Datenklau bei Politikern

Datenklau bei Politikern

Datenklau
Quelle: GDD

Aktuell wird überall über einen Datenklau im großen Stil berichtet. Alle Medien sind voll davon, wie schön, es wird nicht langweilig. Es sollen von 1000 Personen des öffentlichen Lebens, also Politikern, Internetstars und anderen Prominenten Daten veröffentlicht worden sein.

Dies soll bereits im Dezember in einer Art Adventskalender bei Twitter passiert sein. Schnell wurde auch ein Verdächtiger ermittelt. Es soll sich um einen bei den Eltern lebenden und in Ausbildung befindlichen 20-jährigen handeln.

Na, das ging schnell!

Die Angelegenheit wird bekannt und ein Verdächtiger wird schnell präsentiert, ok. Als Motiv wurde bei einer Pressekonferenz heute bei Phönix Unzufriedenheit mit Politikern genannt. Warum also das Interesse an den anderen Daten oder einfach, weil man sie so einfach bekommen konnte?

Was wurde denn überhaupt gestohlen bzw. veröffentlicht?

Der Datenklau bei Politikern und anderen bezieht sich nach einem Phönix-Bericht hauptsächlich auf Kontaktdaten, Bilder, Dokumente, also selber eingestellte, nicht verschlüsselte Daten. Googelt man einige der genannten Politiker, so findet man schnell überall auch private Kontaktdaten. Worum geht es also? Ist es einfach nur der Schock über diesen Datenklau? Handelt es sich um einen Diebstahl, wenn man alles auf die Strasse wirft oder bekommt man auch einen Finderlohn fürs Aufsammeln? Wenn sich alles so verhält, wie es gerade berichtet wird, kann man ja nur dankbar sein, darauf aufmerksam gemacht worden zu sein.

Technische Möglichkeiten

Welche technischen Möglichkeiten hat der „Tatverdächtige“ denn genutzt? Das weiß man natürlich nicht so genau, aber wenn man mal schaut, wie einfach man an einige dieser Daten gelangen kann und dann noch den genannten recht langen Tatzeitraum anschaut, dann könnte er sie theoretisch auch abgeschrieben haben. Wenn wir die Geschichte so glauben, kann also nicht von großer Professionalität die Rede sein. Auch konnte man ihn ja schnell ermitteln, also kein Tor Browser oder ähnliches?

Eigenverantwortung

Eine weitere Frage, die sich mir stellt, ist die nach der Eigenverantwortung der Betroffenen. Schnell werden die Verantwortlichkeiten abgegeben, das BSI hätte etwas tun müssen, x und auch y haben versagt. Das finde ich wie immer schwierig.

Wenn es stimmt, dass es sich nur oder hauptsächlich um Kontaktdaten handelt, könnten die Betroffenen auch einfach einmal selber schauen, welche Daten, sie von sich selbst in welchen Netzwerken mit welchen Zugriffsberechtigungen posten. Auch geben sie ja sicher Visitenkarten aus, wo landen die Daten auf diesen Karten, das sollte man, wenn es einem wichtig ist, auch einmal kritisch hinterfragen.

Auch die Frage, wo man denn Daten aufbewahrt, sollten die Betroffenen sich stellen. In irgendwelchen dubiosen Clouds, iCloud, Dropbox? Versand über Webmailer, die nach eigenen Angaben Inhalte von Mails mitlesen? Ist das Datenklau, wenn man alles freiwillig veröffentlicht?

Wenn es vielelicht nicht nur um Kontaktdaten geht, ist dann auch Verantwortung im Amt und Geheimhaltung von Interna ein Thema? Wie gehe ich mit sensiblen Daten um, die mir als Politiker anvertraut wurden?  Wo speichere ich diese? Übernehme ich Verantwortung für die mir zur Verfügung gestellten Daten? Habe ich meiner Sorgfaltspflicht genügt?

Vor allem handelt es sich ja um private Accounts!

Und dann die Passwörter? Für alles das Selbe, weil es ja so schwierig ist, sich alles zu merken? Also ich weiß nicht, mir scheint es recht einfach, es werden Daten bekannt und ich schieße auf das BSI und andere, statt mich an die eigene Nase zu fassen? Oder verlasse medienwirksam irgendwelche sozialen Netzwerke?

Gut gebrüllt Löwe!

Wenn man schon auf das BSI schießt, könnte man doch einfach einmal die von diesem Amt herausgegebenen BSI-Grundschutzkataloge lesen und schauen, was man davon selber umsetzen möchte. Gerade als Politiker könnte man doch die Möglichkeiten des Staates nutzen, um mit gutem Beispiel voran zu gehen.

Für mich scheint diese Angelegenheit momentan sehr unvollständig und unplausibel. Ich werde beobachten, was daraus wird.

Zum Weiterlesen:

Vergabe von Passwörtern
Die Datenschutzerklärung von google
Facebookdatenanalyse
BSI private User

Wirtschaftsschutztagung am 26.11.2018

Wirtschaftsschutztagung am 26.11.2018

Wirtschaftsschutztagung am 26.11.2018Jedes Jahr lädt der niedersächsische Verfasssungsschutz zu einer Wirtschaftsschutztagung ein. Hier ein wenig Branchengeflüster als Zusammenfassung der Tagung, natürlich wie immer gespickt mit einigen Ergänzungen bzw. Anmerkungen.

