Akute Gefährdung durch geschickte Manipulation der Mitarbeiter
Große Konzerne sind in der Regel technisch gut ausgestattet im Kampf gegen Online-Kriminelle, doch die Angriffe sind zielgerichteter und geschickter geworden. Cyber-Kriminelle setzen verstärkt auf CEO Fraud (Geschäftsführer Betrug) und Social Engineering: Sie probieren sich Zugang zu hochsensiblen Informationen zu verschaffen, indem sie die Mitarbeiter geschickt manipulieren, um illegal an sensible Unternehmensdaten zu gelangen. Zielgerichtet werden menschliche Reaktionen wie zum Beispiel: Hilfsbereitschaft, Neugierde, Gutgläubigkeit, Respekt vor Autoritäten oder Konfliktvermeidung von den Angreifern ausgenutzt, um die IT-Sicherheitskette im Unternehmen zu hintergehen. Vertrauliche Informationen werden auf vielerlei Wege von den gutgläubigen Mitarbeitern entlockt, ob im Sozialen Netzwerk oder mit fingierten Telefonanrufen. Firmenmitarbeiter werden anhand Vertraulichkeit oder falschen Identitäten getäuscht. Betrüger geben sich zum Beispiel als vermeintliche weisungsbefugte Vorgesetzte aus, um an Unternehmens-Informationen oder an das Geld der Firmen zu gelangen.
Eine technische Möglichkeit sich vor solchen Methoden des Social Engineerings zu schützen, gibt es nicht. Die Problemstellung dieser Angriffsmethoden kann nur dann bewältigt werden, wenn alle Mitarbeiter und das Management durch ihren Datenschutzbeauftragten professionell und nachhaltig sensibilisiert sind, wissen - welche Tricks heute angewandt werden und somit achtsam mitwirken können.
-ck-

Social Engineering: Vortäuschung falscher Identität
Datenschutz – Praxis online - "Social Engineering – was Sie dazu wissen müssen"
https://www.datenschutz-praxis.de/fachartikel/social-engineering-wie-nutzer-selbst-gehackt-werden/?newsletter=ds/i/datenschutz-praxis-aktuell/9100/2018/1/02069111/Artikel_2&va=02069111&chorid=02069111&vkgrp=354

Cyberkriminelle nutzen menschliche Reaktionen aus
Trojaner Info online - "Spear-Phishing-Psychologie"
https://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/spear-phishing-psychologie-7129.html

Meist steht die oberste Management-Ebene im Focus der Angreifer
IT Daily net - Sicherheitsrisiko Mensch
https://www.it-daily.net/it-sicherheit/cyber-defence/20503-sicherheitsrisiko-mensch

 

Gefährliche und unterschätzte digitale Angriffe
Internet – Kriminalität "Cybercrime" - eine Bedrohung für jedes Unternehmen. Angriffe gegen Computersysteme haben in den letzten Jahren drastisch zugenommen. Themen wie Basisschutz der Hard- und Software stehen somit auch in kleineren Unternehmen an der Tagesordnung um Firmengeheimnisse vor fremden Zugriff oder sensible Kundendaten zu schützen.
Ransomware, diese Schadprogramme verschlüsseln die kompletten Daten und geben diese eventuell nach Zahlung eines Lösegeldes wieder frei. Die Zahl der Ransomware – Infektionen steigt rasant und Behörden, Krankenhäuser und Unternehmen sind geneigt auf die Forderungen der Kriminellen einzugehen. Sicherheitsexperten raten davon ab!
Anhand der zunehmenden IT-Sicherheitsvorfälle hat LogRhythm, ein führendes Unternehmen für Security Intelligence und Analysen, ein Whitepaper mit konkreten Empfehlungen sowie Hilfestellungen zur verschärften Bedrohungslage durch Ransomware veröffentlicht.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf seiner Homepage nützliche Hilfestellungen zum Schutz vor dem erneut aufgetauchten Trojaner Emotet on gestellt. Dieses gefährliche Schadprogramm verursacht hohe Schäden und stellt somit eine akute Bedrohung für Unternehmen, Krankenhäuser, Behörden usw. dar.
Zum achten Mal wurde die Studie des Emergency Response Teams (ERT) von Radware "Global Application & Network Security Report 2017-2018" erstellt. 
Die Studie ergab unter anderem, dass die Angriffe auf Unternehmen gegenüber dem vergangenen Jahr häufiger erfolgten und effektiver waren. Trotz der gestiegenen und gleichzeitig erfolgreichen Cyberattacken verfügen laut Studie 34 % der Befragten nicht über einen Notfallplan.
-ck-

