[datensicherheit.de, 25.08.2025] Die Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH geht in einer Stellungnahme vom 25. August 2025 auf ein offenbar massives Datenleck ein, welches demnach eine Bedrohung für Millionen von „PayPal“-Nutzern weltweit sein könnte: Im sogenannten Darknet sollen Zugangsdaten zu rund 15,8 Millionen „PayPal“-Konten aufgetaucht sein. „Die Datenbank enthält E-Mail-Adressen und Passwörter – und soll laut Experten aus einem koordinierten Malware-Angriff stammen. Die Daten könnten zur Übernahme von Konten und für gezielten Identitätsmissbrauch verwendet werden.“ Betroffen seien nach ersten Einschätzungen auch viele Nutzer aus Europa und Deutschland. Laut einem Bericht von „FOCUS Online“ wurden die Daten bereits am 6. Mai 2025 kompromittiert und nun zum Verkauf angeboten. Die Verbraucherkanzlei Dr. Stoll & Sauer prüft nach eigenen Angaben rechtliche Ansprüche auf Schadensersatz nach Art. 82 DSGVO und bietet Betroffenen eine kostenlose Ersteinschätzung im „Datenschutz-Online-Check“ an.

„PayPal“-Datenleck mittels sogenannter Info-Stealern, welche auf den Geräten der Nutzer installiert dort gespeicherte Logins ausspähten

Erstmals sei das Angebot in einschlägigen Foren auf der Plattform „BreachForums“ aufgetaucht. Ein Nutzer mit dem Alias „Chucky_BF“ biete dort eine Datenbank mit 1,1 Gigabyte Datenvolumen an – laut eigenen Angaben mit 15,8 Millionen Datensätzen, „die Klartext-Passwörter und E-Mail-Adressen enthalten“.

• Diese Datei enthalte sowohl Zugangsdaten zu Web- als auch mobilen „PayPal“-Accounts. Laut Analysen der Sicherheitsfirma Bitdefender basiere diese Sammlung auf sogenannten Info-Stealern – also Schadsoftware, welche auf den Geräten der Nutzer selbst installiert worden sei und dort gespeicherte Logins ausgespäht habe.

Es handele sich demnach nicht um ein Leck bei „PayPal“ selbst, sondern um einen umfassenden Diebstahl durch Schadsoftware-Kampagnen, welche über Monate hinweg Daten gesammelt hätten.

Betreiber PayPal bereits mehrfach mit Sicherheitsvorfällen konfrontiert

PayPal sei in der Vergangenheit bereits mit Sicherheitsvorfällen konfrontiert gewesen – zuletzt im Dezember 2022. „Damals wurden rund 35.000 Konten im Rahmen einer sogenannten ,Credential Stuffing’-Attacke kompromittiert. Dabei nutzten Angreifer zuvor gestohlene Login-Daten, um sich Zugriff auf Konten zu verschaffen.“

• Neben E-Mail-Adressen und Passwörtern seien dabei auch Namen, Geburtsdaten und in den USA sogar Sozialversicherungsnummern ausgespäht worden. PayPal habe damals die betroffenen Nutzer informiert und die Passwörter zurückgesetzt.

Laut aktuellen Recherchen scheine der derzeitige Vorfall im „Darknet“ in direktem Zusammenhang mit derartigen Angriffsmethoden zu stehen. „Einen klassischen Hack der ,PayPal’-Systeme gab es laut Medienberichten bislang jedoch nicht.“ Die New Yorker Finanzaufsicht habe im Januar 2025 dennoch ein Bußgeld über zwei Millionen US-Dollar wegen Versäumnissen bei der Cybersicherheit verhängt.

Login-Daten für „PayPal“-Webzugänge und mobile Endpunkte im „Darknet“-Angebot

Besorgniserregende Details zur aktuellen Datenbank:

• 15,8 Millionen Datensätze, laut Anbieter mit gültigen E-Mail-Passwort-Kombinationen Datenleck vom 6. Mai 2025, jedoch erst Mitte August 2025 entdeckt
• Login-Daten für „PayPal“-Webzugänge und mobile Endpunkte
• Passwort-Hashes teilweise im Klartext
• Preis im sog. Darknet umgerechnet nur etwa 750 US-Dollar

Empfehlungen für Betroffene:

• Umgehender Wechsel des „PayPal“-Passworts – auch bei verbundenen E-Mail-Konten!
• Aktivierung der Zwei-Faktor-Authentifizierung (2FA)!
• Prüfung, ob dieselben Passwörter bei anderen Diensten verwendet wurden!
• Überwachung von Bankkonten und „PayPal“-Transaktionen!
• Nutzung von Passwortmanagern und Identitätsschutz-Tools!

Schadensersatzansprüche nach Art. 82 DSGVO möglich – auch wenn Sicherheitslücke beim Endnutzer und nicht bei PayPal liegt

„Auch wenn die Daten nicht direkt bei ,PayPal’ selbst entwendet wurden, stellt der massenhafte Verkauf personenbezogener Daten im Netz eine erhebliche DSGVO-relevante Gefährdungslage dar!“ Die DSGVO schütze nicht nur vor dem Datenverlust durch Unternehmen, sondern gebe auch Rechte bei der Weiterverbreitung und Nutzung persönlicher Informationen.

• Nach Einschätzung der Kanzlei Dr. Stoll & Sauer kommen Schadensersatzansprüche nach Art. 82 DSGVO in Betracht – „auch dann, wenn die eigentliche Sicherheitslücke beim Endnutzer entstand“. Entscheidend sei, ob ein Missbrauch oder Kontrollverlust über personenbezogene Daten vorliege – und dies sei hier offensichtlich gegeben.

Besonders relevant sei in diesem Zusammenhang eine Grundsatzentscheidung des Bundesgerichtshofs (BGH): „Am 18. November 2024 (Az. VI ZR 10/24) stellte der BGH klar, dass schon der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen kann.“ Es reiche also aus, dass Betroffene erfahren, dass ihre Daten in falsche Hände geraten sind – selbst wenn kein direkter Missbrauch erfolgt ist.

Sobald PayPal Kenntnis von dem Datenleck erlangte, bestand die Pflicht nach Art. 33 und 34 DSGVO unverzüglich zu informieren

Im entschiedenen Fall habe der BGH dem Kläger einen symbolischen Schadensersatz in Höhe von 100 Euro zugesprochen. „Das Gericht betonte in seiner Entscheidung auch, dass der Schadensersatz höher ausfallen könne.“ Dies hänge vom erlittenen Schaden ab. Dieses Urteil gelte als Leitentscheidung im Bereich DSGVO-Schadensersatz.

• Zudem gelte: „Sobald ein Unternehmen wie PayPal Kenntnis von einem möglichen Datenleck erlangt, ist es verpflichtet, nach Art. 33 und 34 DSGVO die zuständigen Behörden sowie Betroffene unverzüglich zu informieren.“ Auch dieser Aspekt werde derzeit kritisch beobachtet – denn bislang habe PayPal öffentlich keine umfassende Warnung an Nutzer in Deutschland ausgesprochen.

Betroffene „PayPal“-Nutzer sollten ihre Situation umgehend prüfen lassen. Die Kanzlei Dr. Stoll & Sauer bietet im „Datenschutz-Online-Check“ eine kostenlose und unverbindliche Ersteinschätzung an: „Wir helfen dabei, die rechtlichen Optionen einzuschätzen, Ansprüche zu sichern und etwaige Verstöße gegen die DSGVO aufzudecken. Jetzt unverbindlich prüfen lassen: ,Datenschutz-Online-Check’ starten!“

Weitere Informationen zum Thema:

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Ihre Kanzlei – kompetent und unkompliziert / Wir machen uns stark für Ihr Recht

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Datenschutz-Online-Check

FOCUS online, 22.08.2025
Großer Hack? 15,8 Millionen Paypal-Passwörter angeblich geleakt: So prüfen Sie, ob Sie betroffen sind

Handelsblatt, 21.08.2025
Paypal: Daten im Darknet – So lässt sich das eigene Konto schützen / Ein Leak von 15,8 Millionen Nutzungsdaten verunsichert die Paypal-Kunden. Was hilft, um einen Missbrauch des eigenen Kontos wirksam zu verhindern.

NDR, 21.08.2025
Paypal-Daten im Darknet: Das sollten Nutzer jetzt beachten / Cyberkriminelle könnten in den Besitz von Millionen von Paypal-Daten gelangt sein. Falls diese aktuell und echt sind, droht dadurch immenser Schaden. Was sollten Nutzer des Bezahldienstes nun tun?

