[datensicherheit.de, 19.05.2026] Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, kommentiert in seiner aktuellen Stellungnahme die vor einigen Wochen publik gewordenen IT-Support-Phishing-Angriffe auf Abgeordnete des deutschen Bundestags (MdB).Er betont in seinen Ausführungen, dass der für den Angriff missbrauchte Messenger-Dienst keineswegs „gehackt“ wurde – in dessen Infrastruktur sei eben nicht technisch eingebrochen worden. Er warnt, dass prinzipiell jede Web-Plattform für den kommunikativen Austausch zwischen Menschen von Cyberkriminellen für einen solchen Angriff missbraucht werden könnte.

Foto: KnowBe4

Dr. Martin J. Krämer warnt: Einige Cyberkriminelle geben sich mittlerweile etwa als Teil des IT-Supports einer Plattform aus!

Jüngste Phishing-Angriffe auf MdB lenken Aufmerksamkeit auf technische Sicherheit von Messenger-Diensten

Krämer führt aus: „In den vergangenen Wochen haben die im April publik gewordenen IT-Support-Phishing-Angriffe auf Abgeordnete des deutschen Bundestags die mediale Aufmerksamkeit auf die technische Sicherheit von Messenger-Diensten, wie ,Signal’ und ,Wire’, gelenkt.“

• Zunächst einmal gelte es festzuhalten: „Der für den Angriff missbrauchte Messenger-Dienst wurde nicht ‚gehackt‘. In seine Infrastruktur wurde nicht technisch eingebrochen!“ Die Angreifer hätten vielmehr Anfälligkeiten im Zusammenspiel zwischen den „Compliance“- und den technischen Prozessen der Web-Plattform und ihren Anwendern ausgenutzt und ihre Opfer mittels „Social Engineering“ und IT-Support-Phishing für ihre Zwecke manipuliert.

Ganz egal nämlich, ob z.B. „WhatsApp“, „Threema“, „Telegram“ oder „Wire“ – letztlich könne jede solcher Web-Plattformen für den kommunikativen Austausch zwischen Menschen von Cyberkriminellen für einen solchen Angriff missbraucht werden.

IT-Support-Phishing verhindern: Web-Plattformen als komplett gemanagten Messenger-Dienst nutzen

Er stellt klar: „Angreifer werden immer geschickter darin, ihre Opfer zu manipulieren. Ihre Angriffsstrategien werden immer komplexer. Einige Cyberkriminelle geben sich mittlerweile etwa als Teil des IT-Supports einer Plattform aus, generieren und versenden einen QR-Code, und versuchen dann, ihre Opfer dazu zu bewegen, den Code einzuscannen.“

• Gehen diese auf diese Aufforderung ein, werde – verdeckt im Hintergrund – eine bösartige App heruntergeladen, über welche die die Cyberkriminellen sich dann etwa Zugriff auf die eingehenden E-Mails ihrer Opfer verschaffen könnten.

Krämer erläutert: „Eine echte Lösung für die Sicherheitsproblematik ,Social Engineering’ und IT-Support-Phishing könnte nun etwa darin liegen, die Plattformen fortan nur noch als komplett gemanagten Dienst zu nutzen. In solch einem Fall ließen sich IT-Support-Phishing-Angriffe und ,Social Engineering’-Attacken tatsächlich verhindern.“

Auch im gemanagten Zustand nicht vor allen Phishing-Varianten geschützt

„Mit Funktionen wie ,Wire for Enterprise’ etwa, könnte ein Administrator dann den Zugriff auf die App beschränken. Dies funktioniert jedoch nur, wenn das Opfer sein Smartphone und seine Messenger-App beruflich nutzt. Wechselt es von der Firmen- in die private Verbraucherperspektive über, entfällt dieses Sicherheitsnetz wieder.“

• Auch im gemanagten Zustand wären Anwender aber – das sollte allen klar sein – nicht vor allen Phishing-Varianten geschützt. Mittels sogenanntem Smishing, also Phishing per SMS, etwa, könnten Angreifer ihre Opfer auch dann noch zum Herunterladen eines QR-Codes animieren.

Anstatt ihr Heil nun einfach in der Implementierung einer neuen Messenger-Technologie zu suchen – welche ebenfalls für „Social Engineering“-Attacken missbraucht werden könnte – sollten die Abgeordneten deshalb lieber in zusätzliche „Security Awareness“-Trainings investieren.

„Phishing Threat Trends Report“ von KnowBe4: Angreifer tendieren zu Multi-Channel-Strategien

„In unserem aktuellen ,Phishing Threat Trends Report’ stellten unsere Analysten fest, dass sich ,Social Engineering’- und Phishing-Angriffe mehr und mehr von einer Mono-Channel- in Richtung einer Multi-Channel-Strategie weiterentwickeln, dass Angreifer nach immer neuen Ansatzpunkten für eine erfolgreiche Attacke suchen.“

• Der Wechsel zu einem neuen Messenger-Dienst dürfte am eigentlichen Problem deshalb nur wenig ändern. „Den Schutz vor Spionage und ungewolltem Datenabfluss wird er allenfalls vorübergehend erhöhen können.“

Abschließend gibt Krämer zu bedenken: „Nur wer sich über die unterschiedlichen aktuell populären Angriffstechniken kontinuierlich auf dem Laufenden hält, wer sein Sicherheitsbewusstsein systematisch stärkt, wird sich langfristig erfolgreich vor solchen und ähnlichen Angriffen schützen können!“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

knowbe4, April 2026
Phishing Threat Trends Report

tagesschau, 23.04.2026
Signal-Konten von Politikern Was der Phishing-Angriff für den Bundestag bedeutet

wire
Wire für Enterprise / Sicher und reibungslos in Unternehmen kommunizieren

datensicherheit.de, 07.05.2026
Vermeintlicher Tech Support: Scam-Kampagne adressiert C-Level in Unternehmen / Zeitspanne vom Erstkontakt bis zur Ausführung bösartiger Skripte kann unter zwölf Minuten liegen – die neue Scam-Kampagne stellt rein reaktiv angelegte IT-Sicherheit ernsthaft auf die Probe

