[datensicherheit.de, 04.12.2020] Laut einer aktuellen Meldung des Bundeskriminalamts (BKA) erhebt die Staatsanwaltschaft Dresden Anklage beim Landgericht Dresden (Jugendkammer als Jugendschutzgericht) gegen einen 38-jährigen Deutschen – u.a. wegen bandenmäßigen Verbreitens kinderpornographischer Schriften und schweren sexuellen Missbrauchs von Kindern in 18 Fällen. Dem Beschuldigten werde zur Last gelegt, von 2010 bis Ende 2014 mit weiteren Bandenmitgliedern ein eigenes kinderpornographisches Forum im „Darknet“ betrieben zu haben.

Intensiver, längerfristiger Austausch von kinder- und jugendpornographischen Inhalten im Darkweb

Ziel dieses Web-Forums sei die Schaffung einer globalen Plattform für den intensiven und längerfristigen Austausch von kinder- und jugendpornographischen Inhalten gewesen, wobei diese über das „Darknet“ dem Zugriff der Ermittler entzogen sein sollte.

Sexuelle Handlungen an Kindern gefilmt und im Darknet verbreitet

Dem Beschuldigten liege weiterhin zur Last, zwischen April 2013 und April 2020 in 18 Fällen in einem Ort bei Meißen und auf der Insel Usedom an zwei zu den Tatzeiten sieben und acht Jahre alten Mädchen und zwei weiblichen Babys aus seinem Bekannten- und Freundeskreis sexuelle Handlungen vorgenommen, diese gefilmt und sodann auf verschiedenen Plattformen im „Darknet“ verbreitet zu haben.

Aufwändige Ermittlungen zu bandenmäßigem Verbreiten von Kinderpornographie und schwerem sexuellen Kindesmissbrauch

Der Beschuldigte, der im „Darknet“ verschiedene „Nicknames“ verwendet habe, „konnte nach jahrelangen Ermittlungen im April 2020 identifiziert und in der Folge am 19. Mai 2020 festgenommen werden“. In die umfangreichen und sehr aufwändigen BKA-Ermittlungen sei auch die europäische Polizeibehörde Europol eingebunden gewesen. Diese habe insbesondere den europaweiten polizeilichen Informationsaustausch intensiv unterstützt und maßgeblich zur Identifizierung des Beschuldigten beigetragen.

Missbrauchsserie zum Nachteil eines 8-jährigen Kindes beendet

Durch die Festnahme sei es gelungen, eine bis dahin unbekannte, seit Februar 2020 laufende Missbrauchsserie zum Nachteil eines 8-jährigen Mädchens zu beenden. Der Beschuldigte habe sich zu den Tatvorwürfen vollumfänglich geständig eingelassen. Das Landgericht Dresden werde nunmehr über die Eröffnung des Hauptverfahrens und die Zulassung der Anklage entscheiden. Ein Termin zur Hauptverhandlung werde vom Landgericht Dresden bestimmt. „Der Beschuldigte befindet sich weiterhin in Untersuchungshaft.“

[datensicherheit.de, 22.08.2020] RSA hat seinen aktuellen „Fraud Report“ veröffentlicht. Dieser bringt nach eigenen Angaben u.a. folgende Erkenntnis zu Tage: In der „Corona“-Krise hätten Betrüger leichtes Spiel – gegenüber dem Vorquartal sei die Anzahl der Markenmissbräuche um ganze fünf Prozent gestiegen. Das liege besonders daran, dass Betrüger mit gefälschten Domains, die jenen richtiger Websites ähnelten, besonders leicht ihre Opfer anlocken und die Angst der Bürger optimal für ihre Zwecke ausnutzen könnten.

Abbildung: RSA

RSA: „Fraud Report“ für das 1. Quartal 2020 publiziert

RSA warnt – in der Corona-Krise haben Betrüger leichtes Spiel

Hinsichtlich der aktuelle Erkenntnisse warnt RSA: „In Zeiten von ,COVID-19‘ haben Betrüger leichtes Spiel: Gegenüber dem Vorquartal ist die Anzahl der Markenmissbräuche um ganze fünf Prozent gestiegen. Das liegt besonders daran, dass Betrüger mit gefälschten Domains, die richtigen Websites ähneln, besonders leicht ihre Opfer anlocken und die Angst der Bürger optimal für ihre Zwecke ausnutzen.“

Mobile-Apps laut RSA-Erkenntnis Hauptkanal bei Online-Betrug

Ferner seien Mobile-Apps „Hauptkanal bei Online-Betrug“: Im ersten Quartal 2020 hätten mobile Browser und Anwendungen 54 Prozent der von RSA beobachteten Gesamttransaktionen ausgemacht, wobei 26 Prozent der Betrugstransaktionen eben von mobilen Anwendungen stammten. „Das macht doppelt so viele Betrugstransaktionen über diesen Kanal gegenüber dem vorherigen Quartal aus.“

