochgeladene Inhalte, die unter die Bagatellausnahmen fallen oder bei denen sonst kein Verstoß gegen das Urheberrecht vorliegt, nicht verfügbar sind.

Dafür wird ein Beschwerdeverfahren eingeführt.

Rechteinhaber erhalten aber einen „roten Knopf“ zum unverzüglichen Blockieren insbesondere von „Premiuminhalten“. Damit soll der Schaden in Grenzen gehalten werden, wenn ein Nutzer fälschlicherweise behauptet, dass ein Upload rechtlich zulässig sei.

Eine Beschwerde gegen eine Sperre ist nicht möglich bei Nutzungen von Filmwerken oder Laufbildern bis zum Abschluss ihrer erstmaligen öffentlichen Wiedergabe, insbesondere während Live-Streams von Sportveranstaltungen.

Voraussetzung ist, dass der Rechtsinhaber eine Blockade vom Anbieter verlangt und die hierfür erforderlichen technischen Angaben macht. Andererseits sind YouTube & Co. während laufender Beschwerdeverfahren nicht für die Wiedergabe mutmaßlich erlaubter Nutzungen verantwortlich.

Sie haften hier nur bei schuldhaften Pflichtverstößen auf Schadensersatz.

Wissenschaftliche Forschungen zu Upload-Filtern

Welche Folgen Upload-Filter haben, sollen Experten ausloten können. Diensteanbieter müssen ihnen „zum Zweck der wissenschaftlichen Forschung Zugang zu Daten über den Einsatz von Verfahren zur automatisierten und nicht automatisierten Erkennung und Blockierung von Inhalten“ geben, soweit überwiegende schutzwürdige Interessen des Betreibers dem nicht entgegenstehen. Dieser hat „Anspruch auf Erstattung der hierdurch entstehenden Kosten in angemessener Höhe“.

BKA: Cyber-Kriminelle missbrauchen opportunistisch Notlagen wie Corona

BKA: Cyber-Kriminelle missbrauchen opportunistisch Notlagen wie Corona

Bedrohungen durch Cyberangriffe haben quantitativ und qualitativ zugenommen, warnt das BKA im Lagebild Cybercrime. Ransomware sei am gefährlichsten.

Die Corona-Pandemie hat nicht nur die Digitalisierung beschleunigt, sondern auch weitere Tatgelegenheiten für Internetgangster eröffnet. Dies geht aus dem Bundeslagebild Cybercrime hervor, das das Bundeskriminalamt (BKA) am Montag veröffentlicht hat. Die Corona-Krise zeigt demnach den „opportunistischen Charakter“ von Cyber-Kriminellen: „Es werden jene angegriffen, welche für die Gesellschaft einen hohen Stellenwert besitzen.“

Dass die Bundesbürger vermehrt digitale Dienste etwa für Homeoffice und Online-Lernen nutzten, bringe „breit gefächerte Angriffspotenziale für Cyber-Kriminelle“ mit sich, heißt es in dem Bericht des BKA. Diese verwendeten die Corona-Krise etwa als Aufhänger für Spam und Phishing, dessen Aufkommen 2020 um 17 Prozent gegenüber dem Vorjahr gestiegen sei: „Die Täter nutzten damit das Informationsbedürfnis und die Ängste der Bevölkerung aus.“

Vermehrt Angriffe auf Unternehmen

„Vermehrt sind Angriffe auf Unternehmen und öffentliche Einrichtungen festzustellen, die für die Bekämpfung der Corona-Pandemie relevant sind“, schreibt das BKA. Im Fokus stehe insbesondere die gesamte Impfstoff-Lieferkette. Ein Ausfall nur eines Unternehmens hätte hier erhebliche Auswirkungen. Dem Vakzin liege angesichts seiner Bedeutung für eine Rückkehr zur Normalität auch ein „hoher symbolhafter, sozialer, politischer und ökonomischer Wert zugrunde“. Die damit verknüpften Industriezweige dürften so 2021 für Cyber-Kriminelle „immer interessanter werden“.

