All posts under Phishing

Schluss mit Kinkerlitzchen: Die einzige sichere E-Mail besteht aus reinem Text

Kontrolle, Tastatur, E-Mail (adapted) (Image by antonynjoro [CC0 Public Domain] via pixabay)

Es ist ein beunruhigender Gedanke: Man könnte jederzeit eine E-Mail öffnen, die aussieht, als käme sie vom Arbeitgeber, einem Verwandten oder der Bank. In Wirklichkeit könnte es sich jedoch um PhishingScams handeln. Jede der vielen unschuldigen E-Mails, die wir den ganzen Tag über erhalten, könnte uns dazu kriegen, unsere Zugangsdaten herauszurücken und Verbrechern die Kontrolle über unsere vertraulichen Daten oder Identität zu geben.

Die meisten Leute gehen davon aus, dass es die Schuld der Benutzer selbst ist, wenn sie auf Phishing-Betrügereien hereinfallen. Jemand könnte einfach auf das falsche Feld geklickt haben. Um das Problem zu beheben, sollten Benutzer einfach damit aufhören. Als Sicherheitsexperten, die sich mit Malware-Techniken beschäftigen, glauben wir jedoch, dass hier der Falsche beschuldigt wird.

Das wirkliche Problem besteht darin, dass die heutigen webbasierten E-Mail-Systeme elektronische Minenfelder ähneln, die mit Anforderungen und Verlockungen angefüllt sind, um zu klicken und sich in einer zunehmend reaktionsschnellen und interaktiven Online-Erfahrung zu engagieren. Es sind nicht nur Google Mail, Yahoo-Mail und ähnliche Dienste. Desktop-basierte E-Mail-Programme wie Outlook zeigen Nachrichten auf die gleiche unsichere Art und Weise an.

Einfach ausgedrückt, ist die einzig sichere E-Mail eine reine Text-Mail. Sie zeigt nur den nackten Text an, ohne eingebettete Links oder Bilder. Webmail ist für Werbetreibende praktisch – und erlaubt gutaussehende E-Mails mit Bildern und netten Schriften zu schreiben, birgt aber unnötige und ernsthafte Gefahren in sich. Denn eine Webseite – oder eine E-Mail – kann leicht das Eine zeigen, aber auch das Andere tun.

Die Rückkehr von E-Mails zu ihrem Ursprung mag radikal erscheinen, bietet aber eine deutlich höhere Sicherheit. Sogar die besten Experten für Cybersecurity der US-Regierung kommen zu dem erschreckenden, aber wichtigen Schluss, dass jede Person, die ernsthaft mit Web-Sicherheit zu tun hat, egal, ob es sich hierbei um Organisationen oder Regierungsmitglieder handelt – zu Text-E-Mails zurückkehren sollte:

„Organisationen sollten sicherstellen, dass sie HTML in E-Mails nicht mehr verwenden können und Links deaktivieren. Alles sollte zu Klartext gezwungen werden. Dies verringert die Wahrscheinlichkeit, dass potenziell gefährliche Skripte oder Links im Text der E-Mail versendet werden. Außerdem wird die Gefahr gebannt, dass ein Benutzer einfach nur auf etwas klickt, ohne darüber nachzudenken. Mit Text-Mails müsste der Benutzer den Link selbst eingeben oder die Kopierfunktion nutzen. Dieser zusätzliche Schritt ermöglicht dem Benutzer eine weitere Gelegenheit zum Nachdenken und zur Analyse, bevor er auf den Link klickt.“

Das Problem falsch verstehen

In den letzten Jahren wurden Webmail-Nutzer strengstens angewiesen, auf jeden verdächtigen Hinweis in E-Mails zu achten. Sie durften keine E-Mails von Leuten öffnen, die sie nicht kannten. Sie sollten keine Anhänge öffnen, ohne den Absender vorher sorgfältig zu prüfen. Viele Unternehmen bezahlen Sicherheitsfirmen mehr als fürstlich, um zu prüfen, ob ihre Angestellten auf diesen Versprechungen gut machen. Aber das Phishing geht weiter – und kommt immer häufiger vor.

Die Berichterstattung zu dem Thema kann hier noch verwirrender erscheinen. Die New York Times bezeichnete den Verstoß gegen die E-Mail-Sicherheitsvorschriften des Democratic National Committee als „dreist“ und „schamlos“. Man wies auf eine Vielzahl möglicher Probleme hin – alte Netzwerksicherheitsausrüstung, hoch entwickelte Angreifer, gleichgültige Ermittler und unaufmerksame Mitarbeiter des Supports – bevor es eine weitere Schwäche aufdeckte. Des Pudels Kern ist allzu oft ein eifriger Benutzer, der „ohne viel nachzudenken“ handelt.

Aber das eigentliche Problem mit Webmail – der Sicherheitsfehler, der schon viele Millionen Dollar gekostet hat – war die Idee, dass, wenn E-Mails über eine Website versendet oder empfangen werden könnten, sie mehr als nur reiner Text sein könnten, selbst wenn die Webseiten von einem Webbrowser-Programm angezeigt werden. Dieser Fehler hat erst die Möglichkeit für eine kriminelle Phishing-Branche geschaffen.