Verbraucherzentrale, 21.08.2025
PayPal-Datenleck – Was Sie jetzt tun sollten / Berichte über ein angebliches PayPal-Datenleck verbreiten sich. Wir erklären, was bisher bekannt ist und wie Sie Ihr Konto schützen können.

BR 24, Thomas Moßburger, 20.08.2025
Millionen Paypal-Logins im Netz? Was jetzt hilft – und was nicht / 15 Millionen Zugangsdaten zu Paypal-Konten werden derzeit im Netz angeboten. Gehen nun Kriminelle mit Ihrem Paypal-Account auf Shopping-Tour? Ausschließen kann man das nie, sich schützen dagegen sehr wohl.

datensicherheit.de, 17.12.2024
Verbraucherzentrale Nordrhein-Westfalen kommentiert Betrug mit PayPal-Gastzahlung / „PayPal“ beruft sich auf Maßnahmen zu Risikomanagement und Betrugsprävention bei der Abwicklung von Zahlungen

datensicherheit.de, 30.10.2023
PayPal gibt Hinweise zum Erkennen betrügerischer E-Mails / Auf keinen Fall verdächtige E-Mails beantworten und darin enthaltene Links anklicken oder Anhänge öffnen!

datensicherheit.de, 25.01.2023
PayPal-Vorfall als Warnung für die Cybersecurity-Welt / Nur wenige Sicherheits-Lösungen, die PayPal tatsächlich selbst umsetzen könnte

[datensicherheit.de, 16.06.2025] Laut einer Meldung der Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und des Bundeskriminalamtes (BKA) vom 16. Juni 2025 wurde die Darknet-Handelsplattform „Archetyp Market“ abgeschaltet. Deren Betreiber sei identifiziert und festgenommen worden: Demnach handelt es sich um einen deutschen Staatsbürger, der in Barcelona verhaftet wurde. Auf dieser „ältesten kriminellen Handelsplattform im Darknet“ wurden laut BKA mindestens 250 Millionen Euro umgesetzt. Über 300 Ermittler seien bei 25 Durchsuchungen in mehreren Staaten im Einsatz gewesen.

Abbildung: BKA

Operation „Deep Sentinel“ gegen älteste kriminelle Handelsplattform im Darknet

Verdacht des bandenmäßigen unerlaubten Handeltreibens mit Betäubungsmitteln in nicht geringer Menge

Am 11. Juni 2025 sei ein 30-jähriger deutscher Staatsangehöriger durch eine Spezialeinheit der spanischen Nationalpolizei an seinem Wohnsitz in Barcelona festgenommen worden. Dieser Mann wird laut BKA beschuldigt, den ausschließlich über das sogenannte Darknet zugänglichen illegalen Online-Markplatz „Archetyp Market“ als Administrator mit dem Username „ASNT“ gemeinsam mit mehreren Moderatoren betrieben zu haben.

„Gegen ihn besteht der Verdacht des bandenmäßigen unerlaubten Handeltreibens mit Betäubungsmitteln in nicht geringer Menge gemäß §§ 29a, 30a des Betäubungsmittelgesetzes.“ Seine Wohnung in der spanischen Metropole sowie je ein Objekt in Hannover, im Landkreis Minden-Lübbecke und in Bukarest seien durchsucht worden. „Zahlreiche Beweismittel, darunter acht Mobiltelefone, vier Computer/Notebooks, 34 Datenträger und Vermögenswerte bislang in Höhe von ca. 7,8 Millionen Euro wurden sichergestellt.“

Im Anschluss an Festnahme des Hauptbeschuldigten weitere international koordinierte Durchsuchungsmaßnahmen

In einem Rechenzentrum in den Niederlanden habe die für den Betrieb der kriminellen Plattform genutzte Serverinfrastruktur durch die niederländische Nationalpolizei sichergestellt und abgeschaltet werden können. „Im Anschluss an die Festnahme des Hauptbeschuldigten fanden weitere international koordinierte Durchsuchungsmaßnahmen in Deutschland und Schweden statt, die sich in eigenen Ermittlungsverfahren insbesondere gegen die Moderatoren und Verkäufer auf der Plattform richteten.“

Dabei seien weitere 20 Objekte durchsucht worden – darunter zwei Objekte in Nordrhein-Westfalen, zwei Objekte in Niedersachsen, ein Objekt in Hessen sowie eines in Baden-Württemberg. Sieben weitere Personen seien in Schweden festgenommen worden. „Insgesamt wurden bei den weiteren Beschuldigten u.a. 47 Smartphones, 45 Computer/Notebooks, Betäubungsmittel sowie weitere Vermögenswerte beschlagnahmt.“

Bezahlung ausschließlich mit sogenannter Krypto-Währung „Monero“

Die sichergestellten Daten seien nun Grundlage für weitere internationale Ermittlungen gegen kriminelle Verkäufer und Nutzer der Plattform. Bei dem Online-Markplatz „Archetyp Market“ habe es sich um eine der weltweit größten und am längsten bestehenden kriminellen Handelsplattformen im Darknet gehandelt. Darüber vertrieben worden seien insbesondere Betäubungsmittel (u.a. Amphetamin, Cannabis, Fentanyl, Heroin und Kokain) mit einem Gesamtumsatz in Höhe von mindestens 250 Millionen Euro.

„Zuletzt waren auf dem Online-Marktplatz insgesamt ca. 17.000 Verkaufsangebote, ca. 612.000 Kundenkonten und ca. 3.200 Vendoren registriert.“ Mit über 2.800 Verkaufsangeboten sei der „Archetyp Market“ eine der Handelsplattformen mit den meisten deutschen Betäubungsmittelangeboten im Darknet gewesen. Die Bezahlung habe ausschließlich mit der sogenannten Krypto-Währung „Monero“ erfolgt.

Erneuter Ermittlungserfolg von BKA, ZIT und internationalen Partnerdienststellen

Carsten Meywirth, Leiter der Abteilung „Cybercrime“, kommentiert: „Mit ,Archetyp Market’ haben wir den ältesten, noch aktiven Darknet-Marktplatz vom Netz genommen. Das Umsatzvolumen von mindestens 250 Millionen Euro zeugt von seiner Größe und Bedeutung.“ Dass es nach ihren aufwändigen Ermittlungen nun in enger internationaler Zusammenarbeit gelungen sei, den Betreiber zu identifizieren und zu verhaften stelle klar, dass sich niemand auf Dauer der Strafverfolgung entziehen könne. „Das gilt auch für die Nutzer der illegalen Handelsplattform!“, betont Meywirth.

„Dieser erneute Ermittlungserfolg von BKA, ZIT und internationalen Partnerdienststellen zeigt, dass die Strafverfolgungsbehörden in immer schnellerer Abfolge illegale IT-Infrastruktur wie Darknet-Marktplätze abschalten und mutmaßliche Verantwortliche festnehmen können“, unterstreicht Dr. Benjamin Krause, Leitender Oberstaatsanwalt der ZIT. Durch die Sicherstellung werthaltiger Ermittlungsansätze werde es ihnen in der Folge zudem möglich sein, auch gegen Händler und Käufer der Plattform vorzugehen. „Denn auf ,Archetyp Market’ wurden im internationalen Vergleich die meisten illegalen Produkte mit dem Versandort ,aus Deutschland’ angeboten.“

ZIT und BKA koordinierten Maßnahmen der internationalen Operation „Deep Sentinel“

Den durch die ZIT und das BKA koordinierten Maßnahmen im Zuge der internationalen Operation „Deep Sentinel“ gegen den „Archetyp Market“ seien langwierige und aufwändige verdeckte Ermittlungen in den beteiligten Staaten vorausgegangen – unterstützt von Europol und Eurojust. Auf der abgeschalteten Handelsplattform wurde ein Sicherstellungsbanner veröffentlicht.

Neben BKA und ZIT, Europol und Eurojust waren demnach folgende Behörden an der Aktion beteiligt: Politie (Niederlande), Inspectoratul General al Politiei Romane (IGPR / Rumänien), Polisen (Schweden), Policia Nacional (Spanien), U.S. Department of Justice (USDOJ) nebst Homeland Security Investigations (HSI) sowie IRS-Criminal Investigation (IRS-CI) aus den USA sowie in Deutschland Polizeipräsidium Bielefeld, Polizeipräsidium Bonn, Kriminalkommissariat Bruchsal, Polizeidirektion Darmstadt-Dieburg, Polizeidirektion Hannover, Kreispolizeibehörde Minden-Lübbecke, Zentrale Kriminalinspektion Oldenburg, Polizeidirektion Osnabrück und Polizeipräsidium Recklinghausen.

