Kategorie: Schadsoftware

Der EU Cyber Solidarity Act

24. April 2023

Am 18. April 2023 stellte die Europäische Kommission den EU Cyber Solidarity Act vor, um die Prävention, Erkennung und Reaktion auf Cyber-Sicherheitsvorfälle in der gesamten EU zu verbessern.

Verbesserung der Cyber-Sicherheit in der EU

Das Ziel des EU Cyber Solidarity Act sei es, die Kapazitäten in der EU zu stärken, um bedeutende und groß angelegte Cyber-Sicherheitsbedrohungen und Angriffe zu erkennen und darauf zu reagieren. Der Vorschlag umfasst ein europäisches Cyber-Sicherheitsschild, das aus miteinander verbundenen Security Operations Centres (SOCs) bestehen soll, sowie einem umfassenden Cyber-Sicherheits-Notfallmechanismus, um die Cyber-Sicherheit der EU zu verbessern.

Die Security Operations Centres sollen in mehreren länderübergreifenden SOC-Plattformen zusammengefasst werden. Diese SOCs sollen dabei fortschrittliche Technologien wie künstliche Intelligenz (KI) und Datenanalyse einsetzen, um Bedrohungen zu erkennen Dies soll eine schnellere und effizientere Reaktion auf größere Bedrohungen ermöglichen. Das Cyber-Sicherheitsschild soll insgesamt die Erkennung, Analyse und Reaktion auf Cyber-Bedrohungen verbessern.

Cyber-Sicherheits-Notfallmechanismus

Der Cyber-Sicherheits-Notfallmechanismus soll sicherstellen, dass die Vorbereitung und Reaktionen auf Cyber-Sicherheitsvorfälle verbessert werden. Dieses Ziel möchte man durch die Folgenden Schritte erreichen:

  • Unterstützung bei Vorbereitungsmaßnahmen
  • Überprüfung von Einrichtungen in wichtigen Sektoren wie Finanzen, Energie und Gesundheitswesen auf potenzielle Schwachstellen, die sie anfällig für Cyber-Bedrohungen machen könnten
  • Gemeinsamen Risikobewertung auf EU-Ebene
  • Schaffung einer EU Cyber-Sicherheitsreserve
  • Gegenseitige Unterstützung innerhalb der EU

Cybersecurity Incident Review Mechanism

Schließlich sieht der EU Cyber Solidarity Act auch die Einrichtung eines Cybersecurity Incident Review Mechanism vor. Dieser Mechanismus wird dazu beitragen, spezifische Cybersecurity-Zwischenfälle zu analysieren und Empfehlungen zur Verbesserung der Reaktion auf solche Vorfälle abzugeben.

Die Europäische Agentur für Cybersicherheit (ENISA) wird für die Überprüfung spezifischer oder groß angelegter Cybersecurity-Zwischenfälle verantwortlich sein. ENISA soll dann einen Bericht erstellen, der Lehren aus dem Zwischenfall zieht und gegebenenfalls Empfehlungen zur Verbesserung der EU-Cyberabwehr enthält.

Finanzierung

Die Umsetzung des EU Cyber Solidarity Act werde durch den Digital Europe Programme (DEP) finanziert. Der DEP unterstützte die digitale Transformation Europas und habe unter anderem den Auftrag, die europäische Cybersecurity zu stärken.

Für den EU Cyber Solidarity Act werden insgesamt 842,8 Millionen Euro zur Verfügung gestellt, wovon 100 Millionen Euro aus anderen Bereichen des DEP umgeschichtet werden. Dies soll die Umsetzung des Cybersecurity-Ziels des DEP verstärken.

Ein Teil der zusätzlichen 100 Millionen Euro werde dazu verwendet, das Budget des European Cybersecurity Competence Center (ECCC) zu stärken, um Maßnahmen im Bereich der SOCs und der Vorbereitung umzusetzen. Der Rest des Geldes werde zur Unterstützung der Einrichtung des EU Cybersecurity Reserve eingesetzt. Zusätzlich zu den Mitteln des DEP erwarte man auch auch Beiträge der Mitgliedstaaten, die das Budget des EU Cyber Solidarity Act auf bis zu 1,109 Milliarden Euro erhöhen könnten.

