[datensicherheit.de, 01.11.2025] Googles Durchbruch in der Quantenforschung macht laut Dr. Adam Everspaugh, „Cryptography Advisor“ bei Keeper Security, Folgendes klar: „Den Unternehmen stehen weitreichende Veränderungen hinsichtlich des Schutzes sensibler Informationen und Daten bevor!“

Quantencomputer-Fortschritte bedrohen Daten, Finanztransaktionen, Gesundheitssysteme, „Cloud“-Plattformen, Regierungsabläufe und KRITIS

Everspaugh kommentiert: „Googles jüngster Durchbruch im Bereich der Quantenforschung markiert einen Meilenstein, der die Computersicherheit, wie wir sie heute kennen, grundlegend verändern wird.“

• Quantencomputer mit ausreichend Leistung würden die heute breit eingesetzte Public-Key-Verschlüsselung für den Schutz von persönlichen Daten, Finanztransaktionen, Gesundheitssystemen, „Cloud“-Plattformen, Regierungsabläufen oder Kritischen Infrastrukturen (KRITIS) unwirksam machen.

Die unmittelbare Sorge gelte nicht dem, was Quantencomputer heute leisten könnten, sondern dem, wozu sie in naher Zukunft fähig sein würden – ein Szenario, auf das sich Cyberkriminelle bereits vorbereiteten.

Übergang zu quantenresistenter Kryptographie angesichts rasanter Entwicklung der Quantencomputer empfohlen

„Zeitkapsel-Angriffe“, auch bekannt als „Capture now, decrypt later“, beschreiben demnach das heutige Abfangen und Speichern verschlüsselter Daten, welche in Zukunft von Cyberkriminellen unter Einsatz von leistungsfähigen Quantencomputern entschlüsselt werden.

• „Damit lassen sich sensible Informationen, die heute gestohlen werden, in einigen Jahren offenlegen und missbrauchen – sofern sich die Organisationen und Unternehmen nicht rechtzeitig vorbereiten!“, warnt Everspaugh.

Der Übergang zu quantenresistenter Kryptographie sei also keine theoretische Überlegung, sondern eine strategische Notwendigkeit. Regierungen und Aufsichtsbehörden würden zunehmend die Dringlichkeit dieser Bedrohung erkennen.

Quantencomputer-Entwicklung zwingt Organisationen, Kryptographie-Migrationspfade zu planen

„Branchenübergreifend werden Organisationen dazu angehalten, ihre Kryptographie zu überprüfen sowie Migrationspfade zu planen, um krypto-agile Frameworks einzuführen, die eine schnelle Anpassung an neue Standards ermöglichen.“

• Die Standardisierung von Post-Quanten-Algorithmen durch das NIST, darunter der Kyber-Verschlüsselungsalgorithmus, biete eine „Roadmap“ für eine sichere Migration.

Abschließend merkt Everspaugh an: „Führende Technologieunternehmen wie Apple, Google und Cloudflare testen bereits hybride Verschlüsselungsmodelle, die klassische und quantenresistente Algorithmen kombinieren – ein pragmatischer Ansatz, der aktuelle Leistung mit zukünftiger Sicherheit in Einklang bringt.“

Weitere Informationen zum Thema:

KEEPER
Wir sind Keeper Security

Linkedin
Dr Adam Everspaugh

The Guardian, Dan Milmo, 22.10.2025
Google hails breakthrough as quantum computer surpasses ability of supercomputers / Algorithm performed task beyond capability of classical computers, although experts say real-world application still years away

WELT, 28.10.2025
Meilenstein: „13.000 Mal schneller als ein Supercomputer“ – Google stellt Super-Algorithmus vor

datensicherheit.de, 16.09.2025
Daten als Beute auf Vorrat: Cyberkriminelle setzen auf Fortentwicklung der Quantencomputer / US-Behörde NIST empfiehlt neue Kryptographie-Standards: Quantencomputer werden bald heute noch als sicher geltende Verschlüsselungen in Sekunden knacken können

datensicherheit.de, 16.07.2025
Fortschritte des Quantencomputings: Aktuelle Verschlüsselungsverfahren drohen obsolet zu werden / Innerhalb der nächsten fünf bis zehn Jahre wird vielfach der Eintritt des „Q-Day“ befürchtet – also der Zeitpunkt, an dem Quantencomputer leistungsfähig genug sind, heute gängige kryptographische Algorithmen zu brechen

datensicherheit.de, 16.05.2025
Quantencomputer werden die Welt verändern: Herausforderungen sowie Risiken kennen und Chancen nutzen / Rückblick auf das „FrühlingsForum 2025“ des VDI/VDE-AK Sicherheit und des ETV in Berlin mit Dr. Jan Goetz als Sprecher zum Thema „Quantencomputer – Was kommt nach KI? Wie Quantencomputer die Welt verändern können“

datensicherheit.de, 12.05.2025
Q-Day: Utimaco rät Unternehmen zur rechtzeitigen Vorbereitung auf quantengestützte Cyberangriffe / Aktueller Utimaco-Report zu Quantenbedrohungen erschienen – um weiterhin digitale Sicherheit zu gewährleisten, muss sich die heutige Kryptographie drastisch verändern

datensicherheit.de, 25.03.2025
Colt: Test zur quantengesicherten Verschlüsselung im optischen Netz abgeschlossen / Technologiepartner erforschen gemeinsam neue Möglichkeiten, um den von Quantencomputern ausgehenden Risiken für Verschlüsselung zu begegnen

[datensicherheit.de, 13.10.2025] Der Digitalcourage e.V. engagiert sich seit 1987 für Grundrechte, Datenschutz und „eine lebenswerte Welt im digitalen Zeitalter“. Die Akteure verstehen sich als „technikaffin“, wehren sich indes dagegen, dass unsere Demokratie „verdatet und verkauft“ wird. „Wir klären auf und mischen uns in Politik ein. Digitalcourage ist gemeinnützig, finanziert sich durch private Spenden und lebt durch die Arbeit vieler Freiwilliger.“ Am 10. Oktober 2025 haben Digitalcourage und andere Bürgerrechtsorganisationen nun bereits zum 25. Mal die „BigBrotherAwards“ („Oscars für Überwachung”) verliehen:

Foto: Inflac, CC-BY-SA 4.0 [https://creativecommons.org/licenses/by-sa/4.0]

„BigBrotherAward“ in der Kategorie „Behörden und Verwaltung“ an Bundesinnenminister Alexander Dobrindt

Die Laudatorin, Elisabeth Niekrenz, Rechtsanwältin bei der Kanzlei Spirit Legal in Leipzig, berät Unternehmen und öffentliche Stellen zur datenschutzkonformen Gestaltung ihrer Prozesse und Produkte. Von 2019 bis 2020 war sie politische Referentin des Vereins Digitale Gesellschaft, in dem sie seither Mitglied ist. In diesem Jahr ist war erstmals in der Jury der „BigBrotherAwards“ vertreten.

• Innenminister Dobrindt (CSU) wurde für sein geplantes „Sicherheitspaket“, das den umfangreichen Einsatz von Gesichter-Suchmaschinen vorsieht, ausgezeichnet. Dobrindts Behörde will demnach mit datenschutzwidrigen Anbietern wie Clearview AI und PimEyes zusammenarbeiten, welche auf alle online zu findenden Bilder zugreifen – ganz gleich, ob sie mit oder ohne Einverständnis der Betroffenen eingestellt wurden. Der Entwurf des Innenministers ziele darauf, diese illegale „Schnüffel-Praxis“ zu legitimieren. Zudem wolle Dobrindt die hochumstrittene Palantir-Software auf Bundesebene einführen.

Nach Niekrenz’ Einschätzung bringt dieses „Sicherheitspaket“ Deutschland einen weiteren Schritt auf dem Weg in einen Überwachungsstaat: „Woraus besteht Dobrindts ,Sicherheitspaket’? Die toxischen Zutaten: Gesichter-Suchmaschinen und der Ersatz von Polizeiarbeit durch die gruseligste Software der Welt – ,Gotham’ von Palantir a.k.a. ,Bundes-VeRA’.“ Dies sei eine Realität gewordene Dystopie.