Weitere Informationen zum Thema:

Bundeskriminalamt (BKA)
OPERATION DEEP SENTINEL

datensicherheit.de, 18.11.2024
Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet / Verbraucherkanzlei Dr. Stoll & Sauer bietet Tibber-Kunden Prüfung möglicher Ansprüche auf Schadensersatz

datensicherheit.de, 25.07.2024
Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich / Preise können je nach Qualität des jeweiligen Botnets auf bis zu 10.000 US-Dollar steigen

datensicherheit.de, 21.03.2024
BKA-Mitteilung zum Nemesis Market: Illegaler Darknet-Marktplatz mit über 150.000 Nutzern aufgeflogen / Auf der Website des Marktplatzes wurde ein BKA-Sicherstellungsbanner veröffentlicht

[datensicherheit.de, 09.06.2025] Eine neue Untersuchung von NordVPN offenbart demnach eine alarmierende Entwicklung im Bereich der Cybersicherheit: Weltweit seien fast 94 Milliarden sogenannte Cookies durch Malware gestohlen worden – dies sei ein Anstieg von 74 Prozent im Vergleich zum Vorjahr. Auch Deutschland sei betroffen: Über 1,3 Milliarden Cookies deutscher Nutzer seien im sogenannten Darknet entdeckt worden – mehr als 109 Millionen davon seien noch aktiv und könnten als digitale Zugangsschlüssel missbraucht werden. Die Daten wurden von „NordStellar“, einer Plattform für das Management von Bedrohungsrisiken, analysiert. Die Untersuchungen fanden zwischen dem 23. und 30. April 2025 statt. „Grundlage war öffentlich zugängliches Material aus Telegram-Kanälen, in denen Hacker gestohlene Daten zum Verkauf anbieten. Das entstandene Datenset umfasste Informationen zu 93,76 Milliarden Cookies.“ Analysiert worden seien u. a. deren Aktivitätsstatus, Herkunftsland, eingesetzte Malware, Betriebssysteme der Nutzer sowie enthaltene Metadaten. „NordVPN hat keine gestohlenen Cookies gekauft oder auf deren Inhalt zugegriffen, sondern lediglich untersucht, welche Arten von Daten darin enthalten waren.“

Cookies in den falschen Händen sind digitale Schlüssel zu unseren sensibelsten Informationen

Die aktuelle Untersuchung von NordVPN zeigt: „Der Diebstahl von Cookies hat weltweit massiv zugenommen – von 54 Milliarden im Vorjahr zu fast 94 Milliarden. Deutschland belegt im globalen Vergleich Platz 19 von 253 Ländern.“ Über 1,3 Milliarden Cookies deutscher Nutzer seien im „Darknet“ entdeckt worden, wovon noch mehr als 109 Millionen aktiv und mit realen Nutzeraktivitäten verknüpft seien.

„Cookies mögen harmlos erscheinen, aber in den falschen Händen sind sie digitale Schlüssel zu unseren sensibelsten Informationen“, warnt Adrianus Warmenhoven, Cybersicherheitsexperte bei NordVPN. Er erläutert: „Was einst zur Verbesserung des Surferlebnisses gedacht war, hat sich zu einer Schwachstelle entwickelt, die Cyberkriminelle weltweit gezielt ausnutzen können.“

Bequemlichkeit mit hohem Preis – die unsichtbare Gefahr beim alltäglichen Surfen

Unter „Cookies“ werden kleine Textdateien verstanden, welche von Websites im Browser gespeichert werden, um etwa Anmeldedaten, Einstellungen oder Warenkörbe zu hinterlegen. Sie ermöglichen so ein komfortableres Surferlebnis, etwa durch schnellere Ladezeiten und personalisierte Inhalte. Cookies könnten jedoch auch von Hackern ausgenutzt werden, um persönliche Daten zu stehlen und auf sichere Systeme zuzugreifen.

Cyberkriminelle könnten also Cookies gezielt nutzen, um Sitzungen zu kapern, Identitäten zu stehlen und Sicherheitsmechanismen zu umgehen. „Viele verstehen nicht, dass ein gestohlener Cookie genauso gefährlich sein kann wie ein gestohlenes Passwort“, stellt Warmenhoven klar und gibt zu bedenken: „Ein kompromittierter Cookie kann es Angreifern ermöglichen, ganz ohne Anmeldung direkten Zugriff auf Konten und sensible Daten zu erlangen.“

Gezielte Malware-Kampagne nimmt personenbezogene Daten ins Visier

Diese Untersuchung von NordVPN habe eine massive Malware-Kampagne aufgedeckt, bei der fast 94 Milliarden Cookies gestohlen worden seien – ein Anstieg von 74 Prozent gegenüber dem Vorjahr (54 Milliarden). Besonders alarmierend sei: 20,55 Prozent dieser Cookies seien noch aktiv und stellten damit ein anhaltendes Risiko für die Privatsphäre der Nutzer dar. Der Großteil der gestohlenen Cookies stamme von großen Plattformen wie „Google“ (4,5 Mrd.), „YouTube“ (1,33 Mrd.), sowie „Microsoft“ und „Bing“ (jeweils über 1 Mrd.).

Auch die Zahl der offengelegten personenbezogenen Daten sei drastisch gestiegen: „2024 wurden 10,5 Milliarden zugewiesene IDs, 739 Millionen Sitzungs-IDs, 154 Millionen Authentifizierungstoken und 37 Millionen Anmeldedaten entdeckt. 2025 schnellten die Zahlen stark nach oben: Es wurden 18 Milliarden zugewiesene IDs und 1,2 Milliarden Sitzungs-IDs offengelegt.“ Diese Datentypen seien für die Identifizierung von Nutzern und die Sicherung von Online-Konten von entscheidender Bedeutung und daher für Cyberkriminelle äußerst wertvoll.

Anzahl der Malware-Varianten verdreifacht

Die betreffenden Cookies seien mithilfe von 38 verschiedenen Malware-Typen entwendet worden – mehr als dreimal so viele wie noch 2024. Am aktivsten waren laut NordVPN: „Redline“ (41,6 Milliarden „Cookies“), „Vidar“ (zehn Milliarden „Cookies“) und „LummaC2“ (neun Milliarden Cookies).

Diese Malware-Familien seien dafür bekannt, von Cyberkriminellen eingesetzt zu werden, um Anmeldedaten, Passwörter und andere sensible Daten zu stehlen. Zusätzlich seien 26 neue Malware-Typen wie etwa „RisePro“ und „Stealc“ entdeckt worden, „die 2024 noch nicht aufgetreten waren – ein deutlicher Hinweis auf die rasante Weiterentwicklung von Cyberkriminalität“.

Cyberrisiko in Deutschland höher als oftmals vermutet: Über 109 Millionen real genutzte Cookies

Die gestohlenen Cookies stammten von Nutzern aus 253 Ländern weltweit. Deutschland verzeichne von über 1,3 Milliarden zwar nur 8,25 Prozent aktive Cookies, doch das entspreche über 109 Millionen real genutzter Cookies, welche Kriminellen als digitale Zugangsschlüssel dienen könnten. „Das sind Millionen Menschen, die potenziell von Cyberkriminalität betroffen sind“, verdeutlicht Warmenhoven. Um sich eben gegen Datenlecks und Malware zu wappnen, sollten Nutzer einige grundlegende Sicherheitsmaßnahmen beachten:

• Starke, individuelle Passwörter verwenden!
• Zwei-Faktor-Authentifizierung (2FA) aktivieren!
• Persönliche Informationen nur mit Bedacht weitergeben!
• Keine verdächtigen Links anklicken und keine unbekannten Dateien herunterladen!
• Regelmäßig Website-Daten löschen und Geräte aktualisieren!