RSA: Deutschland hostet gar mehr Angriffe als Russland oder Indien

Über Deutschland gingen die drittmeisten Phishing-Angriffe weltweit: „Ob falsche Gesundheitsportale, trügerische Produkt-Mails oder Gewinnspiele – Betrüger entlockten Nutzern 2020 auf zahlreichen Wegen die Personendaten und begingen Identitätsdiebstahl.“ Deutschland sei eines der Hauptdrehkreuze dieser Cyber-Attacken – „und hostet gar mehr Angriffe als Russland oder Indien“.

Die RSA-Momentaufnahme der Cyber-Betrugsumgebung soll effektiveres digitales Risikomanagement ermöglichen

Der gesamte Report steht in englischer Originalfassung zum Download bereit. Das „RSA Fraud and Risk Intelligence Team“ ermittele dessen Daten und stelle diese in regelmäßigen Abständen zur Verfügung. „Die Analyse stellt eine Momentaufnahme der Cyber-Betrugsumgebung dar und bietet Unternehmen aller Größen und Typen, die sich mit dem Thema Cyber-Betrug auseinandersetzen, verwertbare Informationen, um ein effektiveres digitales Risikomanagement zu ermöglichen.“

Weitere Informationen zum Thema:

RSA
RSA Quarterly Fraud Report: Q1 2020

datensicherheit.de, 21.01.2020
RSA Quarterly Fraud Report: Betrug und Markenmissbrauch 17 Prozent aller Vorfälle

[datensicherheit.de, 10.07.2020] Rund drei von vier Unternehmen setzen auf die vielfältigen Möglichkeiten der Online-Werbung. Dazu zählen Suchmaschinenmarketing, Programmatic Advertising oder Anzeigen in Social Media. Das zeigt die Studie „Benchmarks der Internetnutzung 2020“, die der eco – Verband der Internetwirtschaft e. V. und absolit Dr. Schwarz Consulting heute herausgegeben haben.

Grade beim Thema Sicherheit haben viele Unternehmen jedoch noch Verbesserungspotenzial, etwa bei der Sicherung der eigenen Domain vor dem Missbrauch Dritter. Das kann dem eigenen E-Mail-Marketing und der Marken-Reputation sehr schaden. Die Verschlüsselung der Datenübertragung über die Webseite und den E-Mail-Server hat sich zwar mit jeweils 99 Prozent durchgesetzt. Doch 44 Prozent verhindern nicht den Versand von E-Mails über nicht autorisierte Server mit gefälschter Absenderadresse, was etwa mit SPF (Sender Policy Framework) ohne großen Aufwand möglich ist.

Viele Marken schützen sich nicht vor Missbrauchsversuchen

Von den 5.036 untersuchten Firmen in Deutschland, Österreich und der Schweiz machen besonders die Händler und Markenhersteller aktiv Werbung. 91 Prozent von ihnen setzen auf Paid Advertising. In manchen Sektoren liegen diese Werte sogar noch höher, etwa im Elektronikhandel (100 Prozent) oder Modehandel (97 Prozent). Weniger spendabel zeigt sich die Gesundheitsbranche (70 Prozent) sowie B2B-Unternehmen (59 Prozent).

Dr. Schwarz, eco Experte Online-Marketing im eco – Verband der Internetwirtschaft e. V., Bild: eco

Nur jeder dritte E-Mail-Versender schützt die eigene Absenderdomain mittels DMARC (Domain-based Message Authentication, Reporting and Conformance) vor Missbrauchsversuchen durch Cyber-Kriminelle. Regeln, wie Internet Service Provider (ISPs) mit eben diesen verdächtigen Mails umgehen sollen, definiert sogar nur jeder Zwanzigste. „Natürlich können diese Maßnahmen, vor allem bei großen Unternehmen mit vielen Abteilungen, zeitaufwendig sein, verbessern jedoch deutlich den Schutz für die eigene Marke“, sagt Dr. Schwarz, eco Experte Online-Marketing im eco – Verband der Internetwirtschaft e. V.

