Vorlage des Jahresberichts der eco-Beschwerdestelle am 9. April 2024 für das Jahr 2023

[datensicherheit.de, 10.04.2024] Laut einer Meldung des eco Verbands der Internetwirtschaft e.V. hat die eco-Beschwerdestelle am 9. April 2024 ihren Bericht für das Jahr 2023 vorgestellt. Mit 17.493 berechtigten Fällen sei auch im vergangenen Jahr ein neuer Höchststand gemeldeter Rechtsverstöße im Internet zu verzeichnen. Doch die Erfolgsquote von 98,35 Prozent bei webbasierten Inhalten weltweit durch Entfernung der Inhalte oder Legalisierung, wie etwa durch Altersverifikation, beweist laut eco, „dass trotz der Hindernisse durch Verschleierungstechniken oder IP-Blockaden ein effektiver Kampf gegen illegale Inhalte absolut möglich ist“. 2023 habe sich erneut gezeigt, dass es wichtig sei, dass illegale Inhalte bei der eco-Beschwerdestelle auch anonym gemeldet werden könnten: „Insgesamt erhielt die eco-Beschwerdestelle im vergangenen Jahr 65.998 Beschwerden wegen potenziell strafbarer oder jugendmedien-schutzrechtlich relevanter Internetinhalte.“ Knapp zwei Drittel (63,26%) der Beschwerdeführer hätten diese Hinweise anonym eingereicht.

Abbildung: eco e.V.

Jahresbericht 2023 der eco-Beschwerdestelle am 9. April 2024 vorgestellt

Leiterin der eco-Beschwerdestelle erschüttert über Zunahme sexueller Gewalt und Grenzverletzungen gegen Minderjährige

„Hinweise zu sexueller Gewalt und sexuellen Grenzverletzungen gegen Kinder und Jugendliche, insbesondere Inhalte die als Kinderpornografie im Sinne des §184b StGB zu qualifizieren waren, machten auch 2023 den größten Anteil der erhaltenen Beschwerden aus. Insgesamt 60.151 Meldungen betrafen diesen Themenkomplex. Mit 16.573 Fällen machten Darstellungen des sexuellen Missbrauchs und der sexuellen Ausbeutung von Kindern, die als Kinderpornografie im Sinne des §184b StGB zu qualifizieren waren, auch 2023 den größten Teil der berechtigten Beschwerden aus.“

Alexandra Koch-Skiba, Leiterin der eco-Beschwerdestelle kommentiert: „Die Zunahme von Beschwerden, insbesondere im Bereich der sexuellen Gewalt und Grenzverletzungen gegen Minderjährige ist erschütternd, doch sie verdeutlicht auch, dass unsere Gesellschaft wachsam ist und sich klar gegen illegale Inhalte positioniert.“

Kernbotschaft der eco-Beschwerdestelle: Jeder kann illegale Internet-Inhalte melden

Die Kernbotschaft der eco-Beschwerdestelle sei bei den Menschen angekommen: „Jede und jeder kann illegale Internet-Inhalte melden und damit aktiv zu ihrer Löschung und Strafverfolgung beitragen. Unsere starke Erfolgsquote von 98,35 Prozent bei webbasierten Inhalten weltweit durch Entfernung der Inhalte oder Legalisierung, wie etwa durch Altersverifikation, belegt zudem, dass trotz der Hindernisse durch Verschleierungstechniken oder IP-Blockaden ein effektiver Kampf gegen illegale Inhalte absolut möglich ist.“

Seit über 25 Jahren engagiere sich eco mit intrinsischer Motivation deshalb dafür, Rechtswidriges zu löschen und Straftaten anzuzeigen. Nicht jeder geschmacklose Inhalt sei automatisch verboten – eine neutrale und gründliche juristische Prüfung von Experten bleibe unerlässlich.

Verfügbarkeitszeiten 2023 im Vergleich zum Vorjahr gesunken – eco-Beschwerdestelle im Auftrag bestätigt

In enger Zusammenarbeit mit ihren Netzwerkpartnern habe die eco-Beschwerdestelle 2023 wichtige Erfolge erzielen können: In Deutschland gehostete Webseiten mit im juristischen Sprachgebrauch noch immer als „Kinderpornografie“ bezeichneten Inhalten, also Darstellungen des sexuellen Missbrauchs, seien zu 100,0 Prozent und innerhalb von durchschnittlich rund 1,86 Tagen gelöscht worden. Weltweit seien derartige Inhalte in rund sechs Tagen und mit einer Gesamterfolgsquote von 98,35 Prozent entfernt worden. Die Verfügbarkeitszeiten seien damit im Jahr 2023 im Vergleich zum Vorjahr sogar gesunken: „Dies unterstreicht, wie wichtig die Arbeit der Beschwerdestellen ist, und dass das Prinzip: Löschen statt Sperren weiterhin sehr gut funktioniert.“

Mit Blick auf den aktuellen Entwurf für eine Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern der Europäischen Kommission, betont Koch-Skiba deshalb: „Wir sind zutiefst davon überzeugt, dass Löschen statt Sperren der effektivste Weg zur Bekämpfung illegaler Internet-Inhalte ist. Die aktuellen Regulierungsvorhaben auf europäischer Ebene sollten diesen Ansatz unterstützen sowie bestehende funktionierende Strukturen sowie Kooperationen besser einbeziehen.“

Weitere Informationen zum Thema:

eco BESCHWERDESTELLE
Jahresbericht 2023

eco VERBAND DER INTERNETWIRTSCHAFT
eco Beschwerdestelle / Beschwerde einreichen

[datensicherheit.de, 04.02.2024] „Alles gut, weil bis jetzt ist nichts passiert“ sei die schlechteste Cyber-Sicherheitsstrategie betont Sophos-Sicherheitsexperte Michael Veit in seiner aktuellen Stellungnahme zum diesjährigen „Safer Internet Day“ am 6. Februar 2024 – dieser soll Unternehmen und private Anwender daran erinnern, dass und wie es besser geht. Dieser Tag sei eine gute Gelegenheit, die Sophos-Tipps dem eigenen Verhalten gegenüberzustellen und gegebenenfalls das Eine oder Andere für die Zukunft zu beherzigen.

Jeder kann sein eigenes Verhalten im Umgang mit dem Internet so gestalten, dass die Nutzung möglichst sicher ist!

Veit stellt klar: „Das Internet sicher zu machen, ist eine Utopie, aber jeder kann sein eigenes Verhalten im Umgang mit dem Internet so gestalten, dass die Nutzung möglichst sicher ist.“ Deshalb sei der „Safer Internet Day“ jeweils eine gute Gelegenheit, das eigene Tun und Handeln sowie das des Unternehmens auf den Prüfstand zu stellen.

„Ein wichtiger Aspekt für die sichere Internetnutzung ist gleichzeitig einer, den niemand so richtig gerne mag: Passwörter. Und dennoch ist das Passwort für jeden User und für alle Unternehmen eine der besten Schutzmöglichkeiten.“

Indem mit guten Passwörtern und mit einer Zwei-Faktor-Authentifizierung (ZFA) oder noch fortschrittlicheren Technologien der unautorisierte Zugang zu Computern, Netzwerken und Applikationen verhindert wird, seien Cyber-Kriminelle nicht in der Lage einzudringen, ihre Privilegien auszuweiten und schlussendlich Ransomware zu aktivieren oder wertvolle Daten zu stehlen.

Jeder Internet-Nutzer sollte Passwörter trotz aller Lästigkeit als enorm wichtig ansehen!

