Kategorie: Schadsoftware

BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten

8. April 2022

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Verbraucherinnen und Verbraucher, Unternehmen und Behörden vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky. Demnach könne die Softwarefirma Cyber-Angriffe ausführen.

Nach Angaben des BSI könnte Kaspersky selbst offensive Operationen durchführen, oder aber auch gezwungen werden, Zielsysteme anzugreifen. Es sei auch nicht auszuschließen, dass ein russisches Unternehmen selbst ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werde.

„Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden“, erklärte das BSI.

Des Weiteren seien Unternehmen und Behörden mit besonderen Sicherheitsinteressen und Betreiber kritischer Infrastrukturen in besonderem Maße gefährdet. Betroffene Unternehmen und andere Organisationen sollten nach den Empfehlungen des BSI den Austausch wesentlicher Bestandteile ihrer IT-Sicherheitsinfrastruktur sorgfältig planen und umsetzen. Es wird empfohlen, eine individuelle Bewertung und Abwägung der aktuellen Situation vorzunehmen und dazu gegebenenfalls vom BSI zertifizierte IT-Sicherheitsdienstleister hinzuzuziehen.

Weitere Informationen für Verbraucherinnen und Verbraucher, Unternehmen und Behörden veröffentlichte das BSI in einer eigens dafür angelegten Rubrik (FAQ).

Kaspersky wies die Darstellung zunächst zurück und ging rechtlich gegen die Entscheidung vor. Nachdem das Verwaltungsgericht Köln Anfang April den Antrag zurückgewiesen hatte, reichte die Kaspersky Labs GmbH Beschwerde beim nordrhein-westfälischen Oberverwaltungsgericht (OVG) ein.

Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft ‚Warnstufe Rot‘ für Software-Modul Log4j aus

14. Dezember 2021

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rief am 11.12.2021 die ‚Warnstufe Rot‘ für das Java-Software-Modul Log4j aus. Dort wurde eine Sicherheitslücke entdeckt, die den Namen „Log4Shell“ trägt.

Das Software-Modul Log4j ist auf vielen Computern in der Java-Software zu finden. Es handelt sich um eine Protokollierungs-Bibliothek, sie protokolliert Ereignisse im Serverbetrieb. Dies dient beispielsweise einer Fehlersuche.

Die Sicherheitslücke hat zur Folge, dass es Angreifern möglich wird, ihren Softwarecode auf fremde Server zu spielen. Dies kann bereits durch das Eingeben spezieller Befehle in einen Chat mit dem Opfer möglich sein. Sodann können die Angreifer auf deren Servern Schadsoftware installieren und sogar das gesamte System übernehmen. So erhält der Angreifer Kontrolle über das System des Opfers und damit auch Zugriff auf die dort gespeicherten Daten. Besonders gefährdet sind laut BSI momentan Betreiber von Servern und Rechenzentren, aber auch Privatleute können dieses Software-Modul auf ihren Computern haben. Global könnten eventuell mehrere Milliarden Computer betroffen sein.

Welche Systeme und Produkte genau betroffen sind, ist zum jetzigen Zeitpunkt noch unklar. Momentan werden Massenscans durchgeführt, um angreifbare Systeme und bereits erfolgte Angriffe aufzuspüren. Aktuell wird davon ausgegangen, dass die Sicherheitslücke die Log4j- Versionen von 2.0 bis 2.14.1. betrifft.

Das BSI veröffentlicht auf seiner Homepage regelmäßig Updates zu der Entwicklung der Sicherheitslücke bei Log4j sowie Handlungsempfehlungen und Antworten auf die geläufigsten Fragen. Betroffene, die mithilfe dieser Sicherheitslücke angegriffen wurden, sind angehalten sich beim BSI zu melden. Teilweise bieten System-Hersteller erste Updates auf die aktuelle Version 2.15.0 von Log4j an, diese sollten umgehend installiert werden.

Überwachungssoftware Pegasus wohl missbräuchlich verwendet

21. Juli 2021

Anfang dieser Woche kam es im Rahmen des sogenannten Pegasus Project zu Enthüllungen, die den Missbrauch der Software Pegasus der israelischen Firma NSO betreffen. Das Pegasus Project ist dabei ein Zusammenschluss von Reporterinnen und Reportern aus verschiedensten Ländern. Deren Recherchen begannen, nachdem u.a. Amnesty International eine Liste mit über 50.000 Handynummern aus mehr als 50 Ländern zugespielt wurde. Beteiligt waren an dem Projekt u.a. die ZEIT, die Süddeutsche, The Guardian (GB), Le Monde (FR) und die Washington Post (US).

