[datensicherheit.de, 19.01.2021] Peter Schaar, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit a.D. und aktuell der Vorsitzende der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin, lädt nach eigenen Angaben zu der EAID-Veranstaltung zum „Europäischen Datenschutztag 2021“ ein:

„Digitalisierung in Pandemiezeiten: Besser mit (weniger) Datenschutz?“

Montag, 1. Februar 2021, 18.00-19.30 Uhr (s.t.)

Wegen der derzeitigen Kontaktbeschränkungen werde diese Veranstaltung virtuell durchgeführt – Anmeldung per E-Mail an anmeldung [at] eaid-berlin [dot] de erforderlich.

Liste der Referenten (ohne Gewähr):

• Prof. Dr. Thomas Petri, Bayerischer Landesbeauftragter für den Datenschutz
• Prof. Dr. Katharina Anna Zweig, Universität Kaiserslautern
• Henning Tillmann, D64, Zentrum für digitalen Fortschritt, Berlin
• Dr. Jasper Littmann, Norwegian Institute of Public Health, Oslo
• Dominik Wörner, Geschäftsführer DarfIchRein GmbH, München

Zunehmende Bedeutung digitaler Verfahren rückt Datenschutz stärker in den Fokus

Die „Corona-Pandemie“ habe „Home Office“, „Home Schooling“ und digitale Kommunikation in den Mittelpunkt des Interesses gerückt. Zugleich stelle sich die Frage, wie digitale Werkzeuge zur Eindämmung des Infektionsgeschehens und zur Organisation der gerade begonnenen Impfkampagne beitragen könnten.
Die zunehmende Bedeutung digitaler Verfahren rücke auch den Datenschutz stärker in den Fokus des öffentlichen Interesses: „Behindert er sinnvolle Lösungen oder trägt er umgekehrt dazu bei, dass neue Arbeits- und Kommunikationsformen akzeptiert werden?“

Weitere Informationen zum Thema:

EAID
01.02.2021: Digitalisierung in Pandemiezeiten: Besser mit (weniger) Datenschutz?

datensicherheit.de, 20.11.2019
Peter Schaar: Grundrechte und Rechtstaatlichkeit nicht verhandelbar

[datensicherheit.de, 19.01.2021] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz hat sich nach eigenen Angaben in den vergangenen Tagen „aufgrund zahlreicher Nachfragen von Bürgerinnen und Bürgern, aber auch von Verwaltungen oder Krankenhausträgern“ mit diversen Fragen zum Datenschutz bei den seit Ende Dezember 2020 begonnenen „Corona“-Schutzimpfungen befasst. Der LfDI veröffentlicht nun auf seiner Website eine Liste mit Fragen und Antworten (FAQ) zu diesen Impfungen.

Corona-Schutzimpfungen: Datenschutz-Aspekte sind zu berücksichtigen!

„In diesen Wochen und Monaten werden in Rheinland-Pfalz Hunderttausende ,Corona‘-Schutzimpfungen durchgeführt, bei denen auch Datenschutz-Aspekte zu berücksichtigen sind. Im Sinne einer größtmöglichen Transparenz beantworten wir auf unserer Internetseite die ersten wichtigen Fragen hierzu“, erläutert Prof. Dieter Kugelmann.
Es gehe darum, „dass Jede und Jeder weiß, welche Daten wofür verarbeitet und gespeichert werden“. Zugleich sollten die mit den Impfungen befassten Stellen Handlungssicherheit erhalten. In der „Corona-Pandemie“ habe sich gezeigt, dass alle Beteiligten größtmögliche Transparenz und Rechtssicherheit schaffen sollten. Nur so seien die Maßnahmen erfolgreich.

Datenschutz. Informationen über Impfungen an das RKI und das PEI nur in pseudonymisierter Form

Der LfDI informiert in den sogenannten FAQ zu Fragen wie z.B.:

• „Unter welchen Voraussetzungen dürfen Dritte Terminanmeldungen für an einer Corona-Schutzimpfung interessierte Bürgerinnen und Bürger vornehmen?“
• „Auf welcher Rechtsgrundlage dürfen vor der Impfung Informationen über die zu impfende Person wie Name und Anschrift sowie Angaben zu Kontraindikationen und Vorerkrankungen erhoben werden?“
• „Was gilt zum Datenschutz bei Impfungen durch Betriebsärzte?“
• „Was ist die Impfdokumentation Rheinland-Pfalz?“
• „Welchen Voraussetzungen unterliegt eine an den Standorten der Impfzentren durchgeführte Videoüberwachung?“

Solche FAQ stellten klar, dass Daten über die erfolgten Impfungen an das Robert Koch-Institut (RKI) und das Paul-Ehrlich-Institut (PEI) nur in pseudonymisierter Form gegeben werden dürften. Beim RKI würden sie zur Feststellung der Inanspruchnahme von Schutzimpfungen und mit Blick auf etwaige Impfeffekte verwendet. Die Daten müssten so gespeichert werden, „dass Rückschlüsse auf einzelne Personen ausgeschlossen sind“.

