Erpressung in neuer Dimension

Illustration: ocv absmeier

Die Diskussion über Datensicherheit im Zusammenhang mit der Datenschutz Grundverordnung wird in Deutschland und anderen Teilen der Welt gerade mit viel Verve geführt, da überrascht Bloomberg mit einer Nachricht: Offensichtlich hat die Firma Uber Technologies Hacker dafür bezahlt, die von ihnen gestohlenen Daten personenbezogener Art nicht zu veröffentlichen. Das Unternehmen selbst bestätigt, dass etwa 50 Millionen Uber-Nutzerkonten weltweit vom Diebstahl betroffen und dass es sich bei den »verlorenen« Daten um solche wie Namen, Adressen und E-Mailadressen handelt. Ebenfalls immer noch typische Abwiegelung eines betroffenen Unternehmens: Keine Social Security-Nummern, Kreditkarteninformationen oder Standortdaten wurden gestohlen. Ist der Vorfall dann also harmlos?

In den USA bricht gerade ein Sturm der Entrüstung über Uber herein, weil die Verantwortlichen lieber 100.000 US-Dollar an Kriminelle zahlten, als ihrer gesetzlichen Verpflichtung nachzukommen und die Betroffenen zu informieren.

Trend Micro warnt schon seit Monaten davor, dass die Methode, Unternehmen mit gestohlenen Daten zu erpressen, noch zunehmen werde, denn diese personenbezogenen Daten legen einiges an Wert zu, wenn sie unter die ab Mai 20018 gültigen Bestimmungen der Datenschutz-Grundverordnung fallen. Ab dann geht es nämlich nicht »nur« um den Imageverlust, sondern auch um eine gewaltige Strafe, im Falle von Uber wohl um die 260.000.000 US-Dollar (4 % vom weltweiten Jahresumsatz). Das bietet Hackern andere Ansatzmöglichkeiten der Erpressung, und Unternehmen werden sich der bohrenden Frage stellen müssen, ob die Daten tatsächlich in der von Hackern behaupteten Größenordnung entwendet wurden.

Schutz nach »Stand der Technik«

Als Sicherheitsunternehmen kann Trend Micro nur wiederholt darauf hinweisen, dass es von essenzieller Bedeutung ist, sich nach »Stand der Technik« zu schützen. Dies sollte für Unternehmen eigentlich keine Herausforderung darstellen, sollte man annehmen. Allerdings wurden bislang vielfach nur gesetzliche oder branchenspezifische Mindestanforderungen umgesetzt, weshalb viele moderne Sicherheitsprobleme nicht gelöst sind. In den meisten Fällen wissen das die IT-Sicherheitsverantwortlichen, haben aber keine Berechnungsgrundlage, um nachzuweisen, wie wahrscheinlich es ist, dass beispielsweise ein Angriff zum Zweck des Datendiebstahls im eigenen Unternehmen von Erfolg gekrönt wird. Häufig mangelt es an den nötigen Werkzeugen oder sogar am Know-how. Dadurch sind die erforderlichen Budgets nicht vorhanden, und bestimmte Bereiche des Managements schauen bewusst weg nach dem Motto »bislang ist ja nichts passiert, also kann es nicht so schlimm sein«. All diesen lässt sich nur raten, sich den Fall Uber genau anzusehen, um zumindest einen Eindruck zu erhalten, wie eine Gefährdung tatsächlich aussehen kann. Nichts ist unangenehmer, als von einem Hacker kontaktiert zu werden und nicht einmal nachvollziehen zu können, ob die Daten tatsächlich »verloren« sind, geschweige denn das Ausmaß des möglichen Verlusts einzuschätzen.

Am 28.05.2018 wird die Datenschutz-Grundverordnung »scharf geschaltet«. Danach werden solche Erpressungsversuche sicherlich zunehmen. Auch die geforderten Summen werden wesentlich über die hier erwähnten 100.000 US-Dollar hinausgehen. Der Schutz vor Datendiebstahl ist kein Hexenwerk sondern »Stand der Technik«. Allerdings erwartet der Gesetzgeber von den Unternehmen, dass sie sich zumindest überlegen, wie dieser jeweils aussehen kann, und dass dann auch die entsprechenden Schritte unternommen werden.

Wir können nur empfehlen, dies möglichst bald in Angriff zu nehmen!

