Neuer (trauriger) Rekord: 1,2 Milliarden Datensätze gehackt

Von | 6. August 2014

Ame­ri­ka­ni­sche und nun auch deut­sche Medien berich­ten vom wohl größ­ten Daten­klau in der Geschichte des Inter­nets. Zumin­dest vom größ­ten bekann­ten Daten­klau kann man wohl getrost ausgehen.

Einer rus­si­schen Hacker­gruppe soll es gelun­gen sein, über 1,2 Mil­li­ar­den Daten­sätze zu hacken. Betrof­fen seien Benut­zer­na­men, Pass­wör­ter und auch Email-Adressen. Das deut­sche Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik, kurz BSI warnt vor der opti­mis­ti­schen Ein­schät­zung, deut­sche Nut­zer könn­ten even­tu­ell nicht betrof­fen sein. Sobald man wei­tere Infor­ma­tio­nen aus den USA vor­lie­gen habe, werde man sich um Hil­fe­stel­lun­gen für deut­sche Inter­net­nut­zer bemü­hen und diese ver­öf­fent­li­chen. Ursprüng­lich seien wohl sogar mehr als 4 Mil­li­ar­den Daten­sätze betrof­fen gewe­sen, doch durch Aus­schluß von Dopp­lun­gen sei es zu einer Reduk­tion auf 1,2 Mrd. gekommen.

Nun heißt es also wie­der mal, breit­flä­chig Pass­wör­ter ändern. Das diese gewiße Sicher­heits­an­for­de­run­gen genü­gen müs­sen, sollte sich mitt­ler­weile rum­ge­spro­chen haben. Auch die Nut­zung von einem Pass­wort für meh­rere Dienste ist geeig­net, es Hackern und Die­ben leich­ter zu machen — von daher keine gute Idee. Da man sich diese nicht alle mer­ken kann, bie­tet sich die Nut­zung eines Passwort-Tresors wie Kee­pass an. Cloud basierte Pass­wort­ma­na­ger ohne Ver­schlüs­se­lugn oder gar von ame­ri­ka­ni­schen Anbie­tern soll­ten sich von selbst verbieten.

Wohl dem, der in sei­nen Online Pro­fi­len nicht alle Komfort-Merkmale … Weiterlesen

Offener Email-Verteiler führt zu Bußgeld gegen Unternehmen

Von | 5. August 2014

Datenpanne (c) Sascha KuhrauSchon jedem Mal passiert

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­tige Nach­richt soll per Email ver­teilt wer­den. Mail­pro­gramm geöff­net, Text geschrie­ben, aus dem Adreß­buch schnell die Emp­fän­ger zusam­men­ge­klickt oder kom­for­ta­bel eine Verteiler-Liste genutzt und auf Sen­den gedrückt. Auf Sei­ten des Emp­fän­gers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der seine Adres­sen gepflegt hat, aku­rat mit Vor-, Nach­name und Email-Adresse. Übli­cher­weise macht man den Absen­der freund­lich auf sein Miß­ge­schick auf­merk­sam und läßt es dar­auf beruhen.

Ihr ist das auch passiert

Eine Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hatte weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, nette Geste. Jedoch lei­der stan­den vor dem eigent­li­chen Text (halbe DIN A4 Seite) über neun (9) Sei­ten Email-Adressen im Klar­text. Einem oder meh­re­ren Emp­fän­gern miß­fiel dies und der Stein des Ansto­ßes wurde an die zustän­dige baye­ri­sche Lan­des­da­ten­schutz­be­hörde weitergeleitet.

Fotolia_37944046_XS_roundedDer ewi­ger Mahner

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayLDA) hat in der Ver­gan­gen­heit bereits mehr­fach auf die daten­schutz­recht­li­che Unzu­läs­sig­keit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email-Adresse sind per­so­nen­be­zo­gene Daten im Sinne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Über­mitt­lung (nichts ande­res stellt eine Email dar) Weiterlesen

BadUSB: Manipulierte USB Sticks (erneut) zum Albtraum mutiert

Von | 2. August 2014

USB Sticks sind seit je her ein Sicher­heits­ri­siko. Schnell sind Daten kopiert und abge­grif­fen. Oder man kommt zurück von einem Außen­ein­satz und hat sich dort einen Virus gefan­gen, der beim Anste­cken an das Gast-System im inter­nen IT Netz nun nur dar­auf war­tet, sich zu übertragen.

