[datensicherheit.de, 21.04.2026] In einer aktuellen Warnung beschreibt Panda Security die Zunahme von Cyberangriffen, welche eine einfache Handlung der Nutzer missbrauchen – den Klick: Beim sogenannten Clickjacking verstecken Cyberkriminelle demnach schädliche Links hinter legitimen Buttons, Bildern oder Webelementen und bringen Nutzer darüber dazu, unbemerkt ihre Daten preiszugeben. „Aktuelle Analysen zeigen, wie verbreitet und gefährlich diese Methode ist. Im Jahr 2025 wurden mehrere Passwortmanager als anfällig für ,Clickjacking’-Schwachstellen identifiziert.“ Angreifer hätten Autofill-Funktionen auslösen und auf sensible Daten „wie Zugangsdaten, 2FA-Codes und Zahlungsinformationen“ zugreifen können.

Abbildung: Panda Security

Cyberkriminelle setzen „Clickjacking“ bei Web-Anwendungen ein, in denen persönliche Daten gespeichert sind – beispielsweise Passwörter

Unbemerkt sensible Daten preisgeben oder schädliche Aktionen auslösen

„Clickjacking“ funktioniere mittels Manipulation des Verhaltens von Webseiten – oft durch unsichtbare Ebenen oder schnelle Inhaltsänderungen, um Klicks umleiten. Da diese Angriffe auch auf legitimen Webseiten stattfinden könnten, seien sie besonders schwer zu erkennen.

• Experten warnten, dass angesichts der zunehmenden Raffinesse von Cyberangriffen die Sensibilisierung der Nutzer eine entscheidende Rolle spielt.

„,Clickjacking’ ist besonders gefährlich, weil es Vertrauen und normales Nutzerverhalten ausnutzt“, unterstreicht Hervé Lambert, „Global Consumer Operations Manager“ bei Panda Security. Er erläutert: „Nutzer glauben, mit legitimen Inhalten zu interagieren, während sie in Wirklichkeit unbemerkt sensible Daten preisgeben oder schädliche Aktionen auslösen.“

Erkenntnisse und Hinweise zu Datensicherheit im „Clickjacking“-Kontext

Erkenntnisse von Panda Security:

• „Clickjacking“ versteckt schädliche Links hinter legitimen Webelementen.
• Nutzer können unbemerkt Malware herunterladen oder persönliche Daten preisgeben.
• Selbst vertrauenswürdige Plattformen und „Tools“ können anfällig sein.
• Unsichtbare „Overlays“ und schnelle Inhaltsänderungen machen Angriffe schwer erkennbar.
• Aufklärung und grundlegende Sicherheitsmaßnahmen sind entscheidend zur Prävention.

Empfehlungen von Panda Security:

• Vermeiden Sie Klicks auf verdächtige oder unerwartete Pop-ups!
• Fahren Sie mit der Maus über Links, um die URL vor dem Klicken zu prüfen!
• Halten Sie Browser und Software stets aktuell!
• Nutzen Sie Ad-Blocker und Sicherheitstools zur Filterung schädlicher Inhalte!
• Installieren Sie eine vertrauenswürdige Antiviruslösung mit Echtzeitschutz!

Weitere Informationen zum Thema:

panda
So komplex es auch ist – wir machen es einfach.

panda, Panda Security, 25.03.2026
Threat Prevention / Clickjacking: Definition and Protection Tips / Clickjacking is an online attack where criminals hide malicious links on websites to redirect users to unsafe pages or to download malware

BLEEPINGCOMPUTER, Bill Toulas, 20.08.2025
Major password managers can leak logins in clickjacking attacks

datensicherheit.de, 08.06.2016
Clickjacking: Bezahlte Werbung statt Erotik / Malwarebytes warnt vor Malvertising-Kampagne

datensicherheit.de, 16. Juni 2010
Clickjacking auf facebook: Verbreitung von Schadsoftware droht / „101 Hottest Women in the World“ als fingierte Statusmeldung lädt zum gefährlichen Anklicken ein

[datensicherheit.de, 31.01.2026] Nicht nur im Vorfeld des diesjährigen Valentinstags am 14. Februar 2026 muss immer wieder davor gewarnt werden, dass Online-Dating ein beliebtes „Jagdgebiet für Cyberkriminelle“ darstellt – ESET-Sicherheitsforscher haben jedenfalls einen digitalen Liebesbetrug in Pakistan aufgedeckt, welcher in dieser Form völlig neu sein soll: Hacker setzten eine manipulierte „Android“-App als Köder ein, um arglose Nutzer auszuspionieren. Diese Schadsoftware tarne sich als „Dating“-App und greife sensible Daten von infizierten Mobilgeräten ab. „Unter der romantischen Fassade besteht der eigentliche Zweck der App darin, die Daten der Opfer auszuspionieren. Der raffinierte Datendiebstahl beginnt direkt nach der Installation und setzt sich fort, solange die App auf dem Gerät aktiv ist“, so der ESET-Forscher Lukas Stefanko, welcher diese Kampagne untersucht hat.

Romance-Scam via „Dating“-App als Einfallstor für Überwachung

Im Zentrum dieser Kampagne stehe eine „Android“-Spyware mit dem Namen „GhostChat“. Diese App sei nie im „Google Play Store“ verfügbar gewesen, sondern habe manuell aus Drittquellen installiert werden müssen.

• Optisch gebe sie sich als harmlose Chat-Plattform aus, tatsächlich diene sie jedoch ausschließlich der verdeckten Überwachung.

Bereits beim Start beginne „GhostChat“ im Hintergrund mit der Datenerfassung und übertrage unter anderem Gerätekennungen, Kontaktlisten sowie Dateien wie Bilder und Dokumente an einen Kommando- und Kontrollserver.

Exklusivität als psychologischer Hebel: App zeigt Opfern angeblich gesperrte weibliche Profile

Auffällig sei der gezielte psychologische Ansatz der Angreifer: „Innerhalb der App werden den Opfern angeblich gesperrte weibliche Profile angezeigt, die erst nach Eingabe spezieller Zugangscodes freigeschaltet werden können. Diese Codes sind jedoch fest im Programmcode hinterlegt und dienen ausschließlich dazu, den Eindruck von Exklusivität zu erzeugen.“

• Nach der Freischaltung leite die App die Nutzer zu „WhatsApp“ weiter. Dort beginne die Kommunikation mit den hinterlegten pakistanischen Telefonnummern. Anstelle der Angebeteten befänden sich hinter den Nummern aber die Angreifer selbst.

