Die Sicherheitsexperten von Googles Project Zero sind bei ihrer unermüdlichen Suche nach Sicherheitslücken in beliebten Anwendungen erneut fündig geworden, diesmal beim beliebten Messenger-Dienst WhatsApp. Den Erkenntnissen des Teams rund um Natalie Silvanovich zufolge kann ein Videoanruf über die App ausreichen, um das angerufene Smartphone zu kapern. Wie unter Sicherheitsforschern üblich, nutzte die Forscherin den von ihr entdeckten Fehler in einem Beispiel-Exploit, um WhatsApp kontrolliert zum Absturz zu bringen. 

Das Problem: Die Speicherverwaltung des Video-Conferencings lässt sich durch ein übertragenes RTP-Paket so verwirren, dass ein Angreifer eigene Datenpakete hinzufügen kann. Noch scheint es zwar nicht so weit gekommen zu sein, aber man kann davon ausgehen, dass Kriminelle den Exploit problemlos weiterentwickeln können, um wirklich gefährliche Software über WhatsApp auf die Handys zu schleusen.

WhatsApp wurde bereits weit vor der öffentlichen Bekanntmachung der Sicherheitslücke über das Risiko informiert, damit das Unternehmen reagieren und die Lücke zu schließen konnte. Sowohl für iOS als auch für Android hat WhatsApp in der vergangenen Woche entsprechende Updates zur Verfügung gestellt. Nutzer des Messengers sollten nachprüfen, ob sie das Update bereits installiert und somit die Sicherheitslücke geschlossen haben. Die neueste Version trägt für iOS die Nummer 2.18.93, für Android 2.18.302. Welche Version auf dem eigenen Handy installiert ist, lässt sich für Android über die WhatsApp-Einstellungen unter „Hilfe“, „App-Info“ herausfinden, bei iOS steht die Versionsnummer in den Einstellungen unter „Hilfe“ im Header.

Das News-Portal Heise berichtet jedoch von Problemen mit dem Update. Einigen Android-Nutzern wurde offenbar die aktuellste Version noch nicht im Google Play Store zur Installation angeboten. Das kann vorkommen, wenn Updates nach und nach ausgerollt werden, um eine Überlastung der Server zu verhindern. In diesem Fall sollte man nicht versuchen, das Update über andere Quellen zu beziehen, sondern zu einem späteren Zeitpunkt prüfen, ob das Update verfügbar ist. In der Zwischenzeit reicht es, keine Videoanrufe unbekannter Anrufer anzunehmen.

Malware? Für Mac-Nutzer ist das doch gar kein Problem. Und tatsächlich gibt es weit weniger Schadprogramme, die sich auf das Apple-Betriebssystem konzentrieren, als auf Windows. Das liegt zum einen am geschlossenen Apple-System, das es Hackern schwermacht, die vielen Sicherheitsmaßnahmen von macOS zu umgehen. Zum anderen sicher auch an der schieren Zahl der Nutzer, die bei Windows immer noch deutlich höher ist und damit ein lohnenderes und zusätzlich einfacheres Angriffsziel darstellt. Trotzdem: Völlig in Sicherheit sollten sich Mac-User nicht wiegen, denn tatsächlich ist eine ganze Reihe von Schädlingen für macOS unterwegs und Hacker suchen immer neue Wege, Apples Sicherheitsvorkehrungen zu umgehen.

Einen Weg, genau das zu bewerkstelligen, stellte nun der auf Apple spezialisierte Sicherheitsforscher Thomas Reed auf der Virus Bulletin Sicherheitskonferenz in Montreal vor. Bei der Installation neuer Software setzt macOS ein Programm namens Gatekeeper ein. Es prüft, ob die neue Software über eine kryptografische Signatur des Mac App Stores oder eines bei Apple registrierten Entwicklers verfügt. Ist das der Fall, lässt er die Installation zu. Falls nicht, warnt Gatekeeper den Nutzer, dass es sich um potenzielle Schadsoftware handelt. Dieses System ist eigentlich sehr clever, um eine Infektion zu verhindern. Allerdings fand Reed heraus, dass die Signatur genau ein einziges Mal überprüft wird – nämlich im Zuge der Installation. Was danach mit der App passiert, interessiert Gatekeeper nicht, denn es hat seine Pflicht und Schuldigkeit getan. 

Für Angreifer bedeutet das: Wenn sie ein bereits installiertes Programm manipulieren, beispielsweise über eine Sicherheitslücke, können sie sich in aller Ruhe auf dem Gerät einnisten. Eine erneute Überprüfung der Signaturen müssen sie nicht fürchten. Auch Updates triggern nur in wenigen Fällen eine erneute Überprüfung der Signatur, da Entwickler häufig nur einen Check der Signatur des Updates selbst in der Programmierung vorsehen, nicht aber der zugrundeliegenden Software. Auch unrechtmäßig erworbene oder gefälschte Signaturcodes können ein Problem darstellen und Gatekeeper austricksen. Und ist die Software erst einmal da, besteht für die Schädlinge kaum eine Gefahr, entdeckt und vertrieben zu werden. 

Abhilfe könnten die Entwickler schaffen, indem sie regelmäßige Checks der Sicherheitssignaturen in ihre Software implementieren. Das geschehe laut Reed jedoch freiwillig und sei aktuell nur bei sehr wenigen Apps vorgesehen. Auch Apple könnte weitere Überprüfungen nach der Installation in sein Betriebssystem und Gatekeeper einbauen. Noch ist das allerdings nicht der Fall und auch auf Nachfrage der Zeitschrift WIRED gab das Unternehmen keinen Kommentar dazu ab. Die Gefahr bleibt also bestehen, auch wenn Reed bislang keinen Hinweis darauf finden konnte, dass Kriminelle die Sicherheitslücke bereits ausgenutzt haben. 

Ein neuer Computervirus macht derzeit die Runde. Er könnte sich als erster einer völlig neuen Art von Malware erweisen. Denn LoJax nistet sich direkt im BIOS, bzw. im UEFI der infizierten Rechner ein – also noch vor dem eigentlichen Betriebssystem. Für die Hacker hat das einige Vorteile. Erstens: Kaum ein Virenprogramm überprüft diese dunkelsten Tiefen der Computersysteme. Und zweitens: Kaum jemand denkt überhaupt daran, das BIOS oder das UEFI zu überprüfen, denn bisher gab es schlicht keinen Grund für solche Maßnahmen.

Befindet sich der Virus erst einmal auf dem Rechner, hat man ein echtes Problem, denn es besteht eigentlich kaum eine Chance, ihn wieder loszuwerden. Selbst nach einem Austausch der Festplatte soll LoJax laut der Sicherheitsforscher von ESET, die ihn entdeckt haben, weiter auf dem Rechner zu finden sein. Für die kriminellen Hintermänner bedeutet das, dass sie ungestört den Datenverkehr mitschneiden und umleiten können. 

Doch wo kommt der neue Virus überhaupt her? Seine Entdecker verdächtigen die Cyberkriminellen von APT28/Sednit/Sofacy. Diese Hackergruppe steht in dem Ruf, im Auftrag von Regierungen Fremdländer auszuspähen. Dementsprechend sind sich die Sicherheitsforscher auch ziemlich sicher, dass LoJax bereits bei einem Angriff auf Behörden- und Regierungsnetzwerke zum Einsatz gekommen ist. Auf wie vielen dieser Rechner die Gefahr bereits schlummert, ist derzeit kaum abzuschätzen.

Von den Hauptzielen von APT28/Sednit/Sofacy, nämlich Regierungen und Behörden, sollten sich Unternehmen nicht in Sicherheit wiegen lassen. Denn auch für sie könnte LoJax zur Gefahr werden, sollten die Entwickler auf die Idee kommen, ihre Malware beispielsweise zur Industriespionage zu verkaufen. Hinzu kommt, dass nun die Möglichkeit bekannt ist, Malware in die Tiefen der Soft- und Hardware zu injizieren. Da wird es nicht lange dauern, bis erste Nachahmer eine ähnliche Malware entwickelt und in Umlauf gebracht haben. Bleibt nur, für entsprechenden Schutz zu sorgen und ein Antivirenprogramm zu nutzen, das auch das BIOS oder das UEFI durchsucht.

Ein verschlüsseltes Laufwerk ist eine übliche und logische Maßnahme, um Daten vor unbefugtem Zugriff zu schützen. Nun haben jedoch Sicherheitsforscher von F-Secure eine eigentlich sehr alte Methode entdeckt, diese Verschlüsselung auszuhebeln. Zuvor war die Branche davon ausgegangen, dass ein solcher Angriff seit rund zehn Jahren nicht mehr möglich sei. Doch das war offenbar ein Irrtum. Und das Schlimmste: Es funktioniert bei fast jedem Computer!

Basis des neuen Angriffs ist eine altbekannte Technik namens Cold Boot. Dabei wird der Rechner abrupt abgeschaltet, beispielsweise indem man den Stecker zieht. Beim Neustart wird dann ein USB-Stick mit Schadcode genutzt, um die Daten im Arbeitsspeicher des Rechners auszulesen. Daraus wiederum lassen sich die kryptografischen Codes für den Rest der Festplatte ableiten. Vor zehn Jahren haben die Hersteller dem jedoch einen Riegel vorgeschoben und den Arbeitsspeicher besser abgesichert. Dabei setzt das Betriebssystem einen Marker, dass im Arbeitsspeicher noch Daten vorliegen. Wird der Rechner normal heruntergefahren, wird dieser Marker zusammen mit den Daten im Arbeitsspeicher gelöscht. Falls nicht, bleibt er bestehen und signalisiert dem System, dass es erst die Daten löschen muss, bevor weitere Aktionen durchgeführt werden.

Dementsprechend ist die Attacke auch nicht mehr ganz so einfach durchzuführen wie damals und erfordert etwas größere Eingriffe in die Hardware. Zuallererst mussten die Forscher den Marker umgehen. Dabei fiel ihnen ein Problem auf: Wenn sie sich direkt mit dem Chip verbanden, der die Firmware des Computers und damit auch den Marker beherbergt, konnten sie diesen unbemerkt löschen. Dadurch nahm der Computer beim nächsten Neustart an, dass er zuvor korrekt heruntergefahren wurde und dass keine weiteren Daten mehr im Arbeitsspeicher gelöscht werden müssen. Und egal welche Daten der Arbeitsspeicher enthält, die Verschlüsselungscodes für den Rest der Festplatte sind immer darunter. Nachdem die Forscher ihre Angriffsmethode entwickelt hatten, testeten sie sie erfolgreich an den verschiedensten Computermodellen. 

Genau da liegt auch die Gefahr: Der neue, erweiterte Cold-Boot-Angriff funktioniert, wie bereits erwähnt, eigentlich bei jedem Computer – und stellt damit eine potenzielle Gefahrenquelle für jeden Besitzer dar! Zwar braucht man direkten physischen Zugriff auf die Hardware, gerade bei Industriespionage kann das Ergebnis den Aufwand jedoch durchaus wert sein. Ebenfalls kritisch: Nutzen viele Computer in einem Netzwerk die gleichen Verschlüsselungsalgorithmen, können über einen einzigen Rechner das ganze Netzwerk und der Server kompromittiert werden. Es gibt jedoch auch Möglichkeiten, um sich zu schützen, beispielsweise indem man ein zusätzliches Verschlüsselungstool nutzt, das ein Kennwort abfragt, bevor auch nur das Betriebssystem hochfährt. So wird verhindert, dass im Arbeitsspeicher etwas Stehlenswertes zurückbleibt.

Als weltweit wohl bekanntester Hersteller von Elektrofahrzeugen treibt das Unternehmen Tesla auch das selbstständig fahrende Auto immer weiter voran. In diesem Zusammenhang hat Tesla viel Geld in Sicherheitsvorkehrungen investiert, um seine Systeme vor Hackern und Angreifern zu schützen. Doch so sicher der Bordcomputer dadurch auch geworden ist, ein anderer, ebenfalls nicht ganz unwichtiger Bereich wurde dabei scheinbar etwas vernachlässigt: Der Autoschlüssel. Das fand kürzlich ein Team von Sicherheitsforschern der KU Leuven Universität in Belgien heraus.

Mit handelsüblichem Equipment gelang es ihnen, das Model S des Herstellers innerhalb weniger Sekunden zu öffnen und damit wegzufahren. Wie inzwischen viele moderne Autos, werden auch die Fahrzeuge von Tesla mit einem „schlüssellosen“ System geöffnet und per Knopfdruck gestartet. Dazu muss der Fahrer den Autoschlüssel lediglich bei sich tragen und ihn nicht mehr wie früher ins Zündschloss stecken. Der Schlüssel selbst kommuniziert zu diesem Zweck über einen verschlüsselten Code mit dem Auto und teilt ihm mit, dass es die Türen öffnen und starten soll. Das Team der KU Leuven hat bereits im vergangenen Sommer entdeckt, dass das bei Tesla verbaute System der Firma Pektron lediglich eine vergleichsweise schwache 40-bit Verschlüsselung nutzt. 

Die weiteren Nachforschungen ergaben dann, dass lediglich zwei verschiedene Codes von einem beliebigen Schlüssel des Model S benötigt werden, um dann per Versuch und Irrtum diejenige Verschlüsselung zu finden, die das Auto entriegelt. Im Anschluss daran ließen sie den Computer alle möglichen Verschlüsselungen für jede Codekombination berechnen und erstellten so eine riesige Datenbank mit vorgefertigten Entriegelungscodes. Mit dieser konnten sie dann jedes Model S in nur 1,6 Sekunden knacken. Dafür war es lediglich nötig, bei einem Entriegelungsvorgang des legitimen Eigentümers in der Nähe zu sein, um mit dem entsprechenden technischen Gerät zwei unterschiedliche Codes des Schlüssels abzufangen. Diese schickten sie dann durch ihre Datenbank und erhielten so die geheime Verschlüsselung. Damit konnten sie dann den Autoschlüssel fälschen und das Auto entwenden. 

Bereits im August 2017 informierten die Sicherheitsforscher Tesla über ihre Ergebnisse. Bis zum Juni dieses Jahres änderte sich jedoch nichts an der schwachen Verschlüsselung. Erst dann gab es ein Upgrade und kurz darauf wurde als zusätzliche Maßnahme eine optionale PIN eingeführt, die die Verschlüsselung um eine weitere Sicherheitsstufe ergänzte. Diese Funktion ist besonders bei Fahrzeugen wichtig, die vor dem Juni 2018 gebaut und ausgeliefert wurden.  Denn hier wird die Sicherheitslücke nur dann behoben, wenn sich der Besitzer für einen neuen, sichereren Autoschlüssel entscheidet – kostenpflichtig, versteht sich. Wer also kein zusätzliches Geld ausgeben will, muss dafür die Eingabe der PIN künftig in Kauf nehmen, wenn er nicht riskieren will, dass das Auto am Abend nicht mehr dort steht, wo er es am Morgen abgestellt hat.

Googles hauseigenen Sicherheitsforscher von Project Zero sind mittlerweile bekannt dafür, immer wieder gravierende Sicherheitslücken in den unterschiedlichsten Soft- und Hardwareprodukten zu entdecken. Dabei machen sie auch vor ihrem eigenen Arbeitgeber nicht halt. Auf einer Sicherheitskonferenz stellte David Tomaschik kürzlich eine physische Sicherheitslücke an Googles smartem Zugangssystem zur Zentrale in Sunnyvale vor, die jedoch noch weit mehr Unternehmen betreffen dürfte. 

In der Google-Zentrale kommt ein Sicherheitssystem des Unternehmens Software House zum Einsatz. Mitarbeiter erhalten personalisierte Schlüsselkarten, die mittels RFID mit den Türschlössern und der dahinterstehenden Software kommunizieren. Damit werden Türen geöffnet und es wird protokolliert, wer wann welche Zugänge bedient hat. Die dabei übertragenen Daten werden verschlüsselt über das interne Netzwerk verbreitet. Diese Datenströme hat sich Tomaschik genauer angesehen und festgestellt, dass sie nicht randomisiert werden. Außerdem stolperte er über einen fest kodierten Verschlüsselungscode, der scheinbar in allen Geräten von Software House steckt. Diesen konnte er vervielfältigen und damit das Sicherheitssystem in Sunnyvale kapern. Getestet hat er das in seinem eigenen Büro. Er verschickte einen speziell entwickelten Schadcode über Googles Netzwerk und tatsächlich wechselten die Lichter an seinem Türschloss von Rot zu Grün. Selbst mit einer der RFID-Zugangskarten ließ sich Tomaschiks Kontrolle nicht umgehen. 

Das Problem bei den Produkten von Software House: Außer dem Verschlüsselungscode gibt es keine weitere Authentifizierung der Signale, wodurch sich die Zugangskarten kompromittieren lassen. So könnten sich Angreifer ohne Weiteres Zugang zu Unternehmensräumen, Akten oder Labors verschaffen. Auch Industriespionage durch einen Insider wäre denkbar, denn die Zugangsprotokolle zu den einzelnen Räumen lassen sich ja auch umgehen. Und es gibt ein weiteres Problem. Die Sicherheitslücke betrifft nicht nur Googles Zentrale, sondern auch die anderen Kunden von Software House. Und zu allem Überfluss lässt sie sich in vielen Fällen nicht so einfach durch ein Update beheben, da ältere Versionen nicht über ausreichend Speicherplatz verfügen, um neue Firmware aufzuspielen. Das würde neue Hardware voraussetzen und immensen Aufwand bedeuten. Daher ist davon auszugehen, dass Software House das angekündigte Update zur Fehlerbehebung nur für neuere Modelle bereitstellen wird.

Add-ons erfreuen sich einer immer größeren Beliebtheit. Die häufig auch als Plug-in bezeichneten optionalen Software-Lösungen erweitern bestehende Hauptprogramme oftmals mit nützlichen Features. Nutzer können so beispielsweise Firefox auf ihre Bedürfnisse anpassen. Allerdings sollte man bei der Installation Vorsicht walten lassen und sich vorher genau über das Plug-in der Wahl informieren. 

So hat Mozilla gerade 23 Firefox-Add-ons aus seinem Download Center entfernt, die persönliche Daten von Nutzern ausspähten und an Remote-Server schickten. Im Mittelpunkt der Kontroverse um diese blockierten Add-ons stand das sicherheitsrelevante Plug-in „Web Security“. Die Software, welche von der deutschen Firma Creative Software Solutions entwickelt wurde, erfreute sich bis dato mit 220.000 Downloads äußerster Beliebtheit. 

Zunächst hatte Mozilla die Web-Security-Erweiterung in seinem Blog in einem Beitrag mit dem Titel „Machen Sie Ihren Firefox-Browser zu einer Datenschutz-Supermacht“ noch in den höchsten Tönen gelobt. Denn eigentlich soll „Web Security“ bösartige Webseiten, insbesondere Phishing-Seiten, blocken. Nachdem der deutsche Sicherheitsforscher Mike Kuketz allerdings enthüllt hatte, dass die Software die Daten der User teilweise unverschlüsselt über HTTP an einen Server in Deutschland sendet und die Nutzer damit potenzielle Opfer eines Man-in-the-Middle-Angriffs (MITM) sind, wurde der Blog-Beitrag bearbeitet und das Add-on still und heimlich entfernt. Das Konzept hinter MITM-Attacken ist erstaunlich simpel: In seiner einfachsten Form muss sich der Angreifer nur zwischen zwei Parteien schalten, die miteinander kommunizieren, und kann dann die übertragenen Daten mitlesen. 

Nachdem „Web Security“ von Mozilla gesperrt wurde, schlugen Firefox-Nutzer eine Reihe weiterer Add-ons vor, die ebenfalls entfernt werden sollten, weil sie ähnliche Aktivitäten durchgeführt hatten. Alle Add-ons, die von Mozilla gesperrt wurden, sind nach ID-Nummer auf der Webseite aufgelistet. Darunter befinden sich einige der beliebtesten Plug-ins, wie Browser Security, SmartTube, Popup Blocker Ultimate, DirtyLittleHelper, YTTools und Quick AMZ.

Nachdem die betreffenden Add-ons von Mozillas Sicherheitsexperten untersucht worden waren, stellte sich heraus, dass sie alle denselben Code beinhalteten, der auch bei „Web Security“ verwendet wird. Die fragwürdigen Add-ons stehen nun nicht mehr zum Download zur Verfügung und die Nutzer dürften mittlerweile bemerkt haben, dass sie auch in ihrem Browser deaktiviert wurden.

Mittlerweile haben sich die Web-Security-Entwickler zu Wort gemeldet und erklärt, dass die Übermittlung der Daten notwendig sei, um eine besuchte Website mit der globalen Blacklist des Add-ons abzugleichen. Nichtsdestotrotz entschuldigte man sich bei den Nutzern und kündigten an, das Add-on überarbeiten zu wollen.

Wenn man sich Cyberangriffe auf kritische Infrastrukturen wie die Stromversorgung vorstellt, hat man meist Hacker vor dem inneren Auge, die sich immer tiefer in die IT-Infrastrukturen eines Kraftwerks vorarbeiten und dort Schäden anrichten. Doch auch ein ganz anderes Szenario ist denkbar: Gerade erst präsentierte eine Gruppe Sicherheitsforscher der Princeton University auf der Usenix Security Konferenz eine Simulation, was passieren würde, wenn Hacker statt der Angebotsseite die Nachfrageseite manipulieren würden, beispielsweise durch ein Botnetz. Das Ergebnis ist mindestens so erschreckend wie der Angriff eines einzelnen Hackers – wenn nicht sogar noch mehr, denn es ist kaum möglich, sich dagegen zu verteidigen.

In ihrem Szenario simulierten die Forscher ein Botnetz mit mehreren tausend energieintensiven Smart-Home-Geräten, wie beispielsweise Wasserkochern, Klimaanlagen oder Elektroheizungen. Diese sollten sich alle innerhalb eines gewissen Gebiets befinden und auf einmal anfangen zu arbeiten, um so große Strommengen innerhalb eines Versorgungsabschnitts zu verbrauchen. Ab einer bestimmten Größe dieses Botnetzes kommt es dann zur örtlichen Überlastung des Stromnetzes, was zu Ausfällen und Schäden führt. Die Verantwortlichen in der Steuerung der Stromversorgung müssten dann die Versorgung über alternative Leitungen wiederherstellen, wodurch dort ebenfalls eine deutlich höhere Belastung bestünde als normalerweise. Das wiederum könnten sich die Angreifer zu Nutze machen und mit ihrem Botnetz gezielt diese Regionen des Stromnetzes ansteuern, um weitere Ausfälle zu provozieren. Am Ende könnte es zu einer Kettenreaktion kommen, bei der zehntausende Menschen ohne Energieversorgung dastehen würden.

Die Sicherheitsforscher aus Princeton geben zwar zu, dass ein derart großes, genau zu steuerndes Botnetz mit Geräten, die genug Strom aus dem Netz abziehen könnten, um tatsächlich Schäden anzurichten, im Moment eher noch eine hypothetische Möglichkeit ist. Auch andere Experten halten einen solchen Angriff aktuell eher für unwahrscheinlich. Allerdings müssen auch die größten Skeptiker zugeben, dass die Gefahr stetig steigt, je mehr Smart-Home-Geräte in den Haushalten Einzug halten und potenzielle Angriffsziele abgeben. Der Angriff des Botnetzes Mirai vor über zwei Jahren könnte ein Vorgeschmack darauf sein, was uns künftig in dieser Hinsicht erwartet. Ein großes Problem bei Botnetzen im Internet der Dinge ist die Tatsache, dass die Besitzer der gekaperten Geräte gar nicht unbedingt merken, dass gerade ein anderer sie steuert. Das wiederum führt dazu, dass sie auch nichts unternehmen, um die Geräte aus dem Botnetz zu entfernen. Schutz bietet in diesem Fall nur eine entsprechend absicherbare Software von Herstellerseite und deren sinnvoller Einsatz auf Anwenderseite. Dazu gehört auch, regelmäßig Updates durchzuführen.

Das gute alte Fax hat ausgedient, möchte man meinen. Schließlich gibt es E-Mails und Scanner, mit denen sich Dokumente genauso einfach verbreiten lassen. Trotzdem verfügen die meisten Büros und Behörden weiterhin über eine Faxnummer und setzen diese zumindest für einige Vorgänge auch weiterhin ein. Oft verbirgt sich die altmodische Technik in den großen Multifunktionsdruckern mit Scanner und Kopierer. Diese sind bekannterweise bereits seit einigen Jahren im Fokus von Hackern, da sie eine gute Angriffsfläche bieten, sowohl eine Verbindung zum Firmennetzwerk als auch zum Internet haben, und in vielen Fällen nur unzureichend geschützt sind. Um Angriffe aus dem Netz zu verhindern, lassen sich jedoch Maßnahmen ergreifen, beispielsweise durch eine Authentifizierung für die Auftragsfreigabe.

Nun haben Sicherheitsforscher von Check Point eine weitere Möglichkeit gefunden, über solche Multifunktionsgeräte ein Netzwerk zu infiltrieren: Das Fax, an das wohl kaum jemand denkt, wenn es um Cybersicherheit geht. Dabei ist der Gedanke gar nicht so abwegig, aus verschiedenen Gründen: Zum einen weil die Protokolle beim Versand und beim Empfang in den letzten Jahrzehnten kaum oder gar nicht geändert wurden und zum anderen, weil es seit der Erfindung des Fax nur einen sehr ungenauen Industriestandard für diese Protokolle gibt, der dazu geführt hat, das er in vielen Geräten nur unzureichend eingehalten wurde. Als dritter Faktor kommt hinzu, dass Faxe nie verschlüsselt übertragen werden. Wer also die Telefonleitung anzapfen kann, kann auch alle per Fax geschickten und empfangenen Daten abfangen. 

Den Sicherheitsforschern gelang es außerdem, mit einem manipulierten Fax einen Stack Overflow zu provozieren. Dabei wird das System des angegriffenen Geräts überlastet und schließlich zum Absturz gebracht. Das wiederum können Angreifer ausnutzen, um sich Rechte zu sichern und weiter ins System vorzudringen. Im Test dauerte es weniger als eine Minute, ein Fax mit entsprechendem Schadcode zu versenden. Das Problem: Faxnummern fast aller Unternehmen lassen sich mit wenigen Klicks im Impressum finden – und weitere Schutzmaßnahmen wie ein Spamfilter oder ein Virenschutzprogramm gibt es für den Faxempfang nicht. 

Die Angriffe funktionierten bei allen Officejet-Druckern von HP. Der Hersteller hat nach der Warnung durch die Sicherheitsforscher mittlerweile ein Update herausgegeben, das den Stack Overflow unterbindet. Viele, gerade neuere, Geräte sollten dieses auch automatisch herunterladen und aufspielen. Wirklichen Schutz vor Angriffen über manipulierte Faxe bietet allerdings nur ein eigenständiges Faxgerät, das über keine Internetanbindung und auch keine Anbindung zum internen Netz verfügt.  

In den vergangenen Jahren ist es üblich geworden, sein Geld in die eigenen Hände zu nehmen und sich vom heimischen Computer aus um seine Bank- und Versicherungsgeschäfte zu kümmern. Wer dabei nicht nur hin und wieder mit Aktien, CFDs oder anderen Finanzprodukten handeln will, gelangt bei der eigenen Hausbank und deren Online-Banking-Plattform oft schnell an seine Grenzen. Für diese Trader gibt es spezielle Online-Broker, die ihren Kunden in den meisten Fällen deutlich umfangreichere Handelsplattformen zur Verfügung stellen. Hier gibt es Analysetools, Charts und oft die Möglichkeit, Strategien in Form von automatisierten Handelssystemen zu hinterlegen. 

Wir sehen: Durchaus sensible Informationen werden bei der Kommunikation mit diesen Handelsplattformen hin und her geschickt. Daher sollte der Sicherheit der Software mindestens genauso viel Aufmerksamkeit gewidmet werden wie der Usability und dem Funktionsumfang. Ob das auch tatsächlich der Fall ist, hat der Sicherheitsforscher Alejandro Hernándes von IOActive bei den 40 bekanntesten Plattformen untersucht. Sein Test umfasste dabei Mobile-, Desktop- und Webanwendungen der Broker. Sein Ergebnis: Die Cybersecurity der getesteten Systeme lässt sehr zu wünschen übrig. 

Mehr als die Hälfte der getesteten Plattformen übertrug zumindest einen Teil der Daten unverschlüsselt, was einen Man-in-the-Middle-Angriff ermöglichen kann. Ein Teil der Programme speicherte unverschlüsselte Passwörter lokal auf dem Rechner, wodurch sie mittels direktem Zugriff, beispielsweise über eine Fernwartungssoftware, ausgelesen werden könnten. Wieder andere übertrugen die Passwörter im Klartext. In zwei Fällen beendete die Software eine Sitzung auf Serverseite erst Stunden nach dem Log-out des Nutzers. Wäre in dieser Zeit das Session-Cookie in die falschen Hände gefallen, hätte ein Angreifer vollen Zugriff auf das Trading-Konto erhalten, Gelder auf die eigenen Konten überweisen oder das Trading-Konto sogar schließen können.

Ein weiterer Kritikpunkt des Sicherheitsforschers ist, dass eine Zwei-Faktor-Authentifizierung zwar von den Systemen angeboten wird, aber nicht zu den Standardeinstellungen zählt. Zu guter Letzt sieht Hernández auch in einer durchaus beliebten Funktion vieler Trading-Plattformen ein Problem: Der Erstellung und Verbreitung von vorprogrammierten Handelsstrategien als Plug-ins für die Plattform. Diese können beispielsweise von erfolgreichen Tradern erstellt und an Follower vergeben werden. Dieses sogenannte Social Trading hat in den vergangenen Jahren an Beliebtheit gewonnen, birgt aber auch Gefahren. Laut Hernández könnte sich in den Plug-ins zusätzlicher Schadcode verstecken. Besonders der Einsatz einfacher Programmiersprachen wie C++ oder Pascal macht es Kriminellen einfach, sich auf diese Weise eine Hintertür zu öffnen. 

Alejandro Hernández hat in dieser Woche seine Ergebnisse im Detail auf der Konferenz Black Hat USA in Las Vegas vorgestellt und nun auch erstmals die meisten der untersuchten Broker beim Namen genannt. Eine verkürzte Version seines Berichts war bereits im Herbst erschienen, allerdings wollte der Sicherheitsforscher den Anbietern der Handelsplattformen die Chance geben, die Sicherheitslücken vor der Veröffentlichung zu schließen. 

Webseiten-Betreiber, die noch eine http-Seite unterhalten, dürften sich in diesen Tagen darüber wundern, dass plötzlich deutlich weniger Besucher den Weg zu ihnen finden. Ein Grund könnte die finale Phase von Googles ambitioniertem Plan sein, das Internet sicherer zu machen. Seit dem 24. Juli 2018 werden Nutzer, die eine Seite ohne SSL-Zertifikat besuchen wollen, von Googles Browser Chrome nicht mehr direkt zur Seite geleitet, sondern erhalten eine Warnung, dass sie eine unsichere Webseite aufrufen wollen. Von dieser Meldung dürfte sich ein nicht geringer Anteil der potenziellen Besucher abschrecken lassen, was zu deutlich geringerem Traffic auf der betroffenen Seite führt. 

Google hat diesen Schritt bereits im Januar 2017 angekündigt. Seit der damals veröffentlichten Version 56 von Chrome erschien eine kleine „Nicht sicher“-Warnung in der Adressleiste des Browsers, wenn eine http-Webseite aufgerufen wurde. Rund zehn Monate später folgte Phase zwei mit der Veröffentlichung von Version 62. Seither wurden alle Seiten, die über Eingabefelder verfügten und diese Daten über eine http-Verbindung verschickten, auf die Sicherheitswarnung umgeleitet. Jetzt folgte der letzte Schritt, nach dem alle Seiten ohne SSL-Zertifikat nicht mehr ohne Weiteres aufgerufen werden können. 

Mittlerweile haben laut einer Studie von Google rund 75 Prozent der Webseiten im Internet ein SSL-Zertifikat, leicht zu erkennen am „https“ in der Adresszeile. Das Ziel von Googles Kampagne ist es, diese Zahl auf 100 Prozent zu steigern – notfalls auch durch Zwang, denn ohne SSL-Zertifikat droht den Seiten bereits seit einiger Zeit eine Abwertung bei der Google-Suche und seit dieser Woche eben auch die Sicherheitswarnung in Chrome. 

Grundsätzlich ist Googles Anliegen durchaus zu begrüßen, denn das http-Protokoll ist schlicht und ergreifend nicht sicher, ganz besonders, wenn sensible persönliche Daten übertragen werden. Es erleichtert außerdem Man-in-the-middle-Angriffe, um Kennwörter, Session-Cookies oder Kreditkarteninformationen zu erbeuten. Mit einer https-Verbindung hingegen werden die Daten verschlüsselt übertragen, ein Abgreifen des Datenstroms ist daher nicht mehr so einfach möglich. Trotzdem fürchten vor allem Betreiber kleinerer Webseiten Kosten und den Aufwand einer Migration auf eine sichere https-Verbindung. Ihnen sei jedoch gesagt: https ist kostenlos! Über Seiten wie CloudFlare oder Let’s Encrypt kann man kostenlose SSL-Zertifikate erhalten. Und auch der Umzug der Seite ist nicht allzu kompliziert. Eine detaillierte Anleitung hat beispielsweise Google in einem Video im Zuge der Kampagne zur Verfügung gestellt. 

Wer sich also bislang noch nicht durchringen konnte, den Schritt zu https zu wagen, sollte das schnellstmöglich nachholen – nicht nur zum Schutz der Nutzer, sondern auch im eigenen Interesse. Denn welcher Kunde möchte schon auf einer unsicheren Webseite seine Daten hinterlassen?

Hören Apps wie Facebook oder Amazon uns stets zu? Nehmen sie unsere privaten Gespräche auf und werten diese aus, um uns optimal zugeschnittene Werbung zu zeigen? Diese Fragen stellen sich in Zeiten von smarten Sprachassistenten immer mehr Menschen. Ein Team von Computerwissenschaftlern der Northeastern University wollte genau wissen, was an den immer wieder aufflackernden Gerüchten über lauschende Apps dran ist und hat ein Experiment gestartet. Über ein Jahr lang haben sie mit zehn Android-Telefonen 17.260 populäre Apps getestet, um festzustellen, ob Sprachaufnahmen erstellt und verschickt werden. Über 9.000 dieser Apps könnten das zumindest in der Theorie, denn sie haben sich bei der Installation das Recht einräumen lassen, auf das Mikrofon und/oder die Kamera zuzugreifen. 