„BigBrotherAward“ in der Kategorie „Was mich wirklich wütend macht“ an den vermeintlichen Bürokratieabbau

Laut der Laudatorin, Rena Tangens, ist „Bürokratieabbau“ ein irreführender Begriff. Er suggeriere, dass etwas für Bürger einfacher würde. In Wahrheit aber gehe es um Deregulierung und den Abbau von Gesetzen, welche Verbraucher schützen sollten. Big-Tech-Konzerne aus den USA wollzen die europäischen Digitalgesetze am liebsten komplett kippen. Die EU-Kommission und die deutsche Bundesregierung machten sich mitschuldig, „wenn sie bei einem ,Deal’ um Strafzölle die Digitalgesetzgebung zur Verhandlungsmasse machen“.

• Tangens ist Künstlerin, Internet-Pionierin und politische Geschäftsführerin von Digitalcourage. Sie hat Digitalcourage 1987 mitgegründet und ist von Beginn an in der „BigBrotherAwards“-Jury. Für Ihre Arbeit wurde sie u.a mit der „Theodor-Heuss-Medaille“, dem Kunstpreis „Evolutionäre Zellen“, dem „Verbraucherpreis“ und dem „taz-Panterpreis“ ausgezeichnet.

In ihrer Laudatio warnte sie vor gefährlichen politischen Entwicklungen: „Die EU-Kommission, Ursula von der Leyen, Kanzler Merz und Co. machen sich mitschuldig, wenn sie sich an die Mafia im Weißen Haus anbiedern.“ Bei einem vertraulichen Treffen in Paris habe US-Vizepräsident Vance offenbar die EU-Kommission aufgefordert, die europäischen Digitalgesetze für US-Konzerne auf Eis zu legen. „Unklar, ob sie es tut, trotz aller Beteuerungen des Gegenteils.“

„BigBrotherAward“ in der Kategorie „Social Media“ an „TikTok“

Preisträger in dieser Kategorie ist die chinesische Plattform „TikTok“ für Verletzungen des Datenschutzes, für die „Verbreitung von Fake-News und Hatespeech“, für die Manipulation von Menschen in Bezug auf ihre politischen Überzeugungen, ihre Wertvorstellungen und ihr Konsumverhalten durch undurchsichtige Algorithmen sowie für die Schaffung von Abhängigkeiten, insbesondere bei Minderjährigen.

• Dr. Thilo Weichert, der Laudator, ist ehemaliger Datenschutzbeauftragter des Landes Schleswig-Holstein und repräsentiert das „Netzwerk Datenschutzexpertise“ (ein Zusammenschluss von Experten, welche Gesetze und Technologien juristisch und technisch detailliert analysieren) sowie die Deutsche Vereinigung für Datenschutz e.V. (DVD) (eine unabhängige Bürgerrechtsvereinigung) – seit 2024 ist er Teil des Vorstandes von Digitalcourage. Er kritisiert in seiner Laudatio die Praktiken des Betreibers deutlich:

„Da wir in einem freien Land leben, dürft Ihr ,TikTok’ nutzen, wie es Euch gefällt. Ginge es nach denen, die hinter ,TikTok’ stehen, dürftet ihr das nicht mehr. ,Douyin’ – wie ,TikTok’ in China heißt – betreibt massiv Zensur im Sinne der chinesischen Diktatur und sammelt für diese Nutzerdaten.“

„BigBrotherAward“ in der Kategorie „Technik“ an Google

Google wurde für den KI-Assistenten „Gemini“ zum Preisträger, welcher ab jetzt unauffällig, aber zwangsweise auf „Android“-Mobiltelefonen installiert werde. „Gemini“ erhalte Zugriff auf umfangreiche Nutzungs- und Kommunikationsdaten, welche für das Training von Googles KI genutzt und auch von menschlichen Mitarbeitern eingesehen werden könnten. „Darunter könnten komplette Chat-Verläufe fallen – ohne dass der Kommunikationspartner eingewilligt hat.“ Die Deaktivierung dieses KI-Assistenten erfordere komplexe Einstellungen in verschiedenen Menüs.

• Frank Rosengart vom Chaos Computer Club programmiert im Kommunikationsbereich. Der 1981 gegründete Chaos Computer Club e.V. (CCC) gilt als größte europäische Hacker-Vereinigung. Rosengart wurde in seiner Laudatio sehr deutlich:

„Der schwerwiegende Nachteil ist, dass ganz viele private und intime Details das Gerät verlassen, denn – das ist der Unterschied zum alten Google-Assistenten – ,Gemini’ hält den Großteil der Intelligenz in der ,Cloud’ bereit. Und ,Cloud’ meint hier: Google.“ Die Daten würden also auf den Servern von Google verarbeitet und unterlägen damit dem Risiko, dass sie für mehr Zwecke verwendet würden, „als den meisten Benutzern lieb sein dürfte“.

„BigBrotherAward“ in der Kategorie „Arbeitswelt“ an das Verwaltungsgericht Hannover und das Bundesarbeitsgericht

Die Auszeichnung an die beiden Gerichte erfolgte „für krasse Fehlurteile in Sachen Amazon“. Das Verwaltungsgericht habe die Totalüberwachung von Angestellten eines Amazon-Logistikzentrums abgesegnet und das Bundesarbeitsgericht einem Amazon-Betriebsrat das Mitbestimmungsrecht bei der Einführung einer Software verweigert, „die Beschäftigtendaten rechtswidrig in den USA verarbeitet“.

• Katharina Just, Gastlaudatorin, ist Informatikerin und zertifizierte Datenschutzbeauftragte. Sie arbeitete an den Universitäten Bonn und Dortmund und beriet viele Jahre Interessenvertretungen bei der Technologieberatungsstelle beim DGB NRW. Heute ist sie als Beraterin für Betriebs- und Personalräte tätig. Sie berät zur Gestaltung der IT in der Arbeitswelt und zum Datenschutz.

In ihrer Laudatio betonte sie die Bedeutung von Mitbestimmung und Arbeitnehmerrechten: „Betriebsräte sind eine wichtige demokratische Instanz in unserer freiheitlichen Wirtschaftsordnung! Sie dienen dem Ausgleich zwischen Arbeitgeber- und Arbeitnehmerinteressen. Wer, wie das Bundesarbeitsgericht im Amazon-Verfahren, die Axt an dieses Mitbestimmungsrecht setzt, der stellt eine Grundsäule unserer sozialen Wirtschaftsordnung in Frage.“

„BigBrotherAward“ in der Kategorie „Jung und Überwacht“ an „iPads“ in Schulen und Ausgrenzung am Beispiel des „WhatsApp“-Messengers

Erstmals gab es bei den „BigBrotherAwards“ 2025 einen eigenen Programmpunkt, welcher von Jugendlichen selbst entwickelt und gestaltet wurde: In Kooperation mit den „Teckids“ sind zwei Beiträge entstanden, welche aus junger Perspektive kritisch auf Digitalisierung blicken:

• Zum einen ging es um den Einsatz von „iPads“ in Schulen, zum anderen um Ausgrenzung am Beispiel des Messenger- Dienstes „WhatsApp“. Die Themenwahl und die Ausgestaltung stammten von den Jugendlichen.

Digitalcourage hat sie bei der Entwicklung und Umsetzung begleitet: „Ziel ist es, junge Stimmen sichtbar zu machen und ihre Perspektiven stärker in die Gala einzubeziehen.“

Ein Preisträger nahm „BigBrotherAward“ sogar entgegen

„Ist jemand hier, der den Preis entgegennehmen möchte?“ In der Regel melde sich niemand auf diese Frage der Moderation. Aber zu aller Überraschung eilte der Präsident des frisch prämierten Verwaltungsgerichts Hannover, Ingo Behrens, auf die „BigBrotherAwards-Bühne“. Seine Rede, in der er die Unabhängigkeit der Gerichte, die Rechtsstaatlichkeit und die Strukturen zur Fehlerkorrektur betonte, erntete viel Applaus.

• Die „BigBrotherAwards“ seien als ein Gesprächsangebot zu verstehen – „wir freuen uns, dass das in diesem Fall so konstruktiv aufgenommen wurde!“ Man habe öffentlich gezeigt, „wie man respektvoll unterschiedlicher Meinung sein und auf hohem Niveau öffentlich diskutieren kann“.

