Kategorie: Hackerangriffe
8. April 2022
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Verbraucherinnen und Verbraucher, Unternehmen und Behörden vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky. Demnach könne die Softwarefirma Cyber-Angriffe ausführen.
Nach Angaben des BSI könnte Kaspersky selbst offensive Operationen durchführen, oder aber auch gezwungen werden, Zielsysteme anzugreifen. Es sei auch nicht auszuschließen, dass ein russisches Unternehmen selbst ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werde.
„Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden“, erklärte das BSI.
Des Weiteren seien Unternehmen und Behörden mit besonderen Sicherheitsinteressen und Betreiber kritischer Infrastrukturen in besonderem Maße gefährdet. Betroffene Unternehmen und andere Organisationen sollten nach den Empfehlungen des BSI den Austausch wesentlicher Bestandteile ihrer IT-Sicherheitsinfrastruktur sorgfältig planen und umsetzen. Es wird empfohlen, eine individuelle Bewertung und Abwägung der aktuellen Situation vorzunehmen und dazu gegebenenfalls vom BSI zertifizierte IT-Sicherheitsdienstleister hinzuzuziehen.
Weitere Informationen für Verbraucherinnen und Verbraucher, Unternehmen und Behörden veröffentlichte das BSI in einer eigens dafür angelegten Rubrik (FAQ).
Kaspersky wies die Darstellung zunächst zurück und ging rechtlich gegen die Entscheidung vor. Nachdem das Verwaltungsgericht Köln Anfang April den Antrag zurückgewiesen hatte, reichte die Kaspersky Labs GmbH Beschwerde beim nordrhein-westfälischen Oberverwaltungsgericht (OVG) ein.
4. März 2022
Der US-amerikanische Hardware-Hersteller Nvidia scheint Opfer einer Cyber-Attacke geworden zu sein. Ein Sprecher von Nvidia bestätigte den Angriff. Man gehe momentan nicht davon aus, dass ein Zusammenhang zum Ukraine-Konflikt bestünde.
Hinter dem Angriff steckt wohl die südamerikanische Ransomware-Gruppe „Lapsus$“. Diese war in den letzten Monaten für mehrere Cyber-Angriffe verantwortlich, u.a. auch für den auf den größten portugiesischen Medienkonzern Impresa. Die Gruppe gibt an, von Nvidia rund 1 TB an Daten erlangt zu haben. Erste Daten, darunter Anmeldedaten von Mitarbeitern, wurden im Netz veröffentlicht. „Lapsus$“ verlangt von Nvidia, eine bestimmte Limitierung an von ihnen hergestellten Grafikkarten (betreffend das Schürfen von Kryptowährung) zu entfernen. Sollte Nvidia dem nicht nachkommen, sollen weitere interne Daten veröffentlicht werden.
Weiterhin veröffentlichte die Gruppe eine Stellungnahme, in der sie berichteten, Nvidia habe ihren Angriff direkt zurück verfolgen können und die dort gefundenen Daten verschlüsselt. Jedoch habe man die Daten vor der Verschlüsselung bereits kopieren können.
Nvidia arbeitet momentan daran, die Details des Angriffs zu untersuchen. Ransomware (ein Schadprogramm, das als Erpressungssoftware benutzt wird) wurde laut eigenen Angaben bei Nvidia bisher nicht entdeckt.
24. Januar 2022
Das Internationale Komitee vom Roten Kreuz (IKRK) veröffentlichte am 19.01.2022 die Meldung, Opfer eines Cyberangriffs geworden zu sein. Der Angriff erfolgte auf personenbezogene Daten und vertrauliche Informationen von über 515.000 Personen. Zu den betroffenen Daten zählen Namen, Standort und Kontaktinformationen. Sie stammen von insgesamt mindestens 60 nationalen Rotkreuz- und Rothalbmondgesellschaften weltweit. Das IKRK geht davon aus, dass diese Daten kopiert und exportiert wurden.
