[datensicherheit.de, 11.06.2025] Offenkundig trifft derzeit eine internationale Welle gezielter Cyberangriffe den Einzelhandel: Marken wie Adidas, Victoria’s Secret, The North Face und Cartier gehören laut Medienberichten zu den Opfern. Adam Marrè, „Chief Information Security Officer“ bei Arctic Wolf und ehemaliger „FBI Special Agent“, kommentiert: „Die Cybersicherheitsbranche beobachtet derzeit eine Welle von Angriffen auf den Einzelhandel – sowohl in Nordamerika als auch in Europa. Was diese Entwicklung besonders alarmierend macht, ist ihr Ausmaß und die offenbar koordinierte Vorgehensweise!“

Foto: Arctic Wolf

Adam Marrè: Es handelt sich nicht um Einzelfälle, sondern um eine systematische Kampagne gegen die Branche!

„Scattered Spider“ gilt als verdächtig, hinter aktuellen Cyberattacken auf Einzelhandel zu stecken

Marrè berichtet: „Es handelt sich nicht um Einzelfälle, sondern um eine systematische Kampagne gegen die Branche.“ Die Gruppe „Scattered Spider“, welche bereits 2023 gezielt Lebensmitteldienstleister attackiert habe und auch mit den jüngsten Angriffen auf M&S in Großbritannien in Verbindung gebracht werde, stehe nun im Verdacht, hinter den aktuellen Angriffen auf Handelsmarken wie Adidas zu stecken.

Clare Loveridge, „Vice President & General Manager EMEA“ bei Arctic Wolf, führt ergänzt aus: „Zwar erscheinen die Angriffe auf Marken wie The North Face oder Cartier wie Einzelfälle – tatsächlich sind solche Vorfälle längst zur Realität für Unternehmen geworden.“ Diese Vorfälle zeigten, dass Kriminelle oft gestohlene Zugangsdaten aus einem Angriff für den nächsten nutzten. „So fiel The North Face offenbar einer Credential-Stuffing-Attacke zum Opfer“, so Loveridge.

Dringender Handlungsbedarf für Unternehmen im Einzelhandel

Sie legt dringend nahe: „Egal ob globaler Konzern oder mittelständischer Anbieter – Organisationen sollten jetzt ihre Incident-Response-Pläne prüfen und anpassen. Wer das Thema unterschätzt, riskiert massive wirtschaftliche Schäden: Bei M&S etwa wird mit Verlusten in Höhe von 300 Millionen Pfund gerechnet.“

Entscheidend sei jetzt, die Passwörter regelmäßig zu ändern, die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren und jede werbliche E-Mail mit Vorsicht zu behandeln – „besonders wenn sie zu gut klingt, um wahr zu sein!“

Weitere Informationen zum Thema:

ntv, 03.06.2025
Namen, E-Mails, Telefonnummern / Hacker greifen Kundendaten bei Adidas, Victoria’s Secret und Cartier ab

datensicherheit.de, 04.12.2024
Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen / 5 Darktrace-Tipps für Einzelhändler zum Schutz vor Cyber-Angriffen

[datensicherheit.de, 20.05.2025] Die Europäische Union (EU) hat am 13. Mai 2025 die „European Union Vulnerability Database“ (EUVD) online gestellt. Diese zentrale Datenbank soll bekannte Schwachstellen auflisten, Behebungsempfehlungen geben – und so vor allem die Cybersicherheit von KRITIS-Unternehmen, IT-Dienstleistern und europäischen Softwareanbietern stärken. Adam Marrè, „CISO“ von Arctic Wolf und ehemaliger FBI-Agent, erörtert in seiner aktuellen Stellungnahme die Bedeutung zentraler Datenbanken und ihre positiven Auswirkungen auf die Cybersicherheit.

Foto: Arctic Wolf

Adam Marrè rät: Organisationen sollten beide Datenbanken (EUVD und NVD) kontinuierlich im Blick behalten!

EUVD ermöglicht Risikopriorisierung

Marrè betont: „Schwachstellen-Datenbanken spielen eine entscheidende Rolle bei ,Security Operations’. Sie dienen als zentrale Sammelstellen für bekannte Sicherheitslücken und liefern standardisierte Informationen, mit denen Unternehmen ihre Systeme gezielt absichern können.“ Durch einheitliche Formate für die Beschreibung der Schwachstellen ermöglichten sie einen effizienten und konsistenten Informationsaustausch – über Organisations- und Ländergrenzen hinweg.

Besonders wichtig sei ihre Funktion bei der Risikopriorisierung: „Bewertungssysteme wie der CVSS-Score – und neuerdings das praxisorientierte EPSS, das insbesondere in der neuen ,EU Vulnerability Database’ (EUVD) zum Einsatz kommt – helfen Sicherheitsteams, ihre Ressourcen auf die kritischsten Schwachstellen zu konzentrieren.“

EUVD-Einführung als europäische Alternative zur „National Vulnerability Database“ (NVD) der USA

Darüber hinaus enthielten die Datenbanken in der Regel konkrete Empfehlungen zur Behebung von Schwachstellen und unterstützten so ein effektives Patch-Management. Nicht zuletzt ermöglichten sie durch standardisierte Datenstrukturen die nahtlose Integration in automatisierte Tools zur Schwachstellenanalyse und -verwaltung.

Mit der EUVD-Einführung stehe nun eine europäische Alternative zur „National Vulnerability Database“ (NVD) der USA zur Verfügung, welche mehrere strategische Vorteile mit sich bringe, denn sie gewichte regionale Besonderheiten stärker.