Mobile-First haben viele noch nicht verinnerlicht

Die Studie zeigt einen weiteren Schwachpunkt in der Online-Präsenz vieler Unternehmen: Die Webseiten sind noch nicht für eine Nutzung auf mobilen Geräten optimiert. „Google wird immer stärker über die mobile Ansicht einer Webseite indexieren, hier müssen viele Unternehmen nacharbeiten um nicht auf hintere Ränge zu fallen“, sagt Dr. Schwarz. Insbesondere die Ladezeiten sind bei vielen mobilen Seiten zu lange. Das läge stark an den eingesetzten Tracking-Tools, deren Pixel den Aufbau der Seite verlangsamen. 42 Prozent der untersuchten Unternehmen erreichen für ihre mobile Seite nur einen mangelhaften PageSpeed Score. Vorbildliche Werte erreichen nur drei Prozent der untersuchten Seiten.

Organische Sichtbarkeit bei Händlern fünfmal höher als bei Marken

Im Rahmen der Studie wurde auch untersucht, wie gut die organische Sichtbarkeit der über 5.000 Unternehmen ist. Interessant ist der Vergleich zwischen Markenherstellern und Händlern. Immer mehr Marken suchen neben den klassischen Handelspartnern ebenfalls den direkten Kundenzugang oder steigen in den stationären Handel ein. Vertical Brands verzichten sogar komplett auf den Händlervertrieb und verkaufen direkt an den Endkunden. Dennoch zeigt der Vergleich der Sichtbarkeiten in den organischen Suchergebnissen einen großen Reichweitenvorteil der Händler. So ist deren Sichtbarkeit im Schnitt fünfmal größer als die der Markenhersteller. Dies lässt darauf schließen, dass der Handel vor allem in den frühen Phasen des Kaufentscheidungsprozesses über Suchmaschinen auch weiterhin der Platzhirsch bleibt.

Weitere Informationen zum Thema:

eco – Verband der Internetwirtschaft e. V.
Studie „Benchmarks der Internetnutzung 2020“

datensicherheit.de, 03.07.2020]
Telemediengesetz: eco kritisiert verpasste Chance

[datensicherheit.de, 16.04.2020] Video-Portale wie Netflix, Amazon Prime und Disney+ verzeichnen in Zeiten, in denen viele Menschen zuhause bleiben, einen Ansturm auf ihr Angebot. Dies ging teilweise soweit, dass Anbieter die Auflösung und damit die Bandbreite ihrer Streams verringern mussten, um Kapazitäten für andere Dienste freizuhalten.

Beliebtheit zieht auch Betrüger an

Wie so oft, wenn ein Service sich größerer Beliebtheit erfreut, bringt dies auch Betrüger auf den Plan, die sich dadurch bereichern wollen. Wie Forscher des E-Mail-Security- und Cyber-Resilience-Anbieters Mimecast herausgefunden haben, sind derzeit diverse Spam-Webseiten online, die vorgeben, von bekannten Streaming-Anbietern zu stammen. In ihnen wird ein scheinbar kostenloses Angebot beworben, lediglich die Registrierung auf der jeweiligen Seite des Anbieters sei notwendig, um mit dem Serienmarathon zu beginnen. Klickt der Empfänger auf den Registrierungs-Link, wird er auf eine im gleichen Maße echt aussehende Website weitergeleitet, auf der er sich unter Angabe persönlicher Daten registrieren soll. Hierzu gehören etwa E-Mail- und postalische Adresse sowie Kreditkartendaten.

Kreditkartenmissbrauch droht

Hat das Opfer erst einmal seine Daten eingegeben, kann er sich nicht über einen kostenfreien Zugang zu Video-Streams freuen, sondern muss damit rechnen, dass seine Kreditkartendaten missbraucht werden oder seine E-Mail-Adresse in Zukunft Ziel von Spam-Mails wird.

Die vorgeblichen Gratisangebote von Netflix, Amazon et cetera sehen dabei täuschend echt aus, sodass es selbst Profis schwerfallen dürfte, sie auf den ersten Blick von authentischen Seiten zu unterscheiden. Weder die genutzte Sprache noch das Design geben einen Grund zum Zweifel.

Foto: Mimecast

Carl Wearn, Head of E-Crime bei Mimecast

Carl Wearn, Head of E-Crime bei Mimecast hierzu: „Die COVID-19-Pandemie und die daraus resultierende Abriegelung haben dazu geführt, dass die Menschen zu Hause viel mehr Zeit zur Verfügung haben. Eine Möglichkeit, wie man diese Zeit füllen kann, sind Streaming-Dienste. Dieses ‚Binge-Watching‘ ist mit Sicherheitsrisiken verbunden, da Cyberkriminelle versuchen, sich den Aufwärtstrend beim Fernsehkonsum zunutze zu machen. Wir haben einen dramatischen Anstieg verdächtiger Bereiche erlebt, in denen sich eine Vielzahl von ruchlosen Akteuren für Streaming-Giganten ausgeben.“

