Proofpoint stellt „Der Faktor Mensch“-Report vor

Vor Kurzem wurde die Studie „Der Faktor Mensch“ von Proofpoin, Inc. herausgebracht. Durch die Auswertung von Milliarden Benachrichtigungen, Dateianhängen und Cloud-Konten über ein Jahr hinweg wurden hier die aktuellsten Bedrohungen der Cyberwelt ermittelt.

Es folgen die wichtigsten Erkenntnisse des Berichtes mit Fokus auf drei wesentlichen Aspekten: Verwundbarkeit, Angriffsart und Zugriffsprivilegien.

  • Das Smartphone ist ein primäres Angriffsziel.
    Cyberkriminelle verschaffen sich über Smishing-Angriffe (via SMS) Zugang zum Berufs- und Privatleben von Menschen. Dabei werden gerne falsche Lieferbenachrichtigungen versandt, um persönliche Daten abzugreifen.
  • Privilegierte Nutzer sind ein primäres Angriffsziel.
    Etwa die hälfte aller Angriffe zielen auf Manager und sonstige Führungskräfte ab, die über erhöhte Nutzerrechte verfügen.
  • In 80 % der Fälle werden Lieferanten-Konten angegriffen, wodurch Unternehmen in der Lieferkette auch zum Ziel werden.
  • Angriffe werden am häufigsten über Microsoft Onedrive und Google Drive durchgeführt.
  • Malware-Gruppen und Ransomware-Betreiber arbeiten eng zusammen
  • Aktuelle Popkultur wird ausgenutzt.
    So werden etwa E-Mails verschickt, die einen früheren Zugang zur 2. Staffel von „Squid Game“ versprechen.
  • Weltweite Konflikte werden ausgenutzt.
    Politisch motivierte Angreifer zielen etwa auf ukrainische Organisationen und Kommunikationsinfrastrukturen.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/proofpoint-stellt-der-faktor-mensch-report-vor-18452
https://www.proofpoint.com/de/resources/threat-reports/human-factor

Vishing-Angriffe auf Rekordniveau

In den vergangenen 12 Monaten hat die Anzahl der Vishing-Fälle (Voice-Phishing) um fast 550 Prozent zugenommen. Dies ging aus dem aktuellen „Quaterly Threat Trends & Intelligence Report“ von Atari und PhishLabs hervor. Der Report bietet neueste Erkenntnisse und Einblicke in die wichtigsten Trends der aktuellen Bedrohungslage.

So haben Vishing-Angriffe seit dem dritten Quartal 2021 bereits die „Offenlegung geschäftlicher E-Mails“ als zweithäufigst gemeldete E-Mail-Bedrohung überholt. Zum Jahresende 2021 hin war bereits mehr als jede vierte gemeldete, reaktionsbasierte Bedrohung ein Voice-Phishing-Fall.

Ebenfalls wichtige Erkenntnisse des Reports:

  • Zunahme von Angriffen mit gefälschten Social Media-Identitäten
  • weiterhin hohe Zahlen von gemeldeten Fällen von Diebstahl der Zugangsdaten per E-Mail
  • stetige Weiterentwicklung der Malware-Landschaft

Laut HelpSystem-Chefstratege John LaCour ist eine Zunahme von Angreifern zu beobachten, welche anstelle von Voice-Phishing-Kampagnen mehrstufige E-Mail-Angriffe durchführen. Hierbei verwenden die Akteure eine Rückrufnummer im Text der E-Mail als Köder und nutzen Social Engineering zur Erstellung einer falschen Identität um ihr Opfer letztendlich zur Aktion eines Anrufs dieser Nummer zu leiten.

Durch die Vielzahl von Möglichkeiten, die den Angreifern heutzutage zur Verfügung stehen, kann man sich nicht mehr nur auf den Schutz des Netzwerkbereichs beschränken. Ein umfassender Überblick über externe Kanäle, so wie die Investition von Sicherheitsteams in Partnerschaften, die vollständige Abwehr von Angriffen gewährleisten, werden empfohlen.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/vishing-angriffe-auf-rekordniveau-18436

Trotz massivem Datenleck kein Bußgeld für Buchbinder

Im Januar 2020 wurde bei der Transportfirma Buchbinder ein Datenleck entdeckt. Bei einem Backup-Server tauchte ein Konfigurationsfehler auf wodurch 10 TB an Daten, bestehend aus Namen, Telefonnummern und Adressen, nach außen zugänglich gemacht wurden.

Aufgrund der ungeschützten Zugänglichkeit liegt hier eine Verletzung von Artikel 32 der Datenschutzgrundverordnung (DSGVO) vor. Maßgeblich ist dabei, dass aufgrund der Fehlkonfiguration unbefugter Zugriff überhaupt möglich gemacht wurde. Laut der bayrischen Datenschutzbehörde bestand jedoch kein Anlass, „von Abhilfe- beziehungsweise Sanktionsbefugnissen Gebrauch zu machen“. Die Begründung darf man durchaus als wunderlich empfinden.