Erfüllung datenschutzrechtlicher Informationspflichten

Diese FAQ dienten auch als Orientierung für die in den Impfprozess eingebundenen Personen und Stellen, zumal die datenschutzrechtlichen Bewertungen von dem Ministerium für Soziales, Arbeit, Gesundheit und Demografie geteilt würden, welches für die Impfzentren und die mobilen Impfteams in Rheinland-Pfalz zuständig sei.
Der LfDI habe überdies an dem vom Ministerium erstellten Informationsblatt mitgewirkt, welches allen an einer „Corona“-Schutzimpfung Interessierten zur Verfügung gestellt werde. Mit diesem Blatt würden die datenschutzrechtlichen Informationspflichten erfüllt.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Corona & Datenschutz / FAQs zu Datenschutz und Corona-Schutzimpfungen

datensicherheit.de, 22.10.2020
Gesundheits-Apps: LfDI Rheinland-Pfalz rät zur Vorsicht

[datensicherheit.de, 19.01.2021] Tritt in einer Institution eine Krise oder ein Notfall auf, ist schnelles Handeln notwendig. Jeder Handgriff muss sitzen. Durch klare Prozess- und Aufgabenfestlegung kann das gelingen. Praxisnahe Anleitung zum Aufbau eines Business Continuity Management Systems (BCMS) gibt der neue BSI-Standard 200-4. Die Weiterentwicklung des etablierten BSI-Standards 100-4 enthält zahlreiche Neuerungen, basierend auf aktuellen Erkenntnissen im Bereich Business Continuity sowie durch die jüngsten Erfahrungen aus der Corona-Pandemie.

Dazu Arne Schönbohm, Präsident des BSI:

„Als Gestalter einer sicheren Digitalisierung in Deutschland bietet das BSI Unternehmen, Behörden und anderen Institutionen seit über 25 Jahren den IT-Grundschutz zur Absicherung ihrer IT-Infrastruktur an. Der IT-Grundschutz hat sich auch deswegen etabliert, weil wir ihn kontinuierlich weiterentwickeln und auf dem neuesten Stand halten. Der neue Standard 200-4 ersetzt den alten Standard 100-4. Er berücksichtigt passgenau und modular die verschiedenen Bedürfnisse unterschiedlich großer Anwender. Als die Cyber-Sicherheitsbehörde des Bundes ist es uns ein wichtiges Anliegen, IT-Systeme in Wirtschaft und Staat ausfallsicherer zu machen und Anwender zu befähigen, in Krisen und Notfällen schnell zu reagieren.“

Die Änderungen im Überblick:

• Stufenmodell mit vereinfachten Einstiegstufen (Reaktiv-BCMS und Aufbau-BCMS) und einer mit der internationalen Norm ISO 22301:2019 kompatiblen Stufe (Standard-BCMS)
• Umfangreiche Darstellung der möglichen Synergien innerhalb des IT-Grundschutzes zwischen dem Managementsystem für Informationssicherheit und dem Business-Continuity-Management-System. Darüber hinaus werden auch weitere Synergien mit relevanten Managementsystemen und Disziplinen ermöglicht (z.B. IT-Service-Continuity-Management, Krisenmanagement usw.)
• Detailliertere Ausarbeitung von Teilen der Methodik mit umfangreichen Hilfestellungen, z.B. zur Etablierung der Besonderen Aufbauorganisation (Stabsstruktur), im Soll-Ist-Vergleich, in der Geschäftsfortführungsplanung oder Wiederanlaufplanung usw.
• Vereinfachung der Methodik, z.B. in der Behandlung von Geschäftsprozessabhängigkeiten
• Kontinuierliche Bereitstellung vieler Hilfsmittel, zum Teil mit Beispieltexten

Die BSI-Standards sind ein elementarer Bestandteil der IT-Grundschutz-Methodik. Sie enthalten Anforderungen und Empfehlungen zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen zu unterschiedlichen Aspekten der Informationssicherheit und der Business Continuity.

Kommentare bis zum 30. Juni 2021 möglich

Der Community Draft des BSI-Standards 200-4 kann bis zum 30. Juni 2021 kommentiert werden. Das BSI wird über Updates zum BSI-Standard 200-4 sowie die Veröffentlichung des Anforderungskatalogs und weiterer Hilfsmittel während der Kommentierungsphase informieren (BCM-Newsletter).