Insgesamt hat der Polizeibehörde zufolge die zunehmende Professionalisierung der Täterseite die Cybercrime-Bedrohungslage in Deutschland weiter verschärft: „Die Modi Operandi werden komplexer und ihr jeweiliges Zusammenspiel sowie die Art der verwendeten Angriffsvektoren ausgefeilter und vielfältiger“. Das Phänomen einfach bestellbarer Dienste via „Cybercrime-as-a-Service“ senke die Eintrittsschranken beim Begehen von Straftaten weiter ab.

7,9 Prozent mehr Cyberdelikte

Ransomware habe das höchste Schadenspotenzial, ist dem Bericht zu entnehmen. Eine Infektion mit Trojanern wie Emotet, gegen den die Ermittler unlängst vorgingen, und die Verschlüsselung von Systemen könne für die Betroffenen zu massiven Geschäfts beziehungsweise Funktionsunterbrechungen führen und existenzbedrohend sein. Befallene Systeme würden parallel ausgespäht, „um den Opfern zusätzlich mit einer möglichen Veröffentlichung von Daten drohen zu können“. Betroffen seien alle  Unternehmen.

Unsicherheitsfaktor Mensch

Mit jedem erfolgreichen Angriff steige das Potenzial der „Underground Economy“, berichtet das BKA. Dies biete weitere Möglichkeiten, Malware zu entwickeln und komplexe Angriffe durchzuführen. Neben dem „Faktor Mensch“ seien vor allem unsichere IT-Systeme ein beliebtes Einfallstor. Unzureichend gesicherte oder falsch konfigurierte Datenbanken, kritische Schwachstellen in Remote-Zugängen oder fehlende Sicherheitsprogramme und Schutzmaßnahmen ermöglichten es Hackern, in ein Zielsystem einzudringen und zu kompromittieren.

Hier sind die Datenschützer und IT Sicherheitsexperten gefragt, die Unternehmen zu schützen.

Als einen der größten Cyberangriffe in der Geschichte bezeichnet die Behörde und Datenschützer das Unterwandern der SolarWinds-Software Orion. Der Fall habe auch gezeigt, dass als Eintrittsvektor Lieferketten und die IT-Systeme eines Partners oder IT-Dienstleisters dienen könnten. Generell seien Cyber-Angriffe in der eng verzahnten, globalisierten Welt mit komplexen Prozessabläufen und Lieferverbindungen imstande, enorme Dominoeffekte und massive Schäden zu erzeugen.

Cyber-Kriminalität zum Sparpreis

Mit einer exemplarischen Liste verdeutlichen die Verfasser die Preisspanne, in der sich Angebote krimineller Services im Darknet bewegen: So gebe es Banking-Trojaner für 1000 bis 10.000 US-Dollar, Mining-Bots zum heimlichen Schürfen von Kryptomünzen für 50 bis 150 Dollar pro Monat. Eine Spam-Mail koste 10 Cent bis 4 Dollar. Täglich tauchten bis zu 314.000 neue Malware-Varianten auf. Insgesamt seien 2020 etwa 1,15 Milliarden Versionen an Schadsoftware identifiziert worden, 150 Millionen mehr als im Vorjahr.

2020 seien auch erstmals „Betrugsstraftaten im Zusammenhang mit Mobile Payment“ festgestellt worden, klärt das BKA auf. Bargeldlose Bezahlungen per Kreditkarten sollten durch die Nutzung sogenannter Token und das Abspeichern der zugehörigen Daten einzig auf den entsprechenden Servern eigentlich effektiver und sicherer werden. Tätern sei es aber gelungen, über Phishing und Social Engineering an fürs Online-Banking nötige Daten zu gelangen. So hätten sie Einmal-Passwörter, die etwa für den Implementierungsprozess von Kreditkartennummern in Apple und Google Pay erforderlich sind, aktivieren und betrügerisch einsetzen können. Nach einem erfolgreichen Transfer der Token auf ihre Smartphones konnten die Täter die Bezahlfunktion des Smartphones an Kassenterminals vor Ort bei unterschiedlichen Vertragsunternehmen sowie für betrügerische Online-Einkäufe nutzen, führt die Behörde aus. Zudem seien Bankkonten über die App aufgeladen worden. Im Sommer habe es vermehrt solche Transaktionen zum Nachteil diverser deutscher kartenausgebender Banken gegeben. Diese fanden „mit Schwerpunkt in Italien, Polen und im Internet statt“. Mit Stand November sei ein Schaden von rund 85.000 Euro entstanden, obwohl die Institute viele verdächtige Buchungen abgelehnt hätten.