Ralph Caspers (bekannt von der „Sendung mit der Maus“ und „Wissen macht Ah!“) habe als der neue Moderator „frischen Wind“ auf die Bühne gebracht – „und die Beiträge der ,Teckids’ haben uns umgehauen“. Die Digitalcourage-Bilanz: „Das Fernsehen war da, unser Livestream vermeldete ein Allzeit-Hoch mit über 2.500 Zuschauerinnen und Zuschauern und überall im Land trafen sich Menschen zum gemeinsamen Stream-Gucken.“

Weitere Informationen zum Thema:

BigBrotherAwards.de „Oscars für Datenkraken“, 10.10.2025
Freitag, 10.10.2025 / Hechelei Bielefeld / BigBrotherAwards 2025

digitalcourage
Über uns / Für eine lebenswerte Welt im digitalen Zeitalter

digitalcourage, Patrick Wildermann, 10.10.2025
Jubiläum zu 25 Jahren / Wir feiern den Datenschutz

digitalcourage
padeluun

SPIRIT § LEGAL
Elisabeth Niekrenz: Datenschutzrecht, IT-Recht, Prozessführung

digitalcourage
Rena Tangens: Die Künstlerin Rena Tangens ist Gründungsvorstand von Digitalcourage und Jurymitglied der BigBrotherAwards. Wenn sie sich in ein Thema verbeisst, lässt sie so schnell nicht wieder los. Ihr Wissen geht in die Tiefe – und sie weiß, im Heute das Morgen mit den Erfahrungen von gestern zu antizipieren.

NETZWERK DATENSCHUTZEXPERTISE
Dr. Thilo Weichert

BigBrotherAwards.de
Frank Rosengart / Frank Rosengart programmiert im Kommunikationsbereich. Der Chaos Computer Club e.V. (CCC), 1981 gegründet, ist die größte europäische Hackervereinigung.

FORBIT Computer – Arbeit – Datenschutz
Katharina Just / Diplom-Informatikerin, Partnerin

Teckids
Eine verstehbare (digitale) Welt – gemeinsam, für Alle

Digitalcourage, BigBrotherAwards, 11.10.2025
iPad-Welt in der Schule | Teckids | BigBrotherAwards 2025

Niedersächsisches Oberverwaltungsgericht
Neuer Präsident des Verwaltungsgerichts Hannover ernannt

WIKIPEDIA
Ralph Caspers

datensicherheit.de, 07.08.2025
Bürger unter Generalverdacht: DAV kritisiert überbordende Befugnisse / Deutscher Anwaltverein (DAV) nimmt Stellung zum „Sicherheitspaket“ des Bundesinnenministeriums – Einsatz biometrischer Gesichtskontrolle und umstrittener Datenanalyse geplant

[datensicherheit.de, 16.09.2025] Wer z.B. die Suchmaschine „Google“ nutzt, erhofft sich bestimmt seriöse Ergebnisse. Doch laut einer Warnung von ESET macht sich eine neue Hacker-Gruppe diese Suchmaschine zunutze, „um manipulierte Websites nach oben zu bringen“. ESET-Forscher haben demnach diese cyberkriminelle Kampagne aufgedeckt und den Angreifern den Namen „GhostRedirector“ gegeben. Diese Gruppe infiziere „Windows“-Server weltweit, missbrauche sie für SEO-Betrug und sei dabei monatelang unentdeckt geblieben.

Abbildung: ESET

ESET-Aufdeckung: In diesen Ländern wurden Opfer von „GhostRedirector“ identifiziert

Infiltration von „Windows“-Servern und „Googl“-Suchmaschinenbetrug

Die Masche dieser Gruppe: „Infiltration von ,Windows’-Servern und Suchmaschinenbetrug. Sie ist vor allem in Brasilien, Thailand, Vietnam und den USA aktiv.“

• Die Hacker hätten zwei bislang undokumentierte Eigenentwicklungen eingesetzt: „Rungan“ und „Gamshen“ – mit diesen Werkzeugen manipulierten sie Suchergebnisse, um zwielichtige Websites im „Google“-Ranking nach oben zu treiben. „ESET ordnet GhostRedirector als china-nah ein.“

„,GhostRedirector’ kombiniert ausgefeilte Techniken mit bekannten ,Exploits’. Das zeigt: Die Gruppe hat Ressourcen und Know-how“, kommentiert der ESET-Forscher Fernando Tavella als Entdecker dieser Masche. Er warnt zudem: „Die betroffenen Unternehmen bemerken zunächst oft nichts. Doch sobald ihr Server für solchen SEO-Betrug missbraucht wird, leidet ihre eigene Reichweite – und damit letztendlich ihr Umsatz.“

Als Trittbrettfahrer zum besseren „Google“-Ranking

Die Angriffe folgten einem klaren Ablauf. Der Erstzugriff erfolge wahrscheinlich über eine Schwachstelle, mutmaßlich per SQL-Injection. Dabei handele es sich um eine beliebte Hacking-Technik, um Sicherheitslücken in SQL-Datenbanken auszunutzen. „Danach laden die Täter weitere Komponenten nach.“

Für die Rechteausweitung nutzten die bekannten Schadprogramme „EfsPotato“ und „BadPotato“, legten Administratorkonten an und sicherten sich zusätzlichen Fernzugriff. So bleibe der Zugang erhalten – „selbst falls einzelne Werkzeuge entfernt werden“. Für den eigentlichen Angriff nutzten die Hacker zudem diese beiden selbstentwickelten Werkzeuge:

• „Rungan“ ist eine unauffällige Hintertür für „Windows“-Server
  Sie lausche auf eine feste, versteckte Webadresse und nehme darüber einfache HTTP-Befehle entgegen, um diese direkt auf dem System auszuführen – vom Anlegen neuer Administrator-Konten bis zur Ausführung beliebiger Kommandos.
  Die Schnittstelle registriere sich am Betriebssystem vorbei am IIS-Webserver, so dass sie in gängigen Logs leicht übersehen werde. Die Steuerung laufe im Klartext.
• „Gamshen“ ist ein schadhaftes Internet-InformationServices-Modul
  Diese IIS – eine Erweiterung für Server – manipuliere gezielt die „Google“-Suche, indem es bei einer Abfrage des „Google“-Bot die Antwort des Servers beeinflusse, um das Ranking anderer Websites zu verbessern. „Hierdurch erscheinen diese Websites zu Lasten der betroffenen Seiten weiter oben in den Suchergebnissen.“
  (Der „Google“-Bot ist ein automatisches Programm, welches Websites besucht und deren Inhalte für die Suchmaschine indexiert, so dass „Google“ seine Trefferlisten aktuell halten kann.)

„Gamshen“ manipuliert ausschließlich „Google“-Bot-Anfragen

Tavella führt weiter aus: „,Gamshen’ manipuliert ausschließlich Anfragen des ,Google’-Bot, um Suchergebnisse zugunsten bestimmter Seiten positiv zu beeinflussen, z.B. von Glücksspielangeboten. Reguläre Besucher sehen die normale Website, eine direkte Gefahr besteht für sie also nicht.“ Mit dieser Hacking-Technik schadeten die Cyberkriminellen in erster Linie den Betreibern der Websites.

• ESET habe die beschriebenen Aktivitäten von Dezember 2024 bis April 2025 in der Telemetrie beobachtet. Eine internetweite Suche im Juni 2025 habe weitere Opfer aufgedeckt. „Viele US-Server scheinen angemietet und Firmen in den Hauptbetroffenenländern zugeordnet zu sein.“ Ein Fokus auf einzelne Branchen sei nicht erkennbar – betroffen seien unter anderem Bildung, Gesundheit, Versicherung, Transport, Technologie und Handel. ESET habe identifizierte Betreiber informiert.

„,GhostRedirector’ ist eine äußerst ausdauernde Hacker-Gruppe und beweist hohe Widerstandsfähigkeit. Durch den Einsatz verschiedener Fernzugriffstools und gefälschter Benutzerkonten verschafft sich die Gruppe langfristig Zugriff auf die kompromittierte Infrastruktur“, gibt Tavella abschließend zu bedenken.