Weitere Informationen zum Thema:

BSI
Community Draft des BSI-Standards 200-4

datensicherheit.de, 11.01.2021
BSI-Einladung zum 17. Deutschen IT-Sicherheitskongress

Analyse von Tenable im Bericht „2020 Threat Landscape Retrospective (TLR)“ 

[datensicherheit.de, 19.01.2021] Das Security Response Team (SRT) von Tenable, Inc. hat Datensicherheitsverletzungen analysiert und für den Zeitraum von Januar bis Oktober 2020 insgesamt 730 öffentlich bekannt gewordene Vorfälle festgestellt. Hierbei wurden weltweit über 22 Milliarden Datensätze offengelegt. 35 Prozent der von Tenable analysierten Sicherheitsverletzungen waren mit Ransomware-Angriffen verbunden, die enorme finanzielle Kosten verursachten. 14 Prozent der Sicherheitsverletzungen waren das Ergebnis von E-Mail-Kompromittierungen. Eines der übergreifenden Themen der Bedrohungslandschaft im Jahr 2020 war, dass die Bedrohungsakteure auf ungepatchte Schwachstellen bei ihren Angriffen sowie auf die Verkettung mehrerer Schwachstellen als Teil ihrer Angriffe abzielen. Diese Analyse hat Tenable in seinem Bericht 2020 Threat Landscape Retrospective (TLR) veröffentlicht. Der Bericht bietet einen Überblick über die wichtigsten Schwachstellen, die in den zwölf Monaten bis zum 31. Dezember 2020 aufgedeckt oder ausgenutzt wurden.

Neue Herausforderungen im Bereich der Cybersicherheit

Unternehmen auf der ganzen Welt bereiten sich derzeit auf die neuen Herausforderungen in Sachen Cybersicherheit im Jahr 2021 vor. Jetzt ist es wichtig, innezuhalten und einen Blick auf die wichtigsten Schwachstellen und Risiken des vergangenen Jahres zu werfen. Zu verstehen, welche Unternehmenssysteme von diesen Schwachstellen betroffen sind, kann Unternehmen helfen, zu erkennen, welche Schwachstellen derzeit das größte Risiko darstellen.

Von 2015 bis 2020 stieg die Anzahl der gemeldeten Common Vulnerabilities and Exposures (CVEs) mit einer durchschnittlichen jährlichen Wachstumsrate von 36,6 Prozent. Im Jahr 2020 wurden 18.358 CVEs gemeldet, was einen Anstieg von 6 Prozent gegenüber den 17.305 im Jahr 2019 und einen Anstieg von 183 Prozent gegenüber den 6.487 im Jahr 2015 gemeldeten Schwachstellen darstellt. Die Priorisierung, welche Schwachstellen Aufmerksamkeit verdienen, ist anspruchsvoller denn je.

Zwei bemerkenswerte Trends aus dem Bericht sind:

• Bereits existierende Schwachstellen in Virtual Private Network (VPN)-Lösungen, von denen viele erstmals 2019 oder früher offengelegt wurden, bleiben weiterhin ein attraktives Ziel für Cyberkriminelle und nationalstaatliche Akteure.
• Webbrowser wie Google Chrome, Mozilla Firefox, Internet Explorer und Microsoft Edge sind das Hauptziel für Zero-Day-Schwachstellen und machen über 35 Prozent dieser Schwachstellen aus, die in freier Wildbahn ausgenutzt werden.

Um einige dieser Angriffe zu vereiteln, können Unternehmen die folgenden Maßnahmen umsetzen: die Behebung ungepatchter Schwachstellen, die Implementierung starker Sicherheitskontrollen für das Remote-Desktop-Protokoll, die Umsetzung aktueller Endpunktsicherheit und die regelmäßige Durchführung von Schulungen für ein besseres Sicherheitsbewusstsein.