Besonders brisant ist der Angriff, weil die erbeuteten Daten von „Menschen, die aufgrund von Konflikten, Migration und Naturkatastrophen von ihren Familien getrennt wurden, vermisste[n] Personen und deren Familien sowie inhaftierte[n] Personen“, also besonders schutzbedürftigen Menschen stammen. Entsprechend besorgt ist das IKRK darüber, was dieser Angriff für Folgen haben kann. Robert Mardini, Generaldirektor des IKRK, äußerte sich dazu entsprechend: „Dieser Cyberangriff gefährdet die Menschen, die bereits auf humanitäre Hilfe angewiesen sind, umso mehr.“
Nach aktuellen Äußerungen geht das IKRK von einem gezielten Angriff aus. Veröffentlicht wurden die gehackten Daten bisher nicht. Ob Daten verändert wurden, lässt das IKRK nun prüfen, die betroffenen Server wurden offline genommen. Davon direkt betroffen ist ein Programm zur Zusammenführung getrennter Familien („Restoring Family Links“), welches jetzt ohne dieses System fortgesetzt werden muss. Wer für den Angriff verantwortlich ist, ist zum jetzigen Zeitpunkt unklar.
Bereits im August letzten Jahres wurde befürchtet, die Taliban könnte in Afghanistan Zugriff auf Daten von Hilfsorganisationen erlangt haben. Von Hilfsorganisationen gespeicherte, personenbezogene Daten sind besonders empfindlich, da sie meist von Schutzbedürftigen stammen. Sollten solche Daten veröffentlicht werden, kann das für die Betroffenen im schlimmsten Fall lebensgefährlich sein. So wird immer wieder ersichtlich, wie unverzichtbar der Datenschutz auch für humanitäre Hilfsarbeit ist.
3. Januar 2022
Der größte Medienkonzern Portugals, Impresa, wurde über die Neujahrstage Opfer eines Ransomware-Angriffs. Betroffen sind die Kanäle des landesweit größten Fernsehsenders SIC, sowie Portugals Wochenzeitung Expresso. Konkret handel es sich dabei um die Webseiten und Streaming-Services, das Fernsehprogramm von SIC funktioniert ungestört. Auch einige Accounts auf sozialen Medien sind von dem Angriff nicht betroffen, sodass Impresa momentan über den Facebook-Account von Expresso kommuniziert. Der Twitter-Account von Expresso scheint hingegen ebenfalls betroffen zu sein.
Laut The Record steckt hinter dem Angriff eine Gruppe namens „Lapsus$“. Zwischenzeitlich seien von der Gruppe auch Nachrichten und Lösegeldforderungen auf den Seiten von Impresa veröffentlicht worden. Die Gruppe selbst äußerte sich, sie habe kurzzeitig Zugriff auf den AWS-Account von Impresa gehabt. Bei dem Angriff wurde außerdem von der E-Mail-Adresse der Zeitschrift Expresso aus, eine Nachricht an Abonnentinnen und Abonnenten verschickt, in der es u.a. hieß, der Präsident Portugals sei seinem Amt enthoben worden. Diese Nachricht wurde in sozialen Medien bereits als Falschmeldung gekennzeichnet.
Bei diesem Vorfall handelt es sich um einen der größten IT-Sicherheitsvorfälle in der Geschichte Portugals. Um welche Ransomware es sich handelt, ist bisher nicht bekannt.
Die „Lapsus$“-Gruppe hatte erst Mitte Dezember das Gesundheitsministerium Brasiliens angegriffen. Bei diesem Angriff erbeuteten sie nach eigenen Aussagen 50 Terrabyte Daten. Durch den Ausfall der Seiten des Gesundheitsministeriums war für Brasilianer u.a. zeitweise kein Zugriff mehr auf ihre digitalen Impfzertifikate möglich.