Um herauszufinden, ob Aufnahmen an die Herausgeber der Apps gelangen wurde der Datenverkehr der Versuchshandys über ein Jahr lang streng überwacht und ausgewertet. Besonders gesendete Dateien mit Media-Inhalt standen dabei im Vordergrund der Untersuchungen. Die gute Nachricht: In keinem Fall konnten die Wissenschaftler ein Soundfile finden, das die Smartphones heimlich aufgezeichnet oder verschickt hatten. Die Wissenschaftler wollen nicht vollständig ausschließen, dass es in einigen Fällen doch geschieht. Dennoch ist nach dem Test davon auszugehen, dass die Praxis des lauschenden Smartphones nicht allzu weit verbreitet ist, wenn sie denn überhaupt vorkommt.

Die schlechte Nachricht: Die Forscher haben Screenshots und Videomitschnitte des Bildschirms entdeckt, die an Drittanbieter gesendet wurden. Ein Beispiel: Die App eines Fast-Food-Lieferdienstes zeichnete auch Eingaben von persönlichen Daten auf und gab diese dann an eine Domain von Appsee weiter. Dabei handelt es sich um eine Marktforschungsfirma, die auf mobile Anwendungen spezialisiert ist und auf ihrer Homepage unumwunden zugibt, dass sie in der Lage sei, die Aktivitäten der Nutzer in Apps aufzuzeichnen und auszuwerten. Das Unternehmen betont allerdings, dass Apps, die diese Technik einsetzten, ihre Kunden darauf hinweisen müssten, dass Daten erhoben und an Dritte weitergereicht würden. Im Fall des Fast-Food-Lieferanten war das nicht der Fall, bis die Wissenschaftler auf diesen Umstand hinwiesen. Darüber hinaus sind die App-Entwickler laut Appsee dazu angehalten, bestimmte Bereiche in ihren Apps zu blacklisten, etwa Eingabemasken für persönliche Daten. Dann würden diese nämlich von der Überwachung durch die Appsee-Software ausgenommen. 

Damit hatten die Entwickler übrigens nicht nur Appsees Geschäftsbedingungen verletzt, sondern auch die von Google Play. Auch hier ist klar nachzulesen, dass Kunden darüber informiert werden müssen, wie Daten erhoben und gesammelt werden. Den Nutzern hilft das freilich wenig, denn sie haben kaum eine Möglichkeit, en Detail zu überprüfen, welche Daten eine App an welche Empfänger weiterleitet. Eine Funktion, bei der das Android-Gerät selbst seinen Besitzer warnt, wenn solch ein Verhalten einer App auftritt, oder die Möglichkeit besitzt, Aufnahmen des Displays zu unterbinden, existiert (noch) nicht. Besonders bedenklich ist das, wenn man an kompromittierte Apps denkt, die persönliche Daten wie Kennwörter aufzeichnen und an Kriminelle schicken könnten.  Daher sollte man vorsichtig sein, welche Rechte Apps einräumt werden und bei der Installation nur die Berechtigungen gewähren, die die App tatsächlich zum Betrieb benötigt. 

Die Hotelsoftware FastBooking wurde offenbar gehackt. Das Programm wird laut Unternehmensangaben von rund 4.000 Hotels in 100 Ländern für die Verwaltung ihrer Buchungen verwendet. Mit über 1,2 Millionen Transaktionen pro Jahr, die über die Server von FastBooking laufen, bietet das Unternehmen einen reichhaltigen Datenbestand, der von persönlichen Informationen der Hotelgäste wie Kontaktdaten und Reiserouten bis hin zu Zahlungsinformationen reicht. Diesen Datenschatz haben sich nun scheinbar Kriminelle angeeignet, wie das Portal Bleeping Computer diese Woche berichtete.

Der Angriff erfolgte dem Bericht zufolge Mitte Juni in zwei Wellen. Während bei der ersten Attacke Namen und Kontaktinformationen das favorisierte Diebesgut der Hacker waren, wurden bei der zweiten Welle auch Kreditkartendaten abgegriffen. Möglich war der Beutezug wegen einer Schwachstelle in einer Anwendung, die auf dem Server des Unternehmens gehostet wurde. Darüber hatten die Angreifer einen Remote-Access-Trojaner eingeschleust und anschließend die Daten exportiert.

Aktuell steht besonders der Umgang des Unternehmens mit dem Sicherheitsvorfall in der Kritik. Lediglich die betroffenen Hotels wurden informiert, nicht jedoch die Hotelgäste, deren Daten gestohlen wurden, geschweige denn die Öffentlichkeit. Weder auf der Webseite noch in den Social-Media-Kanälen ist von einem Hackerangriff zu lesen. Auf Anfrage von heise Security wurde lediglich erklärt, dass man die Schwachstelle beseitigt hätte und mit IT-Security-Experten zusammenarbeite. Darüber, ob man die betroffenen Hotelgäste informieren wolle, schweigt sich das Unternehmen aus. Offenbar will FastBooking die Verantwortung für die Informationsweiterleitung an seine Kunden delegieren. Den Hotels hat das Unternehmen scheinbar eine E-Mail-Vorlage zur Verfügung gestellt, die diese an die Gäste schicken können – oder auch nicht, das liegt in deren eigenem Ermessen. In der E-Mail wird der Vorfall benannt und besonders vor möglichen Phishing-Mails gewarnt, denn mit den erbeuteten Daten könnten die Kriminellen versuchen, weitere vertrauliche Informationen abzufragen.

Die japanische Hotelkette Prince hat das Template genutzt und mehr als 125.000 ihrer Gäste über den Vorfall informiert. Das gibt einen ungefähren Eindruck vom Ausmaß des Angriffs, denn diese Zahl verteilt sich auf nur rund 80 Häuser der Kette. Bedenkt man, dass FastBooking nach eigenen Angaben in 4.000 Hotels verwendet wird, dürften wohl deutlich mehr Hotelgäste betroffen sein. 

Ein vermutlich von einer Hackergruppe aus Russland stammendes Computervirus hat das deutsche Regierungsnetzwerk infiltriert. Das ist bereits seit langem bekannt. Nun haben die zuständigen Ermittler auch das mutmaßliche Einfallstor des Schädlings entdeckt und öffentlich gemacht. Offenbar haben die Mitglieder einer Gruppierung namens Uroburos, die auch unter dem Namen Snake bekannt ist, eine Abwandlung des Social Engineering eingesetzt, um ihren gleichnamigen Virus einzuschleusen. Der Fall zeigt einmal mehr, dass diese Vorgehensweise auch in vermeintlich bestens geschützten und überwachten Netzwerken eine echte Bedrohung darstellt.

Um den Weg der Schadsoftware ins Regierungsnetz nachzuverfolgen, haben die Ermittler das Virus monatelang genau beobachtet und seine Arbeitsweise analysiert. So stießen sie schließlich auf den Patient Zero, also den Rechner, auf dem es erstmals im Netzwerk auftauchte. Dieser gehörte zu einem Mitarbeiter des Auswärtigen Amtes, der vor einiger Zeit an einer Schulung der Hochschule des Bundes für öffentliche Verwaltung oder der Bundesakademie für öffentliche Verwaltung teilgenommen hatte. Beide Bildungseinrichtungen gelten als Schwachstellen des Regierungsnetzes, denn sie bieten ihren Studenten einen Fernzugang zum Intranet. Und nicht nur ihm wurde das Virus über eine Sicherheitslücke in diesem Fernzugang untergejubelt, sondern auch 17 weiteren Teilnehmern. Bei diesen jedoch wurde Uroburos nicht aktiviert. 

An dieser Stelle stand nämlich eine Herausforderung für die Hacker: Das Regierungsnetz wird streng überwacht. Ein normales Virus, das nach der Infektion selbst aktiv wird und Kontakt zu seinen Programmierern aufnimmt, um sich Anweisungen zu holen, wäre deutlich schneller aufgefallen. Deswegen wartete es still und leise auf dem infizierten Rechner auf eine Kontaktaufnahme durch die Hacker. Dafür scannte es lediglich alle eingehenden E-Mails in Outlook auf den Absender. Hier kommt nämlich eine Besonderheit in diesem Fall ins Spiel: Die Hacker wussten offenbar ganz genau, wessen Rechner sie da infiziert hatten und spähten diesen Mitarbeiter ganz gezielt aus. So erfuhren sie auch den Namen seiner Lebensgefährtin – und gaben dem Virus einfach die Aufgabe, nach E-Mails mit diesem Namen im Absender Ausschau zu halten. Für die Aktivierung brauchten sie dann nur noch eine kurze Mail, um Kommandos von einer entsprechend eingerichteten E-Mail-Adresse zu schicken, und der Schädling wachte auf. Seine erste Amtshandlung war es dann, die Kommando-Mail zu löschen. So war sie nur kurz zu sehen und fiel dank des Namens der Lebensgefährtin als Absender auch niemandem in der Überwachung des Netzwerkes auf. 

Diese raffinierte Methode birgt noch ein anderes Risiko für das Regierungsnetzwerk: Solange das Virus schlummert und nicht aktiv wird, lässt sich nicht ausschließen, dass noch weitere der rund 60.000 Computer im Netzwerk infiziert sind. In Punkto Sicherheit ist das natürlich eine tickende Zeitbombe, die sich nur entschärfen lässt, indem noch strengere Maßnahmen ergriffen werden, um eine Aktivierung zu verhindern. Private Mails der Lebensgefährtin auf dem Arbeitsrechner sollten dann auf jeden Fall der Vergangenheit angehören, ebenso wie jegliche andere private Korrespondenz.

Die Wörter „Cambridge“ und „Facebook“ scheinen einfach nicht zusammenzupassen. Erneut wird der Social-Media-Riese von einem Datenskandal erschüttert, allerdings ist diesmal nicht das Unternehmen Cambridge Analytica, sondern die renommierte Universität Cambridge daran beteiligt. Das Wissenschaftsmagazin New Science, welches das neue Datenleck öffentlich gemacht hat, berichtet von rund drei Millionen betroffenen Nutzern, von denen teils hochgradig sensible Informationen etwa vier Jahre mehr oder weniger öffentlich zugänglich im Netz verfügbar waren. Wie bereits im Fall von Cambridge Analytica, wurden diese Daten über eine App mit einem Persönlichkeitstest, diesmal mit dem Namen myPersonality, gesammelt. Im aktuellen Fall wurden die Daten jedoch nicht bewusst weitergegeben, sondern waren durch schlampige Sicherheitsvorkehrungen nur unzureichend vor unbefugtem Zugriff geschützt worden. 

Hintergrund des neuen Skandals ist ein Forschungsprojekt von Wissenschaftlern der Fachrichtung Psychologie der Cambridge University, einer eigentlich renommierten und hochangesehenen Universität. Um Daten zu den Themen Gewissenhaftigkeit, Hilfsbereitschaft und Verletzlichkeit zu sammeln, hatten die Forscher besagte App entwickelt und im Netz zur Verfügung gestellt. Rund sechs Millionen Nutzer füllten im Laufe der Zeit den virtuellen Fragebogen aus und gaben den Forschern einen sehr persönlichen Einblick in ihr Seelenleben. Etwa die Hälfte dieser Nutzer stimmte zu, dass myPersonality auch auf die Daten ihres Facebook-Profils zugreifen darf. Die Psychologen in Cambridge wiederum speicherten die Antworten, zusammen mit den personenbezogenen Daten aus dem Profil, in einer Datenbank, die auf einer Internetseite der Universität hinterlegt war. Hier wurden die Datensätze anonymisiert veröffentlicht, um auch anderen Forschungsprojekten die Nutzung zu erleichtern. Über eine Registrierung erhielten so rund 280 Personen von verschiedenen Institutionen und Unternehmen Zugriff auf die Datenbank. 

Dabei kam es jedoch offensichtlich zu einem Problem, denn laut New Science war es überhaupt kein Problem, die Namen der Nutzer wieder kenntlich zu machen. Zwar mussten die registrierten Nutzer bei der Anmeldung versichern, dass sie die Daten nicht entanonymisieren würden, allerdings kann man sich denken, wie viel solch ein Häkchen in einem Zustimmungsfeld im Internet manchmal wert ist. Zudem wurde ein weiterer Fehler gemacht, denn ein funktionierender Zugangscode mit Nutzername und Passwort stand ungeschützt auf der Seite GitHub im Netz. Das konnte passieren, weil ein wohl etwas naiver Professor seinen Studenten den eigenen Zugangscode weitergab. Und die handhabten ihn offensichtlich nicht so vertraulich, wie er es erwartet hatte. Eine einfache Suche im Web reichte daher aus, um sich sämtliche verfügbaren Daten in der Datenbank zu verschaffen. Das heißt konkret: Wer wollte, konnte auf die Daten von 3,1 Millionen Facebook-Nutzern zugreifen, sich durch 22 Millionen Statusupdates von 150.000 Nutzern klicken und Geschlecht, Alter und den Beziehungsstatus von weiteren 4,5 Millionen Nutzern erfahren.

Der neue Datenskandal kommt für Facebook zur Unzeit, denn gerade erst war der internationale Aufschrei nach dem Datenskandal um Cambridge Analytica etwas verhallt. Nun muss sich Mark Zuckerberg nach dem US-Parlament auch dem Europaparlament stellen. 

Sicherheitsforscher haben im Netz ein Lehrstück entdeckt, wie man es besser nicht macht. Statt Best Practice in Punkto IT-Sicherheit hat die Betreibergesellschaft einer Seilbahn in der Nähe von Innsbruck nämlich ein wahres Worst-Practice-Beispiel abgeliefert. Und dabei war die hochmoderne Gondelbahn gerade erst Ende 2017 eröffnet worden. Pro Stunde soll sie 2.000 Besucher zum Gipfel transportieren. Offensichtlich wurde allerdings die neue Fernwartungsanlage nicht auf Herz und Nieren überprüft. Bei einem routinemäßigen Scan des Internets nach verwundbaren Anlagen, ist den beiden White-Hat-Hackern Sebastian Neef und Tim Philipp Schäfers vom Projekt Internetwache.org die Patscherkofeler Bahn aufgefallen.

Nicht nur war die Steuerungsanlage der neuen Gondelbahn auf den Patscherkofel ohne Sicherheitsmaßnahmen im Netz zu finden, wodurch ein Hacker sie wohl ohne Weiteres hätte übernehmen können, sondern auch die Steuerkommandos wurden unverschlüsselt gesendet. Die Innsbrucker Kommunalbetriebe als Betreiber sollen auf eine alte Steuer-Software namens Connect des Gondelbauers Doppelmayr vertraut haben. Der Geschäftsführer der Patscherkofelbahn, Martin Baltes, bestätigte, dass man „kurzfristig die Daten einsehen konnte“. Dies sei aber nicht eine Sache des Betreibers, sondern der Herstellerfirma, also der Firma Doppelmayr. Kurz nach Bekanntwerden der Sicherheitslücke versuchte sich das Unternehmen noch in Schadensbegrenzung. Ein Sprecher von Doppelmayr äußerte sich gegenüber golem.de wie folgt: "Es hat nie in Sicherheitsproblem gegeben, die Steuerung der Bahn war auf diesem Weg nicht möglich."

Die beiden Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers, die das Sicherheitsleck entdeckten, sehen das allerdings völlig anders. Der Zugang zu Bedienelementen wie Fahrtrichtung oder Sicherheitsabstand stand ihnen anscheinend offen. Auch die Steuerung der Notbremse sei einsehbar gewesen. Ausprobiert haben das die zwei Computerexperten allerdings nicht, da die Gondelbahn zum Zeitpunkt der Entdeckung der Sicherheitslücke in Betrieb war. Die beiden Hacker teilten den Fund der Sicherheitslücke gleich am 16. März 2018 dem zuständigen CERT mit. Das eigentliche Problem war aber, dass die Steuerkommandos völlig unverschlüsselt, also ohne den Einsatz von TSL gesendet wurden. Offensichtlich war eine Authentifizierung in dem System nicht vorgesehen, außerdem ist die Webapplikation anscheinend für Cross-Site-Scripting (XSS) anfällig. Die Schwachstelle ist wohl schon länger bekannt. Bereits 2016 hatten Neef und Schäfer den Systemintegrator Certec über die Schwachstelle informiert. Geschehen ist aber offensichtlich nichts. Laut Neef und Schäfer kommt es nicht selten vor, dass Betreiber von unzureichend konfigurierten IoT-Geräten versuchen, die Bedeutung von Sicherheitslücken herunterzuspielen. Oftmals wird scheinbar ein Schaden billigend in Kauf genommen. 

Einen Tag nach der Entdeckung soll die Lücke von den Verantwortlichen geschlossen worden sein. Bevor die Anlage im Sommer wieder in Betrieb geht, wollen die Innsbrucker Kommunalbetriebe ein Sicherheitskonzept vorlegen.

Manchmal braucht es weder Hackerangriff noch Schad-Software, um die IT-Systeme eines Unternehmens lahmzulegen. Immer wieder gibt es Fälle, in denen die Verantwortlichen das ganz alleine schaffen – ohne „Hilfe“ von außen. Die Gründe sind vielfältig: Mal wird schlampig gearbeitet, mal wird an der falschen Stelle gespart, mal spielen die Geräte verrückt. Und manchmal sind die Ziele einfach zu ambitioniert, die Deadlines zu knapp bemessen und der Wille des Managements wird über das gestellt, was die technischen Gegebenheiten und Möglichkeiten hergeben. Welche Auswirkungen das haben kann, muss derzeit die britische Bank TSB erleben. Seit Anfang vergangener Woche haben die mehr als 1,9 Millionen Kunden der Bank keinen Zugriff mehr auf ihre Konten. Unternehmen konnten den Berichten zufolge die Gehälter ihrer Angestellten nicht zahlen, andere Kunden waren im Urlaub ohne funktionierende Kreditkarte und ohne Bargeld gestrandet. Schuld an der Misere war der misslungene Versuch, die Daten der TSB-Kunden in ein neues Computersystem zu überspielen. Zwar feierten sich die Verantwortlichen in den sozialen Medien für den Erfolg, allerdings häuften sich nur wenige Stunden danach die Probleme. Schließlich mussten die Zuständigen nach zwei Tagen eingestehen, dass es noch dauern könnte, bis die Bank wieder voll einsatzfähig ist. Mittlerweile haben zwar viele Kunden wieder Zugriff auf ihre Konten, doch was sie da vorfanden, dürfte für die eine oder andere Überraschung gesorgt haben. Einige Hypotheken-Konten waren ganz verschwunden, auf manchen Konten befand sich deutlich mehr Geld als gedacht. Andere landeten auf völlig fremden Konten, von denen sogar Abbuchungen möglich gewesen wären. Kurz: Eine Katastrophe. Doch was genau war passiert? 

Die TSB-Bank war vor 2013 aus der Lloyds Banking Group (LBG) ausgegliedert worden. Trotzdem stellte LBG der TSB weiterhin die IT-Infrastruktur, eine gespiegelte Version ihrer eigenen Software, zur Verfügung und berechnete dafür jährlich 100 Millionen Pfund. Dieses Geld wollte der neue Eigentümer, die spanische Sabadell-Bank, sparen und die Daten auf sein eigenes System Proteo migrieren. Das war speziell für derartige Zusammenschlüsse entwickelt worden. Doch hier lauerte bereits Problem Nummer eins: die Software, die die TSB-Bank nutzte, war ein wild zusammengeschustertes System, das durch die Verschmelzung mehrerer Banken im Laufe der Zeit gewachsen war. Ein Insider bezeichnete es gegenüber der britischen Zeitung Guardian als absolut unpassend für die Bedürfnisse von TSB. Und dieses System sollte nun aufgelöst und die Daten in das Proteo-System überführt werden. 

Ein besonders ambitionierter Zeitplan wurde erarbeitet und ein sehr knappes Budget zur Verfügung gestellt. Bereits an diesem Punkt warnten Experten davor, dass diese Vorgaben zu einem Desaster führen könnten. Doch diese Bedenken wischte man beiseite, da man ja bereits Erfahrung mit der Integration von kleineren spanischen Banken in Proteo hatte. Und so nahm das Unglück seinen Lauf. Nach Angaben des Insiders zeichnete sich bereits im März 2017 ab, dass es bei dem Projekt zu größeren Problemen kommen würde. Außerdem bekam das Team von Sabadell nicht die volle Kontrolle über das TSB-System, da das von LBG zur Verfügung gestellt wurde. Und so konnten sie das System auch nicht vollständig durchleuchten. Es herrschten also denkbar schlechte Voraussetzungen für einen erfolgreichen Projektabschluss. Trotzdem hielt man am Projekt fest und erweiterte den Zeitrahmen nur um wenige Monate, da jede Verzögerung massiv Geld kosten würde (man bedenke die 100 Millionen Pfund, die an LBG zu zahlen sind). Die Quittung für dieses Vorgehen erhalten jetzt sowohl Sabadell als auch TSB: Die britischen Aufsichtsbehörden haben Ermittlungen eingeleitet. Und die Vertrauens- und Reputationsverluste dürften der Bank noch eine ganze Weile schaden. 

Beim Thema IT-Sicherheit denken die meisten als erstes an Trojaner, Hackerangriffe oder Ransomware. Doch auch von ganz anderer Seite drohen Gefahren für die Datensicherheit: Staub, Feuer, Feuchtigkeit oder sogar Lärm können ebenfalls immense Schäden anrichten, wie ein Fall in Schweden kürzlich gezeigt hat. 

Dort hatte ein Feueralarm im Rechenzentrum Digiplex dazu geführt, dass Löschgas versprüht wurde. In den meisten Rechenzentren gibt es hochsensible Sensoren, die die kleinsten Veränderungen in der Temperatur, der Luftfeuchtigkeit oder der Luftzusammensetzung, etwa durch Löschgas, registrieren und entsprechend reagieren. Das ist an sich auch eine gute Sache, denn so wird vermieden, dass Wasser oder Schaum die empfindlichen Server zerstören. In Schweden kam es trotzdem zu umfangreichen Schäden an den Geräten, denn beim Versprühen des Gases entstand offenbar ein derart lauter Ton, dass die Schallwellen die Festplatten beschädigten. Zu den betroffenen Unternehmen, deren Systeme durch die defekten Server beeinträchtigt waren, zählten neben einigen Banken auch die amerikanische Börse Nasdaq. In der Folge war der Handel an diesem Tag zwischen 08:00 und 14:00 Uhr stark eingeschränkt. Trotzdem scheint die Börse einiges richtig gemacht zu haben, denn die Folgen hätten noch wesentlich gravierender ausfallen können. Sie konnte auf Back-up-Systeme bei anderen Rechenzentren zurückgreifen und nach deren Aktivierung wieder relativ normal arbeiten.

Während sich in den meisten Unternehmen mittlerweile zumindest ein Problembewusstsein für die Absicherung der IT-Infrastruktur vor Angriffen etabliert hat, fristen gerade in kleineren Firmen die Server immer noch ein Dasein in tristen Kellerräumen oder Abstellkammern ohne besondere Sicherheitsvorkehrungen. Zwar gibt es in neueren Bürogebäuden oft einen Serverraum, in dem zumindest eine Klimaanlage vor Temperaturschwankungen schützt, doch weitere Systeme und Sensoren, abgesehen vom obligatorischen Feuermelder, sind häufig nicht vorhanden. Auch eine nachvollziehbare und restriktive Zugangskontrolle findet in vielen Fällen nicht statt. Schon ein Türschloss und Videoüberwachung sind ein wichtiger Schritt in Richtung Sicherheit.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinem Leitfaden ein Kapitel zum Schutz vor Katastrophen und Elementarschäden aufgenommen – und das nicht ohne Grund! Darin empfiehlt das Amt einen detaillierten und allgemein im Unternehmen bekannten Notfallplan für den Schadensfall, der neben allen relevanten Telefonnummern auch konkrete Zuständigkeiten und Abläufe enthalten sollte. Darüber hinaus sollte regelmäßig ein Back-up aller im Unternehmen vorhandenen Geräte erstellt werden, inklusive Handys, Laptops und sonstigen Speichermedien. Die Back-up-Festplatten sollten räumlich getrennt und ohne eine ständige Verbindung zu den Hauptsystemen aufbewahrt werden, um auch bei Bränden, Überflutung oder einer Kompromittierung der Systeme mit Schadsoftware funktionsfähig zu bleiben. Um solche Schäden von vornherein zu vermeiden, sollte der Serverraum zumindest mit einigen technischen Extras, wie einer unabhängigen Stromversorgung mit Überspannungsschutz, ausgestattet sein. 

Dass durch das unbedachte Klicken auf Links oder Dateien in E-Mails und im Internet Gefahr droht, hat sich mittlerweile bei den meisten Internetnutzern herumgesprochen. Wer also ein E-Mail mit dem Inhalt „Schau dir mal dieses witzige Video an: "http://www.schaedlinghierherunterladen.de/exe“ bekommt, wird im Normalfall nicht darauf hereinfallen. Zum einen ist der Link unbekannt, zum anderen fehlt vorne ein https, das auf eine verschlüsselte Datenübertragung hindeuten würde und zu guter Letzt weist das .exe nach der URL auf eine ausführbare Datei hin. Internetnutzer haben angesichts der vielen Meldungen über Schadsoftware in den letzten Jahren durchaus dazugelernt und sind dadurch immer schwerer von Hackern hinters Licht zu führen.

Doch auch die Kriminellen schlafen nicht und haben sich einen neuen Trick ausgedacht, wie Sicherheitsforscher von Barracuda Networks herausfanden. Mit ihrer neuen Masche wird kein normaler http-Link auf eine Webseite verschickt, sondern ein Link mit einer Datei. Die hat eine unbekannte Endung und beginnt mit file://. Auf den ersten Blick ist das für den unbedarften Empfänger – und auch für die meisten Antivirenprogramme – nicht als externer Link erkennbar, denn file:// wird nicht mit einem Browser, sondern mit Samba verknüpft. Es handelt dabei um ein Netzwerkprotokoll, das den Dateitransfer zwischen Windows-Rechnern und UNIX-Systemen erlaubt. Klickt man auf den Link, führt das Systemprogramm Windows Script Host die im Link enthaltene Datei aus, ohne dass zusätzlich ein Browserfenster geöffnet wird. Anschließend lädt diese Datei den bereits bekannten Trojaner Quant Loader herunter und kümmert sich um dessen Installation. Quant Loader wiederum kann dann weitere Schadsoftware auf den Computer schmuggeln und so gewaltige Schäden anrichten. Schon die Ransomware Locky wurde mittels Quant Loader verbreitet.

Um sich vor solchen Bedrohungen zu schützen, ist es umso wichtiger, mit den Kriminellen Schritt zu halten. Im Klartext heißt das: Aufklärung über Cyberrisiken sollte keine einmalige Sache sein, sondern kontinuierlich gefördert und gefordert werden. Gerade dann, wenn neue Verbreitungswege bekannt werden, empfiehlt es sich, diese Informationen weiterzugeben. Unternehmen sollten zusätzlich die technische Absicherung auf dem neuesten Stand halten. Nur so kann man kriminellen Hackern das Leben so schwer wie möglich machen und ihre Erfolgsquote weiter senken.

Kryptowährungen sind derzeit in aller Munde. Doch während sich das sogenannte Schürfen, also das Erzeugen von neuem Geld mittels Rechenleistung, beim Platzhirsch Bitcoin auf normalen Computern kaum noch lohnt, existieren mittlerweile andere digitale Währungen, bei denen weit weniger Power vonnöten ist. So wie beispielsweise Monero, das bereits von einem handelsüblichen Smartphone erzeugt werden kann. Was für Menschen, die sich bewusst auf das Abenteuer Kryptowährungen einlassen, durchaus von Vorteil ist, machen sich aber auch Kriminelle zunutze. Experten sprechen in diesen Fällen von Kryptojacking. Kürzlich entdeckten Sicherheitsforscher des amerikanischen Unternehmens Crowdstrike eine neue Schad-Software, die sie „WannaMine“ tauften. Sie befällt fremde Computer und zweigt dort Rechenleistung ab, um Monero zu erzeugen. Dabei ist WannaMine bei Weitem nicht der erste Schädling, der auf diese Art arbeitet. Insbesondere Smartphones sind im Visier der kriminellen Goldgräber, denn sie sind tendenziell schlechter geschützt als Heimcomputer und werden seltener abgeschaltet. Gleiches gilt auch für Firmennetzwerke, die ebenfalls ein beliebtes Ziel sind.Der Verbreitungsweg ist dabei relativ einfach: Mining-Programme können über Apps auf das Smartphone gelangen, mittels gefälschter Werbebanner auf Webseiten eingeschmuggelt werden, die dann den Code nachladen oder über infizierte Webseiten verbreitet werden. Die dabei verwendeten Funktionen werden übrigens auch von legitimen Webseiten genutzt, beispielsweise vom amerikanischen Newsportal Salon, das Besuchern die Wahl lässt ob Monero geschürft oder Bannerwerbung eingeblendet werden soll. Ist das Mining-Programm erst einmal gestartet, macht es sich gierig über die Rechenleistung her. Besonders bei Computern mit weniger leistungsfähigen Chips und bei Smartphones kann das zu einem deutlichen Leistungsabfall führen. Bei mobilen Geräten kommt hinzu, dass der Akku geradezu leer gesaugt wird und heiß läuft, was durchaus zu Schäden führen kann. Mobilfunknutzer gelangen so zudem recht schnell an die Grenzen ihres inklusiven Datenvolumens. Auch bei Unternehmensnetzwerken könnten die restlichen Kapazitäten der Server nicht mehr reichen, um die regulären Operationen korrekt auszuführen. Der vor Kurzem entdeckte Schädling WannaMine hat es z. B. ganz speziell auf solche Netzwerke abgesehen, die er dann regelrecht versklavt und ausnutzt, bis unter Umständen die IT-Infrastruktur zusammenbricht. Damit stellen die Kryptominer eine ganz reale Gefahr für die Unternehmenssicherheit dar. 

Die Microsoft Malware Protection Engine (MMPE) ist eigentlich eine gute Idee. Sie soll Windows-Rechnern einen Basisschutz vor dem Eindringen von Schadsoftware bieten, auch ohne den Einsatz eines zusätzlichen Antivirenprogramms. Doch leider hat sich auch hier in der Programmierung ein Fehler eingeschlichen, der es Angreifern ermöglicht, Rechner komplett zu übernehmen. In dieser Woche hat Microsoft die Sicherheitslücke mit einem Update geschlossen.

Genauere Informationen hat Microsoft nicht herausgegeben, um es Hackern nicht zu einfach zu machen. Offenbar werden jedoch bestimmte Dateiformate oder präparierte Dateien beim Scan durch die MMPE nicht ordnungsgemäß verarbeitet. Das führt dazu, dass Schadsoftware sich während des Prozesses einnisten kann. Nach einer erfolgreichen Infektion seien Angreifer in der Lage, den kompromittierten Rechner komplett zu übernehmen. Das heißt, sie könnten Programme installieren, Daten kopieren oder verändern und neue Profile mit Admin-Rechten einrichten. Laut Microsoft ist es dazu allerdings noch nicht gekommen. Ein Angriff, der diese Sicherheitslücke ausnutzt, ist bislang nicht bekannt.

Microsoft-Nutzer sollten sich dennoch schleunigst vergewissern, dass sie das aktuellste Update der MMPE mit der Nummer 1.1.14700.5 installiert haben. Wer automatische Updates aktiviert hat, müsste hier auf der sicheren Seite sein, denn Microsoft hat den Patch bereits Mitte der Woche verteilt. Wer nicht auf diese Funktion zurückgreifen will oder eine Freigabe für die Installation benötigt, sollte versuchen, die Angelegenheit zu beschleunigen. Fakt ist: Jetzt, da die Lücke bekannt ist, werden Hacker versuchen, den Fehler zu reproduzieren und sich dann auf die Suche nach Rechnern machen, bei denen das Update noch nicht eingespielt wurde. 

Teile der Stadtverwaltung von Atlanta befinden sich seit dem 22. März in der Hand von Geiselnehmern. Die Kriminellen haben nicht etwa mit Waffengewalt das Rathaus gestürmt, sondern schleusten lediglich eine bislang noch nicht näher beschriebene Ransomware in die Computersysteme der Stadt ein. Mittlerweile befindet sich die Stadt nach Aussage von beteiligten IT-Sicherheitsspezialisten in einer frühen Erholungsphase. Allerdings sind viele Abläufe weiterhin stark verlangsamt, da sie manuell erledigt werden müssen. Darüber hinaus erfordern einige Vorgänge, wie das Bezahlen der Stromrechnung oder die Anmeldung neuer Wasseranschlüsse, derweil den persönlichen Gang in die jeweilige Behörde, denn die Online-Services sind nicht verfügbar. Auf die Frage eines Journalisten, wie lange die Stadt auf diese Weise arbeitsfähig bleiben könne, antwortete die Bürgermeisterin fatalistisch und mit einem Funken Galgenhumor, dass es vor der Einführung der Computersysteme ja auch funktioniert habe und die aktuelle Situation besonders für jüngere Angestellte der Stadt eine gute Übung für ihre Handschriften sei. 

Ob das geforderte Lösegeld von 51.000 US-Dollar, gefordert in Bitcoin, gezahlt werde oder vielleicht sogar schon gezahlt wurde, ist nicht bekannt. Darüber schweigen sich die Stadtverwaltung und die Sicherheitsbehörden aus. Auch die eingeschaltete externe Sicherheitsfirma SecureWorks, die ihren Sitz in der amerikanischen Metropole hat, beruft sich auf den frühen Stand ihrer Untersuchungen. Sie gibt keine weiteren Informationen darüber heraus, wie der Angriff ablief und welche Ransomware zum Einsatz gekommen ist. Klar ist allerdings, dass es noch eine Weile dauern dürfte, bis alle Systeme in Atlanta wieder so funktionieren wie vor der Attacke.

Der Fall macht einmal mehr deutlich, wie sehr die fortschreitende Digitalisierung auch staatliche Organe angreifbar machen kann. In Atlanta waren die wichtigen Notfallsysteme, wie die Notrufnummer 911 oder die Feuerwehr, sowie kritische Strukturen wie Kraftwerke, Verkehrsleitsysteme oder Krankenhäuser nicht betroffen und funktionieren weiter uneingeschränkt. Doch das muss und wird aller Voraussicht nach nicht so bleiben. Das haben im Zuge der Attacke auch die Verantwortlichen in Atlanta und hoffentlich auch in anderen Städten weltweit erkannt. Doch solange jede Behörde ihr eigenes Süppchen kocht, Schnittstellen zwischen den unterschiedlichen Systemen weder standardisiert noch vernünftig abgesichert werden und die Mitarbeiter nicht ausreichend in IT-Sicherheit geschult werden, bleibt die Gefahr bestehen.

