[datensicherheit.de, 23.03.2023] Die Vorgaben für den Schutz vor Cyber-Angriffen auf „überwachungsbedürftige Anlagen“ steigen laut einer aktuellen Stellungnahme des TÜV-Verband e.V.: „Die Betreiber der Anlagen sollten jetzt handeln und ihre bestehenden IT-Sicherheitskonzepte überprüfen“, rät Dr. Hermann Dinkler, Experte für Maschinen- und Anlagensicherheit beim TÜV-Verband. Er erläutert: „Auf Basis einer aktuellen Gefährdungsbeurteilung müssen die Betreiber entsprechende technische und organisatorische Maßnahmen für den Schutz vor digitalen Angriffen umsetzen.“

Zu überwachungsbedürftigen Anlagen gehören u.a. Aufzüge, Druckbehälter sowie Anlagen in explosionsgefährdeten Bereichen

Zu den sogenannten überwachungsbedürftigen Anlagen gehörten unter anderem Aufzüge, Druckbehälter sowie Anlagen in explosionsgefährdeten Bereichen, darunter Tankstellen und Gasfüllanlagen. Diese Anlagen werden demnach regelmäßig von externen Sachverständigen überprüft, weil von ihnen ein besonders hohes Risiko für Leib und Leben ausgehen kann. Grundlage für die Umsetzung und Überprüfung der Schutzmaßnahmen der Cyber-Sicherheit sei die jetzt veröffentlichte Technische Regel Betriebssicherheit (TRBS) 1115-1 mit dem Titel „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“.

Dr. Dinkler führt aus: „Die neuen Anforderungen sind ein wichtiger Meilenstein, um die digitale Sicherheit überwachungsbedürftiger Anlagen auf ein höheres Level zu bringen.“ Die Technische Regel diene als Leitfaden für Betreiber und Sachverständige, mit dessen Hilfe sie die Vorgaben in der Praxis umsetzen könnten.

Auch Anlagen und Arbeitsmittel können ins Visier krimineller Hacker geraten

Hintergrund dieser neuen Regelungen sei die zunehmende Digitalisierung und Vernetzung technischer und industrieller Anlagen im sogenannten Internet der Dinge. „Angriffsziel von Cyber-Attacken sind meist die Netzwerke und Computersysteme von Unternehmen. Was dabei häufig übersehen wird: Auch Anlagen und Arbeitsmittel geraten ins Visier krimineller Hacker, wenn sie über digitale Schnittstellen verfügen oder mit dem Internet verbunden sind“, so Dr. Dinkler.

Viele Anlagen sind heute mit sogenannten Speicherprogrammierbaren Steuerungen (SPS) ausgestattet. Die meisten dieser SPS hätten Schnittstellen zur Aktualisierung oder Programmierung – zum Beispiel USB-Anschlüsse, Schnittstellen zu internen Netzwerken oder direkt zum Internet. „Es besteht die Gefahr, dass die SPS als Einfallstor für Schadsoftware genutzt wird. Die schädlichen Programme können die Anlagen selbst kompromittieren oder sich im Netzwerk der Organisation ausbreiten“, warnt Dr. Dinkler. Die Folgen könnten ein Ausfall einzelner Anlagen oder ein breit angelegter Cyber-Angriff sein, um die IT-Infrastruktur des Unternehmens lahmzulegen. Er ist überzeugt: „Die neuen Regelungen werden dazu beitragen, das Schutzniveau vor Cyber-Angriffen zu erhöhen.“

Vor allem für Arbeitssicherheit relevant: Technische Regel 1115-1 überwachungsbedürftiger Anlagen

Da die Technische Regel 1115-1 vor allem für die Arbeitssicherheit Relevanz habe, sei sie im „Ausschuss für Betriebssicherheit“ gemeinsam von Unternehmen, Länderbehörden, Gewerkschaften, der gesetzlichen Unfallversicherung und den zugelassenen Überwachungsstellen (ZÜS) ausgearbeitet und jetzt von der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin veröffentlicht worden.

Die für die Prüfungen zuständigen ZÜS hätten auf Grundlage der Technischen Regel in einem aktuellen Beschluss ihrerseits grundlegende Anforderungen an die Cyber-Sicherheit der Anlagen und ihrer Prüfung formuliert.