14. Dezember 2021
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rief am 11.12.2021 die ‚Warnstufe Rot‘ für das Java-Software-Modul Log4j aus. Dort wurde eine Sicherheitslücke entdeckt, die den Namen „Log4Shell“ trägt.
Das Software-Modul Log4j ist auf vielen Computern in der Java-Software zu finden. Es handelt sich um eine Protokollierungs-Bibliothek, sie protokolliert Ereignisse im Serverbetrieb. Dies dient beispielsweise einer Fehlersuche.
Die Sicherheitslücke hat zur Folge, dass es Angreifern möglich wird, ihren Softwarecode auf fremde Server zu spielen. Dies kann bereits durch das Eingeben spezieller Befehle in einen Chat mit dem Opfer möglich sein. Sodann können die Angreifer auf deren Servern Schadsoftware installieren und sogar das gesamte System übernehmen. So erhält der Angreifer Kontrolle über das System des Opfers und damit auch Zugriff auf die dort gespeicherten Daten. Besonders gefährdet sind laut BSI momentan Betreiber von Servern und Rechenzentren, aber auch Privatleute können dieses Software-Modul auf ihren Computern haben. Global könnten eventuell mehrere Milliarden Computer betroffen sein.
Welche Systeme und Produkte genau betroffen sind, ist zum jetzigen Zeitpunkt noch unklar. Momentan werden Massenscans durchgeführt, um angreifbare Systeme und bereits erfolgte Angriffe aufzuspüren. Aktuell wird davon ausgegangen, dass die Sicherheitslücke die Log4j- Versionen von 2.0 bis 2.14.1. betrifft.
Das BSI veröffentlicht auf seiner Homepage regelmäßig Updates zu der Entwicklung der Sicherheitslücke bei Log4j sowie Handlungsempfehlungen und Antworten auf die geläufigsten Fragen. Betroffene, die mithilfe dieser Sicherheitslücke angegriffen wurden, sind angehalten sich beim BSI zu melden. Teilweise bieten System-Hersteller erste Updates auf die aktuelle Version 2.15.0 von Log4j an, diese sollten umgehend installiert werden.
12. November 2021
In dem am Donnerstag erschienenen Buch „Die Maschine: Im Bann der Booking.com“ von drei Journalisten der niederländischen nationalen Zeitung NRC, berichten diese von einem Hackerangriff, der 2016 die Server von Booking.com durchbrochen und Benutzerdaten im Zusammenhang mit dem Nahen Osten gestohlen hat.
Die Personen hinter dem Hackerangriff hatten auf Tausende von Hotelreservierungen Zugriff. Hierbei sind vor allem die Länder des Nahen Ostens wie Saudi-Arabien, Katar und die Vereinigten Arabischen Emirate betroffen gewesen. Ferner heißt es, dass unter den offengelegten Daten auch Namen von Booking.com Kunden und deren Reisepläne veröffentlich wurden. Der bei Booking.com interne Name für diesen Verstoß war das „PIN-Leck“, weil der Verstoß auch gestohlene PINs aus Reservierungen beinhaltete. Zwei Monate nach diesem Verstoß bekam Booking.com bei der Suche nach dem Hacker Unterstützung von US-Privatdetektiven. Hierbei stellten sie fest, dass es sich bei dem Hacker um einen Amerikaner handelte, der für ein Unternehmen arbeitete, das Aufträge von US-Geheimdiensten ausführte. Die Autoren haben bis jetzt nicht feststellen können, welche Agentur hinter dem Angriff steckte.
