Autor: Online Redaktion

Zurzeit werden sogenannte Green Passes – also COVID-19-Impfpässe – vielerorts benötigt, um beispielsweise zu Flügen, Restaurants oder Museen Eintritt erhalten zu können.

Laut Giampaolo Dedola vom Sicherheitsunternehmen Kaspersky werden für den Green Pass nötige Schlüssel allerdings von Cyberkriminellen gestohlen. Ebenjene damit generierten QR-Codes werden von offiziellen Apps als gültig eingestuft, selbst wenn der Code wie in einem demonstrativen Beispiel auf Adolf Hitler ausgestellt ist.

Das es somit nicht möglich ist, legitime und gefälschte Green Passes voneinander zu unterscheiden, zeigt den enormen Bedarf von Sicherheitsmaßnamen auf, die Infrastruktur vor Angriffen aus dem Cyberspace zu schützen.
Ein Widerrufen von Zertifikatsschlüsseln ist zwar denkbar, aber nicht ohne Konsequenzen für Sicherheit und Gesellschaft möglich.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/schluessel-zur-generierung-von-impfzertifikaten-wurden-gestohlen-18190

Nachdem die Organisation FragdenStaat im Namen der Informationsfreiheit das Bundesministerium auf eine Herausgabe von Twitter-Nachrichten von 2016 bis 2018 verklagt hat, ist mittlerweile das Urteil beschlossen.

Während ursprünglich vom Verwaltungsgericht Berlin geurteilt wurde, dass Twitter-Nachrichten amtliche Informationen im Sinne des Gesetzes darstellten und somit herausgegeben werden müssen, wurde nach einer Revision das Bundesverwaltungsgericht eingeschaltet.
Argumentiert wurde u.a., dass Twitter ein informeller Kanal sei und das eine Veraktung von privaten Nachrichten einen hohen Verwaltungsaufwand bedeuten würde.

Beschlossen ist nun, dass Twitter-Direktnachrichten nicht transparent in Akten festgehalten werden müssen, wenn diese „aufgrund ihrer geringfügigen inhaltlichen Relevanz keinen Anlass geben, einen Verwaltungsvorgang anzulegen“. Gleichzeitig ist eine Transparenzpflicht „nicht grundsätzlich ausgeschlossen“.
Demnach müssten private Nachrichten nur herausgegeben werden, wenn das Ministerium sie als inhaltlich relevant betrachtet. In der Tat ist angesichts dieser Regelung zu befürchten, dass, so Arne Semsrott von FragdenStaat, „Behörden künftig alle möglichen wichtigen Informationen als nicht relevant einstufen, um sie dann nicht herausgeben zu müssen.“

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2021/informationsfreiheit-innenministerium-muss-twitter-dms-nicht-herausgeben/

Dürfen Ministerien auch Kommunikation herausgeben, die auf privaten Plattformen wie Facebook, Twitter oder WhatsApp stattgefunden hat? Das verhandelt das Bundesverwaltungsgericht Leipzig am 28. Oktober im Rahmen der Klage der Informationsfreiheitsorganisation FragDenStaat. Erwartet wird ein Grundsatzurteil, an dem sich in Zukunft auch andere Behörden orientieren müssen, was insgesamt mehr Transparenz bedeuten würde.

Kommunikation von Mitarbeitern in Ministerien, die über private Kanäle stattfand, musste bislang nie in Akten festgehalten werden und war infolgedessen nicht für die allgemeine Bevölkerung einsehbar. Unter der Voraussetzung, dass sie amtliche Informationen enthält, soll nach dem Urteil auch eine SMS oder eine WhatsApp-Nachricht herausgegeben werden.
Die grundlegende Frage, die bei dem Urteil im Raum steht, ist, ob amtliche Informationen an die Öffentlichkeit gebracht werden müssen, wenn sie in Akten oder auch in anderer Form auf den bereits erwähnten privaten Plattformen vorliegen.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2021/informationsfreiheit-bundesverwaltungsgericht-entscheidet-ob-ministerium-twitter-direktnachrichten-rausgeben-muss/

Varonis Systems veröffentlichte den neuen Datenrisiko-Report für den Produktionssektor. Insgesamt wurden dabei 4 Milliarden Daten von 50 Firmen im Bereich der Produktion aus Deutschland, Frankreich, England, den USA und anderen Ländern auf Sensibilität und Sicherheit analysiert.
Dort zeigt sich die Angreifbarkeit von Fertigungsfirmen gegenüber gezielten Cyberangriffen, etwa mittels Ransomware.