Bei der Software Pegasus handelt es sich um eine Überwachungssoftware, die eigentlich Verbrechen und Terrorismus gezielt bekämpfen soll. Sie kann unbemerkt auf den Handys der Betroffenen installiert werden. Häufig erhalten Betroffene eine SMS, die z.B. von einem Paketzusteller stammen soll und erhalten in dieser SMS einen Downloadlink. Wird auf diesen geklickt, landet die Software auf dem Handy. Allerdings ist es Pegasus wohl auch möglich, auf das Handy zu gelangen, ohne dass die SMS überhaupt angezeigt und angeklickt werden. Auch über WLAN- oder Mobilfunknetze kann Pegasus auf das Handy gelangen. NSO bietet seinen Kunden verschiedene Möglichkeiten an, die Software auf dem Gerät der Zielperson zu installieren. Dabei werden Software-Schwachstellen von Betriebssystemen, die den Herstellern noch nicht bekannt sind (sogenannte ‚Zero-Day-Exploits‘) ausgenutzt. Ist Pegasus einmal auf dem Handy, hat die Software die komplette Kontrolle. Sie kann Daten kopieren und versenden, verschlüsselte Nachrichten lesen und unbemerkt Kamera oder Mikrofon des Gerätes anschalten. Die kopierten Daten können von Telefonbuch- und Kalendereinträgen, über Fotos bis hin zu dem Browserverlauf und Nachrichten alles umfassen. Auch Anrufe können abgehört werden und Standortdaten weitergegeben. Weiterhin können Sicherheitsupdates des Herstellers von der Software unterdrückt werden.

Nun sollen mit dieser Software diverse Menschenrechtsaktivisten, Journalistinnen und Oppositionelle überwacht worden sein. Auch hochrangige Politiker wie Frankreichs Präsident Macron und Belgiens Premierminister Michel sollen Opfer der Überwachungen geworden sein. Benutzt worden sein soll die Software dabei u.a. von Polizeibehörden und Geheimdiensten in Saudi-Arabien, Mexiko und Ungarn.

Die Firma NSO streitet diese Vowürfe ab, erste Länder haben währendessen schon Ermittlungen aufgenommen.

Ausführlichere Erklärungen zur Funktionsweise der Pegasus Software können diesem Video entnommen werden.

Bundesamt für Sicherheit in der Informationstechnik warnt vor SMS-Phishing

13. April 2021

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt momentan vor dem sogenannten „Smishing“ (Phishing per SMS). Dabei erhalten die Betroffenen eine SMS mit einem Link, den sie anklicken sollen. Aktuell geben sich die Absender der SMS vor allem als Logistikunternehmen aus, die dem Betroffenen ein Paket zustellen möchten. Dazu sei es notwendig, dem Link zu folgen und eine Paketverfolgungsapp herunterzuladen. Beispiele für den Wortlaut der SMS veröffentlichte z.B. das Landeskriminalamt Niedersachsen. Das Klicken auf den Link führt bei Android-Nutzern dazu, dass die Schadsoftware FluBot heruntergeladen wird. Bei Nutzern von iOS findet kein Download statt, stattdessen landen Sie auf einer Phishing-Seite.

Ziel dieser Smishing-Angriffe und dem daraus resultierenden Download von FluBot ist das Ausspähen der Daten der Betroffenen. Bei FluBot handelt es sich laut der Sicherheitssoftware-Firma ESET um einen Banking-Trojaner, der erstmals Ende 2020 auftrat. Wird er installiert, kann er u.a. SMS schreiben und lesen, Anrufe durchführen und die Kontaktliste einsehen. Dabei fängt FluBot SMS mit Einmalpasswörtern ab, die bei der Zwei-Faktor-Authentifizierung benötigt werden und verbreitet sich per SMS an die Kontaktliste des Betroffenen weiter. Sicherheitsexperte Lukas Stefanko von ESET veröffentlichte hierzu ein Twitter-Video, auf dem der Ablauf erkennbar ist.

Das BSI empfiehlt also dringend, solche SMS zu ignorieren und den Absender zu sperren. Eine Installation von Schadsoftware ist nur bei Folgen des Links möglich. Für Betroffene, die den Link bereits angeklickt haben, gibt es ebenfalls Hilfestellung. So sollen sie schnellstmöglich den Flugmodus ihres Gerätes einstellen, ihren Mobilfunkprovider informieren, sowie Strafanzeige erstatten. Hierfür sollte das Smartphone zu Beweiszwecken vorgelegt werden. Auch Kontobewegungen sollten überprüft werden. Danach wird empfohlen, das Gerät auf seine Werkseinstellungen zurück zu setzen.

Für den grundsätzlichen Umgang mit Smishing-Angriffen hat ESET Hinweise veröffentlicht. So wird empfohlen, sein Smartphone-Betriebssystem stets auf dem neusten Stand zu halten, nur Apps aus offiziellen App-Stores zu downloaden und ein Anti-Viren-Programm zu installieren.