Der Vertreter von Booking.com äußerte sich zu diesem Geschehen. Booking.com sah sich nicht in der Pflicht, diesen Verstoß offenzulegen und zu melden. Es lagen nämlich keine Beweise für „tatsächlich nachteilige Auswirkungen auf das Privatleben von Einzelpersonen“ vor. Die in Amsterdam ansässige Booking.com traf diese Entscheidung, nachdem sie den niederländischen Geheimdienst AIVD angerufen hatte, um diese Datenschutzverletzung zu untersuchen. Auf Anraten eines Rechtsberaters hat das Unternehmen die betroffenen Kunden und die niederländische Datenschutzbehörde daraufhin nicht benachrichtigt. Die Begründung: Booking.com war gesetzlich nicht dazu verpflichtet, weil keine sensiblen oder finanziellen Informationen abgerufen wurden.
Im April wurde Booking.com von den niederländischen Datenschutzbehörden mit einer Geldstrafe von 475.000 Euro belegt, da Booking.com eine separate Datenschutzverletzung gemäß der DSGVO verspätet gemeldet hatte. Bei diesem Verstoß wurden mehr als 4.000 Booking.com Kunden von Cyberkriminellen auf ihre Namen, Adressen, Telefonnummern und Buchungsdetails zugegriffen. Weitere 300 Personen hatten auch Kreditkarteninformationen gestohlen, einschließlich des CVV-Codes in fast 100 Fällen.
14. Oktober 2021
Auf Twitter hat der Streaming-Anbieter Twitch bestätigt, dass es ein Datenleck gegeben hat. Unbekannte hatten zuvor bekanntgegeben, den Dienst „komplett“ gehackt zu haben. Die Webseite ist eine der größten Video-Plattformen im Internet und gehört seit 2014 zu Amazon. Anfangs konnten Nutzer über Twitch Gamern live beim Computer spielen zuschauen, mittlerweile gibt es dort Livestreams von Konzerten über Karaoke bis hin zu Traktorfahrten.
In den geleakten rund 125 GB Daten befinden sich neben dem gesamten Quellcode der Seite auch interne Informationen über Auszahlungen an die Top-Streamer. Demnach haben seit 2019 25 Personen jeweils mehr als zwei Millionen US-Dollar für ihre Live-Streams erhalten, über 50 Personen jeweils eine Million US-Dollar. Außerdem wurden Sicherheitstools geleakt, die für weitere Hackerangriffe ausgenutzt werden könnten.
Ebenso interessant wie die veröffentlichten Informationen ist das, was nicht veröffentlicht wurde: es sollen keine E-Mail-Adressen, Passwörter oder Kreditkartendaten der Twitch-Nutzer enthalten sein. Nutzerinnen und Nutzern wird lediglich empfohlen, das Passwort zu ändern und künftig die Zwei-Faktor-Authentifikation zu verwenden. Dieser Fakt und die Offenlegung des Codes sowie weiterer interner Informationen lässt vermuten, dass es sich um einen politisch motivierten Hack handelt. Bereits im August gab es unter dem Hashtag #DoBetterTwitch einen Boykottaufruf, da Twitch nicht genug gegen Hass gegen die Creator unternehme. Twitch hat daraufhin u.a. die Chatfilter angepasst, dies ging den Kritikern und Kritikerinnen jedoch nicht weit genug.
4. August 2021
Staus, Baustellen, die Suche nach Tankstellen, freien Raststätten und besseren Routen – all das kann Autofahren zur Stresssituation machen, insbesondere aktuell in der Urlaubshochsaison. Die neue Autobahn-App des Bundes will dem abhelfen und bündelt zahlreiche Services, die das Leben von Autofahrern einfacher machen sollen: Nutzer können die gewünschte Route eingeben und erhalten detaillierteste Infos zu den Streckenabschnitten. So lassen sich beispielsweise Live-Bilder von Webcams entlang der eingegebenen Route aufrufen, womit sich Nutzer einen ganz eigenen Eindruck von der Verkehrslage verschaffen können.