Satnam Narang, Staff Research Engineer bei Tenable, Foto: Tenable

„Angesichts Hunderter von Schwachstellen, die jeden Monat am Patch Tuesday von Microsoft und vierteljährlich mit dem Critical Patch Update von Oracle veröffentlicht werden, ist es aus Verteidigerperspektive schon schwierig genug, Prioritäten bei der Behebung zu setzen. Hinzu kommen die Auswirkungen von COVID-19 und die Herausforderung, die vielen neuen Fernmitarbeiter zu schützen, was zusammen das perfekte Chaos ergibt“, erklärt Satnam Narang, Staff Research Engineer bei Tenable. „Sicherheitsteams wissen, dass sie sich ihre Schlachten aussuchen müssen. Wenn es jedoch eine Flut von Schwachstellen mit einem CVSSv3-Score von 10.0 gibt, die innerhalb weniger Wochen veröffentlicht werden, sind die Schlachten für das Sicherheitsteam vorbestimmt – und sie finden gleichzeitig statt. Um die Überlastung durch Schwachstellen in den Griff zu bekommen, müssen Unternehmen ihr gesamtes Netzwerk inventarisieren, ihre kritischsten Assets identifizieren und sicherstellen, dass diese in einem angemessenen Zeitrahmen mit Patches versorgt werden. Zusätzliche Indikatoren, wie CVSSv3-Scores und die Verfügbarkeit von PoC-Exploit-Skripten, können weitere Erkenntnisse darüber liefern, ob eine Schwachstelle mit höherer Wahrscheinlichkeit in freier Wildbahn ausgenutzt wird. Sie helfen dem Sicherheitsteam auch dabei, sich zuerst auf die schwerwiegendsten Bedrohungen für Ihr Netzwerk zu konzentrieren.“

Das ganze Jahr über verfolgt und berichtet das Security Response Team von Tenable über Schwachstellen und Sicherheitsvorfälle und gibt Sicherheitsexperten Hinweise für die Planung ihrer Reaktionsstrategien. Die Arbeit des Teams gibt ihnen die Möglichkeit, die sich ständig verändernde Dynamik der Bedrohungslandschaft genau zu beobachten.

Weitere Informationen zum Thema:

datensicherheit.de, 14.01.2021
Tenable kommentiert erstes Microsoft-Update des Jahres 2021

[datensicherheit.de, 18.01.2021] In der Cybersicherheitsbranche findet eine Evolution statt. Während die Mitarbeiter immer verteilter agieren, vereinheitlicht sich die Sicherheitsarchitektur zu einer einzigen Sicherheitsanalysefunktion für die Erkennung und Reaktion auf Bedrohungen. Erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR) steht im Mittelpunkt dieses Wandels und bietet einen zentralen Überblick über verschiedene Sicherheitsdatenquellen. Unternehmen, die in Erkennungs- und Reaktionstools investieren, sollten XDR in ihre Überlegungen einbeziehen. XDR bietet alle Funktionen der traditionellen Endpunkt-Erkennung und -Reaktion (Endpoint Detection and Reaction, EDR), jedoch mit einer überlegenen Erweiterbarkeit und Analytik, um die Anforderungen der Cybersicherheit in der Zukunft zu erfüllen.

XDR ist eine Erweiterung der EDR-Fähigkeiten

Die Geschichte von XDR beginnt mit herkömmlicher EDR, denn es ist die Grundlage, auf der XDR aufbaut. EDR-Funktionen sind eine wichtige Vorstufe zu einer XDR-Lösung, da es keine bessere Möglichkeit gibt, ein Eindringen zu erkennen, als die tatsächliche Zielumgebung zu überwachen, die angegriffen wird, und die von EDR gesammelten Telemetriedaten bilden die Grundlage für die Triage und Untersuchung. Eine XDR-Lösung erfordert erstklassige EDR-Funktionen. 10 bis 20 Prozent der Laptops und Workstations eines Unternehmens werden jedoch nicht verwaltet, sodass EDR, so großartig es auch sein mag, nur situativ nützlich ist. Wie verbessert XDR nun diese Situation?

Cloud-Workloads erfordern eine andere Art der Endpunktüberwachung

Unter einem Endpunkt versteht man traditionell ein Endbenutzer-Computing-Gerät wie z. B. einen Laptop oder eine Workstation. Leider wird dabei ein weiterer wichtiger Endpunkt ignoriert, wenn wir die Netzwerkkommunikation mit der mittelalterlichen Definition eines Liniensegments betrachten, das zwei Endpunkte verbindet. Mit der zunehmenden Verbreitung von Cloud-Technologien wie Containern und Serverless ist es unabdingbar, dass wir in der Lage sind, diese Endpunkte mit dem gleichen Vertrauen zu überwachen, das wir in unsere Endbenutzer-Computing-Umgebung haben. Dieser kritische nächste Schritt in Richtung eines vollwertigen XDR-Produkts ermöglicht eine einheitliche Sicht auf die Endpunkte innerhalb der Umgebung, unabhängig von der Systemfunktion.

Die Netzwerktelemetrie erfüllt in einer XDR-Umgebung drei wichtige Funktionen:

1. Erkennung der Kompromittierung von nicht verwalteten Assets.
2. Erkennung von Anomalien auf der Anwendungsebene, wobei einige Angriffe möglicherweise nie das System selbst gefährden.
3. Korrelieren von Ereignissen über Systeme hinweg, um eine Triage von Alarmen als einen einzigen Vorfall in der Umgebung zu ermöglichen.