„Obwohl kaum jemand das Anlegen, Verwalten und den Umgang mit Passwörtern mag, weiß jedes Unternehmen und jeder Internet-Nutzende, dass sie trotz aller Lästigkeit enorm wichtig sind“, führt Veit weiter aus und berichtet: „Allerdings sehen wir, wie selbst große Konzerne aufgrund einer schlechten Passwortverwaltung oder einem laxen Umgang kompromittiert werden.“ Die Verwendung guter Passwörter für jede Website gehöre in Verbindung mit weiteren zusätzlichen Authentifizierungsmethoden nach wie vor zu den besten Maßnahmen, um kritische Zugänge und das Unternehmen zu schützen.

Aussagen wie „es wird schon alles gut gehen“ oder „das sind ja keine wichtigen Accounts“ oder „ich habe gerade keine Zeit, mich um Passwortsicherheit zu kümmern“ seien nicht selten Ursachen für fatale Folgen im Unternehmen.

Sophos hat nach eigenen Angaben mit seinem „X-Ops‘ Active Adversary Report“ herausgefunden, dass im Jahr 2023 erstmals kompromittierte Zugangsdaten mit 56 Prozent die Hauptursache für Angriffe waren, die Datendiebstahl und/oder Ransomware-Attacken zur Folge hatten. Dies sei ein Anstieg von 26 Prozent zwischen 2022 und 2023.

Einfache aber wirkungsvolle Safer-Internet-Tipps für Anwender:

Neben einer guten Passwortpraxis sei es wichtig, „nein“ zu sagen und die Angabe von Informationen zu verweigern. „Nur weil eine Web-Applikation beispielsweise den Geburtstag oder andere augenscheinlich unwichtige Informationen wissen möchte, heißt das noch lange nicht, dass diese Applikation die Informationen auch tatsächlich braucht oder gar ein Recht darauf hat“, so Veit. Was im Internet nicht preisgegeben wird, könne weder weitergegeben noch missbraucht werden.

Daher: „Keine Angaben von noch so harmlosen Informationen und kein Anklicken von Links, die man nicht kennt oder benötigt.“

Zudem gelte es, keine fremden und potenziell gefährlichen Apps zu nutzen und die benötigten Apps immer auf dem neuesten Stand zu halten. Zudem wäre grundsätzlich die Standardeinstellung von Vorteil, dass alles was, man nicht kennt, „potenziell als verdächtig oder bösartig behandelt wird, bis das Gegenteil bewiesen ist“.

Safer-Internet-Tipps für Unternehmen:

Firmen, die eine Website betreiben und vielleicht sogar Zahlungsdienste oder Customer-Management-Lösungen eingebunden haben, sollten diese auf Sicherheit überprüfen. Wenn die dafür benötigten Ressourcen oder Fachkenntnisse nicht ausreichen, böten sich externe Experten an, welche unabhängig prüften, was gut eingerichtet und gesichert ist und welche Sicherheitsprobleme dringend behoben werden müssten. „Denn eines ist sicher: Cyber-Kriminelle testen teils hoch automatisiert die Sicherheit jedes Servers und jeder Webseite auf Schwachstellen.“

Veit warnt: „Viele Menschen, die früher bei der Arbeit das Internet nutzten, um nur Nachrichten zu lesen oder E-Mails abzurufen, verwenden es jetzt täglich auf vielfältige Weise – auch um mit Kollegen zusammenzuarbeiten, die sie vielleicht weniger gut oder gar nicht kennen.“ Doch diese heute weitgehend übliche Arbeitsweise öffne Cyber-Kriminellen „Tür und Tor“ für Betrugsmaschen und „Social Engineering“. Darum sollten Unternehmen ihre Mitarbeiter regelmäßig zu den aktuellen Gefahren und vor allem zum sicheren Verhalten im Internet schulen. Es sei wichtig, „dass sie eigenständig Betrugsversuche erkennen, diesen nicht folgen und an die entsprechenden internen Stellen melden“.

Klassische IT-Security sei gut, reiche aber nicht aus: „Cyber-Kriminelle verfügen über Mittel und Tools, Schwachstellen auszunutzen, die sie beispielsweise in unbekannten Netzwerk- und IoT-Geräten oder in der IT-Lieferkette entdecken.“ Eine hohe Sicherheit sei dann möglich, wenn sämtliche IT-Security-Lösungen in einem intelligenten und KI-gestützten „Ökosystem“ eingebunden und kontinuierlich mit menschlicher Expertise kombiniert würden. „Security-Services, welche mit ,Threat Hunting’ die schnelle Reaktion auf Verdachtsfälle oder Angriffe garantieren, helfen den Schaden durch Cyber-Kriminelle rechtzeitig abzuwehren.“

Netzwerke umspannen weite Bereiche des Internets – erweiterte Datensicherheits-Strategie erforderlich!

Nahezu kein Unternehmen könne sich heute noch auf die Sicherheit innerhalb traditioneller IT-Perimeter verlassen. „Das eine Unternehmensnetzwerk gibt es nicht mehr.“ Viel mehr überspanne das Netzwerk weite Bereiche des Internets, darunter die „Cloud“ und die gesamte IT-Lieferkette oder „SaaS“-Dienste.

Dem sollten Unternehmen mit einer erweiterten Strategie Rechnung tragen und nach Lösungen suchen, „die weit mehr als nur die eigenen Server und Arbeitsplätze mit Firewalls und Endpoint-Schutz absichern“.

Zero-Trust-Methoden und „Network Detection and Response“ (NDR) in Verbindung mit hochgradig spezialisierten externen Security-Services, würden diesen neuen Anforderungen gerecht werden.

Weitere Informationen zum Thema:

SOPHOS NEWS, John Shier, 23.08.2023
Time keeps on slippin’ slippin’ slippin’: The 2023 Active Adversary Report for Tech Leaders /A deep dive into incident-response cases from the first half of this year finds both attackers and defenders picking up the pace

Sicherheit der IoT-Geräte bleibt eine essenzielle, aber noch nicht vollständig angegangene Thematik

[datensicherheit.de, 31.01.2024] Das sogenannte Internet der Dinge (IoT) hat sich offensichtlich zu einer der herausragenden wegweisenden Technologien des 21. Jahrhunderts entwickelt: Vom vernetzten Kühlschrank über „smarte“ Autos bis hin zu „intelligenten“ Thermostaten – die Integration von Sensoren, Software und anderer Technologie hat nicht nur Unternehmen und die Wirtschaft insgesamt verändert, sondern unseren Alltag förmlich revolutioniert. „Die Vorteile dieser Entwicklung beispielsweise für Einzelhandel, Kundenservice, für die Fertigungsindustrie und in der Medizin sind unbestreitbar, aber sie bringt auch eine bedeutende Herausforderung mit sich: Die Sicherheit der IoT-Geräte bleibt eine essenzielle, aber noch nicht vollständig angegangene Thematik“, kommentiert in ihrer aktuellen Stellungnahme die IT-Sicherheitsexpertin Patrycja Schrenk.

Foto: PSW GROUP

Patrycja Schrenk: Ein zentraler IoT-Aspekt ist der Schutz sowohl der übertragenen Daten als auch des Hardware-Geräts selbst!

Markt für IoT-Geräte verzeichnet extrem starken Anstieg

Schrenk, Geschäftsführerin der PSW GROUP, erläutert: „Ein zentraler Aspekt ist der Schutz sowohl der übertragenen Daten als auch des Hardware-Geräts selbst. Das bedeutet, dass nicht nur die Informationen, die von einem lokalen IoT-Gerät zur ,Cloud’ gesendet werden, verschlüsselt und gesichert sein müssen, sondern auch das physische Gerät vor Manipulation und unbefugtem Zugriff geschützt werden muss!“

Mit dem exponentiellen IoT-Wachstum seien vernetzte Geräte zu einem integralen Bestandteil sowohl in Privathaushalten als auch in Unternehmen geworden. Der Markt für IoT-Geräte verzeichne einen unglaublich starken Anstieg und werde voraussichtlich von 118,37 Milliarden US-Dollar im Jahr 2023 auf 336,64 Milliarden US-Dollar im Jahr 2028 wachsen – was einem jährlichen Zuwachs von über 23 Prozent entspreche.