Begrüßung

Die größten Schwachstellen sind in Reihenfolge:

  1. Fehlverhalten von Mitarbeitern
  2. Fehlkonfigurationen von Software und Geräten
  3. Nichteinspielen der erforderlichen Sicherheitspatches

Weltweit sind heute ca. 800.000.000 (ja Millionen) Schadprogramme bekannt. Jeden Tag kommen ca. 400.000 neue hinzu. Die Angriffspunkte mehren sich, da jeder immer noch mehr mobile Endgeräte benötigt, wie z.B. Smarthome, Alexa, Kaffeemaschinen etc.

Es stellt sich die Frage, ob wirklich jedes Gerät vernetzt sein muss.

Mehr Geräte – mehr Angriffspotenzial.

Keynote der Wirtschaftsschutztagung von Boris Pistorius

Die Keynote der Wirtschaftsschutztagung wurde gehalten von unserem niedersächsischen Minister für Inneres und Sport Boris Pistorius.

Boris Pistorius wagte einen Ausblick, was uns in 10 Jahren erwartet. In 10 Jahren werden wahrscheinlich alle oder fast alle Desktop PCs durch mobile Endgeräte ersetzt sein. Gespeichert wird in der Cloud. Hier stellt sich die Frage, was ist mit Sicherheit und informationeller Selbstbestimmung?

Nach einer Bitcom Studie haben
68% der Unternehmen Schäden im Bereich Cybercrime zu verzeichnen
19% vermuten, dass ein Angriff stattgefunden hat.

Anmerkung: Natürlich im Zeitalter des Cybercrimes werden Daten meist nicht gestohlen, sondern dupliziert. Manch einer bekommt das gar nicht mit.

Viele Angriffe werden gar nicht erkannt oder erst viel später. Betroffen ist vorrangig der Mittelstand. Der Mittelstand, der Bestandteil von Lieferketten der Industrie ist, ist Einfallstor für Cyber Kriminalität. Über den Mittelstand gelingt der Zugriff auf Großunternehmen.

Unternehmer müssen sich besser vorbereiten. Wichtig sind hier die Themen IT-Infrastruktur, Beratung und auch Vernetzung mit Fachleuten, so wie hier auf der Wirtschaftsschutztagung.

Durch Cybercrime können unser Wohlstand und unsere Sicherheit nachhaltig gefährdet werden. Angriffe auf kritische Infrastrukturen wie Krankenhäuser, öffentlichen Nahverkehr u.ä. können lebenswichtige Versorgungsbereiche bedrohen.

Es wurden bereits Krankenhäuser komplett stillgelegt, z.B. in England und dies betraf auch OP-Säle und andere kritische Bereiche, nicht nur die Verwaltung.

Niemand ist vor Angriffen gefeit, auch nicht Experten. Wir haben hier 95% menschl. Versagen, man muss sich darüber klar werden, dass jeder einzelne Verantwortung trägt. Viele Angriffe funktionieren nach der Kombination digitaler Angriff/menschl. Handeln. Hier greifen 2 Dinge in einander, unzureichendes Sicherheitsverständnis und die mangelnde Einbindung von Mitarbeitern.

Boris Pistorius fordert eine Gewohnheit zur Cyberhygiene.

Dies sei eine gesamtgesellschaftliche Herausforderung. Alle müssen eingebunden werden. Die Privatwirtschaft muss eng mit den Behörden zusammen arbeiten. Die Behörden wollen Ansprechpartner sein.

Blockchain, Bitcoin und Smart Contracts

Zunächst wurden einige Erklärungen geliefert.

Bitcoin werden in Blockchain gespeichert und seien dadurch sicher. Blockchain sind Datencluster aus Blöcken einer bestimmten Einzelgröße von z.B. 1 MB. Hier werden Daten über einen SHA-256 Hash verschlüsselt gespeichert. Ist der Block voll, wird der Hash auf den nächsten Block übertragen, also eine Art Verlinkung, dort werden die weiteren Daten gespeichert. Weil alle Blöcke auf diese Art mit einander verbunden sind, ist diese Art der Speicherung sehr sicher. Durch die Dezentralisierung, im Prinzip kann jeder Blockchain Anbieter werden, gibt es keinen einzelnen Server, der alle Daten zusammenfasst, es handelt sich hier um ein verteiltes Netzwerk. Die Nodes (Einzelsystem) müssen eine Übereinstimmung von 51% haben, ein manipulierter Node wird aus der Kette ausgeschlossen.

Eine kleine Bitcoin-Statistik:

1 Block – 1,02 MB
1 Blockchain – 185 GB
akt. Transaktionen -500.000/Tag
Transaktionszeit – 9 Minuten (mit 3 Bestätigungen)
Median Grunsgebühr – 0,6 USD
Bitcoins sent pro 24 h – 1 Mio BTC + 4,2 Mrd. USD
Marketcap 130 Mrd USD  (Vergleich Gold 700 Mrd)
Die Bitcoin Blockchain umfasst zur Zeit 12-12.000 Nodes.

Anfang der 90-er Jahre war das www ein abstraktes Konzept ohne leicht erkennbaren Anwendungsbereich. So ist es auch mit Blockchain. Trotzdem ließen sich hiermit in Verbindung mit dem Blockchain Konzept zahlreiche sichere Anwendungen abbilden:

  • Führung von Registern, z.B. Handelsregister
  • Speicherung von Patientendaten
  • Direktverkauf von Konsumgütern Künstler – Kunde
  • eStrom Transaktionen
  • ….

Bitcoin ermöglicht virtuelle Transaktionen. Die Eigenschaften von Bargeld und elektronischen Überweisungen werden verbunden. Das Konzept wurde 2008 von Satoshi Nakamoto entwickelt. Der 1. Block wurde am 03.01.2009 angelegt, der erste Verkauf fand am 22.05.2009 statt. In Berlin wurden 2 Pizzen für 10.000 BTC verkauft.