Weit­aus per­fi­der kommt jetzt eine neue Vari­ante daher. Ganz ohne Ein­griffe mit Löt­kol­ben & Co mutie­ren USB Sticks zu einem zur Zeit noch nicht wir­kungs­voll bekämpf­ba­ren Sicher­heits­ri­siko. Nur mit­tels ein­fa­cher SCSI Befehle umpro­gram­miert, gibt sich ein Stan­dard USB Stick aus dem Ramsch­re­gal als USB Tas­ta­tur zu erken­nen und führt dahin­ter seine Schad­rou­tine aus. Das gemeine daran: USB Ein­ga­be­ge­räte sind von gene­rel­len Sper­run­gen der USB Ports meist aus Prak­ti­ka­bi­li­täts­grün­den aus­ge­nom­men. Doch weder das Gast-System noch Anti-Viren-Software ist in der Lage, das Risiko hin­ter der ver­meint­li­chen Tas­ta­tur zu erken­nen. Der Stick greift daher nun nicht nur alle Tas­ta­tur­ein­ga­ben ab, son­dern kann sei­nen Schad­code direkt aus der Firm­ware auf das Gast-System und wei­tere ange­schlos­sene USB Sticks verbreiten.

Im wahrs­ten Sinne des Wor­tes eine Virus-Infektion!

Da die Her­stel­ler von USB Sticks haupt­säch­lich auf drei Controller(-hersteller) samt Firm­ware set­zen, die alle­samt aus­ge­le­sen und angreif­bar sind, wird das Sicher­heits­ri­siko schwer ein­zu­fan­gen sein, sobald diese Lücke aus­ge­nutzt wird. Noch wurde die Methode … Weiterlesen

Neues Paypal Phishing dank SEPA

Von | 9. Juli 2014

Es ist erneut eine gut gemachte Phis­hing Email im Umlauf. Die­ses mal trifft es den Anbie­ter Pay­Pal. Als Zug­pferd wird das SEPA Ver­fah­ren her­an­ge­zo­gen. Man möge doch so nett sein, sich über den Link hin­ter dem But­ton “Jetzt auf SEPA umstel­len” ein­zu­log­gen und seine Bank­da­ten zu veri­fi­zie­ren. Man darf sicher sein, zumin­dest die Zugangs­da­ten zu Pay­pal wer­den danach nicht mehr sicher sein. Der Link führt näm­lich mit­nich­ten zu Pay­pal, son­dern über einen URL Shor­te­ner Dienst ganz woan­ders hin. Pro­bie­ren Sie es bes­ser nicht aus! Es reicht, wenn Sie sich den hin­ter­leg­ten Link anzei­gen las­sen, in dem Sie mit der Maus über den fah­ren. Der Link wird dann angezeigt.

Gut, wer in Pay­Pal zusätz­li­che Sicher­heits­fea­tures akti­viert hat, wie den SMS Login (Pay­pal Sicher­heits­schlüs­sel). Nach dem Login wird eine SMS an die regis­trierte Mobil­te­le­fon­num­mer ver­sandt. Erst nach der Ein­gabe des Codes aus die­ser SMS erfolgt der Zugriff auf das Pay­pal Konto.

Soll­ten Sie eine Email erhal­ten, die aus­sieht, wie folgt — ein­fach löschen. :-)

Paypal Phishing Email
Pay­pal gibt auf der Unter­neh­mens­web­seite wei­tere Tipps, wie der Nut­zer Phi­sing Mails erken­nen und sich davor schüt­zen kann.