„Diese Schadsoftware täuscht auf eine Weise, die wir noch nie gesehen haben“, kommentiert Stefanko. Er führt weiter aus: „Die Kombination aus vorgetäuschter Verknappung und lokal wirkenden Kontakten erhöht gezielt die Glaubwürdigkeit der Masche und senkt die Hemmschwelle der Betroffenen.“

„GhostChat“-App als Teil einer größeren Spionageoperation

Die Untersuchungen zeigten zudem, dass „GhostChat“ nur ein Bestandteil einer umfassenderen Überwachungskampagne sei. Dieselbe Infrastruktur sei auch für Angriffe auf „Windows“-Rechner genutzt worden: „Hierbei verleiteten die Cyberkriminellen ihre Opfer dazu, über gefälschte Webseiten angeblicher pakistanischer Behörden selbst Schadcode auszuführen.“

• Diese Kombination aus „Social Engineering“ und Ausführung durch Betroffene würden Cybersicherheitsexperten „ClickFix“ nennen.

Parallel dazu hätten die Forscher eine weitere Angriffsmethode identifiziert, bei der die Hacker „WhatsApp“-Konten über die Geräteverknüpfungsfunktion kompromittierten. Nutzer würden dabei mittels QR-Code dazu verleitet, ihre Konten mit Geräten der Angreifer zu koppeln. Auf diese Weise erhielten die Täter Zugriff auf private Chats und Kontaktlisten, ohne das Konto selbst übernehmen zu müssen.

Sinistre Kombination aus mobiler Spyware-App, Desktop-Angriffen und Ausnutzung populärer Kommunikationsdienste

Nach Einschätzung der Forscher deutet diese Kombination aus mobiler Spyware, Desktop-Angriffen und der Ausnutzung populärer Kommunikationsdienste auf eine koordinierte, plattformübergreifende Spionagekampagne hin.

• Zwar lasse sich diese Operation bislang keinem bekannten Akteur eindeutig zuordnen – der klare Fokus auf pakistanische Nutzer sowie die Nachahmung staatlicher Institutionen spreche jedoch für ein hohes Maß an Vorbereitung und Präzision. „Android“-Nutzer mit aktivem „Google Play Protect“ seien indes geschützt.

„Der Fall verdeutlicht, wie wirkungsvoll soziale Manipulation in Verbindung mit technisch einfacher Schadsoftware sein kann“, so Stefankos Fazit und er warnt: „Hacker sind umso erfolgreicher, je besser sie ihre Opfer einschätzen können und lokale Gegebenheiten kennen!“

Weitere Informationen zum Thema:

welivesecurity by eseT, ESET Research, Lukas Stefanko, 26.01.2026
Love hacks – Wie eine Fake-App ahnungslose Nutzer in die Falle lockt / ESET-Forscher entdecken eine Android-Spyware-Kampagne, die auf Nutzer in Pakistan abzielt und Verbindungen zu einer breit angelegten Spionageoperation aufzeigt

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

welivesecurity by eseT
Lukas Stefanko – Malware Researcher

datensicherheit.de, 03.06.2025
Lost in Expectation: Bedenkliche Rolle der Dating-Apps / Mit dem Aufschwung sogenannter Dating-Apps in den Industriestaaten haben offenbar gleichzeitig die Single-Raten zugenommen

datensicherheit.de, 08.02.2024
Informations-Abschöpfung durch Dating-Apps: Gefahr insbesondere rund um den Valentinstag / Downloads von Dating-Apps steigt am Valentinstag weltweit um 17 Prozent an

datensicherheit.de, 27.09.2021
Dating-App: Sicherheitslücken für Nutzer ein Risiko / Pandemie hat Dating-Welt nachhaltig umgekrempelt

[datensicherheit.de, 06.11.2025] QR-Codes (QRC) sind sicherlich praktisch, erlauben eine schnelle Reaktion – und sind längst alltäglich, ob im Restaurant, bei digitaler Außenwerbung oder auf einem Flyer. Doch was viele nicht wissen: Hinter dem scheinbar harmlosen Quadratmuster kann sich eine neue Betrugsmasche verbergen: „Quishing“ nennt sich diese cyberkriminelle Methode, bei der QRC manipuliert werden, um an persönliche Daten zu gelangen oder Schadsoftware einzuschleusen. Alina Gedde, Digitalexpertin bei ERGO, geht in ihrer aktuellen Stellungnahme auf diese Bedrohung ein, beschreibt deren Funktion und mögliche Schutzmaßnahmen:

Quelle: ERGO Group

QRC auf dem Smartphone: Bei seriöser Quelle praktisch – im Dienste Cyberkrimineller bedrohlich

Cyberkriminelle bringen gefälschte oder manipulierte QRC in Umlauf

Vermeintlich von der Bank stammende Phishing-E-Mails oder gefälschte Nachrichten seien den meisten Menschen inzwischen wohl ein Begriff. Aber Gedde warnt vor einer fortentwickelten Taktik: „Seit einiger Zeit kursiert eine neue Betrugsmasche, das sogenannte Quishing!“

• Dabei verwenden Cyberkriminelle gefälschte oder manipulierte QRC, um an sensible, persönliche Daten zu gelangen oder Schadsoftware zu verbreiten. Dieser Begriff ist ein sogenanntes Kofferwort aus „QRC“ (Quick Response Code) und „Phishing“ und beschreibt somit eine Form des Phishing-Angriffs eben per QRC

„Das perfide am Quishing ist, dass im Gegensatz zu schädlichen Links wie in einer E-Mail, QR-Codes nicht automatisch von Antiviren-Software geprüft werden können“, warnt die ERGO-Expertin.