Zu einem ähnlichen Ergebnis komme der von IoT Analytics veröffentlichte Bericht „Zustand des IoT im Frühjahr 2023“, welcher demnach die Zahl globaler IoT-Geräte im Jahr 2022 mit 14,3 Milliarden aktiven Endpunkten angibt. Die Autoren der Studie hätten eine weitere Steigerung um 16 Prozent bis Ende 2023 prognostiziert, so dass derzeit nun weltweit etwa 16,7 Milliarden aktive vernetzte Geräte existieren dürften.

IoT-Angriffe bedrohen persönliche Daten sowie physische Systeme und Infrastrukturen

Dieses rasante Wachstum bringe auch eine zunehmende Bedrohung mit sich, „die es unerlässlich macht, sich intensiv mit der IoT-Sicherheit auseinanderzusetzen“. Denn IoT-Angriffe seien gerade deshalb problematisch, da sie nicht nur persönliche Daten gefährdeten, sondern auch physische Systeme und Infrastrukturen beeinträchtigen könnten.

„Durch einen erfolgreichen Angriff auf IoT-Geräte können nicht nur Daten beeinträchtigt, sondern auch reale Schäden angerichtet werden, wie das Manipulieren von Produktionsprozessen, Eingriffe in medizinische Geräte oder die Störung der Infrastruktur“, stellt Schrenk klar.

Sie führt hierzu weiter aus: „IoT-Geräte sammeln, oft zu unserem Leidwesen, eine Vielzahl von sensiblen Daten. Ein Angriff kann dazu führen, dass einerseits persönliche Informationen, Standorte, Gesundheitsdaten und andere sensible Informationen in die Hände von Cyber-Kriminellen gelangen. Da IoT-Geräte ja mit dem Internet verbunden sind, können sie andererseits auch als Einfallstor für den Zugriff auf das gesamte Netzwerk dienen.“ Ein einzelnes, kompromittiertes Geräts könne damit das gesamte Netzwerk gefährden.

Sicherheit der IoT-Geräte: Anwender und Hersteller in der Pflicht

Tatsächlich fragten sich viele Menschen, „was an ihrem smarten Beleuchtungssystem, ,Home Hub’, ihrem ,intelligenten Kühlschrank’ oder ,Fitness Tracker’ so besonders ist, dass jemand Interesse daran hat, es zu hacken“. Das eigentliche Ziel sei in der Regel gar nicht das IoT-Gerät selbst: Dieses sei vielmehr Mittel zum Zweck, um Zugriff auf das Netzwerk zu erhalten – sozusagen das Gateway zu anderen, oft viel besser gegen Angriffe gesicherten Systemen.

„Allerdings machen wir es Hackern und Hackerinnen häufig auch viel zu einfach: IoT-Geräte sind ständig mit dem Internet verbunden und bieten Remote-Zugriff.“ Diese Verfügbarkeit rund um die Uhr, gepaart mit einem nicht geänderten Standardpasswort – Standardpasswörter seien in der Regel für Angreifer leicht zu erraten –, mache die „smarten“ Geräte so attraktiv für Cyber-Kriminelle, diese als Ausgangspunkt für ihren Angriff zu nutzen, vertrauliche Informationen zu stehlen oder das Gerät für schädliche Zwecke zu nutzen. Hinzu komme ein oftmals mangelndes Bewusstsein für Sicherheit: Denn im Vergleich zu Laptops oder Smartphones fehle es bei vielen Verbrauchern an einem Sicherheits-Bewusstsein für IoT-Geräte. Während sie regelmäßig Sicherheitsupdates und Viren-Scanner etwa für Laptop, Handy usw. durchführten, vernachlässigten sie genau das viel zu oft bei ihren IoT-Geräten.

Viele Nutzer realisierten möglicherweise nicht die mit der Verwendung vernetzter Geräte verbundenen potenziellen Risiken: „Und leider muss ich an dieser Stelle auch Hersteller in die Pflicht nehmen: Auch viel zu viele Hersteller vernachlässigen das Thema Sicherheit bei ihren IoT-Geräten“, so Schrenk. Diese mangelnde Beachtung führe dann dazu, „dass ihre Geräte anfällig für Angriffe sind“. Eine unzureichende Sicherheitsprüfung bei der Entwicklung und Implementierung mache es für Angreifer einfacher, Schwachstellen auszunutzen und Zugriff auf sensible Daten zu erlangen.

6 praktische Sicherheits-Tipps für IoT-Geräte

Die Sicherheit eines IoT-Geräts liege auch in der eigenen Hand. Durch die Umsetzung einiger einfacher, aber wirkungsvoller Maßnahmen könnten Anwender die IoT-Security verbessern und ihr vernetztes Zuhause oder Unternehmen vor potenziellen Bedrohungen schützen:

1. Durchführung von Software- und Geräteupdates
Regelmäßige Updates von Software und Firmware seien entscheidend, um Sicherheitslücken zu schließen. Hersteller veröffentlichten oft Patches, um bekannte Schwachstellen zu beheben. „Anwendende sollten sicherstellen, dass sowohl die Software der IoT-Geräte als auch die Router und Gateways auf dem neuesten Stand gehalten werden“, rät Schrenk.

2. Änderung der Standardpasswörter und Verwendung sicherer Passwörter
Ein häufiges Einfallstor für Angreifer seien die mit vielen IoT-Geräten gelieferten Standardpasswörter. Mit jedem neuen IoT-Gerät sollten diese deshalb umgehend geändert und dabei auf die Verwendung komplexer Passwörter – am besten für jedes Gerät ein eigenes – geachtet werden.

3. Deaktivierung ungenutzter Funktionen
Viele IoT-Geräte böten nicht zwingend benötigte Funktionen. Deren Deaktivierung reduziere potenzielle Angriffspunkte. „Denn jede aktive Funktion ist eine potenzielle Schwachstelle – weniger ist oft mehr, wenn es um Sicherheit geht.“

4. Aktivierung einer Multi-Faktor-Authentifizierung (MFA)
Die MFA-Aktivierung füge eine zusätzliche Sicherheitsebene hinzu, „indem neben dem Passwort ein weiterer Authentifizierungsfaktor erforderlich ist“. Dies erschwere es Angreifern erheblich, Zugriff auf ein IoT-Gerät zu erlangen – „selbst wenn das Passwort kompromittiert ist“.

5. Übersicht über alle aktiven Geräte und Zugriffskontrolle
„Ich rate außerdem dazu regelmäßig zu überprüfen, welche Geräte überhaupt aktiv sind, und die Geräte vom Internet zu trennen, wenn sie nicht benötigt werden“, empfiehlt Schrenk. Überhaupt sollte der Geräte-Zugriff auf diejenigen Personen beschränkt werden, „die das IoT-Gerät wirklich benötigen“.