Die Buchbinder-Gruppe will nämlich durch Auswertung der Logdateien nachgewiesen haben, dass es nur eine „begrenzte, gegebenenfalls sogar individuell identifizierbare und damit spezifisch zu bewertende Anzahl von Akteuren“ gab. Es gebe aufgrund der Analysen des Netzverkehrs „eine geringe Eintrittswahrscheinlichkeit eines Abrufs mit dem Zweck eines Datenmissbrauchs“.
Sprich: Es wird kein Bußgeld für die Firma Buchbinder erhoben, weil sich die Zugriffe von außerhalb im Rahmen hielten und die Intention beim Zugriff auf die Daten nicht böswillig waren. Ob die ausgewerteten Logdateien tatsächlich echt oder im Nachhinein manipuliert wurden, sei einmal dahingestellt.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/dsgvo-trotz-massivem-datenleck-kein-bussgeld-fuer-buchbinder-2205-165141.html

EU einigt sich auf Digitale-Dienste-Gesetz

Das „Plattformgrundgesetz“ wurde kürzlich von der EU-Kommission unter Führung von Ursula von der Leyen verhandelt und soll noch diesen Sommer endgültig beschlossen werden.
Es handelt sich dabei um den zweiten Teil eines Zwillingsabkommens – in dem Zusammenhang wurde vor einigen Wochen bereits das Digitale-Märkte-Gesetzt erlassen.
 
Es sollen damit einheitliche Standards und faire Bedingungen für Nutzerinnen und Nutzer europaweit  geschaffen werden. Besonders „sehr große Plattformen“ (z. B. Google, Facebook, Apple, Amazon) müssen mit speziellen Auflagen rechnen. Bei Verstoß können bis zu sechs Prozent des Umsatzes als Strafzahlung anfallen.

Zu den Auflagen gehören:

  • Es müssen Prozesse für das Melden illegaler Inhalt bereitgestellt werden. Einschließlich unabhängiger Beschwerdemöglichkeiten, wenn Einspruch gegen eine Löschung/Sperrung erhoben wird.
  • Es soll verpflichtend werden, illegale Inhalte zu entfernen oder Informationen darüber herauszugeben, wenn es eine Behörde anordnet.
  • Es kann der Status eines „Trusted Flaggers“ an Organisationen verliehen werden, deren Inhaltsmeldungen mit erhöhter Priorität bearbeitet werden sollen.
  • Know-your-customer-Prinzip: Auf Handelsplattformen (wie eBay) sollen Informationen wie Name, Adresse, Ausweiskopie und Bankdaten verpflichtend eingeholt werden.
  • Transparenzauflagen: Es muss offengelegt werden, wenn automatisierte Tools (z. B. Uploadfilter) zum Einsatz kommen, welche und wie viele Konten/Inhalt zu unrecht gesperrt wurden und warum welchen Nutzern Werbung angezeigt wird.
  • Risikoeinschätzungen: Es sollen regelmäßig Einschätzungen gemacht werden, wie weit sich illegale Inhalte, Grundrechtsverletzungen und Desinformationen ausbreiten. Fernen sollen mögliche Gegenmaßnahmen vorgeschlagen werden und die EU-Kommission behält sich vor, zu bestimmen, ob die Maßnahmen ausreichen und ob sie eingehalten werden.
  • Datenzugang für Forscher: Spezielle Zugänge sollen geschaffen werden, um das Sammeln von Daten für Forschungszwecke (etwa der Bekämpfung von Hassrede und Desinformation) zu ermöglichen.

Trotz zahlreichen Lobes über die Geschwindigkeit der Anpassungen und Durchsetzung des Gesetzes kritisierte Patrick Breyer, Abgeordneter der Piraten, die Einigung als unzureichend. Das Digitale Grundgesetz versage „vielfach beim Schutz unserer Grundrechte im Netz“, da u. a. ein Verbot der Nutzung von sensiblen persönlichen Daten (politische Meinung, sexuelle Vorlieben etc.) „stark verwässert“ wurde.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2022/durchbruch-eu-einigt-sich-auf-digitale-dienste-gesetz/

Fast die Hälfte der Unternehmen traut sich nicht zu, Sicherheitslücken zu schließen

In ihrem Bericht „2022 Attack Resistance Report“ legt die Firma Hackerone die sogenannte „Attack Resistance Gap“ dar – eine Lücke zwischen den Sicherheitsmaßnahmen, die eine Firma ergreifen kann, und denen, die sie tatsächlich ergreifen muss. CEO von Hackerone, Marten Mickos, erklärt dazu: „Kenntnis reduziert das Risiko. Nur Unternehmen, die ihre Attack Resistance Gap kennen, sind in der Lage, sie zu verkleinern.“

Im Vordergrund stehen dabei 4 Bereiche, in denen sich Unternehmen gegen Cyberangriffe wappnen müssen.