Richard Werner, Business Consultant bei Trend Micro

 


 

 

Der Fahrdienstleister Uber war von einem massiven Hackerangriff und Datenverlust betroffen, bei dem die Daten von 57 Millionen Fahrern und Nutzern gestohlen wurden.

Was sollten Nutzer grundsätzlich beachten, wenn ihre Identität gestohlen oder sensible Daten in Umlauf gebracht werden? Stefan Kühn, Director Consumer, Central Region von Norton by Symantec hat dazu untenstehende Tipps zusammengestellt.

 

  • Ändern Sie Ihren Nutzernamen und Ihre Passwörter für Onlinekonten. Verwenden Sie starke und einzigartige Passwörter für Computer, IoT-Geräte, WLAN-Netzwerke und Onlinezugänge. Verlassen Sie sich nicht auf Standardpasswörter wie »123456« oder »Passwort«. Erstellen Sie komplexe Passwörter, die schwierig zu erraten sind, und ändern Sie diese regelmäßig. Außerdem sollten Sie unterschiedliche Nutzernamen und Passwörter für jeden Online-Account nutzen. Wenn die Zugangsdaten zu einem Account verloren gehen, erhalten Hacker keinen Zugang zu weiteren Nutzerkonten mit denselben Daten.
  • Bei allen E-Mails, die (vorgeben) mit einer Datenpanne zu tun zu haben, ist äußerste Vorsicht geboten. Denn häufig gibt es im Zusammenhang mit spektakulären Datenpannen vermehrt Phishing-Versuche von Cyberkriminellen.
  • Erhöhte Achtsamkeit ist auch bei Websites ratsam, die bei einer Datenpanne einen Check anbieten, ob die eigenen Daten betroffen sind. Unseriöse Anbieter könnten die übermittelten Informationen nutzen, um Nutzer zu ermitteln, die sich Sorgen um ihre Daten machen und versuchen, diese zu erpressen. Prüfen Sie deshalb mit frei zugänglichen Diensten wie Norton Safe Web, ob der jeweilige Anbieter seriös ist.
  • Gehen Sie unter keinen Umständen auf Angebote ein, ihre Daten aus den geleakten Daten entfernen zu lassen. Das ist schlicht nicht möglich. Denn nach einer Datenpanne sind Informationen breit zugänglich. Zudem befinden sich in der Regel binnen kürzester Zeit unzählige Kopien im Umlauf.
  • Beobachten Sie Ihre Bank-Accounts, Kontoauszüge etc. genau. Nutzen Sie die »Activity Alerts« wie eine Kontoübersicht der Banken, Finanzinstitute etc. bei denen Sie Kunde sind. Bei Hinweisen auf ungewöhnliche Kontobewegungen sollten Sie sich umgehend mit der jeweiligen Bank in Verbindung setzen.

 

Außerdem finden Sie einen zum Thema passenden englischsprachigen Blogpost unter folgendem Link: https://us.norton.com/internetsecurity-privacy-ridesharing-privacy-ride.html.

 


 

Passwörter regelmäßig ändern – Tipps für starken Zugangsschutz

illu (c) aa passwort

Aus Anlass des »Ändere dein Passwort«-Tags am Montag, 1. Februar, hat das Hasso-Plattner-Institut (HPI) die Bürger an wichtige Regeln erinnert, die bei der Wahl starker Passwörter zu beachten sind. Rund 30 Prozent der Internetnutzer suchten sich für den Schutz ihres Zugangs nur eine Folge von sechs oder weniger Zeichen aus, sagte Christoph Meinel, Professor für Internet-Technologien und -Systeme und Direktor des Potsdamer Instituts. Das reiche aber längst nicht aus.

Laut Studien griffen 60 Prozent der Computeranwender beim Erstellen von Passwörtern lediglich auf eine sehr begrenzte Auswahl von Buchstaben und Zahlen zurück, so der Wissenschaftler. Das weltweit am meisten verwendete Passwort ist nach seinen Worten leider immer noch die Ziffernfolge »123456«. Auf den Plätzen zwei und drei rangierten »123456789« und »12345678«. Auf Platz vier folge »password«, auf Platz fünf die Tastenfolge »qwerty«.

»Hacker können einen solch schwachen Zugangsschutz mit automatisierten Methoden innerhalb weniger Sekunden oder Minuten knacken«, berichtete Meinel. Aktuelle Passwort-Crackprogramme könnten in einer Sekunde online etwa 1.500 verschieden Kombinationen durchprobieren.