Weitere Informationen zum Thema:

baua: Bundesanstalt für Arbeitsschutz und Arbeitsmedizin, 22.03.2023
TRBS 1115 Teil 1 Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen / Technische Regel für Betriebssicherheit / Ausgabe: November 2022

EK ZÜS-Geschäftsstelle im TÜV-Verband, 16.11.2022
Beschluss des EK ZÜS

[datensicherheit.de, 29.06.2021] Trend Micro hat nach eigenen Angaben am 29. Juni 2021 zusammen mit GSMA Intelligence eine neue Studie veröffentlicht, „die große Lücken in der Sicherheitskompetenz bei Mobilfunkbetreibern aufzeigt“. In vielen Fällen hätten diese noch nicht durch Unternehmenspartnerschaften geschlossen werden können. Die Studie basiert demnach auf zwei Marktumfragen von GSMA Intelligence – die Marktumfrage „GSMA Intelligence Operators in Focus 2021“ habe 100 Entscheidungsträger von Netzbetreibern weltweit hinsichtlich ihrer Meinung zu den „Chancen, die sich im Enterprise-Segment bieten“, befragt und „The GSMA Intelligence Enterprise in Focus 2020“ 2.873 Unternehmen in acht Branchen und 18 Ländern.

45 % der 5G-Betreiber halten es für äußerst wichtig, in Sicherheit zu investieren

Laut dieser Studie verkauften 68 Prozent der Netzwerkbetreiber private drahtlose Netzwerke an Unternehmenskunden – der Rest plane, dies bis 2025 zu tun. Fast die Hälfte (45 Prozent) der Betreiber halte es für äußerst wichtig, in Sicherheit zu investieren, um langfristige Umsatzziele zu erreichen. Zu diesem Zweck planten 77 Prozent der Betreiber, Sicherheit als Teil ihrer privaten Netzwerklösungen anzubieten.
„Die Studie zeigt eine mögliche Diskrepanz in der Sichtweise der Netzwerkbetreiber auf die Sicherheit“, erläutert Udo Schneider, „IoT Security Evangelist Europe“ bei Trend Micro. Es sei offensichtlich, „dass die Betreiber von 5G-Netzwerken die Risiken verstehen und den Wunsch haben, Sicherheitsbedenken zu adressieren“. Einige versuchten jedoch, das Problem ohne die Expertise von Sicherheitsexperten oder Spezialanbietern zu lösen. „Das ist in etwa so, als würde man einen Klempner anheuern, um die Elektronik zu reparieren.“ Dieser könne vielleicht Probleme identifizieren oder Empfehlungen aussprechen, sei aber nicht automatisch dazu in der Lage, die Probleme auch zu lösen. „Soll das Thema Security zufriedenstellend adressiert werden, muss diese Lücke geschlossen werden. Dessen sind sich Netzwerkbetreiber jedoch durchaus bereits bewusst“, so Schneider.

51 % der 5G-Netzwerkbetreiber sehen Edge Computing als wichtigen Bestandteil ihrer zukünftigen Unternehmensstrategie

Die Studie kommt laut Trend Micro darüber hinaus zu folgenden Ergebnissen:

• 51 Prozent der Netzwerkbetreiber sehen „Edge Computing“ (Multi-Access Edge Computing, oder MEC) als einen wichtigen Bestandteil ihrer zukünftigen Unternehmensstrategie an. Nur 18 Prozent der Betreiber sichern derzeit ihre Endpunkte oder „Edge“.
• 48 Prozent der Betreiber nennen einen Mangel an adäquaten Kenntnissen oder Tools zur Erkennung von Schwachstellen als eine der größten Sicherheitsherausforderungen hinsichtlich 5G.
• 39 Prozent haben nur einen begrenzten Pool an Sicherheitsexperten.
• 41 Prozent kämpfen mit Schwachstellen in der Netzwerkvirtualisierung.