EUVD stärkt Digitale Souveränität Europas

Marrè führt hierzu aus: „Zum einen ist sie deutlich enger mit europäischen Rechtsrahmen und Cybersecurity-Richtlinien – wie der ,NIS2‘-Richtlinie oder dem ,Cyber Resilience Act’ – verzahnt. Zum anderen stärkt sie die Digitale Souveränität Europas, da sie die Abhängigkeit von US-Infrastrukturen für sicherheitskritische Informationen reduziert.“ Zusätzlich könne sie jene Schwachstellen priorisieren, für welche europäische Branchen, Technologien und IT-Landschaften besonders anfällig sind.

Laut aktuellen Bedrohungsanalysen gehe ein Großteil erfolgreicher Angriffe auf eine sehr kleine Anzahl bekannter Schwachstellen zurück – in manchen Fällen auf nur zehn, teilweise sogar drei Lücken. „So fand der ,Arctic Wolf 2025 Threat Report’ heraus, dass in 76 Prozent der Fälle die Cyberkriminellen eine oder mehrere von zehn spezifischen Schwachstellen ausnutzen. Besonders heikel ist hierbei: Für alle zehn ausgenutzten Schwachstellen stehen Patches zur Verfügung.“

Gezieltes Vorgehen anhand valider Datenbanken wie EUVD und NVD kann Sicherheitslage signifikant verbessern

Solche Zahlen unterstrichen die Notwendigkeit für zentrale Schwachstellen-Datenbanken, welche auch Empfehlungen zur Vorgehensweise bei Sicherheitsrisiken geben könnten. „Selbst wenn eine vollständige Abdeckung aller Schwachstellen nicht immer realistisch ist, kann bereits ein gezieltes Vorgehen anhand valider Datenbanken wie der EUVD und NVD die Sicherheitslage signifikant verbessern.“

Organisationen sollten beide Datenbanken kontinuierlich im Blick behalten, rät Marrè abschließend: „Das erhöht die Resilienz, da die Nutzung unterschiedlicher Quellen nicht nur Transparenz bietet und dadurch gegen Ausfälle absichert, sondern auch unterschiedliche Perspektiven und Bewertungen ermöglicht.“

Weitere Informationen zum Thema:

enisa
EUROPEAN UNION VULNERABILITY DATABASE

ARCTIC WOLF, 2025
2025 THREAT REPORT

datensicherheit.de, 18.04.2025
MITRE CVE Program: Abschaltung verhindert / Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern

datensicherheit.de, 17.04.2025
eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA / Drohende Abschaltung der CVE-Datenbank birgt erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit

datensicherheit.de, 04.04.2025
Cyberangriffe: Threat Intelligence als Schlüssel zur frühzeitigen Erkennung und Abwehr / Bedrohungsdaten verstehen und effektiv nutzen

[datensicherheit.de, 30.01.2025] Nachdem US-Präsident Donald Trump verkündete, dass im Rahmen des „Stargate“-Projekts Technologiekonzerne 500 Milliarden US-Dollar in den Ausbau Künstlicher Intelligenz (KI) investieren würden, könnte sich als Folge nun China veranlasst sehen, die eigenen KI-Entwicklung noch konsequenter voranzutreiben. Dan Schiappa, „Chief Product and Services Officer“ bei Arctic Wolf, bewertet in seiner aktuellen Stellungnahme den KI-Wettlauf und teilt seine Gedanken zur Position von Europa innerhalb dieses Technologierennens.

Foto: Arctic Wolf

Dan Schiappa: Europa droht im Vergleich zurückzufallen, wenn die einzelnen Länder und/oder die EU als Gemeinschaft nicht ihrerseits vermehrte Investitionen tätigen und eine umfassende KI-Infrastruktur aufbauen!

Chinesische KI-Modell „DeepSeek“ musste bereits Registrierungen aufgrund eines Cyber-Angriffs einschränken

Viele Menschen seien darüber besorgt, auf wie viele Daten Social-Media-Plattformen Zugriff hätten – wie die jüngsten Urteile zu „TikTok“ gezeigt hätten. Besorgniserregend sei hierbei vor allem, welche Risiken u.a. durch das Training chinesischer „Foundation Models“ bestünden, also großer KI-Modelle, welche mit einer immens hohen Anzahl an Datensätzen trainiert und für zahlreiche Aufgaben genutzt würden.

„Wenn man bedenkt, dass das chinesische KI-Modell ,DeepSeek’ bereits seine Registrierungen aufgrund eines Cyber-Angriffs einschränkt, muss man sich fragen, ob das Unternehmen über angemessene Sicherheitsvorkehrungen und Richtlinien verfügt, um die Privatsphäre der User zu schützen“, kommentiert Schiappa. Ebenso könnte China den Trend fortsetzen, Geistiges Eigentum zu stehlen und US-amerikanische und europäische Technologien nachzuahmen.

Mit großer Wahrscheinlichkeit ist ein KI-Wettrüsten zu erwarten

Dies werde mit großer Wahrscheinlichkeit ein KI-Wettrüsten auslösen. US-Präsident Trump habe bereits auf die 500-Milliarden-Dollar-Investitionen verwiesen, welche durch eine Partnerschaft von Softbank, Oracle und OpenAI kommen würden – und viele andere würden sich anschließen. „Kurzum, dies wird einen Innovationsboom auslösen!“ Die „Sputnik-Beschreibung“ sei eine perfekte Analogie: „Während Russland als erstes Land im Weltraum war, dominierte danach der Westen im All-Rennen. Und durch das nukleare Wettrüsten mit Russland und die ,Strategische Verteidigungsinitiative’ unter Reagan wurde die Sowjetunion in den Bankrott getrieben.“

Schiappa führt aus: „Während es höchst unwahrscheinlich ist, dass China dasselbe Schicksal ereilt, hat ein vereinter Westen die Möglichkeit, das Land an Innovation zu übertreffen.“ Dabei sei zu hoffen, dass Unternehmen, die ihre Sicherheit aufrechterhalten wollten, zögern würden, einen KI-Chatbot aus China zu nutzen – „der potenziell ihre Daten abgreifen und anfällig für Cyber-Angriffe sein könnte, wie es derzeit der Fall ist“. Abschließend unterstreicht Schiappa: „Aber egal ob die USA oder China zukünftig technologisch dominieren werden, droht Europa im Vergleich zurückzufallen, wenn die einzelnen Länder und/oder die EU als Gemeinschaft nicht ihrerseits vermehrte Investitionen tätigen und eine umfassende KI-Infrastruktur aufbauen.“ Nur so könne auch Europa international wettbewerbsfähig bleiben.