Sein Ratschlag, wie man nicht Opfer einer solchen Attacke wird: „Bleiben Sie achtsam und seien Sie skeptisch, was sowohl Absender von Mails als auch solche Angebote an sich betrifft. Wie so häufig gilt: Wenn etwas zu schön klingt, um wahr zu sein, ist es höchstwahrscheinlich auch so.“

Neben einer erhöhten Skepsis was attraktive Angebote angeht, kann zudem eine Lösung zur E-Mail-Security helfen, auch in Zeiten, in denen vermehrt von Zuhause gearbeitet wird, sicher zu bleiben. Eine solche Lösung prüft sowohl den Absender der Mail auf seine Authentizität als auch in der Mail enthaltene Links auf etwaige Phishing-Versuche. Verweist ein Link in einer Mail beispielsweise auf eine Spoofing-Website, blockiert die Lösung die Mail sofort – und der potenzielle Empfänger bekommt davon noch nicht einmal etwas mit.

Weitere Informationen zum Thema:

datensicherheit.de, 27.02.2020
Mimecast Threat Intelligence Report – Emotet ist zurück

datensicherheit.de, 12.01.2020
Mimecast warnt vor neuer Sicherheitslücke in Microsoft-Office-Produkten

[datensicherheit.de, 09.10.2017] Das Bundeskriminalamt (BKA) meldet, dass die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das BKA gemeinsam in einer dringenden Öffentlichkeitsfahndung einen unbekannten Tatverdächtigen und dessen minderjähriges Tatopfer suchen. Der noch unbekannte Beschuldigte steht demnach im Verdacht, von Oktober 2016 bis Juli 2017 ein etwa vier bis fünf Jahre altes Kind mehrfach schwer sexuell missbraucht, Aufnahmen des sexuellen Missbrauchs hergestellt und diese anschließend auf einer kinderpornographischen Plattform im sogenannten Darknet verbreitet zu haben.

Öffentlichkeitsfahndung angeordnet

Generalstaatsanwaltschaft und BKA gehen nach eigenen Angaben davon aus, dass die Tathandlungen in Deutschland stattgefunden haben.
Die bisher erfolgten, aufwändigen Fahndungsmaßnahmen hätten noch nicht zur Identifizierung des „äußerst vorsichtig agierenden Tatverdächtigen“ geführt: Von diesem lägen derzeit keine Bild- und Videoaufnahmen vor. Die Bild- und Videoaufnahmen des sexuellen Missbrauchs des betroffenen Kindes seien erstmalig im Juli 2017 auf einer kinderpornographischen Plattform im sogenannten Darknet entdeckt worden.
Da keine weiteren Ermittlungsmöglichkeiten bestünden, hat das Amtsgericht Gießen eine Öffentlichkeitsfahndung mit Bildaufnahmen des Opfers angeordnet.

Tatverdächtigen identifizieren sowie möglichen andauernden Missbrauch beenden!

Zu dem mutmaßlichen Opfer liegt laut BKA folgende Beschreibung vor:

• ein Mädchen im alter zwischen vier und fünf Jahren
• blonde bis dunkelblonde Haare, glatt, lang, gerader Pony
• rundes Kinn, „Stupsnase“, Augenfarbe vermutlich braun
• schlanker, gerader Körperbau
• deutschsprachig

Die Generalstaatsanwaltschaft und das Bundeskriminalamt fragen:

• Wer kann Angaben zu dem Opfer machen?
• Wer kann sonstige sachdienliche Hinweise geben?

Hinweise könnten in begründeten Fällen vertraulich behandelt werden – Hinweise werden erbeten an das Bundeskriminalamt Wiesbaden oder jede andere Polizeidienststelle.
Es lägen Anhaltspunkte dafür vor, dass das Opfer auch weiterhin dem Zugriff des nicht identifizierten Tatverdächtigen ausgesetzt ist, sodass ein fortgesetzter sexueller Missbrauch des Kindes nicht auszuschließen sei.

Weitere Informationen zum Thema:

Bundeskriminalamt, 09.10.2017
Unbekannte Person / Straftat gegen die sexuelle Selbstbestimmung

[datensicherheit.de, 25.03.2014] Trend Micro hat ein schwerwiegendes  Problem bei anwendungsspezifischen Berechtigungen von Android-Apps entdeckt. Bösartige Apps können anstelle legitimer Anwendungen Rechte zum Mitlesen des Datenverkehrs einfordern, ohne dass der Anwender den Betrug bemerkt. Das Unternehmen hat Google bereits über diese Bedrohung für die Privatsphäre informiert. Nahezu 10.000 Apps sind potenziell davon betroffen, darunter eine beliebte Online-Einkaufsplattform sowie diverse soziale Medien.

