Bereits Anfang März 2024 hat sich die gefährliche Hacker-Gruppe Lockbit zurückgemeldet

[datensicherheit.de, 08.04.2024] Als im Februar 2024 die Meldung über die erfolgreiche Zerschlagung der „Lockbit“-Ransomware-Gruppe um die Welt ging, wurde dies als ein entscheidender Schlag internationaler Ermittlungsbehörden gegen die Cyber-Kriminalität gewürdigt. Doch gerade einmal eine Woche später, Anfang März 2024, hat sich laut einer aktuellen Meldung der PSW GROUP diese gefährliche Hacker-Gruppe auch schon wieder zurückgemeldet: In einer Stellungnahme habe diese gar eigene Fehler zugegeben und erklärt, weiterhin aktiv zu sein.

Foto: PSW GROUP

Patrycja Schrenk rät, weiterhin in die Verteidigung digitaler Infrastrukturen zu investieren, Cyber-Sicherheitsmaßnahmen zu verbessern und Fähigkeit zur Erkennung sowie Reaktion auf Bedrohungen ständig weiterentwickeln!

Dass die Lockbit-Gruppe so schnell wieder aktiv wurde, ist äußerst beunruhigend

„In der Welt der Cyber-Kriminalität ist nichts sicher, und oft verschieben sich Gruppen oder tauchen unter neuen Namen und Taktiken wieder auf. Die Zerschlagung der ,Lockbit’-Gruppe war zweifellos ein wichtiger Meilenstein im Kampf gegen Ransomware und die digitale Kriminalität. Allerdings ist es äußerst beunruhigend zu sehen, dass die ,Lockbit’-Gruppe so schnell wieder aktiv geworden ist“, kommentiert Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Das schnelle „Comeback“ dieser Gruppe verdeutliche die Anpassungsfähigkeit und Entschlossenheit dieser kriminellen Organisation, ihre Aktivitäten fortzusetzen und weiterhin Schaden anzurichten. „Lockbit“ bleibe weiterhin eine große Bedrohung für Unternehmen und Organisationen weltweit.

Lockbit hatte lange Zeit das Image des unangefochtenen Königs der Ransomware

Tatsächlich habe „Lockbit“ lange Zeit als unangefochtener „König der Ransomware“ gegolten: Fast ein Fünftel der weltweiten Ransomware-Angriffe gingen laut Schrenk wohl auf das Konto dieser Hacker-Gruppe. Dabei solle sie mehrere Millionen Dollar von Tausenden Unternehmen sowie Einzelpersonen weltweit erbeutet haben – allein in den USA würden der Gruppe Angriffe auf mehr als 1.700 Organisationen vorgeworfen. „Lockbit“ habe es dabei auf einige der größten Namen der Weltwirtschaft abgesehen: Unternehmen wie Boeing, der Chiphersteller TSMC, das Raumfahrtunternehmen SpaceX, die ICBC, Chinas größte Bank, sowie der deutsche Automobilzulieferer Continental zählten zu ihren prominentesten Opfern.

„Was ,Lockbit’ besonders gefährlich macht, ist ihr ausgeklügeltes Geschäftsmodell, das einem Affiliate-Programm gleicht. Denn anstatt selbst die Angriffe durchzuführen, agiert ,Lockbit’ größtenteils als Dienstleister im Cybercrime-Umfeld.“ Die Gruppe stelle ihre Schadsoftware anderen Kriminellen zur Verfügung, welche dann die Angriffe ausführten, mit den Opfern verhandelten und Lösegeld erpressten. Für diese Dienstleistung kassiere „Lockbit“ eine Art Lizenzgebühr – „mit einem derart großen Erfolg, dass die Schadsoftware der Gruppe im Jahr 2022 sogar als weltweit am häufigsten eingesetzte Ransomware-Variante bezeichnet wurde“, so Schrenk.