Fazit

Der EU Cyber Solidarity Act ist ein wichtiger Schritt zur Verbesserung der Cybersecurity in Europa. Durch die Einrichtung von SOCs, die Unterstützung der Vorbereitungsmaßnahmen und die Schaffung eines EU Cybersecurity Reserve würde die EU besser auf zukünftige Cybersecurity-Bedrohungen vorbereitet sein. Gleichzeitig wird die Einrichtung eines Cybersecurity Incident Review Mechanism dazu beitragen, dass die EU aus vergangenen Zwischenfällen lernen und ihre Cyberabwehr stetig verbessern kann.

Russland bereitet laut Medienberichten Cyberangriffe vor

31. März 2023

Nach umfassenden Recherchen durch mehrere Medien aus acht verschiedenen Ländern, darunter der Spiegel, das ZDF, der Guardian und die Washington Post, wurde bekannt, dass russische Geheimdienste in Zusammenarbeit mit einer Moskauer IT-Firma weltweit Cyberangriffe auf Einrichtungen der kritischen Infrastruktur planen.

Die „Vulkan-Files“, die aus den Jahren 2016 bis 2021 stammen, wurden von einem anonymen Whistleblower veröffentlicht, der über den Krieg Russlands in der Ukraine verärgert war.

Gezielte Angriffe auf die Infrastruktur

Offiziell gibt sich NTC-Vulkan als ein Beratungsunternehmen für Cybersicherheit aus. Das Unternehmen ist allerdings Teil des militärisch-industriellen Komplexes in Russland. Ein kürzlich aufgetauchtes Leck vertraulicher Dateien hat aufgedeckt, dass sie an der Förderung von Putins Cyberwarfare-Fähigkeiten beteiligt sind. Diese durchgesickerten Dokumente, die Tausende von Seiten umfassen, zeigen, wie die Vulkan-Ingenieure mit dem russischen Militär und den Geheimdiensten zusammenarbeiten. Ihre Arbeit umfasst die Unterstützung von Hacking-Operationen, die Ausbildung von Agenten für Angriffe auf die nationale Infrastruktur, die Verbreitung von Desinformationen und die Kontrolle über bestimmte Teile des Internets. Die Verbindung des Unternehmens mit dem föderalen Geheimdienst Russlands (FSB), den operativen und nachrichtendienstlichen Abteilungen der Streitkräfte (GOU und GRU) und dem Auslandsgeheimdienst (SVR) wurde durch diese Dokumente nachgewiesen.

Sowohl NTC-Vulkan als auch der Kreml wurden mehrfach um eine Stellungnahme gebeten, dort wollte man sich jedoch nicht zu den Enthüllungen äußern. Die Echtheit der Vulkan-Dateien wurde allerdings von fünf westlichen Geheimdiensten bestätigt. Die durchgesickerten Dokumente enthalten auch Beispiele für potenzielle Ziele, darunter eine Karte mit Punkten, die Orte in den USA markieren, sowie Details über ein Kernkraftwerk in der Schweiz.

Verbindungen zu westlichen Konzernen

Nachdem sie NTC-Vulkan verlassen hatten, arbeiteten mehrere ehemalige Mitarbeiter für große westliche Unternehmen wie Amazon und Siemens. Beide Unternehmen haben die Beschäftigung dieser ehemaligen Vulkan-Mitarbeiter eingeräumt, aber erklärt, dass ihre internen Kontrollen einen unbefugten Zugang zu sensiblen Informationen verhinderten. Einige dieser ehemaligen Mitarbeiter leben nun in EU-Ländern, darunter Deutschland, und arbeiten nach Angaben verschiedener Medien für globale Technologieunternehmen. Das Sicherheitsrisiko, das von diesen ehemaligen Vulkan-Ingenieuren ausgehe, sei unklar, ebenso wie die Frage, ob sie die Aufmerksamkeit westlicher Spionageabwehrbehörden auf sich gezogen haben oder nicht.

Bedrohungen auf dem Vormarsch

Die Enthüllungen kommen zu einem Zeitpunkt, an dem die Bedrohung durch Cyberangriffe auf die kritische Infrastruktur und die Spannungen mit Russland zunehmen. Eine solche Infrastruktur umfasst wichtige Systeme wie Stromnetze, Wasserwerke, Krankenhäuser und Transportnetze, die von Regierungen und Unternehmen auf der ganzen Welt betrieben werden.