Android bietet Apps die Möglichkeit, über die Standardberechtigungen hinaus eigene Rechte einzufordern und diese vom Anwender bestätigen zu lassen. Um dabei Mißbrauch vorzubeugen, gewährt Android diese App-spezifischen Berechtigungen auf Basis der beiden Sicherheitsniveaus „signature“ und „signatureORSystem“. Diese beiden Niveaus wurden wohl mit dem Ziel konzipiert, dass nur Systemanwendungen oder Anwendungen mit ein und derselben Signatur auf die damit definierten Berechtigungen zugreifen können. Da Android jedoch bei der Rechteüberwachung nur nach dem Namen der App-spezifischen Berechtigungen fragt und sich eine einmal definierte Berechtigung im Nachhinein nicht mehr ändern lässt, können auch bösartige Apps anstelle der legitimen diese Spezialrechte einfordern. Allerdings müssen diese bösartigen Apps zeitlich vor den legitimen Anwendungen installiert werden. Freilich nutzt dann auch die legitime App die Berechtigungen, aber eben nicht allein. Die Online-Gangster und -Spione können somit dieselben Daten mitlesen wie die legitimen Apps.

„Dies stellt ein ernstes Sicherheitsproblem dar. Denn wir sprechen hier von rund 10.000 potenziell betroffenen Apps. Darunter befinden sich leider auch Anwendungen, die millionenfach und weltweit für Einkäufe oder den Austausch persönlicher Informationen genutzt werden“, warnt Sicherheitsexperte Udo Schneider, Pressesprecher von Trend Micro. „Um das Infektionsrisiko mit bösartigen Apps möglichst niedrig zu halten, sollten Anwender nur Applikationen aus vertrauenswürdigen Appstores installieren, eine Android-Sicherheitssoftware installiert haben und die eingeforderten Rechte bei der Installation einer App genau prüfen.“

Weitere Informationen zunm Thema:

blog.trendmicro.de
Androids Apps-eigene Berechtigungen lassen Datenabfluss zu

[datensicherheit.de, 14.10.2013] Der Missbrauch von Telefon, E-Mail und Fax für unerlaubte Werbezwecke geht in Deutschland zurück. Die Zahl der schriftlichen Beschwerden bei der Bundesnetzagentur ist in zwei Jahren um fast 60 Prozent gesunken. 2010 beschwerten sich noch fast 56.000 Verbraucher über Spam, ein Jahr später knapp 36.000, 2012 nur noch rund 24.000. Das meldet der Hightech-Verband BITKOM.

„Die Spam-Filter für Emails sind in den vergangenen Jahren deutlich besser geworden und werden verstärkt eingesetzt“, sagt BITKOM-Hauptgeschäftsführer Dr. Bernhard Rohleder. Vor allem die Internet-Provider haben hier im Sinne der Verbraucher deutlich aufgerüstet. Unerwünschte Werbemails kommen nun seltener beim Verbraucher an und lohnen sich daher weniger. Entsprechend ist die Zahl der Spams und Beschwerden zurückgegangen.

Besonders stark gesunken ist Spam per Fax. Dafür gibt es zwei maßgebliche Gründe: Erstens wurden nationale Rufnummern von Inhabern abgeschaltet, die mehrfach wegen Spams auffällig geworden waren. Zweitens haben die Netzbetreiber den Versand von Spam aus dem Ausland erschwert. Fax-Anschlüsse in Deutschland sind von bekannten ausländischen Spam-Versendern kaum noch erreichbar. Zudem wurden Antwort-Faxe an diese Spam-Versender in der Regel nicht mehr durchgeleitet.

Unerlaubte Werbung steht laut Bundesnetzagentur für knapp die Hälfte aller Beschwerden über den Missbrauch von Rufnummern. Den zweiten großen Block machen Beschwerden zu so genannten Predictive Dialern aus. Das sind computergestützte Programme, die mehrere Rufnummern gleichzeitig anwählen. Wenn eines der Gespräche angenommen wird, werden die anderen Anrufe automatisch abgebrochen und später wieder angewählt. „Predictive Dialer dürfen ausschließlich entsprechend den jeweiligen Verbraucheranforderungen eingesetzt, abgebrochene Wahlversuche müssen vermieden werden“, so Rohleder. Die Zahl aller Beschwerden zu Rufnummernmissbrauch ist 2012 um rund 20 Prozent auf knapp 49.000 gesunken.

Zur Methodik: Die Angaben basieren auf Zahlen der Bundesnetzagentur.