[datensicherheit.de, 15.01.2026] Chatgruppen in Messengern wie „WhatsApp“, „Signal“ oder „Threema“ gehören für die Mehrheit der Deutschen inzwischen offenbar zum Alltag: Ob mit der Familie, dem Freundeskreis, dem Sportverein oder den anderen KITA-Eltern – insgesamt 63 Prozent der Deutschen sind nach aktuellen Erkenntnissen des Digitalverband Bitkom e.V. Teil solcher Gruppenchats. Unter den Jüngeren zwischen 16 und 29 Jahren nutzten sie diese mit 72 Prozent am meisten, unter den Ältesten ab 65 Jahren mit 43 Prozent im Altersvergleich am wenigsten. Bitkom Research hat demnach im Auftrag 1.002 Personen in Deutschland ab 16 Jahren telefonisch befragt. Diese repräsentative Befragung habe im Zeitraum der Kalenderwochen 41 bis 46 2025 stattgefunden.

Foto: Bitkom e.V.

Dr. Sebastian Klöß: Auch im Digitalen Raum empfinden viele – ähnlich wie im persönlichen Miteinander „face-to-face“ – einen gewissen sozialen Druck.

In zehn oder mehr Gruppenchats sind acht Prozent der Deutschen vertreten

In nur einem einzigen Gruppenchat seien insgesamt 13 Prozent der Deutschen Mitglied, in zwei bis vier Gruppen ein Viertel (25%) und in fünf bis neun 17 Prozent. In sogar zehn oder mehr Gruppenchats seien acht Prozent der Deutschen vertreten. Im Durchschnitt seien die Deutschen also Mitglied in fünf Gruppenchats.

• Grundsätzlich finde eine Mehrheit diese durchaus nützlich: Zwei Drittel (66%) der Nutzer von Gruppenchats verpassten nach eigenen Angaben dadurch seltener wichtige Termine oder Informationen.

Aber nicht alle Gruppenchats scheinen einen solchen Mehrwert zu liefern: Regelmäßig genutzt – also gelesen oder für eigene Nachrichten verwendet – würden im Schnitt nur drei Gruppenchats. „Gruppenchats sind für viele ein praktisches Werkzeug, um Termine abzustimmen, Informationen auszutauschen oder einfach in Kontakt zu bleiben. Gleichzeitig können sie durch die Vielzahl an Nachrichten auch überfordern“, erläutert Dr. Sebastian Klöß, „Consumer Technology“-Experte beim Bitkom.

Niemand muss in jedem Chat dauerhaft präsent sein

„Viele Menschen, viele Nachrichten, viele Meinungen“ – bei einigen führe es zur Überforderung. So fühlten sich 63 Prozent der Menschen in Gruppenchats gestresst, wenn viele neue Nachrichten darin auflaufen. 40 Prozent seien manchmal sogar so genervt, dass sie Gruppenchats stummschalteten.

• Ganz auszutreten, trauten sich aber viele dann doch nicht: 45 Prozent hätten das Gefühl, Gruppenchats nicht einfach verlassen zu können, selbst wenn sie diese stören.

„Auch im Digitalen Raum empfinden viele – ähnlich wie im persönlichen Miteinander ,face-to-face’ – einen gewissen sozialen Druck. Viele bleiben in Gruppen, um niemanden vor den Kopf zu stoßen. Dabei muss in der Regel eigentlich niemand in jedem Chat dauerhaft präsent sein“, gibt Klöß abschließend zu bedenken.

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Dr. Sebastian Klöß: Leiter Märkte & Technologien Bitkom e.V.

datensicherheit.de, 27.11.2025
Chat-Kontrolle „light“ für EU beschlossen: DAV warnt vor „freiwilligen“ Überwachungsmaßnahmen / Der DAV betont in seiner Stellungnahme, auch diese abgeschwächte Form der Chat-Kontrolle abzulehnen

[datensicherheit.de, 06.03.2025] Nach mehr als zwei Jahrzehnten soll nun Schluss sein: Microsoft plant demnach, seinen Messenger „Skype“ endgültig abzuschalten – für Nutzer dieser Anwendung bedeutet das, dass sich diese zum 5. Mai 2025 eine Alternative suchen sollten. Peer Heinlein, Gründer und Geschäftsführer der Heinlein Gruppe, betont daher in seiner diesbezüglichen Stellungnahme, wie wichtig es generell sei, sich digital souverän in Deutschland und Europa aufzustellen:

Foto: Heinlein Gruppe

Peer Heinlein kritisiert „knallharte Entscheidung“, vor die Microsoft Kunden des Videokonferenz-Dienstes „Skype for Business“ nun stellt…

Abschaltung von „Skype for Business“ verdeutlicht wie gefährlich abhängig der Vendor-Lockin macht

Heinlein kommentiert die vorgesehene Abschaltung: „Es ist eine knallharte Entscheidung, vor die Microsoft die Kunden des Videokonferenz-Dienstes ,Skype for Business’ stellt: Migration in die US-Cloud zu ,Teams’ unter Ignoranz der zahlreichen Bedenken von Datenschützern und Sicherheitsspezialisten. Oder Verlust der Business-Kommunikationsstruktur.“

Denn Microsoft stelle „Skype for Business“ einfach ein und verdeutliche einmal mehr, „wie gefährlich abhängig der ,Vendor-Lockin‚ macht“.

Ende der „Skype-“Verfügbarkeit unterstreicht Vorteile von Open-Source-Software

Die aktuellsten politischen Entwicklungen bewiesen, wovor IT-Experten immer gewarnt hätten: „Auf US-Clouds ist strategisch wie politisch kein Verlass!“ Unternehmen wie Behörden müssten ihre IT mit Open-Source-Software digital souverän in Deutschland oder Europa aufstellen, um handlungsfähig zu bleiben.

Alles Andere sei in der Vergangenheit schon verantwortungslos gewesen und sei es angesichts der aktuellsten Entwicklungen nun umso mehr.