Foto: ERGO Group

Alina Gedde: Wer bereits sensible Informationen preisgegeben hat, sollte unverzüglich Passwörter ändern und die Bank oder den betroffenen Dienst informieren…

Wer gefährlichen Code scannt, gelangt auf eine täuschend echt gestaltete Fake-Webseite

Quishing beginne immer mit einem scheinbar harmlosen QRC. Betrüger platzierten diesen z.B. auf Plakaten, in E-Mails, in Briefen oder an öffentlichen Orten. „Wer den Code scannt, gelangt nicht auf eine seriöse Webseite, sondern auf eine täuschend echt gestaltete Fälschung!“

• Dort fordere die heimtückische Webseite zur Eingabe von Passwörtern, Zahlungsinformationen oder persönlichen Angaben auf. „In manchen Fällen startet nach dem Scan sogar sofort ein schädlicher Download, der das Smartphone infiziert.“

Besonders begehrt seien Zugangsdaten zum Online-Banking oder zu E-Mail-Konten, Kreditkarteninformationen, Bankverbindungen oder persönliche Daten wie Name, Adresse, Geburtsdatum oder Telefonnummer. „Gefälschte QR-Codes versprechen zum Beispiel den Zugang zu einer Paketverfolgung, das Abhören einer Sprachnachricht oder schnelles Bezahlen, etwa an einem Parkautomaten“, so Gedde.

Quishing-Alarmsignal: Abfrage von Passwörtern, Zahlungsinformationen oder persönlichen Daten

Unerwartete QR-Codes auf Aufklebern, Zetteln oder Plakaten, besonders an ungewöhnlichen Orten oder über bereits vorhandene Codes geklebt, sollten sofort misstrauisch machen.

• „Auch E-Mails oder SMS mit QR-Codes, die einen fragwürdigen Absender haben oder dringendes Handeln verlangen, gehören zu den typischen Warnzeichen“, hebt Gedde hervor.

Nach dem Scan seien eine fehlende HTTPS-Verschlüsselung oder eine ungewöhnliche Internetadresse mit Tippfehlern oder unbekannten Domains Indizien für einen Betrug. Spätestens dann, wenn eine Webseite direkt nach Passwörtern, Zahlungsinformationen oder persönlichen Daten fragt, bestehe „akute Gefahr“.

Scan nur von QRC aus vertrauenswürdigen Quellen empfohlen

Am sichersten bleibe der Scan von QR-Codes aus vertrauenswürdigen Quellen wie offiziellen Webseiten oder bekannten Unternehmen. „Viele Scanner bieten eine Vorschau der Zieladresse an. Sieht sie ungewöhnlich aus, sollten Betroffene vorsichtig sein.“

• Vor jeder Eingabe lohne sich ein genauer Blick auf die Adresse im Browser: Nur eine korrekte Domain mit HTTPS-Verschlüsselung sei vertrauenswürdig. Persönliche Daten wie Logins oder Zahlungsangaben gehörten niemals auf Seiten, bei denen Zweifel bestehen.

„Wer zusätzlich aktuelle Sicherheitssoftware auf dem Smartphone nutzt und wichtige Webseiten lieber manuell eingibt, reduziert das Risiko deutlich“, gibt Gedde zu bedenken.

ERGO-Tipps zum richtigen Verhalten im Verdachtsfall beim QRC-Scan

Taucht beim Scannen ein ungutes Gefühl auf, gelte sofort: Stoppen und keine Daten mehr eingeben!

• „Wer bereits sensible Informationen preisgegeben hat, sollte unverzüglich Passwörter ändern und die Bank oder den betroffenen Dienst informieren. Auch eine Meldung bei Polizei oder Verbraucherzentrale bietet Schutz vor weiterem Schaden“, rät Gedde.

Im Anschluss lohne sich ein gründlicher Check des Smartphones, um Schadsoftware oder unerwünschte Apps zu finden und zu entfernen.

Weitere Informationen zum Thema:

ERGO A Munich Re company
Portrait ERGO Group / Wir sind ERGO.

ERGO A Munich Re company
Alina Gedde

Linkedin
Alina Gedde

datensicherheit.de, 14.08.2025
Quishing: Neue QRC-Betrugsmasche aus den USA könnte bald auch Deutschland erreichen / Unaufgefordert versenden Betrüger Postpakete an ihre Opfer – statt mit Namen und Adresse des Absenders versehen sie ihre Sendungen mit einem QRC, der auf eine getarnte Phishing-Website weitergeleitet oder einen gut getarnten Malware-Download wird initiiert

datensicherheit.de, 08.11.2024
Sophos X-Ops analysieren Cyber-Attacken per Quishing / „Quishing“ (Phishing mit QR-Codes) offensichtlich ein Cybercrime-Trend mit zunehmender Bedeutung

datensicherheit.de, 26.03.2024
Quishing: QR-Code-Phishing-Angriffe noch immer eine unterschätzte Gefahr / Schutz gegen QR-Code-Phishing durch phishing-resistente MFA für die Konten

datensicherheit.de, 31.01.2024
Quishing-Update: QR-Code-Routing-Angriffe nehmen zu / Sicherheitsforscher von Check Point haben eine neue QRC-Angriffsart entdeckt

datensicherheit.de, 24.10,2023
Quishing: Zunahme von QR-Code-Phishing / Sicherheitsforscher von Check Point warnen vor neuer Art von Phishing-Angriffen

[datensicherheit.de, 19.08.2021] In Folge eines Hacker-Angriffs wurden offenbar der Telekom-Tochter T-Mobile US persönliche Nutzerdaten von Kunden entwendet. Dem Unternehmen zufolge seien zwar keine personenbezogenen Daten betroffen gewesen – bisher sei das genaue Ausmaß dieses Datendiebstahls jedoch noch unklar.

Foto: Armis

Andy Norton: Bereits der dritte Angriff in diesem Jahr, den T-Mobile öffentlich macht

Krimineller Hacker Subvirt machte seinen Angriff publik

„Bereits am Wochenende wurde ersten Berichten von ,Vice Motherboard‘ nach bekannt, dass bei dem Angriff rund 100 Millionen Daten entwendet wurden.“ Publik gemacht habe der kriminelle Hacker namens „Subvirt“ seinen Angriff über einen Post in einem Forum.
Wie „Bleeping Computer“ berichtet, habe es sich wohl um persönliche Daten von über 30 Millionen Menschen gehandelt, die nun auf Darknet-Foren zum Verkauf angeboten würden.