Die potenziellen Auswirkungen solcher Angriffe auf die kritische Infrastruktur sind enorm. Sie könnten nicht nur die betroffenen Einrichtungen lahmlegen, sondern auch zu einer Kaskade von Problemen führen, die sich auf andere Bereiche ausbreiten können. Zum Beispiel könnte ein Angriff auf das Stromnetz in einer Stadt dazu führen, dass Krankenhäuser ohne Strom bleiben und lebenswichtige medizinische Geräte nicht mehr funktionieren. Die Entdeckung der Vulkan Files ist ein alarmierendes Zeichen dafür, dass solche Angriffe immer gezielter und aggressiver werden.

Wie können sich Regierungen und Unternehmen vor diesen Bedrohungen schützen?

Insgesamt sind die Vulkan Files ein alarmierendes Beispiel für die Bedrohung durch Cyberangriffe auf die kritische Infrastruktur und verschärfen zusätzlich den Konflikt mit Russland. Die Sicherheitsmaßnahmen müssen verstärkt werden, um Angriffe zu verhindern oder schnell darauf reagieren zu können. Das bedeutet, dass ein stärkeres Bewusstsein für Cyber-Sicherheitsrisiken in allen Bereichen geschaffen werden muss. Regierungen müssen sicherstellen, dass ihre kritische Infrastruktur ausreichend geschützt ist, und Unternehmen müssen sicherstellen, dass ihre Netzwerke sicher und robust sind.

Apple plant mehr Verschlüsselung

9. Dezember 2022

Apple stellte am 07.12.2022 drei neue Sicherheitsfunktionen vor, die sich auf den Schutz von Daten in der Cloud beziehen und damit den nächsten Schritt in den laufenden unternehmensinternen Bemühungen darstellen, Nutzerinnen und Nutzern bessere Möglichkeiten zum Schutz ihrer Daten zu bieten.

„Wir bei Apple setzen uns unermüdlich dafür ein, unseren Nutzern die beste Datensicherheit der Welt zu bieten. Wir identifizieren und entschärfen ständig neue Bedrohungen für ihre personenbezogenen Daten auf dem Gerät und in der Cloud”, erklärte Craig Federighi, Senior Vice President of Software Engineering von Apple. „Unsere Sicherheitsteams arbeiten unermüdlich daran, die Daten der Nutzer zu schützen, und mit iMessage Contact Key Verification, Security Keys und Advanced Data Protection for iCloud stehen den Nutzern drei leistungsstarke neue Tools zur Verfügung, mit denen sie ihre sensibelsten Daten und Kommunikationen weiter schützen können.”

iMessage Contact Key Verification

Mit der iMessage Contact Key Verification könnten nach den Angaben von Apple Nutzer:innen sicherstellen, dass sie nur mit den beabsichtigten Personen kommunizieren. Gespräche zwischen Personen, die die iMessage Contact Key Verification aktiviert haben, würden automatisch gewarnt, falls es beispielsweise einem staatlich unterstützten Angreifer gelingen sollte, in den Cloud-Server einzudringen und ein fremdes System einzuschleusen, um diese verschlüsselte Kommunikation zu überwachen. Für noch mehr Sicherheit könnten iMessage-Benutzer einen Kontaktverifizierungscode persönlich über FaceTime oder einen anderen sicheren Anruf austauschen.

Security Keys für Apple ID

Mit Security Keys für Apple ID hätten Nutzer:innen die Möglichkeit, einen Sicherheitsschlüssel zu verwenden, um sich bei ihrem Apple ID Account anzumelden.

Advanced Data Protection für iCloud

Mit der Advanced Data Protection für iCloud, die eine Ende-zu-Ende-Verschlüsselung verwendet, könnten wichtige iCloud-Daten wie beispielsweise iCloud Backups, Fotos und Notizen geschützt werden. Diese Funktion ist somit die wichtigste Neuerung. Die Funktion verhindere somit auch, dass Apple den Inhalt einiger der sensibelsten Daten, die auf seinen Servern gespeichert sind, einsehen könne.