Die Gefahr von innen — wenn Mitarbeiter zum Sicherheitsrisiko werden

Von | 7. Juli 2014

Viel Zeit und Mühe wird in das Abschir­men und Absi­chern von IT Netz­wer­ken gegen Angriffe von außen inves­tiert. Dabei über­sieht man schnell die Gefah­ren, die Unter­neh­mens­da­ten von innen dro­hen kön­nen. Unab­hän­gig ob Fahr­läs­sig­keit oder Absicht, so soll­ten Sie als Unter­neh­mer und Unter­neh­men diese Bedro­hung nicht aus dem Blick ver­lie­ren. In fast einem Vier­tel aller Fälle sind Mit­ar­bei­ter der Grund für Daten­ab­fluss aus dem Unternehmen.

In Zei­ten von Spei­cher­sticks mit immer grö­ße­rer Spei­cher­ka­pa­zi­tät und Foto­han­dys mit meh­re­ren Mega­pi­xeln Auf­lö­sung erschreckt es teil­weise, wie lax der interne Umgang in Unter­neh­men sein kann.

  • Nut­zungs­richt­li­nien und Pro­fil­sper­ren für die Nut­zung von USB Sticks sind oft Fehl­an­zeige. Daten kön­nen in gro­ßen Men­gen kopiert und unauf­fäl­lig in der Hosen­ta­sche aus­ser Haus gebracht werden.
  • Foto­han­dys wer­den teil­weise sogar vom Unter­neh­men den Mit­ar­bei­tern zur Ver­fü­gung gestellt. Die hohen Auf­lö­sun­gen erlau­ben detail­ge­treue Wie­der­ga­ben beim Abfo­to­gra­fie­ren wich­ti­ger und gehei­mer Doku­mente. Nütz­lich ist die oft­mals zusätz­lich ein­ge­rich­tete Inter­net­flat, um die Foto­do­ku­men­ta­tion gleich noch unauf­fäl­lig  zu versenden.

Doch dies sind nur zwei aus­ge­wählte Mög­lich­kei­ten, wie schüt­zens­werte Daten das Unter­neh­men ver­las­sen kön­nen. Diese set­zen selbst­ver­ständ­lich noch ein gewis­ses Maß an kri­mi­nel­ler Ener­gie bei Ihren Mit­ar­bei­tern vor­aus. Aber wer kennt schon den genauen Preis, ab dem Loya­li­tät in den Hin­ter­grund tritt?

Auch unbe­wußte Gefah­ren … Weiterlesen

Content Management Systeme (CMS) absichern

Von | 1. Juli 2014

Con­tent Manage­ment Sys­teme (CMS) sind weit ver­brei­tet. Ein­fa­che Instal­la­tion und hoher Bedien­kom­fort unter­stüt­zen die Ver­brei­tung. Doch nicht jeder Betrei­ber weiß um die Sicher­heits­ri­si­ken, die aus einem sol­chen CMS ent­ste­hen. Und das sogar Unge­mach aus dem Bun­des­da­ten­schutz­ge­setz droht, hat man erst recht nicht auf dem Schirm. In einem Bei­trag auf der a.s.k. Bera­tungs­seite haben wir wei­tere Infor­ma­tio­nen für Sie zusammengestellt.

Aktuelle Studie: Jedes vierte Unternehmen macht sich um Sicherheit wenig Gedanken

Von | 5. Juni 2014

Wir kön­nen eh nichts dage­gen machen

Die aktu­elle DsiN Stu­die (Deutsch­land sicher im Netz) zeigt einen gefähr­li­chen Hang zum Fata­lis­mus in Unter­neh­men auf. Jedes vierte der befrag­ten Unter­neh­men ergreift gar keine Sicher­heits­maß­nah­men, obwohl das Thema Sicher­heit als wich­tig ein­ge­stuft wird. Bei den The­men wie Email-Verschlüsselung oder Pass­wör­ter ist ein Rück­gang um 7 Pro­zent­punkte zu verzeichnen.

Laut den Auto­ren der Stu­die führt die fata­lis­ti­sche Ein­stel­lung, man könne sich gegen pro­fes­sio­nelle Späh­me­tho­den wie die der NSA so oder so nicht schüt­zen, zu die­ser ungu­ten Ent­wick­lung. Es feh­len Sicher­heits­kon­zepte, Mit­ar­bei­ter sind unzu­rei­chend oder gar nicht für die The­men sen­si­bi­li­siert. Gleich­zei­tig stei­gen der Ein­satz mobi­ler Geräte wie Smart­pho­nes (zumeist ohne Geräte– und / oder Email-Verschlüsselung) und Cloud-Nutzung.