  1. Kenntnis um die Angriffsfläche, die Cyberkriminellen zur Verfügung steht.
  2. Die Frequenz der Anwendungstests im Verhältnis zu den Release-Zyklen.
  3. In welcher Art und Tiefe Sicherheitstests durchgeführt werden.
  4. Wie verfügbar die Fachkräften rund um Cybersicherheit sind.

Laut Hackerone erzielen gefragte Unternehmen aus Europa und Nordamerika hier einen Confidence Score von 63 %. Unter den Befragten gaben ein Drittel an, weniger als 75 % ihrer Angriffsflächen zu überwachen. Etwa 20 % (10 % davon deutsche Unternehmen), dass sich mehr als die Hälfte ihrer Angriffsfläche entweder unbekannt ist oder sich nicht überwachen lässt. Des weiteren bezweifeln 44 % der Unternehmen (15 % in Deutschland), dass sich die eigene Attack Resistance Gap schließen lässt.

Als prädominanter Grund wird Fachkräftemangel genannt – immerhin von 44 % der Unternehmen (15 % in Deutschland).  Ferner sehen ein Drittel der Befragten einen Grund für mangelhafte Sicherheitstests in schlechter Zusammenarbeit der internen Teams. Die Teams, die für Sicherheit und Entwicklung in Unternehmen zuständig sind, sehen wiederum die stetig wechselnden Anforderungen an die Sicherheitsmaßnahmen als Grund an. Weiterhin werden unzureichende Produkttests und die Abhängigkeit von Sicherheits- und Scan-Tools als Gründe genannt.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/fast-die-haelfte-der-unternehmen-traut-sich-nicht-zu-sicherheitsluecken-zu-schliessen-18379

Yandex sendet Daten nach Russland

Yandex ist ein russischer Konzern, der die größte Suchmaschine im russischsprachigen Raum betreibt. Über eine API (Datenschnittstelle) von Appmetrica, eine Analyse- und Marketing-Plattform für Apps, soll Yandex Zugang zu Millionen von Nutzerdaten bekommen haben.

Dies wurde ursprünglich von der Financial Times berichtet. Yandex bestätigte dies zunächst. Trotz der Behauptung, dass einzelne Nutzer aus den Daten nur schwer zu identifizieren sei, steht zu befürchten, dass die Daten auch an russische Sicherheitsbehörden weitergegeben wurden.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/datenschutz-yandex-sendet-daten-nach-russland-2203-164254.html

Mit diesen sechs Tricks werden Nutzerdaten abgegriffen

Dark Patterns – so bezeichnet man Praktiken, die u.a. in Cookie-Bannern zum Einsatz kommen, um Daten der Nutzer durch Täuschung und Manipulation abzugreifen. Diese verstoßen gegen das Prinzip der informierten Einwilligung der DSGVO und sind somit rechtswidrig. Das EDPB (European Data Protection Board) hat hierzu eine Orientierungshilfe zur Gestaltung von Cookie-Bannern herausgebracht.

Folgende Methoden gilt es, zu vermeiden:

  • Overloading (Überlastung):
    Es wird eine so große, unüberschaubare Menge von Informationen/Optionen geliefert, dass der Nutzer genötigt wird, ein „OK“ zur Datenweitergabe zu geben, anstatt sich durch ein Datenschutzlabyrinth klicken zu müssen. Hierzu gehört auch, eine Zustimmung durch einen einfachen Klick zu ermöglichen während eine klare Ablehnung gar nicht angeboten oder erst in den Einstellungen gesucht werden muss.
  • Skipping (Überspringen):
    Es wird eine Option präsentiert, bestimmte Informationen zu überspringen, oder eine Einstellung für alle Optionen zu übernehmen. Dies zielt darauf ab, dem Nutzer eine vermeintlich einfache Möglichkeit zu geben, bei der jedoch eine Ablehnung der Datenweitergabe übersprungen wird.
  • Stirring (Emotional berührend):
    Es werden mit Nachrichten oder Bildern Unsicherheiten geschürt. Nutzer sollen sich unsicher, verängstigt oder schuldig fühlen, wenn sie beispielsweise nicht ihre Positionsdaten teilen, weil „Vernetzung die Welt zu einem besseren Ort macht“.
  • Hindering (Behindern):
    Nutzer werden mit irreführenden Informationen, Sackgassen, fehlenden Kontrollmöglichkeiten oder unnötig langen Bearbeitungszeiten konfrontiert, um eine Ablehnung der Datenweitergabe möglichst schwer zu machen.
  • Fickle (Vernebeln):
    Informationen werden durch fehlende Hierarchien, kleine Schrittgrößen, kleine Buttons oder wenig kontrastreiche Farben unklar präsentiert.
  • Left in the Dark (Im Dunkeln lassen):
    Es werden uneinheitliche Begrifflichkeiten, widersprüchliche Informationen oder einfach mehrdeutige Sprache verwendet, um die tatsächlichen Kontrollmöglichkeiten der Nutzerdaten zu verschleiern.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/dark-patterns-mit-diesen-sechs-tricks-werden-nutzerdaten-abgegriffen-2203-164148.html

BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor dem russischen Herstellers Kaspersky und empfiehlt, dessen Virenschutzsoftware durch Alternativen zu ersetzten.

Da Antivirusprogramme über weitreichende Rechte im System und eine permanente Verbindung zu den Herstellerservern verfügen, ist ein Vertrauen in die Sicherheit eines Herstellers essenziell.

Diese Sicherheit steht bei Kaspersky jedoch infrage, bedenkt man die Drohungen von Russland gegen NATO, EU und Deutschland.
Kaspersky muss dabei auch nicht von sich aus handeln – es kann genauso gut ein Zwang vonseiten des Staates erfolgen. Oder die IT-Hersteller werden ihrerseits Opfer einer Cyberattacke, wobei potenziell jeder Kunde in Mitleidenschaft gezogen werden.

Ein Austausch eines so wesentlichen Bestandteils der IT-Sicherheitsinfrastruktur sollte dennoch nicht überstürzt erfolgen. Nicht zuletzt, weil ein Umstieg kurzzeitig mit Einbußen in den Funktionen und der Sicherheit einhergeht und weil ein unvorbereitetes Abschalten jedem Cyberangreifer Tür und Tor öffnen würde.

Weitere Informationen finden Sie hier:
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220315_Kaspersky-Warnung.htmlhttps://www.secupedia.info/aktuelles/bsi-warnt-vor-dem-einsatz-von-kaspersky-virenschutzprodukten-18341

Ein bisschen Mordaufruf darf sein

Meta lockert die Moderation von Hassrede: in manchen Osteuropäischen Ländern (Armenien, Aserbaidschan, Estland, Georgien, Ungarn, Lettland, Litauen, Polen, Rumänien, Russland, die Slowakei und die Ukraine) darf man nun russischen Soldaten, Alexander Lukashenko und Vladimir Putin auf Facebook den Tod wünschen.
Laut einem Sprecher von Meta würden „vorübergehend Formen der politischen Meinungsäußerung zugelassen, die normalerweise gegen unsere Regeln verstoßen würden, wie z. B. gewalttätige Äußerungen wie ‚Tod den russischen Invasoren’“, da, laut Meta, „in diesem speziellen Kontext ‚russische Soldaten‘ als Stellvertreter für das russische Militär verwendet wird“. Hassrede in Form von Gewaltaufrufen gegen russische Zivilisten sei weiterhin nicht erlaubt.

Die russische Botschaft bezeichnet die Maßnahmen als „extremistischen Aktivitäten von Meta“ und fordert Maßnahmen von den Behörden der USA.
Zweifellos demonstriert diese Änderung, dass Facebook längst keine neutrale Plattform ist.
Man darf wohl spekulieren, dass Meta diese vorläufige Lockerung vorgenommen hat, weil sie sonst mit den Sperren von Inhalten und Nutzern nicht hinterherkommen würden.

Übrigens ist Facebook seit einigen Tagen in Russland gesperrt.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2022/facebook-aendert-regeln-ein-bisschen-mordaufruf-darf-sein/

Die 20 beliebtesten Passwörter, die im Dark Web gefunden wurden

Das Identity Theft Resource Center berichtet in ihrem 2021 Annual Data Breach Report von insgesamt 1.862 Verstößen gegen den Datenschutz – im Vergleich zum Vorjahr ist das ein Anstieg von 68 Prozent.

Bei derartigen Verletzungen werden häufig Passwörter gestohlen und online weitergegeben/verkauft. Die am häufigsten genutzten Passwörter sind dabei erschreckend generisch:

  1. 123456
  2. 123456789
  3. qwerty
  4. password
  5. 12345
  6. 12345678
  7. 111111
  8. 1234567
  9. 123123
  10. qwerty123
  11. 1q2w3e
  12. 1234567890
  13. DEFAULT
  14. 000000
  15. abc123
  16. 654321
  17. 123321
  18. qwertyuiop
  19. Iloveyou
  20. 666666

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/die-20-beliebtesten-passwoerter-die-im-dark-web-gefunden-wurden-18328https://www.secupedia.info/aktuelles/top-malware-im-januar-2022-emotet-sitzt-fest-im-sattel-18317