Weitere Informationen zum Thema:

CHIP, Michael Humpa, 03.03.2025
Aus für Skype: Wohin jetzt alle Nutzer wechseln sollen

golem.de, David Wagner, 28.02.2025
Microsoft: Skype wird geschlossen / 2003 erschienen, 2011 von Microsoft übernommen und 2025 geschlossen…

datensicherheit.de, 26.06.2020
Datenschutzkonforme Verwendung von Videokonferenz-Tools / Zahlreiche Kriterien mit Einfluss auf die Wahl des Tools

datensicherheit.de, 27.03.2020
Zoom, Skype, Teams und Co. – Sicherer Gebrauch von Web-Konferenzensystemen / Zunehmenden Digitalisierung und Globalisierung, wie auch der Coronavirus-Pandemie, steigern die Nutzerzahlen virtueller Konferenz-Software

[datensicherheit.de, 11.04.2024] ESET-Forscher haben nach eigenen Angaben eine Cyber-Spionagekampagne entdeckt, welche demnach „Android“-Nutzer in Südasien – vor allem in Indien und Pakistan – ins Visier nahm. Die Masche dieser Hacker-Gruppe laut ESET: „Gefälschte Messenger-Apps, die zwar funktionieren, gleichzeitig aber Schadcode enthalten und sensible Daten stehlen.“ Mit dieser Attacke habe die bis dato unbekannte und von ESET „Virtual Invaders“ genannte Hacker-Gruppe gezielt „Android“-Nutzer in der Region ausspioniert. „Virtual Invaders“ sei von November 2021 bis Ende 2023 aktiv gewesen und habe die Fake-Apps über spezielle Webseiten und auf „Google Play“ verbreitet. „Es kommt immer wieder vor, dass Cyber-Kriminelle funktionierende Apps programmieren und veröffentlichen, um an Daten von Nutzern zu gelangen“, erläutert ESET-Forscher Lukas Stefanko, der Entdecker dieser Hacker-Kampagne. Seine Empfehlung: „Nutzer sollten sich bei ihren Messenger-Apps auf die gängigen Anbieter verlassen und vor allem davon absehen, Anwendungen aus unseriösen Quellen herunterzuladen.“

Hacker verbreiteten zahlreiche Fake-Apps mit weitreichenden Rechten

Die Apps seien äußerlich nicht von legitimen Messengern zu unterscheiden gewesen. „Schaute man allerdings unter die Haube, ergab sich ein anderes Bild: Alle Apps enthielten den Open-Source-Schadcode ,Android XploitSPY RAT’. Dieser beliebte Code ermöglicht Hackern, Kontaktlisten und Dateien zu extrahieren, den GPS-Standort des Geräts auszulesen und die Namen bestimmter Ordner herauszufinden.“

Hierzu hätten Verzeichnisse wie der Kamera- und Downloads-Ordner sowie anderen Messaging-Apps, z.B. „Telegram“ und „WhatsApp“ gehört. „Hatten die Hacker eine interessant klingende Datei gefunden, reichte ein Befehl vom Command-and-Control-Server (C&C), um sie zu extrahieren.“

Darüber hinaus hätten die Fake-Apps betroffene Smartphones in regelrechte Wanzen verwandelt: Auf Befehl der Hacker hin hätten die Anwendungen auf Kameras und Mikrofone der Geräte zugegriffen, um ihre Umgebung auszuhorchen.

„Interessanterweise ist die Implementierung der in ,XploitSPY’ integrierten Chat-Funktion einzigartig; wir gehen deshalb davon aus, dass diese Chat-Funktion von der ,Virtual Invaders’-Gruppe entwickelt wurde“, berichtet Stefanko.

Hacker konnten Malware vor Sicherheitstools verstecken

Die Malware verwende eine systemeigene Bibliothek, die häufig bei der Entwicklung von „Android“-Apps zur Verbesserung der Leistung und zum Zugriff auf Systemfunktionen eingesetzt werde. In diesem Fall werde die Bibliothek jedoch verwendet, um sensible Informationen zu verbergen, wie z.B. die Adressen der C&C-Server, wodurch es für Sicherheitstools schwieriger werde, die App zu analysieren. Die Hacker-Kampagne habe sich im Laufe der Jahre weiterentwickelt und umfasse nun auch Verschleierung, Emulatorerkennung und das Verstecken von C&C-Adressen.

„Google Play“ habe die betroffenen Apps – „Dink Messenger“, „Sim Info“ und „Defcom“ – nach ihrer Entdeckung entfernt. Darüber hinaus habe ESET als Partner der „Google App Defense Alliance“ zehn weitere Apps identifiziert, welche auf Code von „XploitSPY“ basierten und Google darüber informiert, woraufhin diese ebenso entfernt worden seien.

„Alle schadhaften Apps wiesen nur eine geringe Anzahl von Installationen auf. Dies deutet eher auf einen gezielten Ansatz als eine breit angelegte Strategie hin.“ Insgesamt hätten rund 380 Nutzer die Apps von Websites und aus dem „Google Play Store“ heruntergeladen und Konten erstellt, um die Nachrichtenfunktionen zu nutzen. Aufgrund des gezielten Charakters der Hacker-Kampagne sei die Anzahl der Installationen der einzelnen Apps von „Google Play“ relativ gering: Sie liege zwischen null und 45.

Weitere Informationen zum Thema:

welivesecurity by eseT, Lukas Stefanko, 10.04.2024
ESET Research / eXotic Visit campaign: Tracing the footprints of Virtual Invaders

[datensicherheit.de, 16.05.2023] Lookout betont in einer aktuellen Stellungnahme, dass man grundsätzlich vorsichtig sein sollte bei jeder Art von Textnachrichten, „die man erhält und die mit dem Anspruch auf Dringlichkeit auftritt“ – diesen Tipp sollten Nutzer sogenannter Messenger und SMS-Nachrichten immer im Kopf haben. Dies gilt demnach besonders dann, wenn man eine zufällige Nachricht von seinem angeblichen Chef oder „CEO“ erhält, in der zu lesen ist: „Hallo Herr oder Frau Soundso, ich brauche heute bis um 15 Uhr folgende Finanzinformationen …“ – und es ist tatsächlich bereits 13.30 Uhr, wodurch „Eile angesagt“ wäre.