NEUER WhatsApp-Wurm noch gefährlicher

NEUER WhatsApp-Wurm noch gefährlicher

Die Malware wurde weiterentwickelt und nutzt nun auch Nutzer anderer Messenger-Apps wie Signal-, Telegram- und Skype.

Nutzer von Messenger-Diensten müssen derzeit aufpassen.

Bereits Ende Januar wurde eine Sicherheitswarnung zu einem WhatsApp-Wurm veröffentlicht, der sich über vermeintliche Gewinn-Benachrichtigungen verbreitet.

Die Kriminellen haben seitdem die Schad-App deutlich weiterentwickelt.

In seiner neuesten Version verbreitet sich die Malware auch über andere Messenger-Dienste wie Signal, Telegram, Skype und Viber.

In der Nachricht, die von infizierten Kontakten verschickt wird, verspricht die Schad-App nach einem Klick auf den Link neue Funktionen für WhatsApp und ein verändertes Aussehen.

Cyber-Vorfälle

Tipps zur richtigen Reaktion auf Cyber-Vorfälle

Unternehmen und Organisationen stehen bei einem Cyberangriff enorm unter Druck, denn die richtige Reaktion auf einen Vorfall ist zeitintensiv, erfordert aber gleichzeitig ein schnelles Handeln. Folgende Tipps sollen Unternehmen bei der Bewältigung dieser schwierigen Aufgabe helfen. Sie basieren auf praktischen Erfahrungen auf Tausende von Cyber-Security-Vorfällen.

Tipp 1: So schnell wie möglich reagieren

Wenn Unternehmen angegriffen werden, zählt jede Sekunde. Unternehmensinterne Security-Teams benötigen aber oft zu lange, um angemessen schnell zu reagieren. Der häufigste Grund dafür ist, dass sie den Ernst der Situation und die Dringlichkeit nicht rechtzeitig erkennen. Zudem erfolgen viele Angriffe an Feiertagen, Wochenenden und in der Nacht. Da die meisten IT- und Security-Teams deutlich unterbesetzt sind, erfolgt die Reaktion auf einen Angriff zu diesen Zeiten oft zu spät, um die Auswirkungen des Angriffs rechtzeitig einzugrenzen.

Zudem senkt eine gewisse Alarmmüdigkeit ein rasches Vorgehen. Und selbst bei richtiger und rechtzeitiger Reaktion verfügen Security-Teams oft nicht über die nötige Erfahrung, um die richtigen Schritte einzuleiten. Deshalb sollten mögliche Vorfälle und die Reaktion hierauf im Voraus detailliert geplant werden.

Tipp 2: Aktionen nicht vorschnell als „Mission erfüllt“ erklären

Bei einem Cybervorfall reicht es nicht aus, lediglich die Symptome zu behandeln. Es muss auch den Ursachen auf den Grund gegangen werden. Die erfolgreiche Entfernung einer Malware und das Löschen eines Alarms bedeutet beispielsweise nicht, dass der Angreifer aus der Umgebung vertrieben wurde. Denn es könnte sich lediglich um einen Testlauf des Angreifers handeln, um festzustellen, mit welchen Verteidigungsmaßnahmen er konfrontiert ist. Wenn der Angreifer nach wie vor Zugriff auf die Infrastruktur hat, wird er wahrscheinlich wieder zuschlagen, aber mit größerer Zerstörungskraft. Hat der Angreifer immer noch einen Fuß in der Umgebung? Plant er, eine zweite Welle zu starten?