„Normalerweise schließen Nutzer den Browser, aber die Sitzung bleibt weiterhin gültig. Der Cookie bleibt gespeichert. Wenn die Daten dieser Website nie gelöscht werden, bleibt die Sitzung so lange gültig, wie es der Website-Betreiber für sicher hält“, erläutert Warmenhoven. Schon einfache Maßnahmen könnten das Risiko eines unbefugten Zugriffs deutlich verringern. „Es ist nur ein geringer Zeitaufwand, der vor großen Bedrohungen schützen kann!“

Weitere Informationen zum Thema:

NordVPN, Werner Beckmann, 27.05.2025
Die Cookie-Monster sind los: Studie zeigt die Risiken von Web-Cookies auf

NordStellar
Know what hackers know / Full cyber threat visibility for business

datensicherheit.de, 06.12.2022
Cookie-Blocker technisch möglich – Datenschutz sollte gewährleistet werden / Websites vorgeschalteten Cookie-Banner in Verruf geraten

datensicherheit.de, 12.07.2020
Cookie-Einwilligung: Vorangekreuzte Check-Boxen unzulässig / Mareike Vogt erklärt, worauf Unternehmen jetzt achten sollten

datensicherheit.de, 28.05.2020
eco-Kommentar zum BGH-Urteil: Mehr Rechtssicherheit im Umgang mit Cookies / Einwilligungserfordernis vor der Verarbeitung von personenbezogenen Daten notwendig

datensicherheit.de, 01.10.2019
EuGH-Urteil: Werbe-Cookies nur bei Einwilligung / Grundsatzentscheidung vom 1. Oktober 2019 erschwert laut MITTELSTANDSVERBUND das Online-Geschäft

datensicherheit.de, 03.02.2019
Neue Mac-Malware stiehlt Cookies von Kryptowährungsbörsen / Palo Alto Networks entdeckt „gefährliches Cyber-Krümelmonster“

[datensicherheit.de, 25.07.2024] Sogenannte Botnets – also Netzwerke von Geräten, welche mit Malware infiziert sind und für Cyber-Angriffe genutzt werden können – sollen laut einer aktuellen Analyse von Kaspersky-Experten im Darknet bereits ab 99 US-Dollar verfügbar sein. Das illegale Marktangebot sei dabei vielfältig: „Die Preise können je nach Qualität des jeweiligen angebotenen Botnets auf bis zu 10.000 US-Dollar steigen.“ In einigen Fällen sei auch die Entwicklung individueller Botnets möglich – solche speziell angepassten Botnets verfügten über spezifische Infektionsprozesse, Malware-Typen, Infrastruktur und Umgehungstechniken. Die Kosten hierfür begännen bei 3.000 US-Dollar und seien nicht auf eine bestimmte Preisspanne beschränkt.

Seit Anfang 2024 wurden mehr als 20 Angebote für Botnets zum Mieten oder Verkauf in Darknet-Foren und „Telegram“-Kanälen beobachtet

Neben einmaligen Käufen könnten Botnets auch gemietet oder als geleakter Quellcode für einen symbolischen Preis erworben werden: „Die Preise reichen von 30 bis 4.800 US-Dollar pro Monat beziehungsweise zehn bis 50 US-Dollar für geleakte Quellcodes für Botnets.“ Seit Anfang 2024 hätten Kaspersky-Experten mehr als 20 Angebote für Botnets zum Mieten oder Verkauf in Darknet-Foren und „Telegram“-Kanälen beobachtet.

„Mirai“ wohl das berüchtigtste Beispiel für ein Botnet

„,Mirai’ ist wohl das berüchtigtste Beispiel für ein Botnet. Es durchsucht das Internet nach IoT-Geräten mit schwachen Standard-Passwörtern und verwendet eine Reihe bekannter Standardanmeldeinformationen, um Zugriff zu erhalten und sie zu infizieren“, erläutert Alisa Kulishenko, Sicherheitsexpertin bei „Kaspersky Digital Footprint Intelligence“. Die infizierten Geräte würden dann Teil des Botnets, welches ferngesteuert werden könne, um verschiedene Arten von Cyber-Angriffen durchzuführen.

Botnets ermöglichen illegales Krypto-Mining oder Ransomware-Angriffe

Kulishenko: „Die potenziellen Einnahmen aus Angriffen mit Botnets, die gekauft oder gemietet wurden, lohnen sich für Cyber-Kriminelle oftmals sehr.“ Denn diese Botnets ermöglichten beispielsweise illegales Krypto-Mining oder Ransomware-Angriffe – „bei letzteren belaufen sich die durchschnittlichen Lösegeldzahlungen auf zwei Millionen US-Dollar“. Die meisten dieser illegalen Geschäfte im Darknet erfolgten privat, über persönliche Nachrichten, und die „Partner“ würden in der Regel auf Basis ihres Rufs – beispielsweise aufgrund von Bewertungen in Web-Foren – ausgewählt.

Kaspersky-Tipps, um eigene Geräte vor Botnet-Einbindung zu bewahren:

• Sicherstellen, dass die aktuelle Version der Firmware auf den Geräten verwendet wird und regelmäßig Updates durchgeführt werden!
• Remote-Zugriff auf das Gerät deaktivieren – es sei denn, er wird wirklich benötigt!
• Remote-Zugriff über einen VPN-Kanal konfigurieren – dafür könne beispielsweise ein IPSec-Protokoll verwendet werden!
• Ein einzigartiges und starkes Passwort für alle Geräte und Dienste verwenden und Default-Passwort ändern!
• Eine zuverlässige Sicherheitslösung (wie z.B. „Kaspersky Premium“) nutzen, welche Geräte und die eigene digitale Privatsphäre schützt!

Unternehmen bei Botnet-Abwehr besonders herausgefordert

Für Unternehmen wird „Kaspersky Digital Footprint Intelligence“ empfohlen, um IT-Sicherheitsanalysten dabei zu unterstützen, „die Perspektive eines Angreifers auf die eigenen Unternehmensressourcen einzunehmen und die ihm zur Verfügung stehenden potenziellen Angriffsvektoren zu entdecken“. Dies trage dazu bei, das Bewusstsein für bestehende Bedrohungen durch Cyber-Kriminelle zu schärfen und präventiv Gegenmaßnahmen zu ergreifen. Weiterhin sollte eine zuverlässige Endpoint-Schutzlösung (wie etwa „Kaspersky Endpoint Security for Business“) genutzt werden, „die mit verhaltensbasierten Erkennungs- und Anomaliekontrollfunktionen vor bekannten und unbekannten Bedrohungen schützt“.

Weitere Informationen zum Thema:

kaspersky daily, Leonid Grustniy, 17.06.2022
Router-Malware birgt versteckte Gefahren / Malware kann Ihren Router infizieren, die Internetverbindung verlangsamen und Daten stehlen…

kaspersky
Kaspersky Digital Footprint Intelligence

datensicherheit.de, 25.08.2022
Zunehmende Gefahr durch Botnetze: Wie Anwender betroffene Geräte erkennen / Patrycja Schrenk gibt Tipps, welche Vorsichtsmaßnahmen gegen Botnetze getroffen werden können

datensicherheit.de, 28.09.2020
Zunehmende Gefahr: Botnetze infizieren, kapern, missbrauchen / Patrycja Tulinska rät zu Awareness und technischen Maßnahmen gegen wachsende Bedrohung durch Botnetze

datensicherheit.de, 27.08.2020
Digitale Geschäfte zunehmend im Visier von Botnetzen / Zunahme basiert auf neuen Transaktionen zur Account-Erstellung / Carsten J. Pinnow, Herausgeber datensicherheit.de im Gespräch mit Alexander Frick, Head of Sales D/A/CH ThreatMetrix, A LexisNexis Risk Solutions company

[datensicherheit.de, 21.03.2024] Laut einer aktuellen Meldung des Bundeskriminalamts (BKA) hat die Generalstaatsanwaltschaft Frankfurt am Main (Zentralstelle zur Bekämpfung der Internetkriminalität / ZIT) zusammen mit dem BKA am 20. März 2024 die in Deutschland und Litauen befindliche Server-Infrastruktur des weltweit agierenden illegalen Darknet-Marktplatzes „Nemesis Market“ sichergestellt und diesen damit geschlossen. Zeitgleich seien digitale Vermögenswerte in Höhe von 94.000 Euro in Form von sogenannten Krypto-Währungen beschlagnahmt worden. Diese Maßnahmen fanden demnach im Rahmen parallel geführter Ermittlungsverfahren und in enger Abstimmung deutscher, US-amerikanischer und litauischer Strafverfolgungsbehörden statt. Auf der Website des Marktplatzes wurde laut BKA am 21. März 2024 ein Sicherstellungsbanner veröffentlicht.

Abbildung: BKA

Sicherstellungsbanner auf auf dem Darknet-Marktplatzes „Nemesis Market“

BKA, ZIT sowie FBI, DEA und IRS-CI kooperierten bei den Ermittlungen

Den in einer konzertierten Aktion durchgeführten Maßnahmen seien aufwändige Ermittlungen vorausgegangen, „die seit Oktober 2022 vom BKA, der ZIT sowie FBI, DEA (Drug Enforcement Administration) und IRS-CI (Internal Revenue Service Criminal Investigation) geführt werden“.

Bei „Nemesis Market“ handele es sich um eine über das „Tor“-Netzwerk erreichbare Darknet-Plattform. Gegen die Betreiber dieser Darknet-Webseite bestehe insbesondere der „Verdacht des gewerbsmäßigen Betreibens krimineller Handelsplattformen im Internet“ und „Straftaten gegen das Betäubungsmittelgesetz“.