5G-Netzwerkbetreiber sollten ihre Kompetenzen erweitern oder Partnerschaften mit Security-, Cloud- bzw. IT-Anbietern eingehen

Die Rolle, die Netzwerkbetreiber bei der Sicherung des privaten „Netzwerk-Ökosystems“ einnehmen können, sei in der 5G-Ära besonders wichtig. „Dass Unternehmen neue Kommunikationstechnologien (5G, Edge-Computing, Cloud-Computing, Private Wireless, IoT) nutzen, um ihr Geschäft bereit für die Digitale Transformation zu machen, verändert die Bedrohungsvektoren.“
Die Netzwerkbetreiber befänden sich jedoch in der idealen Lage, um diese zu adressieren und ihren Kunden dadurch Mehrwerte zu bieten. Um dieser Rolle gerecht zu werden, sollten sie jedoch ihre Kompetenzen erweitern oder Partnerschaften mit Security-, Cloud- oder IT-Anbietern eingehen. Auf diese Weise könnten sie die Lücken in ihren Sicherheitsportfolios schließen und die fehlende Expertise ausgleichen.

Weitere Informationen zum Thema:

GSMA Intelligence, Sylwia Kechiche, Juni 2021
Securing private networks in the 5G era

[datensicherheit.de, 02.02.2021] Die App Clubhouse sei derzeit in aller Munde und habe einen erheblichen Nutzeransturm zu verzeichnen. Das sei durchaus verständlich, so der der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI): Viele Menschen hätten gerade gegenwärtig „ein überwältigendes Interesse an einer neuen diskursiven Plattform, die spannende Kommunikation und den ungezwungenen Austausch mit anderen verspricht“. Diese App werfe jedoch viele Fragen zur Wahrung der Privatsphäre der Nutzer und dritter Personen auf.

HmbBfDI

HmbBfDI Prof. Dr. Johannes Caspar: App darf weder eigene noch fremde Rechte verletzen!

Zweifel am Datenschutz der App

So würden die Adressbücher in den Mobilfunkgeräten von jenen Nutzern, welche andere Personen einladen, automatisch ausgelesen und durch die Betreiber in den USA gespeichert. Dadurch gerieten Kontaktdaten von zahlreichen Menschen, ohne dass diese überhaupt mit der App in Kontakt kämen, in fremde Hände, wo sie dann zu Zwecken der Werbung oder Kontaktanfragen verwendet werden könnten.
Die Betreiber speicherten nach eigenen Angaben zudem die Mitschnitte aller in den verschiedenen Räumen geführten Gespräche, um Missbräuche zu verfolgen, ohne dass die näheren Umstände transparent würden. Anbieter indes, welche sich an europäische Nutzer richten, müssten deren Rechte auf Information, Auskunft, Widerspruch und Löschung achten.

Auch diese App muss Regeln auf dem Spielfeld Europa beachten

Gleichzeitig bestehe die Pflicht, die technisch-organisatorischen Maßnahmen zum Schutz der Daten zu gewährleisten. An all dem bestünden derzeit bei der „Clubhouse“-App einige Zweifel. Der HmbBfDI hat sich daher nach eigenen Angaben mit den anderen deutschen Aufsichtsbehörden abgestimmt und hierzu einen Katalog von Fragen an die Betreiber in Kalifornien übersandt, um die Einhaltung des europäischen Datenschutzrechts zu überprüfen.
„Es kommt leider immer wieder vor, dass Anbieter aus den USA auf den europäischen Markt drängen oder einfach nur mit ihren Produkten und Dienstleistungen bei uns erfolgreich sind, ohne die grundlegendsten datenschutzrechtlichen Vorgaben des europäischen Digitalmarktes einzuhalten“, so Prof. Dr. Johannes Caspar, der HmbBfDI. Hierbei gelte es, zügig darauf hinzuweisen, „welche Regeln auf dem Spielfeld Europa gelten und diese auch durchzusetzen“. Es sei im Interesse aller europäischen Nutzer, Dienste in Anspruch nehmen zu können, „die weder eigene noch fremde Rechte verletzen und die nicht erst nach Jahren erfolgreicher Nutzerbindung in Europa sich den Prinzipien des Schutzes der Privatheit öffnen“, betont Caspar.

