Alle Beiträge, die poten­zi­ell Newsaggregatoren zur Verfügung gestellt wer­den könnten.

Ein Blick zurück auf 2019

/in , /von

Wenn ein Jahr zu Ende geht, bli­cken wir ger­ne zurück. Aus dem Blickwinkel der Informationssicherheit fal­len zwei Dinge auf: Schädliche E‑Mails stel­len nach wie vor die größ­te Gefahr dar – im Privaten als auch in der Firma. Auch in die­sem Jahr sind gro­ße Datenlecks dar­auf zurück­zu­füh­ren, dass die abso­lu­ten Grundlagen für den sorg­sa­men Umgang mit Informationen nicht ein­ge­hal­ten wor­den oder Mitarbeiter nicht acht­sam genug agierten.

In Deutschland sorg­te Anfang des Jahres der soge­nann­te Doxing-Hack für Schlagzeilen. Dabei wur­den pri­va­te und inti­me Informationen von fast 1.000 Politikern, Journalisten und Prominenten veröffentlicht.

Wie sich her­aus­stell­te, war die Vorgehensweise, an die­se Daten zu gelan­gen, kei­ne moder­nen tech­ni­schen Angriffe, son­dern viel­mehr Beharrlichkeit, Geduld und Akribie. Der unbe­dach­te Umgang mit Passwörtern oder die mehr­fa­che Nutzung von schwa­chen Passwörtern führ­ten zu dem erfolg­rei­chen Angriff.

Durch das Eindringen in E‑Mail-Konten und WhatsApp-Zugänge wur­den nicht nur sen­si­ble Informationen der Konteneigner gestoh­len, son­dern auch von den Personen, mit denen sie im Kontakt stan­den. Als die Mobilnummer des Politikers Christian Lindner ver­öf­fent­licht wur­de, haben Neugierige ihn auf WhatsApp kon­tak­tiert, um her­aus­zu­fin­den, ob die Nummer tat­säch­lich kor­rekt ist:

Was ler­nen wir daraus?

  1. Wir tra­gen nicht nur Verantwortung für den Schutz unse­rer Daten, son­dern auch für die derer, mit denen wir kommunizieren.
  2. Starke Passwörter sind wich­tig – immer und überall.

Dass wir die­se Passwörter schüt­zen soll­ten, ver­deut­licht auch die Veröffentlichung von fünf gros­sen Sammlungen von E‑Mail- und Passwort-Kombinationen. So wur­den in den soge­nann­ten Collections 1–5 in die­sem Jahr ins­ge­samt 2,1 Milliarden (ja, Milliarden!) der­ar­ti­ge Kombinationen ver­öf­fent­licht. Ob Deine E‑Mail-Adressen davon auch betrof­fen sind, kannst Du u.a. auf der eng­li­schen Seite https://haveibeenpwned.com überprüfen.

Dieses Jahr hat uns auch gezeigt, dass schäd­li­che E‑Mails nach wie vor ein rie­si­ges Problem dar­stel­len. So wur­de ins­be­son­de­re der deutsch­spra­chi­ge Raum in die­sem Jahr ins­be­son­de­re durch den Virus «Emotet» stark in Mitleidenschaft gezo­gen. Dieser ver­sen­det glaub­wür­di­ge E‑Mails, die bei uns Vertrauen erzeu­gen sol­len. Absender, Signaturen, Betreffzeilen sehen kor­rekt aus und erzeu­gen somit Vertrauen. Ziel ist es, dass wir auf Links kli­cken, damit sich im Nachgang eine Schadsoftware auf unse­rem Rechner instal­liert, die uns erpres­sen möch­te oder Zugangsdaten steh­len will.

Daher prü­fen Sie immer erst, bevor Sie einen Link in einer Mail kli­cken, ob das Ziel des Links ver­trau­ens­wür­dig ist. Aktivieren Sie nur im abso­lu­ten Ausnahmefall Makros von ange­häng­ten Dateien. Trainieren Sie Ihre Mitarbeiter im Umgang mit gefähr­li­chen Mails — bei­spiels­wei­se mit unserem Phishing-Training.

Noch ist der Schaden, der durch Emotet ent­stan­den ist, nicht abschätz­bar – aber die zahlreichen, teils dramatischen Vorfälle, die durch die Medien gingen, zeich­nen ein erschre­cken­des Bild.

2019 hat sehr ein­drück­lich gezeigt, dass sen­si­bi­li­sier­te, acht­sa­me Mitarbeiter ein ent­schei­den­der Faktor für den Schutz von Informationen sind. Wir möch­ten uns bei allen Kunden und Partnern für ein erfolg­rei­ches SECUTAIN-Jahr bedan­ken und wün­schen Ihnen ein siche­res und acht­sa­mes 2020!

Emotet? Ehrlich? Schon wieder?