Auch sorge die Funktion dafür, dass die meisten iCloud Daten auch im Falle einer Datenpanne in der Cloud geschützt wären. iCloud schütze aktuell standardmäßig 14 sensible Datenkategorien mit Ende-zu-Ende-Verschlüsselung, darunter Passwörter in iCloud Keychain und Gesundheitsdaten. Für Benutzer:innen, die den erweiterten Datenschutz aktivieren würden, stiege die Gesamtzahl der Datenkategorien, die mit Ende-zu-Ende-Verschlüsselung geschützt würden auf 23. Lediglich iCloud Mail, Kontakte und Kalender seien die einzigen wichtigen iCloud-Datenkategorien, die nicht abgedeckt wären, da sie mit den globalen E-Mail-, Kontakt- und Kalendersystemen interagieren müssten. Verschlüsselte Backups würden laut Apple auf freiwilliger Basis erfolgen und noch vor Ende des Jahres verfügbar sein.

Fazit

Dieser Schritt wird Sicherheitsbefürworter erfreuen, von denen viele zuvor die unverschlüsselten iCloud-Backups als Schwachstelle in Apples Datenschutzpolitik bezeichnet hatten. Es bedeutet auch, dass der Inhalt der Daten im Falle eines Angriffs auf Apples Server nicht zugänglich wäre. Wie Staaten wie die Volksrepublik China und die Russische Föderation darauf reagieren werden, ist bisher noch nicht ersichtlich. Strafverfolgungsbehörden könnte dieser Schritt vor Probleme stellen, da es für Apple unmöglich sein wird, den Behörden den Inhalt eines verschlüsselten Backups zu übermitteln. Das FBI kritisierte die neue Funktion von Apple in einer Stellungnahme am Mittwoch und sagte, dass sie die Fähigkeit der Behörde, das amerikanische Volk vor kriminellen Handlungen zu schützen beeinträchtigen würde, wie das Wall Street Journal berichtet.

Vorsicht, Phishing! Unternehmen muss über 5 Mio. Euro zahlen

3. November 2022

Bei der britischen Interverse Group Limited sorgte das Zusammenspiel aus einer trügerischen E-Mail und einem unvorsichtigen Mitarbeiter für einen größeren Datenschutzvorfall.

Was sind “Phishing-Mails”?

Unter dem Begriff Phishing versteht man Versuche von Kriminellen, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben: So auch im vorliegenden Fall.

Der Mitarbeiter des Unternehmens öffnete eine E-Mail, welche eine mit Malware versehene Zip-Datei enthielt. Dadurch erhielten die Angreifer Zugriff auf den Computer des Mitarbeiters, wodurch weitere Systeme und Server infiziert und Anti-Viren-Programme deinstalliert werden konnten.

Durch die so ermöglichte Abschaltung der Schutzmaßnahmen war es den Betrügern möglich, Zugang zu personenbezogenen Daten von über 100.000 Beschäftigten des Unternehmens zu erhalten. Enthalten waren dabei unter anderem Namen, Telefonnummern, Bankverbindungen, Sozialversicherungsnummern sowie Gehaltsinformationen. Dies stellt für Betrüger eine überaus gute Ausbeute dar.

Meldung: Art. 33 DSGVO

Das Unternehmen meldete daraufhin den Vorfall gem. Art. 33 DSGVO bei der britischen Datenschutzbehörde ICO, woraufhin diese den Vorfall prüfte. Das Ergebnis dieser Untersuchung fiel jedoch schlecht für das betroffene Unternehmen aus: Die ICO stellte fest, dass nur unzureichende technische und organisatorische Maßnahmen vorhanden waren. So war etwa das Betriebssystem, das auf den Servern eingesetzt wurde, veraltet, der betroffene Mitarbeiter, der die schadhafte Mail öffnete, war nicht datenschutzrechtlich geschult worden, Schwachstellentests sind nicht durchgeführt worden und einer Meldung des Virenscanners wurde keine Beachtung geschenkt. Dies stellt ein absolutes Fehlerhaften dar. Lediglich die umfassende Kooperation des Unternehmens mit der ICO, sowie eine nachträgliche Verbesserung der Sicherheitsmaßnahmen konnten das Bußgeld in Höhe von 5.057.878 Euro etwas abmildern.

Fazit

Der Fall macht deutlich, wie wichtig und unumgänglich es für Unternehmen ist, angemessene technische und organisatorische Maßnahmen zu implementieren und die Cybersicherheit auf dem aktuellen Stand zu halten. Die DSGVO sieht in Art. 32 Abs. 1 vor, dass technische und organisatorische Maßnahmen dem Stand der Technik entsprechen müssen.