• Zugriffsrechte sind zu weit gefasst.
  Laut Report hat ein Mitarbeiter im Schnitt Zugang zu etwa etwa 6 Millionen Dateien bzw. 16% des Datenbestandes eines Unternehmens – davon etwa 27000 sensible Daten.
  Je weiter die Zugriffsrechte eines einzelnen Nutzers reichen, desto größer ist der Schaden im Falle einer Kompromittierung. Begrenzt man die Zugriffsrechte jedes Mitarbeiters auf das nötigste, begrenzt man auch den potenziellen Schaden.
• Nutzerkonten und -daten werden nicht gelöscht, obwohl sie nicht mehr benötigt werden. 
  Gerade bei Unternehmen im Bereich der Fertigung werden viele sensible/wertvolle Daten gelagert. 78% aller gelagerten Dateien werden nicht mehr genutzt, steigern also das Risiko und bieten Cyberkriminellen ideale Einstiegspunkte, um sich im System des Unternehmens unbemerkt zu bewegen. 44% der Unternehmen haben über 1000 ungenutzte Konten.
• Passwörter unterliegen keiner zeitlichen Beschränkung.
  Laut Report verwenden 56% der Firmen mehr als 500 unbefristete Passwörter. Kommen diese in die Hände von Hackern, steht ihnen unbegrenzt Zeit zur Verfügung, um einen Angriff durchzuführen.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/fertigung-muss-im-bereich-der-datensicherheit-nachbessern-18168

Laut Microsoft sei der Productivity Score nicht zur Überwachung der Mitarbeiter gedacht, sondern soll Firmen helfen, die eigene Leistung zu optimieren. Diese Aussage stößt jedoch auf Kritik von Datenschützern.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2021/microsoft-365-so-ueberwachen-chefs-eure-produktivitaet-am-arbeitsplatz/?utm_source=pocket-newtab-global-de-DE

Laut einem Beschluss der Bezirksregierung Arnsberg darf ein Gymnasium in Dortmund Google Education, eine Lernplattform von Google, seit August nicht mehr nutzen.

Die Lernplattform, eine Cloud-Version von Googles Office-Umgebung, welche speziell auf Schulen angepasst ist, wurde von besagtem Gymnasium 2020 eingeführt, als die Coronapandemie den Distanzunterricht erforderlich machte.
Nachdem Eltern Datenschutzbedenken äußerten, wurde die Bezirksregierung hinzugezogen und der Einsatz der G-Suite untersagt.
Dabei handele es sich jedoch um eine Einzelfallsituation, denn diese Weisung gilt gegenwärtig für keine andere der (mindestens sieben) Schulen in Dortmund.

Dies macht deutlich, dass beim Datenschutz nicht ausreichend durchgegriffen wird. Für Plattformen wie Google Education mangelt es dabei nicht einmal an einer Alternative, da den Schulen die landesweite Lernplattform „Logineo“ zu Verfügung steht.

Weitere Informationen finden Sie unter:
https://www.golem.de/news/dortmund-nutzung-von-google-diensten-an-einer-von-7-schulen-verboten-2109-159792.html

Im „SANS 2021 Top New Attacks and Threat Reports“ stellt das SANS Institute die aktuell entscheidendsten Bedrohungen aus der Cyberwelt vor.

Phishing in allen Formen (Spear Phishing, Business E-Mail Compromise, etc.) steht dabei an oberster Stelle, auch wenn Ransomware zunehmend mehr Unternehmen trifft und Supply-Chain-Attacken öfter in der Berichterstattung zu finden sind.