6. Kritikfähigkeit und gesundes Misstrauen
Abschließend rät Schrenk: „Eine der wichtigsten Maßnahmen ist eine kritische Einstellung. Auch wenn alle Sicherheitsvorkehrungen getroffen wurden, sollte niemals davon ausgegangen werden, dass ein IoT-Gerät nicht gehackt werden kann. Regelmäßige Überprüfungen und Sensibilisierung für aktuelle Sicherheitsbedrohungen sind unerlässlich!“

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 21.11.2023
IoT-Security: Mehr Sicherheit für IoT-Geräte

datensicherheit.de, 04.05.2023
Wenn IoT-Haustürkameras zu Phishing-Fallen werden / IoT-System zu einer möglichen Schwachstelle für seine Nutzer geworden

datensicherheit.de, 16.09.2022
Cyber Resilience Act: Sichere IoT-Geräte schwer zu entwerfen / Cybersecurity by Design soll helfen, potenzielle Einfallstore zu schließen

datensicherheit.de, 17.08.2022
IoT im Ransomware-Visier: IoT-Geräte benötigen speziellen Cyber-Sicherheitsansatz / Hunderttausende angeschlossener IoT-Geräte mit Ransomware, Krypto-Minern, Trojanern und Botnets könnten kompromittiert werden

[datensicherheit.de, 15.12.2023] Laut aktuellen Erkenntnissen des Branchenverbands Bitkom achtet ein „deutliche Mehrheit“ auf komplizierte Passwörter – indes aber weniger als noch vor einem Jahr. Rund 40 Prozent notierten sich demnach ihre Zugangsdaten auf Papier und die Zwei-Faktor-Authentifizierung (ZFA) habe sich noch nicht durchgesetzt. Ein großes Problem bleibe die Vielzahl der im Alltag und Berufsleben verwendeten Passwörter: So sage inzwischen fast ein Drittel (30%, 2022: 23%), dass sie sich oft neue Passwörter erstellen müssten, weil sie das alte vergessen hätten.

Das Passworter als Schlüssel dür das eigene digitale Zuhause

Ob für den Zugang zum Internet, den Abruf der E-Mails oder das Kundenkonto im Web-Shop: Wer sich im Internet bewegt, kommt offensichtlich ohne eine Vielzahl von Passwörtern nicht aus. Drei Viertel der Internetnutzer in Deutschland (74%) achteten bei der Erstellung auf komplizierte, einen Mix aus Buchstaben, Zahlen und Sonderzeichen enthaltende Passwörter, welche das Erraten erschweren sollen. „Das sind aber weniger als noch vor einem Jahr, als 83 Prozent entsprechend sorgfältig vorgingen.“ Zugleich nutzten weiterhin 30 Prozent für verschiedene Online-Dienste dasselbe Passwort (2022: 35%). Der Bitkom beruft sich nach eigenen Angaben auf eine aktuelle, von ihm in Auftrag gegebene Umfrage unter 1.018 Internet-Nutzern in Deutschland ab 16 Jahren.

„Passwörter sind die Schlüssel in unser digitales Zuhause. Wer sich für ein besonders simples Schloss entscheidet oder für alle Türen denselben Schlüssel, der macht es Cyber-Kriminellen unnötig leicht“, unterstreicht Simran Mann, IT-Sicherheitsexpertin beim Bitkom. Es lohne sich, sich ein paar Minuten Zeit für die Passworterstellung zu nehmen – Passwort-Manager könnten dabei eine gute Hilfe sein. „Und wo immer möglich sollte zusätzlich auch eine Zwei-Faktor-Authentifizierung eingerichtet werden“, rät Mann. Damit könnten Angreifer allein mit dem Passwort nicht auf die Online-Konten zugreifen, was die Sicherheit deutlich erhöhe.

25 Prozent der Internetnutzer verwenden Passwort-Generatoren

Ein Viertel der Internetnutzer (25%) verwende inzwischen Passwort-Generatoren oder Passwort-Manager, um besonders sichere Passwörter zu erzeugen oder die eigenen Passwörter sicher zu speichern und zu verwalten (2022: 20%). Deutlich mehr (38%) schrieben ihre Passwörter allerdings immer noch auf Papier auf (2022: 43%). Nur eine Minderheit nutze bislang ZFA. Dabei müsse nach der Eingabe des Passworts noch ein zweiter Code eingegeben werden, welcher etwa per SMS oder per E-Mail aufs Handy geschickt oder mit einer speziellen App auf dem Smartphone erstellt werde. 20 Prozent nutzten diese Sicherheitsvorkehrung wann immer möglich (2022: 11%), weitere 17 Prozent zumindest für ausgewählte Passwörter (2022: 36%).

Rückläufig sei die Zahl derjenigen, welche ihre Passwörter regelmäßig ändern – von 31 Prozent auf 23 Prozent. „Wer komplexe Passwörter nutzt und vielleicht auch noch Zwei-Faktor-Authentifizierung eingeschaltet hat, muss sein Passwort eigentlich nicht in festgelegten Zeitabständen ändern. Das ist aber dann unbedingt und umgehend nötig, wenn es Hinweise auf Datenlecks bei Anbietern gab oder Dritte Zugriff auf das Passwort hatten“, so Mann. 18 Prozent der Internetnutzer seien bei der Auswahl ihrer Passwörter pragmatisch und gäben an, dass sie für verschiedene Online-Dienste auch verschieden starke Passwörter verwendeten (2022: 11 Prozent).

Weitere Informationen zum Thema:

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

datensicherheit.de, 26.01.2023
Statt häufiger Passwortwechsel: eco empfiehlt starke Passwörter / eco gibt zum bevorstehenden Ändere-dein-Passwort-Tag am 1. Februar 2023 drei Tipps für sichere Log-Ins

datensicherheit.de, 25.05.2022
Patrick McBride: Mit Passwörtern kann es keinen Datenschutz geben / Wirkliche Sicherheit könne mit Passwörtern und traditioneller Multi-Faktor-Authentisierung nicht gewährleistet werden

EPoS-Studie über Internetzugänge in Kolumbien – zu konkreten Maßnahmen zur Überwindung der Digitalen Kluft

[datensicherheit.de, 22.09.2023] Der 2018 eingerichtete Sonderforschungsbereich „Transregio 224 EpoS“ als Kooperation der Universitäten Bonn und Mannheim ist nach eigenen Angaben eine langfristig angelegte, von der Deutschen Forschungsgemeinschaft (DFG) geförderte Forschungseinrichtung: „EPoS befasst sich mit drei zentralen gesellschaftlichen Herausforderungen: Wie kann Chancengleichheit gefördert werden? Wie können Märkte angesichts der Internationalisierung und Digitalisierung der Wirtschaftstätigkeit reguliert werden? Und wie kann die Stabilität des Finanzsystems gesichert werden?“

Abbildung: EPoS

EPoS-Diskussionspapier „Internet (Power) to the People: How to Bridge the Digital Divide“

Förderung von Internet-Kompetenzen in sozial schwachen Stadtteilen führt zur Verdopplung der -zugänge

„Bis zum Jahr 2030 will die UNO weltweit allen Menschen den Zugang zum Internet ermöglichen. Heute sind allerdings noch rund drei Milliarden Menschen offline.“ Eine neue EPoS-Studie habe nun in Kolumbien konkrete Maßnahmen untersucht, die darauf abzielten, die Digitale Kluft zu überwinden.

Die Analyse zeige, „dass die Förderung von Internet-Kompetenzen in sozial schwachen Stadtteilen am besten funktioniert“. Die Zahl der Internetzugänge werde dadurch dort verdoppelt. Dieses Forschungsergebnis hat das „EPoS Economic Research Center“ der Universitäten Bonn und Mannheim in dem Diskussionspapier „Internet (Power) to the People: How to Bridge the Digital Divide“ veröffentlicht.

Instrumente zur Förderung der Internetnutzung wichtiger als Subventionen

„Instrumente zur Förderung der Internetnutzung, die nicht über den Preis wirken, sind für sozial schwache, weniger internetaffine Verbraucher wichtiger als Subventionen – das zeigt unsere Forschung“, erläutert die EPoS-Autorin Michelle Sovinsky. Für die Politik heiße dies: Die Digitale Kluft lasse sich am besten durch eine Kombination beider Maßnahmen überwinden – größere Auswahl an Internet-Tarifen und Vermittlung von Kenntnissen, um die Internet-Verbreitung zu erhöhen.