/in , /von

Es ist Ihnen sicher­lich nicht ent­gan­gen, in den Medien wird vor einer neu­en Welle von E‑Mails mit der Schadsoftware „Emotet“ gewarnt. Was zuerst klingt wie ein alt­ägyp­ti­scher Baumeister oder eine neue Jugendbewegung ist ein äußert per­fi­der Angreifer, der jeden von uns tref­fen kann, wie er in den letz­ten Monaten bereits unter Beweis gestellt hat.

Was tut Emotet?

Emotet liest auf betrof­fe­nen Systemen E‑Mail-Kontakte und sogar aktu­el­le Inhalte von E‑Mails aus und ist so in der Lage, sehr echt aus­se­hen­de Mails zu ver­sen­den, von aktu­el­len Kontakten und sogar mit Bezug zu aktu­el­len Inhalten. So kann es sein, dass eine recht aktu­el­le Mail direkt unten als Mailverlauf ein­ge­fügt wur­de. Das wirkt für den Empfänger also alles sehr über­zeu­gend und erregt wenig Skepsis. Mit einem Klick auf einen Link oder dem Öffnen einer Datei aus dem Mailanhang nis­tet er sich auf Ihrem Computer ein. Dort lädt er dann ande­re Schadsoftware nach, die dann z.B. Ihr Online-Banking aus­späht, Ihre Passwörter abgreift und natür­lich ver­sucht, Ihre Kontakte zu infizieren.

Was Sie tun können.

Das klingt erst­mal aus­sichts­los, aber wie bei allen E‑Mail-gestütz­ten Angriffen hel­fen auch hier erst­mal die wich­ti­gen Grundregeln zur Vorsorge:

  • Halten Sie Ihr Betriebssystem und Ihre Anwendungen aktu­ell, instal­lie­ren Sie Updates und Patches zeitnah.
  • Setzen Sie einen aktu­el­len Virenscanner ein.
  • Erstellen Sie regel­mä­ßi­ge Datensicherungen von Ihrem Computer, damit Sie im Schadensfall alle Daten schnell wie­der­her­stel­len können.

Sicherlich, die­se Maßnahmen schlie­ßen eine Infektion nicht aus, hel­fen aber unter Umständen den Schaden in Grenzen zu hal­ten. Auf Ihren dienst­li­chen Geräten küm­mert sich um all die­se Sachen sicher­lich Ihre IT Abteilung.

Emotet wird nicht der letz­te bös­ar­ti­ge Gast in unse­ren elek­tro­ni­schen Postfächern sein. Die wich­tigs­te Verteidigung gegen die­se Angriffe sind und blei­ben des­halb Sie. Ihre Aufmerksamkeit, ihr Verstand und Ihre Erfahrung sind bes­ser als jeder Virenscanner. Fragen Sie sich bei jeder Mail, bei jedem Anhang und bei jedem Link erneut:

  • Kenne ich den Absender?
  • Erwarte ich die­se E‑Mail?
  • Würde der Absender in die­sem Fall E‑Mail als Kommunikationsmittel wählen?
  • Würde er mich so anspre­chen und anschreiben?
  • Warum ver­sucht die­se Mail eine Reaktion (Öffnen von Dateien, Klicken auf Links) durch mich zu provozieren?
  • Muss ich die­sen Anhang öff­nen bzw. die­sen Link klicken?
  • Auch wenn ein Link auf den ers­ten Blick ver­trau­ens­wür­dig aus­sieht, gibt es irgend­wel­che Auffälligkeiten?
  • Warum möch­te die­ses ver­meint­li­che Word-Dokument jetzt Änderungen an mei­nem System vornehmen?

Fragen Sie im Zweifelsfall beim Absender per­sön­lich nach, ob die­se Mail von ihm stammt. Seien Sie bei allen Arten von Dateien wach­sam, auch bei Office-Dateien oder ande­ren Formaten.

Jede Mail, auch ech­te und wich­ti­ge Kommunikation, wird so zu einem Trainingsinstrument für Sie und stärkt Sie und Ihre Sinne in der Abwehr von Angriffen.

Also: let’s do it!

Persönliches Training

Mehr Sicherheit im Umgang mit gefähr­li­chen Mails gewin­nen Sie mit unse­rem Phishing-Training. Erfahren Sie in simu­lier­ten Angriffsmails, an wel­chen Merkmalen Sie gefähr­li­che Mails erken­nen kön­nen. Mehr Informationen »

Social Engineering: Die unterschätzte Gefahr

/in , , /von

Der Zugriff auf sen­si­ble, schüt­zens­wer­te und für das Unternehmen ele­men­tar über­le­bens­wich­ti­ge (“intel­lec­tu­al pro­per­ty”) Daten will kon­trol­liert, gesteu­ert und geschützt sein, um den Bestand der Unternehmung nicht zu gefähr­den. Kommerzielle Schäden (Umsatzrückgang auf­grund Vertrauensverlust der Kunden, Strafzahlungen gemäß EU-DSGVO) und Reputationsverlust sind da noch das gerin­ge­re Übel, wenn sol­che Daten “abhan­den kom­men”. Vielmehr kann geziel­te Industriespionage die Alleinstellungsmerkmale der Unternehmung zum Ziel haben und damit grund­le­gend den Fortbestand des Unternehmens gefähr­den, wenn intel­le­cu­tal pro­per­ty zum Mitbewerb wandert.

