Kategorie: Hackerangriffe

Hacker haben Daten zahlreicher deutscher Politiker veröffentlicht

4. Januar 2019

Deutsche Medien (rrb, Süddeutsche Zeitung, Zeit Online u.v.m.) berichten an diesem Morgen von einem großen Hackerangriff auf Daten zahlreicher deutscher Politiker.

Laut der Berichte wurden bereits seit Anfang Dezember letzten Jahres Daten von Bundestagsabgeordneten und Landespolitikern über einen Twitter-Account mit etwa 17.000 Followern veröffentlicht. Auf diesem wurden Kontaktdaten, wie Handynummern und Adressen, parteiinterne Dokumente, Einzugsermächtigungen und Kreditkarteninformationen von Familienmitgliedern, Rechnungen, Briefe und Chats mit Familienangehörigen veröffentlicht.

Betroffen sind Mitglieder aller im Bundestag vertretenen Parteien, mit Ausnahme der AfD. Laut rbb gehört der Account zu einer Hamburger Internet-Plattform.

Mit welchem Ziel die Daten geleakt wurden und aus welchen Quellen die Daten stammen ist bislang nicht bekannt. Ebenso ist unklar, warum der Hackerangriff erst gestern entdeckt wurde.

Der Hackerangriff macht wieder einmal die Relevanz von IT- und Datensicherheit deutlich und zeigt welche Auswirkungen bestehende Sicherheitslücken haben können.

EU-Richtlinie für schärfere Strafen bei Betrug im Rahmen von bargeldlosen Zahlungen

12. Dezember 2018

Am Dienstagabend haben sich Vertreter des Europäischen Parlaments, des Ministerrates sowie der Kommission auf einen Richtlinienentwurf geeinigt, um zukünftig mit einem schärferen Schwert gegen Betrugs- und Fälschungsfälle in Bezug auf den Umgang mit bargeldlosen Zahlungsmitteln wie Kredit- oder EC-Karten vorgehen zu können. Die Richtlinie umfasst dabei erstmalig auch die rechtswidrige Nutzung von virtuellen Währungen, wie z.B. Bitcoins oder die mobile Zahlung über Smartphones. Ziel der Richtlinie ist dabei die europaweite Harmonisierung von Mindeststrafrahmen bei Delikten, die die oben genannten Fälle der rechtswidrigen Datennutzung und Nutzung der Zahlungsmittel erfassen. Das Strafmaß reicht dabei, je nach Schwere des Delikts, von einem Jahr bis zu fünf Jahren Freiheitsstrafe.

Die Richtlinie erfasst zudem die Fälle, in denen Zahlungsdaten z.B. durch die Nutzung von Phishing-Mails, Skimming an Geldautomaten oder Terminals rechtswidrig erhoben und in der Folge rechtswidrig genutzt werden. Schätzungsweise werden mit solchen Betrugsfällen jährlich mindestens 1,8 Milliarden Euro rechtswidrig erwirtschaftet.

Die Richtlinie muss nun durch das Parlamantsplenum und dem Rat angenommen werden. Nach dem Inkrafttreten der Richtlinie werden die Mitgliedstaaten 2 Jahre Zeit haben, die Vorschriften in nationales Recht umzusetzen.

Emotet- Die gefährliche Schadsoftware

7. Dezember 2018

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den letzten Tagen häufig Meldungen von IT-Sicherheitsvorfällen erhalten, die im Zusammenhang mit der Schadsoftware Emotet stehen. Betroffene leiden unter Ausfällen der kompletten IT-Sicherheitsstruktur, die die Geschäftsprozesse erheblich einschränken und Schäden in Millionenhöhe nach sich ziehen.

Das BSI hat aus aktuellem Anlass neue umfassende Sicherheitsmaßnahmen empfohlen. Angepasst an die Zielgruppen Unternehmen und Privatanwender sind diese auf den Webseiten des BSI abrufbar unter https://www.allianz-fuer-cybersicherheit.de/ACS/emotet und https://www.bsi-fuer-buerger.de/BSIFB/emotet.