Weitere Informationen zum Thema:

datensicherheit.de, 26.01.2021
TikTok: Erneut Schwachstelle entdeckt

datensicherheit.de, 28.11.2020
Supergrundrecht Datenschutz: Ein kritischer HmbBfDI-Faktencheck

[datensicherheit.de, 04.04.2020] Die Diskussionen um die optimale Gültigkeitsdauer von SSL-Zertifikaten gehen in die nächste Runde. „Kürzlich hat Apple seine Position zu den 1-Jahres-Zertifikaten deutlich gemacht. Am 19. Februar kündigte das Unternehmen an, ab dem 01. September 2020 ausschließlich SSL-Zertifikate mit einer Gültigkeitsdauer von maximal 398 Tagen zu akzeptieren“, informiert Patrycja Tulinska, Geschäftsführerin der PSW GROUP. Als Hauptgrund gab Apple den verbesserten Schutz der Internet-User an. „Apple erhofft sich, Webseiteninhaber zu einer häufigeren Validierung zu zwingen und damit die Anzahl von Fake-Seiten zu vermindern“, bringt es Tulinska auf den Punkt.

Es ist zu erwarten, dass es einige Browser Apple gleichtun werden

Für Website-Betreiber heißt es nun konkret: Der Apple-eigene Browser Safari akzeptiert bei ab dem 01. September 2020 ausgestellten Zertifikaten nur noch eine Maximal-Laufzeit von 398 Tagen. „Wer noch vor diesem Stichtag ein Zertifikat mit längerer Gültigkeitsdauer erworben hat, muss sich keine Gedanken machen. Dieses wird bis zum Laufzeit-Ende korrekt in Safari angezeigt. Ab 1. September sollten dann aber nur 1-Jahres Zertifikate erworben und verwendet werden, damit die eigene Webseite in allen Browsern optimal dargestellt wird“, so Tulinska über die Folgen. Weiterhin ist zu erwarten, dass es einige Browser Apple gleichtun werden. Vor allem Google hatte die Initiative der 1-Jahres-Zertifikate bereits selbst unterstützt und wird vermutlich ähnliche Änderungen vornehmen.

Patrycja Tulinska, Geschäftsführerin der PSW GROUP

„In Zeiten der immer kürzer werdenden Laufzeiten wird ein optimaler Kundenservice und die Vereinfachung der Zertifikatsverwaltung immer bedeutender werden. Wir bieten beispielsweise bereits heute unseren Kunden ein System für die eigene Zertifikatsverwaltung – die PSW Konsole – an, um Bestellungen so einfach wie möglich zu machen“, so Patrycja Tulinska. Die PSW GROUP sieht diese neuerliche Branchen-Änderung zudem als Anlass, den Bestellprozess weiterhin maximal zu optimieren und arbeitet bereits an Möglichkeiten, ihren Kunden die zusätzlichen Aufwände, die aus den Änderungen der Zertifikatsverwaltung und Gültigkeitsdauer resultieren, abzunehmen.

Erlaubte Gültigkeit von SSL-Zertifikaten hat sich in den letzen Jahren immer wieder geändert

Bereits in den vergangenen Jahren hat sich die erlaubte Gültigkeit von SSL-Zertifikaten immer wieder geändert. So dürfen auf Beschluss des CA/Browser Forums, seit März 2018 SSL-Zertifikate nur noch eine maximale Gültigkeit von 2 Jahren besitzen. Im August letzten Jahres hatte Google den Vorschlag einer weiteren Verkürzung der Gültigkeitsdauer auf nur 1 Jahr eingereicht. Dies lehnte die Mehrheit des CA/Browser Forums jedoch ab. Die Gründe gegen eine weitere Verkürzung liegen auf der Hand: Mit dem Erwerb von SSL-Zertifikaten mit einer längeren Gültigkeitsdauer ist natürlich verminderter Aufwand verbunden. Bei Verkürzung der Gültigkeitsdauer von SSL-Zertifikaten muss mehr Kosten und Mühen in die korrekte Einbindung eines Zertifikats gesteckt werden.