Unternehmen fokus­sie­ren daher auf IT-Sicherheit und geben gemäß einer Studie von Statista allein in Deutschland in 2019 voraussichtlich rund 1,4 Milliarden Euro aus.

Das senkt die Wahrscheinlichkeit des tech­ni­schen Einbruchsversuchs, denn wie im wirk­li­chen Leben auch zie­hen Einbrecher lie­ber wei­ter zum nächs­ten Haus, wenn die Eingangstür im Vergleich zum Nachbarhaus gut gesi­chert ist.

Vergessen wird jedoch gern, dass tech­ni­sche Zugänge ja nicht der ein­zi­ge Weg sind, auf die­se schüt­zens­wer­ten Daten zuzu­grei­fen. Denn wenn Ihr Unternehmen nicht zufäl­li­ges und belie­bi­ges Ziel einer Diebesbande ist, son­dern Ihre Daten ganz kon­kre­tes Ziel geplan­ter Angriffe sind, weil bspw. Industriespionage im Vordergrund steht, wer­den Angreifer nicht locker las­sen, um an Ihre infor­ma­tio­nel­len Kronjuwelen zu gelan­gen. Sie wer­den ande­re Angriffswege wäh­len, wenn Hacker tech­nisch nicht wei­ter­kom­men und an den tech­ni­schen Sicherheitsmaßnahmen Ihrer Organisation scheitern.

Angriffssziel wer­den dann die MitarbeiterInnen Ihrer Organisation, die durch geziel­te und geschick­te Manipulation dazu bewegt wer­den, Daten her­aus­zu­ge­ben, Credentials preis­zu­ge­ben oder Angreifern Türen auf­zu­ma­chen, die durch Technik bis­her gut gesi­chert und ver­schlos­sen waren.

Social Engineering und Sabotage sind laut der Allianz für Cybersicherheit des BSI zwei der zehn bedeut­sams­ten Sicherheitsbedrohungen in 2019. Die Aufmerksamkeit für die­ses Thema beim Aufbau eines ganz­heit­li­chen Ansatzes zum Schutze die­ser sen­si­blen Unternehmensdaten ist jedoch aus unse­rer Erfahrung immer noch viel zu gering.

Wir freu­en uns, dass die Deutsche Oracle Anwendergruppe (DOAG) uns als Speaker ein­ge­la­den hat und wir auf der DOAG Konferenz 2019 in Nürnberg über die­ses wich­ti­ge Thema der Informationssicherheit spre­chen dür­fen. Mit über 2.000 TeilnehmerInnen ist die DOAG Konferenz die füh­ren­de ORACLE Fachkonferenz, auf der das Thema tech­ni­scher Sicherheit von Daten(banken) in den letz­ten Jahren aus genann­ten Gründen zuneh­mend an Bedeutung gewon­nen hat.

Alles hat ein Ende, nur die…

/in , , /von

… aber um die Wurst soll es hier gar nicht gehen. Sondern um das Ende all Ihrer elek­tro­ni­schen Speichergeräte. Also um Ihren Computer, Laptop, exter­ne Festplatten, Smartphones, USB-Sticks, … und ver­ges­sen Sie nicht Ihren Multifunktionsdrucker, Ihren Internetrouter und wahr­schein­lich sogar Ihren hei­mi­schen TV-Receiver: alles Geräte, die Informationen über Sie spei­chern, die Sie nicht mit anderen teilen möchten.

Elektronische Geräte gehö­ren natür­lich nicht in den Restmüll, son­dern wer­den von uns ordent­lich der Wiederverwertung zuge­führt. Da sie meist aber nicht defekt sind, son­dern gegen moder­ne­re Varianten aus­ge­tauscht wer­den, enden sie häu­fig nicht auf dem Wertstoffhof, son­dern auf ein­schlä­gi­gen Internetplattformen und war­ten dort auf neue Benutzer.

Kroll Ontrack und die Blancco Technology Group haben für eine Studie 159 Festplatten auf eBay erwor­ben, auch in Deutschland. Erschreckenderweise wur­de fest­ge­stellt, dass auf 42% Prozent der Geräte noch sen­si­ble Daten vor­han­den waren. 15 Prozent ent­hiel­ten sogar per­so­nen­be­zo­ge­ne Daten wie gescann­te Geburtsurkunden, Lebensläufe und Schulnoten. Aber nicht nur pri­va­te Informationen wur­den gefun­den, auch meh­re­re Gigabyte an Firmendaten konn­ten rekon­stru­iert wer­den. Die im Rahmen der Studie kon­tak­tier­ten Verkäufer gaben an, dass eigent­lich kei­ne Daten zurück­blei­ben soll­ten, da sie Methoden zur siche­ren Datenentsorgung ange­wandt hat­ten. Diese Methoden waren aber offen­sicht­lich unzureichend.