Trotz Beschlagnahmung von Servern konnten Behörden nicht alle Lockbit-Domains übernehmen

Diese erfolgreiche Cybercrime-Gruppe sei den Strafverfolgungsbehörden Anfang des Jahres 2024 ins Netz gegangen, weil diese offenbar ausgerechnet eine nicht gepatchte Schwachstelle in der Skriptsprache „PHP“ hätten ausnutzen können – normalerweise seien ungepatchte IT-Sicherheitslücken das Geschäftsmodell von „Lockbit“. Doch trotz der Beschlagnahmung von 34 Servern und Festnahmen im Rahmen der „Operation Cronos“ hätten die Behörden nicht alle Domains von „Lockbit“ übernehmen können:

Die Gruppe habe sich mit ihrer Website unter neuer Adresse und einer Mischung aus Selbstkritik und Arroganz zurückgemeldet. In einer Stellungnahme Anfang März 2024 hätten sie zugegeben, dass ihre eigenen Systeme nicht auf dem neuesten Stand gewesen seien, weil sie „faul“ geworden seien und sich in einer gewissen Selbstzufriedenheit eingerichtet hätten: „Persönliche Fahrlässigkeit und Verantwortungslosigkeit“ habe es den Behörden erlaubt, die Website der Gruppe zu kapern. Weiter behaupte die Gruppe, dass ihre Server wiederhergestellt und sie bereit sei, erneut zuzuschlagen. Ihre Affiliates habe sie bereits aufgefordert, staatliche Einrichtungen häufiger ins Visier zu nehmen.

Zerschlagung einer Ransomware-Gruppe wie Lockbit löst grundsätzliches Problem nicht

„Diese Aussagen lassen aufhorchen und warnen auch vor einer möglichen Eskalation der Cyber-Angriffe. Gleichzeitig macht die Reaktion der Gruppe klar, dass der Kampf gegen Cyber-Kriminalität eine kontinuierliche und koordinierte Anstrengung erfordert – sowohl seitens der Strafverfolgungsbehörden als auch von Unternehmen und jedem Einzelnem.“

Die Zerschlagung dieser Cyber-Kriminellen sei ein wichtiger Schritt, „aber wir dürfen nicht den Fehler machen, dies als das Ende des Problems anzusehen“, warnt Schrenk. Man müsse weiterhin in die Verteidigung unserer digitalen Infrastrukturen investieren, unsere Cyber-Sicherheitsmaßnahmen verbessern und unsere Fähigkeit zur Erkennung und Reaktion auf Bedrohungen ständig weiterentwickeln, um mit der sich ständig verändernden Landschaft der Cyber-Kriminalität Schritt zu halten.

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 05.03.2024
Bedrohungslage / Die Lockbit-Ransomware-Gruppe: Zerschlagen! Oder doch nicht?

datensicherheit.de, 26.02.2024]
LockBit-Disruption: Strafverfolgungsbehörden nutzten Trend Micros Expertise / Neueste, noch unveröffentlichte LockBit-Version wurde von Trend Micro analysiert und vereitelt

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

Sicherheit der IoT-Geräte bleibt eine essenzielle, aber noch nicht vollständig angegangene Thematik

[datensicherheit.de, 31.01.2024] Das sogenannte Internet der Dinge (IoT) hat sich offensichtlich zu einer der herausragenden wegweisenden Technologien des 21. Jahrhunderts entwickelt: Vom vernetzten Kühlschrank über „smarte“ Autos bis hin zu „intelligenten“ Thermostaten – die Integration von Sensoren, Software und anderer Technologie hat nicht nur Unternehmen und die Wirtschaft insgesamt verändert, sondern unseren Alltag förmlich revolutioniert. „Die Vorteile dieser Entwicklung beispielsweise für Einzelhandel, Kundenservice, für die Fertigungsindustrie und in der Medizin sind unbestreitbar, aber sie bringt auch eine bedeutende Herausforderung mit sich: Die Sicherheit der IoT-Geräte bleibt eine essenzielle, aber noch nicht vollständig angegangene Thematik“, kommentiert in ihrer aktuellen Stellungnahme die IT-Sicherheitsexpertin Patrycja Schrenk.

Foto: PSW GROUP

Patrycja Schrenk: Ein zentraler IoT-Aspekt ist der Schutz sowohl der übertragenen Daten als auch des Hardware-Geräts selbst!

Markt für IoT-Geräte verzeichnet extrem starken Anstieg

Schrenk, Geschäftsführerin der PSW GROUP, erläutert: „Ein zentraler Aspekt ist der Schutz sowohl der übertragenen Daten als auch des Hardware-Geräts selbst. Das bedeutet, dass nicht nur die Informationen, die von einem lokalen IoT-Gerät zur ,Cloud’ gesendet werden, verschlüsselt und gesichert sein müssen, sondern auch das physische Gerät vor Manipulation und unbefugtem Zugriff geschützt werden muss!“

Mit dem exponentiellen IoT-Wachstum seien vernetzte Geräte zu einem integralen Bestandteil sowohl in Privathaushalten als auch in Unternehmen geworden. Der Markt für IoT-Geräte verzeichne einen unglaublich starken Anstieg und werde voraussichtlich von 118,37 Milliarden US-Dollar im Jahr 2023 auf 336,64 Milliarden US-Dollar im Jahr 2028 wachsen – was einem jährlichen Zuwachs von über 23 Prozent entspreche.