Tipp 3: Entscheidend ist eine vollständige Sichtbarkeit

Bei einem Angriff ist es wichtig, Zugang zu richtigen, qualitativ hochwertigen Daten zu haben. Nur diese Informationen ermöglichen es, potenzielle Indikatoren für einen Angriff genau zu identifizieren und die Ursache zu bestimmen. Spezialisierte Teams sammeln relevante Daten zur Erkennung der Signale und sie wissen, wie diese zu priorisieren sind. Dabei beachten sie folgende Punkte:

– Signale Sammeln

Begrenzte Sichtbarkeit einer Umgebung ist ein sicherer Weg, um Angriffe zu verpassen. Abhilfe bieten hier Big-Data-Tools. Diese sammeln genügend Daten, um aussagekräftige Erkenntnisse für die Untersuchung von und die Reaktion auf Angriffe zu gewinnen. Das Sammeln der richtigen, hochwertigen Daten aus einer Vielzahl von Quellen gewährleistet einen vollständigen Einblick in die Tools, Taktiken und Verfahren eines Angreifers.

– Grundrauschen reduzieren

Aus Angst, nicht über die Daten zu verfügen, die ein vollständiges Bild eines Angriffs bieten könnten, sammeln einige Unternehmen und Sicherheitstools generell alle verfügbaren Informationen. Dieser Ansatz erschwert aber die Suche nach den Angriffen und es werden mehr Daten erzeugt, als nötig wären. Dies erhöht nicht nur die Kosten für die Datenerfassung und -speicherung, sondern erzeugt auch ein hohes Grundrauschen an potenziellen Vorfällen, das zu Alarmmüdigkeit und Zeitverschwendung bei der Jagd nach echten Fehlalarmen führt.

– Kontext anwenden

Um einen effektives Incident-Response-Programm durchführen zu können, wird neben den Inhalten (Daten) auch der Kontext benötigt. Durch die Anwendung aussagekräftiger Metadaten, die mit Signalen verknüpft sind, können Security-Analysten feststellen, ob diese Signale bösartig oder gutartig sind. Eine der wichtigsten Komponenten einer effektiven Bedrohungserkennung und -reaktion ist die Priorisierung der Signale. Der beste Weg, die wichtigsten Alarme zu identifizieren, ist eine Kombination aus Kontext, der von Sicherheitstools (Endpoint, Detection and Response-Lösungen), künstlicher Intelligenz, Bedrohungsintelligenz und der Wissensbasis des menschlichen Bedieners bereitgestellt wird. Der Kontext hilft dabei, den Ursprung eines Signals, das aktuelle Stadium des Angriffs, damit verbundene Ereignisse und die potenziellen Auswirkungen auf das Unternehmen zu ermitteln.

Tipp 4: Es ist OK, um Hilfe zu bitten

Der Mangel an qualifizierten Ressourcen für die Untersuchung von Vorfällen und die Reaktion darauf ist eines der größten Probleme, mit denen die Cybersicherheitsbranche heute konfrontiert ist. Viele IT- und Sicherheitsteams, die bei Cyberangriffen unter hohem Druck stehen, geraten in Situationen, für die sie nicht die nötigen Erfahrungen und Fähigkeiten haben. Dieses Dilemma hat einer Alternative Platz gemacht: Managed Security Services. Genauer gesagt, Managed Detection and Response (MDR) Services. MDR-Services sind ausgelagerte Sicherheitsoperationen, die von einem Spezialisten-Team erbracht werden und stellen eine Erweiterung des unternehmensinternen Sicherheitsteams dar. Diese Services kombinieren von Menschen geleitete Untersuchungen, Echtzeitüberwachung und Reaktion auf Vorfälle mit Technologien zum Sammeln und Analysieren von Informationen. Datenschutzbeauftragte können ihnen weitere Informationen geben.

Für Unternehmen, die noch keinen MDR-Service in Anspruch genommen haben und auf einen aktiven Angriff reagieren müssen, sind spezialisierte Incident-Response-Services eine gute Option. Incident Responder werden dann hinzugezogen, wenn das Sicherheitsteam überfordert ist und externe Experten benötigt werden, um den Angriff zu bewerten und sicherzustellen, dass der Angreifer neutralisiert wird. Auch Unternehmen, wie ein Datenschutzbüro die über ein Team von qualifizierten Sicherheitsanalysten verfügen, können von der Zusammenarbeit mit einem Incident Response Service profitieren. So können beispielsweise Lücken in der Abdeckung (zum Beispiel nachts, an Wochenenden und Feiertagen) geschlossen oder spezialisierte Aufgaben, die bei der Reaktion auf Vorfälle benötigt werden, zugeteilt werden.