Der Anfang vom Ende…

… muss also eine ange­mes­se­ne Löschung oder Vernichtung sein. Dabei gibt es zwei Varianten:

Variante A: Sichere Entsorgung

Suchen Sie sich für die­se Variante ech­te Profis. Achten Sie dar­auf, dass die Vernichtung gemäß DIN 66399 vor­ge­nom­men wird und min­des­tens der Sicherheitsstufe 3 genügt. Sicherheitsstufe 3 bedeu­tet, dass die Reproduktion Ihrer Daten mit erheb­li­chem Aufwand ver­bun­den ist. Wenn Sie beson­ders sen­si­ble Daten auf Ihren Datenträgern spei­chern, wäh­len Sie bes­ser Sicherheitsstufe 4. Leider hat die­se Variante Ihren Preis.

Variante B: Verkauf oder einfache Entsorgung

Wenn Sie das Gerät ver­kau­fen wol­len, wägen Sie sorg­fäl­tig ab wel­che Informationen auf dem Gerät gespei­chert waren. Im Zweifelsfall ist es viel­leicht bes­ser, den PC ohne die Festplatte zu ver­kau­fen und die­se zu ver­nich­ten. Ansonsten sor­gen Sie unbe­dingt für die siche­re Löschung der Speichermedien.

Leider ist das, wie die Studie von Kroll Ontrack und Blancco gezeigt hat, gar nicht so ein­fach. Insbesondere moder­ne SSD Speicher auf Flash-Basis (dazu gehö­ren auch USB-Sticks) sind mit älte­ren Verfahren und mit den Boardmitteln der Betriebssysteme kaum rich­tig sicher zu löschen. Schauen Sie dar­um unbe­dingt auf den Herstellerseiten Ihrer Geräte und Speichermedien nach. Die meis­ten Hersteller bie­ten mitt­ler­wei­le spe­zi­el­le Tools für die siche­re Löschung an und stel­len aus­führ­li­che Anleitungen zur Verfügung. Als kos­ten­lo­se Open-Source Lösung für die Löschung von Daten kön­nen Sie z.B. auf „Darik’s Boot and Nuke (DBAN)“ (www.dban.org) zurück­grei­fen.

Planen Sie die ein­fa­che Entsorgung über einen Wertstoffhoff oder ande­ren Sammelbehälter, kön­nen Sie einen spä­te­ren Zugriff durch Dritte nicht aus­schlie­ßen und soll­ten sich auch hier unbe­dingt um die siche­re Löschung küm­mern. Wenn Sie die Speichermedien vor­her sel­ber zer­stö­ren möch­ten (viel­leicht auch weil sie defekt sind und eine siche­re Löschung nicht mehr mög­lich ist) sei­ne Sie unbe­dingt vor­sich­tig. Schützen Sie sich z.B. durch Schutzhandschuhe und eine Schutzbrille, vie­le der ver­wen­de­ten Materialien split­tern bei Gewaltanwendung. Verursachen Sie so viel Schaden wie mög­lich und füh­ren Sie die Reste der Wiederverwertung zu.

Fragen Sie bei Unklarheiten einen Spezialisten und wen­den Sie sich bei allen dienst­li­chen Geräten ver­trau­ens­voll an Ihre IT! Im Firmenkontext lohnt sich die Anschaffung spe­zi­el­ler Soft- oder sogar Hardware für die Löschung oder ein Vertrag mit einem spe­zia­li­sier­ten Entsorger. Der stellt auch ent­spre­chen­de Behälter für die siche­re Zwischenlagerung bis zur nächs­ten Abholung bereit.

Haben Sie das alles geklärt, kön­nen Sie sich ruhi­gen Gewissens den neu­en Geräten widmen.

Ende gut: alles sicher.

Wenn Strafverfolger zu Hackern werden

/in , , /von

Die in Tel Aviv ansäs­si­ge Firma Cellbrite forscht und spe­zia­li­siert sich seit 2007 im Bereich der digi­ta­len Forensik für Smartphones und Mobilgeräte. Sie nimmt damit teil an dem Wettrennen zwi­schen Smartphoneherstellern, die ihre Geräte mit immer effek­ti­ve­ren Sicherheitsmechanismen aus­stat­ten und Unternehmen, die Sicherheitslücken in die­sen Geräten fin­den und mone­ta­ri­sie­ren wollen.

Der Kundenkreis ist exklu­siv und wahr­schein­lich lukra­tiv: Strafverfolger und Ermittlungsbehörden.

