[datensicherheit.de, 11.06.2024] Marco Eggerling, „Global CISO“ bei Check Point Software, warnt in seiner Stellungnahme vom 6. Juni 2024 vor der auf „TikTok“ kursierenden Malware, welche demnach über Privatnachrichten verbreitet wird und den Opfern ohne Download oder Anklicken einer Datei die Kontrolle über ihr Konto entziehen kann. Die Drahtzieher zielten auf Konten „mit hohen Follower-Zahlen und haben bereits Konten von Prominenten und großen Fernsehsendern gekapert“. Eggerling kommentiert den Sachverhalt und erklärt, wie man sich als Nutzer schützen kann.

Foto: Check Point Software

Marco Eggerling: In der heutigen digitalen Welt ist es unerlässlich, zusätzliche Sicherheitsmaßnahmen zu ergreifen!

TikTok drohe sogar ein flächendeckendes Verbot

In den letzten Jahren habe das Kurzvideo-Portal „TikTok“ mehrfach vor Sicherheitsherausforderungen gestanden – es drohe sogar ein flächendeckendes Verbot. Neueste Schlagzeilen berichteten nun von einer Hacker-Kampagne unbekannten Ursprungs, welche Konten mit „hohen Followerzahlen“ über Malware zu enteignen versuche.

Zahlreiche Nutzer – darunter auch prominente Persönlichkeiten und Kanäle bekannter Fernsehsender – berichteten, den Zugang zu ihren Konten verloren zu haben. „Dies geschieht offenbar allein durch das Öffnen einer ,Direct Message’ (DM), die schädlichen Code enthält“, so Eggerling. Dass nicht einmal das Zutun der Nutzer für diese Kompromittierungen erforderlich sei, erschrecke zusätzlich.

TikTok hat bereits Gegenmaßnahmen eingeleitet – doch auch Nutzer sollten selbst aktiv werden

Bei „TikTok“ habe man zwar bereits Gegenmaßnahmen eingeleitet, doch Eggerling rät: „Wer ein Konto besitzt, sollte umgehend die Zwei-Faktor-Authentifizierung (2FA) einrichten, bevor irgendwelche neuen Nachrichten öffnet werden!“ Laut aktuellen Berichten werde die Malware durch DMs innerhalb der „TikTok“-App übertragen, ohne dass ein Download, Klick oder eine Antwort erforderlich sei – das bloße Öffnen der Nachricht reiche aus. „Mit der Aktivierung der 2FA wird dem Login-Prozess allerdings ein zusätzlicher Sicherheitsschritt hinzugefügt, wodurch die momentan gemeldeten Kontoübernahmen verhindert werden können.“

Eggerling gibt nachfolgend einige Tipps, um sich vor der „TikTok“-Kompromittierung sowie unbefugtem Zugriff auf die eigenen Konten zu schützen:

Aktivierung der Verifizierungsfunktion bei „TikTok“
Gehen Sie auf die Sicherheitsseite von „TikTok“ und aktivieren Sie die „Log In With Verification Feature“! Dazu müssen Sie Ihre Telefonnummer angeben. Jedes Mal, wenn jemand versucht, sich in Ihr Konto einzuloggen, sendet „TikTok“ Ihnen ein Einmalpasswort (OTP) per SMS, das für den Login benötigt wird.

Verwendung von einem starken, einzigartigen Passwort
Ein Passwort mit Sonderzeichen oder besser noch, ein Passwort-Manager.

Verdächtige Aktivitäten sollten sofort gemeldet werden
Wem ungewöhnliche Aktivitäten auf dem eigenen Konto auffallen, sollte diese sofort an „support.tiktok.com“ melden.

„In der heutigen digitalen Welt, in der Cyber-Angriffe immer häufiger geschehen und dabei noch hinterhältiger werden, ist es unerlässlich, solche zusätzlichen Sicherheitsmaßnahmen zu ergreifen“, betont Eggerling. Auch, wenn dafür hin und wieder ein paar zusätzliche Klicks notwendig seien – diese lohnten sich. Denn die Aktivierung der Zwei-Faktor-Authentifizierung und die Befolgung grundlegender Sicherheitstipps könnten Nutzer wirksam vor bekannten und unbekannten Bedrohungen schützen.