UPDATE: Wie heise.de berichtet, kann Atlanta das Lösegeld momentan nicht zahlen, weil die Erpresser das Zahlungsportal gelöscht haben. Nachdem die Zahlungsaufforderung für das Lösegeld im lokalen Fernsehen gezeigt wurde, inklusive der URL des Kontakt- und Zahlungsportals, wurden die Kriminellen mit Spam-Mails überschüttet. Als Reaktion nahmen sie das Portal offline.

Facebook sieht sich derzeit mit dem größten Datenskandal seiner Geschichte konfrontiert. Über 50 Millionen Nutzerprofile sollen unrechtmäßig in die Hände von Cambridge Analytica gefallen sein, einem Unternehmen, das auf die Analyse von Daten spezialisiert ist. Dort brüstete man sich damit, sowohl die Brexit-Abstimmung als auch die Wahl in den USA maßgeblich beeinflusst zu haben. Facebook hingegen entschuldigte sich und sieht sich selbst als Opfer. Doch was ist eigentlich passiert?

2010 führte Facebook seine Open Graph API für Entwickler ein. Damit konnten sich App-Anbieter von ihren Nutzern das Recht einräumen lassen, auf Daten ihrer Facebook-Profile zuzugreifen. Dazu gehörten neben Namen, Geschlecht, Wohnort und Facebook-ID auch biografische Daten wie Schulbildung, Zugehörigkeit zu Organisationen, Beziehungsstatus, Religion sowie gelikte und geteilte Seiten und Beiträge. Dieser Zugriff beschränkte sich nicht auf das eigene Profil, sondern galt auch für die Daten der Facebook-Freunde – der Grundstein der aktuellen Debatte.  

Drei Jahre später programmierte Psychologieprofessor Aleksandr Kogan eine Umfrage-App und bezahlte Medienberichten zufolge rund 270.000 Personen dafür, sie auszufüllen. Das ist an und für sich nicht ungewöhnlich, wenn im universitären Umfeld Daten im großen Stil erhoben werden sollen. Doch dank der damals gültigen Datenschutzbestimmungen bei Facebook gelangte Kogan nicht nur an die Daten seiner Teilnehmer. Gleichzeitig erhielt er die ihrer Kontakte – in Anbetracht der Anzahl der „Freunde“, die viele bei Facebook haben, verwundern dann auch die 50 Millionen Datensätze nicht mehr.

2015 beendete Facebook die Nutzung seiner Open Graph API. Hintergrund waren Negativschlagzeilen über die extensive Datenerfassung von externen Apps und immer mehr Beschwerden von Nutzern, die den Kontrollverlust über ihre Daten fürchteten. Seither können Nutzer selbst bestimmen, welche Daten sie zusätzlich herausgeben wollen. 

Doch um den Skandal zu verhindern, war es bereits zu spät. Im gleichen Jahr wurde bekannt, dass Kogan die Daten aus seiner App an die Firma Cambridge Analytica verkauft hatte. Facebook verklagte das Unternehmen, denn die Weitergabe der Daten war ein klarer Verstoß gegen die Richtlinien, denen Kogan zugestimmt hatte. Das Ergebnis: Cambridge Analytica wurde gezwungen, die unrechtmäßig erworbenen Daten zu löschen. Facebook erhielt eine beglaubigte Erklärung als Beleg für die Löschung und verließ sich darauf. Ein Fehler, wie sich jetzt herausgestellt hat. 

Vor einigen Tagen berichteten die New York Times und der Guardian übereinstimmend, dass die Profildaten der Nutzer weiterhin bei Cambridge Analytica vorliegen. Ein Whistleblower bestätigte dies gegenüber verschiedenen Zeitungen. Eine Katastrophe für Facebook, denn die Nutzer geben dem sozialen Netzwerk die Schuld, nicht besser auf ihre Daten aufgepasst zu haben. Auch die US-Verbraucherschützer der Federal Trade Commission und das deutsche Justizministerium sehen Anhaltspunkte, dass Facebook zumindest eine Mitschuld hat. 

Mit der Schuldfrage wird sich die Justiz befassen. Derweil ist aber klar: Facebook hat das Vertrauen vieler Nutzer endgültig verspielt. Bereits seit Tagen geistert der Hashtag #DeleteFacebook durch die sozialen Medien. Auch die Ankündigung Facebooks, Maßnahmen gegen eine Wiederholung des Vorfalls ergreifen zu wollen, dürfte den Shitstorm kaum abmildern. Nutzern, die sich nicht direkt abmelden wollen, bleibt nur, sich mit dem Teilen und Preisgeben von Informationen zurückzuhalten, um die Datenkrake nicht weiter zu füttern. Der Fall macht einmal mehr deutlich, welche Macht soziale Netzwerke mittlerweile haben und dass es zumindest fraglich ist, ob sie sich ihrer würdig erweisen.

Am Donnerstagabend erschienen auf dem Fernsehgerät von Nordrhein-Westfalens Agrarministerin plötzlich Aufnahmen aus dem Landtag. Schon seit einiger Zeit wird die CDU-Politikerin außerdem über ihr persönliches Profil in einem sozialen Netzwerk massiv bedroht.

Offensichtlich haben sich vergangene Woche Hacker Zugang zum privaten Datennetz Schulze Föckings verschafft und so die Aufnahme einer Fragestunde aus dem Landtag auf dem TV-Gerät der Ministerin eingespielt. Mittlerweile hat das Landekriminalamt Ermittlungen aufgenommen.

Seit vergangenem Jahr wird die Politikerin bedroht. Tierschützer hatten heimlich Videoaufnahmen im Mastbetrieb der Familie Schulze Föcking gemacht und veröffentlicht. Die Bilder zeigten Schweine mit abgerissenen Schwänzen und entzündeten Gelenken. Der Fall zeigt einmal mehr, dass die vermeintlich smarten Geräte Kriminellen zusätzliche Einfallstore bieten. 

Über Konfigurationsprofile lassen sich auf Apple-Geräten Funktionen sperren, Apps installieren und bestimmte Einstellungen speichern. Was für Unternehmen eine praktische Funktion ist, um beruflich genutzte Geräte genau für den vorgesehenen Einsatz zu konfigurieren und die Nutzung privater Apps zu unterbinden, stellt jedoch ganz nebenbei eine gewaltige Sicherheitslücke dar. Bereits im vergangenen Jahr verbreitete sich eine Malware mit dem etwas umständlichen Namen iXintpwn/YJSNPI über Konfigurationsprofile, die sich in den sozialen Medien als Jailbreak für iPhones und iPads ausgaben. 

Wer damals auf der Suche nach einem sogenannten Jailbreak war, also einer Möglichkeit, Sicherheits- und Nutzungsschranken bewusst zu umgehen, landete unter Umständen bei einem unsignierten iOS-Konfigurationsprofil. Einmal installiert, lud es eine App nach und platzierte ein entsprechendes Icon auf dem Home-Bildschirm. Beim Öffnen der App erschienen plötzlich dutzende weitere Icons, die den Homescreen und somit das Gerät lahmlegten. Löschen ließ sich das Konfigurationsprofil nur über Umwege, denn es war als „nicht entfernbar“ gekennzeichnet.

Mittlerweile sind auch Spammer auf diese Funktion aufmerksam geworden. In zahlreichen Apps und auf Webseiten, die ihre Werbung über Googles Netzwerk AdMob beziehen, werden immer wieder Werbebanner eingeblendet. Sie sollen die Nutzer dazu bringen, ein neues Konfigurationsprofil zu installieren. Ein falscher Klick genügt dazu – und wer schon einmal versucht hat, nebenbei ein störendes Pop-up auf dem Smartphone wegzuklicken, weiß, wie schnell man das kleine X in der Ecke verfehlt. Ist das neue Profil auf dem Gerät, wird zum Beispiel eine neue E-Mail-Adresse installiert, über die man massenweise Werbemails und Spam erhält. Aber auch neue Malware kann darüber eingeschleust werden.

Von Google können iOS-Nutzer wenig Schutz erwarten. AdMob wird der Menge an infizierten Werbebannern kaum noch Herr und ständig kommen neue hinzu. Apple bietet ebenfalls keine Abhilfe, denn die Kriminellen nutzen ja eine eigentlich sinnvolle Funktion des Betriebssystems. Nutzer sollten also möglichst vorsichtig beim Klicken sein und keinesfalls Konfigurationsprofile aus unbekannten Quellen installieren. Auch ein Jailbreak ist keine gute Idee, denn den vermeintlich erweiterten Funktionsumfang erkauft man sich mit dem Garantieverlust für sein Gerät und riskiert erhebliche Einbußen in puncto Sicherheit. Ist das Kind aber doch einmal in den Brunnen gefallen, lassen sich zumindest die Spam-Profile relativ einfach in den allgemeinen Einstellungen des Geräts löschen und verwalten. Schwieriger gestaltet es sich bei iXintpwn/YJSNPI. Hier müssen Nutzer das Apple-Tool Configurator 2 einsetzen, das allerdings nur auf Mac-Computern läuft.

Ein E-Mail-Programm ist eine praktische Sache. Es prüft das Postfach automatisch auf neue Nachrichten und ruft sie ab, die Ansicht ist auf das jeweilige Endgerät zugeschnitten – kurz: es vereinfacht die digitale Kommunikation. Da zumindest die grundsätzlichen Funktionen bei fast allen E-Mail-Clients sehr ähnlich sind, ist es für viele Nutzer eigentlich reine Geschmackssache, welches Programm sie auswählen. Doch diese Einstellung sollte man nochmal genauer prüfen, denn der Sicherheitsforscher Mike Kuketz hat nun eklatante Sicherheitslücken bei einigen der kostenlosen Apps für Android-Geräte gefunden.

So übertragen mindestens sechs beliebte E-Mail-Clients die eingegebenen Kennwörter an den jeweiligen App-Anbieter, und das zum Teil sogar unverschlüsselt. Konkret nennt Kuketz die Programme Blue Mail, Type App, my Mail, Email App for Any Mail, Mail.ru und E-Mail – Fast & Secure mail for Gmail Outlook & more. Bei Blue Mail hätte ein Blick in die AGB ausgereicht, um das festzustellen. Denn in der Datenschutzerklärung lässt sich die App vom Nutzer das Recht zum Sammeln der Anmeldedaten einräumen. Dass damit allerdings gemeint ist, dass das Kennwort unverschlüsselt übertragen wird, konnten wohl auch die wenigen Nutzer, die diese Erklärung tatsächlich gelesen haben, nicht erahnen.

Wer nun denkt, dass das Problem nur wenige Nutzer von eher unbekannten Apps betreffen dürfte, irrt. Ein Blick auf die Download-Zahlen im Play Store zeigt bei allen genannten Programmen zwischen einer und fünf Millionen Downloads, bei myMail und Mail.ru sogar mindestens 10 Millionen. Das Problem: Es muss sich dabei nicht um aktuelle User handeln. Es reicht, wenn der Client einmal eingerichtet und dabei das Kennwort übertragen wurde. Ob man ihn dann nutzt oder wieder löscht, ist egal, der Schaden wurde bereits angerichtet. Daher sollten alle, die eines der genannten E-Mail-Programme irgendwann einmal in Benutzung hatten, schnellstmöglich die Kennwörter für das betroffene Konto ändern und auf eine vertrauenswürdige App umsteigen.

Der Anbieter von Blue Mail hat übrigens die Erkenntnisse des Sicherheitsforschers in einer Pressemeldung dementiert. Das hält die App allerdings nicht davon ab, weiterhin Kennwörter zu übertragen. Das hat Kuketz nach der Veröffentlichung der Meldung erneut überprüft.

Der Cyber-Angriff auf die Bundesregierung zeigt einmal mehr, wie wichtig es ist, im Bereich Informationssicherheit zu investieren – und zwar nicht nur finanziell, sondern auch personell. Andere Nationen wie China, Russland oder die USA sind in diesem Bereich wesentlich besser aufgestellt als Deutschland. Um das deutsche Regierungsnetz zu sichern, bedarf es mehrerer tausend Beschäftigter, nicht wie bisher 700 Mitarbeiter im Bundesamt für Sicherheit in der Informationstechnik.

Besonders brisant: Betroffen vom Hacker-Angriff, der im Netz unter dem Hashtag #bundeshack verfolgt werden kann, sind wohl vor allem das Auswärtige Amt sowie das Verteidigungsministerium. Professionelle Hacker haben nach derzeitigem Informationsstand eine Schad-Software über das Netz der Bundesakademie für öffentliche Verwaltung der Fachhochschule des Bundes eingeschleust. Über die Server-Netze des Bundes habe man sich dann den Weg zu weiteren Netzwerken gebahnt. So sei es theoretisch auch möglich gewesen, an höchst vertrauliche Informationen zu außenpolitischen Strategien zu gelangen.

Einige Bundestagsabgeordnete sind empört darüber, dass sie erst aus den Medien vom Hacker-Angriff erfahren haben. Strategisch macht die Geheimhaltung über einen längeren Zeitraum allerdings durchaus Sinn. Solange der Täter nicht weiß, dass er entdeckt wurde, hat das Opfer zwei entscheidende Vorteile: Einerseits ist die Wahrscheinlichkeit, den Angriff zurückzuverfolgen, wesentlich höher, solange dieser noch andauert. Andererseits können bewusst falsche Informationen gestreut werden, die den Erfolg der Attacke ins Gegenteil verkehren und Spionageversuche vereiteln.

Das Parlamentarische Kontrollgremium (PKGr) hält sich mit genaueren Informationen zum Vorfall bisher zurück, zumal der Angriff noch andauert. Als Täter vermutet man die russische Hackergruppe „Snake“, die dafür bekannt ist, weltweit Regierungsnetze anzugreifen. Nach Informationen der dpa könnte die Gruppe bereits seit Ende 2016 Zugriff auf das Netz der Bundesregierung haben. Möglich ist allerdings auch eine ganz andere Tätergruppe, die bewusst falsche Fährten legt. Für eine russische Beteiligung spricht allerdings die Tatsache, dass der Kreml gezielt versucht, die EU zu destabilisieren. Mit geheimen Informationen zur Außenpolitik wäre es Russland möglich, die politische Stimmung zu beeinflussen.

Das Internet soll sicherer werden. Dieser Mission hat sich Google mit dem Slogan „A secure web is here to stay“ verschrieben. Um dem Ziel näher zu kommen, hat der Internetriese nun angekündigt, dass ab Juli 2018 alle Webseiten, die weiterhin keine SSL-Verschlüsselung nutzen, im hauseigenen Browser Chrome als unsicher gekennzeichnet werden. Bislang wird solchen Seiten nur das grüne Sicherheitsschloss in der Adressleiste vorenthalten, ab Sommer soll zusätzlich der Schriftzug „Not secure“ erscheinen. Diese Entwicklung hat sich schon vor Jahren angekündigt. So werden http-Seiten ohne SSL-Verschlüsselung bereits seit 2014 in den Ergebnissen der Suchmaschine heruntergestuft. 

Wer das vermeiden will, sollte sich schnellstmöglich darum kümmern, seine Webangebote auf https umzustellen. Das ist auch längst nicht so kompliziert und teuer, wie die meisten vermuten. Google stellt den Nutzern hierfür sogar Werkzeuge zur Verfügung, mit denen sich beispielsweise sogenannter Mixed Content aufspüren lässt. Damit wird sichergestellt, dass die Verschlüsselung auch tatsächlich das gesamte Webangebot umfasst und nicht einzelne Inhalte von der Verschlüsselung ausgenommen werden. Auch die Kosten halten sich in Grenzen. Die Initiative Let’s Encrypt von Google, der Electronic Frontier Foundation (EFF), Mozilla und weiterer Software-Unternehmen bietet kostenlose SSL-Zertifikate an, und auch deutsche Hoster halten für ihre Kunden gebührenfreie Alternativen bereit.

Für Webseiten-Betreiber ist dieser Schritt von Google ein weiterer Anreiz, ihre Webseiten auf Vordermann zu bringen und eine sichere Verschlüsselung zu implementieren. Werden Kundendaten erhoben, wie bei einem Kontaktformular, einer Newsletter-Anmeldung oder einem Mitgliederbereich mit Log-in, ist dies mit Blick auf die im Mai in Kraft tretende EU-Datenschutz-Grundverordnung ohnehin geboten. Denn die Verordnung fordert „geeignete“ Maßnahmen zum Schutz der übertragenen Daten. Und das heißt im Klartext: Verschlüsselung ist Pflicht.

Die feierliche Eröffnungszeremonie der Olympischen Spiele in Pyeongchang in Südkorea wurde von technischen Problemen überschattet. So war die Webseite zwischenzeitlich nicht erreichbar, wodurch offenbar einige Besucher der Feier ihre Tickets nicht ausdrucken konnten. Auch der WLAN-Empfang im Stadion und die TV-Übertragung waren gestört. Schuld an der Technikpanne war eine neue Malware mit dem durchaus passenden Namen „Olympic Destroyer“, wie die Sicherheitsforscher von Ciscos Talos-Team herausfanden. Seine schon im Namen erklärte Mission, die Olympischen Spiele zu zerstören, hat der Schädling glücklicherweise nicht erreicht, allerdings könnte er in Zukunft dank der Fähigkeit zu lernen noch für Ärger sorgen.

Ziel der Malware ist es, Windows-Rechner komplett lahmzulegen. Dafür geht sie in mehreren Schritten vor. Wird ein Computer infiziert, wird zuerst eine Datei mit einem zufälligen Dateinamen installiert, die anschließend versucht, das Netzwerk weiter zu infiltrieren, also alle verbundenen Rechner ebenfalls zu befallen. In einem zweiten Schritt sammelt der Schädling Daten. Dabei greift er sowohl die im Browser gespeicherten Kennwörter als auch System-Log-ins ab. Diese Informationen werden anschließend an einen Command-and-Control-Server gesendet, von wo sie dann wiederum an andere Installationen der Schad-Software weitergegeben werden. Diese lernen so ständig dazu.

Hat der Destroyer die Daten abgeschöpft, geht er an seine nächste Aufgabe und legt die aktuelle Installation lahm. Um das zu erreichen, wird für alle aktiven Prozesse ein Wert von „4“ in der ChangeServiceConfig W-API eingetragen, um zu verhindern, dass diese beim Hochfahren des Rechners erneut gestartet werden können. Außerdem verändert die Malware verschiedene Dateien über die Windows-Kommandozeile cmd.exe. Ist auch dieser Vorgang abgeschlossen, wird der infizierte Computer heruntergefahren und kann nicht ohne Weiteres wieder gestartet werden. Noch unbekannt ist bisher der Verbreitungsweg.

Die Techniker in Pyeongchang konnten ihr System nach rund einem halben Tag wieder zum Laufen bringen. Fest steht nach der Attacke allerdings, dass diejenigen Stimmen, die bereits im Vorfeld der Olympischen Spiele vor einer möglichen Bedrohung durch Hacker gewarnt hatten, Recht behalten haben. Jetzt bleibt nur zu hoffen, dass der Rest der Winterspiele friedlich und ohne weitere Cyber-Angriffe abläuft. 

Selbst kleine Geldbeträge werden mittlerweile immer häufiger mit Karte gezahlt. Das hat kriminelle Programmierer offenbar dazu gebracht, eine neue Schad-Software zu entwickeln. Denn es ist nicht zu erwarten, dass die Zahl der Anhänger der Kartenzahlung kleiner wird – im Gegenteil. In absehbarer Zeit dürfte es immer mehr Kartenlesegeräte in der Gastronomie und im Einzelhandel geben. Und auf genau die hat es der neue Schädling abgesehen. 

Entdeckt wurde UDPoS von der Sicherheitsfirma Forcepoint. Dort war aufgefallen, dass einige Kartenlesesysteme einen ungewöhnlich hohen DNS-Traffic produzierten. Bei der Untersuchung der Geräte stießen die Experten auf den neuen Schädling. Dieser nistet sich in Kassensystemen mit Kartenlesegeräten ein und versucht dort, an die Magnetstreifendaten der eingelesenen Karten zu kommen. Anschließend schickt er die gesammelten Informationen per UDP-Paket getarnt als DNS-Anfrage an einen Kontrollserver. Kriminelle könnten diese Daten dazu verwenden, Kreditkarten zu klonen. 

Geräte am Point of Sale (PoS), also dort, wo ein Produkt oder eine Dienstleistung gekauft und bezahlt wird, sind für Kriminelle ein beliebtes Ziel. Das liegt auch daran, dass viele Kassensysteme noch mit veralteten Betriebssystemen wie Windows XP laufen. Zwar wird die Version mit Anbindung an den PoS noch von Microsoft mit Updates beliefert, aber oft sind die Systeme schlecht gepflegt. Das macht es für Kriminelle einfacher, Malware einzuschleusen. 

Trotzdem gibt es vorerst zwei (zumindest halbwegs) gute Nachrichten für Kartenzahler in Deutschland: Bei der genaueren Untersuchung des Schadcodes fanden die Forscher Textzeilen, die offenbar dazu dienen sollten, Antivirenprogramme in den Systemen zu umgehen. Weil allerdings schlampig gearbeitet wurde, greifen diese Funktionen nicht. Oder besser gesagt: noch nicht. Denn bei Forcepoint befürchtet man, dass die entdeckte Version sich noch in der Testphase befindet.

Die zweite gute Nachricht: Die Kriminellen können mit den erbeuteten Daten lediglich den Magnetstreifen nachbilden. In Deutschland kommt dieser jedoch kaum noch zum Einsatz, da die meisten Lesegeräte auf den in den Karten enthaltenen Chip zugreifen oder die Daten per Near-Field-Communication (NFC) übertragen werden. Auch Online-Transaktionen sind mit den geklonten Karten nicht möglich, da die aufgedruckte Prüf- oder Sicherheitsnummer nicht in den Daten auf dem Magnetstreifen enthalten ist. Von daher kann man davon ausgehen, dass sich der Einsatz von UDPoS in Deutschland für die Kriminellen nicht lohnt. Anders sieht es jedoch in den USA aus, wo immer noch viele Kreditkarten ohne Chip ausgegeben werden. Hier ist es tatsächlich noch möglich, nur mit dem kopierten Magnetstreifen auf Einkaufstour zu gehen.

Die geheimen Einsatzbasen des Militärs haben auf der ganzen Welt eines gemeinsam: Ihre genaue Lage ist – wie der Name schon sagt – streng geheim. Es dürfte also absolut nicht im Sinne der Militärführung sein, wenn die Standorte bekannt werden oder sogar Straßenpläne im Netz auftauchen. Doch genau das ist passiert und es war noch nicht einmal ein Whistleblower oder Hacker am Werk. 

Doch wie konnte es zu diesem eklatanten Verstoß gegen die Geheimhaltung kommen, der nun auch die Sicherheit der in Kriegsgebieten stationierten Soldaten bedroht? Nun, das ist eigentlich sehr einfach und auf den ersten Blick erschreckend harmlos: Fitnesstracker in Kombination mit dem sozialen Netzwerk Strava, das speziell für Sportler entwickelt wurde, waren die Ursache. Strava wurde entwickelt, damit Jogger und Radfahrer auf der ganzen Welt ihre liebsten Lauf- und Fahrstrecken aufzeichnen und mit anderen Nutzern des Netzwerks teilen können. Zusätzlich hat die App eine kompetitive Funktion. So können Trainingsteams gebildet, Wettkämpfe organisiert und Zeiten verglichen werden. Die Strecken werden im Netzwerk aufgezeichnet und beispielsweise an Städteplaner verkauft. Außerdem wurden sie im November in einer sogenannten Heatmap, einer weltweiten, extrem detaillierten Karte, im Netz veröffentlicht. Hier werden auf einer schwarzen Karte alle Laufstrecken der Nutzer abgebildet, je nach Nutzungshäufigkeit von rot (selten) über gelb bis hin zu weiß (oft). 

Besonders gut scheint die App offenbar bei Soldaten der Eliteeinheiten anzukommen, die sich auf geheimen Missionen in verschiedenen Kriegsgebieten befinden und hier ihre Trainingspläne innerhalb der Einheiten organisieren können. Und genau hier liegt das Problem: Sowohl Fitnesstracker als auch Nutzer der App sind bei der einheimischen Bevölkerung in Afghanistan oder in Bürgerkriegsregionen in Afrika eher spärlich gesät. Erscheint also in einem gewaltigen Umkreis eine einzelne grellweiße Strecke, die scheinbar von vielen Nutzern sehr regelmäßig genutzt wird, liegt der Schluss nahe, dass sich hier vielleicht ausländische Einheiten in einer Militärbasis aufhalten könnten. Und da diese meist nicht allzu groß sind, nutzen die Jogger natürlich auch alle vorhandenen Straßen, was zu einer schönen Karte der Camps führt. Angreifen brauchen sich also im Prinzip nur die Heatmap anzusehen und können so genau nachvollziehen, wann sie wo vermutlich nichtsahnende Soldaten bei ihrer Joggingrunde antreffen werden. 

Es bleibt für die stationierten Truppen zu hoffen, dass sich Strava schnellstmöglich der Praxis anderer Kartendienste wie Google Maps anschließen wird. Die zensieren derartige Orte freiwillig und zeigen die Militärbasen in ihren Karten nicht. Doch bis es soweit ist, sollte die App nach Möglichkeit nicht mehr zum Einsatz kommen – auch wenn es dafür jetzt eigentlich zu spät ist.

„Worte sind des Dichters Waffen“, schrieb einst Johann Wolfgang von Goethe. Heute könnte man diesen Ausspruch in etwa so erweitern: „Worte sind des Hackers Waffen“. Das trifft besonders auf sogenannte Textbomben zu, auch wenn es sich dabei mehr um reine Zeichenfolgen als um tatsächliche Wörter handelt. Solche Textbomben nutzen Programmierfehler aus, über die sich Anwendungen oder Betriebssysteme mit einer bestimmten Zeichenfolge zum Absturz bringen lassen. Besonders Apple-Geräte scheinen für diese Art der Manipulation anfällig zu sein. Bereits vor einem Jahr gelangte eine Emoji-Zeichenkombination in Umlauf, die die Nachrichten-App iMessage lahmlegte, und vor ein paar Monaten ließ ein nur vier Sekunden langes Video iOS-Geräte einfrieren.

Jetzt macht eine neue Textbombe mit dem Namen chaiOS die Runde, bei der ein Link zum Absturz von iPhone, iPad & Co. führt. Zu finden ist der Link auf der Seite github.io. Wird dieser über die Nachrichten-App iMessage verschickt, stürzt das Empfängergerät ab. Und nicht nur das: Auch beim Senden kann es zum Crash der Software kommen, genau wie beim Aufruf des entsprechenden Links in Google Chrome. Selbst ein Neustart hilft in einigen Fällen nicht weiter, denn manche Geräte sind in einer Crash-Schleife gefangen.

Das Problem: iMessage lädt bei der Eingabe oder dem Empfang eines Links automatisch eine Vorschau der Seite – Vorsicht beim Klicken hilft hier also nicht weiter. Um der Textbombe zu entgehen, muss also die gesamte Konversation mit dem Absender gelöscht und am besten auch die Verbindung mit dem Internet getrennt werden. Dann kann iMessage die Vorschau nicht laden. Alternativ kann man github.io auch über die Sicherheitseinstellungen im Browser Safari sperren. Das funktioniert über die Einschränkung von „Jugendfreien Inhalten“, kann aber auch zur Blockade völlig legitimer Webseiten führen. Es bleibt also nur zu hoffen, dass Apple github.io serverseitig blockiert und das Problem über ein Update in den Griff bekommt.

Patchday bei Microsoft – nach dem ungeplanten Sicherheitsupdate im Zusammenhang mit den Sicherheitslücken Meltdown und Spectre (wir berichteten), folgt damit nun  eine geplante Aktualisierung der Microsoft-Programme. Und das ist aktuell auch dringend nötig, denn Hacker nutzen derzeit eine Schwachstelle in Microsoft Office aktiv aus, die mit dem neuesten Patch behoben werden soll.

Dafür setzen sie einen Verarbeitungsfehler ein, den Office im Umgang mit RTF-Dateien begeht. Das sind Daten im sogenannten Rich-Text-Format, das seit rund 20 Jahren als Austauschformat zwischen unterschiedlichen Textverarbeitungsprogrammen dient. Um die Sicherheitslücke auszunutzen, müssen die Kriminellen lediglich entsprechend manipulierte Daten im Netz platzieren und Nutzer dazu bringen, diese anzuklicken. Eine andere Variante setzt auf die Verbreitung der Dateien per Mail, wofür sich Methoden des Social Engineering anbieten. Hat der Nutzer das präparierte Dokument ausgeführt, können sich die Hacker ohne weitere Legitimation Zugang zum Rechner des Nutzers verschaffen. Dort breiten sie sich mit den Rechten des angemeldeten Nutzers aus, spionieren oder installieren weiteren Schadcode.

Glück hat in diesem Fall, wer nur mit einem Benutzerkonto ohne Admin-Rechte im Internet surft, denn dann kann zumindest keine weitere Malware installiert werden. Und auch abseits vom aktuellen Fall ist es ganz grundsätzlich eine gute Idee, nicht ständig mit vollen Lese- und Schreibrechten im Internet unterwegs zu sein. Allein diese Maßnahme trägt schon einiges zum Schutz vor Schädlingen aus dem Netz bei, denn die Programme können sich nicht unbemerkt im Hintergrund installieren.

Insgesamt stopft Microsoft mit dem Januar-Update 56 Sicherheitslücken. Davon wurden 16 als kritisch eingestuft, darunter Fehler in den Browsern Internet Explorer und Edge. Weitere 39 Patches fallen in die Kategorie „Wichtig“, so wie auch das Update zur oben genannten Sicherheitslücke in Office. Daher empfehlen wir, den Patchday nicht ausfallen zu lassen!

„Spectre“ und „Meltdown“: Dabei handelt es sich nicht etwa um Filme aus der James-Bond-Reihe, sondern um schwerwiegende Sicherheitslücken, die Daten auf Millionen von Rechnern weltweit bedrohen. Betroffen ist dabei der Prozessor, das Herzstück eines jeden Computers, zuständig für sämtliche Rechenoperationen und die Ausführung von Befehlen und Programmen. Die meisten dieser Computerchips arbeiten mit einem Verfahren, das sich „speculative execution“ nennt. Dabei werden Daten bereits vorgeladen, die wahrscheinlich bald benötigt werden. So können die Prozessoren Befehle schneller umsetzen und Verzögerungen werden vermieden. Und genau in diesem Verfahren liegt das Problem, wie die Sicherheitsforscher bei Googles Project Zero bereits im Sommer herausgefunden haben.

Einem möglichen Angreifer stehen grundsätzlich zwei Varianten zur Verfügung. Wählt er „Meltdown“ als Attacke, wird die Trennung zwischen Programmen und Betriebssystem durchbrochen. Dann werden Daten aus dem Speicher mittels einer Schad-Software abgeschöpft. Für diese Art des Angriffs dürften fast alle Intel-Computerchips seit dem Jahr 1995 anfällig sein – also realistisch betrachtet fast jeder Rechner mit Intel Inside, der aktuell noch in Betrieb ist. Die gute Nachricht: Die Gefahr von „Meltdown“ lässt sich durch ein Software-Update beheben.

Bei „Spectre“ sieht die Sache etwas anders aus. Hierbei werden Programme mit einer Schad-Software dazu gebracht, sich gegenseitig zu bespitzeln. Diese Art des Angriffs ist schwieriger in der Umsetzung. Im Gegensatz zu „Meltdown“ konnten die Sicherheitsforscher „Spectre“ allerdings auf Prozessoren weiterer Hersteller nachweisen, unter anderem auch auf denen von ARM-Design, die in vielen Smartphones zum Einsatz kommen. Ist die eingesetzte Malware bereits bekannt, lässt sich diese Angriffsart ebenfalls durch ein Sicherheits-Update beheben.

Auf die Frage, ob die Sicherheitslücken bereits ausgenutzt wurden, lässt sich derzeit keine zufriedenstellende Antwort geben. Weder „Spectre“ noch „Meltdown“ hinterlassen Spuren. Da hilft es auch nicht, dass Intel davon ausgeht, dass sie bislang nicht zum Einsatz gekommen sind. 

Die Software-Riesen Microsoft, Apple, Google und Amazon haben bereits erste Maßnahmen ergriffen und arbeiten an der weiteren Absicherung ihrer Geräte und Dienste durch Software-Aktualisierungen. Weniger gut sieht es mit der Update-Versorgung bei mobilen Geräten aus, da viele Hersteller ältere Modelle außen vor lassen. Aber auch die Nutzer sind gefragt: Sie müssen Updates auch tatsächlich installieren, denn nur so lassen sich die Lücken schließen.

Haben Sie über die Feiertage auch viele schöne Erinnerungen gesammelt und mit dem Smartphone oder der Kamera festgehalten? Dann stößt die Speicherkarte Ihrer Kamera oder der interne Speicher Ihres Smartphones wahrscheinlich langsam aber sicher an Kapazitätsgrenzen. Wer Platz für Bilder schaffen möchte, zum Beispiel vom anstehenden Weihnachtsfest oder dem Silvesterfeuerwerk, greift häufig auf andere Speichermedien zurück.

Auf Amazon gibt es dafür so einiges zur Auswahl. Doch zwischen den überwiegend seriösen Angeboten, bei denen man mit Sicherheit auch das eine oder andere Schnäppchen machen kann, lauern auch Speicherkarten und USB-Sticks, die eigentlich gar nicht existieren dürften: Kompakte Geräte mit der unglaublichen Speicherkapazität von zwei Terabyte für unter 50 Euro! Wer sich ein wenig mit dem aktuellen Stand der Technik befasst, kann dabei nur den Kopf schütteln, denn aktuell gibt es genau einen USB-Stick mit einer derart hohen Speicherkapazität – und der kostet sage und schreibe 1.300 Euro und ist deutlich größer als die Sticks im Amazon Marketplace.