Entwickelt für Gefahren

Ein Webbrowser ist das perfekte Werkzeug für Unsicherheit. Browser sind so konzipiert, dass sie Inhalte aus mehreren Quellen nahtlos zusammenfügen: Text von einem Server, Anzeigen von einem anderen, Bilder und Videos von einem dritten Server, Buttons, die dem Benutzer nachverfolgen, und so weiter. Eine moderne Webseite ist ein Flickenteppich von dutzenden Drittanbieter-Seiten. Damit diese Zusammenstellung von Bildern, Links und Buttons einheitlich und integriert dargestellt wird, zeigt Ihnen der Browser nicht an, woher die einzelnen Teile einer Webseite stammen – oder wohin sie führen, wenn sie angeklickt werden.

Schlimmer noch, sie erlaubt es Webseiten – und damit E-Mails – ihre Herkunft zu verschleiern. Wenn man „www.google.com“ in die Browserzeile eingibt, kann man ziemlich sicher sein, dass man auf die Google-Hauptseite gelangt. Klickt man jedoch auf einen Link oder Button mit der Bezeichnung – wird man dann tatsächlich zum echten Google geleitet? Man müsste bei jedem Link sorgfältig den zugrunde liegenden HTML-Quellcode der E-Mail lesen. Es gibt darüberhinaus noch dutzende weitere Möglichkeiten, wie Browser manipuliert werden können, um uns zu täuschen.

Das ist das Gegenteil von Sicherheit. Die Nutzer können die Folgen ihres Handelns nicht vorhersagen und auch nicht im Voraus entscheiden, ob die möglichen Ergebnisse akzeptabel sind. Ein absolut sicherer Link wird möglicherweise direkt neben einem bösartigen Link angezeigt, ohne, dass ein Unterschied zwischen diesen erkennbar ist. Wenn ein Benutzer mit einer Webseite konfrontiert ist, muss er sich entscheiden, ob er auf etwas klicken will.

Hier gibt es keine gangbare Möglichkeit, vorher zu erfahren, was nach dem Klick passieren könnte oder mit welcher Firma oder anderen Teilnehmern der Nutzer zu tun haben wird. Der Browser verbirgt diese Informationen. Immerhin können wir uns, wenn wir selbst aktiv im Internet surfen, entscheiden, auf welche Website unseres Vertrauens wir uns begeben wollen. Kommt ein Link per Webmail, liefert er uns jedoch eine von einem Angreifer erstellte Webseite direkt in unsere Mailbox!

Der einzige Weg, um die Sicherheit im heutigen Webmail-Umfeld zu gewährleisten ist, sich die Fähigkeiten eines professionellen Web-Entwicklers anzueignen. Erst dann werden die Ebenen von HTML, Javascript und anderem Code klar; erst dann werden die Konsequenzen eines Klicks im Voraus bekannt. Natürlich ist dies ein unangemessen hoher Grad an Raffinesse, den die Benutzer zum Schutz ihrer selbst an den Tag legen müssen.

Solange Softwaredesigner und Entwickler keine Browser-Software und Webmail-Systeme reparieren und die Benutzer nicht in Kenntnis der Sachlage entscheiden lassen, wohin sie ihre Klicks führen können, sollten wir den Ratschlägen von C. A. R. Hoare folgen, einem der ersten Pioniere der Computersicherheit: Der Preis für Zuverlässigkeit ist das Streben nach höchster Einfachheit.“

Die sicherste E-Mail ist die reine Text-E-Mail

Unternehmen und andere Organisationen sind noch anfälliger als Einzelpersonen. Eine einzelne Person braucht sich nur um ihre eigenen Klicks zu kümmern – viele Mitarbeiter in einer Organisation sind ein viel größeres Risiko. Es ist eine einfache Gleichung: Wenn jeder Mitarbeiter die gleiche Chance hat, auf einen Phishing-Betrug hereinzufallen, ist das Risiko für das Unternehmen insgesamt viel höher, dass auch etwas passiert. Tatsächlich besteht bei Unternehmen mit 70 oder mehr Angestellten eine um 50 Prozent erhöhte Chance, dass jemand mit einer Phishing-Mail getäuscht wird. Die Unternehmen sollten Webmail-Anbieter, um deren Sicherheitsaspekt es theoretisch schlechter bestellt ist als die Chance, bei einem Münzwurf zu gewinnen, sehr kritisch betrachten.

Als Technologen haben wir uns längst damit abgefunden, dass manche technischen Entwicklungen einfach eine schlechte Idee sind, auch wenn sie zunächst spannend aussehen. Die Gesellschaft muss dasselbe tun. Sicherheitsbewusste Nutzer müssen von ihren E-Mail-Providern eine Klartext-Option verlangen. Leider sind solche Optionen noch nicht sehr verbreitet und mühsam durchzusetzen, aber sie sind ein Schlüssel zur Eindämmung der Gefahrenwelle.