Sicherheitstipps richtet sich an Admins von Unternehmen
Bundesamt für Sicherheit in der Informationstechnik online - "Maßnahmen zum Schutz vor Emotet und gefährlichen E-Mails im Allgemeinen"
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/E-Mailsicherheit/emotet.html

Angriffsweise von Ransomware und wie man sich dagegen schützt (Whitepaper)
Security Insider online - "Angriffe erkennen, bevor es zu spät ist: Die Ransomware-Bedrohung"
https://www.security-insider.de/die-ransomware-bedrohung-v-39687-13274/

Angriffsziel: Mitarbeiter mit privilegiertem Zugang auf hochsensible Unternehmensdaten
Security Insider online - ""State of the Phish"-Report 2019: E-Mails sind wichtigstes Einfallstor für Cyberangriffe"
https://www.security-insider.de/e-mails-sind-wichtigstes-einfallstor-fuer-cyberangriffe-a-794599/

Nachrichtenticker:
Weitere Nachrichten im Kurzüberblick

1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "Der SDL am Beispiel eines Gästebuchs, Teil 4“
https://www.ceilers-news.de/serendipity/1027-Der-SDL-am-Beispiel-eines-Gaestebuchs,-Teil-4.html

2. Manipulierte Software kann Zugangsdaten mitsamt der Passwärter auslesen
Heise online - "Sicherheitsforscher: Kritische Lücke in macOS erlaubt Auslesen von Passwörtern"
https://www.heise.de/mac-and-i/meldung/Sicherheitsforscher-Kritische-Luecke-in-macOS-erlaubt-Auslesen-von-Passwoertern-4297437.html

3. Open Office zurzeit keine gepatchte Update-Ausgabe
Heise Security online - "Sicherheitsupdates: Gefährliche Makros für LibreOffice"
https://www.heise.de/security/meldung/Sicherheitsupdates-Gefaehrliche-Makros-fuer-LibreOffice-4297929.html

 

 

Gefahrenabwehr: Schutzvorkehrungen der IT-Systeme
Seit Längerem werden zielgerichtet kleinere und mittelständische Unternehmen, deren IT-Struktur mit dem Internet verbunden ist, mit gefälschten Mail-Mitteilungen überschüttet. In den gefälschten Mitteilungen werden die Empfänger oft namentlich genannt und dies lässt so manchen Mitarbeiter unvorsichtig handeln. Die entsprechende Mail nebst Anhang wird geöffnet und Viren, Trojaner und Spyware verbreiten sich so, ohne Wissen und Zutun des Anwenders, auf den Firmen-PC. Dadurch entstehen jährlich finanzielle Schäden in Milliardenhöhe für Unternehmen, sowie für Privatnutzer.
Achtung: Zurzeit verbreitet sich eine gefährliche Computer - Infektion anhand der Schadsoftware Emotet, welche vorrangig im Mail-Anhang zu finden ist. Dieser Trojaner gilt weltweit als eins der gefährlichsten Schadprogramme. In Deutschland häufen sich die Meldungen über schwerwiegende Sicherheitsvorfälle, die auf den Trojaner zurückzuführen sind. Emotet legt ganze Unternehmen lahm und sorgt für Millionenschäden. Der Schutz vor Viren und Trojanern, die Absicherung der Zugänge ins Unternehmensnetzwerk sollten unter anderem ein wesentlicher Bestandteil der unternehmensweiten IT - Security Vorkehrung sein. Einer der wichtigsten Schritte zur Abwehr möglicher Spionageangriffe ist: Alle Mitarbeiter über Gefahren zu informieren und ihr Sicherheitsbewusstsein und –verhalten zu stärken. Wirkungsvolle Gegenmaßnahmen kann nur der in Angriff nehmen, wer über Risiken der Sicherheitslücken im Unternehmen und Einfallstore für Wirtschaftsspionage von außen und innen informiert ist.
-ck-

Indexliste Malware
All About Security online - Die "Most Wanted"-Malware des Monats Januar 2019: Ransomware Gand Crab zurück unter den Top 3"
https://www.all-about-security.de/security-artikel/threats-and-co/single/die-most-wanted-malware-des-monats-januar-2019-ransomware-g/

Multifunktionstrojaner Emotet wütet immer noch
Heise Security online - "Phishing-Welle: Warnung vor falschen Microsoft-Mails und Telekom-Rechnungen"
https://www.heise.de/security/meldung/Phishing-Welle-Warnung-vor-falschen-Microsoft-Mails-und-Telekom-Rechnungen-4308122.html