Weitere Informationen zum Thema:

zdfheute, Valerie Haller, 27.01.2025
DeepSeek: Chinesisches KI-Modell löst Börsenbeben aus / Das KI-Modell DeepSeek erobert die App Stores und sorgt für Beben an den Börsen weltweit. Die neue Konkurrenz aus China hat entscheidende Vorteile gegenüber bisherigen Modellen

tagesschau, 22.01.2025
„Stargate“ / Trump verkündet milliardenschweres KI-Projekt

The Washington Post, Drew Harwell & Elizabeth Dwoskin, 15.01.2025
Trump considers executive order to ‘save TikTok’ from a ban / The self-styled master dealmaker is exploring unconventional ways to rescue the Chinese-owned video app from a nationwide ban, arguing it will help him reach an adoring audience throughout his second term

datensicherheit.de, 24.01.2025
Stargate: KI-Initiative in den USA setzt Europa unter Zugzwang / Europa muss eigene digitale Infrastrukturen stärken, um im globalen KI-Wettbewerb mithalten zu können

[datensicherheit.de, 03.06.2024] In seinem aktuellen Kommentar geht Dr. Sebastian Schmerl, „Vice President Security Services EMEA“ bei Arctic Wolf, auf einen demnach erfolgreichen gemeinsamen internationalen Schlag gegen Cyber-Kriminalität ein, bei dem das Bundeskriminalamt (BKA) 100 Server beschlagnahmt und 1.300 Domains außer Gefecht gesetzt haben soll. Er berichtet: „Dabei wurden zehn Haftbefehle ausgestellt und vier Personen festgenommen. Vermögenswerte in Höhe von 69 Millionen Euro und ,Krypto-Währungen’ im Wert von 70 Millionen Euro wurden eingefroren. Die Aktion, unterstützt von Europol und anderen Behörden, gilt als ,großer Schlag’ gegen Cyber-Kriminalität.“ Positiv bewertet er: „Wir sehen ganz klar, dass die Zusammenarbeit der internationalen Ermittlungsbehörden Früchte trägt, und dass, obwohl Cybercrime ein sehr anonymes und weltweit erfolgreiches Business ist.“

Cyber-Angriffe extrem spezialisiert und auf jeder Stufe mit spezialisierten Gruppen und Tools umgesetzt

Der internationale Einsatz habe sich hauptsächlich gegen kriminelle Gruppierungen mit „Dropper“-Schadsoftware gerichtet – also eigenständig ausführbare Computerprogramme, die zur Freisetzung eines Schadcodes bzw. einer Schadsoftware dienten und die zweite Angriffs-Phase nach Phishing darstellten. Es gebe verschiedene „Dropper“-Familien, von denen es wiederum unterschiedliche Ausprägungen bzw. Varianten gebe.

„Das zeigt, dass die Cyber-Angriffe extrem spezialisiert sind und jede ,Stage’ mit spezialisierten Gruppen und Tools umgesetzt wird.“ Die jeweiligen Angreifer-Gruppen stünden dabei regelrecht miteinander in Konkurrenz. „Und alle möchten das beste Angriffstool mit der höchsten Erfolgsquote und die beste Infrastruktur entwickeln, um viele zahlende ,Kunden’ zu gewinnen – sprich: Angreifer, die diese angebotenen Services nutzen.“

Ermittlungserfolge schädigten Reputation beteiligten Angreifer-Gruppen in cyber-kriminellen Kreisen

Dr. Schmerl führt weiter aus. „Der ,Downtake’ von 100 Servern und 1.300 Domains ist als ein entscheidender Erfolg zu werten. Das Problem ist jedoch, dass hauptsächlich Infrastruktur der Angreifer zerstört wurde. Die eigentlich Verantwortlichen dahinter wurden nicht ergriffen.“

Hinzu komme, dass der Wiederaufbau neuer Infrastrukturen recht schnell gehe. „Und das selbst dann, wenn ein Teil der kriminellen Beute der Bedrohungsakteure beschlagnahmt wurde.“ Es sei nicht davon auszugehen ist, dass bei dem aktuellen Schlag tatsächlich das gesamte Vermögen der Angreifer gefunden wurde. Dennoch schädigten Ermittlungserfolge wie diese die Reputation der beteiligten Angreifer-Gruppen in cyber-kriminellen Kreisen.