Angriff auf T-Mobile: Zahl betroffener Nutzer bei korrigiert 30 Millionen

„Es sieht so aus, als ob der mutmaßliche Hacker ,Subvirt‘ eine Erfolgsbilanz bei der Weitergabe von Daten von Telefongesellschaften hat und bereits Anfang dieses Jahres chinesische Handynummern zum Kauf anbot“, berichtet Andy Norton, „European Cyber Risk Officer“ bei Armis, in seiner aktuellen Stellungnahme.
In Bezug auf diesen Angriff auf T-Mobile sei wenig bekannt – die Zahl der betroffenen Nutzer sei jedoch auf 30 Millionen gesunken, nachdem der Hacker die redundanten Daten aussortiert habe.

Nach Angaben von T-Mobile Einfallstor mittlerweile geschlossen

Norton führt aus: „Der Angreifer hatte ursprünglich am 11. August eine Anzeige geschaltet, diese dann aber entfernt und durch die aktuelle Anzeige ersetzt.“ Darüber hinaus scheine der Angreifer „Subvirt“ den Preis der Daten von sechs „Bitcoin“ auf 200 US-Dollar reduziert zu haben – „das stellt die Legitimität der Daten in Frage“.
T-Mobile zufolge sei das Einfallstor für den Angriff mittlerweile geschlossen worden. „Bei dem aktuellen Angriff handelt es sich in diesem Jahr bereits um den dritten Angriff, den T-Mobile öffentlich macht.“

Weitere Informationen zum Thema:

datensicherheit.de, 17.08.2021
Vectra kommentiert massiven Hacker-Angriff auf T-Mobile-Kundendaten / Stellungnahme von Vectra zu den Folgen zwischenstaatlicher Cyber-Konflikte auf die Privatwirtschaft

VICE, Joseph Cox, 15.08.2021
T-Mobile Investigating Claims of Massive Customer Data Breach / Hackers selling the data are claiming it affects 100 million users

BLEEPINGCOMPUTER, Lawrence Abrams, 15.08.2021
Hacker claims to steal data of 100 million T-mobile customers

[datensicherheit.de, 29.01.2021] Am 1. Februar findet wieder der internationale „Change Your Password Day“ statt. Für das HPI Anlass, an die wichtigsten Regeln zur Erstellung starker Passwörter und ihre Bedeutung zu erinnern. „Es ist wichtig, sich immer wieder bewusst zu machen, dass Passwörter Schlüssel zu sensiblen Daten und Informationen sind. Es gibt zwar keinen 100-prozentigen Schutz vor Identitätsdiebstahl, aber es muss Kriminellen so schwer wie möglich gemacht werden, an das eigene Passwort zu gelangen“, so HPI-Direktor Professor Christoph Meinel. Insbesondere die weit verbreitete Nutzung schwacher Passwörter und die Mehrfachnutzung von Passwörtern für sehr viele unterschiedliche Dienste sei überaus leichtsinnig, wenn man bedenke, welche Schäden dadurch entstehen könnten.

Die wichtigsten Regeln zur Erstellung starker Passwörter:

• Die Länge des Passworts sollte mindestens 15 Zeichen umfassen.
• Das Passwort sollte möglichst viele verschiedene Zeichentypen (Buchstaben, Ziffern, Sonderzeichen) sowie Groß- und Kleinschreibung mit einbeziehen.
• Keine Begriffe aus dem Wörterbuch oder andere „sinnvolle“ Zeichenfolgen verwenden. Neben den Brute-Force-Attacken sind vor allem „Wörterbuchangriffe“ üblich, um Passworte zu knacken: Hierbei werden Listen mit Wörtern genutzt, um fremde Passwörter zu entschlüsseln.
• Nie dasselbe Passwort für mehrere Konten verwenden. Wird ein Passwort geknackt, ermöglicht es Kriminellen sonst den Zugang zu allen anderen Diensten.
• Niemals persönliche Informationen wie Namen, Geburtsdaten, Haustiernamen, Namen der Partner oder der jeweiligen Anwendung (z.B. „Adobe“) verwenden. Diese Daten könnten leicht erraten werden.
• Wenn möglich, die 2-Faktor-Authentifizierung nutzen.
• Passwortmanager helfen bei der Generierung und der sicheren Aufbewahrung starker Passwörter

Ob man selbst schon einmal Opfer eines Datendiebstahls geworden ist, lässt sich mit dem Identity Leak Checker, einem Online-Sicherheitscheck des Hasso-Plattner-Instituts (HPI), sehr leicht und kostenlos überprüfen. Seit 2014 kann dort jeder Internetnutzer unter https://sec.hpi.de/ilc durch Eingabe seiner E-Mail-Adresse prüfen lassen, ob Identitätsdaten von ihm frei im Internet kursieren und missbraucht werden könnten. Die Sicherheitsforscher ermöglichen den Abgleich mit mittlerweile mehr als 12 Milliarden gestohlener und im Internet verfügbarer Identitätsdaten. Dabei liegt der Fokus auf Leaks, bei denen deutsche Nutzer betroffen sind.

Weitere Informationen zum Thema:

HPI Hasso-Plattner-Institut
Wurden Ihre Identitätsdaten ausspioniert?

datensicherheit.de, 18.12.2019
HPI veröffentlicht beliebteste deutsche Passwörter 2019

datensicherheit.de, 16.12.2018
IT-Sicherheit: Die Top Ten der deutschen Passwörter

[datensicherheit.de, 14.09.2020] Unternehmen, die sogenannte Deception-Technologien zur Früherkennung von Cyber-Angriffen einsetzen, könnten durch Datendiebstähle verursachte Kosten um mehr als die Hälfte (51%) reduzieren – so das wichtigste Ergebnis einer neuen Studie, welche ATTIVO NETWORKS nach eigenen Angaben gemeinsam mit Kevin Fiscus von Deceptive Defense durchgeführt hat. Der Bericht „Cyber Deception Reduces Breach Costs & Increases SOC Efficiency“ identifiziere die direkten und messbaren finanziellen und Produktivitätsvorteile von Deception-Technologien für Organisationen aller Art und Größe.

Foto: ATTIVO NETWORKS

Joe Weidner: Unternehmen nutzen zunehmend Deception-Technologien, um proaktive Verteidigung aufzubauen

Deception bringt messbare Kostensenkung

Die Untersuchung zeige auch, dass die durchschnittliche Reduzierung der Kosten für Datenschutzverletzungen 1,98 Millionen US-Dollar pro Vorfall oder 75,12 US-Dollar pro kompromittiertem Datensatz betrage.
Diese Kostensenkungen würden erreicht „durch schnellere Erkennung und effektive Reaktion auf Vorfälle sowie durch eine geringere Komplexität bei deren Handhabung“.