Dies gelte für die sozial benachteiligten Bevölkerungsteile und für Gegenden mit bislang sehr wenigen Internetzugängen. Eine solche Maßnahmenkombination sei zwar kurzfristig teurer, zahle sich aber langfristig aus. „Unsere Ergebnisse sind besonders für Entwicklungsländer relevant“, betont Sovinsky.

Internet-Breitbandanschluss für 75% der Weltbevölkerung bis 2025

Wer Zugang zum Internet hat, profitiere vom verbesserten Zugang zu Bildungsangeboten, wichtigen Gesundheitsinformationen und anderen Ressourcen. Daher hätten sich die UNESCO und die Internationale Fernmeldeunion zum Ziel gesetzt, 75 Prozent der Weltbevölkerung bis 2025 einen Breitbandanschluss zu ermöglichen.

Allerdings stünden politische Entscheidungsträger vor der Herausforderung, effektive Maßnahmen zu finden, um die Verbreitung des Internets voranzubringen. Bislang existierten kaum Untersuchungen zur Wirksamkeit solcher Maßnahmen in Entwicklungsländern.

Grad der Internetverbreitung in einem Stadtviertel gemessen

In dem neuen Diskussionspapier untersuchten die Ökonomen nach eigenen Angaben die Auswirkungen einer Preissubvention in Kolumbien, „die zwischen 2012 und 2015 zur Anwendung kam“. Die Subvention sei in Form einer Senkung der monatlichen Gebühren für Festnetz-Internet-Tarife mit einem Breitbandanschluss erfolgt.

Erstmals hätten die EPoS-Wissenschaftler den Grad der Internetverbreitung in einem Stadtviertel gemessen und diesen mit den Auswirkungen der Preissubvention sowie der Zunahme an Wahlmöglichkeiten für die Verbraucher verglichen.

Bezahlbarer Internetzugang als Basis der Bildung, Teilhabe und Wertschöpfung

„Unser Modell berücksichtigt den Einfluss, den die Entscheidung der Nachbarn auf die eigene Entscheidung hat, das Internet zu nutzen“, so Sovinsky. Offenbar gingen mehr Menschen online, „wenn sie die Vorteile in ihrem lokalen Umfeld sehen oder Empfehlungen aus ihrem sozialen Netzwerk erhalten“.

Der bezahlbare Zugang zu Informations- und Telekommunikationstechnologien habe für die Vereinten Nationen grundlegende Priorität und führe zu höherer Produktivität, besseren Bildungsergebnissen – und fördere die Wirtschaftstätigkeit.

Weiteren Informationen zum Thema:

UNIVERSITÄT BONN – EPoS – UNIVERSITÄT MANNHEIM, September 2023
Internet (Power) to the People: How to Bridge the Digital Divide

Laut BKA bundesweite Durchsuchungen bei 58 Beschuldigten

[datensicherheit.de, 05.04.2023] Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) sowie weitere Strafverfolgungsbehörden der Bundesländer sind nach BKA-Angaben am 4. April 2023 mit einer gemeinsamen Aktion gegen Cyber-Kriminelle der „Underground Economy“ vorgegangen. Hierzu hätten Strafverfolgungsbehörden aller Bundesländer in einer konzertierten Aktion 62 Objekte von 58 Beschuldigten durchsucht sowie zahlreiche elektronische Datenträger sichergestellt.

Abbildung: BKA

Sicherstellungsbanner der „Operation Cookie Monster“

Koordinierung der Maßnahmen in Deutschland durch BKA und ZIT

Den Beschuldigten werden demnach eine Vielzahl von Betrugsdelikten im Online-Handel sowie weitere Vorbereitungs- und Verwertungstaten wie etwa Ausspähen von Daten, Fälschung beweiserheblicher Daten, Datenhehlerei und Geldwäsche vorgeworfen.

Den nun durchgeführten Maßnahmen seien gemeinsame Ermittlungen der Cybercrime-Dienststellen des Bundes und der Länder sowie der ZIT gegen kriminelle Akteure verschiedener Plattformen der „Underground Economy“ im Internet vorausgegangen.

Die entsprechenden Ermittlungsverfahren seien von den örtlich zuständigen Staatsanwaltschaften der Bundesländer übernommen worden, welche die strafprozessualen Maßnahmen in eigener Verantwortung durchgeführt hätten. Die Koordinierung der Maßnahmen sei durch das BKA und die ZIT erfolgt.

Bei Ermittlungen u.a. enge Zusammenarbeit BKA mit FBI

„Bei einer der Plattformen, die im Fokus der Ermittlungen standen, handelt es sich um die kriminelle Verkaufsplattform ,Genesis Market’.“ Bei den Ermittlungen hierzu habe das BKA eng mit dem US-amerikanischen Federal Bureau of Investigation (FBI), der niederländischen National High Tech Crime Unit (NHTCU), dem Europäischen Polizeiamt (Europol) sowie mit weiteren internationalen Partnern kooperiert.

Über „Genesis Market“ seien unter anderem gestohlene Zugangsdaten zu verschiedensten E-Commerce- und Online-Zahlungs-Diensten zum Kauf angeboten worden. Diese Plattform sei die größte ihrer Art gewesen und habe seit 2018 bestanden. Sie sei nun am 4. April 2023 von US-amerikanischen Behörden beschlagnahmt und abgeschaltet worden. Auf deutscher Seite seien Staatsanwaltschaften aus allen Bundesländern beteiligt gewesen – insgesamt werde gegen 58 Beschuldigte ermittelt.

Über die Service-Website „‘;–have i been pwned?“ können Betroffene laut BKA überprüfen, ob eigene Zugänge ausgespäht und auf „Genesis Market“ zum Verkauf angeboten wurden.

Weitere Informationen zum Thema:

‚;–have i been pwned?
Check if your email or phone is in a data breach

[datensicherheit.de, 13.02.2023] Matthew Psencik, „Director Endpoint Security“ bei Tanium, nimmt den Valentinstag am 14. Februar zum Anlass einer Stellungnahme und warnt: „Liebesbetrügereien sind effektiv, weil sie auf die Gefühle der Menschen abzielen.“ Menschen seien anfällig, wenn es um Liebe und Beziehungen geht und ließen dabei oft ihre Vorsicht fallen. Gerade am Valentinstag seien viele alleinstehende Menschen im Internet auf der Suche nach Partnern oder „Dates“ – und würden zu potenziellen Opfern von Liebesbetrügern.

Emotionale Verwundbarkeit am Valentinstag besonders stark ausgeprägt

Diese Angriffe, die in den Bereich des „Social Engineering“ fielen, konzentrierten sich auf die emotionale Verwundbarkeit – „indem sie entweder Druck auf jemanden ausüben, um ein Gefühl der Dringlichkeit zu erzwingen oder vom rationalen Denken abzulenken“. Da es für Cyber-Kriminelle einfacher denn je sei, Informationen zu sammeln, um ihr Ziel zu identifizieren und auszunutzen, sei am Valentinstag mit einer hohen Zahl von Liebesbetrugsversuchen zu rechnen:

„Sowohl Dating-Apps als auch Social-Media-Profile sind voll mit intimen Details über das Leben der Nutzer. Die aktive Veröffentlichung des Beziehungsstatus zusammen mit anderen Informationen wie Beruf, Hobbys, persönlichen Bildern und manchmal auch Telefonnummern oder Standorten ist mittlerweile zur Normalität geworden.“ Diese Informationen ermöglichten es Kriminellen, entweder ansprechende Fake-Profile zu erstellen und mit Nutzern manuell in Kontakt zu treten oder „Bots“ zu erstellen, um den gesamten Ablauf für sie übernehmen.