BKA meldet Ermittlungsstand – fast 20 Prozent Verkäuferkonten aus Deutschland

Auf dem 2021 gegründeten und in der Folge schnell wachsenden „Nemesis Market“ seien zuletzt weltweit über 150.000 Nutzer– und über 1.100 Verkäuferkonten registriert gewesen, davon nach aktuellem Ermittlungsstand fast 20 Prozent Verkäuferkonten aus Deutschland.

Das auf diesem Marktplatz erhältliche Warenangebot habe Betäubungsmittel, betrügerisch erlangte Daten und Waren sowie eine Auswahl an Dienstleistungen aus dem Bereich Cybercrime – wie Ransomware, Phishing oder DDoS-Angriffe – umfasst.

BKA kündigt weitere Ermittlungen gegen kriminelle Verkäufer und Nutzer dieser Plattform an

Die sichergestellten Marktplatz-Daten seien nun Grundlage für weitere Ermittlungen gegen kriminelle Verkäufer und Nutzer dieser Plattform.

„Die Abschaltung und Strafverfolgung sind ein weiterer Schlag gegen im Darknet agierende Akteure der ,Underground Economy’ und demonstrieren die Wirksamkeit der internationalen Strafverfolgung im Digitalen Raum.“

[datensicherheit.de, 11.10.2023] Kriminelle Hacker sollen laut Medienberichten eine große Menge interner Daten der Hotelkette Motel One veröffentlicht haben – darunter umfangreiche Übernachtungslisten der vergangenen Jahre mit Millionen von Namen, einschließlich des Hotelgründers, Dieter Müller. Motel One gilt als eine der größten Hotelketten Europas. Nun wurde diese Opfer einer Ransomware-Attacke, bei der die Hacker versucht haben sollen, Geld zu erpressen. Die Hacker-Gruppe „ALPHV“ veröffentlichte demnach die erbeuteten Daten im sogenannten Darknet – darunter etwa 24 Millionen Dateien und etwa sechs Terabyte an Informationen, darunter Text- und Datenbankdateien, „Excel“-Tabellen und PDF-Dateien. Die Verbraucherkanzlei Dr. Stoll & Sauer rät nach eigenen Angaben Verbrauchern generell, die möglicherweise Opfer eines Datenlecks geworden sind, zur kostenlosen Erstberatung im Online-Check.

Ransomware-Angriffe nehmen derzeit zu – Motel One nur ein Beispiel

MotelOne habe den Vorfall nach einem Bericht der „Süddeutschen Zeitung“ vom 6. Oktober 2023 gemeinsam mit IT-Sicherheitsexperten untersucht und am 30. September 2023 öffentlich bestätigt, Ziel eines Hacker-Angriffs gewesen zu sein.

Die Hacker hätten Adressdaten von Kunden und Kreditkartendaten abgegriffen. Das Unternehmen habe aber betont, dass der Geschäftsbetrieb zu keinem Zeitpunkt gefährdet gewesen sei.

Hacker-Gruppe ALPHV soll sich zu Angriff auf Motel One bekannt haben

Die Kanzlei Dr. Stoll & Sauer fasst zusammen, was über das Datenleck bei Motel One bisher bekannt ist:

• Die Hacker-Gruppe „ALPHV“, welche sich zu diesem Angriff bekannt habe, „verlangte von Motel One ein Lösegeld in Höhe von 50 Millionen Euro“. Motel One habe die Zahlung des Lösegelds aber abgelehnt – weshalb daraufhin die Daten im Darknet veröffentlicht worden und nun frei zugänglich seien.
• Unter den gehackten Daten sollen sich fast vollständige Listen zu den Übernachtungen, Rechnungsadressen, Geburtsdaten der Kunden, interne Geschäftszahlen, Mobilnummern der Angestellten befinden. Betroffen seien Daten teilweise bis ins Jahr 2016 zurück. Dies betreffe hauptsächlich die Übernachtungslisten. Die betroffenen Daten stammen laut Motel One von Gästen aus den Jahren 2016 bis 2023. Die Daten von Mitarbeitern seien offenbar aus den Jahren 2019 bis 2023. „Warum Motel One diese Listen so lang speichert, ist bislang unbekannt.“
• Die Tragweite des Datenlecks könnte erheblich sein, da es potenziell Millionen Menschen betreffe, „die in den vergangenen acht Jahren in einem Motel One übernachtet haben“. Die veröffentlichten Listen enthielten Namen, Aufenthaltsdaten und Zimmernummern, was es Dritten ermögliche, detaillierte Reiseprofile zu erstellen. „Nicht jeder will seine Daten über Reisen veröffentlicht wissen.“ Bei Geschäftsverbindungen könne dies ebenso kompromittierend sein wie bei privaten Reisen.
• Ransomware-Angriffe seien ein wachsendes Problem – und Motel One sei nicht das einzige betroffende Unternehmen. Die Erpresser professionalisierten sich – und die Dunkelziffer solcher Vorfälle sei hoch. Motel One plane einen Börsengang in den nächsten Jahren und habe einen erheblichen Unternehmenswert, einschließlich der Immobilientochter. „Da wollte sich die Hacker-Gruppe offensichtlich bedienen.“
• Das Ausmaß des Datenlecks werfe Fragen zur internen IT-Sicherheit von Motel One auf – und es gebe laut „Süddeutscher Zeitung“ Hinweise darauf, dass ein Computer am Standort Ulm als Einfallstor für die Hacker gedient haben könnte. „Es scheint, als ob Motel One verbesserungswürdige IT-Sicherheitspraktiken hatte, da Passwörter für Hotel-Systeme in den veröffentlichten Daten gefunden wurden.“
• Motel One habe Strafanzeige gestellt und arbeite mit Datenschutzbehörden und IT-Sicherheitsexperten zusammen, um den Vorfall zu untersuchen. Es gebe jedoch noch viele offene Fragen, und das Ausmaß des Schadens sei noch nicht vollständig bekannt.

Was das Datenleck bei Motel One für betroffene Verbraucher bedeutet:

Dieser Hacker-Angriff sei ein ernstzunehmender Vorfall nicht nur für Motel One, sondern vor allem für die Verbraucher. Das Datenschutzrecht gebe Betroffenen mehrere Möglichkeiten an die Hand zu reagieren:

• Die EU-Datenschutzgrundverordnung (DSGVO) schreibe vor, dass Betroffene eines Datenlecks informiert werden müssten, insbesondere bei hohen Risiken. Betroffene hätten auch das Recht auf Schadenersatz, „wenn ihnen durch einen DSGVO-Verstoß ein materieller oder immaterieller Schaden entstanden ist“.
• Motel One habe nach eigenen Angaben alle betroffenen Kunden und Mitarbeiter informiert. Das Unternehmen habe auch Maßnahmen ergriffen, um die Sicherheit der Daten zu erhöhen.
• Motel One werde von einigen Seiten kritisiert, weil das Unternehmen den Hacker-Angriff erst drei Wochen nach Bekanntwerden des Datenlecks öffentlich gemacht habe.
• Betroffene Kunden sollten ihre Kreditkartendaten sperren und eine neue Karte beantragen. Außerdem sollten sie ihre Passwörter für Online-Konten ändern, „die mit dem Motel-One-Konto verknüpft sind“.
• Kunden, deren Kreditkartendaten gestohlen wurden, sollten sich auch bei ihrer Bank melden und eine Sperrung der Karte beantragen. „Außerdem sollten sie ihre Bankkonten auf ungewöhnliche Aktivitäten überprüfen.“
• Die gestohlenen Daten könnten von Kriminellen für verschiedene Zwecke missbraucht werden: So könnten sie zum Beispiel für Identitätsdiebstahl, Phishing-Angriffe oder Online-Betrug genutzt werden.

Sollte Motel One gegen datenschutzrechtliche Bestimmungen verstoßen haben, könnten Betroffene Schadensersatzansprüche erheben

Fazit der Kanzlei Dr. Stoll & Sauer: „Das Datenleck bei Motel One ist für betroffene Verbraucher eine ernste Angelegenheit.“ Sensible personenbezogene Daten seien für jedermann einsehbar. Dieser Kontrollverlust über die eigenen Daten könne einen immateriellen Schaden darstellen. „Hat Motel One gegen datenschutzrechtliche Bestimmungen verstoßen, so können Betroffene Ansprüche auf Schadensersatz erfolgreich geltend machen.“ Laut EuGH-Urteil vom 4. Mai 2023 (Az.: C-300/21) bestünden Ansprüche auf Schadensersatz nur dann, „wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist“.