Durch Deception auch mehr Effizienz für SOC-Agenten

Zudem könne Deception-Technologie laut diesem Bericht den Zeitaufwand für die Bearbeitung von Fehl-Warnungen (False Positives) erheblich reduzieren und die Effizienz des typischen „Security Operations Center“ (SOC) steigern. Eine kürzlich von Ponemon und Exabeam durchgeführte SIEM-Produktivitätsstudie habe ergeben, dass der durchschnittliche Zeitaufwand pro SOC-Analyst und Vorfall etwa zehn Minuten betragen habe und SOC-Analysten etwa 26 Prozent ihres Tages mit der Bearbeitung von Fehlalarmen verschwendeten, „was einem Produktivitätsverlust von über 18.000 US-Dollar pro Analyst und Jahr entspricht“.
Die Befragten hätten dabei eine erhebliche Zeitersparnis bei der Bearbeitung von Alarmen auf Basis der Deception-Technologie im Vergleich zu anderen Alarmen angegeben, was Unternehmen letztendlich bis zu 32 Prozent oder knapp 23.000 US-Dollar pro SOC-Analyst und Jahr einsparen könne.

Deception als wirklicher Game Changer

Der Begriff „Game Changer“ werde viel zu oft verwendet, so Kevin Fiscus, „Principal Instructor“ des SANS-Instituts und Gründer von Deceptive Defense. „Wer ihn benutzt, wird oft zu Recht mit Argwohn betrachtet. Cyber-Deception ist anders, und es handelt sich nicht nur um eine neue Iteration einer veralteten Technologie.“
Deception veranlasse die Angreifer dazu, alles in Frage zu stellen, was sie zu wissen glaubten, und helfe oft einen Angriff zu stoppen, bevor er überhaupt richtig begonnen hat. „Das ist wirklich ein Game Changer.“

Deception-Technologien, um proaktive Verteidigung gegen Datendiebstahl, Lösegeld-Erpressung etc. aufzubauen

„Die Fähigkeit, Angriffe frühzeitig zu erkennen, die Kosten für Datenverstöße zu senken und die SOC-Effizienz zu verbessern, macht Cyber-Täuschung zu einer entscheidenden Sicherheitskontrolle für das Unternehmen“, sagt Joe Weidner, „Regional Director DACH“ von Attivo Networks.
Große wie kleine Unternehmen nutzten zunehmend Deception-Technologien, um eine proaktive Verteidigung gegen Datendiebstahl, Lösegeld-Erpressung und andere Attacken aufzubauen und die Sicherheit ihrer Daten zu gewährleisten.

Deception-Technologien helfen, Dwell Time deutlich zu reduzieren

Zusätzlich zu den finanziellen und Produktivitätsvorteilen der Deception-Technologie werde in dem Bericht zudem angeführt, dass sie – richtig eingesetzt – die durchschnittliche unentdeckte Verweildauer eines Angreifers im Unternehmensnetz (Dwell Time) zwischen 90 und 97 Prozent reduzieren könne – bis auf nur noch 5,5 Tage. Dies sei insofern von Bedeutung, als jüngste Berichte zeigten, dass die durchschnittliche Verweildauer derzeit bei 56 Tagen liege und die durchschnittliche Zeit bis zur Feststellung eines Einbruchs 207 Tage betrage.
In Verbindung mit den Testergebnissen des „DIY APT-Tool“-Tests von MITRE ATT&CK zeige der Bericht von Attivo und Deceptive Defense, wie Täuschungstechnologie eine leistungsstarke Sicherheitskontrolle sein könne, „die zum Arsenal jedes Verteidigers gehört“. Der APT-Test habe speziell die Fähigkeit der Lösungen von Attivo Networks bestätigt, die EDR-Erkennungsraten um durchschnittlich 42 Prozent zu steigern.

Beispiel für Deception-Plattform: Attivo ThreatDefend

Die „Attivo ThreatDefend“-Plattform biete umfassende Möglichkeiten zur Verhütung und Erkennung von Angriffen, mit denen sie nicht nur Täuschungstechniken, sondern auch eine Vielzahl anderer Methoden abdecken könne. Diese Plattform lenke Angreifer proaktiv mit gefälschten Informationen von ihren Zielen ab, löse eine Warnung aus und leite den Angreifer auf einen Köder um.
So würden wichtige Informationen wie „Active Directory“-Objekte, Daten und „Storage“ verborgen und der Angreifer am Zugriff gehindert. Mit der Fähigkeit, den Weg des Angreifers in einen Köder zu steuern, könnten Verteidiger zudem wertvolle Erkenntnisse gewinnen, um die Werkzeuge und Techniken sowie die Absicht ihres Gegners zu verstehen.

Weitere Informationen zum Thema:

ATTIVO NETWORKS
Whitepaper: Cyber Deception Reduces Breach Costs & Increases SOC Efficiency

datensicherheit.de, 08.09.2019
Cybersecurity ist bei fast 50 Prozent der globalen Unternehmen Chefsache

Von unserem Gastautor Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

[datensicherheit.de, 30.06.2020] Viele Unternehmen sind so sehr damit beschäftigt, externe Angreifer aus ihren sensiblen Netzwerken fernzuhalten, dass sie eine andere, möglicherweise noch größere Gefahr vergessen – die Bedrohung durch Insider. Insider-Bedrohungen sind laut Verizon inzwischen für 34 Prozent aller Datenverstöße verantwortlich und können von unachtsamen Angestellten bis hin zu verärgerten Dienstleistern reichen. Das vielleicht stärkste Risiko geht jedoch von einer bestimmten Untergruppe aus – den ausscheidenden Mitarbeitern.

Sicherheitsrisiken durch ausscheidende Mitarbeiter

Für Unternehmen aller Größenordnungen haben ausscheidende Mitarbeiter schon immer ein Problem dargestellt. Denn sie verfügen nicht nur über den notwendigen Zugriff und das Wissen, wo sich sensible Daten befinden, sondern haben in der Regel auch ein Motiv. In einigen Fällen kann es einfach der Wunsch sein, Kopien der eigenen Arbeit für zukünftige Referenzen mitzunehmen. In anderen Fällen allerdings sollen sensible Daten an ein Konkurrenzunternehmen verkauft oder Insider-Wissen den Medien zugespielt werden. Hohe finanzielle Verluste und Reputationsschäden können die Folge sein. Aufgrund der unbekannten Variablen sind Unternehmen im Nachteil, wenn sie sich dieser Art von Bedrohung stellen müssen. Deshalb ist es wichtig, auf verdächtige Aktivitäten und Verhaltensweisen zu achten, die auf eine potenzielle Insider-Bedrohung hinweisen.