Während die ersten beiden Ziele Vorteile einer Network Detection and Response (NDR)-Lösung sind, lässt sich das dritte Ziel nur durch den Einsatz von XDR erreichen, um nicht nur die Häufigkeit von Alarmen zu reduzieren, sondern auch die Zeit für deren Triage und Untersuchung.

Die Überlegenheit des XDR-Ansatzes

XDR erweitert alle Vorteile, die von einem herkömmlichen EDR-Produkt erwartet werden, indem es Telemetriedaten von Nicht-Endpunkt-Quellen zusammenfügt, um eine bessere Erkennung und ein umfassenderes Bild dessen, was in der Umgebung vor sich geht, für das Sicherheitsteam zu liefern. Unternehmen ohne XDR investieren viel Zeit und Geld, um herkömmliche EDR-Daten in ihr SIEM zu  senden, um die gleichen Vorteile zu erzielen, die ihnen eine XDR-Lösung von Haus aus bietet. Mit XDR können Unternehmen ihre Fähigkeiten zur Erkennung von Bedrohungen vereinheitlichen.

Weitere Informationen zum Thema:

datensicherheit.de, 11.03.2019
Cyberangriffe: Sicherheitsteams brauchen besseren Ansatz zur Erkennung und Abwehr

[datensicherheit.de, 17.01.2021] Ein Fehler im Betriebssystem Windows 10 führt dazu, dass allein durch das Öffnen eines bestimmten Pfades in der Adressleiste eines Browsers oder durch andere Windows-Befehle einen Blue Screen of Death zum Absturz führt.

BleepingComputer erfuhr nach eigenen Angaben letzte Woche von zwei Fehlern, die von einem Windows-Sicherheitsforscher auf Twitter offengelegt wurden und von Angreifern in verschiedenen Angriffen missbraucht werden können. Der erste Fehler ermöglicht es einem unprivilegierten Benutzer oder Programm, einen einzigen Befehl einzugeben, der bewirkt, dass ein NTFS-Volume als beschädigt markiert wird.

Microsoft werde die gemeldeten Sicherheitsprobleme untersuchen und so schnell wie möglich Updates für betroffene Geräte bereitstellen, so ein Microsoft-Sprecher gegenüber BleepingComputer.

Missbrauchsszenarien des Fehlers denkbar

Obwohl noch nicht feststeht, ob dieser Fehler zur Remote-Code-Ausführung oder zur Erhöhung der Rechte ausgenutzt werden kann, kann er in seiner derzeitigen Form wohl für einen Denial-of-Service-Angriff auf einen Computer verwendet werden.

Der Sicherheitsforscher Jonas Lykkegard teilte BleepingComputer eine Windows-URL-Datei (.url) mit einer Einstellung, die auf  \\.\globalroot\device\condrv\kernelconnect zeigt. Wenn die Datei heruntergeladen wird, würde Windows 10 versuchen, das Symbol der URL-Datei aus dem problematischen Pfad zu rendern und Windows 10 automatisch abstürzen lassen.

Weitere Informationen zum Thema:

bleepingcomputer.com by Lawrence Abrams, 17.01.2021
Windows 10 bug causes a BSOD crash when opening a certain path

G DATA CyberDefense AG warnt vor Comeback altbekannter Malware

[datensicherheit.de, 17.01.2021] Nach aktuellen Erkenntnissen der G DATA CyberDefense AG richtet sich derzeit eine Malware-Kampagne gegen Nutzer aus Deutschland. Dabei kämen mit „Kronos“ und „Gootkit“ zwei altbekannte Schadprogramme erneut zum Zuge – verbreitet werde die Schadsoftware über manipulierte Suchmaschinen-Ergebnisse. G-DATA-Kunden seien durch verschiedene proaktive Technologien wie „BEAST“ und „DeepRay“ geschützt.