Die Angebote haben auch die Redaktion des Computermagazins Heise stutzig gemacht, die deshalb einige der Geräte bestellt haben, um zu sehen, wie viele Daten nun tatsächlich auf den Stick passen. Interessanterweise ließen sich eine ganze Menge an Daten aufspielen – allerdings zu einem hohen Preis. Denn als der Speicher voll war, wurden die Daten einfach weiter übertragen und das, was sich bereits auf dem Stick befand, wurde schlichtweg überschrieben. Datenverlust ist also bei diesen Geräten vorprogrammiert! Weitere Informationen zum Test von Heise finden Sie hier: http://bit.ly/2krylbI 

Lassen Sie sich also nicht von Angeboten locken, die zu gut sind, um wahr zu sein. Dann können Sie auch in den kommenden Jahren noch in den Erinnerungen an Weihnachten und Silvester 2017 schwelgen. In diesem Sinne wünschen wir Ihnen einen guten Rutsch ins neue Jahr!

Die Sicherheitsforscher von Kaspersky haben einen neuen Trojaner entdeckt, der ein wahrer Hansdampf in allen Gassen zu sein scheint. Getarnt als App für Erwachsene oder ironischerweise als AntiViren-Software lauert Loapi in App Stores von Drittanbietern auf seine Opfer. Und die können sich auf einiges gefasst machen, denn Loapi ist unheimlich leistungsfähig. Im Test von Kaspersky war der Schädling sogar so aktiv, dass das infizierte Testgerät in nur zwei Tagen derart heiß gelaufen ist, dass der Akku sich aufgebläht und so das Handy komplett deformiert hat. Eine solche Auslastung der Rechenleistung des Handys kann in der Praxis auch dazu führen, dass ein Gerät Feuer fängt. So wird die virtuelle zur ganz realen Gefahr für Leib und Leben!

Doch was kann Loapi nun eigentlich alles? Bereits bei der Installation fordert er Administrator-Rechte. So kann er auf alle Bereiche zugreifen und sogar weitere Funktionen nachladen. Im Test fanden die Sicherheitsforscher ein Adware-Modul, mit dem Werbeeinblendungen heruntergeladen werden können, ein Web-Crawler-Modul, das im Zusammenspiel mit einem SMS-Modul kostenpflichtige SMS-Abos abschließen kann, ohne dass der Nutzer etwas davon mitbekommt, ein Modul, mit dem DDoS-Attacken ausgeführt werden können und zu guter Letzt auch noch ein Mining-Modul, mit dem die Kryptowährung Monero geschürft wird.

Sieht man sich den Funktionsumfang des Trojaners an, so stellt man fest, dass die Hacker gleich mehrere Möglichkeiten zum Geldverdienen eingebaut haben: Sie verdienen an der eingeblendeten Werbung, an den SMS-Abos, haben ein weiteres Gerät für ihr Botnetz, das zudem noch vermietet werden kann, und zur Krönung des Ganzen wird konstant Rechenleistung abgezweigt, um weitere Einheiten von Monero zu erzeugen. Kein Wunder also, dass Loapi den Akku des Testgeräts so schnell in die Knie gezwungen hat!

Im Google Play Store wurden bislang noch keine mit Loapi infizierten Apps festgestellt. Wer sich schützen will, sollte auf den Download von Apps aus Drittanbieter-Quellen verzichten. Das ist auch ganz grundsätzlich eine gute Idee, denn neben Loapi lauern in diesen Shops auch noch diverse andere Schädlinge.

Wenn Computerprogramme auf den Markt kommen, haben sie immer die eine oder andere Sicherheitslücke. Das ist eine unumstößliche Tatsache, denn auf zehntausenden Seiten Code schleichen sich unweigerlich Fehler ein, die selbst die strengsten Qualitätskontrollen nicht verhindern können. Im Laufe eines Produktlebenszyklus‘ arbeiten die Hersteller daher daran, diese Fehler durch Updates zu beheben. Doch die Suche nach solchen Sicherheitslücken ist aufwändig, zeitintensiv und verschlingt Personalressourcen und so verwundert es nicht, dass nahezu alle großen Unternehmen in diesem Bereich sogenannte Bug-Bounty-Programme ins Leben gerufen haben. Mit diesen wird die Suche nach fehlerhaftem und potenziell schädlichem Code quasi outgesourct, denn die Software-Hersteller loben Prämien für diejenigen aus, die ihnen Schwachstellen melden.

Für diese Programme spricht, dass man externe Sicherheitsforscher so dazu bringt, nach Sicherheitslücken zu suchen. Dadurch werden die eigenen Mitarbeiter bei der Qualitätskontrolle unterstützt und entlastet. Zudem wird – so die Argumentation der Software-Unternehmen – ein Anreiz geschaffen, die entdeckten Lücken nicht selbst zu nutzen oder auf dem Schwarzmarkt an Kriminelle zu verkaufen. Letzteres ist allerdings zumindest fraglich, denn warum sollte sich ein Hacker mit etwa 15.000 Dollar zufrieden geben, wenn er auf illegalen Wegen das Zehnfache mit seiner Entdeckung verdienen könnte? Kritiker der Bug-Bounty-Programme bemängeln, dass die gezahlten Summen einfach zu gering sind, um Menschen mit krimineller Energie davon abzuhalten, entweder selbst aktiv zu werden oder die Exploits gewinnbringend zu verkaufen.

Ein weiteres Problem ist, dass die Meldung einer neuen Angriffsmöglichkeit nicht immer ganz einfach ist und die Auszahlung der Prämie an bestimmte Bedingungen, wie beispielsweise eine sehr ausführliche Dokumentation, geknüpft ist. Auch die Summen unterscheiden sich je nach untersuchtem Angriffsvektor ganz gewaltig. Bei Apple beispielsweise ist das Auffinden eines Bugs im Secure-Boot-Modus des iPhone mit 200.000 Dollar wesentlich lukrativer als die Ausführung von Prozessen außerhalb der Sandbox mit nur 25.000 Dollar. Und auch bei Microsoft reicht die Spanne von 5.000 Dollar für eine neue Methode einer Denial-of-Service-Attacke bis hin zu 15.000 Dollar für Remote-Code-Execution. Vergleicht man diese Summen mit dem, was durch einen erfolgreichen Angriff oder den Verkauf an kriminelle oder staatliche Hacker verdient werden kann, wird klar, dass die Prämien wohl tatsächlich zu niedrig sind, um jemanden mit krimineller Energie von einem Missbrauch abzuhalten. Für ehrliche Sicherheitsforscher sind sie trotzdem ein schöner Nebeneffekt – auch wenn sie nicht dafür geeignet sind, damit reich zu werden.

Cyber-Kriminelle haben sich eine neue Masche ausgedacht, mit der sie ISDN-Nutzern das Geld aus der Tasche ziehen können. ISDN? Ist das nicht veraltet und soll bis spätestens Ende 2018 abgeschafft werden? Wenn es nach der Telekom geht schon, aber andere Anbieter ermöglichen Bestandskunden aktuell noch einen Aufschub bis 2022. Und insbesondere in Unternehmen und Behörden ist der ISDN-Standard immer noch weit verbreitet. Umfragen des Informationsdienstleisters ama aus den Jahren 2016 und 2017 zufolge nutzen immer noch rund 2/3 der befragten Unternehmen und Behörden einen analogen oder ISDN-Anschluss. Eine weitere Erhebung im Frühjahr 2017 ergab allerdings, dass 88 Prozent einen Wechsel beabsichtigen, allerdings ganze 38 Prozent noch mitten in der Bedarfsermittlung stecken und daher noch keinen konkreten Plan für die Umstellung der Infrastruktur vorweisen können. Das ist nämlich in vielen Fällen gar nicht so einfach und mit hohen Kosten verbunden, insbesondere, wenn Telefonanlagen, Türöffner, Frankiermaschinen und Alarmanlagen umgerüstet oder ersetzt werden müssen. Für die Kriminellen heißt das: Es gibt aktuell noch viele Tausende ISDN-Anschlüsse, an denen sie verdienen können.

Vor der aktuellen Masche warnte zuerst der Anlagenhersteller Auerswald, nach Hinweisen von betroffenen Kunden. Offenbar verschaffen sich die Betrüger per Fernzugriff Zugang zu den ISDN-Geräten und bringen diese dazu, teure Auslandsanrufe über sogenannte Call-By-Call-Nummern zu tätigen. Die Experten von Auerswald beschreiben die Vorgehensweise wie folgt: Die Kriminellen rufen von einer ausländischen Nummer an und hinterlassen eine Nachricht auf der Mailbox des ISDN-Anschlusses. Anschließend versuchen sie über Try-and-Error das Kennwort der Mailbox herauszufinden. Und genau hier liegt der erste Teil des Problems: Handelt es sich um ein besonders einfaches Kennwort sind die Hacker schnell im System der Telefonanlage. Von dort können sie ganz einfach die Auslandsanrufe per Rückruf der übertragenen Nummer initiieren. Dabei machen sie sich Problem Nummer zwei zu Nutze: In Deutschland gibt es rund ein Dutzend verschiedene Anbieter von sogenannten Call-By-Call-Nummern, also Vorwahlen, mit denen man sich in den Dienst eines Telefonanbieters einwählt. Diese Nummern haben zwar alle Mechanismen mit denen solche Betrügereien ausgeschlossen werden sollen, jedoch gleichen sie sich nicht untereinander ab. Erkennt also der erste Anbieter, dass es sich bei den ständigen Anrufversuchen der Kriminellen um Betrug handelt, wird einfach zum nächsten gewechselt und so weiter und so fort. Bis alle möglichen Anbieter die Anrufe unterbunden haben, kann über ein langes Wochenende in einem unbesetzten Büro durchaus eine fünfstellige Telefonrechnung zustande kommen.

Die gute Nachricht: Man kann sich relativ leicht schützen. Wer sowieso keine Call-By-Call-Vorwahlen nutzt, kann diese direkt beim eigenen Telefonanbieter deaktivieren lassen, dann hat die Masche der Hacker keine Chance. Auch die Schnittstellen für den Fernzugriff lassen sich in der Anlage deaktivieren, wenn sie nicht gebraucht werden. Falls das doch der Fall ist, sollte man bei der PIN etwas mehr Vorsicht walten lassen und vielleicht nicht 1111 oder ähnliches wählen.

Den meisten Menschen ist mittlerweile bewusst, dass sie im Internet unter ständiger Beobachtung stehen. Der Versandhändler verfolgt, welche Produkte man ansieht, die Suchmaschine beobachtet, nach welchen Begriffen man sucht, der Kartendienst weiß ganz genau, wo man sich gerade befindet und der Browser merkt sich, welche Internetseiten man besucht hat. Soweit, so bekannt. Doch manche Seiten gehen noch ein ganzes Stück weiter, wie Forscher der Universität Princeton nun herausgefunden haben.

Grundlage ihrer Untersuchung ist eine Technik namens Session Replay. Anbieter wie Clicktale, Fullstory, Hotjar, UserReplay, SessionCam, Smartlock oder Yandex bieten ihren Kunden Skripte, die diese auf ihren Webseiten implementieren können. Solche Programme zeichnen alles auf, was der Nutzer auf der Seite macht, sei es bei der Texteingabe oder mit dem Cursor. Ziel ist es, herauszufinden, wie sich Nutzer auf der Website verhalten, um diese noch besser auf die Bedürfnisse der Zielgruppe zuschneiden zu können. Eigentlich ein legitimes Ziel, möchte man meinen. Doch es gibt ein Problem: Die Datensammler-Programme sind ein wenig übereifrig und zeichnen wirklich alles auf, also auch die Eingabe von persönlichen Daten wie Kennwörtern, Nachrichten, Kreditkartendaten oder E-Mail-Adressen. Sogar Texte, die nicht abgeschickt, sondern nur eingegeben oder versehentlich in ein Textfeld kopiert werden, sind vor der Datenkrake nicht sicher. Und es kommt noch schlimmer, denn die gesammelten Informationen werden in vielen Fällen über eine ungesicherte Verbindung in Echtzeit weitergeleitet. Selbst wenn eine Seite die Daten vor dem Senden ordnungsgemäß verschlüsselt, können Angreifer sie abfischen, ohne dass der Nutzer oder der Webseitenbetreiber etwas davon mitbekommt.

Wie viele der meistbesuchten Webseiten weltweit diese Technologie einsetzen, wollten die Forscher aus Princeton genauer herausfinden. Auf mindestens 482 Seiten konnten sie schließlich eines der oben genannten Skripte feststellen, darunter auch auf den Internetauftritten von Microsoft und Adobe. Besonders ärgerlich ist, dass in der Regel kein Hinweis auf den Einsatz erfolgt. So können die Nutzer aber auch nicht selbst entscheiden, ob sie das Risiko eingehen wollen oder nicht. Einen einfachen Schutz per Antivirenprogramm, Ad-Blocker oder Privatsphäre-Einstellung vor den Datensammlern gibt es nicht, lediglich Skript-Blocker hindern sie an ihrer Arbeit. Diese lassen sich als Add-on für viele Browser herunterladen. Allerdings kann es passieren, dass gutartige Skripte ebenfalls blockiert und manche Seiten in ihrer Funktionalität eingeschränkt werden.

Vor wenigen Tagen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen aktuellen Bericht „Lage der IT-Sicherheit in Deutschland 2017“ vorgelegt. Die Ergebnisse zeigen, dass sich die Bedrohungslage im Vergleich zum letzten Lagebericht 2016 nicht verbessert hat. Im Gegenteil: Das Internet of Things (IoT) hat den Cyber-Kriminellen weitere Angriffsmöglichkeiten eröffnet, die diese auch fleißig nutzen. Als die wichtigsten Einfallstore identifiziert das BSI fünf große Bereiche:

1. Sowohl Soft- als auch Hardware ist in vielen Fällen in Bezug auf die Sicherheit qualitativ mangelhaft.
   
   
2. Der Zeitraum zwischen der Entdeckung von Sicherheitslücken und deren Behebung ist zu lang. Das hat mehrere Gründe. Erstens dauert es zu lange, bis die Lücken gemeldet werden, zweitens brauchen die Hersteller zu lange, um Updates zur Verfügung zu stellen. Drittens lassen sich die Nutzer zu viel Zeit, bis sie die Updates einspielen.
   
   
3. Die Bedrohung durch Botnetze nimmt weiter zu. Das liegt auch daran, dass immer mehr IoT-Geräte an die Netzwerke angeschlossen werden. Für Hersteller wie für Konsumenten spielt die Cyber-Sicherheit allerdings keine große Rolle.
   
   
4. Ransomware ist für Kriminelle eine lukrative Einnahmequelle. Das wird durch die sprunghaft angestiegenen Fallzahlen deutlich. Die Anonymität der Zahlung mit Kryptowährungen befeuert diese Entwicklung weiter. Das BSI spricht gar von einer „digitalen Geiselnahme“.
   
   
5. Der Mensch ist und bleibt eine Fehlerquelle für die IT-Sicherheit. Social Engineering, also die gezielte Manipulation von Nutzern, ist weiterhin ein beliebtes Mittel der Cyber-Kriminellen. Besonders die Zahl der Phishing-Angriffe auf einzelne Unternehmen und ihre Mitarbeiter haben in den vergangenen Monaten zugenommen.

Die zunehmende Digitalisierung aller Lebensbereiche – vom Haushalt über den Job bis hin zur eigenen Gesundheit – bringt also nicht nur eine Steigerung von Effizienz und Komfort, sondern stellt uns alle vor neue Herausforderungen und bietet Kriminellen vielfältige Angriffsmöglichkeiten. Der aktuelle Lagebericht zeigt, dass wir an vielen Stellen noch besser aufpassen müssen, um den Hackern das Leben so schwer wie möglich zu machen.

Den kompletten Bericht finden Sie auf der Seite des BSI: https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html

Es hat sich mittlerweile herumgesprochen, dass Antiviren-Software allein keinen ausreichenden Schutz vor Malware bietet. Das liegt zum einen daran, dass kriminelle Programmierer sehr schnell arbeiten und immer neue Schädlinge entwickeln oder bereits bekannte Malware so modifizieren, dass sie von den Antivirenprogrammen nicht mehr identifiziert werden kann. Zwar reagieren auch die Hersteller der Schutzprogramme auf diese Entwicklungen. Trotzdem entstehen kurze Zeitfenster, in denen sich die Viren und Trojaner verbreiten können. Zum anderen müssen sich  die lokalen Kopien der Viren-Software auf den einzelnen Computern die neuen Informationen erst einmal holen. Kurz: Es muss ein Update durchgeführt werden, damit die neuste Malware erkannt wird. Ein dritter Faktor wurde bislang jedoch weitgehend unterschätzt, denn viele der Schädlinge verfügen über legitime digitale Unterschriften oder Zertifikate, mit deren Hilfe sie Schutzmaßnahmen umgehen können.

Wie weit der Missbrauch der Unterschriften und Zertifikate geht, haben jetzt Forscher der Universität von Maryland untersucht. Ihre Ergebnisse präsentierten sie auf der ACM Conference of Computer and Communications Security (CCS) in Dallas. Bei 189 Malware-Proben wurden legitime Zertifikate gefunden. Damit können Hacker viele Schutzmechanismen austricksen, indem sie ihre Schadprogramme als harmlose Software ausgeben. Doch wie kann es sein, dass Malware Zertifikate erhält, die ihr Unbedenklichkeit bescheinigen?

In einigen seltenen Fällen, haben die Aussteller der Zertifikate offenbar schlampig gearbeitet. Sie haben zu wenig Sorgfalt bei der Verifizierung walten lassen und sind scheinbar einem Identitätsschwindel aufgesessen, bei dem sich die Hacker als große und seriöse Unternehmen ausgegeben haben. In anderen Fällen wurden Zertifikate einfach übertragen, mit denen bereits eine völlig andere Software legitimiert wurde. Hier ist davon auszugehen, dass die ursprünglichen Besitzer keine Kontrolle mehr über ihre Zertifizierungsschlüssel haben. Ein dritter Faktor betrifft die digitalen Unterschriften. Hier existiert keine zentrale Datenbank, die von den Herstellern von Sicherheitssoftware genutzt werden könnte. Das macht es Kriminellen natürlich einfacher, solche Unterschriften zu fälschen.

Schließlich untersuchten die Forscher, wie wirksam Schutz-Software gegen illegitime Zertifikate ist. Ihr Ergebnis macht leider wenig Hoffnung: Keines der Programme konnte alle präparierten Schädlinge erkennen. Wer sich also beim Schutz des Computers auf eine rein technische Absicherung verlässt, muss sich nicht wundern, wenn er plötzlich doch einen Virus oder einen Trojaner auf dem Computer  hat.

Die Cyber-Kriminellen haben es diesmal auf Personalabteilungen abgesehen: Der Trojaner Ordinypt verschlüsselt scheinbar die Daten auf den Rechnern der Opfer, um Lösegeld zu erpressen. Scheinbar deshalb, weil die Sicherheitsfirma G-Data berichtet, dass es sich bei Ordinypt um einen sogenannten Wiper handelt. Der Trojaner gibt also nur vor, die Daten zu verschlüsseln. In Wahrheit löscht er aber deren Inhalt. Damit haben die Opfer auch nach der Zahlung des Lösegelds keine Chance, ihre Daten wiederzubekommen.

Ordinypt verbreitet sich über Phishing-Mails, die in nahezu fehlerfreiem Deutsch verfasst und direkt an personalverantwortliche Mitarbeiter geschickt werden. Allerdings sind wohl nur Windows-Rechner im Visier der Kriminellen. Ob es ihnen wirklich um das Lösegeld geht oder eher darum, möglichst großen Schaden anzurichten, ist noch nicht klar.

Angesichts der neuen Bedrohungslage sollten Sie jede eingehende E-Mail genau unter die Lupe nehmen. Seien Sie besonders vorsichtig, wenn Sie E-Mails von unbekannten Absendern oder mit ungewöhnlichem Inhalt bekommen.

Darüber, wie wichtig Updates sind, haben wir an dieser Stelle bereits mehrfach berichtet. Nur wer seine Geräte – Handy, Laptop, Fernseher, Tablet etc. – regelmäßig auf den neusten Stand bringt, kann davon ausgehen, dass alle bekannten Sicherheitslücken behoben wurden und die Geräte so gut wie möglich geschützt sind. Problematisch wird es allerdings, wenn keine Updates (mehr) verfügbar sind oder die Aktualisierung nicht automatisch läuft, wie sich bei der kürzlich bekannt gewordenen Sicherheitslücke im WPA2-Verschlüsselungsprotokoll gezeigt hat.

Über die Probleme mit dem WPA2-Sicherheitsstandard haben wir bereits am 17.10.2017 berichtet. Auch darüber, dass neben den Millionen WLAN-Netzwerken weltweit alle Geräte von der Sicherheitslücke betroffen sind, in denen ein WLAN-Chip verbaut ist, war hier schon zu lesen. Grundsätzlich wäre es also kein Problem, diese Lücke mit einem Update zu schließen, was mittlerweile auch viele Hersteller getan haben. Doch gerade bei Routern und Geräten des Internet of Things müssen Aktualisierungen teilweise manuell eingespielt werden, wenn die automatische Update-Funktion nicht aktiviert ist. Damit sind offenbar viele Menschen überfordert.

Zudem problematisch: Längst nicht alle Hersteller haben Updates bereitgestellt und es gibt sie auch nicht für alle Geräte. Insbesondere Android-basierte Smartphones und Tablets, die älter als ein paar Jahre sind, erhalten oft keine frische Software mehr. Bei all diesen Geräten bleibt die Sicherheitslücke bestehen. Und die Nutzer sind sich dessen in vielen Fällen nicht einmal bewusst. Ihnen rät der Entdecker der Lücke, Mathy Vanhoef, nur Verbindungen über HTTPS herzustellen, da diese weiterhin sicher seien. Ein anderer Schutz existiert für Geräte ohne Updates bislang leider nicht. Vanhoef hat außerdem angekündigt, demnächst ein Tool zu veröffentlichen, mit dem man testen kann, ob die Lücke bei den eigenen Geräten bereits geschlossen wurde.

In der vergangenen Woche musste die russische Nachrichtenagentur Interfax ihren Betrieb vorübergehend einstellen. Der Grund: Offenbar haben Kriminelle es geschafft, das Unternehmen mit der neuen Erpresser-Software Bad Rabbit zu infizieren. Um das Programm auf den Rechnern der Nachrichtenagentur einzuschleusen, nutzten sie einen sogenannten Watering-Hole-Angriff. Dabei werden gezielt Webseiten kompromittiert, die die anvisierte Zielgruppe regelmäßig besucht. Wären beispielsweise Versicherungsvertreter im Visier der Hacker, würden sie versuchen, ihren Schadcode auf Seiten wie versicherungsmonitor.de oder pfefferminzia.de zu platzieren. Wie die Tiere in der Steppe ans Wasserloch kommen die Zielpersonen immer wieder zu dieser infizierten Webseite – und fangen sich dort das Virus ein. Der Schadcode kann etwa zu einem Update des Flash-Players auffordern und eine .exe-Datei mit entsprechendem Namen laden. Unnötig zu sagen, dass dahinter natürlich kein Flash-Update steckt. Wer diese Datei ausführt und mit Administratorenrechten unterwegs ist, hat sich den Kryptotrojaner eingefangen.

Auch im Fall von Bad Rabbit gingen die Hintermänner auf diese Weise vor: Sie schmuggelten den falschen Hasen über legitime News-Seiten auf die Rechner der Opfer. Aus den infizierten Webseiten lässt sich ein Schwerpunkt auf osteuropäische Unternehmen ablesen, allerdings ist sich ESET, ein Hersteller von Sicherheits-Software, sicher, dass auch Deutschland in den Fokus der Angriffe rücken könnte. Bislang wurde der Code nur auf einigen wenigen Webseiten festgestellt, wie das Unternehmen Kaspersky berichtet. Inwieweit die Hacker ihre Attacke auf Deutschland ausdehnen werden, bleibt also abzuwarten. 

Auch eine Analyse von Bad Rabbit blieben die Sicherheitsexperten von Kaspersky und ESET nicht schuldig. Dabei zeigte sich, dass das Schadprogramm ein buntes Sammelsurium an bereits bekannter Ransomware sowie legitimer Software ist. In einem Screenshot, der von Kaspersky veröffentlicht wurde, ist beispielsweise ersichtlich, dass einige Codezeilen von Bad Rabbit mit denen von NotPetya (wir haben im Blog darüber berichtet) fast komplett übereinstimmen. Hinzu kommt eine Verschlüsselungsroutine des von ESET hergestellten Verschlüsselungsprogramms DiskCryptor. Bislang ist noch keine Möglichkeit bekannt, einmal mit Bad Rabbit codierte Daten wieder lesbar zu machen, ohne das verlangte Lösegeld zu bezahlen – wovon viele Sicherheitsexperten in solchen Fällen üblicherweise abraten. 

Schutz vor Watering-Hole-Angriffen dieser Art bieten in den meisten Fällen aktuelle Virenscanner. Trotzdem: Wenn ein neuer Schadcode auftaucht, wird dieser vielleicht nicht sofort erkannt. Daher ist es wenig sinnvoll, sich allein auf die Technik zu verlassen. Wer auf Nummer sicher gehen will, installiert keine unbekannten Programme oder Updates, die nicht von offiziellen Seiten stammen und surft nicht mit Administratorenrechten. Wenn dann noch eine gesunde Portion Vorsicht hinzukommt, sollte man vor Ransomware weitestgehend sicher sein.

Wie Sicherheitsforscher nun festgestellt haben, ist es Cyber-Kriminellen erneut gelungen, eine altbekannte Sicherheitslücke auszunutzen, um Schad-Software zu verbreiten.

Nutzern von Smart-Home-Technologien dürfte das Problem bekannt sein: Viele vernetzte Geräte werden mit rudimentären Sicherheitseinstellungen ausgeliefert und anschließend nicht mehr weiter upgedatet. Während das Mirai-Botnetz 2016 noch bestehende Standard-Kennwörter ausnutzte, um Schad-Software zu verbreiten, setzt das neue Netz namens IoT_reaper bzw. IoTroop auf Sicherheitslücken bei IoT-Geräten, die noch nicht gepatcht wurden. Rund 2 Millionen Systeme sollen betroffen sein.

Experten konnten zwar noch keine Attacken feststellen, die von dem neuen Botnetz ausgehen, befürchten jedoch eine massive Angriffswelle. Problematisch diesmal: Nutzer können sich nicht einfach durch geänderte Kennwörter, sondern nur durch Patches schützen. Diese werden jedoch vor allem für günstige Modelle nach Auslieferung gar nicht mehr bereitgestellt.

Ob Bio-Label, TÜV- oder Fair-Trade-Prüfsiegel – Menschen mögen Zertifikate. Solche Qualitätsnachweise geben uns ein gutes Gefühl. Und wir vertrauen darauf. Schließlich würden schlechte Produkte niemals ein Prädikat erhalten, oder? Grundsätzlich richtig, doch bei so manchem Siegel lohnt es sich, genauer hinzusehen. Manchmal können Prüfmethoden Schwächen haben. Das musste jetzt auch das Münchner Unternehmen Infineon feststellen.

Computerchips von Infineon kommen in vielen Produkten zum Einsatz. Von Laptops über die Verschlüsselungstokens YubiKey bis hin zu offiziellen Dokumenten wie dem Personalausweis in Estland oder der Slowakei – sie alle enthalten die Chip-Technik made in Germany. Dort ist sie für verschiedene Verschlüsselungsfunktionen zuständig und nutzt das sogenannte RSA-Verfahren. Das verwendet einen der gängigsten und sichersten Algorithmen für die Codierung von Daten – allerdings nur, wenn es korrekt angewendet wird. Und genau hier liegt das Problem der Infineon-Technologie, wie Sicherheitsforscher aus Tschechien und Slowenien im November auf einer Konferenz zeigen wollen.

Um den Fehler zu verstehen, muss man wissen, wie die RSA-Verschlüsselung funktioniert. Zur Erzeugung eines RSA-Schlüssels werden zwei zufällige Primzahlen generiert. Diese bleiben geheim und müssen so groß sein, dass sie von einem Angreifer nicht einfach erraten werden können. Das Problem dieser Vorgehensweise: Sie braucht ihre Zeit. Um den Vorgang zu beschleunigen, hat Infineon sein eigenes System entwickelt. Obwohl Einzelheiten nicht bekannt sind, wurden dabei offenbar nur bestimmte Primzahlen für die Codierung genutzt – und genau das ist der Haken. Angreifer müssen nur noch diese vom System verwendeten Primzahlen durchprobieren und können so die Verschlüsselung knacken. Das ist zwar teuer und braucht viel Rechenleistung, doch die Investition könnte sich bei sensiblen Zielen lohnen und von denen gibt es viele. Denn auch wenn die bisherigen Schlüssel nicht mehr zum Einsatz kommen, betrifft die Sicherheitslücke sämtliche bislang verschlüsselten Daten.

Doch warum ignorierte Infineon eine der Grundregeln der Verschlüsselung? Nach der sollte ein Algorithmus sich über einen längeren Zeitraum bewährt haben. Ganz einfach: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Infineons Verfahren überprüft und mit einem Zertifikat abgenickt. Und damit wären wir wieder am Anfang: Menschen vertrauen auf solche Prüfsiegel. In diesem Fall kamen zwei Prüfverfahren zur Anwendung: FIPS 140-2 und Common Criteria EAL 5+. Unklar ist, wie das Infineon-Verfahren diese beiden Tests bestanden hat. Noch schweigt das BSI, warum es in diesem Fall den Fehler bei der Erzeugung der RSA-Schlüssel nicht erkannt hat. Auch die Demonstration der beiden Forscher im November steht noch aus. Trotzdem zeigt der Fall, dass auch bei der Vergabe von Sicherheitssiegeln von Zeit zu Zeit Fehler gemacht werden.

Bisher galt WPA2 als sicherste Methode, um den eigenen WLAN-Router vor unbefugtem Zugriff zu schützen. Sicherheitsforscher haben es nun geschafft, mithilfe einer sogenannten Key Reinstallation Attack (KRACK-Attacke) den Sicherheitsstandard zu überlisten.

Angreifer können sich aufgrund eines Fehlers im WPA2-Protokoll in kennwortgeschützte Netzwerkverbindungen einklinken und den kompletten Datenverkehr mitlesen. Neben Millionen WLAN-Netzwerken weltweit sind auch alle Geräte betroffen, die einen WLAN-Chip verbaut haben. Die Lücke kann nur durch Patches der Router-Hersteller behoben werden. Zusätzlich über SSL gesicherte Datenübertragungen sind nicht betroffen. Ebenso kann das WLAN-Kennwort nicht geknackt werden.

Bis Sicherheits-Updates verfügbar sind, sollten Sie insbesondere zur Übertragung sensibler Daten auf verschlüsselte Verbindungen zurückgreifen. Für zusätzliche Sicherheit können Sie eine VPN-Software einsetzen.

Als vor mehr als 100 Jahren in Alaska der Goldrausch ausbrach, machten sich tausende Menschen auf den beschwerlichen Weg über schneebedeckte Berge und eisige Flüsse, um sich ein Stück des sagenhaften Goldschatzes am Klondike- und Yukon-River zu sichern. Unter ihnen waren Glücksritter und Menschen, die sich ein besseres Leben erhofften – aber auch Kriminelle, die meinten an schnelles Geld kommen zu können. Im Internet ist in den letzten Jahren ein neuer Goldrausch ausgebrochen. Allerdings ist das Objekt der Begierde heute kein Goldnugget mehr, sondern Cyberwährung. Dafür muss zwar keiner mehr in die Wildnis ziehen. Doch Bitcoin, Ethereum und Co. werden ebenfalls in mühevoller Kleinarbeit geschürft, nur kommen keine Siebe und Waschpfannen zum Einsatz, sondern tausende von Computern, deren Rechenleistung nach und nach winzige Stücke der Kryptowährungen erzeugt.

Und noch etwas ist ähnlich: Auch der neue Goldrausch lockt Kriminelle an. Bereits vor einigen Wochen haben wir an dieser Stelle auf Angriffe auf MyEtherWallet, einer Art Geldbörse für Bitcoin, aufmerksam gemacht. Jetzt haben Sicherheitsforscher herausgefunden, dass Hacker nicht nur mittels Diebstahl an die digitalen Währungen kommen, sondern auch, indem sie Rechenleistung für das Schürfen der Cyberwährungen abzweigen. In den aktuellen Fällen kam dafür die Software Coinhive zum Einsatz, die von kriminellen Hackern in den Quellcode von Webseiten eingeschleust wurde. Ursprünglich war Coinhive als Programm gedacht, mit dem Webseitenbetreiber Geld verdienen können, ohne auf Werbung oder Bezahlschranken zurückgreifen zu müssen. Doch offenbar funktionierte das fast ein bisschen zu gut, denn die größten Profiteure der Software sind aktuell Hacker. Und Coinhive ist längst nicht das einzige Tool, das für diesen Zweck eingesetzt werden kann. So meldete Kaspersky Lab, dass sie allein in diesem Jahr auf 1,65 Millionen Computern ihrer Kunden versteckte Mining-Tools gefunden hätten.

Nun macht ein wenig gekaperte Rechenleistung von ein paar Computern noch keinen Menschen reich. Doch mittlerweile existieren riesige Bot-Netze, die sich nur dem Mining widmen. Die Fachleute von Kaspersky schätzen, dass sich deren Einkünfte auf rund 30.000 Dollar pro Monat belaufen – eine eher konservative Schätzung. Und noch etwas muss man beachten: Solange der Goldrausch anhält, sind die Verlockungen groß. Einem Mitarbeiter des Sicherheitsteams von IBM zufolge häufen sich in letzter Zeit auch Fälle, in denen Insider die Netzwerke von Firmen zu Schürfzwecken missbraucht haben. Oft handle es sich dabei um Mitarbeiter der IT, die entsprechendes Wissen und die nötigen Zugriffsrechte haben, um die Infrastruktur dafür zu manipulieren.

Die gute Nachricht ist, dass sich Privatpersonen relativ einfach gegen solche Angriffe schützen können, indem sie eine Antiviren-Software mit entsprechender Erweiterung installieren. Dann werden Tools wie Coinminer erkannt. In Netzwerkstrukturen ist es nicht ganz so einfach. Hier hilft nur regelmäßige Kontrolle durch das Mehraugenprinzip.