Gleichzeitig hat die neue Autobahn-App jedoch schon kurz nach ihrem Launch am 20. Juli mit Kritik hinsichtlich ihrer Datensicherheit zu kämpfen. Im Fokus der Kritik stehen die Möglichkeit auf Live-Webcams frei zuzugreifen, sowie die Speicherung der Routen auf Smartphones mit unsicheren Betriebssystemen. Diese Funktionen eröffnen gravierende Missbrauchsmöglichkeiten, so Hartmut Pohl, Professor für Informationssicherheit in der BR.
Die Kritik
Auf den Webcam-Standbildern kann jeder Nutzer jedes Auto auf der Route unverpixelt und unverschwärzt erkennen. Das KFZ-Kennzeichen und das Bild von der Person selbst sind personenbezogene Daten im Sinne des Art. 4 Nr. 1 der DSGVO. Das Risiko sei hoch, dass nicht nur Bürger, sondern auch Kriminelle die Daten benutzen, so Pohl. „Wenn Sie über die Autobahn fahren, müssen Sie ja damit rechnen, dass Sie spätestens nach sieben Minuten die nächste Kamera erwischen oder die Kamera das Autokennzeichen erfasst.“ Indes lässt sich das Foto in der Autobahn-App nicht vergrößern oder zoomen, sodass man – zumindest in der App selbst – weder KFZ-Kennzeichen noch Personen identifizieren kann. Auch könnte man gegen die Kritik einwenden, dass Aufnahmen von Webcams längst frei im Internet verfügbar und für jeden abrufbar sind.
Außerdem gibt die App Routendaten an Navigationssysteme weiter und speichert dabei die angefragten Routen. Auch das findet Pohl in Sachen Datenschutz und Sicherheit problematisch. Denn die Routenspeicherung ermögliche, ein detailliertes persönliches Bewegungsprofil des Nutzers zu erstellen, was auch die organisierte Kriminalität von unsicheren Smartphone- Betriebssystemen leichthin auslesen könne.
Die Bewertung
Eine Anfrage zum fehlenden Datenschutz und den Sicherheitsbedenken hat das Bundesverkehrsministerium nach Angaben des ZDF bisher nicht beantwortet. Die weitere Entwicklung bleibt also abzuwarten.
21. Juli 2021
Anfang dieser Woche kam es im Rahmen des sogenannten Pegasus Project zu Enthüllungen, die den Missbrauch der Software Pegasus der israelischen Firma NSO betreffen. Das Pegasus Project ist dabei ein Zusammenschluss von Reporterinnen und Reportern aus verschiedensten Ländern. Deren Recherchen begannen, nachdem u.a. Amnesty International eine Liste mit über 50.000 Handynummern aus mehr als 50 Ländern zugespielt wurde. Beteiligt waren an dem Projekt u.a. die ZEIT, die Süddeutsche, The Guardian (GB), Le Monde (FR) und die Washington Post (US).
Bei der Software Pegasus handelt es sich um eine Überwachungssoftware, die eigentlich Verbrechen und Terrorismus gezielt bekämpfen soll. Sie kann unbemerkt auf den Handys der Betroffenen installiert werden. Häufig erhalten Betroffene eine SMS, die z.B. von einem Paketzusteller stammen soll und erhalten in dieser SMS einen Downloadlink. Wird auf diesen geklickt, landet die Software auf dem Handy. Allerdings ist es Pegasus wohl auch möglich, auf das Handy zu gelangen, ohne dass die SMS überhaupt angezeigt und angeklickt werden. Auch über WLAN- oder Mobilfunknetze kann Pegasus auf das Handy gelangen. NSO bietet seinen Kunden verschiedene Möglichkeiten an, die Software auf dem Gerät der Zielperson zu installieren. Dabei werden Software-Schwachstellen von Betriebssystemen, die den Herstellern noch nicht bekannt sind (sogenannte ‚Zero-Day-Exploits‘) ausgenutzt. Ist Pegasus einmal auf dem Handy, hat die Software die komplette Kontrolle. Sie kann Daten kopieren und versenden, verschlüsselte Nachrichten lesen und unbemerkt Kamera oder Mikrofon des Gerätes anschalten. Die kopierten Daten können von Telefonbuch- und Kalendereinträgen, über Fotos bis hin zu dem Browserverlauf und Nachrichten alles umfassen. Auch Anrufe können abgehört werden und Standortdaten weitergegeben. Weiterhin können Sicherheitsupdates des Herstellers von der Software unterdrückt werden.