Foto: Lookout

Sascha Spangenberg: Prinzipiell verdächtige Anwendungen könnten Bedrohungsakteure als Einfallstor für Phishing-Angriffe missbrauchen!

Lookout rät zur Überprüfung, ob Nachricht aus seriöser Quelle stammt

Sascha Spangenberg, Manager bei Lookout, rät hierzu: „Am besten überprüft man immer sofort, ob die Nachricht aus einer seriösen Quelle stammt. Zum Beispiel wenn es um einen Text geht, der einen Hyperlink enthält und behauptet: ,Heute kommt eine Lieferung, die sofort bestätigt werden muss’ oder ,Sie müssen Ihre Finanzdaten aktualisieren und auf diesen Link klicken, um sich anzumelden’.“ Er warnt, dass es sich dann in den meisten Fällen dabei tatsächlich um eine Art von Phishing-Versuch handele, „mit dem man entweder auf eine bestimmte Internet-Seite geführt werden soll und auf der man dann aufgefordert wird, sensible Daten wie die eigenen Bankinformationen einzugeben“. Zudem komme es in einigen Fällen (wie zum Beispiel bei dem Banking-Trojaner „FluBot“) sogar dazu, „dass man aufgefordert wird, eine gefährliche Anwendung auf sein eigenes Gerät herunterzuladen“.

Man sollte deshalb prinzipiell misstrauisch bei jeder Textnachricht sein, in der man um vertrauliche Informationen gebeten wird – unabhängig davon, ob jemand vorgibt, vom gleichem Arbeitgeber zu kommen, oder vortäuscht, die Position eines Vorgesetzten zu besitzen. Seriöse Unternehmen machten so etwas nicht. Man sollte sich in einem solchen Fall an eine seriöse Quelle wenden – wie zum Beispiel direkt an die eigene Bank oder an den Kundendienst eines Versandunternehmens, um sofort die Echtheit der Kontaktaufnahme zu überprüfen. Wenn eine SMS von jemandem aus dem Unternehmen zu stammen scheint, für das man selbst arbeitet, von der man aber noch nie etwas gehört hat oder einen direkten Kontakt zu ihr gehabt hatte, möge man sich direkt über ein anderes Medium wie zum Beispiel einen Telefonanruf unmittelbar an diese Person wenden und sie direkt fragen: „Hallo, waren Sie das wirklich?“

Auffällige Anzeichen dafür, dass eine Android-App eventuell nicht sicher ist, lt. Lookout:

Wenn eine „Android“-App eine große Anzahl von Berechtigungen verlangt oder solche, die für die Aufgabe unnötig erscheinen, ist sie möglicherweise alles andere als sicher. Dies ist zum Beispiel dann der Fall, wenn eine Anwendung im Hintergrund (Flashlight- oder Wallpaper-App) plötzlich Zugriff auf die Audio-Funktionen des Geräts, die Kamera, SMS-Nachrichten oder andere auffällige und unbegründete Berechtigungen anfordert. Man erlebt es leider oft, dass sich bösartig orientierte Anwendungen als harmlos tarnen und so viele Informationen wie nur irgend möglich einsammeln wollen. Allzu oft gehen die Anwender gar nicht von dem Ernstfall aus, dass man wirklich versucht hatte, sie anzugreifen, und machen allzu leichtsinnig den Fehler, auf „OK“ zu klicken.

Ein weiteres Anzeichen dafür, dass die Anwendung bösartig gesinnt ist, besteht darin, wenn man sie vielleicht sogar selbst installiert hat und sie dann plötzlich nicht mehr richtig funktioniert oder wenn man sie nicht mehr auf seinem Gerät identifizieren kann – das bedeutet dann wahrscheinlich, dass im Hintergrund bereits etwas Schlimmes passiert ist. Man kann dies häufig bei Überwachungsprogrammen beobachten, bei denen man eine Anwendung installieren kann, die sich zwar als harmlos ausgibt und die sich dann nach dem Starten das Symbols nicht mehr auf dem Gerät zu befinden scheint, ohne dass die Anwendung selbst wirklich entfernt worden ist. Dies sollte man als einen Hinweis darauf lesen, dass ein bösartig gesinnter Angreifer versucht hat und dies weiter tun wird, Informationen über einen selbst einzusammeln.

Man sollte auf jeden Fall vorsichtig bei solchen Anwendungen sein, die „Accessibility Services“ einfordern, also eine Art von Zugangsberechtigung. Dies ist zwar eine völlig legitime Funktion des Betriebssystems von „Android“, die es Anwendern mit Behinderungen ermöglicht, mit ihrem Gerät zu interagieren, aber Bedrohungsakteure missbrauchen dies oft: Sie wollen damit alles sehen oder beobachten können, was man gerade auf seinem Gerät unternimmt. Dies erlaubt ihnen zum Beispiel zu beobachten, ob man gerade eine Messaging- oder eine Banking-Anwendung geöffnet hat. Anschließend könnten sie zum Beispiel auf der Grundlage der Ereignisse, die sie mitbekommen, in ihrem Sinne reagieren, und Nachrichten an die im Hintergrund agierende bösartige Anwendung weiterleiten.

Lookout-Tipps: Wie man erkennt, ob iPhone- oder Android-Anwendung Sicherheitsberechtigungen missbraucht:

Wenn eine „iPhone“- oder „Android“-Anwendung Zugriff auf Gerätefunktionen anfordert, die für den Zweck der Anwendung nicht sinnvoll erscheinen, könnte sie absichtlich oder unabsichtlich mehr Informationen einsammeln, als sie eigentlich sollte. Dies könnte dann ein Fall von mangelhafter Sicherheit der Anwendung oder ein Indiz für bösartige Aktivitäten sein. Neuere Versionen von Betriebssystemen benachrichtigen die Benutzer in der Regel, wenn eine App auf bestimmte Funktionen zugreifen möchte, zum Beispiel auf den Standort oder die Kamera. Wenn die App den Zugriff jedoch nicht für die vorgesehene Funktion benötigt oder man eine Zugriffsanforderung zu einem Zeitpunkt beobachten kann, der keinen unmittelbaren Sinn ergibt (zum Beispiel bei der Anforderung von Standortdaten, wenn man gerade keine Karteninformationen verwendet), könnte dies ein Warnsignal sein.