Laut John Pescatore, SANS Instructor und Autor der Studie, nehmen erfolgreiche Hackerangriffe auf Unternehmen zu, weil es für IT-Fachleute tendentiel schwerer wird, wirkungsvollen Schutz vor Angreifern zu etablieren. Dies begründet er mit den schnelllebigen Innovationszyklen der IT und der Arbeitswelt allgemein.
Denn bei der Entwicklung neuer Technologien stehen in der Regel Geschwindigkeit, Rentabilität und Nutzerfreundlichkeit im Vordergrund, nicht die Sicherheit. Unternehmen sind meist nicht gewillt, diese Technologien erst zu übernehmen, wenn die Sicherheit ausgereift ist, da sie in der Zwischenzeit einen Marktvorsprung einbüßen. Diese mangelnde Sicherheit der neuen Technologien wird wiederum von Hackern, Kriminellen und böswilligen Staaten ausgenutzt.

Folgende Sicherheitstipps werden vom SANS Institute empfohlen:

• Wiederverwendbare Passwörter sollten durch mehrstufige Authentifizierung ersetzt werden.
• Grundlegende Sicherheitshygiene, einschließlich Konfigurationsmanagement und rechtzeitiges Patchen, sollte eingehalten werden.
• Netzwerke und Anwendungen sollten segmentiert und Privilegien minimiert werden.
• Purple Teaming sollte regelmäßig genutzt werden, um Bedrohungen frühzeitig zu erkennen.
• Nachrichtendienstliche Informationen sollten genau und zeitnah zur Verfügung gestellt werden.
• Sicherheit sollte in alle Geräte und Workloads integriert werden, um große Sprünge beim Schutz von Endgeräten und Cloud-Systemen zu unterstützen.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/cyberbedrohungen-2021-phishing-und-identitaetsdiebstahl-am-wichtigsten-18142

Angriffe durch Ransomware sind nach wie vor ein Problem für Unternehmen wie Behörden. Trotz allen Präventionsmaßnahmen sollte man immer auf den schlimmsten Fall vorbereitet sein. Somit werden Panik und die daraus resultierenden Folgefehler vermieden.

• Geräte schnell isolieren.
  Die vom Ransomware-Angriff betroffenen Systeme sollten umgehend vom Netzwerk isoliert werden, um eine Ausbreitung zu verhindern.
• Den Angriffsvektor verstehen.
  Es gilt, sowohl für die unmittelbare Reaktion als auch für zukünftige Maßnahmen, nachzuvollziehen, woher der Angriff kam. Wie wurde er durchgeführt und welches Gerät im Netzwerk war als erstes betroffen?
• Backups sichern und überprüfen.
  Daten sind unersetzlich, weswegen Angreifer häufig speziell nach Backups suchen. Sicherungen sollten vom Netzwerk offline genommen werden, damit die Malware sich nicht darauf ausbreitet.
  Generell ist es sinnvoll getrennt aufbewahrte Offline-Backups zu führen.
• Projekte und geplante Aufgaben stoppen.
  IT-Administratoren sollten alle Ressourcen auf die Ransomware-Attacke konzentrieren und andere Anwendungen und Aufgaben (einschließlich automatisierter Vorgänge wie Backups) stoppen. Nicht zuletzt, um damit die Ausbreitung der Malware auf weitere, in Benutzung stehende Teile der IT-Architektur zu unterbinden.
• Potenziell kompromittierte Bereiche unter Quarantäne stellen.
  Nach dem Angriff sollten alle potenziell betroffenen Teile der Infrastruktur vom Netz genommen und einzeln untersucht werden.
• Nach dem Angriff ist vor dem Angriff: Passwörter ändern.
  Egal ob der Angriff von einfacher Natur war oder mit viel Vorarbeit und erbeuteten Authentifikationsdaten durchgeführt wurde: die Passwörter von systemrelevanten Nutzerkonten sollten in jedem Fall geändert werden, um evtl. Folgeangriffen vorzubeugen.
• Keine Panik – Kritische Sicherheitssituationen planen und üben
  Grundsätzlich sollten im Vorfeld Sicherheitsmaßnamen definiert werden, sodass im Ernstfall eine Blaupause für zu ergreifenden Maßnahmen bereit steht.
  Damit wird eine Situation verhindert, in der die IT-Administration besonders hohem Druck ausgesetzt ist und infolge dessen falsche Entscheidungen trifft.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/keine-panik-nach-dem-ransomware-angriff-18079

Phishing-Angriffe steigen deutlich in Zahl und Raffinesse und nehmen, laut einer Umfrage von Ivanti unter 1.000 IT-Experten aus Unternehmen in Deutschland, Großbritannien, Frankreich, Australien, Japan und den USA, besonders Mitarbeiter in den IT-Abteilungen ins Visier.