Zielgerichtete Beratung durch Experten und entsprechende Schulungen von Mitarbeitern, unter anderem etwa zur Sensibilisierung und Erkennung von Angriffsversuchen von Dritten, können das Risiko eines Datenschutzvorfalls verringern. Investitionen in diesem Bereich können so Bußgelder in Millionenhöhe verhindern.

BSI stellt aktuellen Lagebericht vor

26. Oktober 2022

Gestern veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Lagebericht zur IT-Sicherheit in Deutschland für den Zeitraum Juni 2021 bis Mai 2022. Daraus geht hervor, dass die Bedrohung im Cyberraum so hoch wie nie sei. Als Grund für diese hohe Bedrohung machte das BSI zwei Faktoren aus. Einerseits stellten Cybercrime, insbesondere durch „Ransomware“ eine Gefahr dar. Andererseits sei die Cybersicherheit durch Hacker- und Sabotage-Angriffe im Zusammenhang mit dem Ukrainekrieg bedroht.

Bedrohung durch „Ransomware“

In dem Bericht befasste sich das BSI und die zuständige Ministerin des Innern und für Heimat, Nancy Faeser zunächst mit der sog. „Ransomware“. Insbesondere Unternehmen seien Opfer dieser Art von Hackerangriff.

„Ransomware“ ist eine Schadsoftware, mit der Hacker lokale oder vernetzte Daten oder Systeme verschlüsseln. Diese Verschlüsselung verhindere für den Nutzer den Zugang zu seinen Daten. Ziel des Angriffs können entweder einzelne Dateien, wie Bild- oder Videodateien oder umfangreiche Dateisätze, wie ganze Datenbanken oder Serversysteme sein. Um die Verschlüsselung aufzuheben, bedarf es eines bestimmten Tools. Die Hacker drohen den betroffenen Personen damit, das Entschlüsselungstool zu vernichten. Außerdem verlangen sie Lösegeld, verbunden mit der Aussicht das Entschlüsselungstool auszuhändigen. Darüber hinaus könne es vorkommen, dass die Hacker zusätzlich damit drohen, erlangte Dateien zu veröffentlich. Das BSI stellte fest, dass die Kombination aus Lösegeld- und Schweigegelderpressung der Regelfall sei.

Um sich vor „Ramsomware“-Angriffe zu schützen, sei es erforderlich, dass Unternehmen die Nutzung ihrer Systeme durch unbefugte Personen erschweren. Dafür können sie eine Mehrfaktor-Authentisierung, ein Virtuelles Privates Netz (VPN) und strenge Passwortvorgaben einsetzen.

Cyberkriminalität im Zusammenhang mit dem Ukrainekrieg

Das BSI identifizierte als weitere große Bedrohung für die Cybersicherheit in Deutschland vielfältige Aktivitäten im Zusammenhang mit dem Ukrainekrieg. Dabei sei es zu einer Vielzahl an verschiedenen Hackerangriffen gekommen.

Zu Beginn des Krieges setzten Hacker gegen die Ukraine sog. „Wiper“ ein. Diese Softwareprogramme sorgen dafür, dass Daten gelöscht werden. So haben Hacker, beispielsweise die Daten von ukrainischen Banken gelöscht. Auch seien Soziale-Medien das Ziel von Hackerangriffen. In Deutschland haben Hacker pro-russische Kommentare verfasst. Besonders aufgefallen sei die pro-russische Hacker-Gruppe „Killnet“. Sie habe sog. „Distributed Denial of Servies-Angriffe” (DDoS-Angriffe) auf Ziele in Ländern der EU durchgeführt. Unter diesen „DDos”-Angriffen seien „Überlastungsangriffe auf Internetdienste“ zu verstehen.

Zu Hackerangriffen im Zusammenhang mit dem Ukrainekrieg zählte das BSI auch Angriffe des Hacker-Kollektivs „Anonymous“. Es habe Unternehmen außerhalb Russlands angegriffen, die geschäftliche Beziehungen zu Russland pflegten.

Fazit

Laut BSI sei „eine Erhöhung der Resilienz gegenüber Cyber-Angriffen (…)“ die Hauptaufgabe aller betroffenen Stellen aus Staat, Wirtschaft und Gesellschaft.

Für die Vorstellung des Lageberichts war ursprünglich ein früherer Termin vorgesehen. Dieser wurde aber wegen der Freistellung des BSI-Präsidenten Arne Schönbohm verschoben (wir berichteten).