Statt Liebesglück Abzocke am Valentinstag

Liebesbetrüger nutzten in der Regel wie die meisten Cyber-Kriminellen die bewährten Phishing-Techniken. Sie versuchten dabei, an persönliche Informationen der Opfer zu gelangen, „die zur Beantwortung von Sicherheitsfragen gebraucht werden oder sonstige Daten wie Telefonnummern zu erfahren, die es ermöglichen, jemanden zu verfolgen und zu lokalisieren“.

Außerdem verlangten die Betrüger hohe Geldbeträge für Reisen und Treffen, „die nie stattfinden, sowie intime Bilder oder Videos, mit denen sie ihre Opfer erpressen wollen“, so Psencik abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 09.02.2023
Am Valentinstag mit KI auf Partnersuche: International würde jeder dritte Mann Liebesbriefe mit ChatGPT erstellen / In Deutschland im Durchschnitt potenziell jeder fünfte Mann ein KI-Nutzer für das Verfassen von Liebesbriefen

Branchenverbände Bitkom und VATM geben Tipps und Hinweise für stabiles und leistungsstarkes Heimnetz

[datensicherheit.de, 11.01.2023] „Home-Office, Smart-Home-Anwendungen und auch Home-Schooling erleichtern unser Leben seit der ,Corona-Pandemie’ erheblich“, so der Branchenverband Bitkom e.V. in seiner aktuellen Stellungnahme. Im vergangenen Jahr – 2022 – sei das in Deutschland allein über das Festnetz transportierte Datenvolumen um 21 Prozent auf monatlich knapp 275 Gigabyte pro Breitbandanschluss gestiegen – ein seit Jahren ungebrochener Trend. „Seit dem Weihnachtsfest 2022 ist die Zahl der internetfähigen Hightech-Geräte wie Smartphones, Computer, Laptops, Smart-Home-Geräte, Spielekonsolen und vielem mehr zweifellos erneut kräftig gestiegen.“

Abbildung: bitkom & vatm

CHECKLISTE: Schnelles Internet daheim – so klappt es…

Bei Zunahme der Zahl von Online-Geräten empfiehlt der Bitkom stabiles und leistungsstarkes Heimnetz

Je mehr Geräte in Haus und Wohnung online sind desto wichtiger sei ein stabiles und leistungsstarkes Heimnetz. Maximale Bandbreite und höchste Geschwindigkeit – am besten immer und überall in den eigenen vier Wänden, dies sei ein Muss. „Aber wie funktioniert das? Und was tun, wenn die beim Netzbetreiber gebuchte Bandbreite zwar ankommt, aber es dennoch im Heimnetz hakt, ruckelt oder die Verbindung sogar abstürzt?“

Wichtigste Informationen und Tipps für funktionierendes Heimnetz

Die beiden Branchenverbände Bitkom und VATM haben demnach gemeinsam mit ihren Mitgliedsunternehmen in einer gut verständlichen Checkliste die wichtigsten Informationen und Tipps für ein funktionierendes Heimnetz zusammengefasst – „damit die Bandbreite, die am Router ankommt, auch in der Wohnung oder im Haus zur Verfügung steht“. Dabei gehe es unter anderem um den richtigen Standort des Routers, um Störquellen in der Wohnung, welche den Empfang behinderten, und um die besten Möglichkeiten, die Reichweite des Routers innerhalb der Wohnung bzw. des Hauses noch zu erweitern.

Auf den Punkt gebracht und für jedermann verständlich

Auf den Punkt gebracht und für jedermann verständlich – dies sei das Ziel dieser Checkliste, die laut Bitkom auf den Websites der beiden Verbände zu finden ist. Sie führe daher bewusst kurz in die technischen Voraussetzungen für den Internetempfang im eigenen Heim ein, weise auf mögliche Probleme hin, welche Verbraucher leicht selbst prüfen könnten, und biete praktische Lösungen, welche auch ohne großes technisches Know-how verständlich seien.

Weitere Informationen zum Thema:

bitkom
Checkliste: Schnelles Internet daheim – so klappt es / Heimnetzkampagne der Verbände Bitkom und VATM [Website]

bitkom
Checkliste: Schnelles Internet daheim – so klappt es / Heimnetzkampagne der Verbände Bitkom und VATM [Download]

Verwundbarkeit über das Internet sollte Verbrauchern und Unternehmen bekannt sein, um sich vor Cyber-Gefahren zu schützen

[datensicherheit.de, 04.01.2023] Ob ein Smartphone, ein Computer, ein Tablet, eine Kaffeemaschine, ein Staubsauger oder ein IoT-Gerät zu Weihnachten verschenkt wurde – bevor solche Geräte in Betrieb genommen werden, sollten einige wichtige Dinge beachtet werden. Die Check Point® Software Technologies Ltd. weist aus aktuellem Anlass auf die Verwundbarkeit dieser „Devices“ hin, um Verbraucher, aber auch Unternehmen vor Cyber-Gefahren zu schützen.

Foto: CHECK POINT

Lothar Geuenich: IoT-Geräte bergen zusätzliche Risiken!

Das Internet spielt in unserem Leben eine immer wichtigere Rolle

Die ungebrochenen Trends zum sogenannten Home-Office und immer mehr intelligenten Geräten im Haushalt ermöglichten Cyber-Kriminellen „über seitliche Bewegungen von Netzwerk zu Netzwerk zu springen“. Darüber hinaus hätten sie ihren Schwerpunkt vom Hacken einzelner Geräte auf das Hacken von Anwendungen verlegt, welche IoT-Gerätenetzwerke steuern. Dies biete ihnen noch mehr Möglichkeiten, auf sensible Daten zuzugreifen. In nur wenigen Jahrzehnten seien die IoT-Daten exponentiell gewachsen, und die Zahlen würden weiter steigen: Nach Schätzungen von IDC könnten IoT-Geräte bis 2025 ein globales Datenaufkommen von mehr als 80 Zettabyte (oder 80 Billionen Gigabyte) erreichen.

Lothar Geuenich, „Regional Sales VP Central Europe“ bei bei der Check Point Software Technologies GmbH, führt kommentierend aus: „Moderne Technologie spielt in unserem Leben eine immer wichtigere Rolle. So haben wir zum Beispiel digitale Geldbörsen auf unseren Mobiltelefonen und verwenden Tablets für unsere Arbeit anstelle von Computern. Das führt dazu, dass diese Geräte über zahlreiche sensible persönliche und arbeitsbezogene Informationen verfügen. Sie sind daher ein verlockendes Ziel für Kriminelle.“

Verstehen, welche Bedrohungen im Internet lauern und wie man im Falle eines Angriffs reagiert!

IoT-Geräte bergen demnach zusätzliche Risiken. Mit intelligentem Spielzeug könnten Cyber-Kriminelle Kinder belauschen, Webcams Nutzer beim Umziehen aufzeichnen und Sprachassistenten das Zuhause ausspionieren, warnt Geuenich. „Cyber-Kriminelle stellen Fallen und versuchen, jede Gelegenheit auszunutzen, um Neulinge mit verschiedenen Weihnachtsbetrügereien ins Visier zu nehmen. Deshalb ist es wichtig, dass alles von Anfang an richtig abgesichert wird. Und wenn ein Kind ein neues Gerät bekommt, sollten die Eltern es sorgfältig über die Vorteile und Risiken aufklären und helfen, das Gerät abzusichern. Sie müssen dafür verstehen, welche Bedrohungen im Internet lauern und wie man im Falle eines Angriffs reagiert. Außerdem sollten Erwachsene mit ihren Kindern auch über die verschiedenen Optionen der elterlichen Kontrolle sprechen, die nicht dazu gedacht sind, sie auszuspionieren, sondern um den Dialog über Bedrohungen zu fördern und klare Grenzen zu setzen.“

Die Notwendigkeit für IoT-Hersteller, sich auf den Schutz intelligenter Geräte vor Angriffen zu konzentrieren, habe an Bedeutung gewonnen. Sie träfen bereits bei der Entwicklung der Software und des Geräts selbst starke Sicherheitsvorkehrungen, anstatt die Sicherheit erst später als nachträgliche Maßnahme hinzuzufügen. Aber auch die Nutzer müssten sich der Sicherheits- und Datenschutzrisiken bei der Nutzung ihrer Geräte bewusst sein.