Christoph M. Kumpa, Director DACH & EE bei Digital Guardian. Bild: Digital Guardian

Transparenz der Datenbewegungen zum Schutz vor Datendiebstahl

Um sich vor Datendiebstahl durch Insider zu schützen, ist in erster Linie eine Datensichtbarkeit an den Endpunkten erforderlich, aber auch dort, wo Daten das Unternehmen verlassen oder intern übertragen werden. Zumindest sollten Organisationen in der Lage sein, alle Arten von Dateibewegungen und Datenaustritten zu verfolgen und einen Audit-Trail darüber zu erstellen, was jeder Mitarbeiter vor seinem Ausscheiden aus dem Unternehmen gemacht hat. Auf diese Weise kann das Verhalten eines Mitarbeiters zwischen dem Zeitpunkt seiner Kündigung und seinem Ausscheiden genau überwacht und ihm, falls erforderlich, sogar beim Abschlussgespräch zur Klärung vorgelegt werden.

Warnzeichen für Insider-Bedrohungen durch ausscheidende Mitarbeiter

Zu den häufigsten Warnzeichen, die einen ausscheidenden Mitarbeiter als Insider-Bedrohung entlarven können, zählen Spitzen im Datenbewegungsvolumen, das heißt große Datenmengen, die auf USB-Geräte oder Cloud-Speicherorte wie Dropbox oder Google Drive gelangen. Wenn ein Unternehmen über eine Data Loss Prevention (DLP)-Lösung verfügt, ist es möglich, Dateien nach dem Grad ihrer Sensibilität zu kennzeichnen, sodass leichter zu erkennen ist, wie vertraulich die exfiltrierten Daten sind. Werden beispielsweise vertrauliche Dateien an E-Mails angehängt und entgegen den Unternehmensrichtlinien an eine private Domain wie Gmail oder Hotmail gesendet, würde die DLP-Lösung dies melden. Ein Sicherheitsanalytiker kann daraufhin den Vorfall untersuchen, um die Absicht der Person festzustellen, die die Datei versendet hat, und prüfen, wie sensibel ihr Inhalt war.

Maschinelles Lernen zur Verhaltensanalyse

In jüngerer Zeit haben Sicherheitsanbieter begonnen, maschinelles Lernen in ihren Lösungen einzusetzen, um Analysten zu entlasten, die in der Vergangenheit jeden Alarm manuell untersuchen mussten. Machine Learning bietet zudem die Fähigkeit, im Laufe der Zeit ein Standardverhaltensprofil für eine Person oder Maschine zu erzeugen. Einmal erstellt, wird alles, was außerhalb des Normalverhaltens liegt, automatisch für die weitere Analyse markiert, sodass die Sicherheitsteams verdächtige Aktivitäten viel schneller ausmachen können.

Natürlich ist die Bewegung großer Datenmengen nicht immer Grund zur Beunruhigung. Oftmals kann dies einfach das Ergebnis von Datensicherungen in Unternehmen sein. Andererseits können viele sensible Geschäftsgeheimnisse in nur einer einzigen Datei gestohlen werden. Deshalb ist es wichtig, genau zu wissen, welche Personen oder Applikationen auf sensible Informationen zugreifen, und sicherzustellen, dass die Daten angemessen geschützt sind.

Glücklicherweise haben sich die Vorgehensweisen ausscheidender Mitarbeiter in den letzten 15 Jahren nicht dramatisch geändert. Zwar mag es gelegentlich einen Mitarbeiter geben, der über das technische Know-how verfügt, gestohlene Daten in einer Bilddatei zu verstecken und mithilfe von Steganografie hinauszuschmuggeln, doch solche Fälle sind extrem selten. Mit den richtigen Sicherheitsvorkehrungen zur Überwachung auf verdächtiges Verhalten können Unternehmen Insider-Bedrohungen durch ausscheidende Mitarbeiter erheblich minimieren.

Weitere Informationen zum Thema:

datensicherheit.de, 18.05.2020
Cloud: Bewährte Methoden zur Eindämmung von Insider-Bedrohungen

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

Von unserem Gastautor Chris Carlson, VP Product and Technology bei Qualys

[datensicherheit.de, 28.04.2020] Cyberkriminelle machen sich gern Großereignisse und aufsehenerregende Nachrichten zunutze, die Millionen von Menschen interessieren, um Malware leicht und effektiv an den Mann zu bringen. So nutzten sie in der Vergangenheit schon Themen wie internationale Sportwettkämpfe, Promi-Scheidungen oder Wahlen als Vehikel zur Verbreitung von Schadprogrammen.

Die Coronavirus-Pandemie (COVID-19) ist der jüngste Aufhänger für solche Angriffe. Die Krise schafft ideale Bedingungen für eine großflächige Verbreitung von Malware: eine riesige Angriffsfläche, die sowohl Unternehmen als auch private Nutzer umfasst, Angst und Unsicherheit wegen der Auswirkungen des Virus und eine verstärkte Nutzung von sozialen Medien und direkter elektronischer Kommunikation, um Neuigkeiten, Informationen und Meinungen zu verbreiten.

In der vergangenen Woche machte sich ein neuer Malware-Angriff diese Situation zunutze. Eine Gruppe von Cyberkriminellen entwickelte eine gefälschte Corona-Map-Anwendung für Windows, in die Malware zum Datendiebstahl eingebettet ist. Sobald ein Benutzer die Anwendung heruntergeladen und installiert hat, beginnt sie, sensible Daten wie Passwörter, Kreditkartennummern, Bankkontendaten und andere sensible Informationen zu sammeln und zu senden.

Bild: Qualys

Chris Carlson, VP Product and Technology bei Qualys

Dieser Angriff, der erstmals von Forschern bei Reason Labs beschrieben wurde, basiert auf einer Variante der Malware-Familie Azorult, die in die Corona-Map-Anwendung integriert ist und ausgeführt wird. Wenn diese Malware-Kampagne erfolgreich ist, steht zu erwarten, dass weitere Varianten der Schadsoftware auftauchen und neben der gefälschten Corona-Map-Anwendung auch noch andere Auslieferungsmethoden entwickelt werden.