Weiterlesen

Frühjahrsputz für Ihre Internet-Konten

/in , /von

Jedes mal, wenn irgend­wo Datenlecks ver­öf­fent­licht wer­den, den­ken Sie sich bestimmt: “Hoffentlich sind mei­ne Daten nicht dabei”. Richtig? Damit Ihre Daten kein Bestandteil die­ser Veröffentlichungen wer­den, ist es rat­sam, nur bei den Internetdiensten und Apps Konten zu haben, die Sie wirk­lich benut­zen. Aber klar — über die Jahre sam­meln sich bei uns allen Konten an, die wir heu­te nicht mehr benö­ti­gen. Konten, um ein­mal etwas zu tes­ten, ein Probeabo abzu­schlie­ßen, etwas nur für einen bestimm­ten Zeitraum zu nut­zen etc. Oder Konten, die wir ein­fach mal aus Neugier ange­legt haben. Da wir häu­fig die­se Konten nicht löschen, lie­gen unse­re Daten wei­ter­hin bei die­sen Anbietern — und sind somit poten­zi­el­len Risiken aus­ge­setzt: Passwörter, E‑Mail-Adressen, unse­re Aktivitäten viel­leicht sogar Zahlungsdaten.

Ein neu­er kos­ten­lo­ser Dienst unse­rer Partner von AWARE7 soll das Abhilfe schaf­fen: Cyberpflege.de.

Auf die­ser Webseite fin­den Sie Links zum Löschen Ihrer Accounts für deut­sche und inter­na­tio­nal stark fre­quen­tier­te Seiten. Klingt erst ein­mal nicht beson­ders spek­ta­ku­lär — ist aber unge­mein prak­tisch. Wer schon ein­mal pro­biert hat, sei­nen Zugang irgend­wo zu löschen, weiß, dass Löschfunktionen häu­fig sehr gut ver­steckt wer­den und im Gegensatz zur Registrierung sehr beschwer­lich sein kön­nen. Cyberpflege bringt Sie jedoch genau an den rich­ti­gen Ort. Außerdem erhal­ten Sie dar­über hin­aus eine Einschätzung, wie kom­pli­ziert der Löschvorgang wird und was Sie dazu tun müssen.

Ist VPN jetzt auch böse? Der Fall Facebook Research

/in , , /von

Einige von Ihnen wer­den in den letz­ten Wochen sicher­lich die Nachrichtenlage um Facebook mit­be­kom­men haben. Im Zentrum stand die App “Facebook Research”. Dabei han­delt es sich um ein VPN-Angebot von Facebook, das dem Konzern einen weit­rei­chen­den Zugriff auf die Smartphones der Benutzer gege­ben hat. So konn­te Facebook pri­va­te Nachrichten in sozia­len Netzwerken und Messenger-Apps mit­le­sen — genau­so wie Fotos und Videos der Nutzer ein­se­hen, E‑Mails, Websuchen und Browseraktivitäten pro­to­kol­lie­ren sowie den aktu­el­len Standort der Geräte auslesen.

Jetzt könn­ten Sie sagen: Halt, Momentchen mal, stopp! Seit Ewigkeiten erzäh­len Sie uns, dass VPN die bes­te Möglichkeit ist, sicher im Netz unter­wegs zu sein!? Und jetzt ist es so gefährlich!?!?

In der Tat ist VPN eine Technologie, mit der es mög­lich ist, den eige­nen Internetverkehr vor dem Einblick und der Manipulation durch Dritte zu schüt­zen. Das bleibt auch wei­ter­hin so. Wichtig ist jedoch, dass der Anbieter des VPN-Dienstes Ihre Daten nicht mit­pro­to­kol­liert, Ihre Privatsphäre respek­tiert, ver­trau­ens­wür­dig ist und einen hohen Sicherheitsstandard aufweist.

Wie bei allem, was Sie im Internet tun, gilt auch hier der alte Grundsatz, den wir seit Jahren wie­der­ho­len: Wenn Sie nicht bezah­len, sind Sie das Produkt!

Seien Sie also mehr als skep­tisch, wenn Ihnen ein VPN-Produkt kos­ten­los ange­bo­ten wird. Im Falle von “Facebook Research” war das Produkt nicht nur kos­ten­los — die Benutzer wur­den sogar für die Nutzung bezahlt. Einkaufsgutscheine bis zu 20 Dollar im Monat wink­ten den Nutzern. Spätestens hier müs­sen bei Ihnen sämt­li­che Alarmglocken läu­ten. Finger weg!

Investieren Sie lie­ber weni­ge Euro pro Monat in einen siche­ren VPN-Anbieter oder schau­en Sie, wel­cher seriö­se Anbieter von Sicherheitssoftware ein Bundle anbie­tet, in dem ein VPN-Dienst bereits ent­hal­ten ist. Beispielsweise hat heise einmal eine Liste von diversen Anbietern zusammengestellt.

