Schlagwort: Hacking

Verbraucherzentrale NRW: Warnt vor „Single-Sign-On“ – Verfahren

21. Oktober 2022

Die Verbraucherzentrale NRW informierte vor Kurzem über die Risiken des sog. „Single-Sign-On“-Verfahrens. Hintergrund dieser Hilfestellung war eine Meldung von Facebook, der zufolge rund 400 Apps über die Anmeldeoption die Daten ihrer Nutzer stehlen konnten.

Einfaches Einloggen

Mittlerweile bieten eine Vielzahl an Apps und Webseite das Single-Sign-On-Verfahren an. Dem Nutzer soll es ermöglicht werden, sich einfach und schnell bei verschiedenen Onlineanwendung anzumelden. Demnach muss er nicht alle seine Anmeldedaten aufwendig eintippen, sondern kann sich beispielsweise über die Option „Login mit Facebook“ oder „Login mit Google“ anmelden. Das bereits erstelle Social-Media-Profil dient folglich zur Anmeldung oder Registrierung. Der Nutzer muss sich auf der verwendeten Webseite oder der verwendeten App kein weiteres Profil anlegen.

Aus Sicht der Verbraucherzentrale, berge dieses vereinfachte Anmeldeverfahren allerdings ein erhebliches Risiko. Wenn die Anmeldedaten des Nutzers in falsche Hände geraten, könne sich der Dritte Zugang zu sämtlichen Plattformen verschaffen. Dabei stelle die Anmeldung mittels „Single-Sign-On“ eine Art Generalschlüssel dar. Außerdem sei es möglich, dass der Webseitenbetreiber, der die Anmeldung über einen Social-Media-Account ermögliche, die Anmeldedaten nicht verschlüssele. Im Falle eines Diebstahls sei der Missbrauch folglich besonders leicht möglich.

Datendiebstahl über Facebook

Zusätzlich legte Facebook vor kurzem einen Datendiebstahl offen. Der Social-Media-Dienst teilte mit, dass sog. Malware-Apps die Daten von rund einer Millionen Facebook– Nutzern entwendet hätten. Dabei konnten Facebook-Nutzer verschiedene Apps für Android oder iOS herunterladen. Anschließend hätten die Apps ein „Login mit Facebook“ angeboten. Eine Anmeldung in der App sei allerdings nicht erfolgt. Stattdessen habe ein Phishing-Formular, die eingegebenen Daten an die hinter den Apps versteckten Hacker gesendet. Daraufhin übernahmen diese die Accounts der betroffenen Facebook-Nutzer.  

Mögliche Vorkehrungen

Aus Sicht der Verbraucherzentrale NRW könne jeder Nutzer Vorkehrungen treffen, um einen möglichen Datendiebstahl zu verhindern. Über die Datenschutzerklärung können die Nutzer sich darüber informieren, welche Daten Social-Media-Plattformen mit Webseiten- und App-Betreibern austauschen. Zusätzliche sollte der Nutzer, bei Verwendung des „Single-Sing-On“-Verfahrens ein starkes Passwort wählen. Dieses könne außerdem durch die Zwei-Faktor-Authentifizierung abgesichert werden. Im Falle eines Sicherheitslecks sei das Passwort sofort zu ändern und auf ungewöhnliche Zahlungsvorgänge auf dem eigenen Konto zu achten.

Digitalisierung im Gesundheitswesen

28. Juni 2019

Die Digitalisierung des Gesundheitswesens wird durch verschiedene gesetzliche Maßnahmen, wie zum Beispiel mit dem Terminservice- und Versorgungsgesetz (TSVG), welches seit dem 01. Mai 2019 Anwendung findet sowie dem Gesetzes für mehr Sicherheit in der Arzneimittelversorgung (GSAV), welches voraussichtlich im Juli 2019 in Kraft treten wird, vorangetrieben.

Das TSVG enthält unter anderem den politischen Auftrag an die Krankenkassen, ihren Versicherten ab dem 1. Januar 2021 eine von der gematik – Gesellschaft für Telematik zugelassene elektronische Patien­tenakte (ePA) anzubieten. Die Digitalisierung in der Medizin, die Digitalpolitik von Bun­desgesundheitsminister Jens Spahn (CDU) sowie die Sicherheitsstruktur der Telematikinfrastruktur (TI) haben mehrfach zu Diskussionen geführt. Dabei sind insbesondere datenschutzrechtliche Aspekte immer mehr in den Vordergrund gerückt. So machten bei einer Pressekonferenz der Ärzteverband Medi, die Freie Ärzteschaft (FÄ) sowie der Freie Verband Deutscher Zahnärzte ihre Einschätzungen deutlich, dass Sicherheitslücken in der TI bestehen würden und damit Patientendaten für Hacker künftig einfach auffindbar sein könnten.