Verbraucherzentrale NRW: Warnt vor „Single-Sign-On“ – Verfahren

21. Oktober 2022

Die Verbraucherzentrale NRW informierte vor Kurzem über die Risiken des sog. „Single-Sign-On“-Verfahrens. Hintergrund dieser Hilfestellung war eine Meldung von Facebook, der zufolge rund 400 Apps über die Anmeldeoption die Daten ihrer Nutzer stehlen konnten.

Einfaches Einloggen

Mittlerweile bieten eine Vielzahl an Apps und Webseite das Single-Sign-On-Verfahren an. Dem Nutzer soll es ermöglicht werden, sich einfach und schnell bei verschiedenen Onlineanwendung anzumelden. Demnach muss er nicht alle seine Anmeldedaten aufwendig eintippen, sondern kann sich beispielsweise über die Option „Login mit Facebook“ oder „Login mit Google“ anmelden. Das bereits erstelle Social-Media-Profil dient folglich zur Anmeldung oder Registrierung. Der Nutzer muss sich auf der verwendeten Webseite oder der verwendeten App kein weiteres Profil anlegen.

Aus Sicht der Verbraucherzentrale, berge dieses vereinfachte Anmeldeverfahren allerdings ein erhebliches Risiko. Wenn die Anmeldedaten des Nutzers in falsche Hände geraten, könne sich der Dritte Zugang zu sämtlichen Plattformen verschaffen. Dabei stelle die Anmeldung mittels „Single-Sign-On“ eine Art Generalschlüssel dar. Außerdem sei es möglich, dass der Webseitenbetreiber, der die Anmeldung über einen Social-Media-Account ermögliche, die Anmeldedaten nicht verschlüssele. Im Falle eines Diebstahls sei der Missbrauch folglich besonders leicht möglich.

Datendiebstahl über Facebook

Zusätzlich legte Facebook vor kurzem einen Datendiebstahl offen. Der Social-Media-Dienst teilte mit, dass sog. Malware-Apps die Daten von rund einer Millionen Facebook– Nutzern entwendet hätten. Dabei konnten Facebook-Nutzer verschiedene Apps für Android oder iOS herunterladen. Anschließend hätten die Apps ein „Login mit Facebook“ angeboten. Eine Anmeldung in der App sei allerdings nicht erfolgt. Stattdessen habe ein Phishing-Formular, die eingegebenen Daten an die hinter den Apps versteckten Hacker gesendet. Daraufhin übernahmen diese die Accounts der betroffenen Facebook-Nutzer.  

Mögliche Vorkehrungen

Aus Sicht der Verbraucherzentrale NRW könne jeder Nutzer Vorkehrungen treffen, um einen möglichen Datendiebstahl zu verhindern. Über die Datenschutzerklärung können die Nutzer sich darüber informieren, welche Daten Social-Media-Plattformen mit Webseiten- und App-Betreibern austauschen. Zusätzliche sollte der Nutzer, bei Verwendung des „Single-Sing-On“-Verfahrens ein starkes Passwort wählen. Dieses könne außerdem durch die Zwei-Faktor-Authentifizierung abgesichert werden. Im Falle eines Sicherheitslecks sei das Passwort sofort zu ändern und auf ungewöhnliche Zahlungsvorgänge auf dem eigenen Konto zu achten.

BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten

8. April 2022

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Verbraucherinnen und Verbraucher, Unternehmen und Behörden vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky. Demnach könne die Softwarefirma Cyber-Angriffe ausführen.

Nach Angaben des BSI könnte Kaspersky selbst offensive Operationen durchführen, oder aber auch gezwungen werden, Zielsysteme anzugreifen. Es sei auch nicht auszuschließen, dass ein russisches Unternehmen selbst ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werde.

“Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden”, erklärte das BSI.

Des Weiteren seien Unternehmen und Behörden mit besonderen Sicherheitsinteressen und Betreiber kritischer Infrastrukturen in besonderem Maße gefährdet. Betroffene Unternehmen und andere Organisationen sollten nach den Empfehlungen des BSI den Austausch wesentlicher Bestandteile ihrer IT-Sicherheitsinfrastruktur sorgfältig planen und umsetzen. Es wird empfohlen, eine individuelle Bewertung und Abwägung der aktuellen Situation vorzunehmen und dazu gegebenenfalls vom BSI zertifizierte IT-Sicherheitsdienstleister hinzuzuziehen.