Wenn man ein Gerät verwendet, das eine Verbindung zur Infrastruktur des Unternehmens herstellt, besteht immer das Risiko, dass sensible Daten über den eigenen Arbeitsplatz in Gefahr stehen könnten. Lookout-Daten zeigen, dass praktisch einer von drei Mitarbeitern von Zuhause aus mehr als 20 Stunden pro Woche mit seinem persönlichen Tablet oder Smartphone arbeitet. Und auf solchen Geräten befinden sich oft Dutzende von nicht zugelassenen, also prinzipiell verdächtigen Anwendungen, die von Bedrohungsakteuren als Einfallstor für ihre Phishing-Angriffe genutzt werden könnten. 32 Prozent der Remote- und Hybrid-Mitarbeiter verwenden demnach Apps oder Software, die nicht von der IT-Abteilung genehmigt wurden, und 92 Prozent der externen Mitarbeiter erledigen Aufgaben für ihren Beruf auf ihren persönlichen Tablet- oder Smartphone-Geräten.

[datensicherheit.de, 27.06.2022] Laut Medienberichten soll es zur Entdeckung eines groß angelegten „facebook Messenger“-Betrugs gekommen sein, von dem möglicherweise Hunderte Millionen „facebook“-Nutzer betroffen sein könnten, was abermals das weltweite Bedrohungspotenzial durch Phishing-Angriffe verdeutlicht. PIXM meldet, dass im Jahr 2021 2,7 Millionen Nutzer eine Phishing-Seiten besucht hätten – und rund 8,5 Millionen bisher im Jahr 2022. Das stellt laut einer aktuellen Stellungnahme von KnowBe4 „ein enormes Wachstum dieser Angriffsmethode im Vergleich zum letzten Jahr dar“.

Links zu Phishing-Seite stammen wohl von facebook selbst

Hierbei nutzten die Bedrohungsakteure kompromittierte „facebook“-Konten, um die Phishing-Seiten über den „facebook Messenger“ zu verbreiten. Die Links stammten dabei wohl von „facebook“ selbst, so die Forscher. „Das heißt, das Konto eines Nutzers wird kompromittiert, und der Bedrohungsakteur loggt sich wahrscheinlich automatisch in dieses Konto ein und schickt den Link über ,facebook Messenger‘ an die ,Freunde‘ des Nutzers.“ Das interne „Threat Intelligence Team“ von Facebook sei in diese Systeme zum Sammeln von Anmeldeinformationen eingeweiht, doch diese Gruppe setze eine Technik ein, um die Blockierung ihrer URLS zu umgehen.

Diese Technik beinhalte die Verwendung legitimer Anwendungsdienste, welche das erste Glied in der Umleitungskette darstellten, sobald der Benutzer auf den Link geklickt hat. Anschließend werde er auf die eigentliche Phishing-Seite umgeleitet. Auf „facebook“ erscheint aber ein Link, „der mit einem legitimen Dienst generiert wurde, den ,facebook‘ nicht ohne weiteres blockieren kann“.

Die Kampagne nutze eine Automatisierung, um verschiedene Phishing-Seiten zu durchlaufen und so die Erkennung durch Sicherheitstechnologien zu vermeiden. „Sobald eine der URLs dennoch entdeckt und blockiert wird, haben es die Bedrohungsakteure recht einfach einen neuen Link mit demselben Dienst und einer neuen eindeutigen ID zu erstellen.“ Diese Beobachtungen zeigten, dass pro Dienst mehrere an einem Tag verwendet worden seien. Die Nutzung dieser Dienste ermögliche es, die Links der Bedrohungsakteure für lange Zeit verborgen zu halten und eine Blockierung durch den „facebook Messenger“ zu vermeiden.

Beliebte Angriffstechniken neben Phishing

Bei einem klassischen Phishing-Angriff werde versucht, sensible Informationen wie Benutzernamen, Kennwörter und Kreditkartendaten zu erlangen. Die Bedrohungsakteure gäben sich hierbei als vertrauenswürdiges Unternehmen aus und verschickten Massen-E-Mails, um Spam-Filter zu umgehen und oftmals sorglose Nutzer zum Anklicken schadhafter Links zu verleiten. Nachfolgend eine kleine KnowBe4-Übersicht weiterer beliebter Techniken, mit denen „täglich weltweit Tausende von Unternehmen und Privatpersonen angegriffen werden“:

Vishing
Vishing stehe für „Voice-Phishing“. Dabei handele es sich um eine Betrugsmasche, bei der die Opfer in Form eines Telefonanrufs oder einer Sprachnachricht – kontaktiert und dann mündlich nach ihren persönlichen Daten befragt würden.

Ransomware
Angreifer nutzten Ransomware, um die Daten der Opfer zu verschlüsseln und ihre Computer oder Systeme zu sperren. Folglich würden die Opfer damit erpresst, ein Lösegeld zu zahlen, um ihre Daten und ihren Zugriff zurückzuerhalten.

Social Engineering
Dies bezeichne den Einsatz psychologischer Manipulation, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben oder Zugang zu Geldern zu gewähren. Die Kunst des „Social Engineering“ könne auch darin bestehen, Informationen von Social-Media-Plattformen zu sammeln, um potenzielle Opfer damit zu manipulieren.

Wirksame Verteidigung gegen Phishing-Kampagnen

Schulungen zum Sicherheitsbewusstsein (wie z.B. solche von KnowBe4) könnten Mitarbeitern und Unternehmen helfen, die raffinierten Betrugsmethoden zu durchschauen, welche es schafften, die Sicherheitsfilter der Unternehmen zu umgehen.

