Risiko

Hackerangriffe nehmen weiter zu — 4,5 Millionen US Patientendaten entwendet

Com­mu­nity Health Sys­tems, ame­ri­ka­ni­scher Betrei­ber von 206 Kran­ken­häu­sern in 29 Bun­des­staa­ten, outete sich diese Woche. Man sei Opfer einer erfolg­rei­chen Hacker-Attacke gewor­den.
Gegen­über der US Auf­sichts­be­hörde SEC gab der Betrei­ber an, zwi­schen April und Juni von einer wahr­schein­lich aus China ope­rie­ren­den Gruppe erfolg­reich gehackt wor­den zu sein. Bei den ent­wen­de­ten Daten soll es sich um nicht-sensible Infor­ma­tio­nen gehan­delt haben. Betrof­fen sind Pati­en­ten von Ärz­ten, mit denen der Betrei­ber in den letz­ten fünf Jah­ren zusam­men­ge­ar­bei­tet habe. Man ver­mu­tet einen Zusam­men­hang mit frü­he­ren Atta­cken, bei denen min­des­tens 140 Unter­neh­men in den USA, Kanada und Groß­bri­tan­nien Angriffs­ziel waren.

Sind Daten in Ihrem Unter­neh­men sicher? Ana­ly­sen der letz­ten Monate zei­gen, nicht nur große Kon­zerne und Unter­neh­men ste­hen im Fokus sol­cher Angriffe. Voll­au­to­ma­ti­siert wer­den von außen über das Inter­net Schwach­stel­len in Unter­neh­mens­net­zen abge­scannt und ziel­ge­rich­tet pene­triert. Oft mit Erfolg und meist ohne Kennt­nis der betrof­fe­nen Unter­neh­men. Gerne unter­stüt­zen wir Sie bei der Über­prü­fung und Absi­che­rung Ihres Fir­men­netz­wer­kes zusam­men mit unse­ren Part­nern für IT-Sicherheit.

Quelle: Bei­trag auf recode.net

Weiterlesen »

Neuer (trauriger) Rekord: 1,2 Milliarden Datensätze gehackt

Ame­ri­ka­ni­sche und nun auch deut­sche Medien berich­ten vom wohl größ­ten Daten­klau in der Geschichte des Inter­nets. Zumin­dest vom größ­ten bekann­ten Daten­klau kann man wohl getrost ausgehen.

Einer rus­si­schen Hacker­gruppe soll es gelun­gen sein, über 1,2 Mil­li­ar­den Daten­sätze zu hacken. Betrof­fen seien Benut­zer­na­men, Pass­wör­ter und auch Email-Adressen. Das deut­sche Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik, kurz BSI warnt vor der opti­mis­ti­schen Ein­schät­zung, deut­sche Nut­zer könn­ten even­tu­ell nicht betrof­fen sein. Sobald man wei­tere Infor­ma­tio­nen aus den USA vor­lie­gen habe, werde man sich um Hil­fe­stel­lun­gen für deut­sche Inter­net­nut­zer bemü­hen und diese ver­öf­fent­li­chen. Ursprüng­lich seien wohl sogar mehr als 4 Mil­li­ar­den Daten­sätze betrof­fen gewe­sen, doch durch Aus­schluß von Dopp­lun­gen sei es zu einer Reduk­tion auf 1,2 Mrd. gekommen.

Nun heißt es also wie­der mal, breit­flä­chig Pass­wör­ter ändern. Das diese gewiße Sicher­heits­an­for­de­run­gen genü­gen müs­sen, sollte sich mitt­ler­weile rum­ge­spro­chen haben. Auch die Nut­zung von einem Pass­wort für meh­rere Dienste ist geeig­net, es Hackern und Die­ben leich­ter zu machen — von daher keine gute Idee. Da man sich diese nicht alle mer­ken kann, bie­tet sich die Nut­zung eines Passwort-Tresors wie Kee­pass an. Cloud basierte Pass­wort­ma­na­ger ohne Ver­schlüs­se­lugn oder gar von ame­ri­ka­ni­schen Anbie­tern soll­ten sich von selbst verbieten.