Der Gesamtwert von Bitcoin ist auf 21 Mio begrenzt, dies ist softwaretechnisch vorgegeben und kann nicht geändert werden. Es gibt keine Regulierungsmöglichkeiten. Es wird eine vollkommene interne Transparenz bei möglicher externer Anonymität geboten. Es gibt keine zentralisierten Ausgabestellen. Es gibt keine Zuordnung zu Personen oder Firmen. Der Zugriff erfolgt ausschließlich über Schlüssel.

Es gibt noch ca. 4.000 andere Kryptowährungen.

PApps und Smart Contracts

Hier handelt es sich um dezentralisierte Apps auf etherium Basis. Kleine Programme, die unantastbar und unmanipulierbar sind.

Smart Contracts

Werden verwendet zur Automatisierung von Dienstleistungsprozessen. Entscheidungen fallen vollautomatisiert anhand von Algorithmen.

Beispiel:

Ernteversicherung

Hier kann der Zeitraum eingegeben werden, es werden Wetterdaten für den Zeitraum automatisiert abgerufen, Prämie wird gezahlt oder nicht.

Genauso z.B. Flugausfallversicherungen u.ä. Dies kann zur Verschlankung von Prozessen und zu einer Kostenoptimierung führen.

Real World Cyber: Hintergründe, Ziele und Motivation stattlich gesponserter Angreifer

Hier ging es um Hacking im Regierungsauftrag. Es wurden einige Beispiele und deren Ziele genannt, z.B. Russland, Korea, China, USA

China – Panda

Wollen gerne im Cyberraum autonom sein. Verfügen über eigene IT-Fähigkeiten, haben eine zentrale Toolentwicklung für Angriffswerkzeuge. Ziel ist die Dominanz des Webs.

Es wird u.a. der 5-Jahresplan 2018-2020 verfolgt. „Industry made in China 2025
Es gibt verschiedene Gruppen mit unterschiedlichen Aufträgen.

Zum besseren Verständnis, wie China tickt, wurde der Film „Der tausendköpfige Drache“ empfohlen.

Nord Korea – Chollima

Hier gibt es einen ganz klaren Devisenbeschaffungsauftrag.

Iran – Shamoon

Hier geht es um Öl, Gas, Kampf gegen Israel und nuclearen Vorsprung. In einem Racheakt gegen Saudi Arabien wurde mittels einem Cyber Angriff eine Unzahl von PCs verschrottet. Shamoon gegen Saudi Aramco.

Sie legen auch gerne honeytraps in social media Portalen, um Kontakt mir nützlichen Personen herzustellen.

USA – 5-eyes

Ein Spionagezusammenschluss von Kanada, USA, UK, Neu Seeland, Australien.

Hier ist das Ziel die Hoheit über den Cyberraum.

Es wurden einige interessante Anekdoten gebracht, wer was warum tut und auch wie infantil zuweilen vorgegangen wird.

Alles in allem eine lohnende Wirtschaftsschutztagung, mit und für  Fachpublikum.

digitale Signatur

digitale Signatur, was ist das, wie geht das, wofür brauche ich das?

Früher war die rechtsverbindliche, persönliche Unterschrift auf Dokumenten der Nachweis für die Echtheit, für die Authentizität des Absenders. Das Senden von Fax-Nachrichten ist seit vielen Jahren aus der Mode gekommen, die meisten Dokumente werden ganz einfach an Emails angehängt und versendet. Geht schneller und spart Porto.

In Zeiten, in denen Diebstahl ganz einfach vom Sofa aus zu machen ist, nebenbei läuft noch die Lieblingsserie, machen sich viele Menschen Gedanken darüber, ob die Dokumente eigentlich echt sind, die sie so bekommen. Einen Emailabsender zu fälschen ist mit wenig krimineller Energie und geringem technischem Wissen mit Hilfe von google sehr leicht möglich.

Woher soll der Empfänger denn nun wissen, ob erstens Absender und zweitens Dokument echt und unverändert sind? Hier kommt für rechtlich relevante Dokumente die digitale Signatur ins Spiel.

digitale Signatur – elektronische Signatur

Meint im Prinzip dasselbe. Der juristische Begriff ist allerdings elektronische Signatur. Es gibt verschiedene Sicherheitsstufen der digitalen Signatur, wer das nachlesen möchte, findet es in den folgenden Rechtsschriften:

SignaturGesetz SigG

Verordnung zur elektronischen Signatur SigV

Wie funktioniert das nun technisch?

Die einfache digitale Signatur basiert auf einem Schlüsselpaar. Dem öffentlichen und dem privaten Schlüssel. Der private Schlüssel wird zum Entschlüsseln der Nachricht benötigt, der öffentliche Schlüssel zum Verschlüsseln. Der öffentliche Schlüssel wird in der Regel mit einem sogenannten Hashwert kombiniert, mit dem Ergebnis wird dann die Mail digital unterschrieben, also signiert.

Beispiel: Sie möchten sicherstellen, dass ein Dokument den Empfänger unverändert erreicht.

Senderseite

  • Fügen Sie das Dokument in eine Emailnachricht ein
  • Mithilfe spezieller Software (s.u.)  erzeugen Sie einen Fingerabdruck (Hash-Wert) des Dokumentes.
  • Nun verschlüsseln Sie den Hashwert mit Ihrem privaten Schlüssel
  • Das Ergebnis wird nun zur Signatur Ihrer Email, diese Signatur ist jedesmal anders.

