[datensicherheit.de, 14.05.2020] „Theiners SecurityTalk“ wird jeweils mittwochs als Video-Podcast um 14 Uhr im Live-Stream übertragen und steht anschließend als Aufzeichnung bei YouTube z.B. bei datensicherheit.de  zur Verfügung. „datensicherheit.de“ ist als Kooperationspartner zusammen mit dem German Mittelstand e.V. und dem Fachmagazin für IT-Lösungen „manage it“ Unterstützer dieses neuen Formats. Die Sendung vom 13. Mai 2020 widmete sich Fragen des Risikobewusstseins im Kontext der eindeutigen Identität bei der IKT-Nutzung.

Identitatsdiebstahl – die unterschätzte Gefahr | Theiners SecurityTalk auf YouTube

Identitätsfragen schon im Altertum von existenzieller Bedrohung

Bereits im Altertum waren Identitätsfragen von entscheidender Bedeutung und konnten existenzielle Bedeutung bekommen – so war im Prinzip schon das sagenhafte „Trojanische Pferd“ ein Problem der eindeutigen Identität („Geschenk“ oder „Falle“?).
Der Bogen aus der Geschichte reicht über Doppelgänger von Herrschern bis zu den virtuellen „Honeypots“ und „Fraud“-Attacken unserer Tage. Einfache technische Lösungen erscheinen unsicher, weil es seit Anbeginn der Menschheit einen „Wettbewerb“ gibt, einerseits Identität zu belegen und diese andererseits schon bald gekonnt zu fälschen.

Passwort-Schutz als Einzellösung überholt

Nicht nur, dass sich Opfer von „Fraud“-Attacken leicht täuschen lassen – so reicht z.B. die Übermittlung einer bekannten Telefonnummer oder einer E-Mail-Adresse oft noch aus, den Absender fälschlicherweise als weisungsbefugte Person anzusehen, – auch Passwörter, PINs etc. alleine sind keine Gewähr für eine sichere Authentifizierung.

In Zeiten der zunehmenden Heimarbeit und des Einsatzes externer Kräfte, wenn also die sich auf dem Betriebsgelände aufhaltenden sowie die sich von außen mit der Unternehmens-IKT verbindenden Personen nicht von Angesicht zu Angesicht bekannt sind, muss der Mittelstand nach besseren, mehrschichtigen Methoden suchen. Gleichwohl reicht Technik allein nicht aus – auch die Mitarbeiter sollten durch Sensibilitätskampagen regelmäßig in dieser entscheidenden Sicherheitsfrage unterwiesen werden.

Am 13. Mai 2020 diskutierten:

• Andreas Kunz – Connecting Media
• Michael Lang – SailPoint Technologies
• Georg Lindner – Experte für Cyber-Absicherung, Dr. Hörtkorn
• Carsten J. Pinnow – Geschäftsführender Gesellschafter, PINNOW & Partner GmbH und Herausgeber von datensicherheit.de
• Philipp Schiede – Herausgeber, „manage it“
• Steffen Siguda – Chief Information Security Officer (CISO), OSRAM

Weitere Informationen zum Thema:

datensicherheit.de, 06.05.2020
Theiners SecurityTalk: Haftungsrisiken der Entscheider-Ebene

datensicherheit.de, 30.04.2020
Theiners SecurityTalk: Sicherheitskultur auf dem Prüfstand

datensicherheit.de, 08.04.2020
Neues, interaktives Online-Format: „Theiners SecurityTalk“

Von unserem Gastautor Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

[datensicherheit.de, 05.05.2020] Cyberkriminelle sind oft nur einen Phishing-Angriff davon entfernt, ungehinderten Zugriff auf Geräte, Netzwerke und Unternehmensdaten zu erhalten. Dabei nutzen sie eine Vielzahl an Social-Engineering-Techniken. Diese reichen von Identitätsdiebstahl und Imitation bekannter Marken über gefälschte Stellenbewerbungen bis hin zu hochpersonalisiertem Spear-Phishing mithilfe privater Daten der Opfer. Phishing erfolgt meist per E-Mail, kann aber auch per Post, Telefon (Voice Phishing/Vishing), SMS (Smishing), Social Media sowie über Websites erfolgen, geht aber oft weit über die Verteilung verdächtiger Nachrichten hinaus. Zu weiteren Angriffstechniken zählen:

• DNS-basiertes Phishing gefährdet Hostdateien oder Domain-Namen eines Unternehmens und leitet dessen Kunden zu einer gefälschten Webseite weiter, um persönliche Daten oder Zahlungsinformationen abzugreifen.
• Phishing mit Content-Injection nutzt verseuchte Inhalte wie Codes oder Bilder, die zur Unternehmenswebsite oder Seiten von Partnern hinzugefügt werden, um persönliche Informationen von Mitarbeitern und Kunden wie etwa Log-in-Details zu stehlen. Diese Art von Phishing zielt besonders auf Personen ab, die auf verschiedenen Websites das gleiche Passwort verwenden.
• Man-in-the-Middle-Phishing: Hierbei stellen sich Kriminelle zwischen die Website des Unternehmens und dessen Kunden. So können sie alle Informationen, die der Kunde eingibt, erfassen.

Bild: Digital Guardian

Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

Security-Best Practices gegen Phishing-Angriffe

Phishing birgt das Potenzial, viele der von Unternehmen eingesetzten Sicherheitsmaßnahmen zu umgehen und verheerende Auswirkungen auf sensible Daten und Ressourcen zu haben. Selbst für gut informierte User ist es mittlerweile schwierig, Phishing zu erkennen, da die Attacken immer ausgefeilter werden. Deshalb sind entsprechende Security-Best-Practices entscheidend, um sich gegen die Flut an Phishing-Angriffen zu verteidigen. Hierzu zählen:

• Multi-Faktor-Authentifizierung: Es ist empfehlenswert, zwei Arten der Überprüfung durchzuführen, etwa ein Passwort und eine Sicherheitsfrage, wenn Nutzer sich bei sensiblen Konten anmelden. Die Zwei- oder Multifaktor-Authentifizierung trägt dazu bei, Cyberkriminellen, die sich Zugang zu Konten verschaffen wollen, die Arbeit zu erschweren. Selbst wenn ein Passwort im Besitz des Angreifers ist, bleibt das Konto durch eine zweite oder sogar dritte Authentifizierungsebene geschützt. Für die beste Verteidigung eignen sich Authentifizierungsebenen, die dem Benutzer physisch vorliegen, zum Beispiel ein Gerät, oder eine biometrische Authentifizierung.
• Security-Schulungen und Simulationstrainings von Phishing-Angriffen: Der erste Schritt besteht darin, alle Mitarbeiter darin zu schulen, Phishing-E-Mails zu erkennen. Eine der besten Möglichkeiten, um sicherzustellen, dass Mitarbeiter bei der Erkennung potenzieller Phishing-E-Mails wachsam sind, sind Simulationstrainings. So kann das IT-Team zum Beispiel selbst Test-Phishing-Mails an die Mitarbeiter versenden und überwachen, welche und wie viele Personen auf den Köder anspringen.
• VPN zum Schutz der Internetverbindung: Ein VPN verschlüsselt die Internetverbindung und hält die besuchten Websites und die vom Nutzer eingegebenen Informationen vor Angreifern geheim. Die Nutzung eines VPN verhindert, dass Angreifer den WLAN-Verkehr über öffentliche Netzwerke abfangen, eine gängige Technik, um Anmeldedaten oder andere sensible Informationen abzugreifen.
• Sicherung von BYODs vor bösartigen Applikationen: Ein neuer Bedrohungsvektor, der durch den BYOD-Trend entstanden ist, sind bösartige Apps auf Mobilgeräten der Mitarbeiter, welche auf deren Adressbücher zugreifen und diese exportieren. Hierdurch erhalten Angreifer Kontakte, die sie für gezieltes Spear-Phishing missbrauchen können. Ein wichtiger Schritt für die Unternehmenssicherheit ist es, potenzielle Angreifer daran zu hindern, auf das Firmenverzeichnis zuzugreifen, welches Namen, E-Mail-Adressen und andere persönliche Mitarbeiterdaten enthält. So sollte eine mobile Sicherheitssoftware auf Endgeräte installiert werden, die Apps scannt und Benutzer daran hindert, auf die Unternehmensnetzwerke zuzugreifen, wenn sich auf ihren Mobilgeräten Applikationen befinden, die die Datensicherheit gefährden.
• Phishing-Schutz beim mobilen Arbeiten: Ein weiterer Schritt besteht darin, mobile Benutzer vor dem Besuch von Phishing-Websites zu schützen, besonders, wenn sie sich in einem WLAN-Netzwerk befinden, welches das Unternehmen nicht kontrolliert. Diese Schutzmaßnahmen müssen auf Netzwerkebene durchgeführt werden, da eine bloße E-Mail-Filterung hier nicht ausreicht. Phishing- und Spear-Phishing-Angriffe können sowohl über Firmen-Mails, die private E-Mail des Benutzers, als auch per SMS erfolgen. Mobile User sollten deshalb per VPN mit Diensten verbunden sein, die ein sicheres Domain Name System (DNS) und Blacklisting anbieten, um den Zugriff auf Phishing-Websites zu verhindern.