Wohl dem, der in sei­nen Online Pro­fi­len nicht alle Komfort-Merkmale nutzt. Es ist zwar prak­tisch, wenn der Online Shop die Kre­dit­kar­ten­da­ten für eine schnel­lere Abwick­lung schon gespei­chert hat und man diese nicht mehr ein­ge­ben muss. Sicher ist dabei aber im Zwei­fel nur eins: wird Ihr Account gehackt — und wenn auch über Umwege -, dann hat der Hacker auch gleich noch Ihre Zah­lungs­da­ten. Wol­len Sie das?

Wir hal­ten Sie auf unse­rem Blog infor­miert, wenn sei­tens des BSI belast­bare Infor­ma­tio­nen kom­mu­ni­ziert werden.

 

Weiterlesen »

BadUSB: Manipulierte USB Sticks (erneut) zum Albtraum mutiert

USB Sticks sind seit je her ein Sicher­heits­ri­siko. Schnell sind Daten kopiert und abge­grif­fen. Oder man kommt zurück von einem Außen­ein­satz und hat sich dort einen Virus gefan­gen, der beim Anste­cken an das Gast-System im inter­nen IT Netz nun nur dar­auf war­tet, sich zu übertragen.

Weit­aus per­fi­der kommt jetzt eine neue Vari­ante daher. Ganz ohne Ein­griffe mit Löt­kol­ben & Co mutie­ren USB Sticks zu einem zur Zeit noch nicht wir­kungs­voll bekämpf­ba­ren Sicher­heits­ri­siko. Nur mit­tels ein­fa­cher SCSI Befehle umpro­gram­miert, gibt sich ein Stan­dard USB Stick aus dem Ramsch­re­gal als USB Tas­ta­tur zu erken­nen und führt dahin­ter seine Schad­rou­tine aus. Das gemeine daran: USB Ein­ga­be­ge­räte sind von gene­rel­len Sper­run­gen der USB Ports meist aus Prak­ti­ka­bi­li­täts­grün­den aus­ge­nom­men. Doch weder das Gast-System noch Anti-Viren-Software ist in der Lage, das Risiko hin­ter der ver­meint­li­chen Tas­ta­tur zu erken­nen. Der Stick greift daher nun nicht nur alle Tas­ta­tur­ein­ga­ben ab, son­dern kann sei­nen Schad­code direkt aus der Firm­ware auf das Gast-System und wei­tere ange­schlos­sene USB Sticks verbreiten.

Im wahrs­ten Sinne des Wor­tes eine Virus-Infektion!

Da die Her­stel­ler von USB Sticks haupt­säch­lich auf drei Controller(-hersteller) samt Firm­ware set­zen, die alle­samt aus­ge­le­sen und angreif­bar sind, wird das Sicher­heits­ri­siko schwer ein­zu­fan­gen sein, sobald diese Lücke aus­ge­nutzt wird. Noch wurde die Methode nur durch ein deut­sches For­scher­team beschrie­ben und vorgeführt.

Lesen Sie mehr auf unse­rer Firmenwebseite.

Weiterlesen »

Neues Paypal Phishing dank SEPA

Es ist erneut eine gut gemachte Phis­hing Email im Umlauf. Die­ses mal trifft es den Anbie­ter Pay­Pal. Als Zug­pferd wird das SEPA Ver­fah­ren her­an­ge­zo­gen. Man möge doch so nett sein, sich über den Link hin­ter dem But­ton “Jetzt auf SEPA umstel­len” ein­zu­log­gen und seine Bank­da­ten zu veri­fi­zie­ren. Man darf sicher sein, zumin­dest die Zugangs­da­ten zu Pay­pal wer­den danach nicht mehr sicher sein. Der Link führt näm­lich mit­nich­ten zu Pay­pal, son­dern über einen URL Shor­te­ner Dienst ganz woan­ders hin. Pro­bie­ren Sie es bes­ser nicht aus! Es reicht, wenn Sie sich den hin­ter­leg­ten Link anzei­gen las­sen, in dem Sie mit der Maus über den fah­ren. Der Link wird dann angezeigt.