Wenn man in allem — aber auch wirk­lich allem — etwas Gutes sehen will, kann man die­sem Fall abge­win­nen, dass Facebook hier end­lich ein­mal die Nutzer bezahlt hat, die ihre Daten für Profilbildungen und Monetarisierung zur Verfügung stel­len. Ein bit­te­rer Lohn für einen der­art star­ken Eingriff in die Privatsphäre.

Das Fazit lau­tet also: Marktmechanismen im Internet machen auch vor VPN nicht Halt. VPN ist wei­ter­hin ein gutes Instrument für mehr Sicherheit im Netz. Nutzen Sie einen ver­trau­ens­wür­di­gen und daten­schüt­zen­den VPN-Dienst.

Facebook ist dies nicht.

Ist Schalke 04 schon Meister?

/in , , , /von

Dass schwa­che Passwörter nach wie vor der Grund für vie­le Datenlecks und Sicherheitsereignisse sind, ist genau­so bekannt wie unvor­stell­bar. Leute, wir haben 2019!!!1! Langsam müss­te bekannt sein, wie mit Passwörtern umzu­ge­hen ist. Auch der aktu­el­le “Bundeshack” wäre mit ver­nünf­ti­gen Passwortmanagement und star­ken Passwörtern nur halb so groß geworden.

So zei­gen aber jedes Jahr die Hitlisten der schlech­ten Passwörter, dass vie­le Menschen immer noch die Bequemlichkeit über die Sicherheit stel­len — mit zum Teil ver­hee­ren­den Konsequenzen für ihre Daten, ihre per­sön­li­chen Freiheiten oder den Arbeitgeber. Beliebte Passwörter sind immer noch “123456” oder “pass­word”. Aber wo kom­men eigent­lich die­se Passwort-Charts her? Die Leute wer­den ja nicht ein­fach auf der Straße ihre Passwörter nen­nen! Obwohl:

Es gibt eine viel bes­se­re Quelle für Passwörter als Straßenumfragen. Die Daten für die Passwortcharts ent­stam­men gro­ßen Datenleaks, in denen Millionen Passwörter unab­sicht­lich offen­bart wur­den. Diese Listen sind die Grundlage für so groß­ar­ti­ge Dienste wie Have I Been Pwned, bei dem jeder ein­zel­ne ein­mal über­prü­fen kann, ob die Passwörter zu sei­nen Konten bereits ande­ren bekannt sind. Die Experten von AWARE7 haben sich eben­falls ein­mal die­se Listen vor­ge­nom­men und 5,5 Milliarden Passwörter dar­auf­hin über­prüft, inwie­fern sich deut­sche Fußball-Bundesligisten dort wie­der­fin­den, um auf der Basis eine inof­fi­zi­el­le Bundesligatabelle zu erstellen.

Demnach wür­de der FC Schalke 04 Deutscher Meister wer­den, da sein Name über 50.000 mal in Passwörtern ver­wen­det wird. Auf den Champions League-Plätzen fol­gen Hertha BSC, Borussia Dortmund und Hannover 96. International wären auch noch Bayern München auf Platz 5 und der VfB Stuttgart auf Platz 6 unter­wegs. Abgestiegen wären Hoffenheim und Nürnberg. In der Relegation müss­te Wolfsburg zit­tern. Die aus­führ­li­che Tabelle mit allen Zahlen fin­den Sie bei AWARE7.

Warum sind Fußballclubs eigentlich schlechte Passworte?

Zum einen spricht der häu­fi­ge Gebrauch gegen die Verwendung von Fußballvereinen als Passwort. Zum Zweiten besteht ein Personenbezug, wenn man sei­nen Herzensverein als Passwort wählt. So erfüllt zwar das Passwort “Hannover-96” die Komplexitätskriterien vie­ler Internetdienste — Angreifer hät­ten bei Hannover-Fans dann aber ein leich­tes Spiel. Sollte man also den Erzrivalen als Passwort neh­men? Auch das ist kei­ne gute Idee, da Angreifer auch auf die Idee kom­men könn­ten, das ein­mal aus­zu­pro­bie­ren. Außerdem wür­de das Eintippen des Erzrivalen jedem ech­ten Fußballfan kör­per­li­che Schmerzen berei­ten, was nicht gera­de dazu bei­trägt, Passwörter in ein sym­pa­thi­sche­res Licht zu rücken. Stattdessen erläu­tern wir Ihnen Strategien für siche­re Passworte in unserem Online-Kurs SECUTAIN Grundlagen.

Was jeder aus dem Bundeshack lernen kann

/in , /von

Seit Tagen bestimmt der soge­nann­te Bundeshack die Nachrichten. Ein 20-Jähriger hat anschei­nend über Jahre hin­weg Daten aus der Privatsphäre von Politikern, Journalisten und Prominenten gesam­melt, indem er in pri­va­te Internetkonten ein­brach. Diese ver­öf­fent­lich­te er nach und nach im Rahmen eines Adventskalenders auf Twitter. Daher ist Bundeshack ein recht unglück­lich gewähl­ter Name, da er den Angriff auf Institutionen des Bundes sug­ge­riert — aber genau das Gegenteil ist der Fall. Attackiert wur­den pri­va­te Konten. Was ler­nen wir aus die­sem Vorfall und was soll­ten Sie als Organisation jetzt tun?