Bild: Digital Guardian

Inforgrafik Phishing-Attacken

Ausgeklügelte Phishing-Angriffe stellen weiterhin eine der größten Bedrohungen für die Unternehmenssicherheit dar, weil sie auf das häufig schwächste Glied in der Security-Kette abzielen: den Menschen. Durch umfangreiche und kontinuierliche Mitarbeitertrainings und einen mehrschichtigen Ansatz aus Sicherheitstechnologien können jedoch die Risiken von Phishing deutlich gemindert werden.

Weitere Informationen zum Thema:

datensicherheit.de, 21.04.2020
File-Sharing-Security: Kontrolle über kritische Daten behalten

datensicherheit.de, 01.04.2020
Cloud Account Hijacking: Best Practices gegen Kontenmissbrauch durch Cyberkriminelle

datensicherheit.de, 23.03.2020
Digital Guardian führt Managed Detection & Response-Service ein

datensicherheit.de, 08.01.2020
Datenlecks: Kosten in Millionenhöhe

datensicherheit.de, 14.10.2019
Bösartige Unbekannte: Zero-Day-Angriffe

datensicherheit.de, 17.09.2019
Advanced Malware: Fünf Best Practices zum Schutz / APT-Attacken dienen Spionage und Datendiebstahl

datensicherheit.de, 28.08.2019
Cyber-Sabotage durch Datenmanipulation / Wenn Kriminelle Daten nicht stehlen, sondern gezielt verändern

datensicherheit.de, 12.06.2019
Sicherheitsfokus direkt auf sensible Unternehmensdaten lenken / 4 grundlegende „Best Practices“ für datenzentrierten Sicherheitsansatz

[datensicherheit.de, 01.04.2020] Während COVID-19 sich ausbreitet und die Menschen nach zuverlässigen Informationen über das Virus und seine Auswirkungen suchen, nutzen Regierungen und Unternehmen in großem Umfang E-Mail, Textnachrichten und andere digitale Hilfsmittel, um mit Bürgern und ebenso mit Kunden zu kommunizieren. Leider haben sich Cyberkriminelle und Betrüger die zunehmende Kommunikation zu diesem Thema sowie den Wunsch des Einzelnen, auf dem Laufenden zu bleiben sehr schnell zunutze gemacht.

Lookout Mobile Security hat sieben grundlegende Verhaltensmaßregeln für Sie zusammengestellt:

1. Es kann jeden treffen
   Viele sind immer noch der (irrigen) Ansicht, keine Hackerangriffe auf ihre Smartphones befürchten zu müssen. Man geht fälschlicherweise davon aus, dass sich niemand speziell für seine Daten interessiert oder es ganz gezielt auf solche Informationen abgesehen haben könnte. Im Bereich Cybersicherheit ist das allerdings kein Argument. Jeder von uns verfügt über deutlich mehr sensible Daten als ihm tatsächlich bewusst ist.
2. Jeder ist angreifbar
   Manch einer fühlt sich vielleicht ausreichend geschützt und vertraut Sicherheitsmaßnahmen wie etwa Passwörtern. Inzwischen haben wir aber ausreichend Erfahrungen damit gemacht wie leicht Passwörter zu hacken sind. Starke Passwörter zu verwenden senkt das Risiko. Ausreichend ist es bei Weitem nicht.
3. Nicht alle Netze sind sicher
   Viele Internetnutzer verwenden relativ bedenkenlos ein öffentliches WLAN, ohne sich über die möglichen Risiken den Kopf zu zerbrechen. In einem öffentlichen WLAN sollte man sich aber nicht bewegen als wäre man im sicheren heimischen Netzwerk. Online-Banking und alle Transaktionen, bei denen sensible persönliche Daten weitergegeben werden, sollten nicht über das offene WLAN eines Hotels oder Einkaufszentrums wandern. Nutzen Sie in der Öffentlichkeit bevorzugt das 4G-Netz. Es ist deutlich sicherer als seine Vorgänger.
4. Updates einspielen
   Gehören Sie zu denen, die Updates nur dann einspielen, wenn sie neue Funktionen für Apps oder Smartphone bereitstellen? Wer an dieser Stelle eine Spur zu nachlässig ist, sieht sich unter Umständen mit schwerwiegenden Folgen konfrontiert. Sämtliche Updates dienen auch dazu, mögliche Angriffe abzuwehren und sind essenziell für die grundlegende Sicherheit der mobilen Kommunikation.
5. Nicht alle Apps sind vertrauenswürdig. 
   Auch dann nicht, wenn sie aus einem vertrauenswürdigen Store stammen. Alle Apps, die in den AppStore für iOS oder den Android-PlayStore aufgenommen werden, durchlaufen sicherheitstechnisch eine Prüfung, bevor sie Benutzern zugänglich gemacht werden. Trotzdem gelingt es etlichen Apps, die den Sicherheitskriterien nicht entsprechen oder Schadsoftware enthalten, diese Vorkehrungen zu umgehen. In den letzten Jahren wurden zahlreiche Fälle von in Apps versteckter Malware publik. Bleiben sie wachsam. Überprüfen Sie immer die Zahl der Downloads und lesen Sie die Kommentare anderer Nutzer, bevor Sie eine App herunterladen. Verzichten Sie zusätzlich vor allem darauf, Apps aus den App-Stores von Drittanbietern herunterzuladen und auf verdächtige Links zu „informativen“ Websites oder in Apps, die per SMS verbreitet werden, zu klicken.
6. Ihr Gegenüber ist nicht immer der, für den Sie ihn halten
   Jeden Tag gibt es zahlreiche Fälle von Online-Identitätsdiebstahl. Eine ungewöhnliche Nachricht von einem Ihrer Kontakte oder einem Vorgesetzten im Posteingang? Mit einem Link? Klicken Sie unter keinen Umständen auf einen Link! Oft handelt es sich um bösartige Phishing-Versuche. Und informieren Sie Ihren Kontakt auf einem anderen Weg darüber, dass sein Konto vermutlich gehackt wurde.
7. Vorbeugen ist besser als heilen
   Dieses Sprichwort hat auch innerhalb der Cybersicherheit seine Berechtigung. Versuchen Sie Hackern einen Schritt voraus zu sein, und schützen Sie Ihr Smartphone bestmöglich. Und nutzen Sie überall da, wo sie angeboten wird, die Zwei-Faktor-Authentifizierung, um Ihre Konten abzusichern.

Gezielte Phishing-Kampagnen oder böswillige Apps verwenden in Krisenzeiten unser angeborenes Bedürfnis nach Informationen zu suchen, gezielt gegen uns. Darüber hinaus macht es die Kommerzialisierung von Spyware-Kits, die „von der Stange“ zu haben sind, böswilligen Akteuren ziemlich einfach, maßgeschneiderte Kampagne im selben Tempo zu entwickeln wie die Corona-Krise an Dynamik zulegt.