Grundsätzlich werde hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings sei es, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen.

Weitere Informationen zum Thema:

PIXM
Phishing tactics: how a threat actor stole 1M credentials in 4 months

datensicherheit.de, 04.04.2022
Fanpages: Facebook-Verstöße gegen Europäisches Datenschutzrecht auch Seitenbetreibern zuzurechnen / Datenschutzkonferenz hat Kurzgutachten zur aktuellen Situation und datenschutzrechtlichen Konformität des Betriebs sogenannter Fanpages erstellt

datensicherheit.de, 06.10.2021
Massiver IT-Ausfall bei facebook: Abhängigkeit von Digitalen Identitäten fordert Unternehmen heraus / Digitale Identitäten für Nutzung von Anwendungen in Unternehmen unverzichtbar

datensicherheit.de, 07.04.2021
Facebook-Datenleck: Maßnahmen gegen drohenden Identitätsdiebstahl / Persönliche Daten von 533 Millionen Facebook-Nutzern, einschließlich Telefonnummern, online geleakt

[datensicherheit.de, 19.07.2021] „Pegasus“ sei ein „Remote Access Tool“ (RAT) mit Spyware-, also Spionagesoftware-Eigenschaften, erläutert Jakub Vavra, „Mobile Threat Analyst“ bei Avast, in seiner Stellungnahme. „Android“-Varianten dieser Spyware könnten Daten von beliebten Messenger-Plattformen wie „WhatsApp“, „facebook“ und „Viber“ sowie aus E-Mail-Programmen und Browsern extrahieren.

Foto: Avast

[avast-jakub-vavra.jpg]

Jakub Vavra: Pegasus ein gefährliches Tool, das sich zum Ausspionieren von unwissenden Personen missbrauchen lässt

Pegasus kann Bildschirm der Benutzer über Mikrofon und Kamera aus der Ferne überwachen

„Pegasus“ sei in der Lage, den Bildschirm der Benutzer über Mikrofon und Kamera aus der Ferne zu überwachen, Screenshots zu erstellen und die Eingaben der Smartphone-Besitzer per Keylogging aufzuzeichnen. „Diese Funktionen machen ,Pegasus‘ zu einem gefährlichen Tool, das sich zum Ausspionieren von unwissenden Personen missbrauchen lässt“, warnt Vavra.
„Seit 2016 haben wir mehrere Versuche von ,Pegasus‘-Spyware, in ,Android‘-Telefone einzudringen, verfolgt und blockiert, die meisten davon im Jahr 2019.“ Avast blockiere „Pegasus“ wie jede andere Spyware, um Nutzer zu schützen.

Pegasus wird offenbar zu Überwachungszwecken eingesetzt

Offensichtlich werde „Pegasus“ sehr gezielt eingesetzt, denn im Gegensatz zu weit verbreiteter Spyware zum massenhaften Abgreifen von Nutzerdaten, habe „Pegasus“ eine geringe Verbreitung und werde nur bei wenigen Personen – offenbar zu Überwachungszwecken – eingesetzt.
Die minimale Verbreitung dieser Spyware mache diese nicht weniger gefährlich, denn für jeden Einzelnen, der überwacht wird, „sei der Schaden für die Privatsphäre sicherlich enorm hoch“, so Vavra.

Weitere Informationen zum Thema:

datensicherheit.de, 04.02.2021
Smart-Home-Geräte: Avast rät zu mehr Sicherheit in 7 Schritten

[datensicherheit.de, 07.07.2021] Der Digitalcourage e.V. übt nach eigenen Angaben Kritik an dem „absehbaren Beschluss des Europäischen Parlaments zur sogenannten Chatkontrolle“: Die temporäre Befugnis für private Anbieter von E-Mail- und Messenger-Diensten, sämtliche Nachrichten auf Inhalte mit Bezug zu Kindesmissbrauch zu untersuchen, sei „ein gefährlicher Präzedenzfall, der zudem die Opfer nicht schützt“. Weiterhin bestehe die Gefahr, dass, ähnlich wie bei anderen Überwachungsinstrumenten, die Inhalte der automatisierten Untersuchung kontinuierlich ausgeweitet würden. Den Schutz von Missbrauchsopfern gegen das Grundrecht auf geschützte Kommunikation auszuspielen sei keine Lösung. Automatisierte Überwachung könne klassische Polizeiarbeit in diesem sensiblen Bereich nicht ersetzen.

Digitalcourage: Angriff auf vertrauliche Kommunikation der Bürger stellt diese unter Generalverdacht

Dieser Beschluss sei „ein Angriff auf die vertrauliche Kommunikation von Bürgerinnen und Bürgern“ und setze diese faktisch einem unzulässigen Generalverdacht aus. Während immer mehr Kommunikation heutzutage online stattfinde, sei dieser Eingriff in das „digitale Briefgeheimnis“ ein völlig falsches Signal.
Auch könne solche Massenüberwachung nicht zwischen potenziellen Straftätern und besonders schutzbedürftige Formen der Kommunikation differenzieren – „z.B. von Opfern von sexualisierter Gewalt“ mit ihren Therapeuten oder Anwälten. Der Beschluss vom 6. Juli 2021 gelte bis Ende 2022 – die endgültige Verordnung solle im Oktober 2021 vorgelegt werden.

Digitalcourage erinnert an Zensursula-Debatte

„Wir erinnern an dieser Stelle noch einmal an die ,Zensursula‘-Debatte in Deutschland, bei der mit demselben vorgeschobenen Grund der Verhinderung und Aufklärung der sexuellen Folter von Kindern, eine Zensursur-Infrastruktur aufgebaut werden sollte.“
Damals habe sich aus dem Protest heraus der Verein MOGiS e.V., „MissbrauchsOpfer Gegen InternetSperren“, gegründet und aus der Protestbewegung heraus schließlich mit den „Piraten“ auch eine in etliche Parlamente einziehende Partei.