Absicherung verschiedener internetfähiger Geräte

Die folgenden 13 Tipps sollen laut Geuenich bei der Absicherung der verschiedenen Geräte helfen, um sich gegen Cyber-Angriffe zu wappnen:

1. Geräte sperren!
Jedes Gerät sollte immer mit einem Passwort, einem Muster oder vielleicht einem Fingerabdruck oder sogar einer Gesichtserkennung gesperrt werden. Wenn ein Gerät verloren geht oder unbeaufsichtigt gelassen wird, kann dann niemand darauf zugreifen.

2. Die Fernsuche aktivieren!
Die meisten Geräte bieten eine Fernortungsfunktion, mit der ein Gerät gefunden werden kann, wenn es gestohlen wurde oder verloren gegangen ist. Man kann es aber auch aus der Ferne sperren und löschen, damit niemand Unbefugtes auf die dort gespeicherten Daten zugreifen kann.

3. Backup der Daten einschalten!
Nutzer sollten die Funktion für ein Backup ihrer Daten einschalten, damit sie ihre Informationen beispielsweise im Falle eines Ransomware-Angriffs wiederherstellen können.

4. Standard-Passwörter ändern!
Man sollte immer die Standardkennwörter ändern, die auf dem Gerät voreingestellt sind. Standardkennwörter sind oft öffentlich bekannt und helfen beim Produktsupport. Außerdem sind IoT-Geräte – wie intelligente Kameras, Thermostate, Babyphone oder Router – ein lohnendes Ziel für Cyber-Kriminelle. Geräte mit Standardkennwörtern können leicht gefunden und online ausgenutzt werden. Niemand möchte, dass sich jemand Fremdes mit den Geräten im eigenen Haus verbindet. Solche Geräte können dann auch Teil eines Botnetzes wie „Mirai“ werden und für Cyber-Angriffe auf der ganzen Welt genutzt werden.

5. Tipps zum Passwort setzen:
Es sollten immer Passwörter gesetzt werden, die schwer zu erraten, aber leicht zu merken sind. Wie bei jedem anderen Gerät, das mit einem Netzwerk verbunden ist, empfiehlt es sich, immer so viele Barrieren wie möglich aktiv zu halten und eindeutige Passwörter zu verwenden, die aus Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen bestehen. Starke Passwörter müssen nicht komplex sein. Es genügt, ein Passwort zu haben, das andere nicht erraten können, dass sich aber vom Nutzer leicht merken lässt. Verschiedene Passwort-Manager können ebenfalls hilfreich sein.

6. Niemals Anmeldedaten weitergeben!
Nutzer dürfen niemals die Anmeldedaten weitergeben und niemals dieselben Passwörter verwenden. Die meisten Menschen verwenden dieselben Benutzernamen und Passwörter für verschiedene Konten, was sie zu einem häufigen Ziel für Phishing-Betrügereien macht. Denn durch den Diebstahl eines einzigen Kennworts kann eine Reihe von Diensten kompromittiert werden. Phishing-E-Mails und -Nachrichten geben sich als bekannte Marken aus, z.B. als Kundensupport-Spezialisten oder sogar als Arbeitgeber. Deshalb sollten Anmeldedaten niemals per E-Mail oder Textnachricht weitergegeben werden.

7. Multi-Faktor-Authentifizierung (MFA) verwenden!
Die Gefahr eines möglichen Angriffs lässt sich mit der Verwendung von MFA reduzieren. Wenn sich ein Nutzer von einem neuen Gerät aus beim Konto anmeldet, ist eine Multi-Faktor-Authentifizierung erforderlich, um sicherzustellen, dass keine andere Person auf diese Dienste zugreifen kann. Sollte jemand dennoch versuchen, sich bei den Konten anzumelden, wird der Nutzer sofort benachrichtigt und kann entsprechend tätig werden.

8. Keine Updates verzögern!
Es sollte auf jedem Gerät immer die neueste Softwareversion aufgespielt sein. In neuen Versionen sind Fehler behoben und Schwachstellen gepatcht. Die Verwendung veralteter Software kann es Eindringlingen ermöglichen, auf persönlichen Daten zuzugreifen.

9. Datenschutzeinstellungen überprüfen!
Intelligente Geräte wie Fitnessarmbänder, intelligente Haushaltsgeräte oder sogar intelligentes Spielzeug, Drohnen und Sprachassistenten sammeln alle möglichen Informationen. Aus diesem Grund sollte immer sorgfältig geprüft werden, welche Datenschutzeinstellungen diese verwenden. Außerdem sollten Nutzer sicherstellen, dass sie nicht zu viel preisgeben. Alle Funktionen, die nicht gebraucht oder verwendet werden, sollten ausgeschaltet sein.

10. Keine Apps aus inoffiziellen Quellen und WebStores herunterladen!
Aber auch die offiziellen Apps werden gelegentlich von Malware infiltriert. Deshalb ist es wichtig, eine Sicherheitslösung zu verwenden, die Bedrohungen proaktiv findet und stoppt, bevor sie Schaden anrichten können.

11. Unnötige Apps entfernen!
Viele Geräte enthalten eine Reihe von vorinstallierten Apps. Schwachstellen in Apps können es Cyber-Kriminellen leicht machen, sie anzugreifen. Wenn Nutzer also Apps entfernen, die sie nicht verwenden und nicht wünschen, verringern sie das Risiko eines Angriffs. Außerdem fragen manche Apps nach persönlichen Daten, die sie weiter manipulieren können. Nutzer sollten nur Apps verwenden, denen sie vertrauen.

12. Automatische Wi-Fi/Bluetooth-Verbindungen ausschalten!
Standardmäßig kann ein Smartphone automatisch eine Verbindung zu einem verfügbaren Wi-Fi-Netzwerk oder „Bluetooth“-Gerät herstellen. Diese Funktion können Cyber-Kriminelle ausnutzen, um Zugriff auf das Gerät zu erhalten. Deshalb sollte die Funktion ausgeschaltet sein. Kostenloses WLAN ist zwar attraktiv, kann aber auch ein ernsthaftes Sicherheitsrisiko darstellen. Sicherheitsexperten sehen oft Hacker in Flughäfen oder Cafés, die darauf warten, dass sich jemand in ein öffentliches Wi-Fi-Netzwerk einloggt. Wenn möglich, sollten Nutzer ungesicherte Wi-Fi-Netzwerke ganz vermeiden. Und wenn sie diese doch benutzen müssen, sollten sie zumindest keine Verbindung zu persönlichen Konten oder sensiblen Daten herstellen.

13. Cyber-Kriminalität verstehen!
Um sich zu schützen, ist es wichtig, die Taktiken von Kriminellen und die mit Cyber-Angriffen verbundenen Risiken zu verstehen. Die modernen Bedrohungen und Betrügereien sind jedoch so ausgeklügelt, dass viele Menschen sie wahrscheinlich gar nicht erkennen.

