Wenn Hacker Webseiten in die Knie zwingen

Distributed-Denial-of-Service (DDoS) Angriffe sind gezielte Angriffe, die von Cyberkriminellen genutzt werden, um die Server und Webdienste von Unternehmen zum Ausfall zu bringen. Dabei entstehen hohe Ausfallzeiten & damit einhergehende Einnahmeverluste, potenziell in Millionenhöhe.

Ein DDoS-Angriff beginnt, indem Hacker per Internet zugängliche, ungeschützte Geräte infizieren. Diese Geräte, bzw. deren Rechenleistung, werden in einem Botnetz zusammengeführt, welches anfängt, an einen Server (das eigentliche Ziel des Angriffs) mit Anfragen zu überschütten. Der Server wird somit überlastet. Die Anfragen werden stark verteilt, was eine Unterscheidung zwischen falschen und legitimen Anfragen erschwert.

DDoS-Angriffe können Teil von Erpressungsversuchen, Sabotageakte der Konkurrenz oder politisch motivierten Protesten sein. Wirklich verhindern lassen sich solche Angriffe kaum. Entsprechende Maßnahmen können aber zur Schadensbegrenzung beitragen.

Maßnahmen zur Abwehr:

  • Schützen Sie Ihre Domänennamen mit Register-Sperren und bestätigen Sie korrekte Domänenregistrierungsdetails wie Kontaktdetails.
  • Stellen Sie sicher, dass Ihre Kontaktdetails für Service Provider rund um die Uhr gepflegt werden und dass die Provider wiederum die Kontakte ihrer Kunden pflegen.
  • Implementieren Sie eine Verfügbarkeitsüberwachung, die im Falle eines DDoS-Angriffs in Echtzeit Alarm schlägt.
  • Trennen Sie Dienste wie Web-Hosting, die häufig ins Visier genommen werden, von anderen Diensten (wie etwa E-Mails).
  • Halten Sie eine statische Version Ihrer Website bereit, die mit wenig Bandbreite im Falle eines DDoS-Angriffs eingestellt werden kann.
  • Greifen Sie auf Cloud-basiertes Hosting von einem oder mehreren großen Providern zurück, die hohe Bandbreite bereitstellen und deren Netzwerke nicht-dynamische Websites zwischenspeichern.
  • Ziehen Sie auch in Erwägung, einen Abschnitt in den Disaster-Recovery-Plan zu integrieren, damit Mitarbeiter im Unternehmen auch während eines Angriffs effizient kommunizieren können.
  • Es gibt auch DoS-Services, die Datenverkehr filtern und somit Anomalien aufspüren.

Erste Schritte bei Verdacht eines Angriffs:

  • Kontaktieren Sie Ihren Netzwerkadministrator. Klären Sie zuerst, ob Wartungsarbeiten oder Netzwerkprobleme die Ursache sein könnten. Überwachen Sie den Netzwerkverkehr um tatsächliche Angriffe zu bestätigen, die Quelle zu identifizieren und Firewall-Regeln anzuwenden.
  • Kontaktieren Sie Ihren Internet-Service-Provider, ob es einen Ausfall gab oder ob der Provider seinerseits das Opfer eines Angriffs wurde.

Weitere Informationen finden Sie hier:

https://www.secupedia.info/aktuelles/wenn-hacker-webseiten-in-die-knie-zwingen-17927

Registermodernisierungsgesetz mit digitaler Identifikationsnummer angekündigt

Mit dem kommenden Registermodernisierungsgesetz soll die öffentliche Verwaltung digitalisiert werden. Für den Zweck der Zuordnung wird dann jeder Bürger eine digitale Identifizierungsnummer erhalten – dafür soll die Steuer ID dienen. Auch ein sogenanntes Datenschutzcockpit soll eingerichtet werden, über welches der Bürger mithilfe seiner ID den ihn/sie betreffenden Datenaustausch zwischen öffentlichen Stellen jederzeit verfolgen kann.

Das Gesetz wurde im Januar 2021 beschlossen und im März 2021 vom Bundesrat trotz Warnungen und Kritik abgesegnet.

So gab z. B. die Friedrich-Naumann-Stiftung ein Rechtsgutachten heraus, laut dem die geplanten Schutzmechanismen umgehbar seien – folglich könnten auch die gespeicherten Daten missbraucht werden.

Dass auf diesem Wege Daten aus verschiedenen Lebens- und Verwaltungsbereichen zusammengeführt werden, ist auch verfassungsrechtlich als bedenklich einzustufen. Denn theoretisch ermöglicht das dem Staat die Profilerstellung und damit einhergehende Überwachung der Bürger.

Weitere Informationen finden Sie hier:

https://www.golem.de/news/digitalisierte-verwaltung-gesetz-fuer-buergeridentifikationsnummer-verkuendet-2104-155538.html

Datenschutz-Kritik an Luca-App

Johannes Caspar, Hamburgs Datenschutzbeauftragter, kritisiert die neue Luca-App für mangelhafte Transparenz.

Er kritisiert unter anderem, dass nach wie vor keine Datenschutzfolgenabschätzung vorliegt – eine Risikoanalyse, mit der mögliche Folgen bei den Verarbeitungsvorgängen von Daten im Sinne der DSGVO ermessen werden. Diese liegt üblicherweise vor der Inbetriebnahme einer App vor und müsse laut Caspar dringend nachgereicht werden.

Der Entwickler der App, Nexenio, hat den Quellcode zudem zwar bereitgestellt, aber ursprünglich unter einer selbstgeschriebenen Lizenz, die das Weiterleiten oder Kopieren des Quellcodes verbietet. Außerdem erlaubte sie lediglich eine Sichtung des Codes in privatem Rahmen, nicht etwa zu beruflichen Zwecken, etwa um ein Audit zu erstellen.

Mittlerweile (und als Resultat von Kritik) steht der Code unter der GNU GPLv3 (General Puplic License, Version 3).

Weitere Informationen finden Sie hier:

https://www.golem.de/news/mangelnde-transparenz-datenschuetzer-caspar-kritisiert-luca-app-2104-155486.html