Weitere Informationen zum Thema:

welivesecurity by eseT
Über uns

welivesecurity by eseT, Guest Author, 04.09.2025
Neue Hacker-Gruppe GhostRedirector vergiftet Windows-Server / ESET Forscher haben eine neue Hackergruppe identifiziert, die Windows-Server mit einer passiven C++-Backdoor und einem bösartigen IIS-Modul angreift. Ihr Ziel: die Manipulation von Google-Suchergebnissen

welivesecurity by eseT, Editor, 03.09.2021
Was macht eigentlich ein Malware-Forscher? / Im Interview erzählen drei ESET Malware-Forscher von ihrem Arbeitsalltag, den Fähigkeiten, auf die es dabei ankommt und darüber, wie man eine erfolgreiche Karriere in der IT-Sicherheitsforschung beginnt.

datensicherheit.de, 27.07.2025
Google Forms: Kaspersky warnt vor Missbrauch für Krypto-Scam / Kaspersky-Experten haben eine neue Betrugsmasche identifiziert, bei der Cyberkriminelle „Google Forms“ verwenden, um „Krypto“-Nutzer anzugreifen

datensicherheit.de, 30.06.2025
DeepSeek: Berliner Datenschutzbeauftragte meldet KI-App bei Apple und Google als rechtswidrig / Die beiden Unternehmen müssen diese Meldung nun zeitnah prüfen und über eine „DeepSeek“-Sperrung entscheiden

datensicherheit.de, 18.05.2025
Datenschutz-Urteil gegen Google: Unzulässig vereinfachter Zugriff auf Nutzerdaten / Es liegt ein Verstoß bei der Google-Konto-Registrierung vor: Verbraucher wurden im Unklaren gelassen, für welche der mehr als 70 Google-Dienste Nutzerdaten verarbeitet werden sollten

datensicherheit.de, 07.05.2025
Phishing-Attacken mittels Missbrauch legitimer Web-Plattformen wie Google / Eine neue cyber-kriminelle Methode macht aktuell dem Weltkonzern Google zu schaffen

datensicherheit.de, 26.04.2025
Phishing-Angriffe: Cyber-Kriminelle missbrauchen zunehmend Google Drive / KnowBe4-Forscher „Threat Labs“ haben einen deutlichen Anstieg der über „Google Drive“ verübten Phishing-Angriffe für den Januar 2025 festgestellt

[datensicherheit.de, 02.07.2025] Der eco – Verband der Internetwirtschaft e.V. lädt zu einer Nachbetrachtung der Bundestagswahl 2025 und Erörterung des damit verbundenen Neustarts für die Digitalpolitik ein: „Vor welchen Herausforderungen steht der Digitalstandort Deutschland? Welche Chancen und Risiken bringen digitale Technologien und Dienste mit sich und wo sollte eine smarte Regulierung ansetzen, um Deutschland auch in geopolitisch herausfordernden Zeiten Wettbewerbsfähig und gleichzeitig resilient zu machen?“ Der eco in Kooperation mit Google Deutschland lädt hierzu neue und erfahrene Digitalpolitiker sowie Interessierte Vertreter aus Ministerien, Behörden, Wissenschaft und Zivilgesellschaft zur „eco Digital-Werkstatt – Netz mit Verantwortung – Für ein Digitales Deutschland 2030“ ein.

Abbildung: eco

Einladung zur eco-Google-Veranstaltung „WAHL/DIGITAL 25 & eco Digital-Werkstatt“

Regulatorische Fragestellungen und Digital-Wahl-Check im Programm

Der Nachmittag startet demnach mit drei „Breakout Sessions“, welche – von anerkannten Digital-Experten moderiert – aktuelle regulatorische Fragestellungen thematisieren sollen. Am Abend dann macht der eco den „Wahl/Digital 25 Digital-Check“ mit der neuen Bundesregierung:

• „Wie plant die Koalition die Digitale Transformation in Deutschland voranzutreiben?
• Wie ist Digitalpolitik organisatorisch in der neuen Bundesregierung aufgehängt?
• Welche netzpolitischen Vorhaben finden sich im Koalitionsvertrag und wie bewertet die Opposition diese Pläne?“

Koalitionsvertrag der neuen Bundesregierung vs. eigene netzpolitische Forderungen der Internetwirtschaft

Der eco beabsichtigt, den Koalitionsvertrag der neuen Bundesregierung mit den eigenen netzpolitischen Forderungen der Internetwirtschaft zu spiegeln. Das Prinzip dabei: „Digitalpolitik auf den Punkt gebracht: In 5 Fragerunden mit je Ein-Minuten-Statements pro Sprecher konzentrieren wir uns auf das Wesentliche!“

Ergänzt werde dieser Programmteil durch „Facts & Figures“, Stimmen aus der Internetwirtschaft und spannenden Momentaufnahmen aus dem digitalen Deutschland. Der eco erwartet namhafte Vertreter aus Politik und Wirtschaft.

„WAHL/DIGITAL 25 & eco Digital-Werkstatt“

Mittwoch, 9. Juli 2025, 13.30 bis 19.00 Uhr

• „Breakout Sessions“ 14 Uhr (Registrierung ab 13.30 Uhr)
• „eco Wahl/ Digital“ 17 Uhr (Registrierung ab 16:30 Uhr)

Google, Tucholskystraße 2, 10117 Berlin
Teilnahme kostenfrei, Online-Anmeldung erforderlich.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT (Agenda und Anmeldung)
WAHL/DIGITAL 25 & eco Digital-Werkstatt @ Google Deutschland

datensicherheit.de, 01.03.2025
Bitkom-Forderung nach der Bundestagswahl 2025: Deutschland braucht jetzt ein Digitalministerium / Digitalpolitik muss in der kommenden Legislaturperiode zum Schwerpunkt werden

datensicherheit.de, 22.02.2025
Bundestagswahl 2025: 42 Prozent der Wahlberechtigten finden Digitalpolitik wichtig für Wahlentscheidung / Neue Bundesregierung muss digitalen Rückstand Deutschlands endlich aufholen und die Digitale Transformation strategisch sowie entschlossen angehen

datensicherheit.de, 20.02.2025
Bundestagswahl 2025: eco fordert digitalpolitischen Neustart / eco vermisst bisher klare Digitalstrategie und Rechtssicherheit

[datensicherheit.de, 30.06.2025] Die Apps der KI-Anwendung „DeepSeek“ bei Google und Apple in Deutschland sind von der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) als „rechtswidriger Inhalt“ gemeldet worden. Die beiden Unternehmen müssen demnach diese Meldung nun zeitnah prüfen und über eine Sperrung entscheiden. Hintergrund sei eine rechtswidrige Übermittlung von personenbezogenen Nutzerdaten der App nach China.

„DeepSeek“ unterliegt Vorschriften der europäischen Datenschutz-Grundverordnung

Die Hangzhou DeepSeek Artificial Intelligence Co., Ltd. mit Sitz in Beijing (Peking), China, betreibt den Dienst „DeepSeek“ – einen KI-gestützten multifunktionalen Chatbot. „Es besteht keine Niederlassung des Unternehmens in der Europäischen Union (EU).“ Der Dienst werde Nutzern in Deutschland unter anderem über Apps im „Google Play Store“ und im „Apple App Store“ mit deutschsprachiger Beschreibung angeboten und könne in deutscher Sprache verwendet werden. „Damit unterliegt der Dienst den Vorschriften der europäischen Datenschutz-Grundverordnung (DSGVO)!“

Laut eigener Angaben verarbeitet dieser Dienst umfangreiche personenbezogene Nutzerdaten – darunter alle Texteingaben, Chat-Verläufe und hochgeladenen Dateien sowie Informationen zum Standort, den benutzten Geräten und Netzwerken. Die gesammelten personenbezogenen Daten der Nutzer übermittele dieser Dienst an chinesische Auftragsverarbeiter und speichere diese auf Servern in China.

Für China hat die EU keinen „Angemessenheitsbeschluss“ erlassen

Die DSGVO verlange, dass die hohen EU-Datenschutzstandards auch bei der Übermittlung personenbezogener Daten in andere Länder gewahrt bleiben. Dafür brauche es entweder einen „Angemessenheitsbeschluss“ der EU oder weitere Schutzmaßnahmen, sogenannte geeignete Garantien. Für China habe die EU keinen „Angemessenheitsbeschluss“ erlassen.