Die stellvertretende FÄ-Vorsitzende Silke Lüder warnte, dass durch die Digitalpolitik und die Vernetzung aller Bereiche „die ärztliche Schweige­pflicht“ ausgehebelt werden könne. „Wenn mein Patient in der Sprechstunde nicht mehr darauf vertrauen kann, dass das, was er mir über seine gesundheitlichen Probleme berichtet, in meinem Sprechzimmer bleibt, kann ich nicht mehr für ihn arbeiten.“ Damit ist auch das ärztliche Berufsrecht berührt.

Des Weiteren besteht im Zusammenhang mit der Einführung der ePA Anfang 2021 die Kritik, dass keine selektiven Zugriffsrechte vergeben werden könnten. Auch hierbei handelt es sich um einen datenschutzrechtlich relevanten Aspekt. Zudem dürfte auch noch weiterer Diskussionsbedarf in Bezug auf haftungsrechtliche Gesichtspunkte bestehen, die hinsichtlich der Sicherheitsstruktur der TI aufgekommen sind.

Unbekanntes Risiko bei der Eingabe von Passwörtern aufgedeckt

18. Juli 2018

Kalifornische Wissenschaftler haben einen neuen Weg gefunden, Passwort-Eingaben auslesen zu können, ohne eine spezielle Software auf dem System installieren oder in das Netzwerk des Unternehmens eindringen zu müssen.

Ausreichend ist eine Wärmebildkamera, mit der die Tastatur gefilmt wird. Die Wissenschaftler der Universität von Kalifornien haben festgestellt, dass bis zu einer Minute nach Eingabe der Passwörter die gedrückten Tasten noch zu erkennen seien, insbesondere dann, wenn die  Nutzer die nur mit zwei Fingern statt mit dem Zehn-Finger-System schreiben. In diesen Fällen sind die Wärmeabdrücke bei dieser langsameren Eingabemethode häufig größer und damit für Angreifer einfacher wieder herzustellen.

Die Gefahr ist deshalb so groß, da kein besonderes Fachwissen für die Erkennung der Eingabe notwendig ist und selbst Laien nach einer kurzen Einweisung aus den Bildern auf korrekte Eingabe von Passwort-Fragmenten schließen konnten. Außerdem sei diese Technik unkompliziert und deutlich günstiger als andere Angriffsversuche auf die Infrastruktur eines Netzwerkes. Es ist lediglich eine freie Sicht mit der Kamera auf die Tastatur erforderlich.

Bei dieser Passwort-Rekonstruktion spielen die Stärke des Passworts und andere Maßnahmen, wie etwa spezielle Filter, die den Blick auf den Bildschirm erschweren, keine Rolle mehr.

Um nicht Opfer dieser neuen Methode zu werden, empfehlen die Wissenschaftler nach der Eingabe von sensiblen Informationen mit der Hand über die Tastatur zu streichen oder willkürliche Tastenkombinationen einzugeben. Eine weitere Möglichkeit bestünde in der Nutzung einer Bildschirmtastatur.

Diese neue ungewöhnliche Methode für das Ausspähen von Tastatureingaben zeigt auf, dass Passwörter eine Schwachstelle in jedem Sicherheitskonzept darstellen.

Die Zwei-Faktor-Authentifizierung würde eine größere Sicherheit bieten, da diese Möglichkeit den Zugriff auf ein System nicht von der Eingabe eines Passworts abhängig macht.

 

Kategorien: Allgemein · Hackerangriffe
Schlagwörter: , ,

US-Justizministerium beschuldigt Chinesen des Hackings

29. November 2017

Drei chinesische Mitarbeiter des Unternehmens Guangzhou Bo Yu Information Technologie Company Ltd. werden von dem US-Justizministerium bezichtigt, Cyber-Attacken auf den deutschen Großkonzern Siemens AG ausgeübt zu haben. Die Angriffe auf das Netzwerk von Siemens sowie zwei weiteren deutschen Unternehmen fanden zwischen den Jahren 2011 und 2017 statt.

