Schlagwort: Datensicherheit

LDI NRW: Landes- und Kommunalbehörden müssen Datensicherheit überprüfen!

9. September 2013

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) empfiehlt allen Behörden des Landes und den Kommunen in NRW, zu überprüfen, ob die Konzepte für die Datensicherheit den Gefährdungsszenarien standhalten, die aktuell vorstellbar sind. Die aktuellen Berichte über die Tätigkeit ausländischer Geheimdienste – insb. der USA und Großbritanniens – würden Anlass zur Sorge geben. Besonders wenn öffentliche Stellen private Unternehmen (z.B. Cloud-Dienstleister) beauftragen, die im Fokus ausländischer Geheimdienste stehen, sollten sie dringend prüfen, ob dies noch den rechtlichen Anforderungen entspricht.

„Spätestens jetzt sollten alle Warnsignale leuchten: Datenschutz und Datensicherheit müssen dringend überprüft werden. Dies gilt ebenso für Unternehmen“, so Ulrich Lepper.

Kategorien: Allgemein
Schlagwörter: , , ,

Ministerpräsident Bouffier verliert sein Smartphone im Flugzeug

28. September 2012

Nach Medienangaben hat der hessische Ministerpräsident Volker Bouffier (CDU) auf der Rückreise von Berlin nach Frankfurt sein iPhone 4S in einem Flugzeug der Lufthansa verloren. Das Smartphone sei zwar zunächst von der Bodencrew unter einem Sitz entdeckt worden, nach der Übergabe an einen Flugbegleiter der Airline habe sich jedoch jede Spur verloren. Das Brisante an diesem Vorfall ist nicht der Verlust des Gerätes an sich, sondern der Verlust und die potentielle Zugriffsmöglichkeit Unbefugter auf die auf dem Smartphone abgelegten Daten. Die Daten umfassen neben Kurzmitteilungen und E-Mails insbesondere auch zahlreiche persönliche Kontaktdaten. Regierungssprecher Michael Bußer bestätigte, dass auf dem Smartphone Daten gespeichert waren, die “[…] ein Ministerpräsident so auf seinem Handy hat“. Die Daten seien jedoch bereits gesperrt worden.

Kategorien: Allgemein
Schlagwörter: , ,

Sicherheitslücke im Messenger-Dienst WhatsApp

17. September 2012

Der Online-Dienst heise security berichtet, dass WhatsApp weitaus unsicherer ist, als man zunächst vermutet hat. WhatsApp ist ein Kurznachrichtendienst, der über die Datenverbindung des Handys funktioniert und so kostenlose Kurznachrichten an andere WhatsApp-Nutzer ermöglicht.

Heise security ist es gelungen, nur mithilfe frei zugänglicher Tools einen anderen WhatsApp-Account zu übernehmen. Die Gefahr einer Übernahme bestehe immer, wenn WhatsApp in einem öffentlichen WLAN genutzt werde. Sei der Account einmal geknackt, könne er später nicht mehr abgesichert werden, so das Fazit.

Erst vergangene Woche war bekannt geworden, dass WhatsApp für die Authentifizierung des Kontos ein selbsterstelltes Passwort nutzt. Auf der Plattform Android wird zu diesem Zweck die Seriennummer (IMEI) zu einem MD5-Hash generiert, unter iOS bezieht sich der Hash auf die MAC-Adresse. Zur Nacherzeugung des Passworts müssen nur die Ausgangswerte des Hashs bekannt sein, also IMEI-Nummer oder MAC-Adresse. Die MAC-Adresse wird im WLAN mitgesendet, sodass ein Angreifer nur noch die Rufnummer herausfinden müsste, um den Account zu kapern.

Angesichts der gravierenden Sicherheitslücken ist bei der Nutzung von WhatsApp Vorsicht geboten.

Massenhafter Angriff auf Firmen der Videospielebranche

15. Juni 2011

Die Hackergruppierung Lulzsec, welche sich für die erfolgreichen Angriff auf Sony verantwortlich zeichnet, hat innerhalb der letzten Woche weitere bedeutende Firmen der Videospielebranche erfolgreich angegriffen.

Besonders schlimm getroffen hat es Codemasters. Dort besteht die Möglichkeit, dass Mitgliedsnamen, Benutzernamen, Bildschirmnamen, E-Mail-Adressen, Geburtsdaten, verschlüsselte Kennwörter, Newsletter-Voreinstellungen, Benutzerbiographien, IP-Adressen und Xbox Live-Gamertags ausgelesen wurden. Codemasters entschied sich daher die Website codemasters.com offline zu nehmen und auf die Facebook-Präsenz umzuleiten.

Zu den weiteren Betroffenen zählen Bethesda (Zugriff auf Nutzernamen, E-Mail Adressen, Passwörter) und Epic Games (Zugriff auf E-Mail Adressen, Passwörter).

Bei Nintendo hingegen wurden keine sensiblen Daten entwendet, sondern nur Zugriff auf eine Konfigurationsdatei erlangt, da Nintendo die zum Angriff verwendete Lücke bereits geschlossen hat.

Neben Firmen der Videospielebranche wurden mittlerweile jedoch auch andere Ziele angegriffen. Prominentestes Beispiel dürfte dabei die Sicherheits-Organisation InfraGard sein, welche eine Verbindung zwischen dem FBI und US-Privatunternehmen herstellt, um die USA durch die Verzahnung von Regierungsbehörden und Privatfirmen vor groß angelegten Cyber-Angriffen zu schützen.

Einen besonderen „Spaß“ erlaubte sich die Gruppe, die sich auch bei Twitter ihrer Taten berühmt, beim Hack einer Website für Erwachsenenunterhaltung. In diesem Fall wurden die Nutzerdaten nach Entwendung veröffentlicht. Diese Veröffentlichung wurde mit der Empfehlung verbunden, die Passwörter bei Facebook zu testen und den Bekanntenkreis der Betroffenen über deren Treiben zu informieren.

Dieses kriminelle Treiben macht einmal mehr deutlich, dass Nutzer für jeden Dienst ein anderes Passwort verwenden sollten. Auch der Online-Datenschutz bei Firmen und Behörden muss bereits damit beginnen, dass die Angestellten für den Firmenzuganng nicht dieselben Passwörter verwenden wie für andere Dienste. So wurden in der oben angesprochenen Liste mit Zugangsdaten die Adressen von staatlichen Stellen besonders hervorgehoben. Sollte in diesem Fall das angegebene Passwort auch Zugang zu den entsprechenden Benutzerkonten gewähren, wäre der Schaden weitaus größer, als dass die Betroffenen peinlich berührt sind.

Abseits dieses Ausspähens von Daten hat Lulzsec auch eine Reihe von Zielen durch DDoS Attacken vorübergehend in die Knie gezwungen:

Solche DDoS-Angriffe werden mittlerweile von der Rechtsprechung als Staftat im Sinne des §303b StGB angesehen.

Mit weiteren Angriffen ist zu rechnen, da Lulzsec eine telefonische Hotline für die Entgegennahme von neuen Zielen geschaltet hat.

 

1 2 3