Weitere Informationen zum Thema:

Bundeskriminalamt, 30.05.2024
Operation „Endgame“: Bundeskriminalamt und internationalen Partnern gelingt bisher größter Schlag gegen weltweite Cybercrime / Zehn internationale Haftbefehle und vier vorläufige Festnahmen / Deutschland initiiert und koordiniert „Takedowns“ der gefährlichsten Schadsoftware-Familien

tagesschau, 30.05.2024
BKA meldet Erfolg „Bedeutender Schlag gegen die Cybercrime-Szene“

datensicherheit.de, 04.08.2022
Industrial Spy: Neue Gruppe auf dem Ransomware-Markt / Ransomware-Gruppe hat Aktivitäten als Marktplatz für Cyber-Kriminelle gestartet

datensicherheit.de, 09.12.2021
Check Point warnt: Trickbot erweckt Emotet zum Leben / 140.000 Emotet-Opfer in 149 Ländern in zehn Monaten

[datensicherheit.de, 15.03.2024] Laut einer Meldung von Arctic Wolf hat das US-Repräsentantenhaus am 13. März 2024 einen Gesetzesentwurf verabschiedet, der den chinesischen Eigentümer von „TikTok“ – ByteDance – per Gesetz dazu zwingen soll, diese Videoplattform zu verkaufen. Jetzt geht der Entwurf demnach an den US-Senat. Adam Marrè, „Chief Information Security Officer“ bei Arctic Wolf und ehemaliger FBI Special Agent sowie „Cyber Investigator“, kommentiert die Entwicklungen rund um „TikTok“ und deren möglichen Konsequenzen für die globale Internetwirtschaft.

Foto: Arctic Wolf
Adam Marrè: Effektivere Aufsicht über Apps in ausländischem Besitz könnte Verbot unnötig machen

Auswirkungen von TikTok auf Nationale Sicherheit befürchtet

„Die US-Gesetzgeber sind zu Recht besorgt über die Auswirkungen von ,TikTok’ auf die Nationale Sicherheit und haben die Notwendigkeit eines Eingreifens erkannt“, so Marrè in seinem Kommentar. Indes betont er, dass jedoch das Verbot einer sich in ausländischem Besitz befindlichen App „keine tragfähige langfristige Lösung“ sei, da es das eigentliche Problem nicht angehe – nämlich die die unregulierte Art und Weise, „wie Soziale Medien und Tech-Unternehmen Nutzerdaten sammeln, speichern und nutzen“. Solche Maßnahmen lösten nicht das grundlegende Problem, „mit dem Bürgerinnen und Bürger konfrontiert sind und das der Gesetzgeber nicht rechtzeitig in Angriff genommen hat: das Fehlen strenger Bundesgesetze zum Datenschutz“.

Obwohl „TikTok“ mit seinen ausländischen Verbindungen einzigartige Risiken mit sich bringe, bedeute dies nicht, dass „einheimische“ Tech-Unternehmen weniger invasiv oder sicherer im Umgang mit Daten seien – das Risiko sei hier nur weniger offensichtlich. Marrè erläutert: „Das Fehlen strenger Vorschriften für Datenverkäufe oder Manipulationen von Algorithmen bedeutet, dass jedes Unternehmen, ob im In- oder Ausland, User-Daten ausnutzen oder die öffentliche Meinung auf subtile Weise beeinflussen könnte.“ Zwar sei es richtig, sich mit den spezifischen Bedrohungen durch „TikTok“ zu befassen, aber als nachhaltige, umfassende Strategie seien solche Bemühungen unzureichend, da sie sich nicht mit den allgemeineren Datenschutz- und Sicherheitsbedenken der Tech-Branche befassten.

Statt eines TikTok-Verbots bessere Spielregeln für Internet-Giganten empfohlen

Der „Digital Services Act“ der EU – seit dem 17. Februar 2024 in vollem Umfang durchsetzbar – ziele darauf ab, einen sichereren Digitalen Raum zu schaffen, „in dem die Grundrechte der Nutzer geschützt sind und gleiche Wettbewerbsbedingungen für Unternehmen geschaffen werden“. Illegale Inhalte sollten auch leichter zu entfernen sein. Neben Online-Marktplätzen, Content-Sharing-Plattformen und ähnlichen Online-Auftritten sollten mit der Gesetzgebung auch Apps Sozialer Netzwerke reguliert werden.

„Einheitliche Regelungen, die für Anbieter aus allen Herkunftsländern gelten, könnten langfristig die effektivere Variante sein“, unterstreicht Marrè, warnt aber auch: „Allerdings nur, wenn die Regeln die allgemeine Meinungsfreiheit nicht zu sehr einschränken – wie Verbraucherschützer bereits mehrfach gewarnt haben – und die Einhaltung der Richtlinien kontrolliert und Verstöße geahndet werden können.“

TikTok oder Meta – Bedrohung durch TikTok doch noch stärker

Marrè erläutert: „Es geht nicht um den Kampf Meta gegen ,TikTok’ – bei beiden sind Bedenken angebracht. Ja, Social-Media-Plattformen wie ,facebook’ stellen ein erhebliches Risiko dar, weil sie umfangreiche Nutzerdaten sammeln, um die User auszunutzen und potenziell zu gefährden, aber sie könnten zumindest theoretisch durch US-Gesetze oder die Möglichkeit einer Regulierung eingeschränkt werden.“ „TikTok“ stelle jedoch eine erhöhte Bedrohung dar, da es jenseits solcher gesetzlichen Schutzmaßnahmen operiere. „Das Fehlen einer Aufsicht bedeutet, dass die App-Betreiber alle gesammelten Daten nutzen und ihren Algorithmus manipulieren können, um die öffentliche Meinung, vor allem unter Jugendlichen, auf subtile Weise und völlig ungestraft zu beeinflussen.“

Die Fähigkeit dieser Plattform zur verdeckten Beeinflussung der gesellschaftlichen Wahrnehmung in Verbindung mit der Möglichkeit, die immensen Mengen an detaillierten Daten, die sie sammelt, in einer Weise zu nutzen, die den Interessen der USA schadet, erhöht laut Marrè das Risiko zusätzlich. Sie operiere unter einer ausländischen Gerichtsbarkeit, welche dafür bekannt sei, Informationen zu ihrem Vorteil zu nutzen – und somit die Besorgnis über ihre unkontrollierte Macht noch verstärke.