Weitere Informationen zum Thema:

datensicherheit.de, 28.04.2021
Automatisierte Nachrichten- und Chat-Kontrolle: Mehrheit gegen EU-Pläne / Meinungsumfrage von YouGov unter 10.265 Bürgern aus zehn EU-Ländern

MOGiS
Wer Wir sind

[datensicherheit.de, 15.05.2021] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) wird nach eigenen Angaben gemeinsam mit anderen Verbänden und Unternehmen eine konzertierte Initiative gegen die geplante Mitwirkungspflicht für Kommunikationsdienste bei staatlicher Überwachung und gegen die gezielte Schwächung von Verschlüsselung unterstützen.

Laut TeleTrusT detailliertes Schreiben an Mitglieder des Deutschen Bundestages bzw. an die Bundesregierung übersandt

Dr. Holger Mühlbauer, TeleTrusT-Geschäftsführer, erläutert: Hinsichtlich des anstehenden Gesetzes zur Anpassung des Verfassungsschutzrechts wendeten sich Fachkreise gegen eine Ausweitung staatlicher Überwachung und die Schwächung verschlüsselter Kommunikation von Nutzern digitaler Dienste wie E-Mail, VoiP oder Messenger-Anwendungen.
Unter der Federführung von Facebook Deutschland sei anlässlich der für den 14. Mai 2021 angesetzten Expertenanhörung im Bundestags-Innenausschuss ein detailliertes Schreiben an Mitglieder des Deutschen Bundestages bzw. an die Bundesregierung übersandt worden.

TeleTrusT kritisiert ernste Gefahren für sichere Kommunikation zwischen Journalisten mit ihren Quellen

Im Besonderen gehe es dabei um vorgesehene Mitwirkungspflichten für Unternehmen bei der Implementierung von Überwachungsmaßnahmen der Nachrichtendienste und Sicherheitsbehörden. Aus Sicht der Unterzeichner seien Folgewirkungen „gravierend“ für die Cyber-Sicherheit in Deutschland.
„Beispielsweise drohen nicht nur ernste Gefahren für die sichere Kommunikation zwischen Journalistinnen und Journalisten mit ihren Quellen, sondern ist verschlüsselte Kommunikation oftmals das einzige Mittel für zivilgesellschaftliche Organisationen, um mit besonders Schutzbedürftigen in Verbindung zu treten“, gibt Dr. Mühlbauer zu bedenken.

Potenzielle Sicherheitslücken: TeleTrusT warnt auch vor Missbrauch durch Cyber-Kriminelle

Bedenken und Kritik richteten sich gegen die weite und unklare Fassung der Mitwirkungspflicht, wonach ausdrücklich alle Telekommunikationsdienste – was auch Messenger und E-Mail umfasse – Nachrichtendienste bei der Realisierung von Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) unterstützen sollten. So könnten zukünftig Messenger-Dienste wie beispielsweise „Threema“, „Signal“ oder „WhatsApp“, aber auch E-Mail- oder Videokonferenzdienste je nach Gesetzesauslegung mit Anfragen und dem Verlangen von Sicherheitsbehörden konfrontiert werden, Schadsoftware auf den Endgeräten der Nutzer zu platzieren.
Anbieter müssten potenzielle Sicherheitslücken vorhalten. Die Kenntnis darüber könnte fremden Nachrichtendiensten oder Cyber-Kriminellen nützlich sein. Damit konterkariere diese Anpassung des Verfassungsschutzrechts auch die erst kürzlich verabschiedete Novelle des IT-Sicherheitsgesetzes (ITSIG 2.0) und das Datenschutzrecht allgemein, „denn einerseits sollen Anbieter größtmögliche Vertraulichkeit und Datensicherheit gewährleisten, andererseits könnten sie zur Mitwirkung bei der Schwächung IT-Sicherheit zum Zwecke staatlicher Ausspähung verpflichtet werden.“

TeleTrusT sieht sichere Verschlüsselung als bedeutsamen Wirtschaftsfaktor

Sichere Verschlüsselung sei darüber hinaus ein bedeutsamer Wirtschaftsfaktor. „Für viele IT-Unternehmen ist das Angebot sicherer und verschlüsselter Kommunikation (insbesondere mittels Technologie ,Made in Germany‘ / ,Made in the EU‘) auch ein wichtiges und wachsendes Geschäftsfeld.“
Sollten aufstrebende Unternehmen künftig dazu verpflichtet werden können, Behörden Zugang zur Kommunikation ihrer eigenen Geschäftskreise zu gewähren, werde dies zu einem Vertrauensverlust gegenüber einer ganzen Zukunftsbranche führen, warnt Dr. Mühlbauer. Diese Vorhaben der Bundesregierung seien damit vor allem auch schädlich für die Innovationskraft der hiesigen Digitalwirtschaft.

Weitere Informationen zum Thema:

datensicherheit.de, 12.02.2021
Bundespolizeigesetz: DAV sieht Licht und Schatten / Rechtsanwältin Lea Voigt, Vorsitzende des DAV-Ausschusses „Gefahrenabwehrrecht“, nimmt Stellung und warnt vor Folgen der Quellen-TKÜ

datensicherheit.de, 16.12.2020
eco warnt vor Schwächung der Vertrauenswürdigkeit digitaler Kommunikation / Staatliche Überwachung statt Erhöhung der IT-Sicherheit in der eco-Kritik

datensicherheit.de, 11.06.2019
Peter Schaar kritisiert Schnittstellen zur Ausleitung der Kommunikation / Hintertüren in Messengern und anderen Internetdiensten würden Informationssicherheit schwächen

[datensicherheit.de, 21.03.2021] Der eco – Verband der Internetwirtschaft e.V. geht in seiner aktuellen Stellungnahme auf die geplante Identifizierungspflicht für Messenger ein und warnt vor „Hintertüren im Gesetzgebungsverfahren“. Das Bundesinnenministerium (BMI) fordere bei der Novelle des Telekommunikationsgesetzes (TKG) kurzfristige Änderungen, welche weitreichende Folgen für alle Internetnutzer hätten. Die Anfang März 2021 bekannt gewordene „Formulierungshilfe“, welche das BMI außerhalb des Regelprozesses an die Fraktion der CDU/CSU im Bundestag gereicht habe, sieht demnach eine Identifizierungspflicht für sogenannte nummern-unabhängiger Dienste vor – dies betreffe Messenger, Audio- und Videochats sowie E-Mail-Kommunikation. Diese sollten künftig Name, Anschrift und Geburtsdatum ihrer Nutzer erheben, überprüfen und speichern.