Weitere Informationen für Verbraucherinnen und Verbraucher, Unternehmen und Behörden veröffentlichte das BSI in einer eigens dafür angelegten Rubrik (FAQ).

Kaspersky wies die Darstellung zunächst zurück und ging rechtlich gegen die Entscheidung vor. Nachdem das Verwaltungsgericht Köln Anfang April den Antrag zurückgewiesen hatte, reichte die Kaspersky Labs GmbH Beschwerde beim nordrhein-westfälischen Oberverwaltungsgericht (OVG) ein.

Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft ‘Warnstufe Rot’ für Software-Modul Log4j aus

14. Dezember 2021

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rief am 11.12.2021 die ‘Warnstufe Rot’ für das Java-Software-Modul Log4j aus. Dort wurde eine Sicherheitslücke entdeckt, die den Namen “Log4Shell” trägt.

Das Software-Modul Log4j ist auf vielen Computern in der Java-Software zu finden. Es handelt sich um eine Protokollierungs-Bibliothek, sie protokolliert Ereignisse im Serverbetrieb. Dies dient beispielsweise einer Fehlersuche.

Die Sicherheitslücke hat zur Folge, dass es Angreifern möglich wird, ihren Softwarecode auf fremde Server zu spielen. Dies kann bereits durch das Eingeben spezieller Befehle in einen Chat mit dem Opfer möglich sein. Sodann können die Angreifer auf deren Servern Schadsoftware installieren und sogar das gesamte System übernehmen. So erhält der Angreifer Kontrolle über das System des Opfers und damit auch Zugriff auf die dort gespeicherten Daten. Besonders gefährdet sind laut BSI momentan Betreiber von Servern und Rechenzentren, aber auch Privatleute können dieses Software-Modul auf ihren Computern haben. Global könnten eventuell mehrere Milliarden Computer betroffen sein.

Welche Systeme und Produkte genau betroffen sind, ist zum jetzigen Zeitpunkt noch unklar. Momentan werden Massenscans durchgeführt, um angreifbare Systeme und bereits erfolgte Angriffe aufzuspüren. Aktuell wird davon ausgegangen, dass die Sicherheitslücke die Log4j- Versionen von 2.0 bis 2.14.1. betrifft.

Das BSI veröffentlicht auf seiner Homepage regelmäßig Updates zu der Entwicklung der Sicherheitslücke bei Log4j sowie Handlungsempfehlungen und Antworten auf die geläufigsten Fragen. Betroffene, die mithilfe dieser Sicherheitslücke angegriffen wurden, sind angehalten sich beim BSI zu melden. Teilweise bieten System-Hersteller erste Updates auf die aktuelle Version 2.15.0 von Log4j an, diese sollten umgehend installiert werden.

Überwachungssoftware Pegasus wohl missbräuchlich verwendet

21. Juli 2021

Anfang dieser Woche kam es im Rahmen des sogenannten Pegasus Project zu Enthüllungen, die den Missbrauch der Software Pegasus der israelischen Firma NSO betreffen. Das Pegasus Project ist dabei ein Zusammenschluss von Reporterinnen und Reportern aus verschiedensten Ländern. Deren Recherchen begannen, nachdem u.a. Amnesty International eine Liste mit über 50.000 Handynummern aus mehr als 50 Ländern zugespielt wurde. Beteiligt waren an dem Projekt u.a. die ZEIT, die Süddeutsche, The Guardian (GB), Le Monde (FR) und die Washington Post (US).

Bei der Software Pegasus handelt es sich um eine Überwachungssoftware, die eigentlich Verbrechen und Terrorismus gezielt bekämpfen soll. Sie kann unbemerkt auf den Handys der Betroffenen installiert werden. Häufig erhalten Betroffene eine SMS, die z.B. von einem Paketzusteller stammen soll und erhalten in dieser SMS einen Downloadlink. Wird auf diesen geklickt, landet die Software auf dem Handy. Allerdings ist es Pegasus wohl auch möglich, auf das Handy zu gelangen, ohne dass die SMS überhaupt angezeigt und angeklickt werden. Auch über WLAN- oder Mobilfunknetze kann Pegasus auf das Handy gelangen. NSO bietet seinen Kunden verschiedene Möglichkeiten an, die Software auf dem Gerät der Zielperson zu installieren. Dabei werden Software-Schwachstellen von Betriebssystemen, die den Herstellern noch nicht bekannt sind (sogenannte ‚Zero-Day-Exploits‘) ausgenutzt. Ist Pegasus einmal auf dem Handy, hat die Software die komplette Kontrolle. Sie kann Daten kopieren und versenden, verschlüsselte Nachrichten lesen und unbemerkt Kamera oder Mikrofon des Gerätes anschalten. Die kopierten Daten können von Telefonbuch- und Kalendereinträgen, über Fotos bis hin zu dem Browserverlauf und Nachrichten alles umfassen. Auch Anrufe können abgehört werden und Standortdaten weitergegeben. Weiterhin können Sicherheitsupdates des Herstellers von der Software unterdrückt werden.