Meike Kamp, die BlnBDI, kommentiert: „Die Übermittlung von Nutzerdaten durch ,DeepSeek’ nach China ist rechtswidrig!“ „DeepSeek“ habe gegenüber ihrer Behörde nicht überzeugend nachweisen können, dass Daten deutscher Nutzer in China auf einem der EU gleichwertigen Niveau geschützt sind. Sie führt aus: „Chinesische Behörden haben weitreichende Zugriffsrechte auf personenbezogene Daten im Einflussbereich chinesischer Unternehmen.“

„DeepSeek“-Nutzern stehen in China keine durchsetzbaren Rechte zur Verfügung

Zudem stünden den Nutzern von „DeepSeek“ in China keine durchsetzbaren Rechte und wirksamen Rechtsbehelfe zur Verfügung, wie sie in der EU garantiert seien. „Ich habe daher Google und Apple als Betreiber der größten App-Plattformen über die Verstöße informiert und erwarte eine zeitnahe Prüfung einer Sperrung.“

Konkret verstoße die Hangzhou DeepSeek Artificial Intelligence Co., Ltd. mit ihrem Dienst „DeepSeek“ gegen Art. 46 Abs. 1 DSGVO. Die BlnBDI hatte daher das Unternehmen am 6. Mai 2025 aufgefordert, seine Apps selbständig aus den App-Stores für Deutschland zu entfernen, die rechtswidrige Datenübermittlung nach China einzustellen oder die gesetzlichen Voraussetzungen für eine rechtmäßige Drittstaatenübermittlung zu erfüllen.

Chinesischer Anbieter hat Aufforderung der BlnBDI bisher ignoriert

Da das Unternehmen dem nicht nachgekommen sei, habe die BlnBDI von der Möglichkeit nach Art. 16 „Digital Services Act“ (DSA) Gebrauch gemacht, rechtswidrige Inhalte auf Plattformen den jeweiligen Betreiber zu melden.

• Eine entsprechende Meldung sei am 27. Juni 2025 an die Apple Distribution International Ltd. als Betreiber des „Apple App Store“ und an die Google Ireland Ltd. als Betreiber des „Google Play-Store“ ergangen. Die beiden Unternehmen müssten ihre Meldung nun zeitnah prüfen und über die Umsetzung entscheiden.

Diese Maßnahme sei in enger Abstimmung mit den Landesdatenschutzbeauftragten von Baden-Württemberg, Rheinland-Pfalz und der Freien Hansestadt Bremen sowie nach Information der „Koordinierungsstelle für digitale Dienste“ in der Bundesnetzagentur (in Deutschland für die DSA-Durchsetzung zuständig) erfolgt.

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns / Die Beauftragte für Datenschutz und Informationsfreiheit / Am 6. Oktober 2022 wurde Meike Kamp zur Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Seit ihrer Ernennung am 15. November 2022 leitet sie die Behörde.

datensicherheit.de, 18.05.2025
Datenschutz-Urteil gegen Google: Unzulässig vereinfachter Zugriff auf Nutzerdaten / Es liegt ein Verstoß bei der Google-Konto-Registrierung vor: Verbraucher wurden im Unklaren gelassen, für welche der mehr als 70 Google-Dienste Nutzerdaten verarbeitet werden sollten

datensicherheit.de, 08.02.2024
Digital Services Act: EU-weites Inkrafttreten soll Menschen im Digitalen Raum stärken / Neue EU-Regeln für Online-Plattformen müssen sich in der Praxis bewähren

[datensicherheit.de, 18.05.2025] Laut einer Meldung des Verbraucherzentrale Bundesverbands (vzbv) vom 16. Mai 2025 hat Google den Zugriff auf Nutzerdaten „unzulässig vereinfacht“. Es liegt demnach ein Verstoß bei der Google-Konto-Registrierung vor: Google habe Verbraucher bei der Registrierung im Unklaren gelassen, für welche der mehr als 70 Google-Dienste Nutzerdaten verarbeitet werden sollten. Zudem hätten weder die Express-Personalisierung noch die manuelle Personalisierung gesetzlichen Vorgaben entsprochen. Das Landgericht (LG) Berlin hat der vzbv-Klage gegen die Google Ireland Ltd. stattgegeben und festgestellt, dass die mangelhafte Einwilligungserklärung gegen die Datenschutzgrundverordnung (DSGVO) verstoßen habe.

Mit einer einzigen Registrierung sollte es Google erlaubt werden, Nutzerdaten auf 70 Diensten zu verarbeiten

Mit einer einzigen Registrierung hätten Verbraucher Google erlauben sollen, ihre Daten auf 70 Diensten zu verarbeiten. Eine vermeintliche Einwilligungserklärung bei der Registrierung für ein Google-Konto habe gegen die Datenschutzgrundverordnung verstoßen und sei unwirksam gewesen – dies hat das LG Berlin nach einer vzbv-Klage entschieden. Diese Einwilligung beruhe nicht auf einer freiwilligen und informierten Entscheidung der Nutzer.

Verbraucher müssten wissen, wofür Google ihre Daten verarbeitet, und über die Verarbeitung ihrer Daten frei entscheiden können – Heiko Dünkel, Leiter „Team Rechtsdurchsetzung“ im vzbv, betont: „Datenschutz ist auch Verbraucherschutz. Umso wichtiger ist, dass wir Verstöße gegen die DSGVO gerichtlich stoppen lassen können!“

Google bietet mehr als 70 Dienste an – unter anderem die Suchmaschine und „YouTube“

Google bietet mehr als 70 Dienste an – unter anderem die „Google“-Suche und „YouTube“. Im Rahmen der Konto-Registrierung habe sich Google für alle Dienste die Einwilligung einholen wollen, unter anderem sogenannte „Web- & App-Aktivitäten“ zu speichern. Dies habe alle Nutzeraktivitäten umfasst:

• auf Google-Websites,
• in Google-Apps,
• in Google-Diensten,
• bei den Suchanfragen,
• bei der Interaktion mit Google-Partnern,
• zum eigenen Standort,
• bei der Sprache.

Zudem sollte auch die Speicherung der auf „YouTube“ angesehenen Videos sowie das Einverständnis zur personalisierten Werbung von der Einwilligung umfasst sein.

Von Google 2022 eingeholte Einwilligung zur Datenverarbeitung genügte nicht der DSGVO

Diese von Google im Jahr 2022 eingeholte Einwilligung zur Datenverarbeitung entsprach nach Ansicht des vzbv jedoch nicht der DSGVO. „Das betraf die Express-Personalisierung genauso wie die manuelle Personalisierung.“ Bei der Express-Personalisierung hätten Nutzer entweder sämtlichen Datennutzungen zustimmen oder den Vorgang abbrechen müssen. „Bei der manuellen Personalisierung waren einzelne Datennutzungen ablehnbar. Dies galt jedoch nicht für die Nutzung des Standorts in Deutschland.“

Das LG Berlin schloss sich der Auffassung des vzbv an, dass diese Einwilligungserklärung unwirksam war und gegen die DSGVO verstieß. Danach müsse die Einwilligung in die Nutzung personenbezogener Daten freiwillig sein. An der Freiwilligkeit fehle es jedenfalls, weil die Datenverarbeitung personenbezogener Daten nicht komplett abgelehnt werden könne.

Reichweite der Einwilligung für Google den Betroffenen völlig unbekannt

Das LG Berlin beanstandete außerdem die mangelhaften Informationen zur vorgesehenen Datenverarbeitung. Es fehle schon deshalb an Transparenz, weil Google weder über die einzelnen Google-Dienste noch Google Apps, Google-Websites oder Google-Partner aufkläre, für welche die Daten verwendet werden sollen.

Die Reichweite der Einwilligung sei den Betroffenen daher völlig unbekannt. Dass die Angabe der einzelnen Dienste aufgrund ihrer Fülle zu einer unübersichtlichen Darstellung führen würde, deute „eindrücklich darauf hin, dass die Beklagte den Umfang der Einwilligung in erheblichem Maße überspannt hat“.

Google hat gegen das Urteil Berufung eingelegt

Das LG Berlin verurteilte Google außerdem dazu, es zu unterlassen, Nutzer in den Voreinstellungen nicht auch eine Speicherfrist der Daten von drei Monaten anzubieten. Ein Löschen der Daten nach drei Monaten habe von den Nutzern nur nachträglich eingestellt werden können.

Das Gericht sah darin einen Verstoß gegen Artikel 25 Absatz 2 Satz 1 DSGVO (sog. „privacy by default“). Diese Vorschrift verlange, dass Nutzer keine Änderungen an den Einstellungen vornehmen müssten, um eine möglichst „datensparsame“ Verarbeitung zu erreichen. Das vorliegende Urteil des LG Berlin II vom 25. März 2025 (Az. 15 O 472/22) ist bisher nicht rechtskräftig – Google hat gegen dieses Urteil Berufung eingelegt (Kammergericht Berlin, Aktenzeichen: 5 U 45/24).