• Unter allen Befragten gaben 74% an, im letzten Jahr Opfer eines Phishing-Angriffes geworden zu sein. 40% sogar innerhalb des letzten Monats.
• Darunter richteten sich 73% der Angriffe speziell gegen IT-Mitarbeiter.
• 47% dieser Angriffe waren sogar erfolgreich.

Gerade im Home-Office nehmen die Angriffe zu und sind auf mobilen Endgeräten auch erfolgreicher als auf Servern.

• 37% der Befragten sehen mangelhafte Technologie und Mitarbeiteraufmerksamkeit als Hauptursache für erfolgreiche Phishing-Angriffe an.
• 34% nennen fehlendes Gefahrenbewusstsein als Hauptursache.
• 96% der Unternehmen bieten nach eigenen Angaben Schulungen in Sachen Cybersecurity an.
• Allerdings bestätigen nur 30%, dass ein Großteil (mehr als 80%) der Mitarbeiter diese Schulungen tatsächlich abschließen.

52% der Unternehmen gaben außerdem einen Mangel an IT-Fachkräften im vergangenen Jahr an, wodurch Phishing-Angriffe zusätzlich begünstigt werden.
Hierbei müssen Experten sowohl den Angreifern als auch den eigenen Mitarbeitern einen Schritt voraus sein.
Als Gegenmaßnahmen sollte eine einheitliche Verwaltung der Endgeräte  zusammen mit einer internen Bedrohungserkennung eingerichtet werden. Außerdem sollten biometrische Zugänge auf mobilen Endgeräten anstatt Passwörtern zum Einsatz kommen.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/uebermuedete-it-teams-und-schlecht-vorbereitete-mitarbeiter-verlieren-den-kampf-gegen-phishing-18049

Bei dem Trojaner Pegasus handelt es sich um eine Schadsoftware, die von der Firma NSO Group aus Israel zur Überwachung von wichtigen Personen wie Journalisten, Politikern und Anwälten in 11 Ländern eingesetzt wurde:

• Aserbaidschan
• Bahrain
• Ungarn
• Indien
• Kasachstan
• Mexiko
• Marokko
• Ruanda
• Saudi-Arabien
• Togo
• die Vereinigten Arabischen Emiraten

Pegasus wird entweder über einen unauffälligen Link heruntergeladen oder durch eine Sicherheitslücke mit einer unsichtbaren Nachricht auf dem Smartphone installiert, um Zugriff von außen zu ermöglichen. Danach können mittels des Trojaners Anrufe, E-Mails, SMS und Chatnachrichten überwacht, sowie auf das Mikrofon und die Kamera des betroffenen Gerätes zugegriffen werden.

Aufgedeckt wurde dies von „Projekt Pegasus“, in das Recherchearbeit von über 80 Journalisten aus 10 Ländern in Zusammenarbeit mit Amnesty International und dem Medienprojekt Forbidden Stories geflossen sind.

Zusätzlich zu den 11 betroffenen Ländern unterhält die NSO Group Geschäftsbeziehungen zu zahlreichen weiteren Ländern.
Auch in Deutschland stand eine Nutzung der Software in Frage, denn sie wurde sowohl 2017 dem Bundeskriminalamt als auch 2019 dem bayrischen CSU-Innenminister Joachim Herrmann vorgestellt (aber nicht gekauft).

Zu den bekanntesten Betroffen zählen der französische Präsident Emmanuel Macron, EU-Ratspräsident Charles Michel und die Familie des ermordeten Jamal Khashoggi.

Die NSGO Group rechtfertigt den Einsatz ihrer Software mit dem Kampf gegen Terrorismus und streitet weite Teile der Aufdeckungen durch Projekt Pegasus ab.
Die Länder, in denen Pegasus eingesetzt wurde, streiten den Einsatz der Software ebenfalls ab oder drücken Desinteresse aus. Frankreich hat eine Untersuchung angekündigt.

Allgemein werden Untersuchungen und Verbote solcher und vergleichbarer Software gefordert, etwa von Reportern, Politikern und dem Whistleblower Edward Snowden.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2021/pegasus-der-staatstrojaner-skandal-im-ueberblick/