Sicherheitsspezialisten und Behörden warnen
ZDNET online - "Emotet: CERT-Bund warnt vor gefälschten Microsoft-Mails"
https://www.zdnet.de/88353693/emotet-cert-bund-warnt-vor-gefaelschten-microsoft-mails/

Schadprogramm entwickelte sich weiter
Security Insider online - "Vom Banker zum Türöffner und Profiler: Wie Emotet zur Allzweckwaffe wurde"
https://www.security-insider.de/wie-emotet-zur-allzweckwaffe-wurde-a-798444/

Verstöße gegen das Datenschutzgesetz
Was mangelhafter Datenschutz bedeuten kann, wird fast jede Woche einmal mehr sichtbar, anhand der zahlreichen Medienberichten über Datenschutzpannen und den bisher verhängten Sanktionen gemäß EU Datenschutz-Grundverordnung (DSGVO). Laut Medienberichten sind seit Inkrafttreten der DSGVO in der gesamten Europäischen Union mehr als 40.000 Datenpannen registriert worden. Mehr als 12.000 meldepflichtige Verstöße sollen aus Deutschland stammen. Eine Infografik wurde von der EU-Kommission veröffentlicht (pdf).
Das auch Geldstrafen wegen Verstoßes gegen die DSGVO an Privatpersonen verhängt werden kann, zeigen die Medienberichte in dieser Woche. Scheinbar hat ein verärgerter Mann per E-Mailbeschwerden seinen Ärger über Behörden kundgetan und diese mehrfach über einen großen Verteilerkreis offen versendet. Weder Strafandrohung noch Geldstrafe von über 2.600 € scheinen zu wirken. Der Landesbeauftragte für den Datenschutz in Sachsen-Anhalt prüft weitere rechtliche Schritte.
-ck-

Bußgeld für offenen E-Mail-Verteiler
MZ Merseburg online - "Hunderte Adressen im Verteiler: Merseburger muss für Wut-Mails über 2.000 Euro zahlen"
https://www.mz-web.de/merseburg/hunderte-adressen-im-verteiler-merseburger-muss-fuer-wut-mails-ueber-2-000-euro-zahlen-32033308

Rechte Dritter anhand offenen Verteilers verletzt
Winfuture online - "Hohes DSGVO-Bußgeld: Privatmann verschickt Mails im offenen Verteiler"
https://winfuture.de/news,107427.html

Sicherer Umgang mit personenbezogenen Daten
Cloudmagazin com - "Datenschutz als Wettbewerbsvorteil"
https://www.cloudmagazin.com/2019/02/14/datenschutz-als-wettbewerbsvorteil/

Datenschutz - Rechtsverletzungen
Heute at - "Österreichische Post verkaufte sensible Kundendaten an Adressverlage und Direktmarketingunternehme"
https://www.heute.at/wirtschaft/news/story/Post-verkauft-Daten-ueber-Parteiaffinitaet-Datenschutzbehoerde-stellt-Rechtsverstoss-fest-Pruefverfahren-beendet-40089411

Nutzer-Accounts von 16 unterschiedlichen Websites entwendet
Heise online - "Gehackte Websites: 620 Millionen Accounts zum Verkauf im Darknet"
https://www.heise.de/security/meldung/Gehackte-Websites-620-Millionen-Accounts-zum-Verkauf-im-Darknet-4305517.html

Schwachstelle Mensch
Berliner Zeitung online - "Live-Hacking zur Prävention IT-Berater zeigt, wie einfach es gehen kann"
https://www.berliner-zeitung.de/digital/live-hacking-zur-praevention-it-berater-zeigt--wie-einfach-es-gehen-kann-32037238



Nachrichtenticker:
Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "Der SDL am Beispiel eines Gästebuchs, Teil 5"
https://www.ceilers-news.de/serendipity/1028-Der-SDL-am-Beispiel-eines-Gaestebuchs,-Teil-5.html

2. Für leistungsschwache Hardware: Technik zur Datei- und Vollverschlüsselung
Heise Security online - "Adiantum: Google stellt Android-Verschlüsselung für schwache Hardware vor"
https://www.heise.de/security/meldung/Adiantum-Google-stellt-Android-Verschluesselung-fuer-schwache-Hardware-vor-4304013.html