[datensicherheit.de, 08.12.2011] Die Webseiten-Beschreibungssprache HTML5 wird wohl mit zahlreichen Neuerungen aufwarten, auf die Entwickler und Administratoren schon lange gewartet haben. Laut TREND MICRO gibt es indes eine „Kehrseite der Medaille“, denn HTML5 biete auch Cyber-Kriminellen völlig neue Möglichkeiten. Eine nicht zu unterschätzende Bedrohung, die mit HTML5 entstehe, seien „Botnetze im Browser“. TREND MICRO hat nach eigenen Angaben das Infektionsszenario durchgespielt und analysiert, für welche Zwecke Online-Gangster diesen neuen Angriffsweg missbrauchen könnten.
Angreifer seien mit HTML5 in der Lage, ein Botnetz zu erzeugen, das auf jedem Betriebssystem und auf jedem Gerät funktioniere, warnt TREND MICRO. Es laufe vorwiegend im Hauptspeicher und berühre daher die Festplatte kaum. Dies mache es für Antivirenprogramme, die mit Signaturdateien arbeiten, schwierig, das Botnetz zu erkennen. Da der bösartige Code als „JavaScript“ implementiert sei, das sich technisch gesehen mit wenig Mühe verschleiern lasse, täten sich auch solche Sicherheitslösungen schwer, die auf das Erkennen von Einbruchsversuchen in Netzwerken spezialisiert sind. Zu nennen seien hier die sogenannten „Intrusion-Detection-Systeme“ (IDS), die mit Signaturen arbeiten. Zudem könne der bösartige Code wegen seiner Einbettung im Browser auch die meisten Firewalls mühelos passieren.
Einmal erfolgreich in das System eines Anwenders eingedrungen, stehe den Online-Kriminellen ein ganzes Waffenarsenal zur Verfügung:

• DDoS-Attacken: Tausende von Anfragen könnten ohne Wissen des Nutzers an eine Ziel-Website geschickt und diese dadurch lahmgelegt werden.
• Spamming: Unzureichend gesicherte Kontaktseiten von Websites ließen sich zur Erzeugung von Spam-Nachrichten missbrauchen.
• Bitcoin-Generierung: Die infizierten Rechner ließen sich als Generatoren zur Berechnung von Bitcoins, der beliebtesten Währung des cyber-kriminellen Untergrunds, zweckentfremden.
• Phishing: Mittels „Tabnabbing“ könne das Botnetz Registerkarten („Tabs“) im Browser des Anwenders kapern und ihr Aussehen beliebig gestalten. Dadurch sei es möglich, dem ahnungslosen Anwender jedes Mal, wenn er auf die infizierte Registerkarte klickt, eine Eingabeaufforderung zu einem von ihm genutzten Webdienst vorzutäuschen. Gibt er seine Zugangsdaten ein, fielen seine Webdienst-Konten in die Hände der Kriminellen.
• Netzspionage: Das Botnetz sei in der Lage, im Netzwerk des Opfers nach Sicherheitslücken zu forschen und die Ports zu scannen.
• Netzwerke als Proxy: Mit dem Botnetz könnten die Kriminellen im Cyber-Untergrund Angriffswege verschleiern und Attacken über die infizierten Netzwerke leiten; der Ursprung der Angriffe sei dadurch kaum noch auszumachen.
• Verbreitung: Die Cyber-Kriminellen könnten in das Botnetz zusätzlich eine Wurmkomponente einfügen, die sich dann auf angreifbaren Websites verbreite.

Experten von TREND MICRO gehen davon aus, dass diese doch bemerkenswerten Möglichkeiten für Angreifer bald häufiger eingesetzt werden, vor allem bei gezielten Attacken. Herkömmliche Sicherheitsmaßnahmen gegen Malware könnten diese neuen Angriffsvektoren nicht abwehren, doch gebe es zwei kostenlose Tools, die einen sehr guten Schutz böten:

• „NoScript“: Das unter Fachleuten bereits gut bekannte Browser-Plug-In schränkr die Funktionsweise von „JavaScript“ und anderen Plug-Ins auf nicht vertrauenswürdigen Seiten ein.
• BrowserGuard: TREND MICROs eigenes Tool umfasse eine Reihe von Funktionen, um webbasierte Angriffe abzuwehren. Dazu gehörten unter anderem fortschrittliche heuristische Techniken.