Weitere Informationen zum Thema:

datensicherheit.de, 31.03.2020
Vermeidung von Enpässen im Netz – Appell zu digitaler Besonnenheit

datensicherheit.de, 26.03.2020
Corona: Verunsicherte Nutzer im Fokus von Cyber-Betrügern

datensicherheit.de, 24.03.2020
Webinare: Innovatives Lernen in Corona-Zeiten

datensicherheit.de, 23.03.2020
Home-Office: TeleTrusT veröffentlicht Liste kostenfreier IT-Sicherheitslösungen

datensicherheit.de, 20.03.2020
digitronic stellt Gratis-Lizenzen für die sichere Arbeit im Home-Office bereit

datensicherheit.de, 20.03.2020
COVID-19: Kriminelle Verkäufer gewähren Rabatte auf Malware

datensicherheit.de, 18.03.2020
SANS Institute: Kostenloses „Securely Working from Home“ Deployment Kit veröffentlicht

datensicherheit.de, 17.03.2020
COVID-19: Pandemie erzwingt Arbeit im Home-Office

datensicherheit.de, 12.02.2020
Corona-Virus: Gefährliche E-Mails virulent

[datensicherheit.de, 26.03.2020] Wie schon länger bekannt ist, nutzen Kriminelle die aktuelle Krise aus, um Angriffe auf Personen aber auch Unternehmen zu starten. Häufig gebrauchen sie Social-Engineering-Methoden, im Zuge derer sie sich etwa als Kollegen oder Vorgesetzte ausgeben, um ihre Opfer zur Herausgabe persönlicher oder geschäftskritischer Daten und teilweise gar Geldüberweisungen zu veranlassen.

Glaubhaft aussehende E-Mails

Im Zuge aktueller Eindämmungsmaßnahmen der Weltgesundheitsorganisation (WHO) nutzen Cyber-Kriminelle die Gelegenheit, um an wertvolle Daten heranzukommen. Wie Untersuchungen des E-Mail-Security- und Cyber-Resilience-Anbieters Mimecast ergeben haben, lassen Hacker Unternehmen genauso wie Privatnutzern glaubhaft aussehende Mails der WHO zukommen, in denen ein Link zu einem angeblichen Leitfaden für die Corona-Eindämmung enthalten ist. Absender, Sprache und Design der Mail sind bis ins Detail glaubhaft gestaltet, sodass es selbst Security-Profis schwerfallen dürfte, den Betrug auf den ersten Blick zu erkennen.

Geht der Empfänger auf die E-Mail ein und klickt auf den Link, wird er zu einer im gleichen Maße täuschend echt aussehenden Website der WHO weitergeleitet, auf der er aufgefordert wird, seine Zugangsdaten einzugeben bzw. zu bestätigen. Tut er dies, hat der Betrüger sein Ziel erreicht und ist an wertvolle Informationen gelangt, die er für weitere Aktionen wie beispielsweise Account-Übernahmen nutzen kann.

Ungewöhnlich für solche Phishing-Kampagnen ist, dass neben einer E-Mail-Adresse und einem Passwort zusätzlich nach einer Telefonnummer gefragt wird. Gibt der Empfänger seine Telefonnummer preis, hat er neben der Übernahme von Konten und weiteren Spam-Mails auch unerwünschte SMS und Scam-Anrufe zu erwarten.

Carl Wearn, Head of E-Crime bei Mimecast, hierzu:

„Jeder muss sich im Klaren darüber sein, dass Cyber-Kriminellen in der aktuellen Krisenzeit jedes Mittel recht und keine Methode zu schmutzig ist, um ihre Ziele zu erreichen. Hierbei bedienen sie sich der Verunsicherung und der Ängste der Menschen im gleichen Maße wie dem Durst nach Informationen zur Krise. Es ist deshalb für alle unerlässlich, bei der Informationssuche höchste Vorsicht und Besonnenheit walten zu lassen. Bitte suchen Sie nur auf offiziellen Nachrichtenportalen und Webseiten nach Informationen und gehen Sie nicht auf Mails ein, die Sie darum bitten, Ihre Zugangsdaten zu bestätigen. Sämtliche Gesundheitsorganisationen, seien sie global oder lokal, würden Ihnen wichtige Ratschläge und Infos zukommen lassen, ohne Sie nach persönlichen Daten zu fragen.“

Darüber hinaus sollte jeder User die gebotene Vorsicht an den Tag legen, wenn er Nachrichten von unbekannten Absendern erhält. Dazu gehört zum Beispiel, keine Anhänge oder Links zu öffnen, wenn nicht hundertprozentig sichergestellt ist, dass diese unbedenklich sind. Komprimierte Anhänge und Dokumente mit Makros sind hier genauso verdächtig wie weiterführende Links zu unbekannten Webseiten. Zusätzlichen Schutz vor Identitäts- und Datendiebstahl bieten Zwei-Faktor-Authentifizierungen.

Weitere Informationen zum Thema:

datensicherheit.de, 24.03.2020
Webinare: Innovatives Lernen in Corona-Zeiten

datensicherheit.de, 23.03.2020
Home-Office: TeleTrusT veröffentlicht Liste kostenfreier IT-Sicherheitslösungen

datensicherheit.de, 20.03.2020
digitronic stellt Gratis-Lizenzen für die sichere Arbeit im Home-Office bereit

datensicherheit.de, 20.03.2020
COVID-19: Kriminelle Verkäufer gewähren Rabatte auf Malware

datensicherheit.de, 18.03.2020
SANS Institute: Kostenloses „Securely Working from Home“ Deployment Kit veröffentlicht

datensicherheit.de, 17.03.2020
COVID-19: Pandemie erzwingt Arbeit im Home-Office

datensicherheit.de, 12.02.2020
Corona-Virus: Gefährliche E-Mails virulent

[datensicherheit.de, 30.01.2019] Rund um den „Ändere-dein-Passwort-Tag“ am 1. Februar und den Safer Internet Day am 5. Februar verzeichnet das Hasso-Plattner-Institut (HPI) besonders starkes Interesse an seinen kostenlosen Sicherheitskursen im Netz. Auf seiner IT-Lernplattform https://open.hpi.de haben sich seit 16. Januar rund 6.000 Personen grundlegendes Wissen zur Datensicherheit im Internet vermitteln lassen. Für den am 20. Februar startenden  kostenfreien Kurs „Digitale Identitäten – Wer bin ich im Netz?“ (https://open.hpi.de/courses/identities2019) haben sich bereits jetzt schon mehr als 3.000 Interessenten angemeldet.

„Die hohe Nachfrage in diesen Wochen beweist, dass sich Internetnutzer für die Sicherheit ihrer Daten zunehmend selbst in der Hauptverantwortung sehen“, sagt der Potsdamer Informatikwissenschaftler Prof. Christoph Meinel. Der Institutsdirektor leitet die kostenlosen Onlinekurse in deutscher Sprache. Deren Ziel: Die Bevölkerung zu einem besseren Schutz ihrer digitalen Identitäten und ihrer Daten im Internet bewegen.

Drei von vier Internetnutzern sehen Hauptverantwortung bei sich

Meinel verweist darauf, dass laut einer neusten Umfrage des Digitalverbands Bitkom 74 Prozent der Befragten sagen, sie seien selbst für den Schutz ihrer persönlichen Daten im Internet verantwortlich. Vor fünf Jahren hatten dies noch erst 62 Prozent so gesehen. Allerdings meine mehr als jeder Fünfte (22 Prozent), der Staat sei für sichere Daten im Internet verantwortlich. Drei Prozent, so das Ergebnis, sehen Internetanbieter oder Hard- und Softwarehersteller als zuständig an.

„Vor allem die jüngsten Cyberangriffe und Datendiebstähle, die außer Prominenten auch hunderte Millionen von Menschen betrafen, haben sprunghaft das Bewusstsein wachsen lassen, etwas für seine eigene Sicherheit im Internet tun zu müssen“, betont der HPI-Direktor.

Auf der Bildungsplattform openHPI des Instituts wird dem deshalb seit 16. Januar mit einer Serie von kostenlosen Sicherheitskursen Rechnung getragen. Der am 30. Januar beendete Onlinekurs „Datensicherheit im Netz – Einführung in die Informationssicherheit“ (https://open.hpi.de/courses/informationssicherheit2019) kann – wie alle anderen auf openHPI auch – nach seinem Ablauftermin weiterhin genutzt werden – allerdings im Selbststudium und ohne Prüfungen. Er führte vor allem in Verschlüsselungstechniken ein.

„Unsichere Passwörter größtes Einfallstor für Cyberkriminelle“

Das nächste, ab 20. Februar bereitstehende Gratis-Angebot widmet sich den digitalen Identitäten und wie man sie gegen Diebstahl verteidigt. „Jeder von uns hat durchschnittlich 25 Internetkonten, zum Beispiel für E-Mail-Dienste, soziale Netzwerke, Online-Shopping oder Lernplattformen“, berichtet Meinel. Jedes Konto im Netz repräsentiert nach seinen Worten eine eigene, individuelle digitale Identität. Sie umfasse jeweils ganz verschiedene persönliche Angaben wie E-Mail-Adresse und Passwort sowie oft auch Anschrift und Bankverbindung.