Foto: G Data

Tim Berghoff: „Gootkit“ und „Kronos“ bekannt, jedoch kein „Schnee von gestern“

Seit 14. Januar 2021 erste Malware-Welle

Bereits am 14. Januar 2021 habe die aktuelle Welle zu rollen begonnen: „Besonders Nutzer aus Deutschland scheinen im Fokus der Angreifer zu stehen. Für eine breitgefächerte Verteilung sorgten zahlreiche kompromittierte Internetseiten.“ Dabei werde eines von zwei Schadprogrammen installiert – entweder „Gootkit“ oder „Kronos“. Bei beiden handele es sich um Banking-Trojaner.
Diese seien alles Andere als „Schnee von gestern“, betont Tim Berghoff, „Security Evangelist“ bei G DATA CyberDefense. „Die Verteilung von Schadprogrammen über manipulierte Suchergebnisse beweist einmal mehr, dass das Alter einer Angriffsmethode nicht bedeutet, dass sie obsolet ist.“

In der Registry versteckter „Gozi“ lädt Malware

Beide Schadprogramme würden mit einem sogenannten Loader auf ein System gebracht, welcher unter dem Namen „Gozi“ bekannt ist. Auch dieser Loader sei ein „alter Bekannter“ – früher sei mit diesem auch bereits eine andere Ransomware namens „Sodinokibi“ verteilt worden.
Was den „Gozi“-Loader besonders mache, sei nicht nur, „dass dieser aktuell mit ,Kronos‘ eine andere Schadsoftware als üblich verteilt“. Dieser Loader verstecke sich auch besonders gut vor dem Zugriff durch Schutzprogramme, indem der gesamte Schadcode nicht als Datei auf dem PC abgelegt, sondern in der Systemdatenbank – der „Registry“ – gespeichert werde.

Vergiftete Suchmaschinen verbreiten Malware

Durch die Manipulation von Suchmaschinen-Ergebnissen rutschten die kompromittierten Webseiten etwa auch in der Google-Suche nach oben und würden daher öfter angeklickt. Diese Manipulation finde unter anderem durch die Einbettung von Schlüsselwörtern und durch Verlinkung mit anderen Webseiten statt.
Für Suchmaschinen bedeuteten relevante Schlüsselwörter und dichte Verlinkung, dass die jeweilige Seite relevant sei und platziere sie daher höher in der Trefferliste. Das Ergebnis seien noch mehr Infektionen. Diese Technik nenne sich „Search Engine Poisoning“ (auf Deutsch: „Suchmaschinen-Vergiftung“). „Diese positioniert die Seiten höher in der Trefferliste, wohingegen die legitimen Webseiten, die unter normalen Umständen eher angeklickt werden, weiter nach unten rutschen.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2020
EMA-Hack: Gezielter Cyber-Angriff auf das Herz unserer KRITIS

[datensicherheit.de, 17.01.2021] Mit dem Aus für die illegale Webplattform „DarkMarket“ sei den deutschen und internationalen Ermittlern ein wichtiger Schlag im Kampf gegen Cyber-Kriminalität gelungen. Im Darknet selbst habe diese Nachricht vom Ende des „größten illegalen Marktplatzes“ jedoch nur verhaltene Reaktionen hervorgerufen – so Ergebnisse der ersten Untersuchungen des „Threat Intelligence“-Anbieters Digital Shadows.

Darknet-Analysten beobachten Kommunikation

Die Darknet-Analysten fanden nach eigenen Angaben ein Update eines ,DarkMarket‘-Moderators, das bereits 48-Stunden vor der offiziellen Meldung durch Europol auf dem Darknet-Community-Forum ,Dread‘ veröffentlicht wurde und von Problemen bei der Kontaktaufnahme mit dem Administrator von „DarkMarket“ berichtet. In der Community seien danach Vermutung eines „Exit-Scams“ lautgeworden. Auch eine Zerschlagung dieser Plattform sei diskutiert worden.

Marktplätze im Darknet mit Wachstumspotenzial

Die verhaltenen Reaktionen überraschten, da „DarkMarket“ vor allem in den letzten zwölf Monaten ein stetiges Wachstum verzeichnet und mit 500.000 Nutzern erst kürzlich einen „Meilenstein“ erreichte habe. Die rund 2.400 aktiven Verkäufer hätten dabei Geschäfte im Wert von über 140 Millionen Euro abgewickelt. Gehandelt worden sei mit Falschgeld, gestohlenen Kreditkartendaten, anonymen SIM-Karten und Malware. Vor allem aber habe „DarkMarket“ als Umschlagplatz für Drogen gegolten. Durch die mit „Corona“ begründeten „Lockdowns“ hätten auch dort viele Kriminelle ihr Geschäft ins Netz verschieben und Transaktionen über Online-Plattformen im Darknet tätigen müssen.