Gefahr und Scha­den­s­po­ten­tial wird unter­schätzt

Befragt wur­den 1.500 Unter­neh­men mit bis zu 50 Mit­ar­bei­tern. Das Risi­ko­po­ten­tial wird bei den Befrag­ten unter­schätzt. Laut Bun­des­kri­mi­nal­amt beläuft sich der Scha­den durch Cyber­an­griffe auf Unter­neh­men auf 50 Mil­li­ar­den Euro jähr­lich, Dun­kel­zif­fer nicht ein­ge­rech­net. Bei einer Mil­lion erfolg­rei­cher Angriffe ent­spricht dies einem durch­schnitt­li­chen Scha­den von 50.000 Euro pro Angriff. Ob diese Summe auch Kos­ten und Auf­wen­dun­gen für Buß­gel­der oder das Wie­der­her­stel­len eines ram­po­nier­ten Marken-Images beinhal­tet, ist nicht bekannt.

Daten­schutz knall­har­ter wirt­schaft­li­cher Standortfaktor

Nach Ein­schät­zung des Bun­des­in­nen­mi­nis­ters ist Daten­schutz ein nicht zu … Weiterlesen

Wir wollen mitlesen

Von | 3. Juni 2014

Mann mit Lupe - Unter BeobachtungVor­rats­da­ten­spei­che­rung, Abhör­wahn, NS Affäre und kein Ende in Sicht

Um nicht hin­ter aus­län­di­schen Geheim­diens­ten zurück­ste­hen zu müs­sen, setzt nun auch der Bun­des­nach­rich­ten­dienst auf akti­ves Mit­le­sen in sozia­len Netz­wer­ken wie Face­book und Twit­ter sowie Blogs in Echt­zeit. Dem­nach sol­len die Akti­vi­tä­ten der Nut­zer noch wäh­rend deren akti­ven Sit­zung auf­ge­zeich­net und aus­ge­wer­tet wer­den. Man erhofft sich durch das bis 2020 für 300 Mil­lio­nen Euro schwere Pro­gramm “Echt­zeit­ana­lyse von Streaming-Daten” ver­tie­fende Kennt­nisse über die Lage im Aus­land.

Nichts gelernt, Herr de Maizière

Edward Snow­den, hin­läng­lich bekann­ter Aus­lö­ser der nach wie vor durch die Bun­des­re­gie­rung her­un­ter­ge­spiel­ten und teil­weise bewußt igno­rier­ten NSA Affäre, äußerte sich in einem Inter­view der NBC Nighlty News Ende Mai 2014 kri­tisch zum Über­wa­chungs­wahnsinn. Noch vor den Anschlä­gen 9/11 oder auch dem Bos­ton Mara­thon lagen alle rele­van­ten Infor­ma­tio­nen vor. Doch man war nicht in der Lage, das gesamte Bild zu sehen und die Anschläge zu verhindern.

Doch genau die­ses Argu­ment füh­ren immer wie­der Geheim­dienste und auch die deut­sche Poli­tik ins Feld, wenn es um mehr Über­wa­chung und eine wei­tere Aus­höh­lung der Schutz­rechte der Bür­ger geht. Edward Snow­den meint hierzu (über­setzt): “Ist das wirk­lich der beste Weg, unser Land zu schüt­zen, oder ver­su­chen wir Geld in eine magi­sche Weiterlesen

Erneut Handlungsbedarf HPI stellt Datenbank zu Identitätsklau online

Von | 20. Mai 2014

Neuer Online Check nicht iden­tisch mit BSI

Bereits zwei Mal die­ses Jahr stellte das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik ein Online Prüf-Tool zur Ver­fü­gung. Mit­tels die­ses Tools konn­ten Nut­zer tes­ten, inwie­weit ihre Email-Adresse(n) in Ver­bin­dung mit Web­log­ins bereits aktiv miß­braucht wurde(n). Mil­lio­nen Anwen­der haben die­ses Tool bis­her genutzt.