„Diese umfangreichen und vielfältigen persönlichen Informationen animieren Cyberkriminelle, digitale Identitäten zu stehlen und zu missbrauchen“, warnt der Potsdamer Informatikwissenschaftler. Deshalb will er den Kursteilnehmern beibringen, wie sie ihre digitale Identität effektiv schützen können. Meinel geht es darum, das Wissen der Teilnehmer über sichere Passwörter, über die Abwehr möglicher Angriffe auf diese und sichere Methoden zu ihrer Speicherung zu vermehren.

Unsichere Passwörter sind nach Einschätzung des HPI-Direktors „das größte Einfallstor für Cyberkriminelle“. Er will Internetnutzer mit seinem Kurs „aufrütteln“, damit sich diese bei der Wahl von Passwörtern nicht mehr länger auf simple Zahlenreihen wie 123456 verlassen. Nach Analyse von gehackten und 2018 im Netz veröffentlichten Passwörtern durch das HPI handelt es sich bei dieser Ziffernkette nach wie vor um das in Deutschland am häufigsten verwendete Log-in-Kennwort.

„Schwache Passwörter: Haustüren, in denen der Schlüssel steckt!“

„Ein derart schwaches Passwort gleicht einer Haustür, in die ich von außen meinen Schlüssel stecke. So etwas lädt geradezu zum Identitätsdiebstahl ein“, klagt Meinel. Bei Einbruchsversuchen bräuchten Cyberkriminelle dann oft nur den Bruchteil einer Sekunde, weil deren Software gleich als Erstes die am meisten verwendeten Passwörter ausprobiere. „Mehr als 19 Jahre dauert es hingegen, bis automatisiert arbeitende Cracking-Programme, die 100 Milliarden Versuche pro Sekunde schaffen, ein Passwort knacken, das zehn Stellen hat, Groß- und Kleinschreibung verwendet sowie Zahlen und Sonderzeichen“, fügt Meinel an.

Zwar gebe es keinen hundertprozentigen Schutz vor Identitätsdiebstahl, räumt der Internetsicherheits-Experte ein, „aber ich will in meinem Onlinekurs den Teilnehmern nahelegen, es den Kriminellen so schwer wie möglich zu machen, an ein Passwort zu gelangen“. In seinem Fachgebiet „Internet-Technologien und -Systeme“ erforscht Meinel systematisch das Verhalten bei der Wahl von Passwörtern in aller Welt.

HPI hat bereits acht Milliarden veröffentlichte Datensätze analysiert

Dazu haben die HPI-Wissenschaftler seit 2006 mittlerweile rund acht Milliarden in Internet-Datenbanken veröffentlichte Angaben ausgewertet. Sie stammen von Cyberkriminellen, die diese persönlichen Identitätsdaten gestohlen haben, sich damit brüsten und damit sogar weitere illegale Handlungen möglich machen. 810 solche „Leaks“ haben die Spezialisten des Potsdamer Instituts in eine eigene Datenbank, den HPI Identity Leak Checker, integriert.

Er hilft Internetnutzern bei der Prüfung, ob möglicherweise eigene Identitätsdaten im Netz kursieren und somit Missbrauch droht. Dazu braucht man auf https://sec.hpi.de/ilc/ lediglich seine E-Mail-Adresse einzugeben. Es erfolgt ein schneller Datenabgleich und man erfährt in einer Antwortmail, ob damit zusammenhängende persönliche Angaben wie etwa Telefonnummer, Geburtsdatum oder Adresse im Netz offengelegt wurden.

„Die von den Nutzern eingegebene E-Mail-Adresse verwendet das HPI lediglich, um sie mit unserer Datenbank abzugleichen und eine Antwort zu senden. Wir speichern sie sicherheitshalber in verschleierter Form. Eine Weitergabe an Dritte ist ausgeschlossen“, versichert Meinel.

Schon Ende März setzt der Institutsdirektor seine Serie an kostenlosen Onlinekursen für erhöhtes Sicherheitsbewusstsein fort. Am 27.3. startet er einen kostenlosen 14-tägigen Onlinekurs zur viel diskutierten Blockchain-Technologie und deren Sicherheit. Der Titel: „Blockchain – Sicherheit auch ohne Trust Center“. Anmelden kann man sich bereits unter https://open.hpi.de/courses/blockchain2019. IT-Grundwissen reicht aus, um von den kostenlosen Cybersecurity-Kursen auf der Lernplattform openHPI zu profitieren.

Weitere Infiormationen zum Thema:

datensicherheit.de, 22.03.2017
28 Jahre World Wide Web: HPI-Onlinekurs erklärt Risiken

[datensicherheit.de, 25.04.2018] Wird jemand nachweislich Opfer eines Identitätsdiebstahls, stecken nicht selten Gruppen der Organisierten Kriminalität (OK) dahinter. Diese operiert länderübergreifend und ist selten dingfest zu machen. Meistens lässt sich zudem nicht mehr eindeutig ermitteln, zu welchem Zeitpunkt genau die Daten kompromittiert wurden.

Opfer eines Identitätsdiebstahls sollten selbst aktiv werden!

Allen von einem Identitätsdiebstahl Betroffenen rät Cylance, selbst aktiv zu werden und nicht auf Dritte zu hoffen.
Dabei müssten sich die Opfer mit einem vermutlich bisher ungekannten Ausmaß an Bürokratie auseinandersetzen und sehr viel Zeit investieren, bis sie annähernd „back to normal“ sind. Eine Identität zu stehlen sei eben sehr viel einfacher als sie zurückzubekommen.
Jon Gross, „Director of Threat Intelligence“, und Sascha Dubbel, „Senior Sales Engineer“, beide Cylance, geben aktuelle Empfehlungen: Diese sollen dazu beitragen, potenziell Betroffene in Zukunft besser zu schützen, und denen, die bereits betroffen sind, einige Maßnahmen an die Hand zu geben, ihre Angelegenheiten nach einem Identitätsdiebstahl wieder in den Griff zu bekommen.

Brisanz wird oft unterschätzt

Eine der jüngst bekannt gewordenen Datenschutzverletzungen größeren Ausmaßes soll beim Finanzdienstleistungsunternehmen Equifax, der größten Wirtschaftsauskunftei der USA, aufgetreten sein. Betroffen gewesen seien über die Hälfte aller US-Amerikaner. Vor Kurzem habe eine Senatsanhörung sogar erbracht, dass diese Datenschutzverletzung noch wesentlich weitreichender sei als von Equifax im September 2017 eingeräumt.
Auch laut der Schutzgemeinschaft für allgemeine Kreditsicherung (Schufa) weise die polizeiliche Kriminalstatistik für 2015 in Deutschland rund 46.000 Fälle von Cyber-Kriminalität im engeren Sinne aus. Betrachtet man alle Fälle mit „Tatmittel Internet“, steige die Zahl sogar auf fast 250.000. Berücksichtigt seien in diesen Zahlen jedoch nur polizeilich registrierte Fälle.
Opfer von Cyber-Kriminalität erstatteten oft aber keine Anzeige, z.B. weil Reputationsverlust befürchtet oder der Schaden nicht bemerkt oder als zu gering erachtet werde. So habe eine Studie in Niedersachsen bereits 2013 errechnet, dass nur rund jeder zehnte Fall aktenkundig gemacht worden sei.
Nach einer repräsentativen Studie des Deutschen Instituts für Wirtschaftsforschung aus dem Jahr 2015 gingen die jährlichen Schäden durch Internetkriminalität in die Milliarden. In den vier besonders bedeutenden Kategorien Phishing, Identitätsbetrug, Waren- und Dienstleistungsbetrug sowie Angriffe mit Schadsoftware beliefen sie sich auf 3,4 Milliarden Euro.