Betroffene Nutzer sollten sich generell über die möglichen Folgen eines Datenlecks im Klaren sein und entsprechende Maßnahmen ergreifen, um sich beispielsweise vor Phishing-Angriffen zu schützen. Mit Hilfe kombinierter Informationen aus anderen Datenlecks könnten Cyber-Kriminelle gezielte Phishing-Angriffe gegen Verbraucher initiieren. Dr. Stoll & Sauer rät Verbrauchern, die möglicherweise Opfer eines Datenlecks wie bei Motel One geworden sind, zur kostenlosen Erstberatung im Online-Check. „Hier prüft die Kanzlei auch die mögliche Betroffenheit von Verbrauchern.“

Tipps für Opfer einer Phishing-Attacke ggf. in Folge des Angriffs auf Motel One:

Phishing bleibe eine beliebte Betrugsmasche unter Cyber-Kriminellen und scheine ein lukratives kriminelles Geschäftsmodell zu sein. Im April 2023 habe das LKA Niedersachsen beispielsweise vor Phishing-SMS und -E-Mails gewarnt, „die Opfer mit angeblichen Zollgebühren lockten“. Falls Verbraucher Opfer einer Phishing-Mail geworden sind, sollten sie folgende Maßnahmen ergreifen:

• Sofort sollten die Zugangsdaten für Online-Bankgeschäfte geändert werden.
• Die betroffene Bank sollte sofort informiert werden, damit weitere Schäden verhindert werden können.
• Die entsprechende Phishing-Mail sollte nicht gelöscht werden, sondern als Beweismittel gesichert und an die Bank weitergeleitet werden.
• Unbedingt Strafanzeige erstatten.

Weitere Informationen zum Thema:

Süddeutsche Zeitung, 10.10.2023
Nach Hacker-Angriff: Motel-One-Kunden sollten wachsam sein

Süddeutsche Zeitung, 09.10.2023
Motel One / Wie man einen Hack auf gar keinen Fall kommunizieren sollte

Süddeutsche Zeitung, 07.10.2023
Etliche Motel-One-Kundendaten im Darknet veröffentlicht

Dr. Stoll & Sauer, 04.05.2023
Gericht bejaht Ansprüche auf Schadensersatz bei DSGVO-Verstoß / EuGH stärkt Verbraucherrechte beim Datenschutz

[datensicherheit.de, 16.03.2023] Laut einer Meldung des Bundeskriminalamtes (BKA) vom 15. März 2023 haben die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das BKA an diesem Tag die in Deutschland befindliche Server-Infrastruktur des weltweit umsatzstärksten Krypto-Mixers imsogenannten Darknet, „ChipMixer“, beschlagnahmt. Neben Daten im Umfang von ca. sieben Terabyte wurden demnach „Bitcoin“ im Gegenwert von derzeit umgerechnet ca. 44 Millionen Euro sichergestellt – dies sei die „höchste bisher vorgenommene Sicherstellung von Krypto-Werten durch das BKA“.

Abbildung: BKA

BKA-Sicherstellungsbanner auf der „Tor“-Webseite des Dienstes

ChipMixer hatte seinen Nutzern vollständige Anonymität versprochen

Die Betreiber von „ChipMixer“ stehen laut BKA unter anderem im Verdacht, gewerbsmäßige Geldwäsche und eine kriminelle Handelsplattform im Internet betrieben zu haben. Bei den Ermittlungen habe das BKA eng mit dem United States Department of Justice (US DoJ), dem Federal Bureau of Investigation Philadelphia (FBI), Homeland Security Investigations Phoenix sowie Europol kooperiert.

Bei „ChipMixer“ habe es sich um einen seit Mitte 2017 bestehenden Dienst gehandelt, der insbesondere „Bitcoin“ kriminellen Ursprungs entgegengenommen habe, um sie nach Verschleierungsvorgängen (sogenanntes Mixing) wieder auszuzahlen. Dabei seien eingezahlte Krypto-Werte zum Zwecke der Vereitelung von Ermittlungen in als „Chips“ bezeichnete einheitliche Kleinstbeträge geteilt worden. Diese „Chips“ der Nutzer seien anschließend vermengt und die Herkunft der Gelder sei somit verborgen worden. „ChipMixer“ habe seinen Nutzern vollständige Anonymität versprochen.

Auch Ransomware-Akteure nutzten ChipMixer-Dienst zur Geldwäsche

Es werde geschätzt, dass „ChipMixer“ seit 2017 Krypto-Werte in Höhe von etwa 154.000 „Bitcoin“ bzw. 2,8 Milliarden Euro „gewaschen“ habe. Ein signifikanter Teil
davon habe von „Darknet“-Marktplätzen, aus betrügerisch erlangten Krypto-Werten, von Ransomware-Gruppierungen und aus anderen kriminellen Taten gestammt.

So werde unter anderem dem Verdacht nachgegangen, dass Teile von im Zusammenhang mit der Insolvenz einer großen Krypto-Börse im Jahr 2022 entwendeten Krypto-Werten über „ChipMixer“ gewaschen wurden. Zudem hätten Transaktionen in Millionenhöhe von der im April 2022 durch die ZIT und das BKA abgeschalteten Darknet-Plattform „Hydra Market“ nachgewiesen werden können. Ebenso hätten Ransomware-Akteure wie „Zeppelin“, „SunCrypt“, „Mamba“, „Dharma“ oder „Lockbit“ diesen Dienst zur Geldwäsche genutzt.

Geldwäschedienste wie ChipMixer regelmäßig wichtiger Bestandteil bei Erpressungen durch Ransomware-Angriffe

Auf der „Tor“-Webseite des nun abgeschalteten Dienstes wurde laut BKA ein Sicherstellungsbanner veröffentlicht. Zudem sei der mutmaßliche Hauptbeschuldigte im US-Verfahren durch das FBI zur Fahndung ausgeschrieben sowie über das „Rewards for Justice Programm“ des US DoJ eine Belohnung für weitere ermittlungsrelevante Hinweise ausgelobt worden.

Dieser erneute Erfolg bei der Bekämpfung der Internetkriminalität sei ein Ergebnis innovativer Bekämpfungsstrategien gegen die weltweite Cybercrime-Industrie. „Denn: Geldwäschedienste sind regelmäßig ein wichtiger Bestandteil bei Erpressungen durch Ransomware-Angriffe. Ziel des BKA und der ZIT ist es daher, mit den in dem Verfahren gegen ,ChipMixer’ gewonnen Erkenntnissen die Aufklärung weiterer Cyber-Straftaten voranzutreiben und zu verhindern, dass deutsche Infrastrukturen zu kriminellen Zwecken mit Geldern aus illegalen Handlungen missbraucht werden.“

Weitere Informationen zum Thema:

tagesschau, 15.03.2023
„ChipMixer“ / Ermittler schalten größten Krypto-Geldwäschedienst ab

[datensicherheit.de, 27.10.2022] Laut einer aktuellen Meldung des Bundeskriminalamts (BKA) hat der Darknet-Marktplatz „Deutschland im Deep Web“ über mehrere Jahre als Hauptanlaufstelle für den Handel mit Drogen fungiert und ist demnach jetzt durch Festnahme des mutmaßlichen Betreiber dieser illegalen Plattform außer Betrieb gesetzt worden.

Abbildung: BKA

BKA: Unter der ursprünglichen Erreichbarkeit der Website wurde dieser Sicherstellungsbanner veröffentlicht

BKA und ZCB ermittelten gemeinsam geleitet, um Festnahme am 25. Oktober 2022 vorzunehmen

Die Ermittlungen gegen den mutmaßlichen Administrator von „Deutschland im Deep Web“, einen 22-jährigen Studenten aus Niederbayern, haben das BKA und die „Zentralstelle Cybercrime Bayern“ (ZCB) nach eigenen Angaben gemeinsam geleitet, um dann die Festnahme am 25. Oktober 2022 vorzunehmen.

Im Rahmen der polizeilichen Maßnahmen seien unter Beteiligung eines Staatsanwalts der ZCB zudem zwei Wohnobjekte durchsucht und zahlreiche Beweismittel, darunter Computer, Datenträger und Mobiltelefone, sichergestellt worden.

Diesen durchgeführten Maßnahmen seien monatelange verdeckte und technisch anspruchsvolle Ermittlungen vorausgegangen, um den anonym im Darknet agierenden Tatverdächtigen identifizieren und schlussendlich festnehmen zu können.

