News | IT-Security | Kommentar

Unbefugte Veröffentlichung von persönlichen Daten und Dokumenten im Internet

Illustration: Absmeier

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Anfang Dezember 2018 von einem Mitglied des deutschen Bundestages darüber informiert worden, dass dieser fragwürdige Bewegungen auf privaten und personalisierten E-Mail- und Social-Media-Accounts festgestellt habe. Das BSI hat diesen Fall sehr ernst genommen und ihn in das Nationale Cyber-Abwehrzentrum eingebracht. Zu diesem Zeitpunkt gingen alle Beteiligten von einem Einzelfall aus.

 

Das BSI hat dem betroffenen MdB Unterstützung angeboten und war mit einem Mobile Incident Response Team vor Ort. Von einer geplanten oder getätigten Veröffentlichung der gestohlenen Informationen oder einem Zusammenhang mit den durch den Twitter-Account »G0d« (@_0rbit) veröffentlichten Daten hatte das BSI bis zur Nacht vom 3. auf den 4. Januar 2019 keine Kenntnis. Erst durch das Bekanntwerden der Veröffentlichung der Datensätze über den Twitter-Account »G0d« am 3. Januar 2019, konnte das BSI in weiterer Analyse am 4. Januar 2019 diesen und vier weitere Fälle, die dem BSI im Verlauf des Jahres 2018 bekannt geworden sind, in diesen Zusammenhang stellen.

 

Anfang Dezember 2018 war in keiner Weise absehbar, dass es weitere Fälle gegeben hat. Ein Zusammenhang der oben genannten Einzelfälle konnte erst im Nachhinein durch die Analyse der Gesamtheit der aktuell im ganzen veröffentlichten Datensätze festgestellt werden.

 

Nach derzeitigem Erkenntnisstand handelt es sich überwiegend um Angriffe auf private und persönliche Accounts der Betroffenen. Das BSI ist zuständig für den operativen Schutz der Regierungsnetze. Für die Absicherung parteilicher oder privater Kommunikation von Mandatsträgern kann das BSI nur beratend und auf Anfrage unterstützend tätig werden.

 

www.bsi.bund.de

 

 

Deutsche Politiker und Prominente massiv gehackt

Illustration: Absmeier

»Das Ausmaß und die Schwere dieses politischen Hackings ist beispiellos. Es geht nicht nur darum, dass geheime Telefonnummern oder Kontaktdaten veröffentlicht wurden, sondern auch um sehr persönliche Daten wie Fotos und private Finanzdokumente.

Der Hack hat eindeutig über einen langen Zeitraum stattgefunden und es wird schwierig sein, die betroffenen Daten zeitnah wieder aus dem Netz zu nehmen, da die Hacker die Informationen sehr weit gestreut haben.

 

Handlungsempfehlungen

Für die Betroffenen ist jetzt der erste wichtige Schritt, herauszufinden, wo die gestohlenen Daten abgelegt waren beziehungsweise über welche Datenbanken die Hacker an sie herangekommen sind. Außerdem müssen sie davon ausgehen, dass ihre persönlichen Geräte, Online-Konten und ihre vollständige Online-Identität gehackt wurden. Das bedeutet, dass sie ihren Geräten nicht mehr vertrauen können und damit rechnen müssen, auch jetzt noch über das private Smartphone oder den PC gehackt zu werden. Daher sollten diese Geräte vorerst dringend abgeschaltet und erst wieder nach der Untersuchung durch einen IT-Profi verwendet werden.

Als nächstes sollten über ein neues oder anderes, vertrauenswürdiges Gerät alle ihre digitalen Identitäten auf böswillige Änderungen überprüft werden – das können beispielsweise neu autorisierte Apps auf persönlichen Social-Media-Kanälen oder geänderte E-Mail-Adressen innerhalb von Profilen sein. Dabei sollten unbedingt alle entsprechenden Passwörter geändert werden.