12 Empfehlungen von Cylance:

1. Frieren Sie Ihre Guthaben ein!
   Selbst, wenn Sie nicht unmittelbar in der Lage sind, die geforderten Buchhaltungsauskünfte bereitzustellen, können Sie ihre Konten online immer sofort sperren.
   Angesichts millionenfacher Identitätsdiebstähle stellt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Informationen und Sicherheitstests zur Verfügung, mit denen besorgte Bürger überprüfen können, ob ihre E-Mail-Adresse tatsächlich betroffen ist. Um nicht von einem Rechtsanwalt oder einem Inkasso-Büro zu erfahren, dass man Opfer eines Identitätsdiebstahls geworden ist, kann man im Verdachtsfall selbst etwas tun. Sie können beispielsweise Internetregistraturen nach ihrem Namen durchsuchen, simple Google-Alerts setzen, um festzustellen wo und wann Ihr Name auftaucht oder auch eine umgekehrte Bildersuche in Google anstoßen. Wenn bei groß angelegten Identitätsdiebstählen Firmen oder Auskunfteien nicht sofort eine eigene Webseite bereitstellen, auf der Sie überprüfen können, ob Sie betroffen sind oder nicht, pflegt auch das Hasso-Plattner-Institut (HPI) eine übergreifende Datenbank.
2. Melden Sie den Fall bei den Strafverfolgungsbehörden und erstatten Sie Anzeige!
   Als nächstes sollten Sie auf jeden Fall bei der lokalen Polizeidienststelle Anzeige erstatten. Das müssen Sie persönlich tun sowie zusätzlich eine eidesstattliche Erklärung unterzeichnen, dass Ihre Angaben der Wahrheit entsprechen.
   Die polizeiliche Fall-ID ist die Voraussetzung, um weitere Informationen zur potenziellen Nutzung der betreffenden Identität zu bekommen. Aber auch, um bei den großen Auskunfteien wie beispielsweise Equifax oder der deutschen Schufa eine Betrugswarnung anbringen zu können.
   Erwarten Sie lieber nicht, dass groß angelegte Identitätsdiebstähle aufgeklärt werden. Das gelingt leider nur selten. Identitätsdiebstahl wird zudem nicht in allen Ländern als Verbrechen eingestuft, was die Aufklärungsquote nicht unbedingt nach oben treibt. Die Anzeige bei der Polizei und das entsprechende Aktenzeichen sind nötig, um den Schaden so weit wie möglich zu begrenzen und so viele Informationen wie möglich zu bekommen.
3. Setzen Sie eine Betrugswarnung!
   Mit dem Aktenzeichen der polizeilichen Strafanzeige sollten Sie dann eine Betrugswarnung bei den Kreditauskunfteien platzieren. Ihre Hausbank hilft Ihnen gegebenenfalls weiter, mit welcher Auskunftei Sie zusammenarbeiten müssen.
   Kreditauskunfteien sind verpflichtet, die jeweils anderen Auskunfteien in Kenntnis zu setzen, sobald sie von einer Betrugswarnung erfahren.
   90-Tage-Alarme sind in aller Regel kostenlos und man kann sie verlängern. Mit einem Aktenzeichen und zusätzlichen Informationen kann man den Zeitraum sogar erheblich ausdehnen.
4. Wie ist der aktuelle Stand bei Kreditanfragen?
   Solche Auskünfte sind entweder kostenfrei zu bekommen (wie in den USA ein Mal im Jahr), oder man erhält nach Zahlung einer vergleichsweise geringen Gebühr von der Kreditauskunftei eine Kopie des aktuellen Kreditstatus (Selbstauskunft). Den können allerdings auch die Identitätsdiebe selbst anfordern, denn sie sind ja im Besitz aller dazu notwendigen Informationen.
   Ein solcher Bericht listet sämtliche der neu eingegangenen Kreditanfragen auf. Man sollte sich die Mühe machen, jeden Anbieter persönlich zu kontaktieren. Zusätzlich können Sie anhand dieser Auskunft feststellen, ob in Ihrem Namen vielleicht noch weitere Konten eröffnet wurden. Leider kommt man nicht umhin, alle in Frage kommenden Kreditauskunfteien anzusprechen. Die Erfahrung lehrt, dass unterschiedliche Auskunfteien unterschiedliche Verläufe zeigen. Es kommt sogar vor, dass sich die Informationen widersprechen, oder ein Bericht verzeichnet eine zusätzliche Kontoeröffnung, ein anderer aber nicht.
   Das Nachvollziehen der Verläufe und Richtigstellungen im Detail kostet Zeit und Nerven – und nicht immer sind Kreditauskunfteien so entgegenkommend, wie sie es sein sollten, vor allem angesichts der Dimensionen, die der Diebstahl von Identitäten inzwischen angenommen hat.
5. Die Post
   Wenn Sie vermuten, Opfer eines Identitätsdiebstahls geworden zu sein, sollten Sie sich unbedingt auch an Ihr örtliches Postamt wenden und sicherstellen, dass Ihre Post nicht ohne zusätzliche Verifizierung oder von Ihnen bestätigte Informationen angenommen, gelagert und befördert wird.
6. Die Telefonnummer
   Es ist wenig überraschend, dass Cyber-Kriminelle Telefonnummern nutzen, um sich zu legitimieren. Etliche Online-Anbieter und Institutionen verwenden Telefonnummern als Mittel zur Verifikation.
   Dabei ist es wohl eher selten, dass diese Unternehmen prüfen, ob es sich bei der Person, die eine bestimmte Telefonnummer verwendet, tatsächlich um die dazu legitimierte handelt. Bei Identitätsdiebstählen wird gerne die Handy-Nummer verwendet. Sie ist inzwischen fast schon zu einem Synonym für die persönliche Identität geworden.
   Das Problem ist, dass Telefonnummern öffentlich zugänglich sind. Jede Art von öffentlichen Aufzeichnungen und Websites wird regelmäßig durchkämmt und die Ergebnisse weiter verkauft. Telefonnummern sollten deshalb unter keinen Umständen zur Authentifizierung und Verifizierung verwendet werden!
   Mit dem oder den Mobilfunkanbietern ist es noch komplizierter, und Kriminelle haben – technisch zwar nicht ganz unkompliziert – weitreichende Möglichkeiten, die verschiedenen Kommunikationskanäle zu infiltrieren, Nachrichten abzufangen oder auch Nummern auf andere Anbieter und Carrier zu portieren (mithilfe der PIN).
   Es kann sogar passieren, dass Kriminelle, neue, mithilfe der Identität des Opfers erstellte Konten, dann ironischerweise selbst mit einer PIN schützen. Das Opfer kann so gut wie nichts dagegen tun, schon gar nicht, wenn der Mobilfunkbetreiber sich nicht kooperativ zeigt.
   Dann hilft nur, sich mit übergeordneten Institutionen in Verbindung zu setzen, die ihrerseits eine Anfrage an den oder die Provider stellen. Anhand der Daten können Sie dann etwa darum bitten, dass keine neuen Konten in Ihrem Namen eröffnet werden, ohne dass die Anfrage zusätzlich geprüft wurde.
7. Online-Identität und kritische Konten sichern!
   Bei einem Identitätsdiebstahl ist potenziell die komplette Online-Identität betroffen. Im schlimmsten Fall erwischt es kritische Konten wie etwa Bank- und Finanzkonten. Auch wenn es wie eine Binsenweisheit klingt: Aktualisieren Sie alle Passwörter in allen Bereichen und verwenden Sie am besten einen Passwort-Manager!
   Falls vorhanden, stellen Sie sicher, dass Sie die Zwei-Faktor-Authentifizierung für jedes Konto aktivieren, das sie nutzen. Vorzugsweise mit einer neuen Telefonnummer, die durch einen Authentifizierungs-PIN geschützt ist.
   Ihr E-Mail-Konto dient zur Verifizierung und Authentifizierung gegenüber fast alle anderen Online-Identitäten. Verwenden Sie Zwei-Faktor-Authentifizierung oder andere Möglichkeiten der erweiterten Verifizierung. Verwenden Sie das betreffende E-Mail-Konto niemals auf öffentlichen Systemen. Konten von Versorgungsunternehmen sind ebenfalls kritische Accounts, und leider hapert es in der Branche noch an umfassenden IT-Sicherheitsmaßnahmen. Sperren Sie solche Konten, mindestens die unten aufgezählten:
   • Finanzkonten (Bank-, Investitions-, Hypotheken- und Rentenkonten)
   • Konten von Versorgungsunternehmen und Service-Providern (Strom, Wasser,Gas, Kabel, Telefon und was immer Sie sonst noch monatlich abrechnen)
   • E-Mail-Accounts
   • Online-Dienste (Netflix, YouTube, Amazon, Spotify, etc.)
   • Social-Media-Konten (facebook, XING, LinkedIn, Instagram und sämtliche andere Konten, die geeignet sind weitere Informationen einzusammeln)
8. Steuerrelevant
   Für Finanzämter hat das Thema Identitätsdiebstahl inzwischen höchste Priorität. Gestohlene Sozialversicherungsnummern dienen beispielsweise dazu, gefälschte Steuererklärungen einzureichen und betrügerische Rückerstattungen zu erwirken.
9. Kontonummern ändern!
   Im Falle eines Identitätsdiebstahls oder eines Verdachts kommen Sie nicht umhin, alle Banken und Finanzinstitute persönlich und unabhängig voneinander zu kontaktieren.
   Sie müssen die Kontonummern ändern und zwar auch die bei allen automatisierten Zahlungssystemen, etwa bei Versorgungsunternehmen, Kreditkartenanbietern und anderen Diensten. Unter Umständen ist es sinnvoll, Kredit- und Debit-Kartennummern zu ändern.
10. Geburtsurkunde
    Wenn jemand ihre Daten gestohlen hat, um sich eine Kopie der Geburtsurkunde zu beschaffen (was vergleichsweise einfach ist), wird in der Folge kaum noch die Echtheit der Angaben überprüft oder eine Authentifizierung durchgeführt – praktisch für Kriminelle.
11. Kostenträger benachrichtigen!
    Ein Identitätsdiebstahl verursacht neben anderen schwerwiegenden Folgen nicht zuletzt finanzielle Schäden. Ist es den Tätern vielleicht sogar gelungen, etwas derart Wertvolles wie einen Ausweis in die Finger zu bekommen, kann das Dokument multipel genutzt werden:
    Für Bestellungen im Internet, die man niemals getätigt hat, für Verträge, die man niemals abgeschlossen hat, etwa für Wohnungen und Handys, und nicht zuletzt um Straftaten zu begehen. Man sollte folglich wenigstens die Kostenträger informieren, mit denen man es regelmäßig zu tun hat. Dazu gehören insbesondere Versicherungen wie Kranken- und KFZ-Versicherungen.
    Speziell in Deutschland ist für den Fernabsatz oder das Abschließen von Finanzverträgen allerdings das PostIdent-Verfahren üblich, eine Ausweiskopie reicht nicht aus.
12. Online-Identität und personenbezogene Daten
    Die meisten Menschen machen sich im Alltag weniger Sorgen um ein einzelnes Dokument. Immer mehr Informationen werden aber in Online-Repositorien vorgehalten und entsprechend häufig kompromittiert. Das kann zu einem sehr viel größeren Problem werden als der Verlust eines einzelnen Dokuments. In jedem Fall handelt es sich um personenbezogene Daten, also die Art von Informationen über die man direkt einen Personenbezug herstellen kann.
    Mit der am 25. Mai 2018 endgültig wirksam werdenden EU-Datenschutz-Grundverordnung (EU-DSGVO) gibt es zudem eine Reihe von neuen Anforderungen – unter anderem die Meldepflicht bei einer Datenschutzverletzung.