Aktuelle Ermittlungen richten sich gegen Betreiber der dritten Version der Darknet-Plattform

Der Darknet-Marktplatz „Deutschland im Deep Web“ wurde laut BKA erstmals im Jahr 2013 im „Tor“-Netzwerk veröffentlicht. 2016 habe der Täter des Amoklaufs in München die damalige Plattform genutzt, um sich die Tatwaffe und Munition zu beschaffen. In der Folge sei die Website 2017 durch das BKA im Auftrag der Generalstaatsanwaltschaft Frankfurt am Main abgeschaltet worden. Der damalige Betreiber sei verhaftet und 2018 zu sieben Jahren Haft verurteilt worden.

Seit 2018 seien unter dem Namen „Deutschland im Deep Web“ zwei neue Fassungen der Plattform erschienen, auf denen unter dem selbst gegebenen Motto „Keine Kontrolle, alles erlaubt“ insbesondere Drogen gehandelt worden seien.

Das aktuelle Strafverfahren richte sich gegen den Betreiber der dritten Version dieser Darknet-Plattform. Er soll diese seit November 2018 administriert haben. Der Beschuldigte stehe im Verdacht, eine kriminelle Handelsplattform im Internet gem. § 127 StGB betrieben zu haben. Das Gesetz sehe hierfür eine Freiheitsstrafe von einem bis zu zehn Jahren vor.

BKA hat Online-Sicherstellungsbanner veröffentlicht

Die Plattform, seit März 2022 nicht mehr erreichbar, habe rund 16.000 registrierte Nutzer gehabt, davon insgesamt 72 aktive Händler.

Damit habe „Deutschland im Deep Web“ zu den größten deutschsprachigen Darknet-Plattformen gehört.

Um auf die Aktivitäten der Ermittlungsbehörden in Bezug auf „Deutschland im Deep Web“ hinzuweisen, wurde unter der ursprünglichen Erreichbarkeit der Website jetzt ein Online-Sicherstellungsbanner veröffentlicht.

[datensicherheit.de, 16.06.2022] Schwache Passwörter wie „123456“ zählten nach wie vor zu den größten Sicherheitsrisiken für Kontoübernahmen durch Cyber-Kriminelle, warnt Digital Shadows im Zusammenhang mit dem neuen Cyber-Threat-Report „Account Takeover in 2022“ – dieser legt demnach das Ausmaß von weltweit geleakten Logindaten im Zusammenhang mit Kontoübernahmen (Account Take Over / ATO) offen. So seien im Darknet mehr als 24 Milliarden Benutzer-Passwort-Kombinationen im Umlauf. Bezogen auf die Weltbevölkerung entspreche dies „vier exponierten Accounts pro Internet-User“. Die Zahl der gestohlenen und offengelegten Zugangsdaten sei damit seit 2020 um rund 65 Prozent gestiegen.

Account Takeover: 6,7 Milliarden der aufgedeckten Logindaten als „unique“ eingestuft

Die Mehrzahl der exponierten Daten betreffe Privatpersonen sowie Verbraucher und umfasse Benutzernamen sowie Passwörter von diversen Accounts – angefangen bei Bankkonten und Onlinehändlern über Streamingdienste und „Social Media“ bis hin zu Unternehmensportalen. Insgesamt 6,7 Milliarden der aufgedeckten Logindaten seien als „unique“ eingestuft und damit erstmals und einmalig auf einem Marktplatz im Darknet zum Verkauf angeboten worden (2020: 5 Milliarden / +34%).

„Angeboten werden die kompromittierten Logindaten in erster Linie über einschlägige Marktplätze sowie Foren im Darknet. Hier hat das cyber-kriminelle Ökosystem in den letzten zwei Jahren deutlich an Umfang und Professionalität gewonnen.“ Neben geleakten Zugangsdaten, Malware und Cracking-Tools könnten interessierte Kunden auch Abo-Dienste und „Premium Services“ rund um Kontoübernahmen abschließen.

„Allein in den letzten 18 Monaten identifizierten die Analysten von Digital Shadows 6,7 Millionen Vorfälle, in denen Logindaten von Kunden auf diversen Plattformen beworben wurden.“ Dazu gehörten die Benutzernamen und Passwörter von Mitarbeitern, Partnern, Kunden sowie von diversen Servern und IoT-Geräten.

Account Takeover durch fehlende Passwort-Hygiene begünstigt

„Größtes Sicherheitsmanko ist laut Studie nach wie vor eine fehlende Passwort-Hygiene. So verwenden Internet-User weiterhin leicht zu erratende Passwörter (z.B. ,Passwort‘) und simple Zahlenfolgen.“

Fast jedes 200-ste Passwort (0,46%) laute „123456“. Beliebt seien außerdem Kombinationen von auf der Computertastatur nahe beieinander liegenden Buchstaben (z.B. „qwertz“, „1q2w3e“). Von den 50 am häufigsten genutzten Passwörtern ließen sich 49 in weniger als einer Sekunde knacken. Einige der dazu benötigten „Tools“ seien für bereits 50 US-Dollar im Darknet erhältlich.

Selbst durch das Hinzufügen von Sonderzeichen (z.B. „@“, „#“) lasse sich das Hacken von Logindaten nur verzögern, nicht aber unbedingt verhindern. Ein zehnteiliges Passwort mit nur einem Sonderzeichen koste Cyber-Kriminelle laut Digital Shadows durchschnittlich 90 Minuten mehr Zeit. Bei zwei Sonderzeichen benötigten Hacker immerhin zwei Tage und vier Stunden.

Problem kompromittierter Anmeldedaten gerät außer Kontrolle und lädt zum Account Takeover ein

„Die Branche bewegt sich zwar mit großen Schritten auf eine passwortlose Zukunft zu. Im Moment scheint das Problem der kompromittierten Anmeldedaten jedoch außer Kontrolle geraten“, so Chris Morgan, „Senior Cyber Threat Intelligence Analyst“ bei Digital Shadows.

Er führt aus: „Kriminelle verfügen über endlose Listen an geleakten oder gestohlenen Zugangsdaten und können sich über die fehlende Kreativität von Anwendern bei der Wahl ihrer Passwörter freuen. Dadurch lassen sich Konten mithilfe von automatisierten und leicht zu bedienenden Cracking-Tools in wenigen Sekunden übernehmen. Viele der Fälle, die wir im Rahmen unserer Studie untersucht haben, hätten durch die Vergabe eines einmaligen und starken Passworts vermieden werden können.“

Um das Risiko von „Account Takover Fraud“ (ATO) auf ein Minimum zu reduzieren, sollten Unternehmen bestimmte Sicherheitsmaßnahmen implementieren und eine umfassende „Threat Intelligence“ aufbauen.

Beispiele für Sicherheitsmaßnahmen gegen Account Takover Fraud

Passwort-Manager
Diese – verfügbar als App auf einem Telefon, Tablet oder Computer – generierten und speicherten komplizierte Passwörter automatisch und vereinfachten die Handhabung für Mitarbeiter.

Multifaktor-Authentifizierung (MFA)
MFA schaffe eine zusätzliche Sicherheitsebene durch das Hinzufügen eines weiteren Faktors zum Authentifizierungsprozess (z. B. PIN, biometrische Daten, USB-Token).

Authentifizierungs-App
Eine solche generiere alle 30 Sekunden einen neuen sechsstelligen Zufallscode, den der Nutzer zur Authentifizierung eingeben müsse.

Kontinuierliches Monitoring von Zugangsdaten
Das kontinuierliche Monitoring von Zugangsdaten von Mitarbeitern, Kunden und Partnern sowie des Unternehmens- und Markennamens helfe, digitale Bedrohungen frühzeitig zu erkennen.

Automatisierte Tools
Scannen des „Open, Deep und Dark Web“ nach geleakten Daten und Alarmmeldung, wenn diese zum Verkauf angeboten werden.

Sensibilisierung
Ein geschärftes Sicherheitsbewusstsein bei Mitarbeitern sowie klare Passwort-Richtlinien verhinderten, dass Passwörter mehrfach vergeben und unternehmenseigene E-Mails für private Konten genutzt werden.

Weitere Informationen zum Thema:

digital shadows
Account Takeover in 2022
https://resources.digitalshadows.com/whitepapers-and-reports/account-takeover-in-2022

datensicherheit.de, 14.06.2022
Betrug: Kontoübernahmen um 58 Prozent angestiegen / „Jetzt kaufen, später zahlen“ – Boom beflügelt Betrug

[datensicherheit.de, 10.12.2021] Daten sind wertvoll – kein Wunder also, dass Cyber-Kriminelle diesen mit hohem Aufwand nachjagen. Anurag Kahol, „CTO“ bei Bitglass, einem Unternehmen von Forcepoint, erläutert in seiner aktuellen Stellungnahme, wie sie dabei vorgehen, auf welche Arten sie diese verwerten und inwieweit Unternehmen das Bewusstsein ihrer Mitarbeiter für Cyber-Angriffe schärfen können.