Mail-Anbieter, die sich weigern, dies zu tun, sollte man schlichtweg meiden – genauso wie man dunkle Gassen für ein florierendes Ladengeschäft meiden sollte. Diese Hintergassen des Internets können mit ihren bunten Anzeigen, Bildern und Animationen attraktiv aussehen – sicher sind sie allerdings nicht.

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) „Kontrolle, Tastatur, E-Mail“ by antonynjoro (CC0 Public Domain)


The Conversation

Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • WHATSAPP t3n: Weltweiter Whatsapp-Ausfall während Präsentation der Facebook-Quartalszahlen: Während Facebook am Mittwoch die neuen Quartalszahlen vorstellte und Gründer Mark Zuckerberg unter anderem auch von den Zukunftsplänen für WhatsApp sprach, kam es bei dem Dienst zu einem teilweisen Ausfall. Viele Nutzer, vor allem in Westeuropa und Südamerika, sahen die Fehlermeldung „Verbinde…“ – eine Verbindung konnte allerdings nicht hergestellt werden. Experten vermuten, dass es sich um einen Erpressungsversuch in Form eines DDoS-Angriffs handeln könnte. Demnach wären die Server mit sinnlosen Anfragen überflutet worden, sodass diese unter der Last zusammenbrachen. Gegen 00:40 war WhatsApp nach einem zweistündigen Ausfall wieder erreichbar.

  • WLAN teltarif.de: Telekom und Lufthansa: WLAN im Flugzeug ab 3 Euro pro Flug: Unter dem Namen Lufthansa FlyNet bietet die Fluggesellschaft Lufthansa ihren Kunden ab sofort einen Internetzugang an Bord ihrer Flugzeuge an. Seit Januar dieses Jahres wurden Tests durchgeführt. Kunden können sich mit beliebigen mobilen Geräten im Netzwerk anmelden und lossurfen. Die Technik besteht aus WLAN-Technologie an Bord sowie Satelliten-Antennen und wurde bislang in 19 Flugzeugen des Typ Airbus A320 eingebaut. Außerdem wurden 31 Maschinen von Austrian Airlines und 26 Eurowings-Flugzeuge ausgerüstet. Auch Maschinen von Swiss sollen unter Umständen WLAN an Bord erhalten. Für die Einspeisung des Internets ist die Deutsche Telekom verantwortlich. Ab drei Euro ist das Angebot zu haben, je nachdem, welche Datenmenge man benötigt, muss man draufzahlen.

  • FACEBOOK Zeit: Facebook stellt 3.000 neue Kontrolleure ein: Wie Facebook-Chef Mark Zuckerberg in einem Blogeintrag mitteilte, plant Facebook, 3. 000 neue Mitarbeiter einzustellen, die damit beauftragt sind, Videos mit Gewaltinhalten aufzuspüren und zu sperren. In letzter Zeit stand das soziale Netzwerk häufiger in der Kritik, dass derartige Videos über Stunden abrufbar waren, ohne, dass gehandelt wurde. Bislang kümmern sich weltweit 4. 500 Mitarbeiter darum, den Hinweisen der Nutzer nachzugehen. Facebook verlässt sich größtenteils darauf, dass Nutzer Videos mit missbräuchlichen Inhalten melden. Jede Woche gibt es Millionen Hinweise, die geprüft werden müssen.

  • GOOGLE golem: Bösartige Google-Docs-Einladungen kopieren Kontakte: Eine Phishing-Kampagne macht derzeit die Runde. Von einer bekannten Person erhalten User per Mail die Einladung zu einem Goole Doc. Nehmen sie diese an, werden sie dazu aufgefordert, sich mit ihrem Google-Konto anzumelden. Dadurch können Kriminelle auf die Kontaktdaten des Nutzers zugreifen. Automatisch wird die Nachricht an die Kontakte des Opfers weitergeleitet und kann sich so verbreiten.

  • UMTS heise: Deutsche Bankkonten über UMTS-Sicherheitslücken ausgeräumt: Kriminelle haben mit Zugriff auf das Online-Banking deutscher Bankkunden deren Konten ausgeräumt. Die gelang ihnen wohl, in dem sie Mobil-TANs (mTANs), die für die Geräte der Kunden bestimmt waren, umleiteten und so die Überweisungen autorisieren konnten. Diese Umleitungen wurden offenbar durch seit Jahren bekannte Sicherheitslücken im SS7-Protokoll des UMTS-Netzes ermöglicht. Erst Ende März hatten Experten wieder vor diesen Lücken gewarnt. O2 Deutschland bestätigte gegenüber der Süddeutschen Zeitung, dass im Januar diesen Jahres entsprechenden Angriffe im eigenen Netz stattgefunden haben.

Weiterlesen »

Android: Sicherheitsbericht zeigt Licht und Schatten

Lg (adapted) (Image by hawkHD [CC0 Public Domain] via pixabay)

Der aktuelle Sicherheitsbericht von Google zum Thema Android-Mobilgeräte zeigt einige durchaus erfreuliche Trends auf. Daneben findet sich aber auch eine sehr beunruhigende Statistik: Lediglich jedes zweite Android-Mobilgerät erhielt im Laufe des letzten Jahres ein Sicherheitsupdate. Teilweise mag es an bequemen oder unwissenden Nutzern liegen. Das Hauptproblem ist jedoch die starke Fragmentierung der Android-Welt und die Tatsache, dass gerade kleinere Hersteller die Updates oftmals gar nicht zeitnah für ihre Geräte anpassen. Google will nun helfen, die Situation zu verbessern.