TikTok-Verbot könnte internationale Beziehungen weiter belasten

Ein Verbot von „TikTok“ in den USA könnte aber weitreichende internationale Auswirkungen haben und insbesondere die Spannungen zwischen den USA und China bzw. dem Westen und Teilen Asiens verschärfen. Außerdem könnte dieses Verbot Vorbild für weitere westliche Nationen werden, es den USA gleichzutun. Ein solch gezieltes Verbot würde die Bereitschaft der USA und des Westens signalisieren, strengere Maßnahmen gegen die chinesische Technologiepräsenz zu ergreifen, „die sich auch auf andere chinesische Plattformen auswirken und die technologische Entkopplung zwischen den beiden Ländern bzw. Regionen verstärken könnten“.

Diese Maßnahme könnte die bereits angespannten Beziehungen weiter verschlechtern und zu einem breiteren geopolitischen Wettbewerb beitragen, bei dem die US-Maßnahmen als aggressive Schritte zur Eindämmung von Chinas technologischem und geopolitischem Einfluss wahrgenommen würden. Darüber hinaus spiegele der Fokus auf „TikTok“ die Besorgnis in den USA und im Westen wider, einen strategischen Vorteil gegenüber China zu verlieren, insbesondere im Technologiesektor.

Ein Verbot von TikTok könnte unheilvollen Präzedenzfall schaffen

Die weiterreichenden Auswirkungen eines Verbots könnten auch den globalen Handel, die Kommunikationsströme und den Zugang zu Informationen in Frage stellen und andere Länder im Gegenzug dazu veranlassen, ähnliche Beschränkungen für US-Unternehmen zu verhängen – „insbesondere angesichts der weltweiten Besorgnis über das unregulierte ,Daten-Ökosystem’ der USA“.

Es werde befürchtet, dass ein solcher Schritt einen Präzedenzfall schaffen und zu einem zunehmend fragmentierten Internet führen könnte, was den internationalen Datenfluss stören und den globalen digitalen Handel und die Kommunikation beeinträchtigen würde. Die Debatte um „TikTok“ berühre daher Themen, die weit über diese App selbst hinausgingen und Fragen nach dem Gleichgewicht zwischen Nationaler Sicherheit und globaler Internetwirtschaft aufwerfen würden.

TikTok-Verkauf an US-Unternehmen als möglicher Ausweg

Angesichts der großen Beliebtheit dieser App und der logistischen Herausforderungen bei der Umsetzung eines vollständigen Verbots wäre es für ByteDance, die Muttergesellschaft von „TikTok“, eine praktikablere Lösung, das im aktuellen Gesetzentwurf vorgesehene Verbot zu umgehen und seine US-Aktivitäten an ein US-amerikanisches Unternehmen zu veräußern. Die Umsetzung eines vollständigen Verbots von „TikTok“ sei mit erheblichen logistischen Herausforderungen verbunden. „Es ist davon auszugehen, dass ein Verbot die Nutzerbasis der App erheblich reduzieren würde. Damit fungiert das drohende Verbot indirekt als Druckmittel, um ByteDance dazu veranlassen, einen Verkauf des TikTok-Geschäfts in den USA zu erwägen.“

Außerdem müsse erwähnt werden, dass das Versagen des US-Kongresses bei der Regulierung inländischer Social-Media-Unternehmen den Weg für ausländische Organisationen geebnet habe, Apps wie „TikTok“ ohne Einschränkungen zu betreiben. Marrès Fazit: „Hätte der Kongress strenge, klare und robuste Vorschriften erlassen, die die Privatsphäre der Nutzer und Nutzerinnen schützen und ihnen die Kontrolle über die Erhebung, Speicherung und Verwendung persönlicher Daten ermöglicht, hätten wir eine effektivere Aufsicht über Apps in ausländischem Besitz und ein Verbot wäre mit höherer Wahrscheinlichkeit unnötig.“

Weitere Informationen zum Thema:

tagesschau, 13.03.2024
Drohendes Verbot in den USA / Repräsentantenhaus will TikTok-Verkauf erzwingen

Die Bundesregierung
Digital Services Act / Das Gesetz über digitale Dienste

[datensicherheit.de, 23.02.2023] „ChatGPT“ genießt offensichtlich derzeit eine enorme Popularität – nun soll OpenAI laut einer aktuellen Meldung von Arctic Wolf ein kostenpflichtiges Angebot („ChatGPT Plus“) eingeführt haben, „das es Nutzern ermöglicht, den ,Chatbot’ ohne Verfügbarkeitsbeschränkungen zu verwenden“. Bedrohungsakteure machten sich dies indes zunutze – „und versprechen uneingeschränkten, kostenlosen Zugang zum ,Premium-ChatGPT’“. Tatsächlich seien diese Angebote aber „betrügerisch“: Diese zielten darauf ab, Nutzer zur Installation von Malware oder zur Angabe von Zugangsdaten zu verleiten.

Foto: Arctic Wolf

Ian McShane: Cyber-Kriminelle nutzen Fake-Versionen von ChatGPT, um Malware für Android und Windows zu verbreiten!

Hype um ChatGPT gigantisch – das lockt auch Cyber-Kriminelle an

„Der Hype um ,ChatGPT’ ist gigantisch, und die Online-App erlebt einen rasanten Anstieg der Nutzerzahlen. Da ist es keine große Überraschung, dass auch Hacker diesen Hype für ihre bösartigen Aktionen nutzen“, kommentiert Ian McShane, „Vice President of Strategy“ bei Arctic Wolf, die gegenwärtige Situation.

Wie schon bei dem Hype-Phänomen „Pokémon Go“ nutzten Cyber-Kriminelle nun auch Fake-Versionen von „ChatGPT“, um Malware für „Android“ und „Windows“ zu verbreiten. Daher sollten Verbraucher sehr vorsichtig sein und jedes Angebot meiden, das zu gut klingt, um wahr zu sein.