Vorgehen gegen Google als Teil einer europäischen Verbraucherschutz-Aktion

Im Sommer 2022 nahm der vzbv an einer gemeinsamen Aktion von zehn europäischen Verbraucherverbänden teil, welche unter dem Dach der europäischen Verbraucherorganisation BEUC mit verschiedenen Mitteln gegen Google vorgingen. Die vzbv-Klage gegen Google ist Teil dieser Aktion.

Das nun erstrittene Urteil zeige einmal mehr die Bedeutung der DSGVO und dass sich auch marktmächtige Unternehmen an die in der EU geltenden Datenschutzvorschriften halten müssten.

Weitere Informationen zum Thema:

verbraucherzentrale Bundesverband, 25.03.2025
Landgericht Berlin II / Az.: 150 472/22

BEUC, The European Consumer Organisation, 30.06.2022
Letter to Wojciech Wiewiórowski, EDPS: coordinated GDPR enforcement action against Google

WIKIPEDIA
Europäischer Verbraucherverband

datensicherheit.de, 24.01.2025
Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt

[datensicherheit.de, 07.05.2025] In der heutigen digitalen Welt verlassen sich viele Nutzer offenbar auf große Web-Plattformen wie z.B. „Google“, wenn es um Sicherheit und Vertrauenswürdigkeit geht. „Doch genau dieses Vertrauen machen sich Cyber-Kriminelle zunehmend zunutze!“, warnt Melissa Bischoping, „Head of Security Research“ bei Tanium, in ihrer aktuellen Stellungnahme. Eine neue Methode mache nämlich aktuell dem Weltkonzern Google zu schaffen: „Täuschend echte E-Mails, die angeblich von ,no-reply [at] google [dot] com’ stammen und eine offizielle Vorladung oder dringende Benachrichtigung vortäuschen.“

Foto: Tanium

Melissa Bischoping rät zu robuster Multi-Faktor-Authentifizierung (MFA)

Cyber-kriminelle Nutzung legitim wirkender „Google“-Funktionen

Was auf den ersten Blick legitim wirkt, entpuppt sich bei genauerem Hinsehen demnach „als raffinierte Phishing-Falle“ – mit gravierenden Folgen für die Nutzer. Bischoping führt hierzu aus: „Bei diesen Angriffen werden legitim wirkende ,Google’-Funktionen genutzt, um manipulierte E-Mails zu versenden, die einige herkömmliche Überprüfungen umgehen. Außerdem werden Google-Sites verwendet, um gefälschte Seiten zu hosten und Anmeldedaten zu sammeln.“

Solche E-Mails nutzten eine „OAuth“-Anwendung in Kombination mit einer kreativen „DKIM“-Umgehungslösung, um genau die Sicherheitsvorkehrungen auszuschalten, die vor dieser Art von Phishing-Versuchen schützen sollten. Was diese Taktik laut Bischoping besonders gefährlich macht, ist nicht nur die technische Raffinesse, sondern auch die gezielte Nutzung vertrauenswürdiger Dienste, um sowohl Nutzer als auch Erkennungswerkzeuge zu umgehen.

Einige Komponenten solcher Angriffe mittlerweile von Google behoben

Einige Komponenten dieses Angriffs seien zwar neu – und mittlerweile von Google behoben worden – doch Angriffe, die vertrauenswürdige Unternehmensdienste ausnutzen, sind keine Einzelfälle. Immer mehr Angreifer entschieden sich bewusst dafür, Web-Dienste mit legitimen Anwendungsfälle in Unternehmen zu missbrauchen. „Dies unterstreicht den Trend, dass Angreifer mit zunehmender Leistungsfähigkeit der Erkennungstools nach Möglichkeiten suchen, diese vollständig zu umgehen, anstatt sie mit teuren ,Exploits’ zu überlisten.“

Sie konzentrierten sich auf die „Tools“, Websites und Funktionen, welche Unternehmen in ihrer täglichen Arbeit verwenden. Indem sie sich in den normalen Datenverkehr einfügten und davon ausgingen, dass ein typischer Empfänger eine vertrauenswürdige Domain wie etwa „google.com“ nicht genauer unter die Lupe nehme, erzielten Angreifer eine hohe Erfolgsquote, ohne nennenswerte Investitionen in neue TTPs (Trusted Third Parties) tätigen zu müssen.

„Google“-Beispiel sollte Unternehmen zu mehrschichtigen Abwehrmaßnahmen inkl. Schulung der Benutzer motivieren

„Wie können Unternehmen also in Zukunft damit umgehen? Mehrschichtige Abwehrmaßnahmen und die Schulung der Benutzer sollten immer priorisiert werden!“ Schulungen zur Sensibilisierung sollten mit der Bedrohungslage Schritt halten und sowohl neue als auch weiterhin wirksame Techniken behandeln.

Bischoping rät abschließend: „Gleichzeitig sind technische Schutzmaßnahmen wie ,Link-Sandboxing’ und die Erkennung von Anomalien in heruntergeladenen Inhalten zur Suche nach Ausreißern und potenziellen Indikatoren für die frühzeitige Erkennung und Vertiefung der Verteidigungsebenen von entscheidender Bedeutung.“ Wie immer sei eine robuste Multi-Faktor-Authentifizierung (MFA) unerlässlich, da der Diebstahl und Missbrauch von Anmeldedaten auch weiterhin ein attraktives Ziel bleiben werde.

Weitere Informationen zum Thema:

datensicherheit.de, 26.04.2025
Phishing-Angriffe: Cyber-Kriminelle missbrauchen zunehmend Google Drive / KnowBe4-Forscher „Threat Labs“ haben einen deutlichen Anstieg der über „Google Drive“ verübten Phishing-Angriffe für den Januar 2025 festgestellt

datensicherheit.de, 03.04.2025
Google Play Store: Hunderte bösartige Apps aufgespürt / Bedrohliche Apps mehr als 60 Millionen Mal von „Android“-Nutzern heruntergeladen

datensicherheit.de, 22.01.2021
Check Point: Microsoft und DHL führen im Brand Phishing Report Q4 2020 / Berichte der Sicherheitsforscher des Unternehmens zeigen, dass Cyber-Kriminelle aktuell für Phishing am häufigsten den Tech-Riesen Microsoft und die Spedition DHL imitieren / Geschuldet ist dies der Zunahme von Fernzugriffen im Homeoffice und Online-Shopping.

datensicherheit.de, 20.10.2020
Brand Phishing Report: Microsoft Top-Köder für Phishing / Im dritten Quartal 2020 gelangte Microsoft auf Platz 1 der Top-10

[datensicherheit.de, 11.03.2025] Im vergangenen Jahr verbrachten Internetnutzer weltweit durchschnittlich sechs Stunden und 38 Minuten pro Tag im Internet, also fast ein Drittel ihrer wachen Zeit. 95 % des gesamten Internetverkehrs entfielen auf Smartphones, während nur zwei Websites, YouTube und Google, ein erstaunliches Fünftel aller Besuche auf sich vereinten.

YouTube und Google dominierende Kräfte des Internets

Nach Angaben von Techgaged.com kontrollierten YouTube und Google im Jahr 2024 rund 25 % des weltweiten Internetverkehrs und festigten damit ihren Status als dominierende Kräfte im Internet.

Googles Datenverkehr übertrifft alle führenden Websites zusammen; YouTube übertrifft andere Social-Media-Giganten um 40 %

Trotz der starken Konkurrenz durch TikTok, Instagram, Reddit und ChatGPT bleiben Google und YouTube die meistbesuchten Websites der Welt und beweisen damit, dass sie immer noch die größten Akteure im digitalen Raum sind. Ihre Dominanz ist sogar noch beeindruckender, wenn man bedenkt, wie viel Zeit die Menschen auf anderen Plattformen verbringen. Im Jahr 2024 verbrachten Android-Nutzer im Durchschnitt 310 monatliche Sitzungen auf TikTok und damit fast 32 Stunden mit dem Anschauen von Videos, drei Stunden mehr als auf YouTube und doppelt so viel wie auf Facebook oder Instagram.

Doch trotz der Popularität der sozialen Medien bleibt YouTube die erste Adresse für Videoinhalte, während Google die wichtigste Suchmaschine im Internet bleibt. Der Bericht Digital 2025; Global Overview Report beweist dies.