Der Internetriese Yahoo verfügt in puncto spektakuläre Hackerangriffe über einen beachtlichen Track Record. Beachtlich deshalb, weil das Unternehmen neben den beiden größten bekannten Fällen von Datendiebstahl noch einen dritten Millionenhack verzeichnen musste. Beginn der „Pechsträhne“ war bereits im Jahr 2013, doch erst jetzt wurde das wahre Ausmaß des damaligen Beutezugs im Rahmen einer Untersuchung durch den neuen Eigentümer Verizon bekannt.

Im Dezember vergangenen Jahres musste Yahoo zugeben, dass das Unternehmen 2013 Opfer eines Hackerangriffs geworden war. Betroffen sei etwa ein Drittel der Nutzerkonten, hieß es zu diesem Zeitpunkt. Doch in dieser Woche wurde bekannt, dass dies nur die Spitze des Eisbergs war, denn einer neueren Untersuchung zufolge konnten die Hacker damals die Daten sämtlicher Nutzerkonten in ihren Besitz bringen. Inklusive aller Yahoo-Dienste wie Flickr sind das rund drei Milliarden Datensätze, bestehend aus Namen, E-Mail-Adressen, Geburtsdaten und Telefonnummern. Kreditkartendaten und Klartext-Kennwörter sind offenbar nicht betroffen, dafür allerdings sogenannte Kennwort-Hashes der Kodierung MD5. Dabei handelt es sich um die Prüfsumme einer Zeichenkette, die eigentlich nicht zurückgerechnet werden kann. Allerdings gilt die MD5-Verschlüsselung heute nicht mehr als sicher, da sie bereits geknackt wurde. Zumindest teilweise wurden scheinbar auch verschlüsselte sowie unverschlüsselte Sicherheitsfragen inklusive Antworten zur Wiederherstellung der Konten erbeutet. Bislang ist das der größte bisher bekannte Hack aller Zeiten.

Auch 2014 sollte es für Yahoo nicht wirklich besser laufen, denn erneut wurde das Unternehmen Opfer von Hackern. Mit einer halben Milliarde Nutzerkonten kann dieser Angriff den zweiten Platz der größten Hacks für sich beanspruchen. Erbeutet wurden im Wesentlichen dieselben Daten wie im Jahr zuvor. Und auch 2015 und 2016 entschärfte sich die Lage nicht, denn zum dritten Mal wurde Yahoo gehackt, diesmal mittels gefälschter Yahoo-Cookies. Auch in diesem Fall wurde das wahre Ausmaß der erbeuteten Daten erst später deutlich: Während anfangs noch die Rede von einzelnen gekaperten Konten war, stellte sich später heraus, dass ganze 32 Millionen Konten betroffen waren. Laut Yahoo handle es sich zumindest in den letzten beiden Fällen bei den Hackern um „staatlich finanzierte Angreifer“.

Was können Yahoo-Kunden jetzt nach Bekanntwerden der Hacks tun? Zum einen sollten sie schnellstmöglich ihre Kennwörter und Sicherheitsfragen aktualisieren, damit Kriminelle im Zweifelsfall mit den erbeuteten Daten nichts mehr anfangen können. Gleiches gilt für alle Dienste, bei denen man eventuell die gleichen Fragen oder Kennwörter benutzt hat. Letzteres sollte man im Übrigen gänzlich vermeiden und immer unterschiedliche Kennwörter nutzen, denn sonst erleichtert man kriminellen Hackern das Leben ungemein. 

Schon wieder ist eine neue Ransomware in Umlauf und sorgt für Angst und Schrecken. RedBoot verschlüsselt den Master Boot Record (MBR) von Windows-PCs und modifiziert die Partitionstabelle der Geräte. Das führt dazu, dass Windows nicht starten kann. Stattdessen bekommen die Opfer eine Meldung des Erpressers angezeigt, dass alle Dateien verschlüsselt seien.

Experten haben bislang keine Möglichkeit gefunden, einen Code zur Entschlüsselung einzugeben. Deshalb gehen sie davon aus, dass von RedBoot verschlüsselte Dateien nicht wiederherstellbar sind. Wie genau sich die Ransomware verbreitet, ist derzeit noch unklar. In der Regel verbreitet sich Ransomware allerdings über infizierte E-Mail-Anhänge. 

Moderne Browser haben viele praktische Funktionen, die das Leben für den Nutzer vereinfachen sollen. Dafür speichern sie allerdings allerhand Nutzerdaten – und das kann wiederum zu Datenschutzproblemen führen! So auch beim beliebten Browser Firefox, wie sich jetzt herausstellte. Die Chronik des Browsers kann nämlich nur über Umwege vollständig gelöscht werden, was zur Folge hat, dass Webseiten auf gespeicherte Daten weiterhin zugreifen können.

Firefox nutzt die Speichertechnologie IndexedDB, die im Gegensatz zu Cookies deutlich komplexere Informationen zu Webseiten speichern kann. Und hier liegt das erste Problem: Eigentlich sollte diese Technik vermutlich aktiv vom Nutzer in den Einstellungen aktiviert werden können. In der Realität sieht es jedoch anders aus, denn der Haken beim Feld „Standard verwenden“ lässt sich nicht einfach abwählen. So kommt IndexedDB automatisch zum Einsatz. Das zweite Problem besteht darin, dass sich die gespeicherten Daten nicht einfach über die Chronik löschen lassen. Nutzer müssen dafür einiges Wissen. heise online beschreibt drei Wege, die zum Ziel führen.

Der erste, sehr zeitaufwendige Weg besteht darin, sich die Seiteninformationen im Kontextmenü einer Webseite anzeigen zu lassen. Hier findet sich unter dem Reiter „Berechtigungen“ die Option „Offline-Speicher anlegen“ und darunter wiederum ein Menüpunkt, der die lokale Datenbank löscht. Dieses Spiel muss dann für jede einzelne Webseite wiederholt werden, denn es lassen sich immer nur die zur aktuell aufgerufenen Seite gehörenden Daten löschen. Die zweite Möglichkeit nutzt die Entwicklerwerkzeuge des Firefox. Hier kann man über den Menüpunkt „Storage“ die IndexedDB-Informationen ansehen und zurücksetzen. Zu guter Letzt können Dateien aber auch über den Datei-Manager gelöscht werden, da jede IndexedDB al SQLite-Datenbank gespeichert wird. Darüber hinaus sieht man so, welche Webseiten Informationen auf dem Rechner abgelegt haben.

Wer die IndexedDB-Datenbanken vermeiden will, kann in den privaten Modus des Browsers wechseln, denn dann verweigert dieser die Zusammenarbeit mit IndexedDB. Eine andere Möglichkeit ist, auf die Konfiguration des Firefox zuzugreifen und unter „about:config“ den Schlüssel „dom.indexedDB.enabled“ in „false“ abzuändern. Ansonsten bleibt der Umstieg auf einen anderen Browser, denn die machen zumindest an dieser Stelle weniger Fehler. Doch auch Mozilla entwickelt sich weiter und der Firefox 57 soll die Probleme mit IndexedDB beheben.

Nach dem Bericht der Internetsicherheitsfirma Talos, hat der britische Software-Hersteller Piriform vermutlich wochenlang eine Version seiner Wartungs-Software CCleaner ausgeliefert, in der Unbekannte eine gefährliche Malware versteckt hatten.

Talos schätzt, dass Millionen Geräte betroffen sein könnten. Die Software habe, sobald sie aktiv war, auf den befallenen Systemen Daten gesammelt und versendet. Eigentlich ist der CCleaner ein Programm, das die Leistung von PCs und Android-Smartphones verbessern soll. 

Die Sicherheitsfirma Symantec warnt erneut vor Cyber-Angriffen auf Energiekonzerne durch das Spionagenetzwerk Dragonfly. Bereits 2014 waren die Hacker aufgefallen, weil sie Energieunternehmen ausspioniert und Malware in industrielle Steuerungssysteme eingeschleust hatten. Seit rund zwei Jahren läuft jetzt eine neue Angriffswelle, die in den letzten Monaten an Intensität zugenommen hat. Deutlich wurde der Zusammenhang auch bei einem Vergleich mit der 2014 genutzten Malware, der deutliche Übereinstimmungen ergab. Aus diesem Grund gab Symantec der neuen Attacke auch den Namen Dragonfly 2.0.

Um ihre Ziele zu erreichen, nutzen die Hacker sowohl Spear-Phishing-Strategien als auch infizierte Webseiten, um ihre Spionage-Software zu verbreiten. Damit sollen Log-In-Daten der kompromittierten Systeme abgegriffen werden, die anschließend für Folgeangriffe verwendet werden können. Ein Sprecher von Symantec erklärte außerdem, dass die eingeschleuste Schad-Software Screenshots der industriellen Steuerungssysteme anfertigen kann, wodurch die Kriminellen weitere Informationen für künftige Angriffe erhalten. Darüber hinaus gehören zur Beute von Dragonfly auch PDF- und Word-Dateien, darunter Aufbaupläne der Steuersysteme. Zusammengenommen könnten die Informationen ausreichen, um die Sicherheitssysteme der Energieversorger zu überlisten.

Rund 27 erfolgreiche Angriffe konnte Symantec der neuen Dragonfly-Angriffswelle bisher zuordnen. Mit 20 Energieunternehmen sind vor allem die USA betroffen, aber auch in der Türkei konnten die Hacker mit sechs Unternehmen und in der Schweiz mit einem Unternehmen Erfolge verzeichnen. In Deutschland, den Niederlanden und Belgien waren sie hingegen nicht in der Lage, in die Netzwerke einzudringen. Und beruhigenderweise waren bislang offenbar keine Atomanlagen unter den gehackten Netzwerken. Trotzdem: Energieversorger müssen jederzeit auf einen Angriff vorbereitet sein. Und dabei reicht es nicht, allein die Technik immer weiter auszubauen. Denn im Zentrum effektiver Schutzmaßnahmen steht immer noch der Mensch. Genau hier setzen wir mit unseren Awareness-Schulungen an, denn nur wer sich der Gefahr bewusst ist, kann entsprechend handeln!

Schon seit März 2017 senden Betrüger vermehrt E-Mails mit irreführenden Absenderangaben an mittelständische Unternehmen der Metall-, Automobil- und Lebensmittelindustrie. Sie schlüpfen in die Rolle seriöser britischer Unternehmen und geben Großbestellungen auf. Die Polizei bezeichnet die Methode als „Fake Customer-Trick“.
Dazu benutzen die Täter E-Mail-Absenderadressen, die täuschend echt wirken und auf den ersten Blick kaum als Fälschungen zu erkennen sind. Mit Fachbegriffen und branchenüblichen Formulierungen täuschen sie ernsthaftes Kaufinteresse vor. Ihre sofortige Zahlungsbereitschaft und notwendige Bonität belegen die Betrüger mithilfe gefälschter Bilanzen. 
Die Täter beauftragen via Internet internationale Speditionen und lassen sich die Bestellungen nach Großbritannien liefern – die Zahlungen dafür bleiben allerdings aus.
Nach Informationen des Landeskriminalamts treten die Betrüger verstärkt in Baden-Württemberg auf. Seit Juni 2016 sind allein dort neun Firmen auf den Trick hereingefallen.
Die Opfer lieferten Waren im Wert von rund 25 bis circa 300.000 Euro an die Betrüger – der Gesamtschaden allein in Baden-Württemberg liegt bei knapp einer Million Euro.

Wie können Sie sich vor gefälschten Kundenbestellungen aus dem Ausland schützen?

• Verifizieren Sie Kunden bzw. Bestellungen durch Kontaktaufnahme über Telefon oder E-Mail.
• Wichtig: Benutzen Sie dafür nur Daten, die Sie der Homepage des Kunden entnehmen.
• Benutzen Sie keinesfalls die Kontaktdaten oder den Antwort-Button aus der Mail.
• Informieren Sie die Beschäftigten Ihres Unternehmens über diesen Fake Customer-Trick.
• Erstatten Sie Anzeige bei der Polizei, wenn Sie Opfer wurden oder derartige Bestellungen per E-Mail bei Ihnen eingegangen sind.

Haben Sie in den letzten Tagen mehr Spam-Nachrichten als normalerweise oder sogar Werbeanrufe unbekannter Nummern erhalten? Und verwenden Sie vielleicht Instagram? Dann könnten Sie einer der sechs Millionen Instagram-Nutzer sein, deren Daten vor ein paar Tagen von Hackern erbeutet wurden. Denn eine ungewöhnlich hohe Anzahl an Werbe-Mails von Unternehmen, mit denen man noch nie etwas zu tun hatte, könnte ein Anzeichen dafür sein, dass eine E-Mail-Adresse plötzlich in dubiosen Datenbanken aufgetaucht ist.

Hinter dem aktuellen Instagram-Hack steckt offenbar die Hacker-Gruppe „DoxAGram Team“, die die erbeuteten Datensätze mit Email-Adressen und Telefonnummern im Darknet zum Kauf anbietet. Die Preise starten bei rund 10 US-Dollar, zahlbar in der Kryptowährung Bitcoin. Dafür erhält der Käufer Zugang zur hauseigenen Datenbank von DoxAGram Team, in der sich laut der Webseite „The Daily Beast“ neben den rund sechs Millionen normalen Adressen auch Kontaktdaten von prominenten Nutzern wie Emma Watson, Britney Spears oder Christiano Ronaldo finden lassen.

Doch wie kam es überhaupt zu dem Datenleck? Schuld war offenbar ein Programmierfehler in einer Schnittstelle von Instagram. Dieser wurde zwar unmittelbar nach Bekanntwerden des Angriffs behoben, doch die Kriminellen haben die Zeit bis dahin sinnvoll genutzt und mehrere Millionen Datensätze erbeutet. Zunächst war man bei Instagram noch davon ausgegangen, dass lediglich wenige Promi-Accounts betroffen sind, doch nachdem die DoxAGram-Datenbank im Darknet auftauchte, wurde das gesamte Ausmaß des Hacks sichtbar.

Ob die eigene E-Mail-Adresse ebenfalls betroffen ist, können Instagram-Nutzer beispielweise mit dem HPI Identity Leak Checker des Hasso-Plattner-Instituts überprüfen. Das Tool führt einen Datenbankabgleich durch und stellt fest, ob und welche Daten kompromittiert sind. Wer also die eingangs erwähnten Aktivitäten bei sich feststellt, sollte einen solchen Check in Erwägung ziehen.

Es ist eine gruselige Vorstellung: Der installierte Sprachassistent antwortet scheinbar aus dem Nichts auf unhörbare Befehle, seltsame Fotos der Wohnung tauchen in der Cloud auf, Musik beginnt plötzlich zu spielen und auf der Einkaufsliste finden sich Dinge, die man ganz sicher nicht selbst daraufgesetzt hat. Da kann es einem doch ein wenig mulmig zumute werden. Hat sich jemand in die Wohnung geschlichen? Oder hat sich am Ende sogar ein technikaffiner Geist eingenistet? Wohl eher nicht, denn auch wenn diese Phänomene sich anhören wie ein mittelschwerer Fall von Spuk, könnten sie einfach das Werk von Hackern sein.

Forscher der Universität Georgetown haben bereits vor zwei Jahren auf einer Konferenz gezeigt, dass man die digitalen Assistenten mit Sprachsteuerung durch Befehle manipulieren kann, die für Menschen wie sinnloses Kauderwelsch klingen. So machte der Android-Assistent „Cocain Noodles“ zu „OK, Google“, also dem Befehl, auf weitere Spracheingaben zu warten. Ein Jahr später folgte der Nachweis, dass das auch in einer Umgebung mit Hintergrundgeräuschen möglich ist. In diesem Jahr setzten Forscher der Princeton Universität noch einen drauf. Sie steuerten Android-Handys und den Amazon Echo mit Ultraschallwellen, die zwar von den Mikrofonen der Assistenten und Smartphones aufgefangen und verarbeitet werden können, jedoch für das menschliche Ohr nicht hörbar sind. 

Durchaus hörbar sind hingegen die Reaktionen des Handys oder des Assistenten. Weil diese sich aber nicht wesentlich verändern und damit vorhersagen lassen, könnten Kriminelle sie zumindest in der Theorie durch Gegenschall unterdrücken. Möglich ist das, da ohnehin bereits ein Lautsprecher unter der Kontrolle der Hacker sein muss, um die Befehle per Ultraschall überhaupt erst zu senden. Wie weit entfernt ein solcher Lautsprecher sein muss und ob es vielleicht bei geöffnetem Fenster schon von der Straße aus möglich ist, erwähnen die Forscher nicht. Dafür weisen sie darauf hin, dass ein solches Vorgehen durch die Verwendung von registrierten Stimmprofilen deutlich schwieriger wird. Allerdings nicht unmöglich, denn eine Sprachaufnahme lässt sich bei vielen Menschen einfach durch einen kurzen Anruf machen, entweder durch ein kurzes Gespräch oder einfach von der personalisierten Ansage auf dem Anrufbeantworter. 

Auch wie man sich vor solchen Lausch- und Schallattacken schützen kann, ließen die Wissenschaftler offen. Doch wie überall gilt auch hier: Software aktuell halten, Updates einspielen und grundsätzlich Vorsicht walten lassen.

Cyber Security ist wichtig. Das ist mittlerweile den meisten Unternehmen bewusst. Doch ein hundertprozentiger Schutz ist in der Praxis kaum zu verwirklichen, selbst wenn man eine ausgefeilte Sicherheitsstrategie implementiert, klare Verantwortlichkeiten festgelegt und die Mitarbeiter für die Risiken sensibilisiert hat. Das Restrisiko ließe sich jedoch mit einer sogenannten Cyber-Versicherung abdecken – wenn man eine passende Police fände. Doch damit tun sich die Versicherer noch schwer, wie das Branchenmagazin Versicherungsbote berichtet. 

Laut der Zeitschrift habe zwar eine Studie der Unternehmensberatung KPMG ergeben, dass der Markt mit Cyber-Policen in weniger als 20 Jahren einen ebenso hohen Umsatz erbringen könnte wie heute KFZ-Versicherungen. Trotzdem sei das Angebot noch recht überschaubar. Und Unternehmen scheinen der Notwendigkeit einer entsprechenden Versicherung noch skeptisch zu gegenüberzustehen, denn die Durchdringungsquote liegt bei mageren neun Prozent. Dabei steigen die Risiken – und auch die Kosten – für Hackerangriffe und Schäden durch Schad-Software seit Jahren konstant, bedingt durch die voranschreitende Digitalisierung. Leider wird sich dieser Trend nicht umkehren, sondern im Gegenteil eher noch zunehmen. 2018 tritt zusätzlich eine Neuordnung der Datenschutz-Grundverordnung in Kraft, die die Meldepflichten deutlich verschärfen und die Zahl der Haftungsfälle erhöhen wird.

Nun sind also die Versicherer am Zug: Sie müssen entsprechende Policen konzipieren und auf dem Markt etablieren. Ihr Problem ist allerdings die Risikoeinschätzung. Die aktuellen statistischen Modelle, die in der Versicherungsbranche zur Berechnung von Risikoeinschätzungen zum Einsatz kommen und damit auch die Höhe der Prämien bestimmen, lassen sich auf Cyber-Vorfälle nur bedingt übertragen. Diese Unsicherheit zeigt sich auch bei den derzeit verfügbaren Versicherungen. Während die einen sehr hohe Beiträge fordern und mit einem Puffer arbeiten, haben andere sehr knapp kalkuliert.

Ein weiteres Problem ist der Versicherungsumfang. Sollen nur tatsächliche Schäden abgedeckt werden? Wie sind Haftungsfragen geregelt? Werden Schäden bei Dritten abgedeckt? Und sollte die Versicherung auch bei der Prävention helfen? Experten fordern von einer guten Cyber-Versicherung all diese Komponenten – und haben damit Recht! Insbesondere die Prävention ist ein wichtiger Faktor, der in der Police enthalten sein sollte. Denn damit tun die Versicherer nicht nur ihren Kunden, sondern letztendlich auch sich selbst einen Gefallen.

Die Fake-President-Masche nutzen Kriminelle normalerweise dazu, Gelder von Unternehmen zu erbeuten. Dabei geben sie sich als Mitglied der Unternehmensleitung aus, das z. B. an einem streng vertraulichen Geschäft arbeitet und das Opfer nun mit der Abwicklung einer Transaktion betrauen möchte. Die Kontaktaufnahme erfolgt u. a. per E-Mail; sowohl die Absenderadresse als auch die Signatur sind auf den ersten Blick einwandfrei. Doch das ist nur ein Detail des hinterlistigen Betrugs, der meist sehr gut vorbereitet und hochprofessionell durchgeführt wird. Bei einer gut gemachten Fake-President-Masche arbeiten die Betrüger auch auf der psychologischen Ebene. Sie analysieren die Schreib- und Ausdrucksweise des Chefs und imitieren ihn. Nun wird das Opfer dazu aufgefordert, unter strikter Geheimhaltung einen hohen Betrag auf ein Konto im Ausland zu überweisen.

Nun hat offenbar ein Hacker, der sich auf Twitter @SINON_REBORN nennt, den Fake-President-Trick leicht abgewandelt genutzt um hochrangige Mitarbeiter des amerikanischen Präsidenten Donald Trump hereinzulegen. Laut dem Fernsehsender CNN, der auch die nahezu vollständigen Dialoge veröffentlicht hat, sind sowohl US-Heimatschutzberater Tom Bossert als auch der kurzfristige Kommunikationschef Trumps, Anthony Scaramucci, auf den Scherzkeks hereingefallen. Das Weiße Haus musste die Vorfälle mittlerweile bestätigen.

Im Fall von Bossert gab sich der Hacker als niemand geringeren als Jared Kushner aus, seines Zeichens Berater und Schwiegersohn von Donald Trump. Der falsche Kushner lud Bossert zu einer Soirée ein und versprach „Essen in mindestens vergleichbarer Qualität zu dem, was wir im Irak gegessen haben“. Und natürlich freut sich Bossert über die Einladung und sagt gerne zu. Gleichzeitig gibt er dem vermeintlichen Bekannten auch noch seine private E-Mail-Adresse. Besonders pikant: Tom Bosserts Fachgebiet als Heimatschutzberater ist die Online-Sicherheit.

Bei Anthony Scaramucci machte sich der Betrüger die allgemein bekannte Fehde mit dem ehemaligen Stabschef Trumps, Reince Priebus, zunutze. Unter dem Namen und mit der E-Mail-Adresse von Priebus schrieb er Scaramucci einen Tag nachdem der echte Priebus sein Amt niedergelegt hat:

„Ich hatte mir selbst versprochen, dass ich mir nicht die Hände schmutzig machen würde, aber nachdem ich heute deinen Tweet ‚Bald werden wir sehen, welche Medien Klasse haben und welche nicht‘ gelesen habe, kann ich einfach nicht anders. Dieser Tweet war sogar für deine Verhältnisse atemberaubend heuchlerisch. Du hast dich zu keiner Zeit auch nur halbwegs so verhalten, als hättest du Klasse.“ 

Damit ließ sich der als durchaus heißblütig bekannte Scaramucci natürlich aus der Deckung locken und stieg voll auf die Kommunikation mit dem vermeintlichen Priebus ein. Den ganzen Dialog kann man bei CNN nachlesen. Und damit nicht genug: Der Hacker hatte mit dem ehemaligen Kommunikationschef offenbar ein gutes Opfer gefunden, denn er gab sich in einem weiteren E-Mail-Verlauf als Jon Huntsman Jr. aus, der designierter US-Botschafter in Russland ist.

Der einzige, der scheinbar nicht auf den Hacker hereingefallen ist, ist Eric Trump, der Sohn des Präsidenten. Ihm hatte @SINON_REBORN unter dem Namen seines älteren Bruders Donald Trump Jr. geschrieben, wurde aber schnell enttarnt. Das zeigt: Mit ein wenig Vorsicht und einem gesunden Maß an Misstrauen kann man solche Betrüger entlarven. 

Die Sicherheitsexperten von Kaspersky haben eine neue Version des Banking-Trojaners Svpeng entdeckt. Er befällt Android-Geräte, indem er sich als Flash-Player-App ausgibt und sich bei der Installation die Rechte als Geräteadministrator einräumen lässt. Anschließend hat der Schädling zwei Optionen: Entweder er funktioniert als Keylogger, der jede Eingabe mitprotokolliert und als Bildschirmfoto an die Hintermänner schickt oder er tarnt sich als Standard-SMS-App und kann so SMS versenden und empfangen, Anrufe tätigen und die Kontakte auslesen. Dank der eingeräumten Admin-Rechte erhält der Trojaner aber auch Zugriff auf andere Apps, bei denen er dann mitlesen kann – insbesondere bei Banking-Apps, die sensible Daten verarbeiten, ein riesiges Problem. Das funktioniert sogar bei Apps, bei denen die Screenshot-Funktion ausgeschaltet ist. Daran lässt sich ablesen, wie tief die Malware ins Android-System eingreift.

Besonders erschreckend an dieser neuen Variante von Svpeng: Sie befällt alle Versionen des Android-Betriebssystems, also auch die aktuellste Software Nougat 7.1.2 mit allen Sicherheits-Updates. Laut Kaspersky sind die Fallzahlen derzeit noch gering, doch bereits jetzt ist eine Konzentration auf Russland (29 Prozent) und Deutschland (27 Prozent) zu erkennen. Hat man sich Svpeng eingefangen, sucht das Programm offenbar ganz gezielt nach Apps großer europäischer Banken und fängt die Kommunikation ab. Versucht man den Schädling zu deinstallieren und ihm die Admin-Rechte wieder zu entziehen, hat er beeindruckende Verteidigungsmechanismen an Bord, die jeden Versuch in diese Richtung unterbinden. 

Um sich vor einem derart potenten Schadprogramm zu schützen, muss man einige Sicherheitsregeln beachten. So sollte man nur Apps aus den offiziellen App-Stores herunterladen. Hier haben es Schadprogramme deutlich schwerer. Darüber hinaus sollte man nicht einfach alle Berechtigungsanfragen bei der Installation bestätigen, sondern genau überlegen, ob die App die geforderten Zugriffsrechte tatsächlich braucht. Eine Antiviren-Software auf dem Handy zu installieren und immer auf dem neuesten Stand zu halten ist ebenso empfehlenswert. In diesem speziellen Fall hilft es auch zu wissen, dass der Flash-Player von Android-Geräten schon lange nicht mehr unterstützt wird – eine Flash-Player-App ist daher sinnlos!

Was wiegt schwerer? Das Recht auf informationelle Selbstbestimmung oder die Interessen eines Wirtschaftsunternehmens an der Verwertung personenbezogener Daten? Diese Frage stellt sich aktuell bei den Online-Verzeichnissen von Das Telefonbuch und Das Örtliche. Beide haben sich massenhaft und ungefragt an den Profildaten von Millionen Nutzern verschiedener sozialer Netzwerke bedient und in ihre eigenen Verzeichnisse aufgenommen. Dazu gehören neben den frei zugänglichen Daten wie Namen oder Profilfoto auch Informationen wie Sprachkenntnisse oder der aktuelle Arbeitgeber, die nicht so einfach sichtbar sind. Als Quellen dienen Facebook, Twitter, foursquare und Plattformen mit beruflichen Daten wie Xing oder LinkedIn. Außerdem werden bei telefonbuch.de Bewertungen der hauseigenen Bewertungsplattform GoLocal angezeigt.

Sind die Daten gesammelt, erstellt Das Örtliche einen eigenen Link zur Personenseite. Dieser steht dann bei Suchmaschinen wie Google in direkter Konkurrenz zu den Profilen bei Xing oder LinkedIn und wird womöglich auch noch höher gewichtet, taucht also weiter oben in den Suchergebnissen auf. Für Jobsuchende nicht unbedingt ideal. Hinzu kommt, dass diese Praxis von den Telefonbuchanbietern kaum kommuniziert wird – und wer rechnet schon damit, dass seine Social-Media-Profile nach Daten durchforstet werden, nur weil man der Eintragung ins Telefonbuch zugestimmt hat? 

Die Frage, die sich nun stellt, lautet: Ist dieses Vorgehen der Datenkraken überhaupt legal, insbesondere was die nicht öffentlichen und nur über Umwege erhältlichen Daten anbelangt? Fragt man den zuständigen hessischen Datenschutzbeauftragten, ist das alles kein Problem. Prof. Dr. Michael Ronellenfitsch erklärte gegenüber bild.de, man könne das etwas veraltete Datenschutzgesetz entsprechend „biegen“, damit es dem heutigen Informationszeitalter entspricht. Das zeige auch das Urteil des Bundesverfassungsgerichts zur Lehrer-Bewertungsplattform spickmich.de. 2009 hatte eine Lehrerin mit einer Klage gegen das Portal erreichen wollen, dass die negativen Bewertungen nicht mehr öffentlich zu sehen sind.  

Dieser Einschätzung widerspricht Prof. Dr. Peter Wedde von der Frankfurt University of Applied Sciences im selben Artikel. Er hätte sich gerade vom Datenschutzbeauftragten eine „sehr viel differenziertere Auslegung der einschlägigen Datenschutzvorschriften gewünscht, die das Recht auf informationelle Selbstbestimmung in den Vordergrund stellt und nicht das wirtschaftliche Interesse eines Unternehmens.“ Darüber hinaus wäre das Urteil von 2009 ebenfalls veraltet. Die Unternehmen erklären, dass man lediglich Daten nutze, die in öffentlichen Profilen ersichtlich seien. Darüber hinaus hätten die Nutzer die Wahl, ob sie die Auffindbarkeit in Suchmaschinen erlauben wollen oder nicht. Prof. Dr. Wedde bezweifelt allerdings, ob diese Genehmigung auch Telefonverzeichnisse beinhalte, da diese sich auch nicht Suchmaschine, sondern eben Verzeichnis nennen würden. Daher ist die aktuelle Praxis seiner Einschätzung nach nicht datenschutzkonform.

Das Vorgehen von Das Telefonbuch und Das Örtliche im Netz zeigt einmal mehr, dass man sehr vorsichtig sein sollte, welche Informationen man online zur Verfügung stellt und wozu man seine Genehmigung erteilt. Auch wird klar, wie sehr der Datenschutz im Internet noch in den Kinderschuhen steckt, wenn zwei Fachleute zum selben Sachverhalt so unterschiedliche Meinungen haben. Hier sind Legislative und Judikative gefragt, um derartige Praktiken zu unterbinden. In Frankreich ist das bereits geschehen: Hier dürfen die Online-Verzeichnisse bereits seit 2010 keine Daten aus sozialen Netzwerken sammeln und auf der eigenen Seite aggregieren. 

Wenn man streng nach Anleitung bei der Datensicherung und Erstellung von Back-ups vorgeht, kann eigentlich nichts schiefgehen. Sollte man zumindest meinen. Doch ganz so einfach ist es leider nicht. Das musste auch IT-Journalist Hanno Böck kürzlich feststellen: Er fand eine Datenbank mit rund 200.000 Adressen frei und für jedermann verfügbar im Netz. Die Daten stammten von dem Portal umziehen.de, das von der Deutschen Post betrieben wird. Dort können Nutzer Umzugsmitteilungen mit der neuen Adresse hinterlegen, die dann automatisch an Banken, Versicherungen und andere Dienstleister weitergeleitet werden. Da dieser Service überaus praktisch ist, wird er offenbar gerne genutzt – und entsprechend groß ist die Datenbank der Webseite.  

Auf Nachfrage bestätigte die Post die Sicherheitslücke. Offenbar gelangte die Datenbank im Zuge eines Sicherheits-Updates der Datenbank-Software MySQL durch ein Versehen ins Netz, obwohl man streng nach Anleitung vorgegangen war. Das Problem: In der Dokumentation der Software wird ein Beispiel gezeigt, in dem die Sicherungsdatei dump.sql genannt wird. Dieser Name wurde auch von umziehen.de gewählt. Diese Datei landete durch einen Fehler im Netz und konnte anschließend einfach unter umziehen.de/dump.sql heruntergeladen werden. 

Nach einem Hinweis von Böck entfernte die Post-Tochter die Datenbankkopie schnell aus dem Netz. Allerdings ist umziehen.de längst nicht das einzige Unternehmen, das diesen Fehler begangen hat. Eine Recherche ergab rund 2.000 weitere Fälle weltweit, bei denen Datenbankkopien auf genau die gleiche Weise ins Netz gelangten und heruntergeladen werden konnten. Unter den betroffenen Unternehmen befand sich neben verschiedenen Versandhändlern auch eine Online-Apotheke aus Australien mit 600.000 Datensätzen, die neben der Adresse auch noch die Details der Bestellungen enthielt! 

Nachdem es für Böck nicht besonders schwer war, tausende Datenbanken mit dem Namen dump.sql zu finden, ist davon auszugehen, dass die entsprechenden Dateien in der Vergangenheit bereits heruntergeladen wurden. Diese Vermutung wird auch dadurch gestützt, dass eine Überprüfung der Logdateien seiner eigenen Webseite mehrere entsprechende Suchanfragen ergab. Über seine Ergebnisse informierte der Journalist die betroffenen Unternehmen, auch wenn nicht alle auf seine Warnung reagierten. 

Der Fall zeigt einmal mehr, dass gut gemeint leider nicht immer gut gemacht ist. Selbst wenn man streng nach Anleitung vorgeht und Updates einspielt, kann es zu solchen gefährlichen Missgeschicken kommen. Daher sollte man nicht nur stupide nach Schema F vorgehen, sondern auch bei der IT-Sicherheit mitdenken. 

Ein normaler Staubsauger kommt für viele Hightech-Haushalte heute nicht mehr in Frage. Ein Staubsaugroboter muss es sein. Der Markt bietet mittlerweile viele verschiedene Geräte mit unterschiedlichster Ausstattung – vom einfachen Basisgerät, das nicht allzu intelligent ist, bis zum smarten Superroboter, der immer genau weiß, wo im Raum er sich befindet, sich selbstständig auflädt und die gründliche Reinigung der gesamten Wohnung plant. Zu letzterer Kategorie zählt der Roomba von iRobot, eines der bekanntesten Modelle weltweit. 

Um einwandfrei zu funktionieren, kartiert die Luxus-Variante des Roomba beim Saugen die gesamte Wohnung mittels Infrarot, Laser und anderen Sensoren. „Slam“ nennt iRobot diese Technik, kurz für „Simultaneous localization and mapping“. So weiß der Roboter immer, welche Stellen er bereits gesaugt hat und wo er nach der nächsten Ladepause weitermachen muss. So entstehen Datensätze, die auch von anderen smarten Geräten wunderbar genutzt werden könnten – wohlgemerkt: könnten, denn aktuell dienen sie nur dem Roomba zur Orientierung.