„,ChatGPT’ ist ein reines Online-Tool und nur unter, chat.openai.com’ verfügbar“, betont McShane. Derzeit gebe es keine mobilen oder Desktop-Apps für irgendein Betriebssystem. Er stellt klar: „Apps oder Websites, die sich als ,ChatGPT’ ausgeben und versuchen, Nutzer zum Herunterladen von Apps zu verleiten, sind Fakes.“ Diese zielten darauf ab, Geräte und Systeme mit Malware zu infizieren und sollten daher dringend gemieden werden.

ChatGPT ändert nichts an Grundlagen der Cyber-Sicherheit – Cyber-Hygiene in Unternehmen gefragt

Ihn überrascht es nicht, „dass Kriminelle nicht nur den Hype für sich nutzen, sondern auch das Tool selbst, um bösartige Codes zu schreiben“. Es sei ein weiteres Werkzeug, welches die Einstiegshürde für potenziell bösartige Aktivitäten senke. Er führt aus: „In der Vergangenheit erforderte die Erstellung einer sich ständig verändernden Malware ein hohes Maß an Programmierkenntnissen. Jetzt kann fast jeder, der ein Grundverständnis für gegnerische TTPs hat, ,ChatGPT’ in eine potenzielle Waffe verwandeln.“

„ChatGPT“ ändere jedoch nichts an den Grundlagen der Cyber-Sicherheit – und die beste Möglichkeit für Unternehmen, sich gegen diese (und andere) neue Bedrohungen zu schützen, bestehe darin, weiterhin eine gute „Cyber-Hygiene“ zu praktizieren. Sie sollten mit externen Experten zusammenarbeiten, um ihre Cyber-Sicherheit zu verbessern, regelmäßige Systemprüfungen durchführen, neue Technologien einsetzen und ihre Mitarbeiter weiterbilden, „damit sie diese richtig nutzen können“.

Außerdem sollte nicht vergessen werden, dass es in der Welt der Cybersecurity auch positive Anwendungen für „ChatGPT“ gibt. McShane erläutert: „So könnte es beispielsweise zur Automatisierung der Analyse von Protokolldateien oder zur Erstellung von Berichten verwendet werden. Sicherheitsteams können ,ChatGPT’ auch nutzen, um Phishing-E-Mails oder Social-Media-Nachrichten zu generieren, um ihre Verteidigungsmaßnahmen zu testen.“ Zum Abschluss unterstreicht McShane, dass all dies zur Verbesserung der Effektivität der Cyber-Sicherheit in Unternehmen beitrage.

Weitere Informationen zum Thema:

datensicherheit.de, 22.02.2023
ChatGPT: Malware-Kampagne missbraucht Hype / Malware ermöglicht Diebstahl von Login-Daten und persönlichen Informationen

datensicherheit.de, 09.02.2023
ChatGPT: Gefahren und Grenzen der KI / Verteidiger müssen auf dem Stand der Technik und des Wissens sein

datensicherheit.de, 08.02.2023
Zum SAFER INTERNET DAY 2023: LfDI Rheinland-Pfalz nimmt Stellung zu KI und ChatGPT / ChatGPT nur ein Beispiel, wie KI-Systeme sich mehr und mehr in digitalen Anwendungen unseres Alltags finden

datensicherheit.de, 17.02.2023
Betrug mittels KI: Chatbots und Text-to-Speech bergen neben Vorteilen auch potenzielle Gefahren / Auf dem Gebiet der KI hat sich in den letzten Monaten viel getan – so sorgt derzeit vor allem ChatGPT für Aufsehen

[datensicherheit.de, 30.01.2023] Das Hacker-Netzwerk „Hive“ soll wichtige Daten der Opfer verschlüsselt sowie Unternehmen und Organisationen mit selbstentwickelten Erpressungstools unter Druck gesetzt und mit der Veröffentlichung von sensiblen Daten gedroht haben. Das FBI und deutsche Behörden haben nach eigenen Angaben diese Ransomware-Gruppe zerschlagen. „Hive“ hat demnach in den vergangenen Jahren mehr als 100 Millionen US-Dollar (rund 92 Millionen Euro) an Lösegeldzahlungen erbeutet. Der frühere „FBI Cyber Special Agent“ Adam Marrè, heute „CISO“ bei Arctic Wolf, ordnet in seiner aktuellen Stellungnahme diese Fall ein:

Foto: Arctic Wolf

Adam Marrè: Bleibt zu hoffen, dass Durchbruch der Strafverfolgungsbehörden als Abschreckung dient…

Hive-Operation gutes Beispiel, wie umfassender Zugang Aktivitäten Cyber-Krimineller vereiteln kann

Marrè führt aus: „Strafverfolgungsbehörden nutzen geheime Zugänge zu den Netzwerken und Systemen von Bedrohungsakteuren, um Beweise für strafrechtliche Ermittlungen zu unterschiedlichsten Arten von Cyber-Kriminalität zu sammeln – einschließlich Ransomware.“ Die aktuelle Operation sei nun ein gutes Beispiel dafür, „wie ein umfassender Zugang zum Erfolg führen kann, um die Aktivitäten von Cyber-Kriminellen zu vereiteln“.

Leider sei dies so nicht immer möglich. Teilweise stützetn sich – ebenfalls erfolgreiche – Ermittlungen auch auf geringere Zugangsmöglichkeiten. Ermittlungsfortschritte hingen dann häufig allein von Informanten ab und stützten sich nicht auf einen direkten technischen Zugriff.