Weitere Informationen zum Thema:

blog.trendmicro.de
HTML5 – Die größten Gefahren / Originalartikel von Robert McArdle, Senior Threat Researcher

NoScript
The NoScript Firefox extension provides extra protection…

TREND MICRO
Browser Guard 2011

[datensicherheit.de, 28.11.2011] Fast drei Viertel der Mitarbeiter in IT-Abteilungen hätten bereits einmal die IT-Systeme ihres Arbeitgebers für private oder gar illegale Zwecke missbraucht, so die Erkenntnisse aus einer Studie von BalaBit IT Security. Die Palette reiche vom Download von Content über das Aushebeln von Firewall-Regeln bis hin zum Lesen vertraulicher Dokumente wie Gehaltslisten. Solche Praktiken ließen sich unterbinden, wenn ein Unternehmen eine Lösung einsetzte, die die Aktivitäten von privilegierten Usern wie Systemverwaltern protokolliert.
Die Mehrzahl der IT-Systemverwalter könne der Versuchung nicht widerstehen, die IT-Infrastruktur ihres Arbeitgebers auch für Aktivitäten zu nutzen, die gemäß ihres Arbeitsvertrags eigentlich untersagt sind. Dies belegten die Ergebnisse einer Studie, für die 200 IT-Mitarbeiter zwischen Juli und Oktober 2011 befragt worden seien. So räumten 74 Prozent der IT-Fachleute ein, dass sie bereits mindestens einmal IT-Systeme des Unternehmens auf unerlaubte Weise genutzt hätten. Dabei habe es sich nicht um Lappalien gehandelt – wären diese Aktivitäten publik geworden, „hätte sie das ihren Job gekostet“, so die Befragten.
Dennoch würden es 92 Prozent der Befragten begrüßen oder zumindest tolerieren, wenn ihre eigenen Tätigkeiten mithilfe eines Monitoring-Tools dokumentiert würden. Der Grund sei, dass sich die Hälfte der Systemverwalter manche Account-Daten wie Passwörter und Log-in-Namen mit Kollegen teile, etwa bei der Administration von Servern. An die 41 Prozent der Administratoren gäben an, es wäre in mindestens einem Fall hilfreich gewesen, wenn ein Tool mitprotokolliert hätte, welcher Mitarbeiter für welche Aktionen genau verantwortlich war. Nur acht Prozent der IT-Fachleute sprächen sich strikt gegen den Einsatz von Lösungen aus, die die Aktivitäten von privilegierten IT-Usern wie Administratoren festhalten.

Die „Top-6-Liste“ verbotener Aktivitäten von IT-Mitarbeitern:

Platz 1: Download von illegalem Content am Arbeitsplatz (54 Prozent).
Platz 2: Änderung von Sicherheitseinstellungen von Firewalls und anderen IT-Systemen (48 Prozent): Ein Ziel solcher Maßnahmen ist, sich Zugriff auf IT-Ressourcen im Unternehmen zu verschaffen, etwa per Remote-Access.
Platz 3: „Absaugen“ von firmeninternen Informationen (29 Prozent).
Platz 4: Lesen von vertraulichen Dokumenten (25 Prozent) – dazu gehören Gehaltslisten und Personalunterlagen, aber auch vertrauliche Geschäftsunterlagen.
Platz 5: Heimliches Lesen der E-Mails von Kollegen (16 Prozent).
Platz 6: Löschen oder Manipulieren von Log-Dateien (15 Prozent) – dies dient häufig dazu, die Spuren von verbotenen Aktivitäten zu verwischen.

Diese Resultate zeigten, wie wichtig es sei, eine Monitoring-Lösung zu implementieren, welche die Aktivitäten von IT-Nutzern mit privilegierten Zugriffsrechten wie IT-Managern und Systemverwaltern transparent macht, erläutert Zoltán Györkö, „Business Development Manager“ bei BalaBit IT Security. Das gelte nicht nur für Großunternehmen, sondern auch für mittelständische Firmen. Laut Györkö machen zudem Trends, wie die verstärkte Nutzung von – teilweise privaten – Mobiltelefonen und Tablet-Rechnern in Unternehmensnetzen und „Cloud Computing“ neue Ansätze im Bereich IT-Sicherheit erforderlich. Es müsse nachprüfbar sein und dokumentiert werden, welcher Nutzer wann auf welche vertraulichen Informationen und unternehmenskritische IT-Systeme zugreife und welche Änderungen er dort vornehme. Ein Tool, das die Tätigkeiten von IT-Nutzern dokumentiere, liefere nicht nur Daten, die für Audits wichtig seien, ergänzt Györkö, sondern es schütze auch privilegierte Nutzer, indem es deren Aktivitäten nachvollziehbar mache.
Hinzu komme, dass Compliance-Regeln und gesetzliche Vorgaben in vielen Branchen das Monitoring der Aktivitäten von IT-Usern mit privilegiertem Status unumgänglich machten. Basel III, SOX-EuroSox, PCI DSS und andere Standards verlangten, dass Unternehmen IT-Kontrollmechanismen wie ITIL, COBIT oder ISO 27011/27002 implementieren und regelmäßig entsprechende Audits durchführen.