Genau das will iRobot-Chef Colin Angle jetzt ändern und die Daten gewinnbringend verkaufen. Die Anwendungsmöglichkeiten wären vielfältig, erklärt er. Smarte Lautsprecher könnten den Klang an die Akustik des Raums anpassen, smarte Glühbirnen steuern das Licht in Abhängigkeit von Uhr- und Jahreszeit sowie der Lage der Fenster. Der Fernseher passt seine Bildeinstellungen entsprechend an. Das klingt im ersten Moment sinnvoll. Aber damit sind die Anwendungsmöglichkeiten der smarten Grundrisse noch lange nicht erschöpft. Richtig Geld verdienen könnte iRobot, wenn es die Daten an Werbetreibende verkauft. Gesteuert werden soll das ganze Ökosystem mit einer Kommandozentrale wie Amazon Echo, Google Home oder dem Apple HomePod. 

Noch ist das Zukunftsmusik, allerdings hat Angle bereits angekündigt, mit einem dieser drei Anbieter in Verhandlungen über den Kauf der Datensätze zu treten. Ein erster Schritt ist schon getan, denn der Roomba lässt sich bereits über Echo und Google Home steuern. 

Immerhin: Die Daten will iRobot nur mit Einwilligung der Nutzer weiterverkaufen. Doch das Unternehmen hat sich eine Hintertür für solche lukrativen Deals offen gelassen. In seiner Privacy Policy hat es eine Klausel versteckt, die ihm erlaubt, die Daten der Nutzer auch für Werbezwecke an verbundene Unternehmen weiterzugeben. Auch andere Firmen dürfen die Daten mit Einverständnis der Nutzer für Werbung nutzen. Wer dem nicht zustimmen will, darf die firmeneigene App nicht nutzen. 

Ein kleiner Lichtblick für Kunden in Europa ist die EU-Datenschutzverordnung: Sie besagt, dass Nutzer eine freiwillige und vor allem auf den Fall bezogene informierte Einwilligung geben müssen. Zumindest die bisherige Privacy Policy ist damit nicht mehr ausreichend.

Die Schäden durch Cyber-Attacken nehmen immer weiter zu. Allein 2016 lagen sie weltweit bei rund 450 Milliarden Dollar. Trotzdem sind Unternehmen in Europa in diesem Bereich deutlich unterversichert. Zu diesem Ergebnis kommt eine Studie des britischen Versicherungsmarkts Lloyds of London. Für die Untersuchung wurden zwei unterschiedliche Szenarien simuliert: Im ersten Fall wurde der Angriff auf einen Cloud-Anbieter wie Amazon oder IBM angenommen, wodurch die Server der Kunden ausfallen. Den dadurch entstehenden Schaden beziffert Lloyds mit bis zu 53 Milliarden Dollar – also in etwa der Summe, die der Hurrikan Sandy im Jahr 2012 in den USA angerichtet hat. Im zweiten Szenario nutzen Kriminelle Schwachstellen in weit verbreiteter Software aus, wie es bei den kürzlich erfolgten Attacken von WannaCry und NotPetya der Fall war. Die geschätzten Schäden liegen hier bei rund 28,72 Milliarden Dollar.

So erschreckend diese Zahlen an sich bereits sind, es geht noch schlimmer, wenn man sich ansieht, wieviel Prozent der Schadenssumme tatsächlich versichert ist. Bei Szenario eins sind es mit 8,14 Milliarden Dollar gerade mal 17 Prozent. Noch schlimmer sieht es bei Szenario zwei aus: Hier sind es mit nur 2 Milliarden Dollar nochmal 10 Prozent weniger. Greift man die Analogie mit den Naturkatastrophen wieder auf, zeigt sich, wie stark europäische Unternehmen gegen Cyber-Schäden unterversichert sind. Bei Sandy, Katrina und Co. waren zumindest 30 Prozent der Schäden versichert. Das steht in krassem Gegensatz zur Bedrohungslage, immerhin hat das Weltwirtschaftsforum Cyber-Attacken auf Platz 12 der größten Gefahren für Unternehmen eingestuft. Naturkatastrophen liegen hingegen nur auf Platz 20.

Betrachtet man die aktuellen Entwicklungen und die Frequenz, mit der sich schwere Angriffe mittlerweile häufen, sollten sich Unternehmen wesentlich stärker mit dem Thema Versicherungsschutz befassen. Doch auch die Versicherer haben Nachholbedarf und müssen entsprechende Produkte entwickeln. Das ist nicht einfach, da ständig neue Bedrohungen aufkommen und die Datenlage dementsprechend mager ist. Trotzdem: Der Markt für solche Versicherungen ist vorhanden und wird in Zukunft noch weiter wachsen.

Digitale Währungen, auch Kryptowährungen genannt, sind aktuell für viele Anleger das „next big thing“. Während Bitcoin den meisten Menschen inzwischen ein Begriff ist, waren Ripple, Litecoin oder Ethereum bislang hauptsächlich Eingeweihten bekannt. Das ändert sich jedoch allmählich – insbesondere durch die enorme Wertsteigerung, die Ethereum seit Anfang des Jahres erfahren hat (auch wenn der Kurs kürzlich deutlich gefallen ist). Doch es ist nun einmal Fakt: Wo Profite locken, sind Kriminelle nicht weit.

Derzeit versuchen Betrüger verstärkt an Ethereum, kurz Ether, zu gelangen. Ihr Masche: Sie verleiten Nutzer der Wallet-App MyEtherWallet dazu, ihre Zugangsdaten auf einer Fake-Seite einzugeben. Damit können sie dann ganz bequem die digitalen Konten abräumen. Da der Transfer von Kryptowährung weitgehend anonym von statten geht, ist die Gefahr erwischt zu werden relativ gering.

Die Kriminellen machen sich für ihre Masche die Kommunikationsgewohnheiten der Kryptowährungs-Community zu Nutze und sprechen ihre Opfer über reddit und den Teammessenger Slack an. Beide Dienste sind in der Szene sehr beliebt, um sich auszutauschen, zu diskutieren, neue Projekte anzustoßen oder mit Investoren und Nutzern zu kommunizieren. Die verschickten Nachrichten folgen alle demselben Schema: Ein Nutzer warnt davor, dass MyEtherWallet gehackt wurde und er dadurch eine hohe Summe Ethereum verloren hätte. Um sich davor zu schützen, solle man sich auf myetherwallet.com einloggen und das Guthaben auf ein anderes Konto transferieren. Wer auf den Link in der Nachricht klickt und sich auf der Seite anmeldet, schickt seine Zugangsdaten allerdings direkt an die Kriminellen, die dann den letzten Schritt – die Überweisung des Geldes auf ein anderes Konto – übernehmen.

Die Entwickler von MyEtherWallet warnen vor den Nachrichten, bei denen es sich eigentlich um nichts anderes handelt als eine ganz normale Phishing-Masche. Nur landen die Nachrichten nicht per Mail direkt im Spam-Ordner, sondern werden über von der Zielgruppe genutzte Kanäle verschickt, hier also Slack und Reddit. Auch wenn einem Außenstehenden dieser Unterschied marginal vorkommt, so scheint er doch zum Erfolg zu führen. So unglaublich das bei vermeintlich internetaffinen Menschen auch erscheint.

Aktuell sucht MyEtherWallet nach einem Anwalt, der die in Russland registrierte URL wegen Urheberrechtsverstößen blockieren lassen kann. Bis dahin bleibt den Nutzern des Dienstes nur, wachsam zu sein und derartige Nachrichten zu ignorieren. Hilfe kommt allerdings auch aus den eigenen Reihen: Mehr als 200 Nutzer haben die Seite der Kriminellen mit falschen Daten gefüttert, um sie damit zu beschäftigen, echte von unechten Daten zu unterscheiden. So haben die Opfer ein wenig Zeit, ihr Geld in Sicherheit zu bringen. 

Nicht immer muss ein Hacker-Angriff gleich böse Folgen haben. Manchmal handelt es sich auch nur um einen Warnschuss. Einen solchen erhielt die Supermarktkette Rewe kürzlich von Dominik, der auf Twitter unter dem Namen @DomsePlay aktiv ist. Ihm war auf einem Monitor in seinem lokalen Rewe-Markt ein Pop-up-Fenster der Software TeamViewer aufgefallen, in dem Benutzername und Kennwort für das interne Rewe-System sichtbar waren, für alle Passanten gut les- und nutzbar.

Für Dominik war das quasi eine Einladung, sich doch einfach mal mit den angegebenen Daten anzumelden. Doch anstatt im System Schaden anzurichten oder Schabernack zu treiben, hinterließ der nette Hacker von nebenan nur eine gutgemeinte Nachricht:

„Liebes Rewe-Team:

Bitte achten Sie doch auf Ihre IT-Security.

Gerne bin ich Ihnen dabei behilflich.

Viele Grüße,

Dominik“

Doch ganz so glimpflich sollte der Supermarkt dann doch nicht wegkommen, denn aus Schaden wird man bekanntlich klug: Die freundliche Nachricht war nach dem Senden auf allen Bildschirmen der Filiale zu sehen – und die entsprechenden Fotos der Aktion verbreitete @DomsePlay mit der Nachricht „Bitte steckt mich nicht in den Knast“ über Twitter, wo er für seinen „Hack“ gefeiert wird. Die Supermarktkette reagierte schnell, ebenfalls über Twitter, und fragte nach der Marktadresse und Dominiks Kontaktdaten, um den Hinweis entsprechend weiterzuleiten. Wie es danach weiterging, ist leider nicht bekannt. Die Bilder finden sich auf Twitter unter https://twitter.com/DomsePlay.

So lustig sich die Geschichte jetzt anhört, so ernst ist der Hintergrund. Hacker-Attacken werden zunehmend zu einem Problem und der allzu sorglose Umgang mit der IT-Sicherheit macht es den Kriminellen leider immer noch viel zu leicht. So ein Fauxpas darf einfach nicht passieren, denn ein weniger wohlmeinender Kunde hätte den Zugang zum internen Rewe-System auch ganz anders nutzen können. Von daher kann man dem Rat „Bitte achten Sie doch auf Ihre IT-Security.“ nicht genug zustimmen.

Wieder sorgt ein Kryptotrojaner für massive Probleme – und zeigt gleichzeitig, dass zu viele Unternehmen und Behörden trotz der deutlich verschärften Bedrohungslage immer noch unvorbereitet auf diese Art der Kriminalität sind. Derzeit scheint sich der Verdacht zu erhärten, dass bei dem Angriff eine neue Version der bereits bekannten Ransomware Petya zum Einsatz kommt – die u. a. dieselbe, längst bekannte Schwachstelle ausnutzt wie der Kryptotrojaner WannaCry, der im Mai hunderttausende Rechner infizierte.

Wie wichtig es für Unternehmen ist, neben einem professionellen Patch-Management auch ein professionelles Rechtemanagement für Admin- und Systemkonten umzusetzen, wird seit Anfang der Woche mehr als deutlich: Eine Angriffswelle mit einem sogenannten Kryptotrojaner, also einer Schad-Software, die die Daten der gekaperten Rechner und Netzwerke verschlüsselt, führt seit Dienstag zu weltweiten Ausfällen. Neben großen Unternehmen wie dem Lebensmittel-Riesen Mondelez, dem russischen Ölkonzern Rosneft und dem Pharmaunternehmen Merck in den USA sind auch zahlreiche Banken und Behörden betroffen. Rund 60 Prozent der Angriffe spielten sich in der Ukraine ab, wo nicht nur die Geldautomaten der staatseigenen Sparkassen und der Flughafen in Kiew von Ausfällen betroffen sind. Auch die Agentur für die Verwaltung der Sperrzone in Tschernobyl – also diejenige Agentur, die den Austritt der Radioaktivität am havarierten Reaktor überwacht und dort für die Sicherheit zuständig ist. Zwar wurde schnell betont, dass alle wichtigen technischen Systeme normal funktionierten. Trotzdem ist die Vorstellung eines Hacker-Angriffs auf ein Atomkraftwerk nicht gerade beruhigend.

Das Perfide an diesem Trojaner ist, dass er nicht nur die Daten verschlüsselt, sondern zum Teil auch verhindert, dass Computer booten. Bei einigen unserer Kunden sind fast 100% der Rechner befallen und nicht einmal die Back-up-Systeme booten mehr. Dann besteht häufig nur noch eine Chance: Das Lösegeld zu zahlen und auf die Freigabe der Daten zu hoffen – Garantien gibt es keine.

Und vor diesem Hintergrund ist die Sperre des Postfachs der Kriminellen durch den Anbieter Posteo zwar verständlich. Kriminalität möchte man nicht unterstützen, allerdings kann dieser Schritt den Unternehmen, die keinerlei Zugriff mehr auf ihre Daten haben und deren letzte Hoffnung die Zahlung des Lösegelds gewesen wäre, den letzten Rettungsanker nehmen.

Die Sperrung des Postfachs und damit verbunden die Unmöglichkeit der Lösegeldzahlung ist für viele Unternehmen eine Katastrophe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt zwar, keinesfalls die geforderten 300 Dollar in Bitcoin zu zahlen, da man das Geschäftsmodell nicht unterstützen soll. Doch dieser Aufruf geht leider an der Realität vorbei. Wenn Unternehmen keinen Zugriff mehr auf ihre Daten haben, sind existenzbedrohende Konsequenzen zu befürchten.

Angesichts der schnellen Ausbreitung und gravierenden Folgen des neuen Trojaners rief das BSI Unternehmen außerdem dazu auf, ihre Systeme schnellstmöglich auf den neusten Stand zu bringen, um alle bereits bekannten Sicherheitslücken zu schließen. BSI-Präsident Arne Schönbohm erklärte: „Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernst zu nehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben.“ Damit hat Herr Schönbohm recht, denn in vielen Fällen von Cyber-Kriminalität hapert es nicht an den technischen Möglichkeiten, um die Attacke abzuwehren, sondern an deren Umsetzung in der Praxis und an leider allzu menschlichen Fehlern. Natürlich ist es aufwendig, Updates in einem großen Netzwerk einzuspielen und ja, manchmal muss man danach auch andere Programme entsprechend anpassen. Auch Schulungen, bei denen die Mitarbeiter für das Thema sensibilisiert werden, sind erstmal ein gewaltiger Zeitaufwand. Diese Investitionen lohnen sich aber doppelt und dreifach, wenn sie eine Cyber-Attacke abwehren.

Rund 3.500 Kunden des südkoreanischen Hosters Nayana dürften kürzlich einen Schreck bekommen haben: Ihre Webseiten waren plötzlich nicht mehr verfügbar. Weg.  Unauffindbar. Wer schon einmal eine Homepage entwickelt, aufgesetzt und  gepflegt hat, weiß, wie viele Arbeitsstunden dafür nötig sind, bis die Webseite so ist, wie man sie sich vorstellt. Und die ganze Arbeit sollte jetzt einfach weg sein? Für Unternehmen eine Katastrophe. Wie konnte es dazu kommen? 

Schuld an der Misere ist die Erpresser-Software Erebus in einer bislang unbekannten Linux-Version. Sie verschlüsselte die Daten auf 153 Linux-Servern des Hosters und machte die Webseiten damit unerreichbar. Für die Freigabe der Daten verlangten die kriminellen Hintermänner zunächst 4,4 Millionen US-Dollar. Ganz so teuer wurde es dann aber wohl doch nicht, denn am Ende einigte man sich auf die Zahlung von einer Million US-Dollar, wie Nayana verlauten ließ. Jetzt arbeitet das Unternehmen mit Hochdruck daran, die verschlüsselten Daten wieder freizugeben. Doch dieser Prozess ist langwierig und zu allem Überfluss scheint es unerwartete Schwierigkeiten zu geben. 

Doch wie kam Erebus auf die Server des Hoster? Wahrscheinlich hat es Nayana mit den Updates nicht so genau genommen, denn auf den betroffenen Servern kam der veraltete Linux-Kernel 2.6.24.2 zum Einsatz. Dieser stammt aus dem Jahr 2008, ist also inzwischen neun Jahre alt. Dementsprechend wurden mittlerweile einige Sicherheitslücken wie die Dirty-Cow-Lücke bekannt. Noch antiquierter sind die vermutlich installierten Apache- und PHP-Versionen, die laut den Sicherheitsforschern von Trend Micro etwa elf Jahre alt seien. Und zu allem Überfluss soll auch noch eine veraltete und angreifbare Version von Struts, einem Open-Source-Framework für die Präsentations- und Steuerungsschicht von Java-Webanwendungen, zum Einsatz gekommen sein. Für die war erst vor Kurzem ein Sicherheits-Update ausgeliefert worden. 

Der Fall zeigt einmal mehr, dass das Bewusstsein für die Gefahren durch Cyber-Kriminalität selbst bei IT-Spezialisten noch längst nicht so hoch ist, wie es eigentlich sein müsste. Insbesondere Updates der in einem Netzwerk zum Einsatz kommenden Programme sind häufig aufwendig, wenn sie zentral auf allen Rechnern eingespielt oder wenn eigene Programme danach ebenfalls aktualisiert werden müssen. Trotzdem führt daran eigentlich kein Weg vorbei, denn sonst kann es teuer werden – wie Nayana jetzt am eigenen Leib erfahren musste.

Diese Woche gab es eine Überraschung am Microsoft Patchday: Völlig unerwartet veröffentlichte der Software-Riese eine Aktualisierung für Windows XP und Vista. Bereits vor einigen Wochen, nach der massiven Attacke durch die Schad-Software WannaCry, hatte Microsoft auch für die veralteten Windows-Versionen ein Update veröffentlicht – obwohl der Support für XP und Vista eigentlich eingestellt ist. Jetzt gibt es einen neuen Patch, der weitere Sicherheitslücken schließt, die nach Angaben des Konzerns im Zusammenhang mit dem außerplanmäßigen Update entdeckt wurden.

Microsoft sah sich offenbar angesichts der gestiegenen Bedrohungslage nach der rapiden Ausbreitung von WannaCry zu diesem Schritt gezwungen und bestätigte ein „erhöhtes Risiko“ für Windows-Nutzer. Das Unternehmen rechnet scheinbar damit, dass Attacken wie WannaCry in Zukunft zunehmen und will seine Nutzer schützen – auch wenn es damit den eigenen Update-Grundsätzen widerspricht. Das ist lobenswert. Denn auch in Redmond weiß man, dass leider immer noch hunderttausende Rechner mit den veralteten Betriebssystemen aktiv sind und sich das auch in absehbarer Zeit nicht ändern wird – trotz aller Warnungen und Sicherheitsvorfälle.

Insbesondere für Unternehmen ist es mittlerweile dennoch unverantwortlich, weiter auf Windows XP oder Vista zu setzen. Ransomware wie WannaCry ist längst nicht die einzige Bedrohung, die durch die vielen inzwischen bekannten und noch nicht geschlossenen Sicherheitslücken entsteht. Die Alternative ist der Zukauf von außerordentlichem Support von Microsoft. Doch der ist teuer, und früher oder später wird man an einer Umstellung auf ein aktuelles Betriebssystem nicht vorbeikommen. Also warum diesen Schritt nicht beschleunigen? Sich darauf zu verlassen, dass Microsoft weitere Updates für XP und Vista veröffentlich, wäre ein großer Fehler.

Stellen Sie sich vor, Sie erhalten folgende Nachricht: „Wir haben Ihren Herzschrittmacher gehackt. Zahlen Sie Summe X, um die Kontrolle zurückzuerhalten.“ Zur Bekräftigung der Forderungen erhalten Sie einen kleinen Stromschlag. Wer würde es da nicht mit der Angst zu tun bekommen? Und im Gegensatz zu „herkömmlicher“ Ransomware würden die Kriminellen es bei solch einem Hack vermutlich nicht bei dem lächerlichen Betrag von einem Bitcoin belassen, denn das eigene Leben dürfte den Opfern wohl ungleich mehr wert sein als verschlüsselte Daten. Ein undenkbares Horrorszenario, meinen Sie? Leider nein. Ein solcher Fall ist durchaus möglich, wie die Sicherheitsexperten von WhiteScope jetzt herausgefunden haben.

Mehr als 100.000 Herzschrittmacher werden in Deutschland jährlich implantiert. Je nach Belastung verbleibt das Gerät zwischen sechs und zehn Jahren im Körper des Patienten, bevor die Batterie leer ist und es ausgetauscht werden muss. In Cybersecurity-Jahren gerechnet ist das eine halbe Ewigkeit. Die meisten der heute eingesetzten Geräte lassen sich von außerhalb des Körpers durch ein externes Steuergerät programmieren, womit wir bereits bei einem der von WhiteScope identifizierten Probleme sind. Sieben Herzschrittmacher und die dazu passenden Programmier- und Steuereinheiten von vier Herstellern haben die Experten für die Studie geprüft – und sind schnell fündig geworden: Über 8.000 (!) Sicherheitslücken wurden identifiziert. 

Problem Nummer 1: Die genutzten Betriebssysteme sind völlig veraltet. So fanden die Sicherheitsforscher in den Steuereinheiten Windows XP, DOS und sogar OS2! 

Problem Nummer 2: Alle Hersteller setzen auf zugekaufte Programmbibliotheken von Drittanbietern, die aktuell gehalten werden müssen. Bei Herzschrittmachern ergibt sich dabei ein Problem. Der Drittanbieter muss die Aktualisierung der Bibliothek bereitstellen. Soweit klappt das meist noch, zumindest für einige Jahre. Dann muss der Hersteller des Schrittmachersystems seine Software aktualisieren und das Update ausliefern. Dann folgt Stufe drei: Die behandelnden Ärzte müssen das Update einspielen und ihre Patienten auf das Update aufmerksam machen, denn die haben oft auch zu Hause ein Überwachungsgerät. Zuletzt muss der Patient die Aktualisierung durchführen. Auf jeder dieser Stufen dürfte es zu Streuverlusten kommen. Wenn man zusätzlich das Alter vieler Herzpatienten bedenkt, stellt insbesondere die letzte Stufe ein Problem dar. 

Problem Nummer 3:Die Steuerungseinheiten verbinden sich automatisch mit den dazugehörigen Schrittmachern – und zwar mit allen Schrittmachern des Herstellers innerhalb der Reichweite. Ein Log-in mit einem Kennwort oder eine weitere Sicherheitsstufe ist nicht eingeplant. Entsprechende Geräte kann man problemlos für einen erschwinglichen Preis im Internet kaufen. Bei den meisten getesteten Geräten war lediglich eine gewisse räumliche Nähe nötig, um die Steuerungseinheit mit dem eigentlichen Schrittmacher zu verbinden – und bei einigen nicht einmal das. Denn sie tauschen ihre Daten mit einem Cloud-Speicher aus, über den eigentlich der behandelnde Arzt auf die Patientendaten zugreifen soll.

Noch ist kein Fall bekannt, bei dem ein Herzschrittmacher von Kriminellen gekapert wurde. Auch WhiteScope legt die Sicherheitslücken in seiner Studie nicht offen, um die Patienten zu schützen. Trotzdem zeigt der Fall eindrücklich, dass die Hersteller von Medizinprodukten dem Thema Cyber-Sicherheit noch nicht den nötigen Stellenwert einräumen. Sie müssen dringend dazulernen, um die Sicherheit ihrer Kunden nicht zu gefährden.

Seit rund einem Jahr regelt eine Verordnung, welche Unternehmen aus den Bereichen Energie, IT, Telekommunikation, Wasser und Ernährung unter das 2015 eingeführte IT-Sicherheitsgesetz fallen. In dieser Woche legte das Kabinett nun nach und präsentierte die entsprechende Verordnung für die noch fehlenden Branchen Transport, Verkehr, Finanzen, Versicherungen und Gesundheit. Damit gelten nun deutlich mehr Unternehmen und Einrichtungen als kritische Infrastrukturen und sind von den Regularien des IT-Sicherheitsgesetzes betroffen.

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) definiert die betroffenen Unternehmen folgendermaßen: „Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Bislang fielen 730 Anlagen in diese Kategorie. Mit der neuen Verordnung erhöht sich diese Zahl um 918 Unternehmen auf 1648. 

Auf das Gesundheitswesen entfallen davon 110 Krankenhäuser sowie 151 Einrichtungen zur Medikamentenversorgung. Im Finanzsektor sind 176 Anlagen für die Bargeldversorgung und 113 Versicherungsdienste betroffen. Für den Verkehrsbereich wurden 56 Anlagen im Schienen- und 79 im Straßenverkehr als KRITIS identifiziert. All diese Unternehmen unterliegen jetzt dem IT-Sicherheitsgesetz und damit besonderen Meldepflichten über Cyber-Attacken. Innerhalb eines halben Jahres müssen sie eine zentrale Kontaktstelle zum Bundesamt für Sicherheit in der Informationstechnik (BSI) einrichten und innerhalb von zwei Jahren einen Mindeststandard an IT-Sicherheit umsetzen und nachweisen.

Diese Mindeststandards sind auch dringend notwendig. Erst im vergangenen Jahr bestätigte Yukiya Amano, der Generalsekretär der Internationalen Atomenergie-Organisation (IAEO), dass es bereits mehrfach Hacker-Attacken auf Atomanlagen gegeben habe. Zwar sei der Betrieb nur in einem Fall gestört worden. Allerdings reicht das gerade in diesem Bereich aus, um eine Katastrophe von weltweitem Ausmaß zu provozieren. 

Doch eigentlich sollten die geforderten Mindeststandards nicht nur in Unternehmen der KRITIS-Kategorie gelten. Auch alle anderen Institutionen müssen sich der Gefahren durch Cyber-Angriffe bewusst sein und entsprechende Maßnahmen ergreifen – im eigenen und im Interesse ihrer Kunden. 

Wer sich ein Video oder einen Film in einer fremden Sprache ansehen möchte, ist dankbar für die Untertitelfunktion. Doch dass diese kleinen praktischen Textfelder eine Sicherheitslücke darstellen könnten, daran dachte kaum jemand – bis jetzt, denn die Sicherheitsfirma Check Point hat herausgefunden, dass genau diese Untertiteldaten bei vielen Mediaplayern als Einfallstor für Schadcode genutzt werden können. Auch beliebte Player wie VLC, Popcorn Time und Kodi sollen betroffen sein. Insgesamt spricht das Unternehmen von etwa 200 Millionen Nutzern.

Offenbar lassen sich die im Video mitgelieferten Untertiteldateien manipulieren, wodurch die Kriminellen Schadcode einschleusen können. Wie genau das funktioniert, erklärt Check Point nicht, um keine neue Angriffswelle zu provozieren. Vermutlich bereinigen die Mediaplayer die mitgelieferten Daten nicht auf unerwünschte Befehle, sondern führen die Untertitel einfach ungeprüft aus. Verschärft wird die Problematik dadurch, dass es kein einheitliches Format für Untertiteldateien gibt. Check Point spricht von 25 unterschiedlichen Varianten, alle mit anderen Funktionsweisen. Dadurch ist es aufwendig, Schutzmechanismen in die Mediaplayer zu integrieren.

Für den Nutzer ist es kaum möglich, sich vor einem Video mit verseuchten Untertiteln zu schützen. Da auch im beruflichen Kontext häufig Video-Tutorials zur Anwendung kommen, besteht hier möglicherweise eine nicht zu unterschätzende Gefahr. Weil Arbeitsplatzcomputer häufig nicht über die technische Voraussetzung zur Sound-Wiedergabe verfügen, könnte diese Einfallmöglichkeit für Kriminelle gerade am Arbeitsplatz neue Wege eröffnen. Wer die Untertitel eines solchen Films aktiviert, führt damit nämlich gleichzeitig den Schadcode aus, ohne es zu merken. Und selbst das ist in einigen Fällen nicht nötig, denn viele Mediaplayer beziehen mit den Grundeinstellungen die Untertiteldateien aus vertrauten Verzeichnissen automatisch. So liegen die Daten schon vor, noch bevor sich der Nutzer entschließt, sie zu nutzen. Für eine potenzielle Angriffswelle benötigen Hacker also nur noch ein Video zu einem beliebten Thema, mit einer Tonspur in einer wenig verbreiteten Sprache, eine entsprechend präparierte Untertiteldatei sowie möglichst gute Bewertungen in den Videoportalen, um Nutzer anzulocken.

Einige Hersteller der genannten Mediaplayer haben inzwischen auf die Warnungen von Check Point reagiert und aktualisierte Versionen bereitgestellt, bei denen die Sicherheitslücke behoben ist. Wer also Popcorn Time, Kodi, Streamio oder den beliebten VLC-Player nutzt, sollte schleunigst auf die aktuellste Version der Software umsteigen. Die entsprechenden Updates sind auf den jeweiligen Webseiten zu finden.

Eine globale Cyber-Attacke sorgt seit Freitagabend weltweit für Schrecken. Seit den ersten Meldungen aus Großbritannien hat sich die Erpresser-Software WannaCry weltweit sprunghaft ausgebreitet. Nicht nur Privatpersonen, sondern vor allem große Unternehmen und Institutionen sind betroffen: Der National Health Service in Großbritannien konnte in den angegriffenen Krankenhäusern und Praxen seine Patienten nicht mehr versorgen und musste sie in andere Kliniken umleiten oder nach Hause schicken. Reisende in Deutschland mussten sich bei der Deutschen Bahn mit ausgefallenen Anzeigetafeln und Fahrkartenautomaten herumschlagen und in Spanien und Portugal waren die Telekommunikationsunternehmen Telefónica und Portugal Telecom betroffen.

Von Schweden bis Taiwan häuften sich über das Wochenende die Meldungen über angegriffene Unternehmen. Doch wie kann man sich vor einer solchen Attacke schützen? Nun, zum einen, indem man ein aktuelles Betriebssystem benutzt und regelmäßig alle Sicherheitsupdates einspielt. Von der aktuellen Attacke mit WannaCry waren beispielsweise nur Rechner mit Betriebssystemen betroffen, die von Microsoft nicht mehr mit Patches versorgt werden. Und zum anderen, indem man mit offenen Augen im Netz unterwegs ist, also keine Anhänge unbekannter Herkunft öffnet oder dubiose Links anklickt. Auch regelmäßige Sicherungskopien auf externen Speichern helfen im Schadensfall, denn so lässt sich zumindest ein großer Teil der Daten wiederherstellen.

Diese Vorsichtsmaßnahmen gelten natürlich nicht nur im Zusammenhang mit WannaCry, denn auch wenn die Ausbreitung des Kryptotrojaners aktuell gestoppt wurde, können sich die Nutzer sicher sein, dass früher oder später der nächste Angriff erfolgt. So hat die Hacker-Gruppe Shadow Brokers, die auch die Sicherheitslücke hinter WannaCry bekannt gemacht hat, bereits angekündigt, dass sie noch einiges in Petto hat. Nach einem Social-Media-Post will die Gruppe im Juni weitere Sicherheitslücken bekannt machen. Welche das sind, lassen die Hacker offen, allerdings sollen sowohl Browser und Router als auch das Betriebssystem Windows 10 betroffen sein. Der Plan der Kriminellen ist ein Abo-Modell, bei dem andere Hacker einen Betrag X zahlen und dafür regelmäßig neue Exploits geliefert bekommen. Außer es findet sich bis Juni ein zahlungskräftiger Kunde, der das Paket in einem kauft. Angeblich verfügen die Shadow Brokers außerdem über Netzwerkdaten des SWIFT-Bankensystems und Daten aus den Atom- und Raketenprogrammen von Nord Korea, Iran, China und Russland. Das mag stimmen oder auch nicht – sicher ist jedoch, dass WannaCry nicht der letzte Cyber-Angriff dieser Größenordnung sein wird. Sowohl Unternehmen als auch Privatpersonen tun also gut daran, bereits jetzt die passenden Schutzmaßnahmen zu ergreifen und auf aktuelle Betriebssysteme umzusteigen.

Wird eine Sicherheitslücke als „This is crazy bad“ und „worst Windows remote code exec in recent memory“ bezeichnet, dann muss es wirklich schlimm sein. Die Sicherheitsforscher Tavis Ormandy und Natalie Silvanovich von Googles Project Zero haben solch eine Lücke in der vergangenen Woche in der Antiviren-Engine des Windows-Betriebssystems gefunden. Auf Twitter machte Ormandy sich mit den oben genannten Sätzen Luft. Doch im Gegensatz zu den letzten Enthüllungen von Project Zero konnte Microsoft den Fehler vor dem Bekanntwerden der Details über ein ungeplantes Update beheben.

Die Sicherheitslücke wurde in der Malware Protection Engine, die seit Windows 8 standardmäßig aktiviert ist und von Microsoft Defender genutzt wird, gefunden – also ironischerweise in einem Teil des Betriebssystems, das vor Viren und anderer Malware schützen sollte. Durch einen sogenannten Type-Confusion-Fehler werden die Eingabewerte bei der Überprüfung von JavaScript-Codes nicht ausreichend analysiert. Dieser Check erfolgt bei jedem Dateizugriff. Das wiederum führt dazu, dass Kriminelle lediglich eine infizierte Datei auf einen Rechner schmuggeln müssen, um die Kontrolle zu übernehmen.

Microsoft hat die Lücke inzwischen über ein Notfall-Update für alle Betriebssysteme ab Windows 7 geschlossen. Wer also die automatischen Updates aktiviert hat, muss sich keine Sorgen darüber machen, dass Kriminelle diese Sicherheitslücke ausnutzen könnten. Ist man allerdings nicht sicher, lohnt sich ein Blick in die Update-Historie. Dort sollte die aktuelle Defender-Version .1.13704.0 installiert sein. Ist sie das nicht, kann man das Update auch manuell anstoßen, indem man den Windows Defender startet und ihn nach Updates suchen lässt.

Zusätzlich zu diesem außerplanmäßigen Update stand am Dienstag auch der reguläre Microsoft Patchday an, bei dem weitere sicherheitsrelevante Updates ausgeliefert wurden. Zum Beispiel für die Webbrowser Edge und Internet Explorer oder den Flash Player. Dass Microsoft trotz der zeitlichen Nähe zum regulären Patchday auf die Erkenntnisse von Project Zero regiert hat, zeigt, wie gravierend die nun geschlossene Sicherheitslücke offenbar war.

Es ist die Horrorvorstellung eines jeden Bankkunden: Plötzlich ist das Konto leergeräumt oder noch schlimmer, steht weit in den Miesen. So ist es kürzlich offenbar einigen Kunden des Mobilfunkanbieters O2 ergangen. Kriminelle haben sich eine Sicherheitslücke im Mobilfunknetz zunutze gemacht, um das eigentlich als sicher geltende Online-Banking-Verfahren mTAN auszuhebeln.