3. Malware verhindert Updates von Virenscannern und QNAPs Malware Remover
Heise Security online - "QNAP NAS: Malware manipuliert Hosts-Datei und verhindert Sicherheitsupdates"
https://www.heise.de/security/meldung/Qnap-NAS-Malware-manipuliert-Hosts-Datei-und-verhindert-Sicherheitsupdates-4304657.html

4. Update für alle iOS-Geräte ab dem iPhone 5S und dem iPad Air
Bild digital online - "Heimliches Mithören abgeschaltet: iOS-Update behebt schlimmen Facetime-Bug"
https://www.bild.de/digital/smartphone-und-tablet/handy-und-telefon/ios-update-behebt-facetime-bug-heimliches-mithoeren-abgeschaltet-60026512.bild.html

 

Datenschutz und Pannen in Unternehmen
Datenpannen und Missbrauchsfälle – Eingriffe in die informationelle Selbstbestimmung – über all dies berichten die Medien in dieser Woche und wiederholt sind auch Behörden und Ämter mit beteiligt. Sensible beziehungsweise private Daten von Bürgern oder Kunden werden ungesichert ins Internet gestellt, soziale Netzwerke riegeln nicht ab und somit ist der Zugriff auf vertrauliche Mitgliederdaten für jedermann offengelegt. Hochsensible Patientendaten werden entwendet und im Internet veröffentlicht. Mit Inkrafttreten der EU Datenschutz Grundverordnung (EU-DSGVO), womit Datenpannen eine Meldepflicht unterliegen, werden die Datenskandale leider nicht weniger.
Größtenteils werden immer noch diese "Schwachen Stellen" nicht von den verursachenden Organisationen – sprich Unternehmen – aufgedeckt, sondern von den Betroffenen. Bei den für die Pannen verantwortlichen Unternehmen scheint es auch nach der Einführung der DSGVO mit deutlich gestiegenen möglichen Strafen und Geldbußen bei Verstößen, an Erkenntnis zu mangeln.
Trotz geänderter Gesetzeslage ist ein transparenter Umgang mit Datenmissbrauch nicht zu registrieren. Vorfälle werden so lange wie möglich verschwiegen und als harmlos dargestellt. Datenschutz scheint für viele Unternehmen und öffentlichen Stellen erst relevant zu werden, wenn eine Panne publik wird, doch dann ist es zu spät!
-ck-

Sicherungskopien der Smartphone-Gerätespeicher fremder Kunden weitergereicht
Heise online - "Panne in Telekom-Shop: Kundin erhält fremde Daten"
https://www.heise.de/newsticker/meldung/Kundin-erhaelt-fremde-Daten-Panne-in-Telekomshop-4312865.html

Datenspeicherung ungeschützter hochsensibler Gesundheitsaufzeichnungen auf ungeschützten Server
ZDNet online - "2,7 Millionen Anrufdaten von Patienten frei verfügbar"
https://www.zdnet.de/88354281/27-millionen-anrufdaten-von-patienten-frei-verfuegbar/

Nach Datendiebstahl hochsensible Gesundheitsdaten ins Netz gestellt
Süddeutsche Zeitung online - "Tausende private Daten von HIV-Patienten veröffentlicht" https://www.sueddeutsche.de/panorama/aids-hiv-datenschutz-1.4308418

Systemeinbrüche mit Verlust der Kundendaten
ZDNet online - "Neues Angebot im Darknet: 127 Millionen Kontodaten von 8 Firmen"
https://www.zdnet.de/88353933/neues-angebot-im-darknet-127-millionen-kontodaten-
von-8-firmen/?utm_source=rss&utm_medium=rss&utm_campaign=rss

Deutliche Zunahme von IT-Sicherheitsmeldungen von kritische Infrastrukturen
Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Betreiber kritischer Infrastruktur wie zum Beispiel Kraft – und Wasserwerke, Produktionsanlagen, Telekommunikation haben im Jahr 2018 mehr IT-Sicherheitsvorfälle gemeldet, als im Jahr zuvor.
Schon kurzfristige Stromausfälle oder Störungen von Kommunikationskanälen sowie technische Fehler, stellt die moderne Gesellschaft vor großen Herausforderungen. Beispiel: Der Blackout Berlin in dieser Woche. Laut Medienberichten waren ca. 34.000 Haushalte ca. 31 Stunden ohne Strom und Heizung. Schulen und Kitas hatten geschlossen, technische Verkehrsmittel zur Beförderung von Personen fielen aus und Internet und Telefonanschlüsse waren auch betroffen.
Die Bundesregierung hatte im Juli 2015 das IT-Sicherheitsgesetz verabschiedet. Durch gemeinsame Mindestanforderung an ihre Computersysteme sollen Behörden und Unternehmen das Risiko der Cyberangriffe senken, damit öffentliche Stellen und Bürger besser geschützt sind. Dazu hat das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe Publikationen zum Thema KRITIS auf seine Homepage veröffentlicht. Unternehmen und kritische Infrastrukturen sind durch den digitalen Wandel anfälliger für Cyber – Angriffe geworden. Sie müssen ihre IT-Sicherheit entsprechend der Rechtslage anpassen sowie Meldepflichten bei gravierende IT-Sicherheitsvorfälle einhalten.
-ck-