Ein Zusammenhang der Smishing-Vorkommnisse mit dem jüngsten Datenschutzleck bei Facebook kann zurzeit nicht nachgewiesen werden.

UPDATE: Kritische Schwachstellen in Microsoft Exchange Servern

18. März 2021

Durch die Ausnutzung von Sicherheitslücken erlangten Hacker Zugriff auf die Microsoft Exchange Server (wir berichteten). Die Lücken wurden inzwischen durch ein Windows-Update behoben.

Inzwischen äußerten sich auch weitere Datenschutzaufsichtsbehörden zu dem Vorfall. Einigkeit besteht hinsichtlich der Rechtsfolgen zumindest dann, wenn ein Data Breach in Form eines eindeutigen und nachweisbaren Zugriffs auf personenbezogene Daten stattgefunden hat. In diesem Fall ist die Meldung einer Datenpanne unerlässlich. Bei den Details unterscheiden sich die Meldungen jedoch.

Hier ein landespezifischer Überblick:

Auch Microsoft informiert über die technisch notwendigen Schritte. Darüber hinaus können sich Betroffene mit dem erst kürzlich veröffentlichten Microsoft On-premises Mitigation Tool (EOMT) wohlmöglich noch weiter absichern. Das Tool ersetzt die Sicherheitspatches allerdings nicht. Es kann auf der Github-Website von Microsoft heruntergeladen werden. Sind die Server abgesichert, lädt das Tool den Microsoft Security Scanner herunter. Dieser untersucht dann die Server auf schädliche Elemente.

Experten warnen vor einer erhöhten Gefahr von Cyberattacken in der Corona- Krise

26. März 2020

Laut IT-Sicherheitsexperten machen sich Kriminelle die momentanen Sorgen und Ängste von Nutzern, hinsichtlich des Coronavirus, zu Nutze.

Demnach würden Kriminelle unter anderem gefälschte E-Mails zu Coronavirus-Themen im Namen der Weltgesundheitsorganisation WHO oder im Namen von Hotelketten, Fluggesellschaften und Fitnessstudios verschicken. Ziel sei es, an die Passwörter der Nutzer zu gelangen.                 Mit Anklicken der in den E-Mails enthaltenen Links werde der Nutzer auf eine Pishing-Seite weitergeleitet oder es lade sich eine Schadsoftware im Hintergrund.

Aber auch das von vielen Arbeitgebern im Zuge der Corona-Krise angesetzte Homeoffice berge laut den Experten große Risiken. Da viele Arbeitscomputer nun dauerhaft außerhalb der Firmennetzwerke liefen, seien diese auch nicht mehr so gut geschützt. Die Experten empfehlen daher Arbeitgebern, die Ihren Mitarbeitern einen Fernzugriff auf das Firmennetzwerk ermöglichen, den Zugang mit einer Zwei-Faktor-Authentifizierung abzusichern – lesen Sie in diesem Zusammenhang auch gerne unseren Beitrag aus der Themenreihe.

Vor allem aber bestehe für öffentliche Gesundheitseinrichtungen ein hohes Risiko, Opfer von Cyberangriffen zu werden. Insbesondere Krankenhäuser seien ein beliebtes Ziel für Attacken mit sogenannten Erpresserprogrammen, die die IT-Systeme verschlüsseln und anschließend ein Lösegeld fordern. Für einige Kriminelle sei gerade die Corona-Krise ein großer Anreiz um Krankenhäuser anzugreifen.

Nach Hacker-Angriff: Uni Gießen nimmt Normalbetrieb wieder auf

7. Januar 2020

Nachdem Anfang Dezember 2019 bei der Justus-Liebig-Universität Gießen (JLU) ein Hackerangriff auf die IT-Infrastruktur entdeckt wurde und seitdem alle Server abgeschaltet worden waren, nimmt die Universität nun wieder ihren Normalbetrieb auf. Bei dem Angriff handelte es sich vermutlich um die Malware Emotet. Die Lehrplattform Stud.IP, die Homepage, das Prüfungsverwaltungssystem sowie die digitalen Systeme der Universitätsbibliothek gingen oder sollen in Kürze wieder online gehen.

Im Rahmen der Wiederherstellungsarbeiten wurden bereits rund 60 Prozent der Studierenden-Passwörter neu vergeben – insgesamt wurden 38.000 Passwörter zurückgesetzt. Der Zugriff auf interne Windowslaufwerke soll im Februar erfolgen.

Durch das frühzeitige Herunterfahren aller Universitätsserver konnte ein Verlust aller wissenschaftlichen Daten und die Datenbestände verhindert werden, versichert ein Sprecher der Hochschule.