Doch von vorne: Beim mTAN-Verfahren handelt es sich um ein zweistufiges Sicherheitsverfahren, bei dem der Bankkunde zusätzlich zu seinen Log-in-Daten für jede Transaktion ein einmaliges Kennwort auf sein Handy geschickt bekommt. Es wird von fast allen Banken angeboten und galt bislang als relativ sicher. Doch offenbar haben Betrüger eine Möglichkeit gefunden, das System zu überlisten und Geld auf die eigenen Konten zu überweisen. In einem ersten Schritt brachten sie Bankkunden durch eine Phishing-Mail dazu, ihre Zugangsdaten wie Kontonummer, Kennwort und Handynummer auf einer gefälschten Webseite einzugeben. Diese Daten reichten den Kriminellen aus, um sich einzuloggen.

Um die mTANs schließlich umzuleiten, nutzten sie eine Schwachstelle im sogenannten SS7-Netzwerk der Mobilfunkanbieter. SS7 wird benötigt, um SMS in fremde Netze zu verschicken oder Telefonate im Ausland bereit zu stellen – und eben auch, um eine Umleitung von eingehenden SMS auf eine andere Rufnummer einzurichten. Eigentlich sollte außer dem Mobilfunkanbieter niemand Zugriff auf dieses Netzwerk haben. Die Hacker hatten jedoch eine Möglichkeit gefunden und konnten daher die eingehenden mTANs ganz komfortabel auf ihre eigenen Handys umleiten. Und damit hatten sie alle Daten, um die Konten der Opfer leer zu räumen.

Es ist hinlänglich bekannt, dass sich Kriminelle immer wieder neue Mittel und Wege einfallen lassen, um die Sicherheitsvorkehrungen beim Online-Banking zu umgehen. Umso schlimmer, dass die Sicherheitslücke im aktuellen Fall bereits seit 2014 bekannt ist und die Mobilfunkanbieter daher eigentlich ausreichend Zeit hatten, sie zu schließen. Doch das ist offenbar nicht geschehen, denn im Darknet werden Zugänge zum SS7-Netzwerk bereits für rund 1.000 Euro gehandelt, wie der Sicherheitsforscher Hendrik Schmidt der Süddeutschen Zeitung berichtete. Und nicht nur O2, sondern auch andere Netzprovider weltweit sind betroffen. Dabei wäre es relativ einfach, den Kriminellen die Tour zu vermasseln, indem man die Funktion der Rufumleitung durch Provider im Ausland einfach blockiert.

Die Kunden selbst können sich vor der Masche nur beim ersten Schritt schützen, indem sie Vorsicht walten lassen, wenn sie ihre Daten eingeben. Zwar werden Phishing-Mails immer professioneller und die Seiten sehen denen der Banken oft täuschend ähnlich. Ein Blick auf die URL in der Adressleiste offenbart aber meist Unterschiede zur offiziellen Webadresse der Bank. Wer ganz sicher gehen will, sollte sich einen TAN-Generator zulegen und auf das PushTAN-Verfahren umstellen. So eliminieren Bankkunden die Schwachstelle Mobiltelefon aus dem Online-Banking-Prozess.

Anfang der Woche stellte Bundesinnenminister Thomas de Maizière die aktuelle Polizeiliche Kriminalstatistik 2016 in Berlin vor. Die Zahlen sind erschreckend. Mit rund 82.649 registrierten Fällen haben sich die Vorkommnisse von Cyber-Kriminalität „im engeren Sinne“ im Vergleich zum Vorjahr nahezu verdoppelt.

Beim Computerbetrug gab es einen deutlichen Rückgang von 23.562 auf 14.722 Fälle. Beim Ausspähen und Abfangen von Daten stieg die Zahl leicht von 9.629 auf 10.638. Um ganze 25 Prozent stiegen die Fälle von Computersabotage. Hier wurden 2016 4422 Vorkommnisse registriert. Hierzu zählen u. a. DDoS-Attacken. Dabei schicken die Täter massenhaft Anfragen an eine Webseite oder einen Dienst, bis dieser zusammenbricht. Oft erfolgt die Attacke mithilfe eines sogenannten Botnetzes. Besondere Bekanntheit erlangte im vergangenen Jahr Mirai, das tausende Telekom-Router lahmlegte.

Die Aufklärungsquote konnte insgesamt um 5,9 Prozent auf 38,7 Prozent erhöht werden – doch nicht in jedem Bereich. Für die Aufklärung von Computersabotage sank die Quote sogar um 4,6 auf 22,1 Prozent. Ein großes Problem der Polizei ist, dass sich die Kriminalität in einer vernetzten Welt zunehmend internationalisiert. Nur wenn die Taten in Deutschland begangen wurden oder zumindest ein begründeter Verdacht hierfür vorliegt, erscheinen sie in der Statistik. Stehen die Server im Ausland, sieht die Sachlage anders aus. Um auch diese Fälle zu erfassen, plant das BKA einen separaten Lagebericht, der jedoch erst für 2017 erstellt wird.

Und noch ein weiteres Problem zeigt die Statistik nicht: Die unglaublich hohe Dunkelziffer der Straftaten, die nicht zur Anzeige gebracht und damit gar nicht erst erfasst wurden. So erklärte der Vorsitzende des Bundes Deutscher Kriminalbeamter, André Schulz, gegenüber der Zeitung „Welt“, dass rund 90 Prozent der Fälle von Cyber-Kriminalität nicht angezeigt würden. Den tatsächlichen Schaden schätzt Schulz daher auf einen zweistelligen Milliardenbetrag.

Die Statistik zeigt dennoch, dass Cyber-Kriminalität auf dem Vormarsch ist und vor allem die Fälle von Computersabotage zunehmen. Unternehmen und private Internetnutzer müssen lernen, sich zu schützen – nicht nur durch technische Maßnahmen, sondern auch indem sie im Netz auf der Hut sind.

Die Verwendung von Open-Source-Komponenten ist für Software-Entwickler eine praktische Sache: Sie verringern sowohl den Zeit- als auch den Kostenaufwand. Produkte können so schneller auf den Markt gebracht werden. Doch sie sind nicht nur für Unternehmen äußerst attraktiv, sondern auch für kriminelle Hacker. Denn viele populäre Open-Source-Codes sind fehlerbehaftet und beinhalten – häufig sogar seit langem bekannte – Sicherheitslücken. Das zeigt die Studie „2017 Open Source Security & Risk Analysis“ der Sicherheitsexperten von Black Duck.

Für die Studie wurden über 1.000 kommerzielle Anwendungen auf Sicherheitslücken in den Open-Source-Bestandteilen der Software untersucht. Insgesamt nutzten rund 96 Prozent der Anwendungen im Schnitt 147 Open-Source-Bestandteile, die rund ein Drittel des gesamten Codes ausmachten. Das ist nicht verwerflich. Außerdem wäre es nicht besonders schlimm, wenn nicht etwa 67 Prozent der analysierten Programme Open-Source-Code mit Sicherheitslücken nutzen würden, die seit mehr als vier Jahren bekannt sind. Sogar weithin bekannte Sicherheitslücken wie der Open-SSL-Bug Heartbleed konnten noch nachgewiesen werden – obwohl es bereits seit Jahren Patches gibt, mit denen das Leck einfach gestopft werden könnte.

Die Open-Source-Experten von Black Duck warnen in ihrer Studie davor, dass die Nutzung von fehlerhaftem Open-Source-Code ein ernsthaftes Sicherheitsrisiko für eine Anwendung darstellen kann, denn die meisten Lücken und Exploits sind öffentlich bekannt und über Datenbanken abrufbar. Das wissen auch kriminelle Hacker und suchen gezielt Anwendungen, in die sie ohne großen Aufwand eindringen können. Würde man die bereits vorhandenen Updates der Open-Source-Bestandteile einspielen, könnte man den Angreifern das Leben wesentlich schwerer machen. Doch das tun die wenigsten, denn dazu müsste man zum einen wissen, welche Open-Source-Codes man verwendet und zum anderen regelmäßig nach Updates suchen. Denn anders als bei bezahlter Software sind Updates bei Open-Source-Lösungen eine Hol- und keine Bringschuld.

Um zu vermeiden, dass Anwendungen unnötig angreifbar sind, empfiehlt Black Duck ein vollständiges Inventar der verwendeten Open-Source-Codes zu erstellen und diese regelmäßig auf bekannte Sicherheitslücken zu überprüfen. Das ist beispielsweise in der National Vulnerability Database möglich.

Die gesamte Studie kann auf der Seite von Black Duck unter https://www.blackducksoftware.com/open-source-security-risk-analysis-2017 heruntergeladen werden.

In dieser Woche war wieder Patchday bei Microsoft, das heißt, es wurden zahlreiche Sicherheits-Updates des Betriebssystems sowie mehrerer Programme des Software-Riesen ausgespielt. Nutzer sollten diese Updates nicht auf die lange Bank schieben. Denn diese schließen auch kritische Sicherheitslücken, beispielsweise in Microsoft Office.

In der letzten Zeit häuften sich die Meldungen über Infektionen mit dem Banking-Trojaner Dridex. Dieser verbreitete sich durch eine der nun geschlossenen Lücken in Microsoft Office. Um sich die Schad-Software einzufangen, reichte es, eine infizierte Word-Datei zu öffnen. Die Dateien haben Hintermänner millionenfach über das gewaltige Necurs-Botnetz per E-Mail verbreitet. Word warnt vor verdächtigen Links im Dokument, allerdings zu spät, denn dann ist der Computer bereits mit Dridex kompromittiert. Grundsätzlich empfiehlt es sich, Dateianhänge bei E-Mails von unbekannten Absendern überhaupt nicht zu öffnen. Wer das letzte Update noch nicht durchgeführt hat, sollte besonders vorsichtig sein.

Doch der Patchday in dieser Woche ist nicht nur aufgrund der Bedrohung durch Dridex erwähnenswert. Er läutet außerdem das Ende von Microsofts Betriebssystem Vista ein. Am 11. April 2017 endete der Support und es wurden zum letzten Mal Sicherheits-Updates ausgeliefert. Für Nutzer heißt das ganz konkret: Wenn in Zukunft Sicherheitslücken entdeckt und bekannt werden, gibt es von Microsoft keine Patches mehr, um sie zu schließen. Damit wird das Betriebssystem immer unsicherer, je länger das letzte Update zurückliegt.

Nutzer, die also noch Computer mit Vista-Software im Einsatz haben, sollten sich dringend um ein neues Betriebssystem kümmern und auf eine der unterstützten Versionen umsteigen. Unter Umständen kann das auch bedeuten, dass ein neuer Computer angeschafft werden muss. Dann nämlich, wenn der vorhandene Rechner die grundlegenden technischen Systemanforderungen für Windows 7 oder 10 nicht erfüllt. Und selbst wenn es technisch gerade so möglich ist, kann es den Rechner so verlangsamen, dass ein sinnvolles Arbeiten nicht möglich ist. Auch andere Geräte wie Drucker, Trackballs oder Scanner sollten vor dem Umstieg auf Kompatibilität überprüft werden, damit man später keine bösen Überraschungen erlebt. 

„Es könnte der schlechteste Code sein, den ich je gesehen habe“, sagte Amihai Neidermann kürzlich über Samsungs Betriebssystem Tizen. Der Sicherheitsforscher hat sich die Software, die in Deutschland hauptsächlich auf SmartTVs und Wearables zum Einsatz kommt, einmal genauer angesehen. Im Interview mit dem News-Portal Motherboard erklärte er, dass „alles, was man falsch machen konnte, auch falsch gemacht worden ist“. Rund 40 offene Sicherheitslücken hat Neidermann identifiziert, die im schlimmsten Fall dazu führen, dass Kriminelle das Gerät komplett übernehmen.

Insbesondere drei Faktoren hat der Sicherheitsforscher als problematisch hervorgehoben. So kommt die heute eigentlich nicht mehr gebräuchliche Funktion „Strcpy()“ an gleich mehreren Stellen der Software zum Einsatz. Damit lassen sich Daten im Speicher kopieren und an anderer Stelle wieder einfügen. Das Problem: Der Funktion ist es egal, ob am Zielort ausreichend Speicherplatz für die kopierten Stellen zur Verfügung steht. Ist das nicht der Fall, kommt es zu einem Pufferüberlauf, der das System angreifbar macht.

Ebenfalls bedenklich ist die Anbindung von Tizen an den systemeigenen Appstore. Dieser ist nämlich mit den maximalen Nutzerrechten ausgestattet. Zwar sollen eigentlich nur Apps installiert werden können, die von Samsung signiert und damit als sicher gekennzeichnet wurden. Allerdings ermöglicht die unsaubere Programmierung der Software, diesen Schutz zu umgehen. Neidermann gelang dies, indem er vor der Überprüfung einen Speicherfehler provozierte. Und als würden diese beiden Fehler nicht schon ausreichen, überträgt Tizen sensible Daten zum Teil unverschlüsselt, da nicht überall HTTPS zum Einsatz kommt.

Derzeit stattet Samsung zahlreiche Geräte mit seinem hauseigenen System aus. Während die mit Tizen betriebenen Smartphones hauptsächlich in Russland und Indien zum Einsatz kommen, laufen hierzulande hauptsächlich Internet-of-Things-Geräte wie Fernseher und Wearables mit dem Betriebssystem. Geplant sind laut Samsung darüber hinaus smarte Kühlschränke und Waschmaschinen. Auch Smartphones mit Tizen könnten künftig in Deutschland erhältlich sein.

Enttäuschend ist aber nicht nur die Programmierqualität von Tizen, sondern auch Samsungs Umgang mit den Sicherheitslücken. Denn obwohl Neidermann laut eigener Aussage das Unternehmen schon vor Monaten über die Missstände informiert hat, sind bislang keine Patches in Sicht. Im Gegenteil: Der Forscher wurde mit einer Standard-Mail abgespeist. Erst nachdem Motherboard über Neidermanns Ergebnisse berichtet hatte, reagierte das Unternehmen und kündigte an, mit ihm im Rahmen seines Smart-TV-Bug-Bounty-Programms zusammenarbeiten zu wollen. Es bleibt abzuwarten, ob sich nun tatsächlich etwas tut und entsprechende Anpassungen an der Software vorgenommen werden – wünschenswert wäre es, vor allem in Anbetracht der steigenden Gefahr durch Botnetze wie Mirai, die es auf smarte Geräte abgesehen haben.

Ransomware und Spionage-Software sind nicht die einzigen Probleme, mit denen sich Internetnutzer aktuell herumschlagen müssen. Erst kürzlich wurde eine neue Schad-Software entdeckt, die sich in Browsern versteckt und dort Suchergebnisse gegen manipulierte Daten austauscht. Das Programm namens Crusader kann so den nichtsahnenden Nutzer auf Affiliate-Seiten umleiten, an denen die Hintermänner verdienen oder Telefonnummern, etwa für den Kundensupport großer Unternehmen, in den Suchergebnissen durch eigene ersetzen. Ruft man die eingeblendete Nummer an, landet man in einem Call-Center, das sich auf Support-Betrug spezialisiert hat.

Diese Masche ist in den letzten Jahren immer beliebter geworden, um hilfesuchenden Internetnutzern das Geld abzuknöpfen. In einer Microsoft-Studie gab die Hälfte aller Befragten an, dass sie bereits mit falschen Microsoft-Mitarbeitern zu tun hatten. Klassischerweise rufen Call-Center-Agenten die Nutzer an und geben sich als Support-Mitarbeiter aus. Die Gefahr, dass der Angerufene ein Microsoft-Produkt nutzt, ist dabei ziemlich hoch. Dann wird man in ein Gespräch verwickelt, in dem der falsche Mitarbeiter mit zahlreichen Argumenten versucht, sich Zugang zum Rechner seines Gesprächspartners zu verschaffen. Das schafft der Betrüger etwa dadurch, dass er sein Opfer ein Fernwartungsprogramm installieren lässt. Wer sich darauf einlässt, hat bereits verloren. Denn nun können die Betrüger im Prinzip die volle Kontrolle über das Gerät übernehmen – vom Einschleusen von Schadprogrammen über Keylogger bis hin zum Anschluss an ein Botnetz ist alles möglich.

Crusader dreht nun den Spieß um, indem er die Nutzer beim Betrüger anrufen lässt. Hilfesuchende, die sich an den Support eines Unternehmens wenden wollen, werden so direkt in die Arme der Betrüger geleitet. Darüber hinaus werden sie in Sicherheit gewogen. Immerhin denken sie, dass sie mit dem Kundendienst eines renommierten Unternehmens sprechen. Das erleichtert den Call-Center-Betrügern die Arbeit zusätzlich, denn die Nutzer sind dann eher bereit, die Fernwartung zu akzeptieren!

Eine weitere Einsatzmöglichkeit für Crusader sind sogenannte Affiliate-Links. Diese basieren auf dem Prinzip der Vermittlerprovision und enthalten einen speziellen Code, über den ein Besucher einem bestimmten Vermittler, beispielsweise einer Webseite, zugeordnet wird. Crusader tauscht in den Suchergebnissen die normalen Seiten gegen seine Affiliate-Links aus, wodurch die Hintermänner mit jedem Klick fleißig mitverdienen ohne sich anzustrengen.

Deutsche Nutzer müssen sich aktuell noch nicht vor Crusader fürchten, denn offenbar befindet sich die Schad-Software noch in der Testphase. Derzeit wird sie nur aktiv, wenn sich der befallene Rechner in Indien befindet. Ob das Programm bereits Computer in anderen Ländern infiziert hat, ohne aber aktiv zu werden, ist nicht bekannt. Sicher ist jedoch: Sollte sich Crusader als erfolgreich und lukrativ erweisen, ist es nur eine Frage der Zeit, bis er auch bei uns für Schäden sorgt. 

Anfang des Monats wurde bekannt, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) zahlreiche Parteien, Ministerien und Organisationen vor veralteten und damit unsicheren Versionen ihrer Cloud-Dienste Owncloud und Nextcloud warnte. Bei einer Weiterverwendung der Daten sollen Daten und interne Informationen von Dritten ausgespäht und für ihre Zwecke genutzt werden können. Außerdem gebe es Schwachstellen in den Systemen, über die Programmcodes auf dem Cloud-Server ausgeführt werden können. Dies könnte das System vollständig kompromittieren.

Nun hat das BSI Bilanz gezogen, inwieweit seine Warnungen auf fruchtbaren Boden gefallen sind. Die Zahlen sind ernüchternd: Nur rund 20 Prozent der betroffenen Nutzer haben bislang reagiert und die Updates eingespielt. Das ist nicht viel, vor allem wenn man sich ansieht, wen das BSI angeschrieben hat. Von der AfD über die Grünen bis hin zum Büro der Vereinten Nationen in Genf – sie alle haben sensible Daten auf ihren Cloud-Servern, die momentan nicht optimal geschützt sind.

Für die veralteten Versionen von Owncloud und Nextcloud stehen längst entsprechende Updates zur Verfügung. Die Anbieter haben sogar Tools bereitgestellt, mit denen Nutzer prüfen können, ob ein Update nötig ist. Doch der Teufel steckt wie immer im Detail, denn der Update-Vorgang ist insbesondere bei Owncloud offenbar störungsanfällig. Wie das Newsportal GOLEM berichtet, wurde für einen Test die Version 9.1.2 von Owncloud installiert. Obwohl inzwischen die Version 9.1.4 verfügbar gewesen wäre, erschien kein Hinweis auf ein dieses Update. Erst nach einigem Herumprobieren in den Einstellungen wurde das Update angezeigt. Doch damit nicht genug, denn das Update konnte anschließend nicht beim ersten Versuch installiert werden. Das war erst nach einigen Minuten möglich.

Das gleiche Problem konnte der Redakteur auch in seinem Nextcloud-Account beobachten. Obwohl das Update bekanntermaßen zur Verfügung stand, wurde es im Updater des Programms nicht angezeigt. Die Alternative wäre ein manuelles Update. Doch das dürfte viele Nutzer vor eine fast unlösbare Aufgabe stellen. Nur die wenigsten kennen sich mit Kommandozeilen-Tools und dem Zugriff auf die Konsole aus.

Der Fall zeigt, wie wichtig es ist, dass Software-Anbieter einen einfachen, problemlosen und wenn möglich automatischen Update-Prozess für ihre Kunden bereitstellen. Je schwieriger, störungsanfälliger und komplizierter es ist, ein Programm auf dem aktuellen Stand zu halten, desto mehr Nutzer werden entnervt aufgeben. Verzichten die User auf künftige Updates, sind immer größere Datenmengen weitgehend ungeschützt im Netz. 

Ein Hackerangriff hat in dieser Woche für Aufsehen gesorgt. Auf zahlreichen, teils sehr prominenten Twitter-Accounts waren plötzlich türkische Propagandabotschaften in Verbindung mit Nazisymbolik, den Hashtags #Nazialmanya und #Nazihollanda und der Botschaft „Wir sehen uns am 16. April“ aufgetaucht. An diesem Datum findet in der Türkei das von Präsident Erdogan angestrebte und vieldiskutierte Referendum zum Präsidialsystem statt. Zu den gehackten Konten zählen die offiziellen Accounts von Boris Becker, Klaas Heufer-Umlauf, ProSieben, Amnesty International, Welt, Forbes und Borussia Dortmund. Zwar liefern die geposteten Inhalte gewisse Hinweise, doch noch steht nicht fest, wer hinter den Attacken steckt. Wie die Hacker vorgegangen sind, ist dagegen inzwischen klar.

Zugangstor war die App „The Twitter Counter“, mit deren Hilfe Twitter-Nutzer einfach und schnell Statistiken und Analysen zu ihren Follower-Zahlen abrufen können. Um zu funktionieren, verlangt die App umfangreiche Zugriffsrechte auf den betreffenden Account. Nutzer mussten ihr Lese- und Schreibrechte zugestehen, wodurch die App nicht nur Tweets analysieren, sondern auch absetzen konnte – und genau hier lag das Problem, denn die Kriminellen mussten für ihren Plan nur noch den Drittanbieter hacken, was offenbar deutlich einfacher war, als Twitter direkt anzugreifen.

Der Fall zeigt ein Problem, das bei vielen Twitter-Accounts zur Gefahr werden kann, denn die Auswertungsmöglichkeiten von Drittanbietern sind für Social Media Manager natürlich interessant. Die Crux ist nur, dass man diesen Apps mindestens Leserechte für den eigenen Account einräumen muss, falls sie nicht, wie „The Twitter Counter“, auch noch direkt nach Schreibrechten verlangen. Insbesondere für Unternehmen können die Konsequenzen für die Reputation im Schadensfall gravierend sein, denn nicht nur offensichtliche Hacker-Angriffe wie in dieser Woche schaden dem Ruf. Auch für Werbespammer und zur Verbreitung von Schad-Software über verlinkte Webseiten ist ein solches Vorgehen durchaus denkbar.

Wer auf Nummer sicher gehen will, sollte die Zugriffsreche auf seinen Twitter-Account so weit wie möglich einschränken und Schreibrechte vermeiden. Eine Liste der freigegebenen Apps ist in den Einstellungen abrufbar. 

Mit der IT-Sicherheit in Krankenhäusern steht es nicht unbedingt zum Besten, wie wir in der Vergangenheit bereits an mehreren Beispielen gesehen haben. Doch bislang drehten sich die Befürchtungen und Vorkommnisse meist um die Sicherheit der Patientendaten und die Verwaltung. Jetzt ist allerdings ein Fall bekannt geworden, bei dem diese Bereiche nicht betroffen waren. Vielmehr gelang es sogenannten White Hats (also Hackern, die Sicherheitslücken aufspüren, um den Betroffenen die Chance zu geben, sie zu schließen), sich in die komplette Haustechnik einer nagelneuen Luxusklinik in der Schweiz einzuklinken.

Die beiden White-Hat-Hacker Tim Philipp Schäfers und Sebastian Neef vom Projekt Internetwache.org waren offenbar selbst sehr überrascht, als sie auf der Suche nach Schwachstellen im Netz auf ungesicherte Geräte einer Schweizer Luxusklinik stießen und sich mit den angezeigten IP-Adressen Zugriff auf die gesamte Haustechnik hätten verschaffen können, vom Licht über die Medizingase im OP bis hin zur Lüftung. Auch genaue Schaltpläne zu den Funktionen der Gebäudesteuerung waren problemlos einsehbar. Zusammen mit einem 3D-Rundgang durch die Klinik auf der Homepage des Betreibers ergaben die Daten laut Schäfers und Neef ein sehr umfassendes Bild der Infrastruktur der Klinik. Da es sich bei dem Krankenhaus um eine Luxusklinik mit der entsprechenden Klientel handelt, mag man sich nicht ausmalen, was Kriminelle mit diesem Wissen anfangen könnten.

Die White Hats meldeten die Sicherheitslücke bereits im vergangenen Jahr an die zuständigen Stellen in der Schweiz und siehe da: Der bisher frei verfügbare Zugang zu den Systemen war innerhalb weniger Tage aus dem Netz verschwunden. In einer Stellungnahme gegenüber der Meldestelle gab die Klinik bekannt, dass die Systeme nur während einer Testphase vor der eigentlichen Eröffnung frei im Netz gestanden hätten. Das mag zwar eine Begründung sein, ist aber keinesfalls eine Entschuldigung. Denn auch während der Testphase hätte sich Schad-Software in den Systemen der Klinik einnisten können, ohne dass jemand davon etwas mitbekommen hätte. Eine entsprechende Anfrage des News-Portals Golem.de, ob das System auf eventuellen Befall untersucht wurde, ließ das Management der Klinik unbeantwortet.

Der Fall zeigt zweierlei:

1. Krankenhäuser sind trotz ihrer elementar wichtigen Rolle immer noch viel zu leicht angreifbar und es fehlt den Verantwortlichen häufig an der nötigen Kompetenz, um alle Bereiche der IT-Sicherheit überblicken und entsprechend handeln zu können.

2. Intelligente Haussysteme, zu denen in kleinerem Maßstab auch bereits Smart-Home-Geräte wie vernetzte Kühlschränke oder Glühbirnen gehören, sind noch immer längst nicht so sicher, wie man glauben mag. Hier sind auch die Hersteller und Software-Anbieter in der Pflicht, ihren Kunden die richtigen Tools an die Hand zu geben und sie auf die Gefahren ungeschützter Smart-Home-Systeme hinzuweisen.

Googles  „Project Zero“ hat es sich zur Aufgabe gemacht, Sicherheitslücken in weit verbreiteten Programmen und Betriebssystemen aufzuspüren und bekannt zu machen. Haben die Sicherheitsexperten einen neuen sogenannten Zero-Day-Exploit entdeckt, wird das entsprechende Unternehmen über die Lücke in seiner Software informiert und hat anschließend 90 Tage Zeit, sie über ein Update zu schließen. Diese Schonfrist ist auch durchaus sinnvoll. Immerhin ist es nicht Ziel des Projekts, kriminellen Hackern neue Angriffsmöglichkeiten zu zeigen, sondern die allgemeine Sicherheit im Netz zu verbessern.

Allerdings hat diese Praxis auch ihre Tücken, wie in den vergangenen Wochen gleich zweimal deutlich geworden ist. Mitte Februar veröffentliche Project Zero eine bislang unbekannte Sicherheitslücke im Betriebssystem von Microsoft. Genau 90 Tage zuvor hatten Googles Sicherheitstechniker das Unternehmen aus Redmond darüber informiert, ein Update mit einem entsprechenden Patch war aber noch nicht ausgeliefert worden. Das sorgte verständlicherweise nicht nur beim Hersteller, sondern auch bei den Nutzern für Unmut, denn ab dem Zeitpunkt der Veröffentlichung konnten Kriminelle die Erkenntnisse von Project Zero für ihre Zwecke ausnutzen. Trotzdem: Google hielt an seiner 90-Tage-Regel fest und veröffentlichte Anfang dieser Woche erneut eine bislang nicht geschlossene Sicherheitslücke, diesmal in Microsofts Browsern Internet Explorer und Edge.

Damit sind aktuell gleich zwei gravierende Sicherheitslücken bei Microsoft bekannt. Im ersten Fall können Kriminelle durch einen Fehler bei der Speicherverarbeitung während des Öffnens von Windows Metafiles Speicher auslesen, im zweiten Fall können CSS und JavaScript dazu genutzt werden, beliebigen Code auf dem angegriffenen Rechner auszuführen. Dazu muss der Nutzer lediglich auf eine infizierte Webseite gelockt oder zur Ausführung des Scripts im Browser gebracht werden. Für beide Probleme wurde bislang keine Lösung geliefert.

Bereits 2015 hatte Microsoft die strikte 90-Tage-Regel scharf kritisiert, als Project Zero eine damals noch neue Lücke bekannt gab, bevor es ein passendes Patch gab. Warum Microsoft aus dieser Erfahrung nicht gelernt und die beiden Sicherheitslecks rechtzeitig geschlossen hat, ist nicht bekannt. Ein Zusammenhang mit dem verschobenen Patchday im Februar lässt sich nur vermuten. Es bleibt also zu hoffen, dass der nächste Patchday im März beide Lücken schließt.

In dieser Woche wurde der mutmaßliche Drahtzieher der Distributed Denial of Service (DDoS)-Attacke durch das Mirai-Botnetz auf Telekom-Router im November letzten Jahres in London verhaftet. Der festgenommene Brite soll den Angriff geleitet haben und daher wegen versuchter Computer-Sabotage in einem besonders schweren Fall vor Gericht gestellt werden. Telekom, BKA und die internationalen Ermittlungsbehörden feiern den Fahndungserfolg und sehen die Verhaftung als Zeichen dafür, dass auch im Internet Recht und Ordnung durchgesetzt werden können. Doch Fakt ist: Mirai ist nur eines der derzeit aktiven Botnetzwerke. Tagtäglich kommt es zu DDoS-Attacken und die Fälle werden immer mehr, wie eine neue Studie des DDoS-Spezialisten Link11 zeigt.

Der aktuelle „DDoS-Report für die DACH-Region“ verzeichnet im 4. Quartal 2016 mit 11.575 Angriffen einen neuen Höchstwert der DDoS-Attacken in Deutschland, Österreich und der Schweiz. Das ist ein Zuwachs von 116,8 Prozent im Vergleich zum Vorjahresquartal. Einem breiteren Publikum ist diese Angriffsart in den letzten Monaten durch einige öffentlichkeitswirksame Angriffe bekannt geworden. So waren die Präsidentschaftskandidaten in den USA während des Wahlkampfs ebenso von Angriffen betroffen wie der Minecraft-Dienstleister OVH und der DNS-Dienstleister Dyn, bei dem Twitter, Netflix und Spotify gehostet werden. Auch der eingangs erwähnte Angriff auf die Telekom-Router im November durch das Mirai-Netzwerk wurde in der Presse heiß diskutiert.

Insbesondere letzteres Beispiel steht für einen sich abzeichnenden Trend: Für die Attacken werden laut Report immer häufiger Botnetze eingesetzt, die ihre Rechenpower aus dem sogenannten Internet of Things beziehen. Damit sind an ein Netzwerk angeschlossene Smart-Home-Geräte gemeint. Leider steht die Datensicherheit bei vielen Herstellern noch nicht ausreichend im Fokus, sodass Kriminelle leichtes Spiel haben und tausende Geräte kapern können.

Eine weitere Erkenntnis der Analyse: Von den meisten der durchschnittlich 126 Attacken pro Tag bekommt die breite Öffentlichkeit kaum etwas mit. Auch von Unternehmern wird die Gefahr durch DDoS-Angriffe unterschätzt, denn nur rund ein Drittel ist vorbereitet und hat einen Aktionsplan für den Fall der Fälle in der Schublade. Wird man dann doch angegriffen, ist die Überraschung groß. Das Ziel der Angreifer ist es meist, ein Lösegeld vom Webseitenbetreiber zu erpressen – und durch die mangelnde Vorbereitung bleibt vielen nichts anderes übrig als zu zahlen.

Sicher ist, die Gefahr durch DDoS-Attacken wird in den nächsten Monaten und Jahren weiter steigen. Insbesondere durch den stetig wachsenden Anteil an Smart-Home-Geräten ohne ausreichenden Schutz, verfügen die Botnetze über immer mehr Rechenleistung und die Intensität der Attacken wird zunehmen. Schutzmaßnahmen zu ergreifen, sollte daher bei jedem Unternehmen auf der Agenda stehen.

Anfang des Monats wurde der Software-Anbieter GitLab offenbar Opfer einer DDoS-Attacke, bei der tausende gleichzeitige Nutzeranfragen die Webseite und schließlich auch die Datenbank in die Knie zwingen sollten. Doch am Ende entpuppte sich der Hackerangriff als weniger gefährlich als die eigenen Mitarbeiter, denn trotz erfolgreicher Abwehr der Attacke fehlten am Ende fast 300 Gigabyte an Kundendaten. Wie konnte das passieren und was können wir daraus lernen?

GitLAb bietet eine Webanwendung zur Versionsverwaltung von Software-Projekten, die auch von großen Unternehmen wie Sony, Bayer oder Alibaba genutzt wird. Als die Attacke am frühen Morgen begann, reagierten die Mitarbeiter von GitLab sofort und suchten nach einem Weg, die Angreifer abzuwehren. Zunächst waren die Bemühungen nicht von Erfolg gekrönt, denn die Webseite war angesichts der Menge an Anfragen kurzzeitig nicht erreichbar. Doch davon bekamen die Kunden erst einmal nichts mit und arbeiteten ganz normal weiter. Dabei  speicherten sie auch, wie immer, die Zwischenstände ihrer Software-Projekte auf den GitLab-Servern – zumindest versuchten sie es, denn während des Absturzes der Seite war ihnen dies nicht möglich.

Bis zu diesem Zeitpunkt hielten sich die Folgen des Angriffs allerdings noch in Grenzen. Das änderte sich, als einer der GitLab-Administratoren einen gut gemeinten Trick anwenden wollte und dabei einen folgenschweren Tippfehler beging. Eine der Hauptattacken konzentrierte sich offenbar auf die leere Datenbank db2. Um diese zu löschen, gab der Administrator den entsprechenden Befehl ein. Im Eifer des Gefechts vertippte er sich jedoch und schrieb statt „db2“ „db1“ – und löschte das Hauptverzeichnis mitsamt den Daten der Kunden. Nach nur einem Klick waren von 300 GB nur noch 4,5 GB vorhanden. Und auch diese nur per Zufall, denn das eigentliche Back-up für diesen Tag war noch nicht durchgeführt worden. Die wiederhergestellten Daten hatte ein Mitarbeiter aus Versehen aufgezeichnet.