Mithilfe des sogenannten „Outlook-Harvesting“ ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Die Schadsoftware liest Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Weiterhin verfügt Emotet über die Möglichkeit weitere Schadsoftware bei bereits infizierten Systemen nachzuladen. Dadurch haben Angreifer Zugriff auf Zugangsdaten und erhalten einen vollständigen Remotezugriff auf das System.

Insbesondere der Banking-Trojaner „Trickbot“ wurde zuletzt nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann.

Frage-Portal Quora gehackt – Daten von 100 Millionen Nutzer kopiert

4. Dezember 2018

Derzeit warnen die Betreiber des Frage-Portals Quora rund 100 Millionen Nutzer per E-Mail, dass unbekannte Angreifer die Website erfolgreich gehackt haben. Dadurch haben sie nun Zugriff auf verschiedene Nutzerdaten. Quora hat den Vorfall am Freitag entdeckt. Die Eindringlinge konnten unter anderem Kontodaten (z. B. Name, E-Mail-Adresse, verschlüsseltes Passwort, aus verknüpften Netzwerken importierte Daten (sofern der Nutzer dies genehmigt hatte), Öffentliche Inhalte und Aktionen (z. B. Fragen, Antworten, Kommentare, positive Bewertungen), Nicht-öffentliche Inhalte und Aktionen (z. B. Fragen, Antwortanfragen, negative Bewertungen, Direktnachrichten) kopieren. Betroffen sind jedoch keine Kreditkartendaten und anonym verfasste Beiträge. Die Passwörter sollen nach Angaben der Website-Betreiber geschützt auf den Servern vorliegen.

Den Auskunftsdienst gibt es seit 2006. Dort kann man Fragen aller Art stellen, die von der Community beantwortet werden.

Quora hat die Strafverfolgungsbehörden in Kenntnis gesetzt und zusätzlich eine führende digitale Forensik- und Sicherheitsfirma eingeschaltet, die sie bei den Ermittlungen und den nächsten Schritten unterstützt.

 

Hacker erbeuten bis zu 500 Millionen Daten

Angriffe von Hackern auf IT-Systeme dienen oftmals der Erlangung personenbezogener Daten. Von besonderem Interesse und Wert sind dabei vor allem auch Kreditkarteninformationen. Nun wurde bekannt, dass der Marriott-Konzern, eine der weltweit größten Hotelketten, Opfer groß angelegter Cyberattacken wurde. Das Unternehmen gab bekannt, dass persönliche Daten von möglicherweise bis zu 500 Millionen Gästen gestohlen wurden. Im Mittelpunkt der Cyberattacken stand dabei die Tochtermarke Starwood, die von Marriott im Jahr 2016 für rund 13,6 Milliarden Dollar gekauft wurde. Zu  Starwood gehören unter anderem die Hotels Westin, St. Regis, Le Méridien und W Hotels. Nun wurde bekannt, dass die von den Starwood Hotels eingesetzte Datenbank zum Management von Gästereservierungen seit 2014 regelmäßig von Hackerangriffen betroffen war. Bei diesen Attacken wurden unter anderem Namen, Geburtsdaten, Passinformationen, E-Mail – Adressen und die Aufenthaltszeiträume von Hotelgästen entwendet. Darüber hinaus konnten die Hacker wohl auch von einigen Hotelgästen die in der Datenbank hinterlegten Kreditkarteninformationen, samt den zur Entschlüsselung notwendigen Daten, erlangen. Nachdem die Angriffe dem Marriott-Konzern intern bekannt wurden, wurden die zuständigen Ermittlungsbehörden eingeschaltet. Weiterhin kündigte Marriott an, dass die von der Cyberattacke betroffenen Hotelgäste zeitnah per Mail hierüber informiert werden würden und das die IT-Systeme der Tochtermarke Starwood ausgemustert werden sollen. Das Bekanntwerden dieser Datenpanne führte dazu, dass der Kurs der Marriott-Aktie kurzfristig um bis zu 6 Prozent nachgab.