Im Jahr 2024 generierten Google und YouTube rund 25 % des weltweiten Internetverkehrs, was bedeutet, dass jeder vierte Website-Besuch auf diese beiden Plattformen entfiel. Auf Google allein entfielen 18,73 % des gesamten Internetverkehrs, fast dreimal so viel wie auf das zweitplatzierte YouTube und mehr als auf die anderen 14 führenden Websites zusammen.

Die Zahlen für den Webverkehr von YouTube waren ebenfalls beeindruckend. Während TikTok und Instagram bei der Nutzungsdauer an der Spitze liegen, blieb YouTube das Online-Videoprodukt mit einem Anteil von 6,44 % am gesamten Internetverkehr, also fast 40 % mehr als Facebook, TikTok, Instagram, X, Reddit und WhatsApp zusammen.

Die Statistik zeigt, dass Facebook die am dritthäufigsten besuchte Website war und 2,76 % des gesamten Datenverkehrs ausmachte, 2,5 Mal weniger als YouTube und 6,5 Mal weniger als Google. Instagram und WhatsApp vervollständigen die fünf meistbesuchten Websites mit einem Anteil von 1,33 % bzw. 1,03 % am gesamten Internetverkehr.

Soziale Medien fallen zurück – ChatGPT steig auft

Der Rest der Liste zeigt einige interessante Trends bei den Internetnutzern. Obwohl X (ehemals Twitter) aufgrund von kontroversen Plattformwechseln, Führungsentscheidungen und politischen Veränderungen mit einem anhaltenden Rückgang der Nutzer, des Datenverkehrs und der Werbetreibenden konfrontiert ist, war es im letzten Jahr mit einem Anteil von 1 % am gesamten Internetverkehr immer noch die sechstmeistbesuchte Website.

Wikipedia, das mit einem Anteil von 0,89 % den siebten Platz belegte, sah sich einer wachsenden Konkurrenz durch ChatGPT gegenüber, das mit 0,8 % nicht weit dahinter lag. Damit lag die KI-gestützte Plattform vor großen Internetnamen wie Reddit (0,79 %), Yahoo (0,78 %) und Amazon (0,61 %).

Außerdem zeigen die Statistiken, dass die 15 wichtigsten Websites 37,5 % des gesamten Webverkehrs unter den 10.000 wichtigsten Websites ausmachten, was beweist, dass eine kleine Anzahl von Plattformen das Internet weiterhin dominiert.

Weitere Informationen zum Thema:

techgaged.com
The full story with graphs and statistics

datensicherheit.de, 18.03.2020
Covid-19: DE-CIX sieht starke Veränderung beim Internet-Nutzerverhalten

[datensicherheit.de, 21.02.2024] Google und Yahoo! werden laut Medienberichten neue E-Mail-Authentifizierungsanforderungen einführen. Rob Holmes, „Group Vice President“ und „General Manager, Sender Security and Authentication“ bei Proofpoint, betont in seiner aktuellen Stellungnahme, dass die E-Mail offensichtlich eines der meistgenutzten Kommunikationsmittel in Unternehmen und der bevorzugte Kommunikationskanal für Verbraucher ist. Er warnt daher: „Deshalb nutzen Kriminelle dieses Medium für Phishing, ,Business Email Compromise’ (BEC), Spam und andere Betrugsmethoden.“ Google und Yahoo! kämpften jetzt mit neuen Anforderungen an die E-Mail-Authentifizierung gegen diesen Missbrauch von E-Mails. „Eine gute Nachricht für Verbraucher“, meint Holmes, allerdings hätten Unternehmen nicht mehr viel Zeit, um sich darauf vorzubereiten: „Sowohl Google als auch Yahoo! werden ihre neuen Anforderungen im Laufe des zweiten Quartals 2024 in Kraft setzen!“

Foto: Proofpoint

Rob Holmes: Wie jedes Sicherheitstool ist DMARC kein Allheilmittel, aber es ergänzt eine weitere Schutzebene…

Google und Yahoo! legen Finger in die Wunde der Unternehmen

E-Mail-Authentifizierung sei seit vielen Jahren bewährte Praxis. Holmes erläutert: „Das offene Protokoll DMARC (Domain-based Message Authentication Reporting and Conformance) beispielsweise gibt es schon seit zehn Jahren. Es ist der ,Goldstandard’ gegen die Nachahmung einer E-Mail-Absender-Domain, einer Schlüsseltechnik für BEC- und Phishing-Angriffe.“ Aber viele Unternehmen hätten es noch nicht implementiert und liefen durch die neuen Anforderungen Gefahr, „dass ihre E-Mails nicht mehr an ,Gmail’- und ,Yahoo’-Adressen zugestellt werden“. Die DMARC-Implementierung könne sich als schwierig erweisen, da sie eine Reihe von technischen Schritten und kontinuierliche Wartung erfordere. Nicht alle Unternehmen verfügten intern über die Ressourcen oder das Wissen, um die Anforderungen rechtzeitig zu erfüllen.

Phishing und BEC stellten eine enorme Bedrohung für Unternehmen aller Branchen dar. Proofpoints aktueller „State of the Phish“-Report zeigt demnach, dass 87 Prozent der deutschen Unternehmen im Jahr 2022 mit Phishing-Angriffen konfrontiert waren. Das FBI habe BEC aufgrund der enormen finanziellen Verluste der Opfer als „26-Milliarden-Dollar-Betrug“ bezeichnet. „Die E-Mail-Authentifizierung bietet Schutz vor diesen Bedrohungen, indem sie die Angriffskette bei E-Mail-basierten Angriffen unterbricht“, so Holmes.

Zeit als größte Herausforderung für Nutzer der E-Mail-Angebote von Google oder Yahoo!

DMARC und die damit verbundenen Authentifizierungsmechanismen – die Protokolle SPF (Sender Policy Framework) und DKIM (Domain Key Identified Mail) – arbeiteten zusammen, um E-Mails zu sichern und Techniken wie E-Mail-Spoofing zu verhindern. Holmes führt aus: „SPF ermöglicht es beispielsweise dem empfangenden E-Mail-Server zu überprüfen, ob die eingehende E-Mail von einer autorisierten IP-Adresse des Unternehmens stammt.“ Diese Überprüfung verhindere, „dass ein Angreifer die E-Mail-Identität eines Unternehmens annimmt“, und biete sowohl den Mitarbeitern als auch den Kunden ein gewisses Maß an Schutz.

Holmes unterstreicht: „Wenn Unternehmen mit ihren Kunden über ,Gmail’ und ,Yahoo’ kommunizieren und noch keine E-Mail-Authentifizierungsprotokolle wie SPF, DKIM und DMARC implementiert haben, ist Zeit die größte Herausforderung.“ Die Einrichtung erfordere für jedes Protokoll mehrere Schritte und könne sich als schwierig erweisen, „insbesondere wenn der Absender mehrere Domains verwendet“. Sobald die Protokolle eingerichtet sind, stehen Organisationen laut Holmes vor weiteren Herausforderungen, da sie ihre DMARC-, SPF- und DKIM-Einträge weiterhin pflegen müssten.

Google hat zusätzliche Anforderungen für Unternehmen, die Massen-E-Mails versenden

Eine Möglichkeit diesen Prozess zu vereinfachen seien „Tools“, „die sich in bestehende Arbeitsabläufe integrieren lassen und die Implementierung rationalisieren“. Durch die Zusammenarbeit mit einem Sicherheitspartner könnten Unternehmen außerdem auf sehr erfahrene Ressourcen zurückgreifen, „die sie möglicherweise nicht im eigenen Haus haben“.

Die neuen Anforderungen unterschieden sich geringfügig zwischen Google und Yahoo!: „Google hat zusätzliche Anforderungen für Unternehmen, die Massen-E-Mails versenden (5.000 oder mehr pro Tag). Es empfiehlt sich, ,Best Practices’ für die E-Mail-Authentifizierung zu implementieren, die über die Anforderungen dieser E-Mail-Anbieter hinausgehen.“ Die Einführung von „Best Practices“ erhöhe die Sicherheit und helfe, Risiken im E-Mail-Verkehr zu minimieren.

Maßnahmen von Google und Yahoo setzen manche Unternehmen unter Druck – geben aber den längst nötigen Anschub

Durch die Maßnahmen von Google und Yahoo mögen manche Unternehmen sich unter Druck gesetzt fühlen. Letztlich würden sie ihnen helfen, ihre Mitarbeiter, Teams und Stakeholder besser zu schützen. Google und Yahoo wollten ihre Nutzer schützen.