Strafrechtliche wie zivilrechtliche Maßnahmen!

Es gebe viele Arten des Identitätsdiebstahls beziehungsweise des Identitätsmissbrauchs. Dabei könnten Vermögensschäden entstehen, aber auch Rufschäden und Cyber-Mobbing seien denkbar.
Ein großes Problem sei auch die Tatsache, dass niemand wisse, ob und wann die gestohlenen Daten tatsächlich benutzt werden. Liegen Anhaltspunkte vor, dass ein Angriff stattgefunden hat, sollte man schnell handeln und auch rechtliche Schritte in Betracht ziehen!
Grundsätzlich seien sowohl strafrechtliche wie zivilrechtliche Maßnahmen möglich, allerdings seien beide in der Praxis naturgemäß schwierig durchzusetzen. Das sollte einen aber trotzdem nicht abschrecken, bestehende Möglichkeiten auszuschöpfen!

Weitere Informationen zum Thema:

datensicherheit.de, 15.09.2011
BullGuard warnt vor ignoriertem Risiko des Online-Identitätsdiebstahls

datensicherheit.de, 26.07.2011
Warnung vor Identitätsdiebstahl: Symantec Intelligence Report Juli 2011 erschienen

[datensicherheit.de, 20.09.2017] Gemalto gibt heute die neusten Erkenntnisse des Breach Level Index bekannt. Insgesamt wurden im ersten Halbjahr 2017 918 Datenschutzverletzungen und entwendete 1,9 Milliarden Datensätzen weltweit registriert. Im Vergleich zur zweiten Jahreshälfte 2016 nahm die Anzahl verlorener, gestohlener oder gefährdeter Informationen um 164 Prozent zu. Ein großer Anteil davon entstand durch die 22 größten Datenschutzverletzungen, die jeweils mehr als eine Million gefährdete Datensätze umfassen. Bei mehr als 500 der 918 Datenschutzverletzungen (59 Prozent) sind die Anzahl der gefährdeten Datensätze unbekannt oder ungeklärt.

Der Breach Level Index ist eine weltweite Datenbank, die Datenschutzverletzungen verfolgt und den Schweregrad basierend auf mehreren Angaben berechnet. Hierzu werden unter anderem die Anzahl der gefährdeten Datensätze, die Art der Information, die Quelle der Datenschutzverletzung, der Einsatzzweck und der Einsatz von Verschlüsselung als Bewertungsfaktoren herangezogen. Indem jedem Incident ein Schweregrad zugeteilt wird, erstellt der Breach Level Index eine vergleichende Liste von Datenschutzverletzungen und Sicherheitsvorfällen mit Datenabluss, die nicht so schwerwiegend waren gegenüber denen die große Auswirkungen hatten.

Laut des Breach Level Index wurden, seitdem der Index im Jahr 2013 mit dem Benchmarking öffentlich bekannter Datenschutzverletzungen begonnen wurde, mehr als 9 Milliarden Datensätze gefährdet. Während der ersten Jahreshälfte 2017 wurden täglich mehr als zehn Millionen Datensätze gefährdet oder preisgegeben, das sind 122 Datensätze pro Sekunde, darunter auch medizinische Daten, Kreditkartendaten und/oder Finanzdaten sowie personenbezogene Informationen. Dies ist besonders besorgniserregend, da weniger als 1 Prozent der gestohlenen oder gefährdeten Daten verschlüsselt waren, um die Informationen nutzlos zu machen; das stellt einen Rückgang von vier Prozent im Vergleich zur zweiten Jahreshälfte 2016 dar.

Bild: Gemalto

Jason Hart, Vice President und Chief Technology Officer for Data Protection bei Gemalto

„Die IT-Beratung CGI und die Fachzeitschrift Oxford Economics zeigten in einer Studie, dass der Aktienkurs von zwei Drittel der Firmen, die eine Datenschutzverletzung erlitten, gesunken ist. Die Anteilsinhaber der 65 ausgewerteten Unternehmen verloren durch die Datenschutzverletzung 52,40 Milliarden US-Dollar“, sagt Jason Hart, Vice President und Chief Technology Officer for Data Protection bei Gemalto. „Wir können davon ausgehen, dass diese Zahl deutlich ansteigt, besonders, da Regierungsbestimmungen in den USA, Europa und anderen Gebieten Gesetze erlassen, um die Privatsphäre und die Daten ihrer Staatsbürger zu schützen, indem dem unsachgemäßen Schutz von Daten ein finanzieller Wert beigemessen wird. Sicherheit ist keine reaktive Maßnahme mehr, sondern eine Erwartung der Unternehmen und Verbraucher.“

Primäre Quellen für Datenschutzverletzungen

Außenstehende mit böswilligen Absichten machten den größten prozentualen Anteil der Datenschutzverletzungen aus (74 Prozent), ein Anstieg von 23 Prozent. Diese Quelle war jedoch nur für 13 Prozent aller gestohlenen, gefährdeten oder verlorenen Datensätze verantwortlich. Während Außentäter für 8 Prozent aller Datenschutzverletzungen verantwortlich sind, geht eine großere Bedrohung durch Fahrlässigleit und Innentäter aus. Insgesamt gibt es 20 Millionen gefährdete Datensätze; dies stellt einen Anstieg von 4.114 Prozent im Vergleich zu den vorherigen sechs Monaten (500.000) dar.