Empfängerseite

  • Der Empfänger vergleicht nun mit Hilfe des öffentlichen Schlüssels den Hashwert Ihrer Nachricht, hiermit kann sichergestellt werden, dass der Inhalt von Ihnen stammt und unverändert ist.

Signatur vs. Verschlüsselung

Weil diese Begriffe oftmals in einen Topf geworfen werden, hier die Unterscheidung. Eine Signatur ist eine authentifizierte Unterschrift, bei einer Verschlüsselung wird der gesamte Inhalt verschlüsselt, so dass er nur mit dem entsprechenden Schlüssel (auch bei der Verschlüsselung wird das Verfahren angewendet) gelesen werden kann. In der Praxis werden oftmals beide Verfahren miteinander kombiniert.

digitale Signatur in der Praxis

In der Praxis wird man die elektronische Signatur in Verbindung mit einem Zertifikat verwenden. Das Zertifikat kann man bei einer Zertifizierungsstelle beantragen, dieses wird dann in ein öffentliches Verzeichnis eingetragen, so daß die echte Identität jederzeit nachvollziehbar ist.

Als Software kann zum Beispiel gpg für Windows verwendet werden, wenn es kostenlos sein soll. Natürlich gibt es jede Menge Anbieter passender Software.

Zertifizierungsstellen

Hier eine Liste der Bundesnetzagentur

Zusätzliche Infos

Hier ein sehr nützlicher Link zum Signaturrecht

Darknet – was ist das denn?

Darknet

Die Medien berichten immer wieder über das sogenannte Darknet. Meistens wird es in Verbindung gebracht mit dem Anwerben von Hackern für dubiose Einbruchsversuche u.ä. Ist das Darknet nun generell etwas Kriminelles, muss ich da rein, soll ich vergessen, dass es das gibt, Fragen über Fragen..

Technisches

Das Darknet ist kurzgesagt, ein Bereich des Internets, sozusagen ein Netz im Netz. Es wurde von Menschen konzipiert, die endlich mal ganz „in Ruhe“ ihren meist unseriösen Geschäften nachgehen wollten. Im Darknet gibt es alles Mögliche:

  • Hacker
  • Waffen
  • Drogen
  • Auftragsmörder
  • es gibt nichts, was es nicht gibt
  • ach, geklaute Kreditkarten, fast hätte ichs vergessen

Und alles bequem vom Sofa aus. Ist natürlich alles nicht ganz ernst gemeint, wer meinen Blog öfter liest, versteht es.

Und wie komme ich nun rein?

Willst Du wirklich dahin? Also, wenn Du das wirklich willst, benötigst Du erstmal einen anderen Browser, den Tor Browser. Wer Harry Potter liest, wird in ihm den Portkey auf die dunkle Seite des Internets erkennen.

Übrigens kann man über den Tor Browser auch unerkannt auf unserer Seite der Macht, ach was, des Internets stöbern. Tor Browser und ein kostenloser VPN-Zugang und niemand findet den Besitzer des Rechners. Es sei denn letzterer stellt sich nun extrem ungeschickt an.

Tor wurde erfunden für unerkanntes Surfen im Netz der unbegrenzten Möglichkeiten.

Ich bin drin und nun?

Das Darknet ist ein Netz im Internet. Deshalb kann man alle erreichbaren Seiten auch von hier aus aufrufen. Die Adressierung für Seiten im Darknet ist allerdings eine andere.

Um im Darknet zu suchen, benötigst Du die Adresse der Suchmaschine Grams. Adressen in diesem Teil des Netz ändern sich aus „Sicherheitsgründen“ des öfteren. Die aktuellen Adressen einschlägiger Anbieter erhält man über die speziellen Foren. Für die meisten dieser Foren benötigt man eine Empfehlung, sonst wird kein Zugang gewährt. Man ist natürlich vorsichtig, uneingeladener Besuch der Polizei oder des Verfassungsschutzes ist meist nicht erwünscht.

Suchmaschine Grams

Darknet GramsKommt Dir bekannt vor? Na, sowas, das look and feel wurde an google angelehnt, so muss man sich gar nicht groß umgewöhnen.

Ich suche mal, wie vorgeschlagen nach Cannabis:

Grams Suche

Und, was fällt sofort auf? Es wird sogleich eine Bezahlmöglichkeit über die Internetwährung BitCoins angeboten. Es gibt ein Ranking und ggf. Warnungen.

Hier ein „typisches“ Angebot:

Darknet - AngebotDen Link und den Verkäufer habe ich herausgenommen 😉

 

 

Hier nochmal die Eingangsfrage “ Ist das Darknet nun generell etwas Kriminelles, muss ich da rein, soll ich vergessen, dass es das gibt, Fragen über Fragen..“

Das entscheidet jeder für sich alleine 😉 Meine Leser sind schliesslich mündige Bürger, oder?

Facebook Konto gehackt?

Wurde Dein Facebook Konto gehackt?

Facebook Hacking ist ein Dauerbrenner, da in meinem Facebook-Freundeskreis in der letzten Zeit mehrere Konten gehackt wurden, dachte ich, ich schreibe mal etwas darüber. Wie kannst Du erkennen, ob Dein Facebook Konto gehackt wurde, wie kannst Du vorbeugen?

Ziel der Hacker ist es immer, über das gehackte Profil an weitere Profile zu bekommen. In vielen Profilen sind Bezahldaten hinterlegt, die kann man dann natürlich auch sehen.