Antiviren-Engines mit Einzelerkennung helfen Sicherheitsanalytikern nur begrenzt

Zum Zeitpunkt der Abfassung dieses Beitrags zeigt VirusTotal, dass viele Antiviren-Engines (58 von 70) die Corona-Map-Malware erkennen. Das ist die gute Nachricht: Die meisten kommerziellen Produkte finden diese Malware, sofern der Virenschutz auf jedem Endgerät ordnungsgemäß installiert ist, ausgeführt wird und richtig konfiguriert ist.

Das Problem bei Antiviren-Engines mit Einzelerkennung ist jedoch, dass sie die tatsächliche Bedrohung oft nur begrenzt analysieren. Die Sicherheitsanalytiker erhalten zu wenig verwertbare Informationen, um feststellen zu können, ob die Corona-Map-Malware ihr Netzwerk wirklich infiziert hat. Dies gilt insbesondere dann, wenn die Malware-Autoren den Namen der infizierten Datei ändern, um der Erkennung zu entgehen.
Die VirusTotal-Liste zeigt auch, dass einige Anbieter, die die Corona-Map-Malware erkennen können, nicht den Namen der Malware-Familie aufführen. Stattdessen beschreiben sie die Bedrohung mit ganz allgemeinen Begriffen wie „Unsafe“, „Win/malicious_confidence_100% (W)“, „Malicious“, „Heuristic“, oder „Generic.ml“.  (Siehe: )
Abgesehen von der mangelnden Beschreibung dieser spezifischen Bedrohung, die den Sicherheitsteams die Feststellung erschwert, ob Systeme kompromittiert wurden, ist es mit solchen Lösungen oft auch nicht möglich, den Corona Map Malware-Angriff auf Passwörter und Daten von anderen potenziell unerwünschten, aber weniger riskanten Anwendungen und Programmen zu unterscheiden, wie etwa Coupon-Toolbars. Die Zeit von Sicherheitsanalytikern ist jedoch kostbar – sie müssen sich zuallererst auf die echten Bedrohungen in ihrer IT-Umgebung konzentrieren.

Sichtbarkeit mit Erkennung von Malware-Familien

Qualys Indication of Compromise (IOC) verfolgt bei der Endpunkterkennung und -reaktion (EDR) einen Ansatz zur Erkennung von Malware-Familien, der auf Threat Intelligence basiert. Malware wird nach Bedrohungsfamilien und Bedrohungskategorien klassifiziert, um den Sicherheitsanalytikern und Incident-Respondern umfassenderen Kontext zu liefern.

Im Fall der Corona-Map-Malware erkennt und bewertet die Lösung die Malware als „bösartig“ (der Punktwert 8 bezeichnet ein Dateiereignis, das jedoch nicht als Prozess oder mit Netzwerkverbindungen ausgeführt wird) und gibt den Namen der Malware-Familie („Azorult“) sowie die Malware-Kategorie („Trojaner“) an. Dadurch können Sicherheitsanalytiker schnell alle Systeme identifizieren, die mit Azorult infiziert sind, und automatisch eine Warnung ausgeben, wenn im Netzwerk Trojaner-Malware ausgeführt wird.

Mithilfe dynamischer Dashboards und Widgets, die für alle Anwendungen von Qualys verfügbar sind, können ganz einfach Trend-Widgets erstellt werden, um alle Azorult-Infektionen im Netzwerk zu verfolgen – unabhängig von Varianten oder Hashwerten – und sie mit aktiven Abhilfemaßnahmen abzugleichen. Der nachstehende Screenshot zeigt aktive Azorult-Infektionen an, jedoch keine Abhilfemaßnahmen. In einem solchen Fall sollten die Sicherheitsanalytiker die Problembehebung priorisieren, um alle Spuren der Malware-Familie Azorult einzudämmen und zu entfernen.

Die Qualys Cloud-Plattform

Die Qualys Cloud-Plattform bietet eine kontinuierliche „Always-on“-Bewertung des Sicherheits- und Compliance-Status der gesamten Umgebung und eine sekundenschnelle Übersicht über alle IT-Assets, egal, wo sich diese befinden. Die Sensoren von Qualys lassen sich einfach bereitstellen, werden zentral verwaltet und aktualisieren sich selbst. Sie sind als physische oder virtuelle Appliances oder als schlanke Agenten für Benutzer-Endgeräte, lokale Server und Cloud-Instanzen verfügbar. Alle Dienste sind über ein Webinterface in der Cloud zugänglich – Es muss also nichts installiert oder verwaltet werden.

Weitere Informationen zum Thema:

Qualys
Qualys Cloud Platform (Free-Trial)

datensicherheit.de, 22.04.2020
Datenschutz: EDSA beschließt weitere Leitlinien zu COVID-19

datensicherheit.de, 15.04.2020
Thales-Analyse zeigt: Cyberangriffe zu COVID-19 folgen der Ausbreitung des Virus

datensicherheit.de, 14.04.2020
COVID-19: Cyberangriffe auf Regierungen und medizinische Organisationen

datensicherheit.de, 01.04.2020
Hacker nutzen COVID-19-Krise: Smartphone-Nutzer oftmals das Ziel

datensicherheit.de, 31.03.2020
Vermeidung von Enpässen im Netz – Appell zu digitaler Besonnenheit

datensicherheit.de, 26.03.2020
Corona: Verunsicherte Nutzer im Fokus von Cyber-Betrügern

[datensicherheit.de, 09.11.2019] Christian Patrascu, „Senior Director, Sales Central Eastern Europe“ von Forcepoint, geht in seiner aktuellen Stellungnahme auf eine Umfrage des Digitalverbands Bitkom unter mehr als 1.000 Geschäftsführer und Sicherheitsverantwortliche in Deutschland ein – demnach waren 75 Prozent der befragten Unternehmen in den vergangen zwei Jahren Ziel von Cyber-Attacken. Auffällig sei dabei die größte Tätergruppe – wenn es um Datendiebstahl geht, vor allem die eigenen Mitarbeiter, die zum Beispiel einen USB-Stick mit Kundendaten mitnehmen, wenn sie das Unternehmen verlassen.