Hauptarten der Datenschutzverletzungen

Während der ersten sechs Monate des Jahres 2017 war der Identitätsdiebstahl die häufigste Art der Datenschutzverletzung nach Vorfall: 74 Prozent aller Datenschutzverletzungen sind Identitätsdiebstähle, während es im vorherigen Halbjahr nur 49 Prozent waren. Eine Steigerung um 255 Prozent. Die bedeutendste Umschichtung fand im Bereich der Störangriffe statt, welche 81 Prozent aller durch Datenschutzverletzungen verlorene, gestohlene oder gefährdete Daten ausmachten. Die Anzahl der Störungen lag allerdings nur knapp über 1 Prozent der Gesamtanzahl aller Datenschutzverletzungen. Die Anzahl gefährdeter Datensätze als Folge von unbefugtem Zugriff ging um 46 Prozent zurück, nachdem im BLI-Bericht für das ganze Jahr 2016 eine deutliche Spitze zu erkennen war.

Die größten von Datenschutzverletzungen betroffene Branchen

Die meisten Branchen im Breach Level Index verzeichnen einen Anstieg von mehr als 100 Prozent bei der Anzahl gefährdeter, gestohlener oder verlorener Datensätze. Im Bereich Ausbildung und Erziehung verzeichnete man den größten Zuwachs an Datenschutzverletzungen (103 Prozent) und mehr als 4.000 Prozent bei der Anzahl der Datensätze. Dies ist die Folge eines böswilligen Angriffs eines Insiders, der Millionen von Datensätzen aus einer der größten Schulungsunternehmen für umfassende private Bildung in China gefährdet hat. Im Gesundheitssektor gibt es eine ähnliche Anzahl an Datenschutzverletzungen wie im letzten Halbjahr 2016, aber die Anzahl der gestohlenen, verlorenen oder gefährdeten Datensätze stieg um 423 Prozent. Der britische National Health Service verzeichnete mit mehr als 26 Millionen gefährdeten Datensätzen eine der fünf größten Datenschutzverletzungen des ersten Halbjahres. Die Sektoren Finanzdienstleistungen, Regierung und Unterhaltung verzeichneten ebenfalls einen deutlichen Anstieg der Anzahl von Datenschutzverletzungen: die Unterhaltungsbranche verzeichnete einen Zuwachs von 220 Prozent im ersten Halbjahr 2017.

Geografische Verteilung der Datenschutzverletzungen

Die meisten aller Datenschutzverletzungen und Gefährdungen von Daten finden noch immer in Nordamerika statt (jeweils über 86 Prozent). Die Anzahl der Datenschutzverletzungen in Nordamerika stieg um 23 Prozent und die Anzahl der gefährdeten Informationen schoss um 201 Prozent in die Höhe. Nordamerika hatte seither mit der höchsten Anzahl öffentlich bekannter Sicherheitsvorfälle und damit verbundenen Zahlen zu kämpfen; dies wird sich vermutlich 2018 ändern, wenn weltweite datenschutzrechtliche Bestimmungen wie die Datenschutz-Grundverordnung (DSGVO) und der australische Privacy Amendment (Notifiable Data Breaches) Act in Kraft treten. Europa meldet derzeit nur 49 Datenschutzverletzungen (5 Prozent der Gesamtanzahl), was einen Rückgang um 35 Prozent im Vergleich zu den vorherigen sechs Monaten darstellt.

[datensicherheit.de, 07.02.2017] Bei dem am 7. Februar 2017 stattfindenden „Safer Internet Day“ steht das Leitthema „(Cyber)Mobbing“ im Fokus. Vor diesem Hintergrund weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem Programm Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK) auf die Risiken und Folgen des Identitätsdiebstahls hin.

Identitätsdiebstahl: Vermögensschaden oder Rufschädigung

Gefälschte Profile in Sozialen Medien können dazu genutzt werden, Personen bloßzustellen, zu beleidigen oder zu diskreditieren. Von Identitätsdiebstahl oder -missbrauch spricht man daher, wenn personenbezogene Daten für betrügerische Zwecke genutzt werden.
Um einer anderen Person online die Identität zu stehlen, bedürfe es oftmals nur weniger Informationen wie Vor- und Nachname, Geburtsdatum und Adresse, E-Mail-Adresse oder einfach nur eines Fotos der Person. Beim sogenannten Phishing zum Beispiel gelangten die Täter an die Daten ihrer Opfer über gefälschte E-Mails. Häufig verfolgten Cyber-Kriminelle mit Identitätsdiebstahl das Ziel, sich auf Kosten der Opfer zu bereichern, sei es durch Überweisungen oder Abbuchungen von Konten oder durch Internetkäufe im Namen ihrer Opfer.
Personenbezogene Daten könnten aber auch missbraucht werden, um Cyber-Mobbing zu betreiben. Dafür legten die Täter beispielsweise Profile im Namen anderer in Sozialen Medien an und verbreiteten darüber kompromittierende Nachrichten und Bilder. Gleichzeitig seien Soziale Medien eine reiche Quelle für persönliche Daten, die für den Identitätsmissbrauch genutzt werden könnten, da viele Menschen dort bewusst oder unbewusst sensible Details über sich preisgäben.

BSI empfiehlt Identitätsdiebstahl zu erschweren

„Eine digitale Identität hat heutzutage fast jeder Internetnutzer, doch die weitreichenden Folgen eines Identitätsdiebstahls sind nicht allen bewusst. Als nationale Cyber-Sicherheitsbehörde unterstützen wir daher den ,Safer Internet Day’“, erläutert BSI-Präsident Arne Schönbohm. Es sei ihnen ein wichtiges Anliegen, Bürgern Hinweise zum Schutz ihrer digitalen Identität zu geben, damit sie nicht Opfer von Identitätsdiebstahl werden.
Zu den wichtigsten Tipps gehört laut BSI, in Sozialen Netzwerken oder bei der Anmeldung zu E-Mail-Diensten oder Online-Shops nur so viele Daten anzugeben, wie für die Anmeldung zwingend notwendig sind. Ein guter Anhaltspunkt vor der Preisgabe von Informationen sei die Frage, welche persönlichen Informationen man einer fremden Person in einem ersten Gespräch anvertrauen würde. Dementsprechend sollten in Sozialen Netzwerken die Privatsphäre-Einstellungen so vorgenommen werden, dass nur Freunde beziehungsweise direkte Kontakte die Inhalte sehen können. Wie bei Web-Diensten oder der Anmeldung an Mobilgeräte gelte auch hier: Für jedes Profil im Internet sollte ein eigenes, sicheres Passwort verwendet werden, um Kriminellen im Falle eines Datendiebstahls nicht den Zugang zu weiteren Diensten und Profilen zu ermöglichen. Bei der Eingabe von PINs und Passwörtern gelte, ebenso wie beim elektronischen Bezahlen oder dem Abheben am Geldautomaten, darauf zu achten, dass niemand den Vorgang beobachtet und die Information mitlesen kann.

Opfer nicht alleine lassen!

„Auch wenn Cyber-Mobbing kein eigener Straftatbestand ist, vereinen sich darin andere Straftaten, die für die Täter rechtliche Konsequenzen haben“, betont Gerhard Klotter, Vorsitzender des ProPK. Zu Cyber-Mobbing zählten unter anderem Beleidigung, Bedrohung oder Nötigung mittels Internet.
Wer beim Cyber-Mobbing auch noch die Identität einer anderen Person benutzt, mache sich zusätzlich strafbar. Die Polizei verweise darauf, dass Opfer mit dem Cyber-Mobbing auf keinen Fall allein bleiben sollten, sondern sich anderen oder der Polizei anvertrauen sollten.

Weitere Informationen zum Thema:

datensicherheit.de, 07.02.2017
Datenschutz und IT-Sicherheit auch immer eine Frage eigenen Verhaltens

Bundesamt für Sicherheit in der Informationstechnik
Identitätsdiebstahl

Bundesamt für Sicherheit in der Informationstechnik
Schutzmaßnahmen / Unsere Tipps für den Schutz Ihrer digitalen Identiät

Bundesamt für Sicherheit in der Informationstechnik
Identitätsdiebstahl – Hilfe für Betroffene

[datensicherheit.de, 21.01.2014] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat angesichts eines Falles von großflächigem Identitätsdiebstahl eine Webseite eingerichtet, auf der Bürgerinnen und Bürger überprüfen können, ob sie von diesem Identitätsdiebstahl betroffen sind. Im Rahmen der Analyse von Botnetzen durch Forschungseinrichtungen und Strafverfolgungsbehörden wurden rund 16 Millionen kompromittierte Benutzerkonten entdeckt. Diese bestehen in der Regel aus einem Benutzernamen in Form einer E-Mail-Adresse und einem Passwort. Viele Internetnutzer verwenden diese Login-Daten nicht nur für das eigene Mail-Account, sondern auch für Benutzerkonten bei Internetdiensten, Online-Shops oder Sozialen Netzwerken. Die E-Mail-Adressen wurden dem BSI übergeben, damit Betroffene informiert werden und erforderliche Schutzmaßnahmen treffen können.