Interessant ist auch die Motivation, die diesem Hack voranging: offenbar ging es nicht darum, sich finanziell zu bereichern, sondern schlicht darum, auf eine bösartige Weise Schaden und Chaos zu verursachen. Außer Frage steht, dass das Ganze von Fachleuten ausgeführt wurde, die genau wussten, was sie zu tun hatten.

Darüber hinaus zeigt dieser Hack auch noch einmal ganz deutlich, dass die Installation eines Standard-Virenscanners auf einem Gerät leider nicht ausreichend ist, um sich adäquat zu schützen.

 

Ansatz zur Erhaltung der Sicherheit

Große Unternehmen und Regierungsbehörden entwickeln hierfür ein immer stärkeres Bewusstsein und investieren erhebliche Summen, um ihre Cybersicherheit zu verbessern. Das bedeutet, dass wir uns bereits in einem Erkennungs- und Reaktionsprozess befinden, der Investitionen in Menschen, Prozesse sowie neue Technologien erfordert, um letztendlich einen besseren und umfassenderen Ansatz zur Erhaltung der Sicherheit zu bieten.

Politiker haben vielleicht mehrere Sicherheitskräfte, um ihre physische Sicherheit zu gewährleisten, es ist darüber hinaus aber auch von entscheidender Bedeutung, dass sie sich Gedanken zum Schutz ihrer Cyberidentität und ihrer Vermögenswerte machen.

Das aktuelle Ereignis wird sicherlich zu einem Umdenken beitragen.«

 

Matthias Maier, IT-Sicherheitsexperte, Splunk

[1] https://www.tagesschau.de/inland/deutsche-politiker-gehackt-101.html

 

 

Tipps:  Warum Datenschutz immer noch schwer fällt

Der internationale Data Privacy Day soll jedes Jahr aufs Neue Verbraucher und Unternehmen für die Bedeutung von Datenschutz und Privatsphäre sensibilisieren. Mit einer immer stärkeren Verlagerung von privaten und beruflichen Anwendungen in das Internet, sollten sich Nutzer der Risiken bewusst sein und die Sicherheit ihrer Daten ernst nehmen.

Als moderne Gesellschaft befinden wir uns, was unsere eigenen Daten betrifft, in der Zwickmühle: Einerseits empören uns Nachrichten über aktuelle Datenhacks, andererseits geben wir Informationen zu unserer eigenen Identität preis. Das machen wir meist ohne groß nachzudenken – und wohlgemerkt freiwillig – sobald Daten für medizinische Zwecke oder von Banken abgefragt werden. Diese Nutzung persönlicher Daten wird sich 2016 noch weiter verstärken. Experten sprechen hier von der sogenannten »Datenwirtschaft«, die insbesondere durch Trends wie das »Internet der Dinge« oder »Smart Homes« befeuert wird, da diese Entwicklungen zunehmend unser alltägliches Leben bestimmen. Der internationale Data Privacy Day soll uns darauf aufmerksam machen, dass unsere persönlichen Daten für Unternehmen und Organisationen immer mehr zu einem wirtschaftlichen Wert werden und damit in den Fokus ihrer geschäftlichen Aktivitäten rücken.

»Daher rate ich Ihnen zur Vorsicht. Fragen Sie sich immer: Wer nutzt meine Daten und wem vertraue ich meine Informationen an. Gerade deswegen sollten wir vorsichtig sein, wenn wir bei Transaktionen unsere persönlichen Informationen preisgeben. Da die Unsicherheit beim richtigen Umgang mit persönlichen Daten oder dem Surfen im Internet immer noch groß ist, rate ich Verbrauchern und Mitarbeitern in Unternehmen einige Tipps einzuhalten«, so Raj Samani, Chief Technical Officer bei Intel Security.

  1. Automatische Updates – Empfohlen!

Aktualisierungen sind die beste Prävention. Indem Betriebssystem und Anwendungen immer auf dem neuesten Stand sind, erschweren Sie es Cyber-Kriminellen, eine Sicherheitslücke zu finden. Nutzen Sie deshalb die Option für automatische Updates, egal ob im privaten oder beruflichen Umfeld.