Gehackte Profile kann man so nicht erkennen, sie outen sich aber fast immer durch eine vermehrte Aktivität. Wenn jemand sonst sehr selten mal etwas schreibt, aber plötzlich ständig kryptische Links schickt, dann ist etwas komisch. Genaues Hinsehen und ein gesundes Mißtrauen zahlen sich also wie immer aus.

Hier 2 Beispiele, wie sich gehackte Profile momentan oft verhalten (natürlich gibt es unzählige Möglichkeiten):

Es wird in die Chroniken von Freunden des Profils gepostet und alle Freunde markiert. Im Posting gibt es dann meist einen Link mit kryptischem Namen, ein Video, dass das Profilbild des gehackten Profils, also Eure FB Freundin oder Freund zeigt.

Da sollte die dunkel gelbe Warnleuchte angehen, wer macht sich die Mühe und markiert in einem Posting 100 und mehr Freunde. Vor allem, wenn es evtl. nur eine Bekannte/ein Bekannter ist, mit dem man selten oder gar nichts privat unternimmt.

Per PN kommt ein Link auf eine Webseite mit vermeintlicher Werbung. Vor kurzem erhielt ich sowas von einer ganz entfernten Bekannten, und es war eine Werbung für RayBan Sonnenbrillen. Da war gleich die Überlegung, hat sie jetzt einen Shop aufgemacht, nein hat sie natürlich nicht, ist das ein gängiger Weg für Werbung, nein, auch nicht.

Da ich Werbung fast nie anklicke, es sei denn, es sind die Firmen meiner Freunde direkt, habe ich sie also gelöscht und gut. Diese PN kam dann an demselben Tag dreimal, da habe ich die Freundin dann kontaktiert und gefragt, was das soll, das hatten andere dann auch bereits getan, sie konnte das Konto retten und gut.

Menschen, deren Profil gehackt wurde, sollten, wenn alles wieder bereinigt ist, in ihrem Profil posten, was genau sich zugetragen hat und wie sie das Konto gerettet haben. Falsche Scham ist irgendwie doof, durch diese Information kann man andere User bewahren auf so etwas hereinzufallen. O.g. FB Freundin, die mit den Sonnenbrillen, hatte ich auch darum gebeten, hat sie leider nicht gemacht, schade.

Was also tun, wenn Dein Facebook Konto gehackt wurde?

Wenn Du glaubst, Dein Facebook Konto wurde gehackt, solltest Du die folgenden Überprüfungen/Änderungen machen:

  • sofort ein neues Passwort vergeben, Tipps zur Komplexität hier
  • nachsehen, welche Emailadressen mit Deinem Facebook-Konto verbunden sind
  • Ggf. macht es auch Sinn, den Codegenerator zu aktivieren
  • Ich würde auch empfehlen, Facebook direkt zu benachrichtigen

Wenn alles nichts hilft, deaktiviere Dein Konto (löschen geht ja leider nicht) und lege Dir ein neues an.

Wie kannst Du vermeiden, dass Dich jemand hackt?

Um zu vermeiden, dass Dein Facebook Konto gehackt wird, gelten eigentlich dieselben Regeln wie immer:

  • Vorsicht ist die Mutter der Porzellankiste
  • Auf alle Geräte, auch aufs Handy, gehört ein Virenscanner mit Phishing-Schutz, der natürlich aktuell gehalten wird
  • Jede Zusendung genau ansehen, sieht sie irgendwie merkwürdig aus, löschen, blockieren, was auch immer, aber nicht lesen, keine Links anklicken
  • Vorsichtig mit Kennwörtern, natürlich niemandem verraten und öfter mal ändern
  • Keine Kennwörter speichern, lieber manuell eingeben
  • bestätige nur Freundschaftsanfragen von Leuten, die Du kennst, wenn plötzlich ganz viele kommen, wurde evtl. ein Konto eines Deiner FB Freunde gehackt
  • Die Bestätigungsmitteilung für Markierungen von Bildern mit Deinem Namen einstellen
  • Wenn der Verdacht besteht, dass Dein Konto gehackt wurde, sofort das Kennwort ändern und in der darauffolgenden Meldung alle mobilen Geräte automatisch abmelden lassen, weitere Infos s. oben

Wenn Du Postings/PNs … von gehackten Konten bekommst

  • Kontaktiere die Person und frag nach, der Betroffene bekommt es meist als letztes mit
  • Wenn wie eben beschrieben, viele Empfänger markiert sind, akzeptiere die Markierung nicht, kennzeichne es als Spam und blockiere den Absender erstmal
  • Kommen merkwürdige Werbeangebote, genauso

Hier ein paar sinnvolle Einstellungen

Findest Du in Deinem Facebook-Profil (unter Einstellungen):

Hier kannst Du sehen, welche Mailadresse(n) mit Deinem Konto verbunden sind. Stehen da Adressen, die Du nicht kennst, löschen und ggf. die Adressen an Facebook schicken.

Facebook Konto gehackt

Weiterhin kannst Du einstellen, dass Du benachrichtigt wirst, wenn eine Anmeldung von unbekannten Geräten erfolgt.

Facebook Konto gehackt

Regelmäßiges Ändern des Passwortes ist dringend zu empfehlen, auch eine gewisse Passwortkomplexität schützt vor unerwünschten Anmeldeversuchen

Facebook Konto gehackt

Hier kann man einstellen, wer in der eigenen Chronik posten darf und dass man evtl. Markierungen der eigenen Person bestätigen muss.