Verbesserungen bei Sicherheitsfeatures, geringere Verbreitung von Schadsoftware

Rund 1,4 Milliarden aktiv genutzte Mobilgeräte mit Googles Betriebssystem Android gibt es derzeit, schätzt Google. Wie sicher sind jedoch diese gigantischen Mengen an Smartphones und Tablets? Aktuelle Untersuchungen zeigen Licht wie auch Schatten.

Googles aktueller Sicherheitsbericht zeigt einige erfreuliche Entwicklungen auf. So hat die Anzahl mit Schadsoftware infizierter Geräte im Jahr 2016 gegenüber dem Vorjahr abgenommen. So nahm die Anzahl von Trojanern gegenüber 2015 um gut 50 Prozent ab; diese machten insgesamt nur noch 0,016 Prozent aller von Googles Sicherheitssoftware untersuchten Downloads aus. Der Anteil der Phishing-Apps sank sogar um 70 Prozent. Nur noch auf 0,05 Prozent der Geräte, die nur aus Googles Play Store mit Apps versorgt werden, fand sich bei Untersuchungen ein „potentiell schädliches“ Programm. 2015 waren es noch 0,15 Prozent gewesen. Insgesamt waren rund 0,7 Prozent aller untersuchten Android-Geräte von einer solchen, womöglich schädlichen Software befallen.

Auch das Android-Betriebssystem selbst wird nach Ansicht Googles immer sicherer. Dafür hat sich der Software-Gigant sehr ins Zeug gelegt und in die aktuelle Betriebssystem-Version „7.0 Nougat“ eine ganze Reihe neuer Sicherheitsfeatures eingebaut. Darunter sind verbesserte Möglichkeiten zur Verschlüsselung – aktuell ohnehin ein großes Thema in der IT-Welt – und bessere Sicherheitsfeatures beim Abspielen von Musik- und Videodateien.

Auch das hauseigene „Bug Bounty“-Programm gewann an Bedeutung. Im Laufe des Jahres schüttete Google fast eine Million US-Dollar an Sicherheitsforscherinnen und Sicherheitsforscher aus, die halfen, Schwachstellen in der Software zu entdecken.

Updates: Nur jedes zweite Gerät wurde 2016 versorgt

Ein großes Problem allerdings zeigt der Sicherheitsbericht auf. Von den 1,4 Milliarden Android-Geräten erhielt im Jahr 2016 lediglich rund die Hälfte ein sogenanntes Plattform-Sicherheitsupdate. Google berichtet, rund 735 Millionen Android-Geräte von etwa 200 Herstellern mit entsprechenden Updates versorgt zu haben. Der Rest ging leer aus.

Die Hauptursache für dieses Problem ist keineswegs eine mangelnde Bereitschaft Googles, an der Sicherheit seiner Geräte zu arbeiten – das zeigen die Berichte über anderenorts in diesem Bereich getätigte Investitionen wohl deutlich. Auch ist in diesem Fall – anders als beispielsweise bei der Passwortsicherheit – die Ursache höchstens in zweiter Linie beim Benutzerverhalten zu suchen.

Das Hauptproblem ist vielmehr die Vielzahl im Umlauf befindlicher Android-Versionen, auch als „Android Fragmentation“ bezeichnet. Aktuell teilen Betriebssystem-Versionen von 4.4 bis 7.0 unter sich den Markt auf. Hinzu kommt, dass selbst innerhalb einer nominell identischen Android-Version keineswegs alle Systeme gleich sind. Vielmehr nehmen die meisten Smartphone-Hersteller mehr oder weniger umfangreiche Änderungen an Treibern, Bedienkonzept und Benutzeroberfläche vor.

Auf all diese verschiedenen Versionen und Besonderheiten muss ein Android-Sicherheitsupdate erst angepasst werden, bevor es verteilt werden kann, und es muss in Tests sicher gestellt werden, dass der Patch auch wie vorgesehen funktioniert und keine Probleme verursacht. All das kostet Zeit und Geld. Selbst große Hersteller versorgen gerade ältere Geräte teilweise nur schleppend mit Updates. Bei kleineren Anbietern warten die Nutzerinnen und Nutzer oft sehr lange oder Updates werden gar nicht erst verteilt. So kommt es zu den von Google berichteten, alles andere als zufriedenstellenden Zahlen.

Google ist in der Pflicht

In gewisser Hinsicht gleicht die Situation bei Android-Mobilgeräten der im Smart-Device- und Router-Bereich: Updates werden häufig gar nicht oder zu spät bereitgestellt oder von den Benutzern nicht als wichtig wahrgenommen. So kommt es zu gefährlichen Schutzlücken. Schwachstellen in der Software werden nicht zeitnah behoben und können so womöglich für Angriffe ausgenutzt werden. Im Falle von hunderttausenden Android-Geräten ist das destruktive Potential hier womöglich erheblich.