Foto: eco e.V.

Klaus Landefeld: Für Einsatz zur Gefahrenabwehr sind Staatstrojaner gänzlich ungeeignet!

Stellvertretender eco-Vorstandsvorsitzender nimmt Stellung

Der eco übt nach eigenen Angaben „scharfe Kritik am Vorgehen des Bundesinnenministers und lehnt eine derartige Verpflichtung entschieden ab“ – die geplanten Maßnahmen sollten faktisch eine Identifizierungspflicht vor der Inbetriebnahme von Geräten wie Mobiltelefonen, Notebooks und Tablets bedeuten, da die Nutzeraccounts bei jedem Hersteller standardmäßig mit mindestens einem Kommunikationsmittel verknüpft seien.
Der stellvertretende eco-Vorstandsvorsitzende, Klaus Landefeld, führt aus: „Auch viele weitere Dienste ermöglichen eine Kommunikation der Nutzer und müssten in Folge Angaben zur Identität der Nutzer nicht nur erheben, sondern diese Angaben auch überprüfen – mit anderen Worten, sich den Ausweis zeigen lassen.“

eco befürchtet Vertrauensverlust und negative Folgen für Digitalstandort Deutschland

Eine solche Regelung würde aus Sicht des Verbandes die Vertrauenswürdigkeit und Integrität von Kommunikation im Internet weiter schwächen. Landefeld befürchtet außerdem, „dass insbesondere kleine und mittlere Unternehmen in diesem Bereich überfordert wären, denn eine Überprüfung von Daten zur Ermittlung der Identität von Nutzern sei stets mit einem hohen organisatorischen und finanziellen Aufwand für die Erhebung und Verifikation verbunden“.
Darüber hinaus könnte es auch zu einer Abwanderung von Nutzern kommen, welche in einer globalisierten Welt die ohne großen Aufwand nutzbaren („click-baren“) Dienste aus dem Ausland bevorzugen würden.

eco moniert fehlende Überwachungsgesamtrechnung

Insgesamt bereite eco die Fülle neuer gesetzlicher Maßnahmen und Verpflichtungen aus den gegenwärtig vorliegenden Gesetzesentwürfen große Sorge. „Die systematische und kontinuierliche Erweiterung der Überwachungsmaßnahmen wie sie in den Gesetzentwürfen zum Telekommunikationsgesetz, dem IT-Sicherheitsgesetz, dem BND-Gesetz, dem Verfassungsschutzgesetz und zur Fortentwicklung der Strafprozessordnung vorgesehen sind, ist in dieser Quantität und Qualität besorgniserregend“, so Landefeld.
Unabhängig von der Tatsache, dass die Umsetzung all dieser Überwachungsmaßnahmen die betroffenen Anbieter vor erhebliche Herausforderungen und Belastungen stelle, schwäche der deutsche Staat die Vertraulichkeit von Kommunikation durch heimliche Überwachung und gefährdet zudem die Sicherheit von IT-Infrastrukturen durch Hacking und „Staatstrojaner“. Von der verfassungsrechtlich gebotenen und angekündigten Überwachungsgesamtrechnung des Staates fehle hingegen weiterhin jede Spur: „Hier hält sich das BMI bedeckt“, merkt Landefeld an.

Gesetzgeber muss laut eco Alternativen prüfen

Der eco forder den Gesetzgeber dazu auf, endlich ernsthaft nach Alternativen zu Überwachungsmaßnahmen zu suchen und empirische Forschung zu diesem Thema stärker zu fördern. Zudem müssten personelle und sachliche Ausstattung der Ermittlungsbehörden besser werden, denn meist verhinderten diese fehlenden Ressourcen eine Aufklärung.
„Es darf beim Thema Überwachung nicht nur eine Richtung geben. Unser Grundgesetz gebietet es, solche Maßnahmen zu hinterfragen und auch aufzuheben, falls mildere, gleich wirksame Mittel zur Hand sind oder die Wirkungslosigkeit der Überwachungsmaßnahmen festzustellen ist“, betont Landefeld.

Kritik des eco an Staatstrojanern in geplantem Bundespolizeigesetz

Diese Kritik wird Landefeld laut eco auch im Rahmen einer für den 22. März 2021 im Bundestag geplanten Expertenanhörung zum Bundespolizeigesetz wiederholen, welches den Einsatz von sogenannten Staatstrojanern vorsieht: Der Einsatz von „Staatstrojanern“ schwäche die IT-Sicherheit von Bürgern, der Wirtschaft und letztlich des Staates. Er unterminiere die Vertrauenswürdigkeit von Kommunikation im Netz.
Landefeld stellt klar: „Für einen Einsatz zur Gefahrenabwehr sind ,Staatstrojaner‘ gänzlich ungeeignet. Denn das Aufbringen der Software auf dem IT-Gerät der Zielperson erfordert so viel Zeit, dass ein sofortiges Handeln der Bundespolizei zur Abwehr der Gefahr fast unmöglich ist.“

Weitere Informationen zum Thema:

datensicherheit.de, 07.03.2021
G DATA zur Klarnamenpflicht: Mehr Bürokratie ohne Sicherheit / Klarnamenpflicht hat laut G DATA nichts im Telekommunikationsgesetz zu suchen

datensicherheit.de, 03.03.2021
Identifizierungszwang: Dr. Patrick Breyer fordert Stopp der unverantwortlichen Pläne / Der Europaabgeordnete und Bürgerrechtler hatte bereits gegen deutschen Identifizierungszwang für Nutzer von Prepaid-Handykarten geklagt