Facebook Konto gehackt

Nicht zuletzt können unerwünschte/aufdringliche User blockiert werden

Facebook Konto gehackt

Sorglosigkeit und blindes Vertrauen haben im Internet nichts zu suchen. Den Betreibern von Social Media Portalen blind zu vertrauen, hilft auch nichts, man muss schon selbst für sich sorgen.

Top 10 der grössten Internetbedrohungen

Top 10 der grössten Internetbedrohungen

Eine aktuelle Bitkom Studio hat die Top 10 der grössten Internetbedrohungen untersucht.  Interessant ist, dass Spam mittlerweile an letzter Stelle auftaucht und die ersten Plätze durch ausgeklügelte Techniken belegt sind, die vom normalen PC-Anwender schwer bis gar nicht erkannt werden. Wie immer, ich weiß, ich wiederhole mich, hilft auch hier wieder nur aktuelle Software zum Schutz des Rechners, ein aufmerksames Auge und gesundes Misstrauen.

Hier eine Auswahl aus den Top 10 der grössten Internetbedrohungen

Platz 1 wird belegt durch Drive-by-Downloads

Hier lädt man sich durch den Besuch auf manipulierten Webseiten Schadsoftware herunter. Leider kann man mitunter schlecht erkennen, ob die Seite manipuliert ist, insbesondere, wenn man sie das erste Mal besucht.

  • Abhilfe schafft hier nur, alle Browsersicherheitsupdates auch einzuspielen

Auf Platz 2 sind Trojaner und Würmer, auf Platz 4 schon die Virenbaukästen

Dies möchte ich beides zusammen betrachten, zumal Trojaner und Würmer auch Viren sind. Die Gefahr bei den Virenbaukästen ist, man kann sie sich recht einfach herunterladen und dann selber Schadsoftware zusammenbauen. Das ist so einfach, dass man kein Programmierer sein muss, um das hinzubekommen, also kann das im Prinzip jeder. Natürlich ist es so, wenn heute einer einen Virus baut, dann kennt mein Virenscanner den nicht zeitgleich. Alle Hersteller von ernstzunehmenden Virenscannern sind aber sehr interessiert daran, dass Ihre Programme alle aktuellen Schädlinge finden und scannen deshalb das Netz ständig nach neuen Viren. Das ist auch der Grund dafür, dass gute Virenscanner gefühlt jeden Tag eine neue Signaturdatei bekommen.

  • Die Abhilfe kann also nur sein, den Virenscanner aktuell zu halten.

Platz 7 Phishing und Platz 9 Scareware

Rückt immer weiter vor, hier geht es um das Erlangen von Zugangsdaten und/oder Erpressung auf immer neuen Wegen. Hier hilft recht zuverlässig der gesunde Menschenverstand. Banken und Behörden fragen nicht nach Zugangsdaten, ich gebe auch meine Zugangsdaten an niemanden. Bei Behörden kann man sich auch nicht durch die Zahlung von Geldbeträgen freikaufen. Kommt mir der Absender oder Betreff komisch vor, lösche ich die Mail sofort und sehe sie mir nicht noch lange an. Bekomme ich vermeintlich von einer Bundesbehörde eine Mail mit einem Bußgeldbetreff bin ich auch skeptisch, normalerweise kommt sowas mit der Post, woher haben die überhaupt meine Mailadresse, also sofort löschen.

Im Ranking sind natürlich auch wieder Botnetze, ein Dauerbrenner; Verschlüsselungstrojaner werden nicht explizit genannt, was mich wundert, aber wahrscheinlich fallen sie unter den Rankingpunkt Trojaner.

  • Hier helfen regelmäßige Datensicherungen auf externen Geräten, um im Falle einer Verschlüsselung, die Daten zurücksichern zu können
  • Virenscanner und Firewall aktuell halten
  • Auf Erpressungen niemals eingehen

 

Wer die gesamte Auswertung lesen möchte, findet sie hier

Urlaub und Socialmedia

Einbruchsschutz im Urlaub

Ach, endlich Urlaub, das wurde ja auch mal Zeit. Ganz sorglos werde ich mal allen

meinen Lieben in sämtlichen sozialen Netzwerken erzählen, dass ich endlich Urlaub habe und dass wir morgen endlich für 3 Wochen mit Sack und Pack wegfahren werden. Oma Lotte giesst alle 2 Tage die Blumen, den Hund nehmen wir mit.

Danke für die genauen Informationen freut sich der moderne, IT-affine Einbrecher, das sind ja mal wieder tolle Voraussetzungen. Meine Liste interessanter Objekte ist zwar schon lang, aber diese Steilvorlage bekomme ich noch unter. Ich fahre da mal mit dem Fahrrad vorbei und schaue mir die Gegend an.

Ach toll, die haben smart home oder wie das immer so schön heisst, die Jalousien fahren immer im 17 Uhr herunter, das ist ja klasse. Und dann lassen sie mehrmals am Tag das Licht an- und ausschalten, lustig.

Auch von unterwegs poste ich super Strandbilder, „Kamel“bilder etc. jeder weiß, dass ich noch weg bin, wie praktisch.