Deshalb sei es auch wichtig, fortschrittliche Sicherheitslösungen und Anti-Ransomware zu verwenden. Verbraucher sollten auch ihre mobilen Geräte absichern, denn auf dem Telefon befinden sich viele sensible Informationen. „Wenn ein Angriff erfolgreich ist, könnten diese Informationen auch alle Bekannten und Verwandten in Gefahr bringen.“ So schütze „Check Point Harmony Mobile“ beispielsweise mobile Geräte von Unternehmen vor Cyber-Angriffen und biete Echtzeitschutz selbst vor den fortschrittlichsten Bedrohungen. Sicherheitssoftware wie „ZoneAlarm Mobile Security“ schütze auch private mobile Geräte vor Ransomware, Daten- und Anmeldediebstahl und gefährlichen Wi-Fi-Netzwerken.

Weitere Informationen zum Thema:

datensicherheit.de, 07.03.2021
Sicherheitslücken in IoT-Geräten bieten Hackern Vollzugriff / IoT-Devices als Trojanische Pferde – Gefahr durch von Home-Office erhöht

datensicherheit.de, 26.08.2020
Die Top 5 Mythen der IoT-Sicherheit / Palo Alto Networks rät, sich in der IoT-Welt auf das Netzwerk und die gesamte Datenumgebung zu konzentrieren, anstatt auf das spezifische Gerät

datensicherheit.de, 19.08.2020
IoT-Sicherheit: 7 zentrale Erkenntnisse / Palo Alto Networks betont Bedeutung Maschinellen Lernens für verbesserte IoT-Sicherheit

Patrycja Schrenk gibt Tipps, welche Vorsichtsmaßnahmen gegen Botnetze getroffen werden können

[datensicherheit.de, 25.08.2022] Die PSW GROUP warnt vor zunehmender Gefahr durch sogenannte Botnetze und gibt Hinweise, wie Anwender betroffene Geräte erkennen und welche Vorsichtsmaßnahmen sie treffen können. Demnach gehören Botnetze gehören zu den größten Bedrohungen für das Internet der Dinge (IoT). Mit ihrer Hilfe verbreiteten Cyber-Kriminelle Malware, führten DDoS-Attacken durch und schleusten sogenannte Spyware ein. Die Gefahr durch Botnetze könnte sogar noch weiter zunehmen, denn inzwischen böten Cyber-Kriminelle im Darknet bereits Kurse zum Bau und Betrieb eines Botnetzes an.

Foto: PSW GROUP

Patrycja Schrenk warnt: Jedes vernetzte Gerät mit Zugang zum Internet kann Teil eines Botnetzes werden!

Auch Mobilgeräte wie Smartphones oder Tablets können Teile von Botnetzen werden

„Jedes vernetzte Gerät mit einem Zugang zum Internet kann Teil eines Botnetzes werden. Häufig sind IoT-Geräte, insbesondere im privaten Umfeld, sehr weit vom Schutzniveau gängiger Computer entfernt und werden immer wieder von Kriminellen gekapert, ohne dass die Opfer davon etwas mitbekommen“, warnt Patrycja Schrenk, Geschäftsführerin der PSW GROUP. Aber auch Mobilgeräte wie Smartphones oder Tablets könnten Teile von Botnetzen werden.

Sie erläutert: „Ein Botnetz besteht aus einem Netz gekaperter Rechner, deren Besitzer in der Regel nichts davon ahnen. Zunächst wird der Zielrechner, der in das Botnetz eingebunden werden soll, mit Malware infiziert. Mit dieser Schadsoftware können Angreifer die Kontrolle über das System übernehmen.“

Gekaperte Rechner ließen sich über sogenannte Command-and-Control-Server (C&C-Server) steuern und für unterschiedliche Aktivitäten verwenden: Spamming, für die Speicherung illegaler Dateien, das Verteilen von Schadsoftware oder auch für DDoS-Attacken.

Vielseitigkeit der Botnetze für Cyber-Kriminelle so attraktiv

„Es ist zwar mit einigem Aufwand verbunden, ein Botnetz zu erstellen. Allerdings ist es dessen Vielseitigkeit, die für Kriminelle so attraktiv ist“, so Schrenk. Botnetze könnten nach der Infektion eine Zeit lang schlummern und sich erst später aktivieren.

Sie könnten aber auch sofort Daten ausspähen oder als Erpressungstrojaner Einsatz finden. Insbesondere von Unternehmen gefürchtet seien DDoS-Angriffe:

„Das Botnetz bombardiert das Opfersystem mit der gebündelten Rechnerleistung sowie Netzwerk-Bandbreite all der angeschlossenen Geräte so lange, bis das Zielsystem unter dieser Last in die Knie geht und nicht mehr erreichbar ist.“

Botnetze nicht einfach zu erkennen

Es sei nicht einfach, Botnetze zu erkennen, denn sie brauchten für gewöhnlich keine nennenswerte Rechenleistung. Dennoch gebe es einige Hinweise, welche auf Botnetze hindeuten können:

„Wer beispielsweise eine plötzliche Verlangsamung der Internetgeschwindigkeit oder Bandbreitenspitzen feststellt, wenn das Betriebssystem sich nicht aktualisieren oder Prozesse auf dem Rechner sich nicht schließen lassen, sind das Indizien, dass der Rechner Teil eines Botnets ist“, erklärt Schrenk. Auch unerwartete Änderungen im System oder unbekannte Prozesse im Task-Manager seien Hinweise für die Existenz eines Botnetzes.

Immerhin, so Schrenk, verrichteten viele Anti-Viren-Lösungen gute Arbeit beim Auffinden von Botnetzen, so dass Anwender auch den Warnungen ihres Antiviren-Tools trauen könnten. „Das setzt natürlich voraus, dass es auf aktuellem Stand gehalten wird. Gleiches gilt auch für das Betriebssystem und sämtliche andere Anwendungen. Funktions- und Sicherheitsupdates sollten immer rasch eingespielt werden“, unterstreicht Schrenk und ergänzt: „Aber bitte keine P2P-Download-Dienste verwenden. Diese sind gerade dann beliebt, wenn neue Software erwartet wird. Stattdessen lieber auf die offiziellen Quellen für die Downloads zurückgreifen.“

Maßnahmen und Verhaltensregeln – damit Botnetze keine Chance haben

Mit weiteren Maßnahmen und Verhaltensregeln könne sich jeder zudem aktiv davor schützen, dass Botnetze keine Chance haben: Wer E-Mails mit Anhängen erhält oder aufgefordert wird, weiterführende Links anzuklicken, sollte Vorsicht walten lassen. „Anhänge sollten nicht geöffnet werden – auch nicht, wenn der Absender bekannt ist. Dann lässt sich durch ein kurzes Telefonat klären, ob die E-Mail tatsächlich von dieser Person stammt. Ähnlich verhält es sich bei Links. Auch hier rate ich, diese nicht anzuklicken.“

Soll eine Website aufgerufen werden, ist es laut Schrenk sicherer, die URL direkt manuell in die Browser-Leiste einzugeben. Wer sich über die Seriosität einer Website unschlüssig ist, könne über das Impressum und weitere Rechtstexte Klarheit gewinnen – und im Zweifelsfall die Seite besser verlassen.

Wichtig sei auch noch: Bei neuen Geräten, gleich ob im Unternehmen oder zu Hause, sollten unbedingt und am besten sofort die voreingestellten Passwörter geändert werden. Starke Passwörter aus einer Kombination von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen und einer Länge von mindestens zehn Zeichen seien dabei zu bevorzugen – und zwar für jedes Gerät oder jeden Dienst ein eigenes. Schrenks abschließender Tipp: „Idealerweise werden Zugänge durch eine Zwei- oder Mehr-Faktor-Authentifizierung gesichert, also beispielsweise aus Passwort und einem weiteren Faktor.“

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 05.07.2022
Bedrohungslage / Botnetze: Die automatisierte Gefahr