Weitere Informationen zum Thema:

datensicherheit.de, 22.03.2024
TikTok im Spannungsfeld zwischen Datenschutz und Geopolitik / Grundsätzliche Unterschiede in der Darstellung und Nutzung der TikTok-App in China einerseits und den USA andererseits

datensicherheit.de, 15.03.2024
TikTok: Drohendes Verbot in den USA / TikTok-Fall als Balanceakt zwischen Nationaler Sicherheit und Aufrechterhaltung der globalen Internetwirtschaft

datensicherheit.de, 05.04.2023
Dienstgeräte: TikTok-Verbot auch in Australien / Datenerhebungen bei TikTok deutlich umfangreicher als bei anderen Social-Media-Plattformen

[datensicherheit.de, 10.11.2022] Nach einer Meldung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) vom 9. November 2022 hat dieser sein behördliches Konto „@BfDI_info“ mit Wirkung zum selben Tag beim Kurznachrichtendienst „Twitter“ gelöscht.

BfDI konnte Prüfung der rechtskonformen Nutzung nicht abschließen

Der BfDI hatte dieses Konto demnach im Januar 2019 angelegt – er habe aber eine Prüfung der rechtskonformen Nutzung allerdings bis heute nicht abschließen können. Seit April 2020 betreibe der BfDI außerdem eine eigene Instanz des dezentralen Mikro-Blogging-Dienstes „Mastodon“ im „Fediverse“.

Übernahme von Twitter: BfDI moniert intransparente Entwicklungen

Die intransparenten Entwicklungen rund um die Übernahme von „Twitter“ und die damit verbundenen steigenden Nutzungszahlen im „Fediverse“ hätten jetzt zur endgültigen Löschung des „Twitter“-Accounts „@BfDI_info“ geführt.

BfDI bietet Mastodon-Konto, Website, Newsletter und Presseverteiler

Offizielle Informationen rund um die Presse- und Öffentlichkeitsarbeit des BfDI sollen Interessierte weiterhin über das „Mastodon“-Konto, die Website oder den Newsletter erhalten. Medienschaffende können sich außerdem für den Presseverteiler des BfDI anmelden.

[datensicherheit.de, 04.08.2016] In einem aktuellen Kommentar führt David Lin von Varonis aus, für ihn bestünden keinerlei Zweifel daran, dass Datenlecks dieser Größenordnung uns als Angriff auf vertrauliche Daten auch in Zukunft erhalten blieben. Auf den ersten Blick sehe es so aus, als hätten Kontodaten, Passwörter und Benutzereinstellungen kurzfristig eher wenig Wert. Dies sehe über einen längeren Zeitraum betrachtet allerdings ganz anders aus.

Ziel und Ausmaß eines Datenschutzverletzung schwer einzuschätzen und einzugrenzen

Lin warnt davor, dass Hacker Daten aus unterschiedlichen Quellen zusammenführen könnten und so ein immer klareres Bild der Opferidentitäten entstehen würde. „Umso mehr als die Art und Weise wie solche Daten aggregiert werden immer raffinierter wird“, so Lin.
Das aktuelle Yahoo-Datenleck sei ein gutes Beispiel dafür, wie eine einzige Datenschutzverletzung wieder und wieder Unternehmen und ihre Kunden in Schwierigkeiten bringen könne. Sinnfällig lasse sich zudem daran ablesen, wie „in-the-dark“-Geschäftsmodelle typischerweise funktionierten.
Nach einem Datenleck seien wir inzwischen an die „reflexhaft anmutenden Statements von Unternehmen gewöhnt“, dass die betroffenen Systeme isoliert werden könnten. Seriöse IT-Sicherheitsexperten wüssten allerdings nur zu gut, wie immens schwierig es sei, das eigentliche Ziel und das ganze Ausmaß einer Datenschutzverletzung wirklich einschätzen und eingrenzen zu können. Üblicherweise reichten Monitoring-Tools und Logging-Daten dazu nämlich nicht aus.