Der Potsdamer Informatikwissenschaftler beklagte, dass sich die Passwort-Praxis in den vergangenen beiden Jahrzehnten kaum verbessert habe: »Nach wie vor wählt rund die Hälfte der Internetnutzer dasselbe oder ein ähnliches Passwort für sämtliche Seiten, die ein Log-in erfordern«.

Beliebt seien leider kurze und einfache Begriffe – selbst für Zugänge zu sehr privaten Daten und Informationen, kritisierte Meinel. »Weltweit finden sich unter den Top 100 in den verschiedenen Sprachen die gleichen Tastatursequenzen, Liebesbekundungen, Kosenamen und Vornamen sowie Begrüßungsformeln und die jeweilige Schreibweise des Begriffs Passwort«, sagte Meinel.

Hier ein internationaler Überblick über häufig verbreitete, aber für automatisierte Passwort-Cracker leicht zu knackende Passwörter:

– Tastatursequenzen: qwerty (englisch)/qwertz (deutsch)/azerty (französisch), qwertyuiop, 1q2w3e4r, asdf – Liebesbekundungen/Kosenamen: iloveyou, love, mylove, (englisch), jetaime, mamour (französisch), sunshine, liebling – »Passwort« als Passwort: password, letmein (englisch), Passwort (deutsch), motdepasse (französisch), parole (russisch) – Begrüßungsfloskeln: hallo (deutsch), hello (englisch), bonjour (französisch) – Häufige Vornamen: daniel, michael, charlie, jessica, susanne, peter, jennifer – Eigene E-Mail-Adresse oder Nutzername

In der Ausbildung bringt das Institut seinen Studierenden bei, konsequent fünf Grundregeln für sichere, starke Passwörter zu beachten:

  1. Niemals den Nutzernamen, den tatsächlichen Namen, das Geburtsdatum oder andere Informationen, die mit der eigenen Person oder dem genutzten Konto zusammenhängen, als Passwort verwenden
  2. Begriffe vermeiden, die aus einem Wörterbuch stammen (könnten)
  3. Mindestens vier Arten von Schreibweisen verwenden, also groß/klein, Buchstaben, Nummern und Sonderzeichen wie !@# %$*~;.
  4. Dem Passwort eine Länge von mindestens acht Zeichen geben
  5. Niemals dasselbe Passwort für alle Konten verwenden.

Um ein Passwort zu finden, dass man sich leicht merken kann, rät Internetprofessor Meinel, sich einen Satz auszudenken, der Wörter, Zahlen und Zeichensetzung enthält. So wird zum Beispiel aus dem Merksatz »Meistens gehe ich abends um 22:30 Uhr zu Bett!« das Passwort »Mgiau22:30UzB!«. Nehme man aus dem Merksatz den ersten Buchstaben eines jeden Worts, die Zahl und das Satzzeichen und schreibe dies hintereinander auf, ergebe sich ein sehr sicheres Passwort, an das man sich so lange leicht erinnern könne, bis man es schließlich auswendig beherrsche, betont Meinel. Wenn man für verschiedene Konten verschiedene Passwörter nutze, könne man sich ruhig schriftliche Notizen machen und diese ins Portemonnaie stecken. »Aber statt des Passworts sollte man den Merksatz aufschreiben oder – noch besser – einen Hinweis, der an den Merksatz erinnert«, rät der Informatiker.

Onlinekurs zur Internetsicherheit lehrt Details

Wie man sich sicher im Internet bewegen und dort seine Privatsphäre schützen kann, zeigt auch ein neuer Onlinekurs des Hasso-Plattner-Instituts (HPI). Genau einen Tag vor dem »Safer Internet Day« startet der kostenlose Kurs am 8. Februar auf der interaktiven Bildungsplattform openHPI. Den sechswöchigen MOOC (Massive Open Online Course) zum Thema »Sicherheit im Internet« leitet HPI-Direktor Prof. Christoph Meinel. Anmelden kann man sich unter https://open.hpi.de/courses/intsec2016.

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.

 

Erhebliches Sicherheitsrisiko: Studie zur Passwort-Sicherheit bei Webportalen

Internetnutzung: Jeder Vierte ändert seine Passwörter nie

Der ungeliebte und schludrige Umgang mit Passwörtern

Jeder Zweite teilt Passwörter mit Kollegen und Dienstleistern

Wenn Passwörter zur Schwachstelle werden

Fünf Tipps: Passwörter sind wie Unterwäsche

Stress mit der Passwort-Flut