  1. Installieren Sie umfassende Sicherheitssoftware auf allen Geräten

Ein System-Update schützt zwar vor alten Viren, gegen neue Bedrohungen oder solche, die noch nicht bereinigt wurden, hilft jedoch nur ein umfassendes Anti-Viren-Programm. Laut McAfee Labs entstehen pro Sekunde fünf neue Bedrohungen – Tendenz steigend! Deshalb sollten am besten alle Geräte mit der passenden Software abgesichert werden.

  1. Passwortsicherheit anpassen

Sicherheitsanbieter empfehlen immer wieder, komplexe Passwörter zu nutzen, die weder persönliche Informationen enthalten noch wiederverwendet werden sollten. Trotzdem tauchen diese Konstellationen stets in Hackerlisten auf. Um die Übersicht nicht zu verlieren, gibt es zahlreiche Passwort-Manager, die komplexe Passwörter verwalten.

  1. Seien Sie misstrauisch!

Seien Sie wachsam und misstrauisch, denn Cyber-Kriminelle versuchen über etwa Social Engineering persönliche Daten abzugreifen. Beliebte Methoden sind Fragen nach Bankdaten oder die Aufforderung, persönliche Informationen zu aktualisieren. Mit derartigen E-Mails versenden bekannte Personen unwissentlich Malware. Schauen Sie genau hin und fragen Sie Ihre Bekannten direkt, wenn Ihnen etwas seltsam vorkommt.

  1. Überdenken Sie die Freigabe von Daten

Sie sollten nicht nur in sozialen Netzwerken darauf achten, welche Daten Sie mit anderen teilen. Die Einstellungen innerhalb der Privatsphäre sind auch dann besonders wichtig, wenn Sie Formulare ausfüllen oder sich für einen Online-Account registrieren. Oft werden Informationen abgefragt, die dafür nicht relevant sind. Füllen Sie nur die Felder aus, die tatsächlich zwingend sind.

  1. Behalten Sie Ihre Accounts im Auge

Selbst wenn Sie alle Sicherheitsvorkehrungen einhalten, kann es vorkommen, dass Seiten oder Anwendungen gehacked werden. Deshalb sollten Sie Ihre wichtigen Accounts, wie etwa Bankkonten auf verdächtige Transaktionen überprüfen. Dabei können auch Apps oder Services helfen, die über neue Aktivitäten informieren.

Foto: cc0 pixabay Absmeier

 

 

Das hilfreiche Dutzend – Zwölf digitale Sicherheitstipps (nicht nur) für die Feiertage

https://pixabay.com/de/

 

Jedes Jahr um diese Zeit werden Menschen auf der ganzen Welt von ihren Liebsten mit neuen digitalen Geräten beschenkt. Unabhängig davon, welche Feiertage sie feiern (oder nicht), ist das Ende des Jahres die Zeit, in der einige der neuesten begehrten Geräte – Smartphones, Fitness-Tracker, Tablets, Smart Home Equipment usw. – auf den Markt kommen.

 

Nichts verdirbt einem den Spaß am neuen Gadget mehr, als sich mit Sicherheits- oder Datenschutzproblemen herumschlagen zu müssen – so die IT-Sicherheitsprofis von Palo Alto Networks. Die Aufregung beim Auspacken und Ausprobieren eines aufregenden neuen Geräts wird jedoch schnell getrübt. Oft gilt es erst mühsam herauszufinden, wie es um die Cybersicherheit und den Schutz der Privatsphäre bestellt ist und welche Einstellungen vorgenommen werden müssen.

 

Aus diesem Grund haben die Sicherheitsexperten von Palo Alto Networks einige sehr einfache, aber wichtige Tipps zusammengestellt, um die grundlegende Sicherheit und den Datenschutz für neue Geräte schnell und einfach zu gewährleisten.