Wir sind nicht nur für den Schutz unse­rer Daten ver­ant­wort­lich, son­dern auch für die Daten anderer.

Der Bundeshack zeigt sehr anschau­lich, dass das Eindringen in die Konten von etwa 50 Personen aus­reicht, um pri­va­te Informationen von etwa 1.000 Personen zu erlan­gen. Darunter befin­den sich haupt­säch­lich Kontaktdaten aber auch Chatverläufe, pri­va­te Fotos oder Ausweiskopien. Denken Sie ein­mal an die Informationen, die Sie von ande­ren zuge­sandt bekom­men: Fotos, ver­trau­li­che E‑Mails, Instant Messaging-Nachrichten, Firmeninformationen etc. Wir tra­gen also nicht nur die Verantwortung für den Schutz unse­rer Daten, son­dern auch für den Schutz der Daten anderer.

Informationssicherheit fängt bei jedem selbst an

Es ver­dich­tet sich mehr und mehr die Nachrichtenlage, dass ein Großteil der Informationen nur erbeu­tet wer­den konn­te, weil ein­zel­ne Personen eini­ge grund­le­gen­de Regeln, wie IT-Sicherheit im pri­va­ten Umfeld her­zu­stel­len ist, nicht beach­te­ten. Das wären beispielsweise:

  • der zu nach­läs­si­ge Umgang mit zu schwa­chen Passwörtern: Insbesondere ein­fach zu erra­ten­de Passwörter und das mehr­fa­che Verwenden des glei­chen Passworts bei unter­schied­li­chen Diensten ist ein gro­ßes Risiko.
  • der Verzicht auf 2‑Faktor-Authentifizierung: Die Gründe lie­gen hier in dem häu­fig noch nicht vor­han­de­nen Wissen über die­se Möglichkeit und die Angst vor dem Komfortverlust bei der Anwendung.
  • zu wenig Sensibilität für Phishing: Webseiten, die vor­ge­ben ande­re Webseiten zu sein, um Zugangsdaten zu sam­meln, kön­nen meist schon mit eini­gen ein­fa­chen Dingen als fake ent­larvt werden.
  • unsi­che­res Surfen: Der Verzicht auf eine siche­re Datenübertragung beim Surfen kann dazu füh­ren, dass sen­si­ble Daten von Dritten mit­ge­le­sen wer­den können.

Bei der Beachtung die­ser Punkte wür­de ein Großteil aktu­el­ler Cyberangriffe nicht erfolg­reich durch­ge­führt wer­den kön­nen — also ein­fa­che Regeln und etwas mehr Achtsamkeit für das Thema brin­gen bereits einen erheb­li­chen Sicherheitsgewinn. Damit die Beschäftigten Ihrer Firma die­se Regeln ken­nen­ler­nen und mehr Achtsamkeit ent­wi­ckeln kön­nen, so dass Angriffen weni­ger Erfolgschancen ein­ge­räumt wer­den, soll­ten Sie Ihre Beschäftigten jetzt sen­si­bi­li­sie­ren. Warum jetzt? Aktuell haben Sie eine gro­ße Aufmerksamkeit auf die­ses Thema, weil die media­le Präsenz dazu führt, dass Menschen sich inten­si­ver für die­ses Thema inter­es­sie­ren. Nutzen Sie die­ses Zeitfenster! Wir haben daher ein Angebot für Sie vor­be­rei­tet — gewis­ser­ma­ßen eine Bundeshack-Präventivmaßnahme:

30 Minuten E‑Learning, die Ihr Sicherheitsniveau sofort anheben

Wir haben die grund­le­gen­den Regeln für den siche­ren Umgang mit Informationen in dem E‑Learning ‘SECUTAIN essen­ti­als’ für Ihre Organisation ein­mal zusam­men­ge­stellt — unter­halt­sam, ver­ständ­lich, nach­voll­zieh­bar und kurz­wei­lig — inkl. Nachweis, dass Sie Ihre Beschäftigten für die­ses Thema unter­wie­sen haben. SECUTAIN essen­ti­als fin­den Sie in unserem Shop und ist inner­halb weni­ger Stunden für Ihre gesam­te Organisation einsatzbereit.

Chaos Communication Congress sieht den Menschen als zukünftiges wichtiges Angriffsziel

/in , /von

Zum Ende eines jeden Jahres fin­det der Kongress des Chaos Computer Clubs statt, auf dem sich über die Themen IT-Security, Netzpolitik und die gesell­schaft­li­che Implikation von Technologien aus­ge­tauscht wird. In die­sem Jahr fand der 35. Chaos Communication Congress in Leipzig mit etwa 16.000 Besuchern statt.