Was können wir aus diesem Vorfall lernen? Erstens: Software-as-a-Service- und Cloud-Lösungen sind sicher  praktisch. Allerdings sollte man sich bei der Sicherung seiner Daten nicht nur auf externe Speicher verlassen, denn man weiß nie, was dort alles passieren kann. Zweitens: Selbst wenn man alles richtig macht, können die Folgen eines Hackerangriffs gravierend sein. Daher sollte man so oft wie möglich die Daten in einem Back-up zwischenspeichern, damit im Fall der Fälle so wenig wie möglich verloren geht.  Und drittens: Auch Administratoren sind nur Menschen und können Fehler machen. Wichtig ist es, aus diesen zu lernen. GitLab zeigt hier Größe durch seinen offenen Umgang mit dem Fall und dem Versprechen, alle Vorgänge genau aufzuarbeiten, um sie in Zukunft vermeiden zu können.

Wenn es um die Entwicklung neuer Software-Angebote geht, steht die sogenannte „Customer-Experience“ ganz weit oben auf der Liste der Qualitätsmerkmale. Dabei geht es darum, die Erfahrung im Umgang mit dem Programm möglichst positiv zu gestalten. Der Nutzer soll intuitiv wissen, wie er zum Ziel kommt und unkompliziert Hilfe finden, wenn er doch einmal nicht weiter weiß. Kurz gesagt: Der Kunde steht im Mittelpunkt und soll sich mit seinem Problem ernstgenommen fühlen.

Während sich dieses Prinzip bei den meisten Anwendungen für Smartphone, Tablet und PC inzwischen durchgesetzt hat, war die Customer Experience den Entwicklern von Ransomware verständlicherweise weitgehend egal – der „Kunde“, oder besser gesagt das Opfer, hatte schließlich gar keine andere Wahl als sich mit der Lösung seines Problems, also der Entschlüsselung seiner Daten, selbst zu befassen. Doch nun greift der Service-Gedanke auch bei den Kriminellen um sich, wie der Erpressungstrojaner Spora beweist.

Die Hintermänner bieten ihren Opfern einen Echtzeit-Support für den Bezahlvorgang an – immerhin kann man nicht davon ausgehen, dass sich alle Infizierten mit Bitcoin auskennen – und versuchen, sich eine positive Reputation über ein Bewertungssystem auf der Bezahlwebseite aufzubauen. Auch eine Chat-Funktion gehört zum Service-Angebot. Der Sicherheitsforscher MalwareHunter konnte einige dieser Konversationen einsehen und öffentlich machen. Darin zeigen die Kriminellen Verständnis für die Sorgen und Nöte der Opfer. Sie verlegen Deadlines, räumen Mengenrabatte ein (frei nach dem Motto „Den zweiten Rechner gibt es umsonst“) oder versprechen sogar die kostenfreie Entschlüsselung, wenn man eine positive Bewertung hinterlässt.

Noch gibt es für Spora kein frei verfügbares Entschlüsselungstool, daher bleibt vorerst nur, sich möglichst gut vor einer Infektion zu schützen. Ein gesundes Misstrauen und konstante Aufklärungsarbeit stellen dafür  die beste Basis dar!

Immer mehr Unternehmen und Selbstständige setzen für ihren Online-Auftritt auf die Webanwendung WordPress. Das CMS-System ist einfach zu bedienen, lässt sich an die individuellen Anforderungen anpassen, Änderungen können leicht eingepflegt werden und sie ist wesentlich kostengünstiger, als ein eigenes System aufzusetzen und zu pflegen. Doch wie bei allen Programmen gibt es auch bei WordPress Sicherheitslücken – und je mehr Webseiten auf WordPress basieren, desto lukrativer wird es für Kriminelle, diese auszunutzen. Erst in der vergangenen Woche veröffentlichten die Entwickler von WordPress das Update auf Version 4.7.2. Jetzt hat sich herausgestellt, dass mit der vermeintlich harmlosen Aktualisierung eine kritische Sicherheitslücke in der WordPress-Software geschlossen wurde.

Über einen in der Schnittstelle WordPress REST API versteckten Programmierfehler können externe Angreifer offenbar Schad-Code in die WordPress-Webseiten einschleusen und an beliebiger Stelle platzieren oder aber die Inhalte manipulieren. Nötig dafür ist lediglich eine JSON-Abfrage (JavaScript Object Notation, ein kompaktes Datenformat zum Zweck des Datenaustauschs), über die der Schädling in das CMS geschmuggelt wird. Damit stehen zehntausende Webseiten im Fokus der Kriminellen – und damit auch Millionen von Nutzern. Insbesondere im Zusammenhang mit der Flut an Ransomware-Attacken in den letzten Monaten ist das äußerst beunruhigend. Und nicht nur für die Nutzer der Webseiten kann eine infizierte Webseite schlimme Konsequenzen haben. Der Image-Verlust für die Betreiber sollte ebenfalls nicht außer Acht gelassen werden. Umso mehr erstaunt es, dass die Lösung des Problems in einem völlig unauffälligen Update versteckt wurde, statt die Nutzer zu warnen.

Laut Aussage der Entwickler hatte man sich bewusst dafür entschieden, die unsichere Programmierung zu verharmlosen, um möglichst vielen Nutzern die Möglichkeit zu geben, das Update einzuspielen, bevor das ganze Ausmaß bekannt wurde. Das Problem: Wer Updates nicht automatisch bezieht, weil beispielsweise der Webhoster dabei nicht mitspielt, und die „harmlose Aktualisierung“ bislang nicht aufgespielt hat, steht jetzt im Visier der Hacker – und muss schleunigst handeln! Doch bis bei allen Nutzern bekannt ist, wie wichtig dieses Update ist, stehen auch weiterhin viele Webseiten ungeschützt im Netz und stellen eine Gefahr für die Nutzer dar – vom Leser eines Koch-Blogs bis zum Kunden der Schreinerei im Nachbarort.

Software as a Service, kurz SaaS, ist für viele Unternehmen eine praktische Sache. Dabei wird Software nicht auf dem lokalen Rechner installiert, sondern direkt im Internet genutzt. Bekannte Beispiele im Anwenderbereich sind Gmail, GoogleDocs oder Microsoft Office 365, aber auch Unternehmensapplikationen wie Netsuite oder Salesforce bieten SaaS-Modelle, bei denen direkt aus dem Browser auf Programme und Daten zugegriffen werden kann. Insbesondere kleineren Firmen ohne eigene IT-Abteilung bietet das Konzept Vorteile, denn Software-Updates, eine eigene Server- oder Datenbankstruktur und die damit verbundenen Kosten entfallen durch die Cloud-basierten Lösungen. Nötig ist lediglich eine stabile Internetverbindung.

Diese Vorteile haben jetzt auch Kriminelle für sich entdeckt und so hat sich im Darknet ein neues Geschäftsmodell entwickelt: Ransomware as a Service (RaaS). Damit kann sich jeder mit ausreichend krimineller Energie und ein paar Klicks seinen individuell angepassten Erpressertrojaner im Netz zusammenstellen und anschließend verbreiten. Eigene Programmierkenntnisse sind damit unnötig, schließlich hat man dafür die Spezialisten des Anbieters. Ein Beispiel, das gerade von sich reden macht und kürzlich vom Sicherheitsforscher Xylitol entdeckt wurde, ist die Software Satan, die als RaaS-Lösung im Darknet angeboten wird. Wer schon immer mal von seiner eigenen Ransomware geträumt hat, muss nun lediglich ein Konto auf der Satan-Domain im Darknet eröffnen, dort ein Bitcoin-Konto hinterlegen, die Erpressernachricht verfassen sowie das Lösegeld festlegen – und schon kann er die Malware herunterladen. Lediglich die Verbreitung muss man selbst organisieren, wobei Satan zu diesem Zweck fertige Word-Makros und Windows-Hilfe-Dateien zur Verfügung stellt.

Doch damit nicht genug, schließlich sind die Macher von Satan Dienstleister. Um es den Kunden so bequem wie möglich zu machen, gibt es neben dem eigentlichen Schädling auch Funktionen wie eine Übersicht der Zahlungseingänge und der Transaktionen. Auch ein technischer Kundenservice sowie ein CRM-System, über das man den zahlenden Opfern Kommentare zuweisen kann, sind verfügbar. Vergütet werden die Dienste von Satan über eine Gewinnbeteiligung. Rund 30 Prozent der Einnahmen, die mit der Software generiert werden, werden von Satan eingezogen. Dieser Prozentsatz kann jedoch auch noch sinken – je nachdem, wie viele Rechner infiziert wurden.

Ransomware hat bereits im vergangenen Jahr immer wieder für Schlagzeilen und vor allem für hohe Schäden gesorgt. Durch das neue Geschäftsmodell, Ransomware einfach als Dienstleistung anzubieten, dürfte sich die Situation noch weiter verschärfen, denn die Entwickler von Satan sind längst nicht die einzigen Dienstleister dieser Art und es ist damit zu rechnen, dass die Zahl in Zukunft deutlich anwachsen wird. Damit bleibt nur, im Internet Vorsicht walten zu lassen und sich, soweit es geht, zu schützen.

Krypto-Trojaner haben in den vergangenen Monaten bei Cyber-Kriminellen stark an Popularität gewonnen. Hacker und IT-Sicherheitsexperten befinden sich mittlerweile in einem regelrechten Wettlauf. Die einen versuchen, Verschlüsselungs-Software so weit wie möglich zu verbreiten, die anderen wollen  geeignete Entschlüsselungsverfahren finden. Den zahllosen Opfern dieser Programme bleibt nur, entweder zu bezahlen oder darauf zu hoffen, dass die Whiteheads bald einen Weg finden, die Verschlüsselung zu knacken.

Wer keine Lust hat, den Kriminellen sein Geld in den Rachen zu werfen, um wieder an seine Daten zu gelangen, muss Geduld mitbringen – je nachdem, welches Programm er sich eingefangen hat. Doch es gibt auch Dinge, die man in der Zwischenzeit tun kann. So hat der Sicherheitsforscher Michael Gillespie zwei sinnvolle Tools entwickelt und stellt diese kostenfrei im Netz zur Verfügung.

Über das Portal ID-Ransomware können Betroffene herausfinden, welcher Krypto-Trojaner ihre Daten verschlüsselt hat. Das erleichtert die Suche nach einer passenden Gegenmaßnahme ungemein! Derzeit kann das Portal 283 verschiedene Erpressungstrojaner identifizieren. Dazu kann man entweder eine der verschlüsselten Dateien oder die Datei mit der Nachricht der Kriminellen hochladen. Handelt es sich um einen der bekannten Schädlinge, erhält man den Namen und erfährt, ob es bereits eine entsprechende Entschlüsselungs-Software gibt. Im Zuge des Datenschutzes sollte man jedoch keine sensiblen Dateien für den Test nutzen, denn falls es sich nicht um einen der bekannten Trojaner handelt, werden die Daten an ein Netzwerk von Malware-Analysten weitergeleitet. Das hilft zwar dabei, die Datenbank zu erweitern und schneller eine Entschlüsselung zu finden, ist aber dem Schutz der im Dokument enthaltenen Daten nicht unbedingt zuträglich.

Das zweite Tool, das Gillespie zur Verfügung stellt, nennt sich CryptoSearch und ermöglicht es dem Nutzer, seinen Windows-Rechner nach verschlüsselten Daten zu durchsuchen. Die gefundenen Dateien können dann gesammelt und auf einer externen Festplatte abgelegt werden. Man mag sich fragen, was das bringen soll, aber solange noch keine Entschlüsselungs-Software existiert, kann es durchaus sinnvoll sein, die betroffenen Daten extern – und vor allem gesammelt – abzulegen, denn dann kann man direkt mit der Wiederherstellung beginnen, sobald es ein geeignetes Programm gibt. Ein Pluspunkt: CryptoSearch behält beim Export der verschlüsselten Daten den originalen Dateipfad bei, sodass sich die Daten später leichter zuordnen lassen.

Die Angst vor Hacker-Angriffen und Cyber-Risiken sitzt tief in deutschen Unternehmen. Das ergibt das neue Risk Barometer der Allianz Global Corporate & Specialty SE, das der Industrieversicherer in diesem Jahr bereits zum sechsten Mal veröffentlicht. Um die wichtigsten Unternehmensrisiken zu identifizieren, wurden mehr als 1200 Risikoexperten in über 50 Ländern weltweit zu den Faktoren befragt, die sie als aktuell größte Bedrohung für ihr Unternehmen wahrnehmen. Für 2017 landeten die Cyber-Vorfälle international auf dem dritten Platz. Etwa 30 Prozent der Befragten gaben an, sich über Hacker, Systemausfälle oder Datenschutzverletzungen Sorgen zu machen. Auf Platz eins landete wie in den Vorjahren die Angst vor Betriebsunterbrechungen, allerdings wurden diesmal leicht veränderte Auslöser für die Unterbrechungen angegeben. So wurden auch hier Cyber-Vorfälle als einer der Hauptgründe für die befürchteten Produktionsstopps angegeben. So wurden auch hier Cyber-Vorfälle als einer der Hauptgründe für die befürchteten Produktionsstopps angegeben. Die Sorge um veränderte Marktbedingungen hingegen ist international leicht zurückgegangen, wie die Studie zeigt.

Für Deutschland ergibt sich ein etwas anderes Bild: Hier stehen Cyber-Vorfälle ganz oben auf der Liste, gefolgt von politischen Risiken, die international nur auf Rang acht gelandet sind, und dem Risiko durch neue Technologien. Insbesondere in stark technologisch geprägten Branchen wie der IT, der Telekommunikation, dem Automotive-Bereich und den Finanzdienstleistungen äußerten sich die Befragten besorgt über mögliche Angreifer aus dem Netz.

Das Risk Barometer zeigt damit deutlich, dass das Bewusstsein für Cyber-Risiken in den letzten Jahren kontinuierlich gestiegen ist. Und auch wir bei der 8com sehen bei unserer Arbeit: Langsam, aber sicher beginnen die Verantwortlichen damit, diese Sorge nicht nur zu äußern, sondern tatsächlich aktiv Maßnahmen zu ergreifen, um sich abzusichern. Während in der Vergangenheit dabei die technische Absicherung im Vordergrund stand, nimmt die Nachfrage nach Awareness-Maßnahmen immer weiter zu. Und das ist auch gut so, denn bei einem optimalen Sicherheitskonzept greifen Mensch und Technik optimal ineinander.

Das Risk Barometer 2017 ist hier verfügbar: www.agcs.allianz.com/insights/white-papers-and-case-studies/allianz-risk-barometer-2017/

Das Problem ist bereits seit längerer Zeit bekannt: Mehrere zehntausende MongoDB-Datenbanken stehen ungeschützt im Netz und lassen sich ganz einfach über spezielle Suchmaschinen wie beispielsweise Shodan finden. Bei MongoDB handelt es sich um eines der marktführenden Allzweck-Datenbanksysteme, das dank OpenSource auf viele unterschiedliche Anforderungen hin angepasst werden kann. Allein in Deutschland waren vor gut einem Jahr jedoch rund 1.200 dieser Datenbanken ohne weitere Authentifizierung zugänglich. Offenbar nutzen viele MongoDB-Administratoren immer noch alte Versionen der Open-Source-Datenbank, die in der Standardkonfiguration über das Internet für jeden auffindbar sind. Aber auch neuere Versionen stehen frei im Netz. Da sie standardmäßig keine Verbindungen von außen zulassen, haben viele Admins diese offenbar unsicher konfiguriert, wodurch einzelne Ports Verbindungen zum Internet zulassen.

Diese Sicherheitslücken macht sich derzeit ein Hacker mit dem Pseudonym Harak1r1 zunutze. Er sucht gezielt ungesicherte MongoDB-Datenbanken und räumt die gespeicherten Daten ab. Das einzige, was der Nutzer nach dem Angriff vorfindet ist eine Nachricht, dass 0,2 Bitcoin, also rund 200 Euro zu zahlen wären, wenn er seine Daten wiederhaben möchte. Nach Auswertungen von Blockchain.info hat bereits eine Reihe von Opfern, das Lösegeld gezahlt.

Das Vorgehen von Harak1r1 erinnert an die vielen Erpressertrojaner, die im vergangenen Jahr für Kummer im Netz gesorgt haben. Und obwohl 0,2 Bitcoin vergleichsweise günstig erscheinen, ist es unter diesen Umständen fast schon verwunderlich, dass Hacker mit dieser Sicherheitslücke noch nicht deutlich höhere Schäden angerichtet haben! Bedenkt man, dass nicht nur MongoDB-Datenbanken, sondern auch CouchDB-, Redis,- Riak- und Cassandra-Datenbanken betroffen und teils frei im Netz verfügbar sind, birgt Harak1r1s Vorgehensweise ein gewaltiges Schadenspotenzial, gegen das dringend etwas getan werden muss.

Im Sommer hatten sich Union und SPD darauf geeinigt, dass die pauschale Haftung der WLAN-Betreiber für Urheberrechtsverletzungen, die über ihren Anschluss begangen wurden, wegfällt. Damit soll der WLAN-Ausbau in Deutschland vorangetrieben werden. Betreiber von offenen WLAN-Netzwerken können sich nach den Plänen auf das sogenannte Providerprivileg berufen, wodurch sie nicht mehr für die Inhalte der übertragenen Daten verantwortlich gemacht werden können (mehr dazu im Beitrag vom 08. Juni 2016). Das ist wichtig für gewerbliche Anbieter wie Cafés, Arztpraxen oder Fitnessstudios, hat jedoch für private Internetanschlüsse mit WLAN kaum eine Bedeutung. Ganz im Gegensatz zu einem aktuellen Urteil des Bundesgerichtshofs, über das sich viele private Anschlussinhaber freuen dürften.

Die Rechteinhaberin des Films „The Expendables 2“ hatte gegen die Eigentümerin eines WLAN-Anschlusses wegen Urheberrechtsverletzung auf Zahlung von Schadenersatz geklagt. Ein Unbekannter hatte sich im November und Dezember 2012 unberechtigt Zugang zum Netzwerk der Beklagten verschafft und den Film über ein Filesharing-Netzwerk öffentlich zugänglich gemacht. Die Klägerin war der Meinung, dass die Anschlussinhaberin hierfür haftet, da sie ihr Netzwerk zwar verschlüsselt, allerdings den voreingestellten WPA2-Schlüssel nicht geändert hat. Das sei fahrlässig und führe zur Störerhaftung.

Dieser Einschätzung ist das Bundesverfassungsgericht nicht gefolgt und wies die Klage ab. Die Beklagte habe ihre Prüfungspflichten nicht verletzt, als sie den voreingestellten WPA2-Schlüssel nicht geändert hat. Sie sei lediglich dazu verpflichtet sicherzustellen, dass der Router zum Zeitpunkt des Kaufs über ein ausreichend langes, individuelles Passwort verfügt und die marktüblichen Sicherheitsstandards bei der Verschlüsselung einhält. Wichtig ist hier die Interpretation des Wortes „individuell“: Die Richter sahen auch ein voreingestelltes Passwort als individuell an, sofern es nicht vom Hersteller an mehrere Geräte gleichzeitig vergeben wurde. Im vorliegenden Fall konnte kein Beweis erbracht werden, dass das Passwort auch auf anderen Geräten eingestellt war. Mit der Benennung des Routertyps, des Passworts und der Angabe, dass das Passwort nur an dieses Gerät vergeben wurde, habe die Beklagte ihre Prüfungspflichten erfüllt. Da der WPA2-Standard als hinreichend sicher gilt und man nicht vermuten musste, dass Dritte ihn entschlüsseln können, hafte die Beklagte damit nicht als Störer. Eine weitere Rolle spielte auch der Zeitpunkt der Urheberrechtsverletzung Ende 2012, denn erst 2014 wurde eine bestehende Sicherheitslücke bei diesem Routertyp bekannt.

Das Urteil dürfte so manchen Anschlussinhaber freuen, vor allem diejenigen, denen schon einmal Post vom Abmahnanwalt ins Haus geflattert ist. Man sollte es jedoch nicht als Freifahrtschein dafür sehen, dass man sein WLAN nicht mehr vernünftig schützt. Ein individuelles – und hier meine ich damit ein selbstvergebenes – und ausreichend  langes Kennwort zum Schutz des heimischen WLANs ist immer sinnvoll. Voreingestellte Kennwörter werden meist nach einem bestimmten Algorithmus vom Hersteller an die Geräte vergeben. Wird dieser geknackt, lassen sich damit auch die Router hacken. Wie man ein sicheres Kennwort wählt, das man sich auch noch merken kann, habe ich für die Kampagne SpardaSurfSafe hier zusammengestellt.

Am Wochenende haben sich offensichtlich Hacker einmal mehr daran versucht, ein gewaltiges Botnetzwerk aufzubauen. Dabei übernehmen die Kriminellen (zumindest teilweise) die Kontrolle über Geräte von Endanwendern und benutzen diese dann z. B., um Schad-Software zu verbreiten. Dazu haben sie sich im aktuellen Fall eine Sicherheitslücke in den Internetzugangsroutern von über 900.000 Telekom-Kunden zunutze gemacht. Zunächst sorgte der Fall für Furore, weil die Kunden zeitweise vom Internet abgeschnitten waren.

Wie jetzt bekannt wurde, handelte es sich bei der Panne um einen groß angelegten Hacker-Angriff. Die Angreifer kaperten die Router mit der sogenannten Mirai-Software und nutzten dafür eine Sicherheitslücke im Fernwartungsprotokoll der Geräte aus. Eigentlich ist das in den Routern implementiert, damit die Internet-Service-Provider Einstellungen an den Geräten ihrer Kunden vornehmen können. Besonders einfach hatten es die Hacker allerdings im Fall der gekaperten Telekom-Router, weil hier der Zugriff sogar ohne jegliche Authentifizierung durchgeführt werden kann.

Eine zusätzliche Script-Injection-Sicherheitslücke ermöglichte es zudem, eingebettete Befehle an die Geräte zu schicken, die auf dem befallenen System ausgeführt wurden. So konnte sich die Malware am vergangenen Wochenende relativ schnell ausbreiten.

Da der fürs Botnetz verantwortliche Code allerdings ausschließlich im Arbeitsspeicher des Geräts abläuft, empfiehlt die Telekom, den Router abzuschalten und neu zu starten.

Es ist daher generell problematisch, dass Router für die Wartung durch Internet-Service-Provider Ports nach außen öffnen und dadurch große Angriffsflächen bieten. Nach Aussagen der Telekom soll die aktuelle Malware „schlecht programmiert“ gewesen sein, was – diesmal – die Folgen des Angriffs eingeschränkt habe.

Wir haben an dieser Stelle ja bereits oft darauf hingewiesen: Updates sind wichtig! Und wir werden das sicher noch oft wiederholen, denn in allen Computerprogrammen lauern versteckte Sicherheitslücken, die nach und nach durch Updates geschlossen werden. Sie sind sozusagen Work-in-Progress. In den letzten Tagen hat sich das wieder deutlich gezeigt, denn es ist ein ganzer Rattenschwanz kritischer Updates veröffentlicht worden. Wir wollen uns einmal ansehen, wie viele Sicherheitslücken allein in dieser Woche geschlossen wurden und was passieren kann, wenn man das Update unterlässt.

Adobe schloss für seinen Flash Player gleich neun Sicherheitslücken, die mit einem hohen Risiko bewertet wurden, denn Angreifer aus dem Internet könnten über diese Lücken den gesamten Rechner übernehmen. Wer für den Flash-Player also nicht ohnehin die automatischen Updates aktiviert hat, sollte die Aktualisierung schnellstmöglich manuell durchführen.

Auch Microsoft hat an seinem Patchday im November eine ganze Reihe von Sicherheits-Updates für unterschiedliche Programme zur Verfügung gestellt. Eine genaue Zahl der geschlossenen Lücken gibt Microsoft zwar nicht an, jedoch sind fast alle gängigen Programme von Word über Excel bis hin zum Internet Explorer betroffen. Auch in diesem Fall wird das Risiko als sehr hoch eingestuft. Sie ermöglichen einem nicht im System angemeldeten Angreifer, Befehle mit Benutzerrechten auszuführen. Außerdem liefert Microsoft über das Update ein neues Tool zum Entfernen von Schad-Software aus. Das Update läuft entweder über die Windows-Update-Funktion oder kann auf der Microsoft-Webseite heruntergeladen werden.

Google stellt für seinen beliebten Browser Chrome ebenfalls ein neues Sicherheits-Update zur Verfügung und schließt damit einige teils gravierende Sicherheitslücken. Wer auf das Update verzichtet, geht laut Experteneinschätzung ein hohes Risiko ein, dass Angreifer das System durch die Eingabe von beliebigen Programmbefehlen beschädigen. Außerdem könnten Informationen ausgespäht werden. Das Update lässt sich bei Google herunterladen.

Nach all diesen Updates für den Computer sollte man auch das Handy und das Tablet nicht vernachlässigen. Für sein Betriebssystem Android hat Google ein neues Sicherheits-Update herausgegeben, das ganze 83 Sicherheitslücken schließt. Davon werden 24 vom Hersteller als kritisch beschrieben. Das Update wird automatisch an die Geräte ausgeliefert und sollte zeitnah ausgeführt werden. Einige Endgerätehersteller wie Samsung oder LG liefern ihre eigenen Versionen aus. Die geschlossenen Lücken ermöglichen es Angreifern, Informationen auszuspähen, sich Berechtigungen einzuräumen und Befehle auszuführen, die bis zur vollständigen Kontrolle über das gesamte Gerät reichen.

Natürlich nerven Updates, vor allem, wenn sie viel Bandbreite und Zeit in Anspruch nehmen. Doch allein unser kurzer Beispielzeitraum von nur rund einer Woche zeigt, wie wichtig es ist, Aktualisierungen zeitnah durchzuführen – auf allen Geräten und für alle Programme!

Die Sicherheitsfirma Symantec warnt erneut vor Cyber-Angriffen auf Energiekonzerne durch das Spionagenetzwerk Dragonfly. Bereits 2014 waren die Hacker aufgefallen, weil sie Energieunternehmen ausspioniert und Malware in industrielle Steuerungssysteme eingeschleust hatten. Seit rund zwei Jahren läuft jetzt eine neue Angriffswelle, die in den letzten Monaten an Intensität zugenommen hat. Deutlich wurde der Zusammenhang auch bei einem Vergleich mit der 2014 genutzten Malware, der deutliche Übereinstimmungen ergab. Aus diesem Grund gab Symantec der neuen Attacke auch den Namen Dragonfly 2.0.

Um ihre Ziele zu erreichen, nutzen die Hacker sowohl Spear-Phishing-Strategien als auch infizierte Webseiten, um ihre Spionage-Software zu verbreiten. Damit sollen Log-In-Daten der kompromittierten Systeme abgegriffen werden, die anschließend für Folgeangriffe verwendet werden können. Ein Sprecher von Symantec erklärte außerdem, dass die eingeschleuste Schad-Software Screenshots der industriellen Steuerungssysteme anfertigen kann, wodurch die Kriminellen weitere Informationen für künftige Angriffe erhalten. Darüber hinaus gehören zur Beute von Dragonfly auch PDF- und Word-Dateien, darunter Aufbaupläne der Steuersysteme. Zusammengenommen könnten die Informationen ausreichen, um die Sicherheitssysteme der Energieversorger zu überlisten.

Rund 27 erfolgreiche Angriffe konnte Symantec der neuen Dragonfly-Angriffswelle bisher zuordnen. Mit 20 Energieunternehmen sind vor allem die USA betroffen, aber auch in der Türkei konnten die Hacker mit sechs Unternehmen und in der Schweiz mit einem Unternehmen Erfolge verzeichnen. In Deutschland, den Niederlanden und Belgien waren sie hingegen nicht in der Lage, in die Netzwerke einzudringen. Und beruhigenderweise waren bislang offenbar keine Atomanlagen unter den gehackten Netzwerken. Trotzdem: Energieversorger müssen jederzeit auf einen Angriff vorbereitet sein. Und dabei reicht es nicht, allein die Technik immer weiter auszubauen. Denn im Zentrum effektiver Schutzmaßnahmen steht immer noch der Mensch. Genau hier setzen wir mit unseren Awareness-Schulungen an, denn nur wer sich der Gefahr bewusst ist, kann entsprechend handeln!

Nach dem Bericht der Internetsicherheitsfirma Talos, hat der britische Software-Hersteller Piriform vermutlich wochenlang eine Version seiner Wartungs-Software CCleaner ausgeliefert, in der Unbekannte eine gefährliche Malware versteckt hatten.

Talos schätzt, dass Millionen Geräte betroffen sein könnten. Die Software habe, sobald sie aktiv war, auf den befallenen Systemen Daten gesammelt und versendet. Eigentlich ist der CCleaner ein Programm, das die Leistung von PCs und Android-Smartphones verbessern soll. 

Darüber, wie wichtig Updates sind, haben wir an dieser Stelle bereits mehrfach berichtet. Nur wer seine Geräte – Handy, Laptop, Fernseher, Tablet etc. – regelmäßig auf den neusten Stand bringt, kann davon ausgehen, dass alle bekannten Sicherheitslücken behoben wurden und die Geräte so gut wie möglich geschützt sind. Problematisch wird es allerdings, wenn keine Updates (mehr) verfügbar sind oder die Aktualisierung nicht automatisch läuft, wie sich bei der kürzlich bekannt gewordenen Sicherheitslücke im WPA2-Verschlüsselungsprotokoll gezeigt hat.

Über die Probleme mit dem WPA2-Sicherheitsstandard haben wir bereits am 17.10.2017 berichtet. Auch darüber, dass neben den Millionen WLAN-Netzwerken weltweit alle Geräte von der Sicherheitslücke betroffen sind, in denen ein WLAN-Chip verbaut ist, war hier schon zu lesen. Grundsätzlich wäre es also kein Problem, diese Lücke mit einem Update zu schließen, was mittlerweile auch viele Hersteller getan haben. Doch gerade bei Routern und Geräten des Internet of Things müssen Aktualisierungen teilweise manuell eingespielt werden, wenn die automatische Update-Funktion nicht aktiviert ist. Damit sind offenbar viele Menschen überfordert.

Zudem problematisch: Längst nicht alle Hersteller haben Updates bereitgestellt und es gibt sie auch nicht für alle Geräte. Insbesondere Android-basierte Smartphones und Tablets, die älter als ein paar Jahre sind, erhalten oft keine frische Software mehr. Bei all diesen Geräten bleibt die Sicherheitslücke bestehen. Und die Nutzer sind sich dessen in vielen Fällen nicht einmal bewusst. Ihnen rät der Entdecker der Lücke, Mathy Vanhoef, nur Verbindungen über HTTPS herzustellen, da diese weiterhin sicher seien. Ein anderer Schutz existiert für Geräte ohne Updates bislang leider nicht. Vanhoef hat außerdem angekündigt, demnächst ein Tool zu veröffentlichen, mit dem man testen kann, ob die Lücke bei den eigenen Geräten bereits geschlossen wurde.

Webseiten-Betreiber, die noch eine http-Seite unterhalten, dürften sich in diesen Tagen darüber wundern, dass plötzlich deutlich weniger Besucher den Weg zu ihnen finden. Ein Grund könnte die finale Phase von Googles ambitioniertem Plan sein, das Internet sicherer zu machen. Seit dem 24. Juli 2018 werden Nutzer, die eine Seite ohne SSL-Zertifikat besuchen wollen, von Googles Browser Chrome nicht mehr direkt zur Seite geleitet, sondern erhalten eine Warnung, dass sie eine unsichere Webseite aufrufen wollen. Von dieser Meldung dürfte sich ein nicht geringer Anteil der potenziellen Besucher abschrecken lassen, was zu deutlich geringerem Traffic auf der betroffenen Seite führt. 

Google hat diesen Schritt bereits im Januar 2017 angekündigt. Seit der damals veröffentlichten Version 56 von Chrome erschien eine kleine „Nicht sicher“-Warnung in der Adressleiste des Browsers, wenn eine http-Webseite aufgerufen wurde. Rund zehn Monate später folgte Phase zwei mit der Veröffentlichung von Version 62. Seither wurden alle Seiten, die über Eingabefelder verfügten und diese Daten über eine http-Verbindung verschickten, auf die Sicherheitswarnung umgeleitet. Jetzt folgte der letzte Schritt, nach dem alle Seiten ohne SSL-Zertifikat nicht mehr ohne Weiteres aufgerufen werden können. 

Mittlerweile haben laut einer Studie von Google rund 75 Prozent der Webseiten im Internet ein SSL-Zertifikat, leicht zu erkennen am „https“ in der Adresszeile. Das Ziel von Googles Kampagne ist es, diese Zahl auf 100 Prozent zu steigern – notfalls auch durch Zwang, denn ohne SSL-Zertifikat droht den Seiten bereits seit einiger Zeit eine Abwertung bei der Google-Suche und seit dieser Woche eben auch die Sicherheitswarnung in Chrome. 

Grundsätzlich ist Googles Anliegen durchaus zu begrüßen, denn das http-Protokoll ist schlicht und ergreifend nicht sicher, ganz besonders, wenn sensible persönliche Daten übertragen werden. Es erleichtert außerdem Man-in-the-middle-Angriffe, um Kennwörter, Session-Cookies oder Kreditkarteninformationen zu erbeuten. Mit einer https-Verbindung hingegen werden die Daten verschlüsselt übertragen, ein Abgreifen des Datenstroms ist daher nicht mehr so einfach möglich. Trotzdem fürchten vor allem Betreiber kleinerer Webseiten Kosten und den Aufwand einer Migration auf eine sichere https-Verbindung. Ihnen sei jedoch gesagt: https ist kostenlos! Über Seiten wie CloudFlare oder Let’s Encrypt kann man kostenlose SSL-Zertifikate erhalten. Und auch der Umzug der Seite ist nicht allzu kompliziert. Eine detaillierte Anleitung hat beispielsweise Google in einem Video im Zuge der Kampagne zur Verfügung gestellt. 

Wer sich also bislang noch nicht durchringen konnte, den Schritt zu https zu wagen, sollte das schnellstmöglich nachholen – nicht nur zum Schutz der Nutzer, sondern auch im eigenen Interesse. Denn welcher Kunde möchte schon auf einer unsicheren Webseite seine Daten hinterlassen?