Wie auch bei Routern und ähnlichen Geräten kann hier nur herstellerseitig effektiv Abhilfe geschaffen werden. Auch Geräte mit einer eher kleinen Verbreitung müssen zeitnah Updates erhalten. Google hat schon angekündigt, sich des Problems annehmen zu wollen. Künftig will der Software-Gigant enger mit den Geräteherstellern zusammenarbeiten und es ihnen leichter machen, Sicherheits-Updates auf ihre jeweilige, individuell modifizierte Plattform anzupassen. Nun ist es an der Öffentlichkeit und vor allem der IT-Fachwelt, Google auf die Finger zu schauen und dafür zu sorgen, dass es nicht bei einem bloßen Lippenbekenntnis bleibt. Nur so kann die Welt der Android-Mobilgeräte effektiv abgesichert werden.


Image (adapted) „Lg“ by hawkHD (CC0 Public Domain)


 

Weiterlesen »

Safer Internet Day: Tipps beim Verlust von Daten und Datenträgern

broken-window (adapted) (Image by skeeze [CC0 Public Domain], via pixabay)

Jedes Jahr am zweiten Tag der zweiten Woche des zweiten Monats findet der Safer Internet Day (SID) statt, in diesem Jahr am 7. Februar. Der Safer Internet Day ist ein von der Europäischen Union initiierter jährlich veranstalteter weltweiter Aktionstag für mehr Sicherheit im Internet. Dieser Artikel befasst sich mit dem Thema Verlust von Daten.


Wenn Dritte sensible Informationen durch die Infizierung eines Computers mit Schadsoftware stehlen, nennt man das Phishing. Die dafür genutzte Schadsoftware attackiert Geräte meist über E-Mails, die Links zu Angeboten von beispielsweise Banken, Online-Händlern oder Lieferdiensten enthalten. Vertrauenswürdige Nutzer, die diese Links anklicken, installieren somit unbemerkt die Schadsoftware auf dem eigenen Gerät.

Mit den auf diese Art gesammelten persönlichen Daten, geben sich Kriminelle dann als ihre Opfer aus. Durch die gestohlene Identität versuchen sie unter Umständen auf das Bankkonto ihres Opfers online zuzugreifen oder mit der Identität ihres Opfers teure Wertgegenstände zu bestellen. Die Ware bekommen dann die Täter, ihre Opfer erhalten nur noch die Rechnung. Derartige Vorkommnisse sollten stets der Polizei gemeldet werden.

Es ist deshalb äußerst wichtig, dass Angebote und Aufforderungen in Mails erst einmal geprüft werden. Ist es üblich, dass die eigene Bank einem solche Mails zuschickt? Bin ich überhaupt Kunde bei dem Versandhändler, der mir ein Angebot macht? Andere Hinweise können grammatikalisch falsche Formulierungen oder logische Schwächen in den Ausführungen sein. Verdächtige Mails sollten als Spam markiert und gelöscht werden.

Verlust sensibler Daten durch Cyberangriffe

Viele Phishing-Attacken bleiben trotz guter Anti-Virensoftware unbemerkt. Wenn Betroffene allerdings Unregelmäßigkeiten auf ihren Konten feststellen, sollten sie die Polizei und ihr Bankinstitut sofort darüber informiert und die Sperrung der eigenen Karten beantragt werden. Der genaue Vorgang kann von Bank zu Bank unterschiedlich sein.

Für ein Benutzerkonto oder das eigene E-Mail-Konto, kann ein neues Passwort beantragt werden. Zusätzlich sollten die Dienstanbieter über den Vorfall informiert werden. Viele Plattformen bieten auch zusätzliche Sicherheitsmaßnahmen an, wie beispielsweise das Versenden eines Login-Codes per SMS oder an eine hinterlegte, zweite E-Mail-Adresse.

Sollten Kriminelle mit den persönlichen Informationen eines Opfers weitere Online-Profile angelegt haben, sollten Betroffene die Plattformen sofort über das falsche Profil und den Identitätsdiebstahl informieren. Auf Facebook hilft es auch schon, wenn viele Menschen ein Profil melden. Betroffene könnten ihre Freunde in den sozialen Netzwerken um Hilfe bitten.

Verlust physischer Datenträger mit sensiblen Informationen

Gegen den Diebstahl des Laptops oder des eigenen Smartphones kann man sich natürlich nicht schützen, man kann aber versuchen den Schaden gering zu halten. Von allen Geräten lassen sich Sicherheitskopien erstellen und extern oder online speichern, so dass man bei einem Verlust dann mit einem neuen Gerät auf die eigenen Daten wieder zugreifen kann.

Zugleich sollte man versuchen, den Zugriff von Dritten auf die eigenen Daten zu unterbinden. Beim Verlust des Smartphones sollte umgehend die SIM-Karte gesperrt werden. Im Idealfall hat man den Zugriff auf das eigene Smartphone sowieso schwergehalten, indem man das Gerät nur mit einer PIN entsperren kann.