Nun sollen mit dieser Software diverse Menschenrechtsaktivisten, Journalistinnen und Oppositionelle überwacht worden sein. Auch hochrangige Politiker wie Frankreichs Präsident Macron und Belgiens Premierminister Michel sollen Opfer der Überwachungen geworden sein. Benutzt worden sein soll die Software dabei u.a. von Polizeibehörden und Geheimdiensten in Saudi-Arabien, Mexiko und Ungarn.
Die Firma NSO streitet diese Vowürfe ab, erste Länder haben währendessen schon Ermittlungen aufgenommen.
Ausführlichere Erklärungen zur Funktionsweise der Pegasus Software können diesem Video entnommen werden.
13. April 2021
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt momentan vor dem sogenannten „Smishing“ (Phishing per SMS). Dabei erhalten die Betroffenen eine SMS mit einem Link, den sie anklicken sollen. Aktuell geben sich die Absender der SMS vor allem als Logistikunternehmen aus, die dem Betroffenen ein Paket zustellen möchten. Dazu sei es notwendig, dem Link zu folgen und eine Paketverfolgungsapp herunterzuladen. Beispiele für den Wortlaut der SMS veröffentlichte z.B. das Landeskriminalamt Niedersachsen. Das Klicken auf den Link führt bei Android-Nutzern dazu, dass die Schadsoftware FluBot heruntergeladen wird. Bei Nutzern von iOS findet kein Download statt, stattdessen landen Sie auf einer Phishing-Seite.
Ziel dieser Smishing-Angriffe und dem daraus resultierenden Download von FluBot ist das Ausspähen der Daten der Betroffenen. Bei FluBot handelt es sich laut der Sicherheitssoftware-Firma ESET um einen Banking-Trojaner, der erstmals Ende 2020 auftrat. Wird er installiert, kann er u.a. SMS schreiben und lesen, Anrufe durchführen und die Kontaktliste einsehen. Dabei fängt FluBot SMS mit Einmalpasswörtern ab, die bei der Zwei-Faktor-Authentifizierung benötigt werden und verbreitet sich per SMS an die Kontaktliste des Betroffenen weiter. Sicherheitsexperte Lukas Stefanko von ESET veröffentlichte hierzu ein Twitter-Video, auf dem der Ablauf erkennbar ist.
Das BSI empfiehlt also dringend, solche SMS zu ignorieren und den Absender zu sperren. Eine Installation von Schadsoftware ist nur bei Folgen des Links möglich. Für Betroffene, die den Link bereits angeklickt haben, gibt es ebenfalls Hilfestellung. So sollen sie schnellstmöglich den Flugmodus ihres Gerätes einstellen, ihren Mobilfunkprovider informieren, sowie Strafanzeige erstatten. Hierfür sollte das Smartphone zu Beweiszwecken vorgelegt werden. Auch Kontobewegungen sollten überprüft werden. Danach wird empfohlen, das Gerät auf seine Werkseinstellungen zurück zu setzen.
Für den grundsätzlichen Umgang mit Smishing-Angriffen hat ESET Hinweise veröffentlicht. So wird empfohlen, sein Smartphone-Betriebssystem stets auf dem neusten Stand zu halten, nur Apps aus offiziellen App-Stores zu downloaden und ein Anti-Viren-Programm zu installieren.
Ein Zusammenhang der Smishing-Vorkommnisse mit dem jüngsten Datenschutzleck bei Facebook kann zurzeit nicht nachgewiesen werden.