Anzunehmen, dass CyberCrime-Markt in irgendeiner Form Ersatz für Hive hervorbringen wird

„Die Zerschlagung des ,Hive‘-Hacker-Netzwerks bedeutet einen erheblichen Rückschlag für diese gefährliche kriminelle Organisation, die es auf Gesundheitssysteme abgesehen hat und damit letztlich eine Bedrohung für Leib und Leben darstellte“, betont Marrè. Auch wenn dieser Vorstoß die Menge der Ransomware-Aktivitäten in ihrer Gesamtheit nicht wesentlich reduziere, so sei es doch ein Signal an diejenigen, „die solche Aktivitäten noch durchführen oder planen, es zu tun“.

Auch wenn anzunehmen sei, dass der CyberCrime-Markt, in irgendeiner Form einen Ersatz für den „Hive-Dienst“ hervorbringen werde, bleibe zu hoffen, dass dieser Durchbruch der Strafverfolgungsbehörden „als Abschreckung für diejenigen dient, die Angriffe auf Kritische Infrastrukturen wie Krankenhäuser ermöglichen“.

Denkbar, dass einige Hive-Mitglieder bereits vor Zerschlagung des Netzwerks bekannt waren

Die Art dieses speziellen Zugriffs werde wahrscheinlich zu Verhaftungen führen oder dazu, „dass die Strafverfolgung die beteiligten Personen überzeugt, als Informanten für weitere Ermittlungen mit ihr zusammenzuarbeiten“.

Es sei durchaus denkbar, dass einige Mitglieder der Ransomware-Gruppe „Hive“ bereits vor der Zerschlagung dieses Netzwerks bekannt gewesen seien – „die Strafverfolgungsbehörden jedoch noch nicht bereit waren oder die Zerschlagung über den technischen ,Access‘ nicht mit Verhaftungsaktionen gefährden wollten“.

Weitere Informationen zum Thema:

tagesschau, 26.01.2023
Deutschland und USA / Hackernetzwerk „Hive“ zerschlagen

datensicherheit.de, 30.01.2023
Nach Erfolg gegen Hive: Ransomware-Gruppen unter Druck / Ransomware-Bedrohung unterstreicht dennoch Priorität in Fragen der Visibilität

datensicherheit.de, 27.01.2023
Hive: Ransomware-Gang vom FBI und deutschen Sicherheitsbehörden aus dem Spiel genommen / Eine der aktivsten Ransomware-Bande namens Hive heimlich gehackt und zerschlagen

[datensicherheit.de, 23.07.2022] Zu aktuellen Berichten über ein Datenleck beim Online-Game „Neopets“, welches eine hohe Anzahl an Nutzern betreffen soll, gibt Ian McShane, „Vice President of Strategy“ bei Arctic Wolf, einen Kommentar ab und erörtert darin, warum dieses Ereignis ein Weckruf für Unternehmen jedweder Branche und Größenordnung sein sollte, umfassende Sicherheitsmaßnahmen zu ergreifen. McShane verfügt nach eigenen Angaben über mehr als 20 Jahre Erfahrung im Bereich Cyber-Sicherheit und operative IT. Als ehemaliger Gartner-Analyst hat er demnach die größten und am schnellsten wachsenden Technologieunternehmen der Welt sowie Zehntausende von Organisationen weltweit beraten. Zuvor sei er ferner bei CrowdStrike, Elastic, Endgame und Symantec tätig gewesen.

Foto: Arctic Wolf

Ian McShane: Sicherheitsmaßnahmen sind heutzutage ein Muss!

Nach Cyber-Angriff auf Neopets mutmaßlich Daten und Anmeldeinformationen von über 69 Millionen Nutzern kompromittiert

McShane warnt eindringlich: „Die aktuelle Meldung, dass Hacker auf die gesamte User-Datenbank von Neopets zugegriffen haben, beweist einmal mehr, dass sich kein Unternehmen sich sicher fühlen kann – ganz egal welche Branche.“ Dieser Cyber-Angriff auf Neopets habe mutmaßlich dazu geführt, dass die Daten und Anmeldeinformationen von über 69 Millionen Nutzern kompromittiert und online verbreitet worden seien.

Noch beunruhigender sei allerdings, dass die Nutzer auch dann noch gefährdet seien, „wenn sie ihre Passwörter ändern, da die Sicherheitslücke noch immer nicht behoben wurde“.

Es sei bekannt, dass viele Menschen dieselben Passwörter und Benutzernamen für unterschiedliche Websites verwendeten und manchmal sogar die Anmeldedaten ihres Unternehmens nutzten.

Empfehlung an den Betreiber: Neopets sollte Betroffenen Abonnement für Passwort-Manager stellen

„Es wäre eine starke Geste, wenn Neopets, Inc. den betroffenen Nutzern ein oder zwei Jahre lang ein Abonnement für einen Passwort-Manager wie ,LastPass‘ oder ,1Password‘ zur Verfügung stellen würde, um den betroffenen Nutzern zu helfen, statt die übliche ,Wir tun alles, was wir können‘-Litanei herunterzubeten“, rät McShane.

Abgesehen davon könnten zwar gefährdete E-Mails und Passwörter geändert werden, persönliche Informationen wie IP-Adresse, Geburtsdatum und Standort jedoch nicht, so dass die Nutzer für lange Zeit weiterhin dem Risiko eines Identitätsdiebstahls ausgesetzt blieben.