Betrugsserie per SMS: BSI warnt vor „Smishing“-Welle zur Paketverfolgung

Betrugsserie per SMS: BSI warnt vor „Smishing“-Welle zur Paketverfolgung

Auf immer mehr Mobiltelefonen gehen SMS etwa zur Sendungsnachverfolgung ein, über die der Banking-Trojaner FluBot installiert wird. Das BSI mahnt zur Vorsicht.

Seit Tagen erhalten Nutzer von Smartphones und anderen Handys verstärkt Kurznachrichten, die zum Klicken eines Links auffordern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dahinter eine „Smishing“-Welle ausgemacht (SMS-Phishing), über die per gefälschten Mitteilungen Zugangsdaten ergaunert werden. Aktuell befinde sich in den Handy-Mitteilungen ein Link, hinter dem sich in den meisten aktuell beobachteten Fällen das Android-Schadprogramm FluBot verberge.

Malware-App für Android, Phishing-Websites für iOS

Dieser Banking-Trojaner, der vertrauliche Daten auszuspähen und Apps für die Online-Kontenführung oder zur Depotverwaltung anzuzapfen versucht. Die Täter geben etwa vor, dass die Empfänger der SMS bald ein Paket erhalten oder eine Sendung zurück an den Absender gehen soll. Android-Nutzer bekommen über den Link die schädliche FluBot-App zum Download angeboten, die dann zahlreiche Berechtigungen einfordert. Dabei tarnen die Kriminellen die Malware als eine für die Paketverfolgung angeblich notwendige Anwendung von bekannten Logistikunternehmen wie DHL, Deutsche Post oder FedEx.

Auf iPhones oder iPads funktioniert der Download nicht. Nutzer von Geräten mit iOS-Systemen landen in der Regel auf Werbe- oder Phishing-Seiten. Dort lauern Abofallen, Angebote für dubiose Geldanlagen oder andere Schadsoftware.

Nicht auf den Link klicken!

Beim Erhalt einer verdächtigen SMS sei es wichtig, nicht auf den Link zu klicken und die Nachricht umgehend nach Erhalt zu löschen, rät das BSI. „Sollte Ihnen der Absender oder die Absenderin bekannt sein, rufen Sie ihn oder sie zum Beispiel an und fragen Sie nach der Richtigkeit.“ Zugleich sei es empfehlenswert, den Absender über das Betriebssystem zu sperren. Generell sollte unter Android die Installation von Apps aus unbekannten Quellen deaktiviert werden. Über den Mobilfunkanbieter lasse sich zudem eine Drittanbietersperre aktivieren, um unerwünschte Abbuchungen zu vermeiden.

Nutzer, die auf einen einschlägigen Link geklickt oder sogar bereits den Trojaner installiert haben, sollten der Behörde zufolge das Gerät in den Flugmodus schalten und so vom Mobilfunknetz trennen. Im Anschluss sei der Provider über den Fall zu informieren. Parallel sollten Betroffene ihr Bankkonto und Ihren Zahlungsdienstleister auf nicht selbst veranlasste Abbuchungen überprüfen.

Empfehlung: Strafanzeige erstatten

„Erstatten Sie Strafanzeige bei der örtlichen Polizeidienststelle“, empfiehlt das BSI weiter. Dabei sollte das Smartphone für „Beweissicherungen“ mitgenommen werden. Im Anschluss sollte das Gerät auf die Werkseinstellungen zurückgesetzt werden. Alle gespeicherten und installierten Daten gingen dabei zwar verloren. Der Schritt sei aber nötig, „um die über die aktuellen SMS-Spam-Nachrichten verteilten Android-Schadprogramme vollständig zu entfernen“.

„Seit den Ostertagen ist in manchen Fällen sogar eine persönliche Anrede zu beobachten“, verweist das Amt auf neue Tricks der Betrüger. Das Smishing-Phänomen an sich sei nicht neu. Damals sei Betroffenen auf diesem Weg das Android Schadprogramm MoqHao untergejubelt worden.