Bei Siemens versuchten die Hacker im Sommer 2014 Passwörter und Nutzernamen abzugreifen. Im Sommer 2015 wurden erfolgreich 407 Gigabyte geschützter Daten des Unternehmens entwendet.

Siemens äußerte sich dabei aus Prinzip nicht zu Angelegenheiten, welche die interne Sicherheit betreffen. Jedoch betonte der Unternehmenssprecher, dass die Datensicherheit für das Unternehmen weltweit von höchster Priorität sei und Siemens seine Infrastruktur streng überwache und schütze.

Die drei Angeklagten befinden sich derzeit nicht in Gewahrsam und werden als Einzelpersonen behandelt, nicht als vom chinesischen Staat unterstützte Hacker. Beispiele wie dieses bestätigen Studien, die in Cyberangriffen auf Unternehmen eine allgegenwärtige und ernstzunehmende Bedrohung sehen.

Belgien: Hacking-Angriff auf Außenministerium

13. Mai 2014
Unbekannten ist es Medienberichten zufolge gelungen, in die Server des belgischen Außenministeriums einzubrechen und Informationen und Dokumente zur Ukraine-Krise zu kopieren. Dem Geheimdienst sei der Cyberangriff vor einigen Tagen aufgefallen. Derzeit suche man nach dem/n Täter/n und ermittele den angerichteten Schaden. In Medienkreisen werde gemutmaßt, dass die russische Regierung hinter dem Angriff steht. 

Ukrainischer Hacking-Angriff auf NATO-Website

17. März 2014

Medienberichten zufolge haben ukrainische Hacker der Gruppierung Cyber Berkut am gestrigen Tag den Webserver der NATO  erfolgreich angegriffen, so dass dieser zeitweise nicht erreichbar war. Nach Angaben der NATO hat diese Cyberattacke jedoch keine Auswirkung auf die Arbeitsfähigkeit der Allianz. Man arbeite mit Experten daran, die volle Serverfunktion wiederherzustellen. Die Gruppierung Cyber Berkut soll nach Angaben der Zeit in den vergangenen Wochen bereits etliche ukrainische Websites lahmgelegt haben. Der Name sei offenbar eine Anlehnung an die Sondereinheit der ukrainischen Polizei unter Ex-Präsident Viktor Janukowitsch, Berkut. Mitglieder der Einheit würden für zahlreiche Tote bei den Protesten auf dem Maidan verantwortlich gemacht.

Kategorien: Hackerangriffe
Schlagwörter: , ,

NSA: Kein Opfer eines Cyber-Angriffs

31. Oktober 2013

Die Website der National Security Agency (NSA) war am vergangenen Freitag mehrere Stunden nicht erreichbar. Berichte, die hinter dieser Störung einen Hacking- oder Denial-of-Service-Angriff vermuteten, wurden seitens der NSA jedoch dementiert. Es habe sich lediglich um einen Fehler in einem internen System gehandelt, der im Rahmen eines Updates des Online-Auftritts aufgetreten ist.

Apple Entwickler-Website von Hacker angegriffen

22. Juli 2013

Am vergangenen Donnerstag gelang es einem oder mehreren Angreifern die Entwickler-Website von Apple erfolgreich zu attackieren. Apple nahm die Website daraufhin vom Netz und schaltete eine Wartungsseite. Mittlerweile wurde der Text dieser Seite aktualisiert und bestätigt den Angriff.

Laut Apple sollen jedoch keine sensiblen Daten von dem Angriff betroffen sein. Sensible Daten setzt Apple dabei jedoch augenscheinlich nicht mit personenbezogenen Daten gleicht, weil sich in der Stellungnahme der Hinweis findet, dass die Möglichkeit bestehe, dass bei einigen Entwicklern auf deren Namen, Adressen und E-Mail-Adressen zugegriffen wurde.

In einer Stellungnahme gegenüber Macworld stellte Apple jedoch klar, dass weder Endkundendaten, Programmcode noch der Bereich, auf dem sich App-Daten befinden, von dem Angriff betroffen sei.

Auf YouTube findet sich derweil ein “Bekennervideo” von dem mutmaßlichen Angreifer, der behauptet kein Hacker sondern Sicherheitsforscher zu sein. Wenig Gespür für Datensicherheit legt der Urheber dieses Videos jedoch an den Tag, wenn er von einzelnen Datensätzen – so sie denn echt sind – die persönlichen Daten für die gesamte YouTube-Öffentlichkeit präsentiert.

Kategorien: Hackerangriffe
Schlagwörter: , , ,