Mit der Zunahme der Datenerhebung wächst die Anzahl der Datenschutzverletzungen

Beobachtungen von Varonis zeigten, dass es an den Basics hapere, „wenn es darum geht Daten zu schützen“ – und das gelte gleichermaßen für einzelne Benutzer wie für große Unternehmen. Weder die schiere Zahl von Datenschutzverletzungen werde abnehmen, noch der Umfang der davon betroffenen Daten, prognostiziert Lin. Das betreffe sowohl interne wie externe Schwachstellen.
Lin dazu: „Schließlich erheben Unternehmen immer noch mehr Daten von Kunden und Geschäftspartnern, was per se nicht gerade dazu beiträgt, die Risiken einer Datenschutzverletzung zu senken. Kein Unternehmen der Welt kann sich 100-prozentig gegen solche Vorkommnisse abschotten, wenn es produktiv bleiben will.“

Keine narrensicheren Lösungen!

Ganz unabhängig davon, wie viel Geld und Anstrengungen man in umfassende Sicherheitsmaßnahmen investiert: Eine narrensichere Lösung werde es nicht geben. „Nicht, so lange das schwächste Glied in der Kette, die Personen sind, die auf Daten und Informationen zugreifen müssen, um ihren Job zu machen“, betont Lin.
Spear-Phishing-Angriffe, die sich gezielt auf gültige Anmeldedaten richteten, kämen inzwischen nicht nur deutlich häufiger vor, sie seien auch deutlich intelligenter geworden.
„Administratoren und IT-Sicherheitsexperten sollten sich darauf einstellen, dass, wenn sie noch nicht Opfer einer Datenschutzverletzung geworden sind, es irgendwann in der Zukunft ganz sicher werden.“ Gehe man von der Prämisse aus, dass der äußere Schutzwall früher oder später nicht mehr ausreichen werde, ändere sich die Perspektive, unter der man Datensicherheit und Datenschutz betrachtet, grundsätzlich.

Potenziellen Schaden in Grenzen halten!

Anstatt sehr viel Zeit und Energie in den Aufbau nach Außen gerichteter Schutzmechanismen zu stecken, sollten Unternehmen sich auf das konzentrieren, was wirklich schützenswert sei – nämlich ihre Daten.
„Dazu gehört es, Insider-Aktivitäten zu überwachen und zu kontrollieren. Um ein altes Bild zu benutzen: Wenn man eine zuverlässige Schließanlage installiert hat, heißt das ja nicht, dass zusätzliche Kameras und Sensoren eine schlechte Idee sind. Das Zugriffsverhalten auf Daten zu überwachen und zu analysieren, bietet etliche Indikatoren, die es Unternehmen ermöglichen, Hacker-Aktivitäten zu erkennen.“ Was, so Lin, dann in der Folge dazu beitragen könne, den potenziellen Schaden in Grenzen zu halten.

Für den Fall der Fälle Plan in der Schublade haben!

Den Kopf in den Sand zu stecken, nach der Devise „mich wird es schon nicht treffen“, sei längst keine Option mehr, sagt Lin. Firmen müssten für den Fall der Fälle einen Plan in der Schublade haben, was genau passieren muss, wenn sie auf einen Datenschutzvorfall aufmerksam geworden sind oder gemacht wurden. Mindestens sollten Unternehmen nach einem Datenschutzvorfall ermitteln, was genau gestohlen oder gelöscht worden ist und in welchem Umfang.
Ebenso müssten sie dabei berücksichtigen, was der Vorfall für Kunden, Partner und Aktionäre bedeutet. Verschiedene Kategorien von Daten und Informationen unterlägen einem anderen Grad von Schutzwürdigkeit. Unternehmen müssten also noch etwas wissen – nämlich, welche Arten von Daten sie eigentlich speichern, wo und wie und welchen Restriktionen diese Daten unterliegen.