So oder so ähnlich ereignet es sich dieser Tage in großer Zahl in unserem schönen Land. Und dann wundern sich die Menschen noch, dass sie am Ende ihres Urlaubes ein durchwühltes Haus vorfinden. Was kann man also tun? Hier ein paar sehr einfache Verhaltensregeln für den Urlaub oder auch für das tägl. Leben:

  • Abwesenheit nie, wirklich niemals irgendwo öffentlich ankündigen, wenn das Haus oder die Wohnung dann leer ist.
  • Urlaubsbilder kann man auch nach dem Urlaub noch posten
  • Ortungsdienste ausstellen, wenn man dann während des Urlaubes irgendwas in sozialen Netzwerken postet, muss da nicht stehen, dass man gerade auf Malle ist und dann auch noch genau mit welchen Personen.
  • Smarthome bietet keine Sicherheit, man gibt nur die Verantwortung ab, an jemanden, der sie nicht übernimmt.
  • Wenn man sowas doch benutzt, keine App dafür freischalten und wenn doch, während des Urlaubes ausschalten, diese Apps sind zumeist unsicher. Das kann man mit gesundem Menschenverstand erschlagen, die die smarthome anbieten, sind zumeist Energieversorger oder Leitungsprovider, Software und/oder IT-Sicherheit sind nicht deren Kernkompetenzen, die bieten das als Kundenbindungsinstrument an.
  • Regelmäßig alle PW ändern, smarthome funktioniert meist auch über WLAN, bitte den Router so einstellen, dass er die Verbindung nur für bestimmte Geräte (MAC-Adresse) akzeptiert.
  • Auch die Passphrase eines Routers (steht immer so schön auf dem Aufkleber des Gerätes) kann man ändern, ebenso wie den Netzwerknamen. Kann man auch mehrmals im Jahr wiederholen, tut gar nicht weh.
  • Man kann sein Haus sehr einfach zusätzlich mit Videoaufnahmen sichern, am besten von innen und am besten sichert man irgendwo in der Cloud, bin ich ja sonst nicht so ein Fan davon, aber in diesem Fall können die Aufnahmen nicht durch Vandalismus vernichtet werden. Diese Kameras kosten kleines Geld und jeder Laie kann sie installieren.

Auch das BSI (Bundesamt für IT-Sicherheit) macht sich Gedanken über sorglose Urlauber und gibt noch ein paar weiterführende Tipps. Kann man hier finden.

Für Firmen bieten wir Sicherheitsberatungen an, sprechen Sie uns an.

Widerspruch gegen Facebook AGBs ist sinnlos

Der Widerspruch gegen Facebook AGBs ist sinnlos

Leider scheint es so zu sein, dass Menschen immer weniger nachdenken. Die Verantwortung wird bei anderen gesucht. Irgendjemand, meistens mehr oder weniger seriöse Medien berichten über AGBs irgendeines sozialen Netzwerkes, z.B. Facebook und die vermeintlichen Widersprüche und die damit verbundene Empörung häufen sich. Oftmals drängt sich der Eindruck auf, nur wenige dieser Empörten hätten die betreffenden Informationen überprüft. Auf jeden Fall: Ein Widerspruch gegen Facebook AGBs ist sinnlos.

Mit ein wenig Nachdenken, könnte man auch selber drauf kommen

Das eigene Profil ist nicht der Mittelpunkt des Universums und man kann nicht davon ausgehen, dass Facebook Mitarbeiter abstellt, jedes posting in jedem persönlichen Profil zu lesen und ggf. darauf zu reagieren. Irgendwie klar, oder?

Urheberrechte

Die Urheberrechte, z.B. an eigenen Bildern können von Facebook nicht übernommen werden, weil eine Übernahme gesetzlich in Deutschland nicht möglich ist. Das Urheberrecht ist in Deutschland im Urheberrechtsgesetz (kurz: UrhG) geregelt, es handelt sich um ein Bundesgesetz. Möglich ist die Vergabe einer Nutzungslizenz, wie man sie z.B. auch bei Bilderdiensten erwirbt, wenn man dort Bildrechte kauft. Mit der Teilnahme an Facebook, also der Eröffnung eines Kontos stimmt man den Facebook AGBs zu und räumt Facebook ggf. eine Nutzungslizenz ein.

Widerspruch gegen AGBs

Ein Widerspruch der AGBs ist nach Expertenmeinung so gar nicht möglich. Mit der Nutzung stimme ich zu, wenn es mir nicht passt, lösche ich mein Profil und nutze diesen Dienst erst gar nicht. Wie sollte das auch möglich sein, soll Facebook für jeden User eigene AGBs entwickeln? Fakt ist, Passagen in AGBs, egal von wem, können unwirksam sein, wenn sie Bundesgesetzen der Bundesrepublik Deutschland widersprechen. Es gilt nach wie vor: Höheres Recht gilt niedrigeres Recht. Weiterhin ist hier zu Bedenken, dass Facebook zwar international tätig ist, aber natürlich in den  USA ansässig.

Widersprüche

Weiterhin sollte man mal überlegen, wie man generell Widerspruch einlegt, z.B. gegen Bescheide von Behörden u.ä. In meiner Welt sind diese immer in Briefform, persönlich und handschriftlich unterschrieben und werden per Einschreiben verschickt. Also nicht in irgendeinem Gästebuch der betreffenden Behörde, das vergleichbar wäre mit einem Facebookposting.

Was nun also tun

Es hilft das, was immer hilft, selber Verantwortung übernehmen. Die AGBs vorher lesen und sich dann ggf. bewusst gegen eine Nutzung des Dienstes entscheiden, darum nutze ich z.B. kein WhatsAPP. Ändern sich die AGBs in eine Richtung, die ich nicht vertreten kann, melde ich mich ab.

Alle sind da, alle machen das, sind keine Argumente für mündige Bürger, jeder ist selbst verantwortlich.

Hier könnte man die Stand heute aktuellen Nutzungsbedingungen nachlesen.