Weitere Informationen zum Thema:

PSW Group
Apple senkt Gültigkeitsdauer von SSL-Zertifikaten

datensicherheit.de, 19.02.2020
Maschinenidentitäten: Drei Tipps und Tricks zur Erneuerung, Neuausstellung und Widerrufung

datensicherheit.de, 24.07.2019
Neuer BSI Community Draft fordert EV-SSL-Zertifikate

datensicherheit.de, 13.04.2016
Integration von SSL-Zertifikaten wird künftig zur Pflicht

[datensicherheit.de, 06.02.2018] Der „Safer Internet Day“ als Tag für das sicherere Internet findet jedes Jahr am zweiten Dienstag im Februar statt, so auch am 6. Februar 2018. Aus diesem Anlass betont Marit Hansen, Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD SH), dass schon mehr Sorgfalt bei der Sicherheit notwendig sei: Wenn Hacker den Einstieg in „Smart Homes“ über eben nur scheinbar „smarte“ Glühlampen finden oder wenn Autodiebe sich einen Zugriff über geklonte Schlüsselsignale verschaffen, spreche dies alles nicht für eine durchdachte Gestaltung der Systeme. Dasselbe gelte für die Datenschutz-Konzepte der Hersteller und Betreiber.

Aushöhlung des Datenschutzes

Als bedenkliche Beispiele führt Hansen an: Wenn Standort- und Bewegungsdaten auf Fitnesswegen bekannt werden und die Sportler darüber identifiziert werden können, wenn Sprachassistenzsysteme die Kommunikation im Wohnzimmer aufzeichnen und als „Zeuge“ vor Gericht auftreten sollen, wenn wir auf Basis unseres Nutzungsverhaltens in Kategorien eingestuft und gezielt beworben werden – es sei denn, wir gehören zu der für Werbung unattraktiven Kategorie „waste“ (Müll). Wenn Algorithmen aus diesen gesammelten Daten Ergebnisse fabrizieren, die unser Leben beeinflussen können: Entscheidungen darüber, ob wir einen Kredit bekommen, wie teuer uns eine Versicherung angeboten wird, ob wir uns verdächtig gemacht haben, wie geeignet wir für einen Job sind, ob sich eine medizinische Behandlung lohnt usw.
Hansen fordert daher: „Datenschutz muss endlich in die Anwendungen und Produkte eingebaut werden!“

Datenschutzfreundliche Voreinstellungen gefordert

Sie appelliere an die Hersteller und Betreiber von technischen Systemen, dass sie bei der Implementierung die Datenschutzrisiken in den Blick nehmen. Aktuell seien die meisten Anwendungen so vorkonfiguriert, dass personenbezogene Daten der Nutzenden weitergegeben werden. Oft müssten die Nutzenden mühsam sämtliche Systemeinstellungen durchklicken, um die standardmäßige Herausgabe von Daten zu stoppen. Der Grundsatz der Datenminimierung werde nur selten erfüllt.
Das Prinzip „Datenschutz by Default“ bedeute aber das Gegenteil: Die Voreinstellungen seien datenschutzfreundlich, und die Nutzenden entschieden selbst, ob und wann welche ihrer Daten weitergegeben werden.

Eingebauter Datenschutz als Regelfall

„Datenschutz by Design“ und „Datenschutz by Default“ sind neue gesetzliche Anforderungen aus der Datenschutz-Grundverordnung (DSGVo), die ab dem 25. Mai 2018 endgültig in ganz Europa gelten wird. Zur Umsetzung dieser Anforderungen verpflichtet sind all diejenigen, die für die Verarbeitung personenbezogener Daten verantwortlich sind (die sog. Verantwortlichen). „Ich hätte mir gewünscht, dass die Datenschutz-Grundverordnung auch die Hersteller unmittelbar zu eingebautem Datenschutz verpflichtet – das ist immerhin für die kommende europäische ,e-Privacy-Verordnung‘ so geplant“, kommentiert Hansen.
In jedem Fall aber verpflichte die DSGVO die Hersteller mittelbar: „Damit die Verantwortlichen ihre Datenschutzpflichten erfüllen können, werden sie die Hersteller von Produkten und Betreiber von Systemen fragen müssen, wie es um den Datenschutz in deren Angeboten bestellt ist. Wer hierauf keine gute Antwort gibt, kann dann bei der Auswahl der Produkte und Systeme nicht zum Zug kommen.“
Für den „Safer Internet Day 2019“ erwartet Hansen, „dass wir die Wirkungen der Datenschutz-Grundverordnung sehen werden – nämlich ein deutliches Plus an Datenschutz und Sicherheit im Internet.“

Weitere Informationen zum Thema:

datensicherheit.de, 10.02.2014
Safer Internet Day: BSI veröffentlicht Broschüre zum Thema Cloud Computing