Wachsende Gefahr: Die Bedrohung von innen

„Während Unternehmen und Security-Anbieter weltweit Unsummen in den Schutz vor externen Cyber-Attacken investieren, geht die Branche sehenden Auges einer wachsenden Gefahr entgegen: Der Bedrohung von innen. Sogenannte ,Insider Threats‘ werden nach wie vor zu wenig thematisiert, obwohl sie, wie die Bitkom-Umfrage zeigt, beim Datendiebstahl die größte Gefahrenquelle sind“, so Patrascu.
Zum einen fürchteten Unternehmen Reputationsverlust und zum anderen fehlten oft die nötigen Tools zur Abwehr und zur Aufklärung solcher Vorfälle. Zusätzlich bestehe Unsicherheit darüber, „wo die Grenze zwischen dem Schutz von Geistigem Eigentum und der Überwachung von Mitarbeitern verläuft“.

Schaden meist erst entdeckt, wenn es zu spät ist

Dabei gehe es aber nicht um Überwachung, sondern insbesondere auch um den Schutz der eigenen Mitarbeiter. Patrascu: „Denn Insider-Issues geschehen größtenteils unbeabsichtigt, also aus Unwissen oder Versehen. Moderne Systeme, die den Kontext dafür liefern, wie Menschen mit sensiblen Daten umgehen, sind der Schlüssel zu einem erfolgreichen Schutz.“ Mit ihnen könnten Unternehmen zwischen verschiedenen Typen von „Insider Threats“ unterscheiden:

• Absichtlicher Datendiebstahl, also die Veruntreuung von Daten durch Mitarbeiter mit einem kriminellen Motiv;
• kompromittierte User, das heißt, Angriffe über die Zugangsdaten oder Rechner von Mitarbeitern;
• oder unwissentliche bzw. unbeabsichtigte Handlungen von Mitarbeitern, die durch Fehlverhalten oder Fahrlässigkeit eine Datenabwanderung begünstigen.

Für alle drei gilt laut Patrascu: „Der Schaden wird meist erst entdeckt, wenn es zu spät ist. Zudem lässt sich der genaue Sachverhalt im Nachhinein nur sehr schwer aufklären.“

Fokus sollte stets der vertrauliche, sichere Umgang mit Daten im Unternehmen stehen

„Wir sehen, dass sich IT-Verantwortliche in Deutschland zunehmend einem solchen, Mitarbeiter-zentrierten, verhaltensbasierten Security-Ansatz öffnen. Durch die Analyse von Verhaltensdaten werden Anomalien im Umgang mit kritischen Daten sichtbar und das Bewusstsein für den sicheren und sensiblen Umgang mit Geistigem Eigentum gesteigert.“
Klassische Sicherheitslösungen, die sich rein mit dem Schutz von Infrastruktur beschäftigten, griffen auch in einer zunehmend mobilen und verteilten Arbeitswelt zu kurz. „Sensible Daten liegen immer mehr in der Cloud, ob von der IT bereit gestellt oder durch Mitarbeiter und Abteilungen selbst angeschafft.“ Im Fokus sollte also stets der vertrauliche, sichere Umgang mit Daten im Unternehmen stehen. Die wichtigsten Fragen, die sich Sicherheitsexperten dabei stellen müssten, sind: „Wo befinden sich meine Daten? Um welche Art von Daten handelt es sich und wie interagieren Menschen und Maschinen mit diesen?“

Weitere Informationen zum Thema:

bitkom research, 06.11.2019
Angriffsziel deutsche Wirtschaft: mehr als 100 Milliarden Euro Schaden pro Jahr

datensicherheit.de, 28.06.2019
Security Awareness: Faktor Mensch von zentraler Bedeutung

datensicherheit.de, 20.03.2014
Cyberbedrohungen – Faktor Mensch

[datensicherheit.de, 10.05.2019] Diebstahl von Log-In-Daten ist für Cyberkriminelle nicht nur im Falle von Bankkonten interessant, denn oftmals erscheint der Zugriff auf Informationen in Unternehmen, beispielsweise um geistiges Eigentum zu stehlen, weitaus attraktiver. Nebenbei den Zugriff auf digitale Geldbörsen mit Kryptowährungen, sogenannten Wallets, zu erhalten, ist für die Hacker ein ebenso attraktives Ziel.

Angreifer setzen Stealer ein

Dafür setzen die Angreifer unter anderem sogenannte Stealer (von to steal, englisch für stehlen) ein. Diese durchsuchen die PCs der Opfer, um Kontoinformationen und andere Daten aus Webbrowsern, Instant Messengern, E-Mails, VPN-, RDP- und FTP-Software sowie aus Wallets und PC-Spielen zu extrahieren. Haben die Angreifer erst einmal Zugang zum System, können sie von dort aus oftmals ganz einfach das gesamte Netzwerk eines Unternehmens durchsuchen, Daten manipulieren, Konfigurationen ändern oder gar ganze Systeme zerstören und damit das Unternehmen ruinieren.

KPOT löscht sich selbst

Mit KPOT ist jetzt eine Malware im Umlauf, die sich nach „erfolgreicher“ Mission selbst wieder vom Rechner des Opfers löscht und damit keine Spuren hinterlässt. Kriminelle können KPOT über entsprechende Marktplätze ganz einfach erwerben und senken somit die Einstiegshürden für den organisierten Datendiebstahl.

Ein besonders interessanter Aspekt: KPOT überprüft die Spracheinstellungen des Rechners und wird bei ausgewählten Sprachen nicht aktiv – beispielsweise bei Russisch, Usbekisch, Turkmenisch und einigen anderen Sprachen der ehemaligen Sowjetunion.

Weitere Informationen zum Thema:

Proofpoint
New KPOT v2.0 stealer brings zero persistence and in-memory features to silently steal

datensicherheit.de, 09.05.2019
Ransomware: Deutschlands Unternehmen und Behörden haben ein neues altes Problem

datensicherheit.de, 22.04.2019
Proofpoint: Kommentar zu Sicherheitsvorfällen bei Office 365

datensicherheit.de, 15.04.2019
Malware – Das Böse kommt immer öfter per Dokumentenanhang

datensicherheit.de, 12.02.2019
proofpoint: Vierteljährlicher Report zur Bedrohungslage veröffentlicht