Schwachstellenampel des BSI

Schwachstellenampel des BSI

Die Schwachstellenampel des BSI ist meines Erachtens eine gute Sache und kann als Entscheidungshilfe für den Einsatz gängiger Softwareprodukte namhafter Hersteller von großem Nutzen sein.

Die Schwachstellenampel dient dazu, Schwachstellen aufzuzeigen, zu bewerten, ob kritisch oder nicht und als Folge davon, die Anzahl geschlossener also fertig bearbeiteter Schwachstellen ebenfalls darzustellen.

Schwachstellenampel
quelle https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_028.pdf;jsessionid=BE366EF831E6711BBD22BB4634B2FBAE.2_cid369?__blob=publicationFile&v=3

Hier ein Beispiel eines fiktiven Herstellers aus der BSI-eigenen Infobroschüre.

Zu Produkt 1: Es gab also im Abfragezeitraum 23 Schwachstellen, von denen 3 als kritisch angesehen wurden. Diese Schwachstellen wurden alle behoben, deshalb werden sie im Punkt geschlossene Schwachstellen aufgeführt. Für dieses Produkt gibt es allerdings eine aktuell offene Schwachstelle, die auch als kritisch angesehen wird. Die BSI-Schwachstellenampel bewertet Produkt 1 mit rot.

Die ganze Tabelle bezieht sich auf einen Hersteller und listet unterschiedliche Produkte auf. Die Gesamtbewertung aller offenen Schwachstellen aller Softwareprodukte dieses Herstellers bewertet das BSI somit mit rot.

Schwachstellenampel des BSI für welche Produkte

Natürlich bewertet die Schwachstellenampel des BSI nicht die Software von der Kellerklitsche um die Ecke. Hier werden verbreitete Softwareprodukte bewertet, die viele Anwender verwenden und deren Sicherheitslücken ebenfalls vielen Anwendern zum Verhängnis werden könnten.

Folgende Hersteller mit folgenden Produkten werden zum Zeitpunkt dieses Artikels genauer unter die Lupe genommen:

Schwachstellenampel Hersteller
Quelle: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_028.pdf;jsessionid=BE366EF831E6711BBD22BB4634B2FBAE.2_cid369?__blob=publicationFile&v=3

Der Auswertezeitraum der Schwachstellenampel wird im Kopf der Seite bekannt gegeben. Er legt das maximale Alter der geschlossenen Schwachstellen fest. Vor diesem Zeitraum geschlossene Schwachstellen werden nicht berücksichtigt.

Nicht zuletzt übt diese Bewertung des BSI auch Druck auf die Hersteller aus, keiner der Marktführer möchte hier gerne schlecht bewertet werden bzw. dauerhaft mit nicht geschlossenen Schwachstellen auftauchen.

Hier zur Seite des BSI

Auch innerhalb der kostenlosen APP securityNews erhältlich.

Verschlüsselungstrojaner über Dropbox

Verschlüsselungstrojaner über Dropbox

Das Niedersächsische Ministerium für Inneres und Sport informiert in Ihrer Wirtschaftsschutzinfo von Februar über eine neue Strategie bei der Verteilung von Schadsoftware.

Hier geht es um die Einsendung von Bewerbungen per Email. Der vermeintliche Bewerber schickt personifiziert eine Bewerbung an die Personalabteilung des suchenden Unternehmens. Die Bewerbungsunterlagen werden per Dropbox bereitgestellt.

Heruntergeladen werden dann aber nicht die erwarteten Unterlagen, sondern eine Schadsoftware, der Verschlüsselungstrojaner. Diese installiert sich im Hintergrund und startet sich dann selber.

Was ist daran neu?
Trojaner per Download zu erhalten ist nicht neu. Bisher ist Dropbox mit dieser Verteilungsform noch nicht in Verbindung gebracht worden, wenn gleich sie naheliegt. Das Neue und Gefährliche daran ist, es werden echte Stellenangebote von Firmen mit vermeintlichen Zusendungen von Bewerbungen beantwortet. Die Personalabteilungen denken sich nichts dabei und möchten natürlich die Bewerbungen lesen.

Welcher Schaden entsteht?
Die Schadsoftware verschlüsselt Daten auf der Festplatte des Anwenders. Nicht auszudenken, wenn sensible Personaldaten auch noch verschickt würden. Wenn die Virenschutzprogramme anschlagen, sind meistens bereits Daten verschlüsselt worden. Der Trojaner kann dann evtl. entfernt werden, die verschlüsselten Dateien bleiben aber verschlüsselt. Wohl dem, der an einem anderen Ort Sicherheitskopien seiner Daten hat.

Diese Art von Schadsoftware nennt sich Verschlüsselungstrojaner.

Vorbeugen
Abgesehen davon, dass man seinen Rechner natürlich aktuell hält, die nötigen Updates installiert und regelmäßige Backups anlegt, würde ich empfehlen, keine Zusendung von Dateien über Dropbox von Empfängern zu akzeptieren, die man nicht kennt. Ich würde sogar soweit gehen, nur Daten von Dropboxspaces herunterzuladen, die vorher abgesprochen wurden.

Heilen
Eine Heilung ist nur bedingt in Sicht. Sollten Sie den Verschlüsselungstrojanern TeslaCryt oder AlphaCrypt zum Opfer gefallen sein, kann Ihnen u.U. das kostenlose Programm TeslaDecoder helfen. Dieses entschlüsselt Dateien mit den Endungen .aaa, .abc, .ccc, .ecc, .exx, .vvv, .xyz und .zzz. Für andere Verschlüsselungstrojaner scheint es momentan noch keine echte Abhilfe zu geben.

Weitere Infos auf Heise.de