Gut, wer in Pay­Pal zusätz­li­che Sicher­heits­fea­tures akti­viert hat, wie den SMS Login (Pay­pal Sicher­heits­schlüs­sel). Nach dem Login wird eine SMS an die regis­trierte Mobil­te­le­fon­num­mer ver­sandt. Erst nach der Ein­gabe des Codes aus die­ser SMS erfolgt der Zugriff auf das Pay­pal Konto.

Soll­ten Sie eine Email erhal­ten, die aus­sieht, wie folgt — ein­fach löschen. :-)

Paypal Phishing Email
Pay­pal gibt auf der Unter­neh­mens­web­seite wei­tere Tipps, wie der Nut­zer Phi­sing Mails erken­nen und sich davor schüt­zen kann.

Weiterlesen »

Webseitenbetreiber aufgepasst: Google ändert Links zu eigenen Datenschutzerklärungen

Ende März 2014 hat Google seine eige­nen Daten­schutz­er­klä­run­gen aktua­li­siert. Bei die­ser Gele­gen­heit wur­den die Links zu den rele­van­ten daten­schutz­recht­li­chen Anga­ben für die Tools Google Ana­lytics und den Google+ But­ton geändert.

Als logi­sche Kon­se­quenz lan­den nun alle Links in Daten­schutz­er­klä­run­gen im Nir­wana. Google hat es lei­der nicht für nötig erach­tet, eine Umlei­tung (Redi­rect) zu set­zen und somit sind diese vor­ge­schrie­be­nen Infor­ma­tio­nen nicht mehr direkt zugäng­lich. Folg­lich ist die Daten­schutz­er­klä­rung auf den eige­nen Web­sei­ten fehlerhaft.

Daher soll­ten Sie — sofern Sie Google Ana­lytics und / oder den Google+ But­ton auf den Web­sei­ten ein­set­zen — nun schnell rea­gie­ren und diese Links aktua­li­sie­ren. Diese lau­ten wie folgt:

Daten­schutz­recht­li­che Infor­ma­tio­nen zu Google Ana­lytics (exter­ner Link)
http://www.google.com/intl/de/analytics/learn/privacy.html

Daten­schutz­recht­li­che Infor­ma­tio­nen bezüg­lich des Google+ But­tons (exter­ner Link)
https://www.google.com/policies/privacy/partners/?hl=de

Nicht ver­ges­sen: die fol­gen­den bei­den Links soll­ten eben­falls Bestand­teil Ihrer Daten­schutz­er­klä­rung sein. Beide sind von der aktu­el­len Adres­s­än­de­rung jedoch nicht betroffen:

Neu­es­ter Stand “All­ge­meine Daten­schutz­hin­weise von Google”
http://www.google.de/intl/de/policies/privacy/

Browser-Add-on gaop­tout zur Deak­ti­vie­rung von Google Ana­lytics zum Down­load
https://tools.google.com/dlpage/gaoptout?hl=de

Ergän­zen­der Tipp: Daten­schutz bei Nut­zung von social Plugins (exter­ner Bei­trag unse­res Partner-Blogs)

Weiterlesen »

Datenschutz ist bezahlbar

Trans­pa­rente, nach­voll­zieh­bare Kos­ten statt der sprich­wört­li­chen “Katze im Sack” — selbst­ver­ständ­lich mit a.s.k. Datenschutz.

Aus der Praxis für die Praxis



Pra­xis­taug­li­che und recht­lich belast­bare Lösun­gen statt sei­ten­lan­ger Rechts­ab­hand­lun­gen — Ihr Tages­ge­schäft steht im Vordergrund.