Weitere Informationen zum Thema:

BalaBit
Top 6 list of most popular prohibited activities in the workplace among IT staff

[datensicherheit.de, 10.08.2011] Um die eigene IT vor unbefugtem Zugriff zu schützen, sollten Unternehmen strenge Regeln für die Verwendung von Administrator-Accounts schaffen. Cyber-Ark weist auf die wichtigsten Punkte zur Vorbeugung gegen Missbrauch hin:
Oft lassen Unternehmen schwache Passwörter zum Schutz von Benutzer-Accounts zu, obwohl sie rechtlich zu effektiveren Maßnahmen verpflichtet wären. Das Bundesdatenschutzgesetz schreibt Betreibern von IT-Anlagen mit personenbezogenen Daten oder Datenkategorien vor, den unautorisierten Zugriff auf seine Daten zu unterbinden – so spricht der Gesetzgeber in der Anlage zu § 9 Satz 1, Absatz 2 und 3 von der Verpflichtung zur Zugangs- und Zugriffskontrolle. Außerdem schreibt die EU-Richtlinie Basel II die Definition eines Regelwerks zum Umgang mit Passwörtern vor. Unternehmen, die an US-amerikanischen Börsen notiert sind, unterliegen zusätzlich dem Sarbanes-Oxley-Act und seinen Passwort-Vorschriften.
Um diesen Bestimmungen gerecht zu werden, sind Zugangsdaten und die mit ihnen verbundenen Kennwörter besonders zu schützen. Grundlegender Passwort-Schutz sei laut Cyber-Ark mit folgenden Richtlinien einfach herbeizuführen:
Passwörter müssten durch ihre Struktur schwer zu knacken und möglichst komplex aufgebaut sein. Ein zyklischer Wechsel des Passworts, beispielsweise jeden Monat, stelle eine weitere Hürde für den Missbrauch von Passwörtern dar. Noch besser sei die Verwendung eines Kennwortgenerators mit Einmalpasswörtern, die nur einige Minuten gültig sind.

• Sparsame Vergabe von Passwörtern für privilegierte Accounts
  Passwörter von privilegierten Accounts sollten nur an Personen ausgegeben werden, die sie für die Erfüllung ihrer Aufgaben tatsächlich benötigen. Zusätzlich lasse sich der Sicherheitsgrad durch die Vergabe von Einmal-Passwörtern im Single-Sign-On-Verfahren steigern. So könne sich ein Administrator anmelden, ohne das eigentliche Passwort zu kennen.
• Vertraulichkeit des Passworts
  Jeder Benutzer verfügt über seinen eigenen Account und ein eigenes, individuelles Passwort. Das sollte auch bei Funktions-Accounts wie dem Administrator oder dem Webmaster der Fall sein, da sich ein Gruppenpasswort für eine von vielen gleichzeitig verwendete Kennung nicht geheim halten lasse. Bei neu erstellten Accounts mit vordefinierten Passwörtern sollten die Anwender diese unverzüglich selbst ändern.
• Reaktion auf erfolglose Anmeldeversuche
  Fehlerhafte Anmeldeversuche sollten protokolliert werden. Zusätzlich sei es empfehlenswert, das Benutzer-Account bei einer gewissen Anzahl von Fehlversuchen zu sperren und die IP-Adresse, von der die Versuche ausgehen, zu speichern.
• Einführung eines Systems zur Verwaltung privilegierter Accounts
  Die Gefahr, die von nachlässigem Umgang mit Passwörtern entspringt, sei dann besonders hoch, wenn es sich um privilegierte Accounts wie die von Superusern und Systemadministratoren handele. Dafür sollten Sicherheitsmaßnahmen getroffen werden wie beispielsweise die Einführung eines Systems zur Verwaltung privilegierter Accounts. Dafür eigne sich die „Privileged Identity Management Suite“ von Cyber-Ark: Sie biete die vollständige Zugriffskontrolle für privilegierte Accounts, die Überwachung und Aufzeichnung privilegierter Sitzungen sowie die Verwaltung von Anwendungs- und Dienstzugangsdaten. Damit werde eine sichere Verwaltung der privilegierten Identitäten, Accounts und Kennwörter möglich.

Laut dem Branchenverband BITKOM änderten 40 Prozent aller Deutschen ihre wichtigsten Zugangscodes nicht. Der Umgang mit Passwörtern im privaten Umfeld spiegele sich durch gleiche Gewohnheiten im Unternehmensumfeld wider. Viele Risiken durch die nachlässige Verwaltung von privilegierten Accounts und ihrer Passwörter ließen sich mit der „Privileged Identity Management Suite“ von vornherein eliminieren, so Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn. Missbräuchlich genutzte Administrator-Kennungen seien eine der Haupteinfallstore in eine Unternehmens-IT.