Mehr Sicherheitsvorfälle auf kritische Infrastrukturen
Spiegel online - "Sabotage durch Hacker: BSI registriert deutlichen Anstieg bei Cyber-Angriffen auf Infrastruktur"
http://www.spiegel.de/netzwelt/netzpolitik/hacker-angriffe-auf-infrastruktur-bsi-registriert-deutlichen-anstieg-a-1253647.html#ref=rss

Kritische Wirtschaftszweige vorrangig im Visier von Cyber-Kriminellen
Datensicherheit online - "KRITIS: Cyber-Angriff als Ursache von Versorgungsengpässen" https://www.datensicherheit.de/aktuelles/kritis-cyber-angriff-ursache-versorgungsengpaesse-30185

Riesiger Unterschied zwischen Blackout und Stromausfall
Lausitzer Allgemeine Zeitung online - "Stromausfall: "Notversorgung mit Essen und Getränken könne jedoch nicht gewährleistet werden""
https://www.lausitzer-allgemeine-zeitung.org/stromausfall-notversorgung-mit-essen-und-getraenken-koenne-jedoch-nicht-gewaehrleistet-werden/


Nachrichtenticker:
Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "Der SDL am Beispiel eines Gästebuchs, Teil 6"
https://www.ceilers-news.de/serendipity/1029-Der-SDL-am-
Beispiel-eines-Gaestebuchs,-Teil-6.html#extended

2. Apps spionieren Millionen Nutzer aus
Datenschutz Praxis online - "18.000 Apps spionieren die Nutzer aus"
https://www.datenschutz-praxis.de/fachnews/18-000-apps-spionieren-die-nutzer-aus/

3. Neue biometrische WhatsApp Sperrfunktion lässt sich einfach umgehen
Heise online - "WhatsApp: Biometrische iPhone-Sperre lässt sich leicht umgehen"
https://www.heise.de/mac-and-i/meldung/WhatsApp-Biometrische-iPhone-Sperre-
laesst-sich-leicht-umgehen-4315540.html

− − −

Liebe Leser unserer Datenschutznachrichten
Unser Redaktionsteam nimmt eine kurze Auszeit. In der 14. Kalenderwoche gibt es unsere News in gewohnter Regelmäßigkeit und Qualität.
Wir bedanken uns für Ihr Verständnis und freuen uns darauf, Sie wieder bei uns begrüßen zu dürfen.
-ck -

− − −


Nachrichtenticker:
Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "Der SDL am Beispiel eines Gästebuchs, Teil 6“
https://www.ceilers-news.de/serendipity/1029-Der-SDL-am-Beispiel-eines-Gaestebuchs,-Teil-6.html#extended

2. Schadsoftware fest in der Firmware verankert
Behörden Spiegel online - "BSI-Warnung: Geräte mit Schadsoftware ab Werk"
https://www.behoerden-spiegel.de/2019/02/26/bsi-warnung-geraete-mit-schadsoftware-ab-werk/

3. Trotz Manipulation bestätigt PDF-Viewer Gültigkeit der digitalen Unterschrift
Heise Security online - "Viele PDF-Viewer beglaubigen Fake-Amazon-Erstattung über eine Billion US-Dollar"
https://www.heise.de/security/meldung/Viele-PDF-Viewer-beglaubigen-Fake-Amazon-Erstattung-ueber-1-Billion-US-Dollar-4318294.html

4.Weiterleitung von Telefonnummer anderer ist ohne deren Einverständnis verboten
Focus online - "WhatsApp-Richtlinien Diese Regeln müssen Nutzer befolgen, sonst droht die Kontosperre"
https://www.focus.de/digital/handy/whatsapp-richtlinien-diese-regeln-muessen-nutzer-befolgen-sonst-droht-die-kontosperre_id_10376869.html