[datensicherheit.de, 14.11.2014] Im Bundestag wurde heute, 14.11.2014, ein Gesetzesvorschlag der Fraktionen Bündnis 90/Die Grünen und Die Linke zur Abschaffung der Störerhaftung für WLAN Betreiber diskutiert. Die Opposition plädiert dafür, die Haftungsfreistellungen in Paragraph 8 TMG (Telemediengesetz) für gängige Internetprovider klarzustellen und zu ergänzen. So soll der „Ausschluss der Verantwortlichkeit“ künftig ausdrücklich auch für kommerzielle und nicht-gewerbliche Betreiber öffentlicher Funknetzwerke gelten.

Klaus Landefeld, Vorstand Infrastruktur und Netze beim eco – Verband der deutschen Internetwirtschaft e. V., schlägt in diesem Zusammenhang vor, das Haftungsprivileg im Rahmen von Paragraph 8 des Telemediengesetzes an die Meldung des Betreibers bei der Bundesetzagentur zu koppeln: „Die Vorteile dieser Lösung liegen auf der Hand. Die Bundesnetzagentur verlangt ja schon seit Jahren eine Meldung von Gewerbebetrieben, das heißt alle nötigen Prozesse und Formulare dazu liegen bereits vor. Außerdem ist die Meldung mit keinen Kosten für die Betreiber verbunden.“

[datensicherheit.de, 13.02.2014] Seit Februar 2013 hat das im Bundesamt für Sicherheit in der Informationstechnik (BSI) angesiedelte CERT-Bund (Computer Emergency Response Team für Bundesbehörden) verschiedene Varianten des Schadprogramms Ebury analysiert. Dabei handelt es sich um ein SSH-Rootkit mit Backdoor-Funktionalität für Linux und Unix-ähnliche Betriebssysteme. Auf infizierten Systemen, in den meisten Fällen Server, stiehlt die Schadsoftware unter anderem Zugangsdaten und übermittelt diese an die Angreifer.

Durch die Zusammenarbeit von CERT-Bund mit weiteren Sicherheitsteams in einer internationalen Working Group konnten bereits viele tausend Systeme weltweit identifiziert werden, die mit dem Ebury-Rootkit infiziert sind – darunter auch viele hundert in Deutschland gehostete Server. Hosting-Provider in Deutschland sowie nationale CERTs in über 60 Ländern wurden jeweils zeitnah über erkannte Infektionen in ihrem Zuständigkeitsbereich informiert und gebeten, die Betreiber der betroffenen Systeme entsprechend zu benachrichtigen.

Die Anzahl der infizierten Systeme ist in den letzten Monaten jedoch nur sehr langsam zurückgegangen. Gespräche mit Betreibern betroffener Server haben gezeigt, dass einige Hosting-Provider ihre Kunden offenbar erst mit Verzögerungen von mehreren Wochen über die ihnen gemeldeten Infektionen informiert haben. Die Täter konnten die kompromittierten Server in dieser Zeit weiterhin für kriminelle Aktivitäten nutzen. Das Ausspähen abgehender SSH-Verbindungen ermöglichte den Angreifern außerdem, Zugangsdaten oder SSH-Schlüssel für weitere Systeme zu erlangen und diese ebenfalls unter ihre Kontrolle zu bringen.

Handlungsempfehlungen bei Infektion

Betreiber von Servern, die von ihrem Provider über eine Infektion informiert worden sind, sollten ihr Betriebssystem komplett neu installieren, empfiehlt CERT-Bund. Alle Zugangsdaten, die mit SSH-Verbindungen von oder zu einem infizierten System verwendet wurden, sowie auch alle auf dem System gespeicherten privaten SSH-Schlüssel müssen als kompromittiert angesehen und geändert werden.

CERT-Bund stellt mit einer FAQ Informationen bereit, wie Betreiber betroffener Systeme ihnen gemeldete Infektionen verifizieren können, und gibt Empfehlungen für Gegenmaßnahmen.

Provider, die von CERT-Bund über von ihnen gehostete betroffene IP-Adressen informiert wurden, sollten diese Information möglichst rasch an ihre Kunden weitergeben und so dazu beizutragen, dass die Infektionen schnell beseitigt werden können.