Nun sollen mit dieser Software diverse Menschenrechtsaktivisten, Journalistinnen und Oppositionelle überwacht worden sein. Auch hochrangige Politiker wie Frankreichs Präsident Macron und Belgiens Premierminister Michel sollen Opfer der Überwachungen geworden sein. Benutzt worden sein soll die Software dabei u.a. von Polizeibehörden und Geheimdiensten in Saudi-Arabien, Mexiko und Ungarn.

Die Firma NSO streitet diese Vowürfe ab, erste Länder haben währendessen schon Ermittlungen aufgenommen.

Ausführlichere Erklärungen zur Funktionsweise der Pegasus Software können diesem Video entnommen werden.

Bundesamt für Sicherheit in der Informationstechnik warnt vor SMS-Phishing

13. April 2021

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt momentan vor dem sogenannten “Smishing” (Phishing per SMS). Dabei erhalten die Betroffenen eine SMS mit einem Link, den sie anklicken sollen. Aktuell geben sich die Absender der SMS vor allem als Logistikunternehmen aus, die dem Betroffenen ein Paket zustellen möchten. Dazu sei es notwendig, dem Link zu folgen und eine Paketverfolgungsapp herunterzuladen. Beispiele für den Wortlaut der SMS veröffentlichte z.B. das Landeskriminalamt Niedersachsen. Das Klicken auf den Link führt bei Android-Nutzern dazu, dass die Schadsoftware FluBot heruntergeladen wird. Bei Nutzern von iOS findet kein Download statt, stattdessen landen Sie auf einer Phishing-Seite.

Ziel dieser Smishing-Angriffe und dem daraus resultierenden Download von FluBot ist das Ausspähen der Daten der Betroffenen. Bei FluBot handelt es sich laut der Sicherheitssoftware-Firma ESET um einen Banking-Trojaner, der erstmals Ende 2020 auftrat. Wird er installiert, kann er u.a. SMS schreiben und lesen, Anrufe durchführen und die Kontaktliste einsehen. Dabei fängt FluBot SMS mit Einmalpasswörtern ab, die bei der Zwei-Faktor-Authentifizierung benötigt werden und verbreitet sich per SMS an die Kontaktliste des Betroffenen weiter. Sicherheitsexperte Lukas Stefanko von ESET veröffentlichte hierzu ein Twitter-Video, auf dem der Ablauf erkennbar ist.

Das BSI empfiehlt also dringend, solche SMS zu ignorieren und den Absender zu sperren. Eine Installation von Schadsoftware ist nur bei Folgen des Links möglich. Für Betroffene, die den Link bereits angeklickt haben, gibt es ebenfalls Hilfestellung. So sollen sie schnellstmöglich den Flugmodus ihres Gerätes einstellen, ihren Mobilfunkprovider informieren, sowie Strafanzeige erstatten. Hierfür sollte das Smartphone zu Beweiszwecken vorgelegt werden. Auch Kontobewegungen sollten überprüft werden. Danach wird empfohlen, das Gerät auf seine Werkseinstellungen zurück zu setzen.

Für den grundsätzlichen Umgang mit Smishing-Angriffen hat ESET Hinweise veröffentlicht. So wird empfohlen, sein Smartphone-Betriebssystem stets auf dem neusten Stand zu halten, nur Apps aus offiziellen App-Stores zu downloaden und ein Anti-Viren-Programm zu installieren.

Ein Zusammenhang der Smishing-Vorkommnisse mit dem jüngsten Datenschutzleck bei Facebook kann zurzeit nicht nachgewiesen werden.

Pages:  1 2 3 4 5
1 2 3 5