Eine etwas andere Daten­ba­sis bie­tet nun das HPI der Uni­ver­si­tät Pots­dam. Deren Tool prüft ein­schlä­gige Foren und Boards, ob dort Email-Adresse und / oder wei­tere per­so­nen­be­zo­gene Anga­ben inklu­sive Pass­wort öffent­lich zum Miß­brauch zur Ver­fü­gung gestellt wer­den. Zur Zeit umfasst die Daten­bank 171 Mil­lio­nen Einträge.

Nach Ein­gabe einer Email-Adresse erhält der Nut­zer zeit­nah eine Email mit genauer Angabe der kom­pro­mit­tier­ten Daten. Wenn kein Ein­trag gefun­den wurde, wird keine Email ver­sandt. Das bedeu­tet jedoch nicht, dass diese Daten nicht ander­wei­tig bekannt sind und miß­braucht werden.

Top 10 der unsi­che­ren Passwörter

Obwohl die Tat­sa­che hin­läng­lich bekannt ist, wie ein eini­ger­ma­ßen siche­res Pass­wort aus­se­hen sollte, fin­den sich in der Top 10 der Sta­tis­tik alte Bekannte wie “123456”, “pass­word” und “qwertz” wie­der. Details über unsi­chere Pass­wör­ter und Hil­fe­stel­lun­gen zu merk­ba­ren siche­ren Pass­wör­tern fin­den Sie hier im a.s.k. Datenschutz-Blog

Zum Online Check des HPI: https://sec.hpi.uni-potsdam.de/leak-checker/search

Es lohnt sich, nicht nur alle pri­va­ten Email Adres­sen zu prü­fen, … Weiterlesen

Webseitenbetreiber aufgepasst: Google ändert Links zu eigenen Datenschutzerklärungen

Von | 14. April 2014

Ende März 2014 hat Google seine eige­nen Daten­schutz­er­klä­run­gen aktua­li­siert. Bei die­ser Gele­gen­heit wur­den die Links zu den rele­van­ten daten­schutz­recht­li­chen Anga­ben für die Tools Google Ana­lytics und den Google+ But­ton geändert.

Als logi­sche Kon­se­quenz lan­den nun alle Links in Daten­schutz­er­klä­run­gen im Nir­wana. Google hat es lei­der nicht für nötig erach­tet, eine Umlei­tung (Redi­rect) zu set­zen und somit sind diese vor­ge­schrie­be­nen Infor­ma­tio­nen nicht mehr direkt zugäng­lich. Folg­lich ist die Daten­schutz­er­klä­rung auf den eige­nen Web­sei­ten fehlerhaft.

Daher soll­ten Sie — sofern Sie Google Ana­lytics und / oder den Google+ But­ton auf den Web­sei­ten ein­set­zen — nun schnell rea­gie­ren und diese Links aktua­li­sie­ren. Diese lau­ten wie folgt:

Daten­schutz­recht­li­che Infor­ma­tio­nen zu Google Ana­lytics (exter­ner Link)
http://www.google.com/intl/de/analytics/learn/privacy.html

Daten­schutz­recht­li­che Infor­ma­tio­nen bezüg­lich des Google+ But­tons (exter­ner Link)
https://www.google.com/policies/privacy/partners/?hl=de

Nicht ver­ges­sen: die fol­gen­den bei­den Links soll­ten eben­falls Bestand­teil Ihrer Daten­schutz­er­klä­rung sein. Beide sind von der aktu­el­len Adres­s­än­de­rung jedoch nicht betroffen:

Neu­es­ter Stand “All­ge­meine Daten­schutz­hin­weise von Google”
http://www.google.de/intl/de/policies/privacy/

Browser-Add-on gaop­tout zur Deak­ti­vie­rung von Google Ana­lytics zum Down­load
https://tools.google.com/dlpage/gaoptout?hl=de

Ergän­zen­der Tipp: Daten­schutz bei Nut­zung von social Plugins (exter­ner Bei­trag unse­res Partner-Blogs)