Informationen zum Schadprogramm

Das Schadprogramm wird von Angreifern auf kompromittierten Systemen entweder durch den Austausch von SSH-Binärdateien oder alternativ einer von diesen Programmen gemeinsam genutzten Bibliothek installiert.

Auf infizierten Systemen stiehlt Ebury Zugangsdaten (Benutzernamen und Passwörter) von ein- und ausgehenden SSH-Verbindungen und sendet diese über das Internet an Dropzone-Server der Angreifer. Zusätzlich werden auch auf dem kompromittierten System für ausgehende SSH-Verbindungen verwendete private SSH-Schlüssel gestohlen. Darüber hinaus stellt Ebury eine Backdoor bereit, über welche die Angreifer jederzeit vollen Root-Zugriff auf infizierte Systeme erhalten können, auch wenn die Passwörter für Benutzerkonten regelmäßig geändert werden. Die SSH-Verbindungen über die Backdoor werden nicht in Logdateien protokolliert.

Die kompromittierten und mit Ebury infizierten Systeme werden von den Tätern für verschiedene kriminelle Aktivitäten missbraucht, unter anderem für die Umleitung von Besuchern kompromittierter Webseiten auf Drive-by-Exploits oder den massenhaften Versand von Spam-Mails. Da die Angreifer über Root-Rechte auf den kompromittierten Systemen verfügen, sind sie in der Lage, beliebige Dateien auszulesen, zu löschen oder zu modifizieren. Ebenso können sie sicherheitsrelevante Konfigurationseinstellungen verändern oder weitere Schadprogramme installieren. Durch den Zugriff auf alle auf den kompromittierten Systemen verarbeiteten Daten können die Täter zum Beispiel im Falle von Servern für Online-Shops auch sensible Kundendaten ausspähen.

Weitere Informationen zum Thema:

CERT Bund, 11.02.2014
Ebury SSH Rootkit – Frequently Asked Questions

[datensicherheit.de, 06.06.2013] Der Hightech-Verband BITKOM bedauert die anhaltende Rechtsunsicherheit für die Betreiber von offenen WLAN-Angeboten und Hot Spots. „Die Politik sollte dafür sorgen, dass es klare Regeln gibt, an denen sich die Anbieter von Hot Spots orientieren können“, sagte BITKOM-Hauptgeschäftsführer Dr. Bernhard Rohleder. Aktuell ist eine entsprechende Initiative im Wirtschaftsausschuss des Bundestages gescheitert. „Der Zugang zu schnellem Internet bei Veranstaltungen oder auf Reisen ist ein Service, der nicht durch Rechtsunsicherheit und die Angst vor teuren Abmahnungen unmöglich gemacht werden darf“, so Rohleder.

Nach der derzeitigen Rechtsprechung kann der Betreiber eines Hot Spots als Störer für Rechtsverletzungen der Nutzer in Anspruch genommen werden. So hat der Bundesgerichtshof (BGH) in einem Urteil dem Betreiber eines WLAN auferlegt, den Zugang durch Verschlüsselung und ein Passwort zu schützen,  wenn er eine Haftung für fremde Rechtsverstöße ausschließen möchte. Für Hot Spots bei Veranstaltungen, in Hotels und Gaststätten, die sich grundsätzlich an Dritte wenden, bestehen allerdings weiterhin Unklarheiten. Das gilt auch für Privatpersonen, die ihren WLAN-Zugang für andere öffnen wollen.

Foto: BITKOM

Dr. Bernhard Rohleder: Forderung nach eindeutige Regelungen für Betreiber von WLAN-Hot-Spots

Die Anforderungen, die verschiedene Landgerichte in der Vergangenheit definiert haben, sind sehr unterschiedlich. Sie reichen von der Sperrung der für File-Sharing erforderlichen Ports bis zu schlichten Hinweisen auf die Einhaltung gesetzlicher Vorschriften. Andere Entscheidungen, die sich vermutlich auf WLANs übertragen lassen, sehen eine solche Pflicht aus fernmelderechtlichen Gründen nicht. Diese uneinheitliche Rechtsprechung und die Gefahr von Abmahnungen haben in der Vergangenheit bereits viele Betreiber eines Hot Spots veranlasst, ihre Angebote einzustellen.