SMS-Flut losgetreten

Auch Strafverfolgungsbehörden wie das Polizeipräsidium Nordhessen, die Kollegen in Neubrandenburg und das Landeskriminalamt Niedersachsen warnten bereits vor der perfiden Betrugswelle. Die hessischen Ordnungshüter mahnten dabei zur besonderen Vorsicht: Aufgrund der hohen Nachfrage im Online-Handel während der Corona-Pandemie „erwarten viele Menschen tatsächlich ein Paket und klicken auf den folgenschweren Link in der SMS.“ Der Trojaner verbreite sich dann „wie ein Schneeballsystem unter den gespeicherten Kontaktdaten des Betroffenen“. Dies löse eine regelrechte SMS-Flut aus.

Veröffentlichung von Nutzerdaten / SMS Hacker

Facebook will nach Veröffentlichung von Nutzerdaten nichts unternehmen.

Tage nachdem eine neue riesige Datenbank mit Facebook-Nutzerdaten online gelandet ist, geht jetzt eine Spamwelle los. Facebook will aber nichts unternehmen.

Offenbar in Zusammenhang mit dem jüngsten Datenleck mit mehr als 500 Millionen betroffenen Facebook-Nutzern und Nutzerinnen gibt es nun eine Welle von gefährlichem SMS-Spam. Darauf weisen Betroffene in sozialen Netzwerken hin, auch bei Kunden von unserem Datenschutzbüro gibt es Fälle.

Facebook, wo die Daten des jüngsten großen Lecks abgegriffen wurden, hat derweil mitgeteilt, die Betroffenen nicht selbst informieren. Zusammengefasst heißt das, dass man selbst gar nicht genau wisse, wer alles betroffen ist und dass die Opfer sowieso nichts unternehmen könnten, da die Daten nun einmal öffentlich seien. Die Möglichkeit zum Abgreifen der Daten sei längst geschlossen.

Facebook will nichts unternehmen

Hintergrund ist eine Datenbank mit Einträgen von mehr als 500 Millionen Facebook-Nutzernamen inklusive der vollständigen Namen, Telefonnummern, Geburtsdaten, Orten, biografischen Angaben und E-Mail-Adressen, die am Wochenende online entdeckt wurde. Betroffen waren Facebook Nutzer und Nutzerinnen in aller Welt, sogar Unternehmensgründer Mark Zuckerberg. Die für Europa zuständige irische Datenschutzbehörde hatte eine Untersuchung angekündigt und zugesichert, Betroffene gegebenenfalls zu informieren. Facebook selbst hatte darauf bestanden, dass die Daten nicht durch einen Hack entwendet wurden und schon älter seien. Damit versucht der Konzern wohl, Verpflichtungen aus der DSGVO und einer Einigung mit der US-amerikanischen FTC zu entgehen. Gleichzeitig gibt es Zweifel an der vorgelegten Chronologie.

Wer herausfinden möchte, ob die eigenen Daten in dem Leak enthalten sind, kann dies auf verschiedenen Onlineangeboten überprüfen. Inzwischen hat auch der renommierte Onlinedienst Have I Been Pwned die Möglichkeit ergänzt, die eigene Telefonnummer zu überprüfen.

Vorsicht bei SMS

Wer betroffen ist, dürfte das aber bereits an den SMS gemerkt haben, die seit Tagen massenhaft ankommen, was den Zusammenhang nahelegt. Die Masche erinnert an ältere, vor denen beispielsweise das Landeskriminalamt Niedersachsen schon seit geraumer Zeit warnt. Die SMS kommen demnach von einer unbekannten Telefonnummer und enthalten einen Link, über den nach einem Klick Schadsoftware geladen wird. Wem das passiert ist, der sollte Anzeige bei der örtlichen Polizeidienststelle erstatten und das Beauftragte Datenschutzbüro informieren. Andernfalls solle man einen Screenshot machen und die Nachricht löschen.

Besondere Vorsicht ist bei SMS geboten, bei denen es vorgeblich um Paketzustellungen geht. Wenn nicht bereits geschehen, sollte außerdem eine Drittanbietersperre eingerichtet werden.

[Update 08.04.2021 – 19:00 Uhr] Webseiten, die in SMS verlinkt sind, sollte man sowieso mit erhöhter Vorsicht begegnen. Auf ihnen sollten keine Passwörter eingegeben werden und keine persönlichen Daten. Auch dort angebotene Apps sollte man nicht installieren.