Auf der Webseite https://www.sicherheitstest.bsi.de, die das BSI mit Unterstützung der Deutschen Telekom eingerichtet hat, können Internetnutzer ihre E-Mail-Adresse eingeben, um zu überprüfen, ob sie von dem Identitätsdiebstahl betroffen sind. Die eingegebene Adresse wird dann in einem technischen Verfahren vom BSI mit den Daten aus den Botnetzen abgeglichen. Ist die Adresse und damit auch die Digitale Identität des Nutzers betroffen, so erhält dieser eine entsprechende Information per E-Mail an die angegebene Adresse. Diese Antwort-Mail enthält auch Empfehlungen zu erforderlichen Schutzmaßnahmen. Ist die eingegebene E-Mail-Adresse nicht betroffen, so erhält der Nutzer keine Benachrichtigung.

Betroffene sollten Rechner säubern und Passwörter ändern

Betroffene Internetnutzer sollten in jedem Falle zwei Maßnahmen ergreifen:

1. Der eigene Rechner ebenso wie andere genutzte Rechner sollten auf Befall mit Schadsoftware überprüft werden. In den Empfehlungen des BSI zur sicheren Konfiguration von Windows-PCs ist eine Auswahl an geeigneten Virenschutzprogrammen aufgeführt, die hierfür genutzt werden können.
2. Anwender sollten alle Passwörter ändern, die sie zur Anmeldung bei Sozialen Netzwerken, Online-Shops, E-Mail-Accounts und anderen Online-Diensten nutzen. Es sollten auch diejenigen Passwörter geändert werden, die nicht zusammen mit der betroffenen E-Mail-Adresse als Login genutzt werden. Dies ist deshalb empfehlenswert, weil im Falle einer Betroffenheit die Möglichkeit besteht, dass ein benutzter Rechner mit einer Schadsoftware infiziert ist. Diese kann neben den in den Botnetzen aufgetauchten Benutzerkennungen auch andere Zugangsdaten, Passwörter oder sonstige Informationen des Nutzers ausgespäht haben. Hinweise zur Nutzung sicherer Passwörter erhalten Anwender unter https://www.bsi-fuer-buerger.de/Passwoerter

Identitätsdiebstahl gehört zu den Top-Gefährdungen im Internet

Identitätsdiebstahl ist eines der größten Risiken bei der Internetnutzung. Online-Kriminelle stehlen die digitalen Identitäten von Internetnutzern, um in deren Namen aufzutreten, E-Mails zu versenden, auf fremde Kosten in einem Online-Shop einzukaufen oder sich auf andere Weise zu bereichern oder den Betroffenen zu schaden. Personenbezogene Anwendungen wie E-Mail- oder Messenger-Dienste, Online-Shops oder Soziale Netzwerke bieten personalisierte Services, für die man sich anmelden muss, um seine Daten zu erhalten oder die Dienstleistung in Anspruch nehmen zu können. Zur Authentisierung wird in den meisten Fällen immer noch die Kombination aus Benutzername und Passwort genutzt. Geraten diese Authentisierungsmerkmale in die falschen Hände, können sie für Identitätsmissbrauch verwendet werden.
Meist geschieht dies durch eine Schadsoftware-Infektion des genutzten Internet-Rechners. Die Schadprogramme werden unbemerkt auf den Rechnern der Anwender platziert, um beispielsweise Tastatureingaben und Anmeldevorgänge zu protokollieren oder Transaktionen direkt zu manipulieren. Die protokollierten Daten werden dann vom Nutzer unbemerkt an speziell vom Angreifer dafür präparierte Rechner im Internet („Dropzones“) gesendet, von wo sie von den Tätern heruntergeladen und missbraucht werden können.

Anmerkung: Zeitweilig war das Internetangebot des BSI schwer oder überhaupt nicht erreichbar!

[datensicherheit.de, 19.09.2013] ENISA präsentierte heute eine Liste der Top-Cybergefahren, als Vorgeschmack auf den Zwischenbericht „Bedrohungslandschaft 2013“. Die Studie analysiert 50 Berichte und identifiziert einen Zuwachs an Bedrohungen für: IT-Infrastrukturen durch gezielte Angriffe, mobile Geräte und Social Media durch Identitätsdiebstähle durch Cyberkriminelle mit Hilfe von Cloud-Services.

Zu den in der Studie identifizierten entscheidenden Trends zählen:

• Cyberkriminelle verwenden zunehmend fortgeschrittene Verfahren, um nicht nachvollziehbare und schwer rückgängig zu machende Angriffstechniken (Vektoren) umzusetzen. Anonymisierungstechnologien und Peer-to-Peer-Systeme (sogenannte verteilte Technologien) spielen hierbei eine wichtige Rolle. Es besteht kein Zweifel, dass mobile Technologien immer mehr von Cyberkriminellen genutzt werden. Gefahren aller Art, welche bisher im Zusammenhang mit traditionellen IT-Bereichen bekannt waren, werden in Zukunft auch mobile Geräte und verschiedene, auf den Plattformen angebotene Leistungen betreffen.
• Die weite Verbreitung von mobilen Geräten führt zu einer Zunahme von Missbrauch, asierend auf Knowledge/Attack-Methoden, welche sich gegen Social Media richten.
• Die Verfügbarkeit von Malware sowie Werkzeugen und Dienstleistungen für Cyberhacking, in Kombination mit digitalen Währungen (z.B. Bitcoins) und anonymen Zahlungsmethoden, bieten neue Möglichkeiten für Cyberbetrug und erleichtern somit kriminelle Aktivitäten maßgeblich.
• Es besteht die reelle Gefahr, dass erfolgreich durchgeführte Angriffe, welche verschiedene Bedrohungsarten miteinander verbinden, schwerwiegende Auswirkungen haben.
• Wie von ENISA in ihrem Bericht über ernste Cybergefahren (20.7.2013) ausgeführt, stellen Cyberattacken den sechstgrößten Grund für Ausfälle von Telekommunikationsstrukturen dar, eine Tatsache, die eine beträchtliche Anzahl von Benutzern betrifft. Wenn man all diese Vorfälle, sowie die Denial-of-Service-Entwicklungen in Betracht zieht, können wir im Jahr 2013 einen signifikanten Anstieg von IT-Infrastrukturbedrohungen feststellen.

Die Studie identifiziert folgende Hauptbedrohungen, welche seit 2012 große Auswirkungen haben:

Drive-by-exploits: Browserbasierende Angriffe stellen nach wie vor die meist gemeldete Bedrohung dar, Java bleibt für diese Art von Bedrohung die am häufigsten ausgenutzte Software.

Code Injektion: Angriffe gegen Content-Management-Systeme (CMS) sind besonders häufig. Aufgrund ihrer weiten Verbreitung stellen beliebte CMS eine nicht zu unterschätzende Angriffsfläche für Cyberkriminelle dar. Netze von Cloud-Service-Anbietern werden zunehmend für automatisierte Angriffe genutzt.

Botnets, Denial-of-Service, Rogueware/Scareware, gezielte Attacken, Identitätsdiebstahl und Search-Engine-Poisoning stellen weitere, verbreitete Bedrohungen dar.

Der vollständige ENISA „Bedrohungslandschaftsreport 2013“ wird Ende des Jahres veröffentlicht.

Der geschäftsführende Direktor der ENISA, Professor Udo Helmbrecht  kommentierte: „Dieser kurze Zwischenbericht informiert Sicherheitsakteure so früh wie möglich über Cybergefahrenentwicklungen, damit sie entsprechende Gegenmaßnahmen ergreifen können.“

Weitere Informationen zum Thema:

ENISA, 19.09.2013
ENISA-Bedrohungslandschaft-Halbjahresreport 2013