IT-Sicherheit und Datenschutz in Kliniken: Mängel bereiten zunehmend Probleme

8. November 2018

Die Digitalisierung im Gesundheitswesen bringt einige Vorteile mit sich, so werden beispielsweise Möglichkeiten geschaffen, die Versorgung zu verbessern und die Arbeit effizienter zu gestalten. Dies stellte die Personalberatung Rochus Mummert Healthcare Consulting in einem neuen Gutachten heraus, in dem 360 Führungskräfte in deutschen Krankenhäusern und Pflegeeinrichtungen befragt wurden. Unter den Studienteilnehmern sind rund die Hälfte in öffentlich-rechtlichen Krankenhäusern beschäftigt, 20 Prozent in privatwirtschaftlichen und konfessionellen Krankenhäusern sowie circa 10 Prozent in freigemeinnützigen oder sonstigen Einrichtungen.

Rund 71 Prozent der Studienteilnehmer sind der Ansicht, dass die Digitalisierung in Kliniken und anderen Pflegeeinrichtungen die Versorgung der Patienten verbessern kann. Darüber hinaus sehen 64 Prozent die Möglichkeit zur Kosteneinsparung, insbesondere deshalb, weil die Digitalisierung dazu beitragen kann, unnötige Untersuchungen und Behandlungen zu vermeiden.

Jedoch stehen diesen positiven Auswirkungen der Digitalisierung auch erhöhte Risiken entgegen. So berichten 43 Prozent der Befragten, dass sie bereits Ziel eines Hackerangriffs geworden sind. Fast ein Drittel (31 Prozent) kann nicht ausschließen, schon einmal unbemerkt Opfer eines Cyber-Kriminellen geworden zu sein.

Bei den Daten in Klinken und Pflegeeinrichtungen handelt es sich überwiegend um sensible personenbezogene Daten, die besonders schutzbedürftig sind. Bei der zunehmenden Digitalisierung, die zwar erhebliche Vorteile mit sich bringt, dürfen Risiken, insbesondere die datenschutzrechtlichen Risiken, nicht außer Acht bleiben.

Um diesen Risiken entgegenzuwirken, muss mehr in die IT-Sicherheit und den Datenschutz investiert werden, beispielsweise durch umfassende IT-Sicherheitsprüfungen, Schulungen und weitere Schutzmaßnahmen, die einen Zugriff von außen durch unberechtigte Dritte verhindern.

Gefährdung von Milliarden WhatsApp-Nutzern durch kritische Sicherheitslücke

10. Oktober 2018

Ein Team von Elite-Hackern (Googles Project Zero) hat eine Sicherheitslücke in WhatsApp entdeckt, welche es ermöglicht, ein Smartphone mit einem einzigen Video-Call zu kapern.

Der Fehler findet sich in der Speicherverwaltung des Video-Conferencings. Durch ein speziell präpariertes RTP-Paket kann die Speicherung derart durcheinander gebracht werden, dass der Absender einen eigenen Code einschleusen und damit das Smartphone kapern kann.

Das fällige Update, welches diese Sicherheitslücke aufheben soll, gibt es für die iOS-Version erst seit einer Woche. Das Android-Update gibt es bereits seit dem 28.September 2018. Damit böswillige Hacker keine Spionage-Software auf dem Gerät installieren können, sollten alle WhatsApp-Nutzer jetzt überprüfen, ob sie die jeweils aktuelle Version installiert haben und die aus den offiziellen Quellen verfügbaren Updates installieren. Für das iPhone ist dies aktuell WhatsApp 2.18.93 und bei der Android-Version 2.18.302 (beziehungsweise 2.18.306 im Google PlayStore).

Rekordbußgeld für Uber

28. September 2018

Wegen einer zunächst verschwiegenen Datenpanne aus dem Jahr 2016 muss der US-Fahrdienstvermittler Uber ein Bußgeld in Höhe von 126 Millionen Euro zahlen, wie die Generalstaatsanwälting Barbara Underwood mit einem Statement verkündete.

Am 21.11.2017 gab Uber bekannt, dass es im Jahr 2016 zu einem Hackerangriff kam, bei dem sowohl ca. 50 Millionen Kundendaten als auch sieben Millionen Daten von Uber-Fahrer von den Hackern erbeutet wurden. Das Unternehmen zahlte den Hackern damals ein Erpressungsgeld anstatt eine Meldung der Panne vorzunehmen (wir berichteten).