Darknet-Community sehr flexibel beim Verkauf ihrer Ware

„In den letzten Monaten und Jahren ist es internationalen Ermittler-Teams immer wieder gelungen, wichtige Marktplätze zu schließen. In anderen Fällen – wie ,Empire Market‘ – haben sich die Betreiber selbst aus dem Staub gemacht und das Geld der kriminellen Kundschaft mitgenommen. Das ,Dark Web‘ scheint sich an diese Dynamik gewöhnt zu haben“, erläutert Stefan Bange, „Country Manager DACH“ bei Digital Shadows. „DarkMarket“ habe zwar eine beeindruckende Anzahl aktiver Nutzertransaktionen verzeichnet. Doch der cyber-kriminelle Markt habe eine Fülle an alternativen Vertriebskanälen zu bieten und die Darknet-Community habe sich als „sehr flexibel erwiesen, wenn es darum geht ihre Ware zu verkaufen“.

„Flüchtlinge“ im Darknet auf der Suche nach neuen Marktplätzen

Nach Recherchen von Digital Shadows drehten sich die Diskussionen in Foren und Chats momentan vor allem um alternative Plattformen. Daneben gebe es erste Ankündigungen, die gänzlich neue Marktplätze in Aussicht stellten. „Bereits bestehende Marktplätze werben wiederum mit kostenlosen Konten und Benefits um Verkäufer, die mit dem Ende von ,DarkMarket‘ zu ,Flüchtlingen‘ geworden sind“ – dieser Begriff werde im Darknet für Käufer/Anbieter von Offline-Marktplätzen verwendet.

Indes gewisser Aufruhr im Darknet…

Gänzlich unbeeindruckt hinterlasse das Ende von „DarkMarket“ die Darknet-Community indes aber nicht. „So werfen einige Akteure Nutzern von ,DarkMarket‘ mangelnde OpSec-Praktiken vor und geben ihnen die Schuld für den Erfolg der Strafverfolgungsbehörden.“ Der Administrator von „Dread“ habe die Betreiber von weiterhin aktiven Marktplätzen dazu aufgefordert, einen „Proof-of-Life“ zu senden. So könne sichergestellt werden, dass andere Plattformen nicht in ähnlicher Weise kompromittiert würden und die Dienste weiterhin zur Verfügung stünden.

Weitere Informationen zum Thema:

EUROPOL, 12.01.2021
DarkMarket: world’s largest illegal dark web marketplace taken down

digital shadows_, Photon Research Team, 12.02.2021
Dark Web-Monitoring: Die vielen Gesichter der Unterwelt

datensicherheit.de, 29.08.2020
Empire Market: Weltgrößter Darknet-Markt nicht mehr erreichbar / Spekulationen um Exit-Scam der Betreiber des Darknet-Marktplatzes

Cyber-Kriminelle missbrauchen Unsicherheit im Kontext der „Covid-19“-Impfstoffe für ausgefeilte digitale Angriffe

[datensicherheit.de, 15.01.2021] Proofpoint Inc. warnt nach eigenen Angaben „aktuell vor einer Vielzahl verschiedener Cyber-Attacken, die sich die Unsicherheit vieler Menschen rund um das Thema ,Covid-19‘-Impfstoff zunutze machen.“ Dazu sei jetzt ein Blog-Post veröffentlicht worden, welcher diese unterschiedlichen Vorgehensweisen der Kriminellen genauer erläutere.

Abbildung: proofpoint

Screenshot einer maliziösen E-Mail mit einer „Office 365“-Phishing-URL

Egal ob Impfstoff oder sonstiger Aufhänger: E-Mails kritisch betrachten!

Wichtigster Rat an alle Anwender, privat wie auch in Unternehmen, sei: „Größte Vorsicht bei Mails walten lassen, die zur Ein- oder Herausgabe persönlicher Daten oder Login-Informationen auffordern oder Links zu vermeintlichen Login-Seiten von Cloud-Services wie ,Microsoft 365‘ enthalten!“
Proofpoint habe bereits seit dem Beginn der „Pandemie“ beobachten können, dass sich Cyber-Kriminelle Themen rund um die „Covid-19-Pandemie“ als Aufhänger in breit angelegten Social-Engineering-Angriffen zunutze machten, bei denen Malware verbreitet werde oder die Credential-Phishing und BEC-Betrug zum Ziel hätten.

Momentan vermehrt Angriffe, welche Nachrichten zu „Covid-19“-Impfstoffen ausnutzen

Bei den Themen ihrer Cyber-Attacken orientierten sich die Angreifer in der Regel an jenen, „die zum Zeitpunkt der Kampagne im Zentrum der öffentlichen Debatte stehen“. Zunächst sei mit der Existenz des Virus gelockt worden, dann mit Nebenschauplätzen wie Engpässen bei der medizinischen Versorgung.
Wie erwartet, beobachteten die Proofpoint-Forscher in den letzten zwei Monaten vermehrt Angriffe, welche die Nachrichten bezüglich der „Covid-19“-Impfstoffe ausnutzten – wie die Freigabe des Impfstoffes durch die jeweiligen Zulassungsbehörden, die Logistik der Impfstoff-Bereitstellung und die Verteilung des Impfstoffes an Ersthelfer und andere Personen.