Foto: Bitglass

Anurag Kahol: In Belegschaften mitunter der Glaube, Unternehmensdaten könnten für Hacker keine interessante Beute sein…

Vorstellung über Hacker oftmals von Stereotyp geprägt

„Social Engineering“-Angriffstaktiken wie beispielsweise Phishing forderten nicht nur technische Vorsichtsmaßnahmen, sondern auch ein entsprechendes Risikobewusstsein auf Seiten potenzieller Opfer. Kahol führt aus: „Ihr Verhalten kann größeren Schaden verhindern, sollte es zu einem Angriff kommen, der technische Schutzmaßnahmen umgeht. Leider hält sich in Belegschaften mitunter hartnäckig der Glaube, die Unternehmensdaten könnten für Cyber-Kriminelle keine interessante Beute sein.“
Dazu trage vor allem eine Fehleinschätzung des Gegenübers bei. Die Vorstellung von Hackern sei „in der breiten Masse der Bevölkerung“ von einem Stereotyp geprägt: „Der talentierte Programmierer, der als Einzelgänger Ziele aussucht, um sein Können zu erproben. Ein Bild, das in den frühen Zeiten des Internets entstanden ist und nicht zuletzt mit Hilfe der Popkultur bis heute nicht ganz aus den Köpfen verschwunden ist.“

Hacker mittlerweile stark professionalisiert

In den vergangenen Jahrzehnten jedoch habe sich die Cyber-Kriminalität stark professionalisiert. Im Digitalen Zeitalter seien Daten zu einem wertvollen Gut geworden, für welches ein großer Markt existiere. „Und es gibt zahlreiche Akteure, die von der Nachfrage profitieren möchten, notfalls auch jenseits des legalen Geschehens. Es überrascht daher wenig, dass das ,Dark Web‘ sich in den vergangenen Jahren zu einem immer größeren Datenumschlagplatz entwickelt hat“, so Kahol.
Dies gehe aus einer aktuellen Studie von Bitglass hervor. Dazu sei ein falscher Daten-„Honeypot“ über das sogenannte Darknet geteilt und die Zugriffe und Weiterleitung der Daten mit eigener Wasserzeichentechnologie verfolgt worden.

Erkenntnisse aus Honeypot-Versuch für Hacker im Darknet

Die Ergebnisse lieferten einen Einblick in die Beschaffenheit des „Dark Web“ und den Umgang mit illegalen Datensätzen:

Anonymität vereinfacht finstere Machenschaften
Das „Dark Web“ werde immer mehr zum Raum der Anonymität. 2015 seien bereits 67 Prozent der Besucher anonym unterwegs gewesen, gegenüber 2021 mit bereits 93 Prozent. „Dabei waren im Einzelhandel 36 Prozent der Klicks anonym, auf Seiten von Behörden waren es 31 Prozent.“

Daten aus dem Einzelhandel und aus Regierungskreisen besonders beliebt
Die größte Aufmerksamkeit der anonymen „Dark Web“-Nutzergemeinde hätten vermeintliche Daten aus dem Einzelhandel (36 Prozent) und von der US-Regierung (31 Prozent) erlangt.

Cyber-Kriminalität ist international
Während die Aufmerksamkeit häufig auf cyber-kriminelle Handlungen von östlichen Nationalstaaten gelenkt werde, zeige sich, dass IP-Adressen von mutmaßlichen Hackern auch aus US-Staaten, Schweden, Belgien sowie Deutschland stammten.

Gestohlene Daten haben eine große Reichweite und schnelle Verbreitung
„Gelangen Daten ins ,Dark Web‘, können sie weite Kreise ziehen. Binnen 24 Stunden wurden die bereitgestellten Datensätze 1.100-mal aufgerufen.“ Im Jahr 2015 habe es noch zwölf Tage gedauert, um diese Marke zu erreichen. Zudem seien die gesichteten Daten elfmal schneller über alle fünf Kontinente hinweg verbreitet worden.

Hacker rekrutieren eifrig Nachwuchs und nutzen moderne Technologien

Verglichen mit den Ergebnissen des Experiments aus dem Jahr 2015 lasse sich eine klare Entwicklung feststellen: „Der illegale Handel mit Daten floriert und die anonymen Nutzer, die daran Interesse zeigen oder sich gar beteiligen, werden immer mehr.“ Ergänzt werde dies durch einen weiteren beunruhigenden Trend:
Die Cyber-Kriminalität rekrutiere eifrig Nachwuchs und nutze moderne Technologien, um programmier-affinen Neulingen den Einstieg in die finstere Branche zu erleichtern. Die rekrutierten Personalkapazitäten würden wiederum gebündelt, angeleitet und strategisch eingesetzt.

Strategie und Angriffsmotivation der Hacker identifizieren!

Derartige Erkenntnisse sollten Unternehmen nutzen, um ihren Mitarbeitern ein realistisches Bild von Cyber-Kriminellen zu vermitteln. Sie könnten dabei helfen, die Motivation und die Strategie hinter Cyber-Angriffen zu verstehen und im Ernstfall die Risiko-Einschätzung zu treffen. Folgende Lektionen sind laut Kahol in diesem Zusammenhang wichtig:

1. Unternehmen und deren Daten können Primärziel sein
„Dies ist in der Regel das erste Szenario, das man für möglich hält. Industriespionage ist ein klassischer Beweggrund hinter derartigen Angriffen.“ Mit der Professionalisierung der Cyber-Kriminalität gebe es auch dafür neue Möglichkeiten: Beispielsweise könnten Wettbewerber Akteure aus dem „Dark Web“ mit einem „Hack“ oder dem Entwenden bestimmter Unternehmensdaten beauftragen, so dass auch diese künftig häufiger auftreten könnten.

2. Daten-Ausbeute hat nicht immer unmittelbaren monetären Wert
Manche Betriebe seien für Hacker nur deshalb interessant, „weil sie in Geschäftskontakt mit größeren Unternehmen, also lukrativeren und entsprechend schwierigeren Angriffszielen, stehen“. Mit Angriffen auf Dienstleister und Zulieferer versuchten Cyber-Kriminelle durch Entwendung von Daten Wege zu finden, übergeordnete Ziele zu infiltrieren. Der E-Mail-Austausch zwischen authentischen Ansprechpartnern könne bereits helfen, um eine glaubhafte Betrugskampagne gegen ein Partnerunternehmen aufzusetzen.

3. Hacker nutzen breite Sammelkampagnen
Darüber hinaus gebe es auch breit angelegte Datendiebstahl-Kampagnen, welche nicht speziell auf einzelne Unternehmen zugeschnitten seien, sondern lediglich auf eine vielfältige Daten-Ausbeute abzielten. Geeignete Datensätze aus derartigen Kampagnen würden in der Regel an Akteure weitergegeben, „die für kriminelle Projekten mit größerem Umfang Verwendung dafür haben könnten“.

Verständnis schaffen für richtigen Umgang mit diffuser Bedrohung durch Hacker!

„Hacker-Angriffe sind für Unternehmen seit jeher eine diffuse Bedrohung. Um eine ,Zero Trust‘-Sicherheitsstrategie möglichst wirksam zu etablieren, sollten Unternehmen ihren Mitarbeitern helfen zu verstehen, welche Zielsetzungen hinter einem Datendiebstahl stecken können und welche Angriffstaktiken dafür genutzt werden“, so Kahol.
Mit einem derartigen umfassenden, realistischen Bild der Angreifer seien Mitarbeiter wachsamer gegenüber möglichen Risiken und reflektierten ihr eigenes Verhalten kritischer. „Im Falle eines Angriffs, der auf ,Social Engineering‘-Taktiken setzt, können sie so mit größerer Wahrscheinlichkeit die richtige Entscheidung treffen und Schäden abwenden.“

Weitere Informationen zum Thema:

bitglass
2021 Where’s Your Data? Experiment Report

datensicherheit.de, 10.11.2021
Köder-Angriffe: Hacker werfen ihre Phishing-Netze aus / Dr. Klaus Gheri benennt Best Practices zum Schutz vor Köder-Angriffen

datensicherheit.de, 19.10.2021
Check Point: Warnung vor Social Media als Phishing-Falle / Q3 Brand Phishing Report von Check Point veröffentlicht