Es lassen sich auch durch sogenannte „Remote Wipe“-Funktionen nachträglich noch Daten von Computern und Smartphones, die noch online sind, sichern und löschen. Solche Programme müssen aber vorab installiert und eingerichtet worden sein. Des Weiteren lassen sich Festplatten in Computern auch verschlüsseln. Dies ist ein zusätzlicher Schutz neben der üblichen Passwortabfrage gegen Zugriff durch Dritte, nicht nur bei Diebstahl.


Image (adapted) “broken window“ by skeeze (CC0 Public Domain)


Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • AIRBNB fortune: Airbnb Sues Its Hometown Over Latest Short-Term Rental Crackdown: San Francisco möchte, dass sich Anbieter von Privatunterkünften bei der Stadt registrieren. Für Airbnb ein Grund gegen seine Heimatstadt zu klagen. Die Stadt hatte damit gedroht, Verantwortliche von Airbnb ins Gefängnis zu stecken, wenn sich die Wohnungsvermieter nicht bei der Stadt registrieren lassen. Das Unternehmen wollte dies nicht hinnehmen und reichte Klage ein. Laut Airbnb verstoße die Auflage der Stadt San Francisco gegen zwei Bundesgesetze und die Bundesverfassung.
  • MICROSOFT theverge: Microsoft pays woman $10,000 for forcing Windows 10 installation: Viele Leute haben sich schon über die aggressive Strategie geärgert, wie Microsoft sein neues Betriebssystem „Windows 10“ auf die PCs bringt. Öfter wurde angegeben, dass sich das System ohne Erlaubnis auf den Computern von Windows-Nutzern installiere. Auch bei Teri Goldstein war dies der Fall. Nachdem sich das Betriebssystem automatisch auf ihrem Computer installiert hatte, funktionierte dieser nicht mehr richtig. Goldstein ging vor Gericht und Microsoft wurde zu einer Geldstrafe von $10.000 verurteilt, die an Teri Goldstein ausgezahlt werden müsse. Dieses Urteil könnte mehrere solcher Klagen für Microsoft bedeuten.
  • PETITION golem: 300.000 wehren sich gegen Ende der iPhone-Kopfhörerbuchse: Apple’s Pläne, die 3,5mm – Klinkenbuchse beim neuen iPhone7 wegzulassen stößt bei den Kunden auf wenig Zuspruch, sodass sich 300.000 Stimmen nun mit einer Petition, veranlasst von der Organisation Sum of Us, wehren wollen. Ein Nachteil bedingt durch die Änderung wäre, dass man zum Einstecken von Kopfhörern einen extra Adapter bräuchte, was natürlich mehr Aufwand für den Kunden mit sich bringt.
  • TELEKOM heise: Nutzerdaten zum Verkauf: Telekom fordert Kunden zum Passwortwechsel auf: Die Deutsche Telekom fordert ihre Kunden zum Passwortwechsel auf. Derzeit verkaufen Kriminelle in Online-Underground-Foren die Log-In-Daten von t-Online- Mailadressen einschließlich der Passwörter. Mit dem Zugriff auf das Konto und dem gleichzeitigen Zugang zum Kunden-Center, können die Hacker Bestellungen und Vertragsänderungen verrichten. Betroffen sein sollen zwischen 64.000 und 120.000 Konten.
  • ENTWICKLUNG t3n: Von Instagram bis Whatsapp: So haben sich einige der bekanntesten Apps über die Jahre verändert: Manchmal muss man den Blick auf die Vergangenheit richten, um zu sehen, wie sich Dinge über die Jahre entwickelt haben. Die Website „Great Apps Timelime“ nimmt sich nun populäre Apps als Beispiel und zeigt welche Veränderung, beispielsweise Whatsapp und Instagram, im Laufe der Jahre erfahren haben. Ein Ausbau der Seite durch weitere Apps (bisher sind es acht) soll in Zukunft folgen.
Weiterlesen »