Thomas Cook warnt vor Gefahr für sensible Daten

30. September 2019

Im Rahmen des Insolvenzverfahrens des Reiseveranstaltungsunternehmens Thomas Cook versuchen scheinbar unbekannte Personen sensible (personenbezognene) Daten abzugreifen. Dies geschieht ausweislich der Pressemitteilung des Unternehmens mittels „Phishing Mails“. So würden Verbraucher via Email eine als offizielle Benachrichtigung von Thomas Cook deklarierte Erklärung mit dem Betreff: „Wichtig: Erstattung Ihrer Thomas Cook-Reise.“ erhalten. Dies würde mit dem Zweck geschehen, sensible Daten, wie beispielsweise Pass- und Kreditkartendaten, unberechtigterweise für einen künftigen Missbrauch abzufragen.
Thomas Cook selbst habe zu keiner Zeit Emails dieser Art an Kunden verschickt. Das Unternehmen empfiehlt diese Mails zu ignorieren und zu löschen.

Kategorien: Allgemein · Online-Datenschutz · Schadsoftware
Schlagwörter:

Ausspioniert durch Tablets und Smartphones: Vor diesen Modellen warnt die Sicherheitsbehörde

27. Februar 2019

Das Bundesamtes für Sicherheit in der Informationstechnik (BSI) warnt vor Schadsoftware auf neu gekauften Geräten.

Fachleute des BSI hatten über den Internethändler Amazon drei Billiggeräte bestellt. Getestet wurden das Tablet Eagle 804 von Krüger&Matz, das Smartphone S8 Pro von Ulefone und das Smartphone A10 von Blackview.

Dabei konnte nachgewiesen werden, dass das Tablet Eagle 804 im Auslieferungszustand über eine vorinstallierte Schadsoftware mit einem bekannten Command&Control-Server Kontakt aufnimmt.

Das Bundesamt spricht von der Möglichkeit, dass aufgrund der Schadsoftware Banking-Trojaner auf den jeweiligen Geräten Kontodaten ausspionieren können.

Eine manuelle Entfernung der Schadsoftware sei aufgrund der Verankerung im internen Bereich der Firmware nicht möglich.

Nicht nachgewiesen wurde die Schadsoftware bei den Smartphones Ulefone S8 Pro und Blackview A10 in ihrem aktuellen Auslieferungszustand. Allerdings ist die Schadsoftware in früheren Firmware-Versionen enthalten, also im Softwaregerüst des Geräts.

Die Hersteller boten diese auf ihren Webseiten als einzige Variante zum Download an. Es ist daher davon auszugehen, dass mit diesen Firmwareversionen ausgelieferte Geräte ebenfalls betroffen sind. Nach Angaben des BSI liegen Daten vor, die zeigen, dass über 20.000 Verbindungen unterschiedlicher deutscher IP-Adressen am Tag mit dem Server kommunizieren würden.

Die Hersteller der Geräte wurden über die Erkenntnisse vom BSI informiert.

Reagiert hat darauf der Hersteller Blackview , der am 27.02.2019 ein Firmware-Update für das Smartphone A10 bereitstellte. Das BSI hat das angebotene Update überprüft und seine Unbedenklichkeit bezüglich der Schadsoftware bestätigen können.

Amazon hat gegenüber dem BSI angegeben, die drei genannten Geräte nach der Kontaktaufnahme durch das BSI gegenwärtig aus dem Sortiment genommen zu haben.

Emotet- Die gefährliche Schadsoftware

7. Dezember 2018

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den letzten Tagen häufig Meldungen von IT-Sicherheitsvorfällen erhalten, die im Zusammenhang mit der Schadsoftware Emotet stehen. Betroffene leiden unter Ausfällen der kompletten IT-Sicherheitsstruktur, die die Geschäftsprozesse erheblich einschränken und Schäden in Millionenhöhe nach sich ziehen.

Das BSI hat aus aktuellem Anlass neue umfassende Sicherheitsmaßnahmen empfohlen. Angepasst an die Zielgruppen Unternehmen und Privatanwender sind diese auf den Webseiten des BSI abrufbar unter https://www.allianz-fuer-cybersicherheit.de/ACS/emotet und https://www.bsi-fuer-buerger.de/BSIFB/emotet.

Mithilfe des sogenannten „Outlook-Harvesting“ ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Die Schadsoftware liest Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Weiterhin verfügt Emotet über die Möglichkeit weitere Schadsoftware bei bereits infizierten Systemen nachzuladen. Dadurch haben Angreifer Zugriff auf Zugangsdaten und erhalten einen vollständigen Remotezugriff auf das System.

Insbesondere der Banking-Trojaner „Trickbot“ wurde zuletzt nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann.

1 2 3 4