Missbrauch bekannter Marken wie z.B. verschiedener Impfstoff-Hersteller

Im aktuellen Blog-Artikel zeigt Proofpoint demnach „Beispiele für E-Mail-Angriffe, die der Verbreitung von Malware dienen bzw. Phishing und BEC zum Ziel haben“. Diese Beispiele beinhalteten Belege für den Missbrauch bekannter Marken und Organisationen wie WHO, DHL und verschiedener Impfstoff-Hersteller, welcher bei den Attacken auf Benutzer in Unternehmen in Deutschland und Österreich, den USA und Kanada habe beobachtet werden können.
Als Köder dienten eine Reihe von Themen, darunter die Befürchtung, einer infizierten Person begegnet zu sein, – ferner staatliche Impfstoff-Zulassungen und der positive Einfluss auf die wirtschaftliche Entwicklung durch die Impfungen sowie Anmeldeformulare für Impfungen, Informations-Updates und die Lieferung des Impfstoffes.

Weitere Informationen zum Thema:

proofpoint, The Proofpoint Threat Research Team, 14.01.2021
Attackers Use COVID-19 Vaccine Lures to Spread Malware, Phishing and BEC

datensicherheit.de, 14.01.2021
Covid-19: Schwarzmarkt für Impfstoffe im Darknet expandiert / Betrugsversuche im Darknet nehmen zu – ebenso Preise und Produktvielfalt bei Impfstoffen

[datensicherheit.de, 15.01.2021] Prof. Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), zeigt sich nach eigenen Angaben „sehr zufrieden mit dem Ergebnis des Europäischen Datenschutzausschusses (EDSA) zu Standarddatenschutzklauseln (SDK)“.

BfDI erwartet Rechtssicherheit für Datenaustausch mit Ländern außerhalb des Europäischen Wirtschaftsraums

Die europäischen Datenschutzaufsichtsbehörden und der Europäische Datenschutzbeauftragte (EDPS) hätten in der Sitzung vom 14. Januar 2021 gemeinsame Stellungnahmen zu den Entwürfen der Europäischen Kommission von SDK beschlossen.
„Es gab intensive Verhandlungen zu den Stellungnahmen, die ich mit meinen Kolleginnen und Kollegen verabschiedet habe. EDSA und EDPS kommen zu einem klaren Urteil. Unsere deutsche Position findet sich an vielen Stellen der Papiere wieder“, berichtet Professor Kelber.
Dieser gemeinsame Vorschlag würde Rechtssicherheit für den Datenaustausch mit Ländern außerhalb des Europäischen Wirtschaftsraumes bringen – „ohne Einschränkungen beim Datenschutz zu machen“.

BfDI hatte mit Kollegen aus den Bundesländern die deutsche Position entwickelt

Der BfDI hatte demnach „mit seinen Kolleginnen und Kollegen aus den Bundesländern die deutsche Position entwickelt“. Der EDSA und der EDPS seien zum Jahreswechsel von der Europäischen Kommission gebeten worden, eine gemeinsame Stellungnahme zu zwei Entwürfen von SDK nach Art. 28 und Art. 46 der Datenschutz-Grundverordnung (DSGVO) zu erarbeiten.
Die neuen SDK zu Art. 46 DSGVO sollten die bisherigen bei internationalen Datenübermittlungen ersetzen. Neuerungen gebe es beispielsweise bei Anpassungen an die Anforderungen der DSGVO und die „Schrems II“-Rechtsprechung des Europäischen Gerichtshofes.
Die SDK zu Artikel 28 DSGVO sollten für die Vertragsgestaltung zwischen Verantwortlichen und Auftragsverarbeitern erstmals einen europaweit verwendbaren Standard setzen, welcher den Unternehmen und Behörden „die Umsetzung der entsprechenden Vorgaben der DSGVO deutlich erleichtert“. Der EDSA werde den gemeinsamen Vorschlag in Kürze auf seiner Website veröffentlichen.

Weitere Informationen zum Thema:

edpb European Data Protection Board
EDPB & EDPS adopt joint opinions on new sets of SCCs

datensicherheit.de, 23.01.2019
BfDI Ulrich Kelber zum EDSA-Auftakttreffen 2019 / Neuer BfDI unterstreicht mit Blick auf erste Sitzung 2019 des Europäischen Datenschutzausschusses die Notwendigkeit der grenzüberschreitenden Kooperation