Soeben gelandet – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • Amazon cnet: Amazon continues crackdown on alleged fake reviews: Online Shopping hat den Nachteil, dass die Produkte nicht vor Ort angeschaut und getestet werden können. Demnach verlassen sich Käufer auf die Kundenbewertungen Anderer. Das ist sich auch Amazon bewusst. Aus dem Grund möchten sie ihren Kunden ehrliche Bewertungen liefern, die dem Produkt wirklich entsprechen. Um die Echtheit zu garantieren, werden die einzelnen Kundenbewertungen überprüft, sollten sich Fakes herausstellen, werden die Seiten, die dafür verantwortlich sind, gerichtlich verfolgt – bisher mit Erfolg.
  • SOCIAL MEDIA tn3: Social Media: Teenager erreicht man bei WhatsApp, Instagram und Snapchat: Nach neuesten Umfragen haben Facebook und Twitter an Beliebheit bei den Jugendlichen verloren. Die neue Generation tummelt sich bevorzugt auf Instagram, Whatsapp und neuerdings bei dem Schnell-Aufsteiger Snapchat. Außerdem unterscheiden sich die Nutzung der unterschiedlichen Apps bei dem Geschlecht und der Herkunft der Jugendlichen. Wer das junge Volk erreichen will, muss sich mit den neuen Apps befassen.
  • SMARTPHONE Gründerszene: Münchner IDnow last Verträge per Smartphone unterschreiben: Wenn eine Unterschrift zur Last wird – Das Start-Up IDnow hat eine Lösung gefunden, die das Unterschreiben der Kunden vereinfacht. Statt persönlich zu erscheinen oder schriftliche Unterlagen einzureichen, können Kunden mit IDnow ganz einfach per Smartphone ihre Verträge unterschreiben. Mit ihrer neuen Signatur, die mehr Rechtssicherheit garantiert, entsteht noch mehr Flexibilität für den Kunden und der Bank – Denn Smartphones sind ständig dabei.
  • PHISHING heise: Apple ID und iCloud: Gezieltes Phishing mit Texnachrichten: Wer eine Nachricht mit persönlicher Anrede  und dann noch mit seriöser Weiterleitung per Link erhält, wird zunächst an nichts Falsches denken. Seit kurzem kursieren einige Textnachrichten mit persönlicher Anrede umher, die den Empfänger aus Sicherheit auffordern, die eigene Apple ID oder iCloud weiterzugeben. Hierbei handelt es sich um ein gezieltes Phishing und Klauen der IDs  – Also vorsichtig sein und nicht fremden Links folgen!
  • Lingohop Digital Trend: Lingohop wants to make language learning personal relevant to you: Viele Sprachschulen lehren erst mal eine Sprachbasis, die häufig nicht relevant für diejenigen sind, die überhaupt eine neue Sprache erlernen möchten. Aber es ist nun mal die Basis und die traditionelle Art des Erlernens einer Sprache – die Erfinder von Lingohop sehen das anders. Mit ihrer neuen App, die jetzt auf Kickstarter zum Leben gerufen wurde, soll die neue Sprache auf Basis der Relevanz der Nutzer beigebracht werden. Es können gezielte Situationen gewählt werden, die dann dazugehörige Wörter und Sätze lehren, sodass man für jede Situation bestens vorbereitet ist.

chalabala / 123RF Lizenzfreie Bilder


Weiterlesen »

Phishing bei der Polizei: (IT-) Sicherheit und der menschliche Faktor

No phishing! (adapted) (Image by Widjaya Ivan [CC BY 2.0] via flickr)

Bei der Berliner Polizei ließen sich mehr Beamte als befürchtet von einer Phishing-Mail täuschen – glücklicherweise handelte es sich hierbei nur um einen Testlauf. Trotzdem ist der Vorfall besorgniserregend und ein Hinweis darauf, dass das Bewusstsein für Sicherheitsthemen dringend gestärkt werden muss.

Bei der Polizeibehörde von Berlin fand vor kurzem ein Test statt, der das Verhalten der Beamten beim Thema IT-Sicherheit testen und sie für entsprechende Bedrohungen sensibilisieren sollte. Dabei wurden insgesamt 466 Phishing-Mails verschickt. Die E-Mails griffen das Corporate Design der Behörde auf und forderten die Beamten auf, ihre dienstlichen und privaten Passwörter im sogenannten „sicheren Passwortspeicher der Polizei Berlin“ zu deponieren.

Das Ergebnis dieses Tests fiel ernüchternd aus. 252 Empfänger, also mehr als 50 Prozent, öffneten die E-Mail und den dazugehörigen Link – genug, um den Rechner im Rahmen eines sogenannten Drive-by-Downloads mit Schadsoftware zu infizieren. 35 Polizisten gingen sogar noch weiter und hinterlegten, wie in der E-Mail verlangt, persönliche Benutzerdaten und Passwörter.

Mehr Sicherheitsbewusstsein schaffen

Durch das Experiment soll das Sicherheitsbewusstsein der Beamten gestärkt werden. Wie dringend das nötig ist, zeigen die Reaktionen der Mitarbeiter. Ob bei Behörden oder in der freien Wirtschaft: jedes sinnvolle Sicherheitskonzept muss den menschlichen Faktor berücksichtigen. Gleichzeitig zeigt das Experiment auch, wie riskant es ist, staatlichen Behörden sensible Daten bedenkenlos anzuvertrauen.

Dabei geht es nicht um Schuldzuweisungen oder Lächerlichmachen der hier Betroffenen. Immerhin ist es löblich, dass das Problem erkannt und angegangen wird – und, wie das Vorstandsmitglied der Gewerkschaft der Polizei Steve Feldmann ganz richtig erklärte: „Die Polizei ist nur ein Spiegelbild unserer Gesellschaft.“ Das mäßige Abschneiden der Berliner Beamten beim Phishing-Test ist symptomatisch für ein Problem, das unsere gesamte Gesellschaft betrifft.