Zum mitt­ler­wei­le 13. Mal gab es dabei den Talk “Security Nightmares” von Frank Rieger und Ron Henrik Fulda, der all­jähr­lich einen Rückblick auf die Security-Alpträume des letz­ten Jahres wirft und einen Ausblick auf die Zukunft wagt. Bei die­sem Ausblick wird in die­sem Jahr ins­be­son­de­re das Angriffsziel Mensch in den Fokus gerückt:

Ron Henrik Fulda: Es gibt tech­ni­sche Fortschritte, die statt­fin­den: Apple arbei­tet hart dar­an, ihr Betriebssystem für PCs här­ter zu machen. Microsoft hat gera­de Sandboxing ein­ge­führt. Das sind im gro­ßen Stil Sachen, die für Smartphone- und Tablet-Betriebssysteme nor­mal sind, weil das dort von Anfang an drin war. [..] Das, womit Menschen direkt inter­agie­ren, das wird schon ste­tig bes­ser, wenn es up to date gehal­ten wird.

Frank Rieger: Die gan­zen zuge­na­gel­ten Endpoint-Produkte, die halt mehr so Tablets mit halb­wegs moder­ner Hardware sind, auf denen man kein eige­nes Betriebssystem mehr instal­lie­ren kann, auf denen es noch so ein paar Apps drauf gibt und bei denen die Sicherheit des Systems auch noch durch Hardware-Chips unter­stützt wird, die­se sind schon etwas schwie­ri­ger anzu­grei­fen. Und daher war für uns die Frage: Was pas­siert denn jetzt eigent­lich? Denn die Evolution geht natür­lich wei­ter. Und bis­her war es nie so, dass sich ins­be­son­de­re die Kriminellen davon auf­hal­ten las­sen haben, dass da irgend­was pas­siert. Die logi­sche Konsequenz ist, dass Sicherheit immer mehr zu so einem Layer 8‑Problem wird. Das Problem sitzt also zwi­schen Bildschirm und Stuhl.

Layer 8 refe­ren­ziert ein Kommunikationsmodell, in dem die Kommunikation von Informationen in unter­schied­li­che Schichten (Layers) auf­ge­teilt wird. Neben sie­ben tech­ni­schen Schichten spricht man ger­ne vom Layer 8, der gleich­be­deu­tend mit dem Menschen ist. Wenn Ihr IT-Admin also beim nächs­ten mal sagt, dass bei Ihnen ein Layer 8‑Problem vor­lag, wis­sen Sie, was Sie davon zu hal­ten haben.

Frank Rieger: Wir haben ja schon so ein paar frü­he­re Vorfahren davon gese­hen. Da gab es vor ein paar Jahren einen inter­es­san­ten Trojaner, der bei einer bestimm­ten Bank über einen Exploit, der, wenn er im Tab neben­an lief und man sein Homebanking auf­ge­macht hat, dem Benutzer etwas sug­ge­rier­te: ‘Hey, Du hast gera­de eine Überweisung über 750 Euro bekom­men. Das war lei­der eine Fehlüberweisung. Und weil Du ein ehr­li­cher Mensch bist, möch­test Du das jetzt bit­te zurück über­wei­sen.’ Das bedeu­tet, das war ein Angriff dar­auf, was in Deinem Kopf pas­siert. Weil man ein ehr­li­cher Mensch sein möch­te, haben die Leute das Geld zurück­über­wie­sen. Da hilft dann kei­ne Sicherheitsmaßnahme, weil der Mensch es woll­te. Und wir den­ken, dass genau da die Zukunft für Angriffe liegt. Dass sich die Angriffe immer mehr gegen das mensch­li­che Gehirn rich­ten wer­den und die tech­ni­schen Angriffe nur Hilfsmittel dazu sein werden.

Ron Henrik Fulda: Dieser I‑Love-You-Virus war vor 18 Jahren. Einer aus dem Berliner Club hat mir erzählt, dass er sich extra dafür ein Windows auf­ge­setzt hat, um die E‑Mail auf­ma­chen zu kön­nen, weil die­se von mei­ner Freundin kam. Die Menschen gehen also weit, um die Message zu hören, wenn die Message rich­tig ist.

Der gesam­te Vortrag ist unter https://media.ccc.de/v/35c3-9685-security_nightmares_0x13 unter einer Creative Commons Lizenz ver­öf­fent­licht. Die über­nom­me­nen Textpassagen in die­sem Beitrag wur­den zur bes­se­ren Lesbarkeit leicht angepasst.

Wenn Sie wis­sen möch­ten, mit wel­chen Risiken Organisationen rech­nen müs­sen, wenn Angriffe gegen das Wissen und das Handeln der Menschen statt­fin­den und wie Menschen für die­se Themen sen­si­bi­li­siert und acht­sam gemacht wer­den kön­nen, dann kontaktieren Sie uns einfach.