 

  1. Verwenden Sie einen Passwortmanager:
    Obwohl nicht bei allen Geräten Passwortmanager direkt nutzbar sind, ist dies dennoch eine der besten Möglichkeiten für bequemes Sicherheitsmanagement. PCs und Macs, ebenso wie Smartphones und Tablets unterstützen zunehmend den Einsatz von Passwortmanagern direkt. Aber auch für Geräte, die dies nicht tun, können und sollten Sie einen Passwortmanager verwenden, um sichere Passwörter für alle Geräte zu generieren und im »Tresor« zu speichern. Suchen Sie vorzugsweise nach einem Passwortmanager, der eine Zwei-Faktor-Authentifizierung erfordert.
  2. Schützen Sie Ihren Heimrouter und Ihr WLAN:
    In einem Haus mit Computern, Telefonen, Tablets und IoT-Geräten ist fast immer der Punkt, an dem alles zusammenläuft, der Heimrouter mit WLAN. Für die meisten Benutzer ist der Router etwas, das sie einmal eingerichtet haben und dann am liebsten vergessen würden. Wenn Sie jedoch Ihre Heimgeräte sicherer machen möchten, müssen Sie zunächst dafür sorgen, dass der Router und das WLAN sicherer sind. Nehmen Sie sich Zeit, um sich ein gutes, komplexes und nicht zu erratendes Passwort auszudenken. Hier kann ein Passwortmanager helfen. Sie können eine Konfiguration erwägen, dass nicht auch die SSID gesendet wir. Dies kann das Hinzufügen von Geräten etwas umständlicher machen, aber bedeutet, dass es für Unbefugte noch schwieriger ist, zu versuchen, sich mit Ihrem Heimnetzwerk zu verbinden.
  3. Richten Sie mehr sichere Konten auf Ihren PCs und Macs ein:
    Trotz Smartphones und Tablets gibt es immer noch PCs und Macs (sowohl Desktops als auch Laptops) zu Hause. Nehmen Sie sich Zeit, um für jedes dieser Geräte ein Konto mit eigenem Benutzernamen und Passwort einzurichten. Außerdem erlauben alle modernen Betriebssysteme, dass Sie Konten für »normale Benutzer« statt Admin-Accounts erstellen. Richten Sie jedes Familienmitglied als »normalen Benutzer« und ein separates Administratorkonto für die Wartung ein. Wenn Sie Kinder haben, sollten Sie der Versuchung widerstehen, alle ein Konto oder Konten ohne Passwörter verwenden zu lassen: Dies ist eine Chance für die ganze Familie, den richtigen Umgang mit Passwörtern zu lernen, indem Sie allen Familienmitgliedern eigene Passwörter geben und ihnen beibringen, dieses Passwort nie zu teilen. Sie können das Passwort für sie generieren und es als »Administrator« behalten, wenn Sie es zur Überwachung benötigen. Dies ist auch eine wichtige Lektion für Kinder, um zu verstehen, dass Sie als Administrator jederzeit sehen können, was das Kind macht.
  4. Verhindern Sie, dass verlorengegangene Tablets und Smartphones zum Risiko werden:
    Mobile Geräte bedeuten ein erhöhtes Risiko von Verlust oder Diebstahl. Heutzutage haben unsere tragbaren Geräte oft einen besseren Zugang zu sensibleren Informationen als unsere PCs und Macs – in Form von mobilen Bankanwendungen, Wallet-Anwendungen und gespeicherten Kreditkartendaten. Alle modernen Tablets und Smartphones haben Einstellungen, die Sie aktivieren sollten, bevor Sie diese tragbaren Geräte von zu Hause aus mitnehmen:

    1. Passcodes zum Sperren des Geräts.
    2. Verschlüsselung von Informationen auf dem Gerät.
    3. Positionsbestimmung eines verlorenen Geräts.
    4. Löschen oder Verschleierung von Daten, wenn zu viele falsche Passwörter ausprobiert werden oder wenn das Gerät aus der Ferne aktiviert wird.
  5. Schützen Sie Ihre Daten auf Smart Watches und persönlichen Fitnessgeräten:
    Smart Watches und persönliche Fitnessgeräte sind ähnlich wie Smartphones und Tablets und haben einige der gleichen Funktionen. Zusätzlich zur Verwendung dieser Funktionen sollten Sie sich die Zeit nehmen, um zu überprüfen, welche Gesundheitsinformationen verwendet werden und ob die Cloud-Konten, mit denen diese Geräte synchronisiert werden, starke Passwörter haben. Diese Geräte erfassen einige Ihrer wichtigsten persönlichen Daten. In einigen Fällen betrifft das größte Risiko nicht das Gerät, sondern die in der Cloud gespeicherten Daten.
  6. Be Smart with Your Smart Home:
    Smart Home ist ein Oberbegriff für eine Vielzahl von Geräten, die eines gemeinsam haben: Sie alle verfügen über eine Art Internetverbindung. Jedes einzelne Gerät wird seine eigenen Sicherheits- und Datenschutzeinstellungen haben, und diese gilt es zu verstehen, bevor Sie die Geräte in Ihrem Zuhause einsetzen. Generell sollten Sie jedoch sicherstellen, dass Ihr Heimrouter und Ihr WLAN geschützt sind und dass Sie gute, sichere und unterschiedliche Passwörter verwenden, bevor Sie auf diesen Geräten Apps nutzen.
  7. Vergessen Sie nicht die Home-Entertainment-Anwendungen, TVs und DVRs:
    Wenn wir an Home Entertainment denken, gibt es zwei entscheidende Sicherheitsaspekte. Erstens, die Sicherheit der Geräte selbst. In fast allen Fällen ist eine gute Sicherheit rund um Heimrouter und WLAN das Beste, was Sie für den Schutz der Geräte tun können. Aber Home Entertainment ist nicht nur eine Frage der physischen Geräte. Zweitens, gibt ja noch die Apps, mit denen Sie Inhalte abrufen. Alle Anwendungen von Netflix, Amazon, Hulu und anderen haben ihre eigenen Passwörter, um sich mit ihrem Dienst zu verbinden. Angreifer knacken und verkaufen kompromittierte Konten an diese Dienste. Wählen Sie daher gute, sichere und unterschiedliche Passwörter für die Anwendungen, die Sie auf diesen Geräten verwenden. Dadurch werden diese Apps auch auf Ihren Tablets, Smartphones, PCs und Macs geschützt.
  8. Wenn Sie schon dabei sind, schützen Sie auch Ihre Spielkonsolen:
    Ähnlich wie bei Home-Entertainment-Geräten geht es bei Spielkonsolen sowohl um die Sicherheit des eigentlichen Geräts als auch die Sicherheit der Cloud-basierten Konten. Genau wie bei Home-Entertainment-Geräten ist es das Cloud-basierte Konto, an dem Angreifer mehr interessiert sind. Auch hier ist es wichtig, sich Zeit zu nehmen, um starke Passwörter einzurichten. Außerdem verfügen viele Spieleplattformen inzwischen über ein zweites Authentifizierungsmittel (typischerweise einen Text, der an Ihr Handy gesendet wird): Sie können und sollten dies, wenn möglich, aktivieren.
  9. Benutzerprofile für Sprachassistenten konfigurieren:
    Sprachassistenten gehören zu den neuesten Geräten auf dem Markt, was bedeutet, dass sie am wenigsten bekannt sind und verstanden werden. Das größte Risiko, das in den Medien kursiert, ist, dass die Spracheingabe von externen Quellen gekapert wird. Es ist aber nicht dokumentiert, dass dies in der Praxis ein großes Risiko darstellt, insbesondere, da die Geräte bei der spezifischen Spracherkennung immer besser werden. Nehmen Sie sich dennoch die Zeit, so weit wie möglich individuelle Benutzerprofile zu konfigurieren. Viele dieser Geräte verfügen über Stummschalttasten, die sie nutzen sollten, wenn Sie das jeweilige Gerät nicht benötigen.
  10. Verwenden Sie intelligente Lautsprecher intelligent:
    Intelligente Lautsprecher sind Teil der digitalen Heimassistenten und dienen der Sprachaktivierung. Und viele intelligente Lautsprecher haben digitale Heimassistenten eingebaut, was die Unterscheidung noch unklarer macht. Das bedeutet, dass das, was Sie für die Sicherheit des digitalen Heimassistenten gilt, auch für intelligente Lautsprecher gelten würde. Wenn alles, was Sie wirklich wollen oder brauchen, ein intelligentes Gerät zum Abspielen von Musik ist, sollten Sie sich auf Geräte konzentrieren, die nur Musik abspielen. Dies kann Ihre Sicherheit verbessern, indem es das Risiko von Funktionen reduziert, die Sie eigentlich gar nicht wollen oder benötigen.
  11. Fahren Sie sicher und geschützt mit Smart Cars:
    »Car Hacking« ist mittlerweile bekannt aus Medienberichten, doch in der Praxis ist die Smart-Car-Sicherheit meist besser als Sie glauben. Ein wesentliches Unterscheidungsmerkmal bei Smart Cars ist, dass sie oft »intelligente« Schloss- und Zündsysteme haben, die an Tokens und/oder andere Geräte gebunden sind (wie ein Smartphone). Eine gute Smart-Car-Sicherheit bedeutet in diesem Fall, auf der guten Sicherheit um die Geräte herum und einer guten physischen Sicherheit aufzubauen. Überprüfen Sie, ob alle angeschlossenen Smart Devices gut geschützt sind, insbesondere vor Verlust oder Diebstahl. Achten Sie darauf, dass Sie nur Personen, denen Sie vertrauen, die Tokens geben. Und stellen Sie sicher, dass alle Cloud-Accounts über starke Passwörter verfügen und verwenden Sie, wenn möglich, eine zweite Authentifizierungsmethode.
  12. Patchen, Patchen und nochmals Patchen:
    Der letzte und wichtigste Tipp ist dem Patchen gewidmet. Nur wenige Leute mögen es, sich ins Innere von Geräten vorzuarbeiten, um Updates zu verwalten, aber dies ist ein für die Sicherheit und den Datenschutz entscheidender Prozess, der nur manuell durchgeführt werden kann. Für jede Art von Gerät oder System sollten Sie wissen, wie Sie Updates durchführen können:

    1. Firmware: Dies ist die Software, die von Werk bereits auf dem physischen Gerät, wie dem Router, Auto oder DVR, installiert ist.
    2. Betriebssystem: Einige Geräte haben kein von der Firmware getrenntes Betriebssystem, aber viele haben es. PCs und Macs verfügen über Firmware und ein Betriebssystem (Windows, MacOS und Linux).
    3. Apps und Anwendungen: Bei Home-Entertainment-Geräten und Spielkonsolen sind es manchmal die Apps und nicht das Gerät selbst, die entscheidend sind. Viele Anwendungen verfügen heutzutage über Funktionen zum automatischen Aktualisieren, einige jedoch nicht, daher ist es wichtig zu wissen, wie die Apps ihre Updates erhalten.

 

Wenn sich die Nutzer beziehungsweise die Beschenkten etwas Zeit nehmen, um diese Tipps zu verinnerlichen und die grundlegenden Schritte zu unternehmen, können sie für einen guten Start mit ihren neuen Geräten und einen besseren Schutz Ihrer Privatsphäre sorgen. Natürlich ist dies keine vollständige Liste und es ist immer gut, auch über weitere Funktionen und Fähigkeiten informiert zu sein, etwa Sicherheitsmaßnahmen für den Medienkonsum der Kinder. Mit diesen einfachen Schritten sollten, nach Meinung von Palo Alto Networks, viele Menschen jedoch jetzt zum Jahreswechsel beginnen, um die Verwendung ihrer neuen Geräte sicherer zu machen.

 

 

 

 

 

 

Zur Startseite →

← Zurück