Angesichts wachsender Bedrohungen, wie beispielsweise durch staatliche Akteure oder zunehmend professioneller werdende IT-Kriminelle rückt das Thema IT-Sicherheit seit einigen Jahren verstärkt in den Fokus. Längst befassen sich nicht mehr nur Fachmedien und Experten damit. Bei vielen Diskussionen wird allerdings nach wie vor vor allem über technische Lösungen gesprochen. Diese sind zweifellos notwendig und wichtig – können aber immer nur ein Teil eines tragfähigen Sicherheitskonzepts sein.

Der menschliche Faktor: Noch immer unterschätzt

Oft genug wird der menschliche Faktor bei der Absicherung sensibler Systeme und Daten nicht ausreichend berücksichtigt. Denkweisen wie diese treten häufig auf, vornehmlich in der IT-Branche, denn hier wird immernoch eher in technischen Konzepten gedacht, statt die menschliche Erfahrung zu berücksichtigen. Dann hilft jedoch auch das beste technische Sicherheitssystem nicht, wenn Menschen dies – entweder aus Ungeduld, Bequemlichkeit oder schlichter Unwissenheit – umgehen. Nicht umsonst funktionieren einige Tricks des „Social Engineering“ seit mindestens 500 Jahren, und nicht umsonst gibt es aus fast jeder zeitlichen Epoche Anekdoten, wie vermeintlich unschlagbare Sicherheitssysteme durch schlichte menschliche Irrtümer oder psychische Manipulation zu Fall gebracht wurden.

In Zeiten der Informationsgesellschaft, in denen immer mehr Menschen regelmäßig mit sensiblen Daten hantieren und auf der anderen Seite eine erhebliche Bedrohung für diese Daten existiert, ist es daher wichtig, auch den menschlichen Faktor zu berücksichtigen. Glücklicherweise wird dem Thema „Security Awareness“ seit einigen Jahren zunehmend mehr Beachtung geschenkt. Bis diese allerdings der Bedeutung des Themas entspricht, muss noch einiges getan werden.

Den Anwender im Blick bei Training und Design

IT-Sicherheit ist schon lange nicht mehr nur für Fachleute interessant. Alle diejenigen, die den Computer und das Internet nutzen (vor allem diejenigen, die das auch beruflich tun), sollten zumindest ein Mindestmaß an Verständnis dafür haben, welche Gefahren das mit sich bringt und wie diese vermieden werden können. Das soll keineswegs in Hysterie und Panikmache ausarten und auch keine Aufforderung sein, auf eine Nutzung von IT zu verzichten.

Den Nutzern soll lediglich eine gewisse Grund-Vorsicht beigebracht werden – wie wir sie auch von klein auf im Straßenverkehr anwenden, ohne diesen als sonderlich bedrohlich wahrzunehmen. Und sie müssen lernen, Bedrohungen zu erkennen und sich sicherheitsbewusst zu verhalten. Firmen, die mit sensiblen Daten umgehen, sollten entsprechende Trainings für ihre Mitarbeiter abhalten.

Hilfe von den Machern ist gefragt

Auch privat kann man für mehr Datensicherheit und Awareness sorgen: Eine kleine Hilfestellung für nicht netzversierte Menschen, mit anschaulichen, gut verständlichen Beispielen und konkreten Verhaltenstipps kann jede Menge Ärger vorbeugen – und sorgt für mehr Bewusstsein bei der Datensparsamkeit.

Daneben sind aber auch die Software- und Webdesigner in der Pflicht. Sie sind gefragt, wenn es darum geht, Sicherheits-Features so zu gestalten, dass der Benutzer alle relevanten Informationen enthält, ohne von diesen genervt oder überfordert zu werden. In den letzten Jahren hat es in diesem Bereich erhebliche Fortschritte gegeben. Es besteht aber noch einiges Potential für Verbesserungen.

Der Phishing-Vorfall bei der Berliner Polizei ist jedoch nicht nur ein Hinweis darauf, dass wir mehr für das Sicherheitsbewusstsein der Bevölkerung tun müssen. Er zeigt auch, dass es falsch ist, blindes Vertrauen in die Behörden und ihren Umgang mit sensiblen Daten zu haben. Nicht, weil die Behörden in dieser Hinsicht besonders schlecht aufgestellt sind – sondern eher, weil sie genauso fehlbar sind wie viele andere Akteure. Viele Menschen akzeptieren Überwachungsmaßnahmen wie die Vorratsdatenspeicherung im Vertrauen auf den verantwortungsbewussten Umgang der Behörden mit den gespeicherten Daten und ihre scheinbar überzeugenden Sicherheitskonzepte.

Das allerdings kann ein Trugschluss sein. Zwar ist das Risiko eines Angriffs, bei dem gespeicherte Telekommunikationsdaten in falsche Hände fallen, nur eines von vielen Risiken bei exzessiver staatlicher Überwachung. Dennoch muss der Vorfall ernstgenommen werden. Man kann dem Problem nur mit Datensparsamkeit, also die Vermeidung unnötiger Datenspuren, sinnvoll begegnen – denn wo viele Daten gespeichert wird, gibt es allzu oft auch Fehler im Umgang mit diesen, seien sie nun menschlicher oder technischer Natur.


Image (adapted) „No phishing!“ by Widjaya Ivan (CC BY 2.0)


 

Weiterlesen »