Abschließend betont McShane: „Dies sollte ein Weckruf für Unternehmen sein. Es gibt keine Ausreden mehr, warum lediglich grundlegende Maßnahmen zum Schutz der Nutzer ergriffen werden. Umfassende Sicherheitsmaßnahmen sind heutzutage ein Muss.“

Weitere Informationen zum Thema:

heise online, Martin Holland, 21.07.2022
Neopets: 69 Millionen Nutzerdaten und Quellcode erbeutet, Hacker noch im System

[datensicherheit.de, 15.07.2022] „HavanaCrypt“ ist nach aktuellen Erkenntnissen der „Arctic Wolf Labs“ eine neue Ransomware. Diese sei schwer zu erkennen, denn sie tarne sich als Google-Update und nutze Microsoft-Funktionen im Rahmen der Attacken. Daniel Thanos, VP der „Arctic Wolf Labs“ bei Arctic Wolf®, geht in seiner Stellungnahme auf diese neue Malware ein und gibt Unternehmen Tipps zum richtigen Verhalten.

Ransomware-Angreifer missbrauchen bei Attacken häufig das Vertrauen der Nutzer

Thanos erläutert: „Angreifer missbrauchen bei ihren Attacken häufig das Vertrauen von Nutzern, um die Schutzmaßnahmen von Unternehmen zu umgehen. Die Verwendung von vertrauenswürdigen Adressräumen und Hosts, die von den meisten Unternehmen als seriös und sicher eingestuft werden und auf der ,Whitelist‘ stehen, ist also nicht neu.“
Cyber-Kriminelle nutzten zum Beispiel AWS-Hosting oder kaperten andere „saubere“ Hosts bzw. Adressräume. Doch es seien nicht nur vertrauenswürdige Adressen, welche für Ransomware-Angriffe missbraucht würden, sondern auch allgemein als vertrauenswürdig eingestufte, in vielen Unternehmen zum Einsatz kommende „Tools“ und Anwendungen.

Herkömmliche Detection- und Defense-Maßnahmen gegen Ransomware versagen

„Entsprechend haben herkömmliche Detection- und Defense-Maßnahmen, die auf statischen Indikatoren und Signaturen beruhen oder bestimmte Adressräume, Anwendungen, Nutzer oder Prozesse als vertrauenswürdig einstufen, schon vor langer Zeit versagt“, führt Thanos aus und rät: „Stattdessen sollte die Cyber-Abwehr von Unternehmen auf der Erkennung von Verhaltensmustern basieren, die auf den tatsächlichen TTPs (Tactics, Techniques, Procedures) der Angreifer beruhen.“
Man sollte sich indes nicht auf ein einziges „Sicherheitstool“ verlassen oder auf einen Ansatz, der bestimmte Systemelemente automatisch als „vertrauenswürdig“ oder „nicht vertrauenswürdig“ einstuft. Die Bedrohungsabwehr müsse genau auf die tatsächlichen Vorgehensweisen der Angreifer abgestimmt werden. Das erfordere kontinuierliche Forschung und Weiterentwicklung, da sich diese bei der Vielzahl möglicher Angriffe fast täglich änderten. „All das muss bei Sicherheitsmaßnahmen bedacht werden“, stellt Thanos klar.

Vermutlich möchte Autor der HavanaCrypt-Ransomware über Tor-Browser kommunizieren

„Es ist sehr wahrscheinlich, dass der Autor der ,HavanaCrypt‘-Ransomware plant, über den ,Tor‘-Browser zu kommunizieren, da ,Tor‘ zu den Verzeichnissen gehört, in denen er die Verschlüsselung von Dateien verhindert.“ Aktuell hinterlasse „HavanaCrypt“ keine Lösegeldforderung, was ein Hinweis darauf sein könnte, „dass sie sich noch in der Entwicklungsphase befindet“, vermutet Thanos.
Sein Tipp: „Wenn sie sich tatsächlich noch in der Beta-Phase befindet, sollten Unternehmen die Chance nutzen, sich darauf vorzubereiten.“ Für den Fall, dass „Tor“ verwendet wird, sollte der Browser blockiert werden – in den meisten Unternehmen werde „Tor“ ohnehin nicht gebraucht.

Aktuelle Erkenntnisse der Arctic Wolf Labs über HavanaCrypt-Ransomware:

1. Tarnt sich als Google-Software-Update-Anwendung.
2. Verwendet Microsoft-Webhosting als Command-and-Control-Server, um die „Detection“ zu umgehen.
3. Nutzt die „QueueUserWorkItem“-Funktion, eine Methode des „.NET System.Threading Namespace“. Außerdem verwendet die Ransomware die Module von „KeePass Password Safe“, einem Open-Source-Passwortmanager, während der Dateiverschlüsselung.
4. Ist eine „.NET“-kompilierte Anwendung und wird durch „Obfuscar“ geschützt, einen „Open-Source-.NET-Obfuscator“, der den Code in einer „.NET-Assembly“ schützt.
5. Verfügt über mehrere Anti-Virtualisierungstechniken, um eine dynamische Analyse zu vermeiden, wenn sie in einer virtuellen Maschine ausgeführt wird.
6. Nachdem „HavanaCrypt“ sich vergewissert hat, dass der Computer des Opfers nicht in einer virtuellen Maschine ausgeführt wird, lädt sie eine Datei mit dem Namen „2.txt“ von 20[.]227[.]128[.]33, einer IP-Adresse eines Microsoft-Webhosting-Dienstes, herunter und speichert sie als Batch-Datei (.bat) mit einem Dateinamen, der 20 bis 25 zufällige Zeichen enthält.
7. Verwendet während seiner Verschlüsselungsroutine Module von „KeePass Password Safe“. Insbesondere nutzt sie die Funktion „CryptoRandom“, um Zufallsschlüssel zu erzeugen, die für die Verschlüsselung benötigt werden.
8. Verschlüsselt Dateien und fügt „.Havana“ als Dateinamenerweiterung hinzu.

Weitere Informationen zum Thema:

ARCTIC WOLF, 10.05.2022
Arctic Wolf Launches Arctic Wolf Labs to Advance Security Operations Research and Intelligence Reporting