Für Unternehmen sei die E-Mail-Authentifizierung allerdings von noch größerem Nutzen, weil betrügerische E-Mails nicht nur Kunden beeinträchtigen. Daher sollten Unternehmen diese neuen Anforderungen als Katalysator betrachten, um ihren allgemeinen Schutz vor E-Mail-Bedrohungen zu verstärken und zu verbessern.

Mit Sicherheitspartner zusammenzuarbeiten, um neuen Anforderungen von Google und Yahoo! zu genügen

Holmes legt nahe: „Es empfiehlt sich, mit einem vertrauenswürdigen Sicherheitspartner zusammenzuarbeiten, der über E-Mail-Authentifizierungsexperten verfügt, die sie durch den Implementierungsprozess führen und diesen vereinfachen.“ Unternehmen könnten auch Proofpoint-Ressourcen wie die technische Kurzbeschreibung „DMARC Creation Wizard“ und das E-Mail-Authentifizierungskit nutzen, um den Einstieg zu erleichtern.

Es gebe auch „Tools“, mit denen die DMARC- und SPF-Einträge einer Domain überprüft und ein DMARC-Eintrag für die Domain erstellt werden könne. Solche sollten Teil einer umfassenden „Email Fraud Defense“-Lösung sein, „die gehostete SPF-, gehostete DKIM- und gehostete DMARC-Funktionen bietet, um die Bereitstellung und Wartung zu vereinfachen und die Sicherheit zu erhöhen“.

Neue E-Mail-Anforderungen von Google und Yahoo! sollten Unternehmen als Chance begreifen

Holmes’ Fazit: „Der Mensch ist nach wie vor das schwächste Glied in der Kette digitaler Angriffe, und menschliches Versagen ist die Hauptursache für Cyber-Vorfälle.“ Während die Sensibilisierung und Schulung der Nutzer eine wichtige Rolle bei der Stärkung der menschlichen Komponente spiele, seien technische Kontrollen wie DMARC von entscheidender Bedeutung, um Unternehmen vor E-Mail-basierten Angriffen und Betrug zu schützen.

Aber er gibt ausch abschließend zu bedenken: „Wie jedes Sicherheitstool ist DMARC kein Allheilmittel, aber es ergänzt eine weitere Schutzebene, um die Sicherheit insgesamt zu verbessern.“ Die neuen E-Mail-Anforderungen von Google und Yahoo! böten Unternehmen nun eine große Chance, die Lücken in ihrer E-Mail-Sicherheit zu schließen. Unternehmen müssten diesen Weg indes nicht alleine beschreiten: „Es gibt Experten und Ressourcen, die ihnen dabei helfen können, E-Mail-Betrug ganzheitlich anzugehen“.

Weitere Informationen zum Thema:

proofpoint
DMARC Creation Wizard / Create your DMARC record now

proofpoint
Awareness Material / Email Authentication Kit

datensicherheit.de, 20.02.2024
Mangelnde Cyber-Sicherheit im Gesundheitswesen: Deutsche Krankenhäuser bringen sich untereinander in Gefahr / Proofpoint warnt: DMARC-Implementierung in deutschen Krankenhäusern noch alarmierend gering

[datensicherheit.de, 14.08.2023] Moderne Rechenzentren gelten als „Dreh- und Angelpunkt der Digitalisierung“. Damit geraten diese zunehmend in den Fokus Cyber-Krimineller: „Von kleinen Server-Häusern bei Unternehmen bis hin zu riesigen Co-Location-Rechenzentren, die von Amazon, Google, Microsoft oder einem anderen großen Unternehmen betrieben werden, sind die heutigen Data Center ein kritischer Angriffsvektor für Cyber-Kriminelle“, warnt Trellix in einer aktuellen Stellungnahme. Denn diese könnten Malware verbreiten, Lösegeld von Unternehmen erpressen, Unternehmens- oder Auslandsspionage betreiben oder auch große Teile des Internets lahmlegen.

„CyberThreat Report“ des Trellix-ARC beschreibt Bedrohung für Rechenzentren und das gesamte digitalen Ökosystem

Das „Trellix Advanced Research Center“ (ARC) identifiziert demnach regelmäßig kritische Schwachstellen, „um Angriffsflächen aufzudecken und zu eliminieren“. Die Anzahl der Angriffe auf Cloud-Infrastrukturen sei in den letzten Monaten stark gestiegen – dies habe nicht zuletzt die Juni-Ausgabe 2023 des „CyberThreat Report“ des ARC ergeben.

Aufgrund der zunehmenden Digitalisierung und hybriden Arbeitsmodelle erweiterten immer mehr Unternehmen ihre IT-Infrastruktur und setzten dabei auf Anbieter wie Amazon, Microsoft oder Google. „Durch diese Veränderung wächst auch ihre Angriffsfläche!“

In Übereinstimmung mit der kürzlich angekündigten „2023 National Cybersecurity Strategy“ habe das ARC-Team nun verschiedene Software-Plattformen und Hardware-Technologien untersucht, um den Schutz Kritischer Infrastrukturen (Kritis) und die Sicherheit im gesamten „digitalen Ökosystem“ zu erhöhen.

Verbreitung von Malware über miteinander verbundene Rechenzentren und Unternehmenssysteme möglich

Bei der Untersuchung identifizierte das ARC-Team nach eigenen Angaben „vier Schwachstellen in der DCIM-Plattform (Data Center Infrastructure Management) von CyberPower und fünf Schwachstellen in der ,iBoot Power Distribution Unit’ (PDU) von Dataprobe“.

Ein Angreifer könnte diese Sicherheitslücken miteinander verknüpfen, um einen vollständigen Zugriff auf die Systeme zu erhalten. Dies würde es ihm ermöglichen, die Stromversorgung für die Hardware zu manipulieren (was diese physisch beschädigen könnte) und die kompromittierten Geräte als Ausgangspunkt für die Verbreitung von Malware in einem breiteren Netzwerk miteinander verbundener Rechenzentren und Unternehmenssysteme zu nutzen.

„Mit der Stromversorgungssteuerung könnte ein krimineller Akteur durch einfaches Umlegen eines Schalters in kompromittierten Systemen tagelang erhebliche Unterbrechungen verursachen.“ Websites, Geschäftsanwendungen, Verbrauchertechnologien und Kritis seien alle auf die Verfügbarkeit dieser Rechenzentren angewiesen – ein Stromausfall würde Kosten in Millionenhöhe verursachen. Mit einer Reihe kompromittierter Geräten innerhalb des Rechenzentrums könnte ein Bedrohungsakteur sogenannte Spyware für Ransomware oder Spionagezwecke einrichten. Darüber hinaus könnte er die Hardware selbst nutzen, um weit verbreitete DDoS- oder Bot-Angriffe ähnlich wie „StuxNet“ oder „Mirai“ zu wiederholen.

Sicherheitslücken und Gefährdung behoben – vorerst

„Die größte Sorge besteht darin, dass diese Schwachstellen Angreifern Zugang zu hochentwickelter Hardware in großem Maßstab verschaffen.“ Es drohe eine Vielzahl von äußerst wirkungsvollen und schädlichen Cyber-Angriffen.

Nach den Entdeckungen des ARC-Teams von Trellix hätten sowohl Dataprobe als auch CyberPower reagiert: „Mit der Verfügbarkeit von CyberPower DCIM Version 2.6.9 ihrer PowerPanel Enterprise-Software und der neuesten Version 1.44.08042023 der Dataprobe iBoot PDU-Firmware, können die Sicherheitslücken behoben werden.“

Trellix empfiehlt abschließend betroffenen Unternehmen außerdem, die Passwörter aller Benutzerkonten zu ändern und damit alle sensiblen Daten, die auf den beiden „Appliances“ gespeichert sind und möglicherweise nach außen gelangt sein könnten, zu löschen.

Weitere Informationen zum Thema:

Trellix, Sam Quinn & Jesse Chick & Philippe Laulhere, 12.08.2023
The Threat Lurking in Data Centers – Hack Power Management Systems, Take All the Power

Trellix, Juni 2023
CYBERTHREAT REPORT / Insights Gleaned from a Global Network of Experts, Sensors, Telemetry, and Intelligence

THE WHITE HOUSE, März 2023
NATIONAL CYBERSECURITY STRATEGY