Jetzt kam es zu einer vergleichsweisen Einigung zwischen Uber und den zuständigen US-Behörden. Bestandteil des Vergleichs ist, das mit 148 Millionen Dollar (126 Millionen Euro), höchste Bußgeld, das jemals verhängt wurde, welches von weiteren Pflichten zur Verbesserung der Datensicherheit flankiert wird.

 

Firefox verbessert Datenschutz

4. September 2018

Ab sofort kann man eine neue Browser-Version von Firefox herunterladen – Firefox 62. Diese Version verbessert den Datenschutz und stellt mehr Tab-Einstellungen zur Verfügung.

Firefox verfügt zwar schon länger über einen eingebauten Tracking-Schutz. Dieser war jedoch bisher nur im Privatmodus voreingeschaltet. Jeder, der normal im Internet surft, muss diesen sogenannten „Schutz vor Aktivitätenverfolgung“ selbst einschalten. Diese Einstellungen sind zwar nicht schwer, erfordern aber einen Besuch in den Firefox-Einstellungen. Bei Firefox 62 kann man über das zentrale Firefox-Menü und einen simplen Schalter diese Einstellungen vornehmen. Damit ist das Aktivieren dieser Funktion nicht nur schneller und einfacher möglich, sondern viele Nutzer werden zudem daran erinnert, dass es diesen Schutz überhaupt gibt.

Auch Cookies und andere Websitendaten, die gespeichert werden, können schon länger gelöscht werden. Durch Firefox 62 ist es jetzt möglich, in der Adressleiste alle Informationen zur aktuellen Seiten einzusehen. Dort kann man Informationen zur Sicherheit der Verbindung finden, ob der Schutz zur Aktivitätenverfolgung ein- oder ausgeschaltet ist und kann Berechtigungen einsehen. Darüber hinaus wurde ein Löschknopf eingebaut, der Cookie- und Websitedaten sofort löscht.

In den Tab-Einstellungen können die Nutzer von Firefox 62 jetzt festlegen, welche Details in den neuen Tabs zu sehen sein sollen. Es ist möglich, bis zu vier Zeilen in den einzelnen Rubriken einzublenden (z.B. „wichtige Seiten“ oder „Pocket-Empfehlungen“). Am schnellsten erreicht man diese Einstellungen wie gehabt über ein neu geöffnetes Tab und einen Klick oben rechts auf das Zahnradsysmbol.

Mehr Sicherheit bei Instagram durch verbesserte 2-Faktor-Authentifizierung und Konto-Verifikation

29. August 2018

Instagram wird zukünftig seine 2-Faktor-Authentifizierung ausbauen, um den Verifikationsprozes für die Mitglieder zu vereinfachen.

Zum jetzigen Zeitpunkt ist als zweiter Faktor nur die Authentifizierung via SMS möglich. Diese Methode wird jedoch als unsicher bewertet, da es potentiellen Angreifern möglich wäre, die Telefonnummern-Mitnahme zu missbrauchen, um eine Nummer einer anderen SIM-Karte zuzuschreiben. In den kommenden Wochen soll daher die App „Google Authenticator“ zu mehr Sicherheit beitragen: Diese wird einen Code produzieren, mithilfe dessen Eingabe erst die Anmeldung ermöglicht wird. Im Unterschied zu der SMS-Authentifizierung kann der Code in diesem Fall nicht auf anderen Geräten erzeugt werden.

Darüber hinaus soll in Zukunft die Überprüfung der Echtheit von Profilen für die Nutzer erleichtert werden: Ein weißes Häkchen auf blauem Grund wird die Echtheit eines Profils bestätigen und somit die Account-Verifikation erweitern. Für die Nutzer bedeutet das konkret, dass sie eine Verifikation selbst über einen entsprechenden Button anfordern und mithilfe ihres Personalausweisfotos sodann ihre Identität bestätigen können.

Auch wenn bei Instagram in datenschutzrechtlicher Hinsicht noch viel Optimierungspotential besteht, so sind diese beiden Modifizierungen gleichwohl als Schritt in die richtige Richtung zu werten.

1 2 3 4 14