Zu einem ähnlichen Ergebnis komme der von IoT Analytics veröffentlichte Bericht „Zustand des IoT im Frühjahr 2023“, welcher demnach die Zahl globaler IoT-Geräte im Jahr 2022 mit 14,3 Milliarden aktiven Endpunkten angibt. Die Autoren der Studie hätten eine weitere Steigerung um 16 Prozent bis Ende 2023 prognostiziert, so dass derzeit nun weltweit etwa 16,7 Milliarden aktive vernetzte Geräte existieren dürften.

IoT-Angriffe bedrohen persönliche Daten sowie physische Systeme und Infrastrukturen

Dieses rasante Wachstum bringe auch eine zunehmende Bedrohung mit sich, „die es unerlässlich macht, sich intensiv mit der IoT-Sicherheit auseinanderzusetzen“. Denn IoT-Angriffe seien gerade deshalb problematisch, da sie nicht nur persönliche Daten gefährdeten, sondern auch physische Systeme und Infrastrukturen beeinträchtigen könnten.

„Durch einen erfolgreichen Angriff auf IoT-Geräte können nicht nur Daten beeinträchtigt, sondern auch reale Schäden angerichtet werden, wie das Manipulieren von Produktionsprozessen, Eingriffe in medizinische Geräte oder die Störung der Infrastruktur“, stellt Schrenk klar.

Sie führt hierzu weiter aus: „IoT-Geräte sammeln, oft zu unserem Leidwesen, eine Vielzahl von sensiblen Daten. Ein Angriff kann dazu führen, dass einerseits persönliche Informationen, Standorte, Gesundheitsdaten und andere sensible Informationen in die Hände von Cyber-Kriminellen gelangen. Da IoT-Geräte ja mit dem Internet verbunden sind, können sie andererseits auch als Einfallstor für den Zugriff auf das gesamte Netzwerk dienen.“ Ein einzelnes, kompromittiertes Geräts könne damit das gesamte Netzwerk gefährden.

Sicherheit der IoT-Geräte: Anwender und Hersteller in der Pflicht

Tatsächlich fragten sich viele Menschen, „was an ihrem smarten Beleuchtungssystem, ,Home Hub’, ihrem ,intelligenten Kühlschrank’ oder ,Fitness Tracker’ so besonders ist, dass jemand Interesse daran hat, es zu hacken“. Das eigentliche Ziel sei in der Regel gar nicht das IoT-Gerät selbst: Dieses sei vielmehr Mittel zum Zweck, um Zugriff auf das Netzwerk zu erhalten – sozusagen das Gateway zu anderen, oft viel besser gegen Angriffe gesicherten Systemen.

„Allerdings machen wir es Hackern und Hackerinnen häufig auch viel zu einfach: IoT-Geräte sind ständig mit dem Internet verbunden und bieten Remote-Zugriff.“ Diese Verfügbarkeit rund um die Uhr, gepaart mit einem nicht geänderten Standardpasswort – Standardpasswörter seien in der Regel für Angreifer leicht zu erraten –, mache die „smarten“ Geräte so attraktiv für Cyber-Kriminelle, diese als Ausgangspunkt für ihren Angriff zu nutzen, vertrauliche Informationen zu stehlen oder das Gerät für schädliche Zwecke zu nutzen. Hinzu komme ein oftmals mangelndes Bewusstsein für Sicherheit: Denn im Vergleich zu Laptops oder Smartphones fehle es bei vielen Verbrauchern an einem Sicherheits-Bewusstsein für IoT-Geräte. Während sie regelmäßig Sicherheitsupdates und Viren-Scanner etwa für Laptop, Handy usw. durchführten, vernachlässigten sie genau das viel zu oft bei ihren IoT-Geräten.

Viele Nutzer realisierten möglicherweise nicht die mit der Verwendung vernetzter Geräte verbundenen potenziellen Risiken: „Und leider muss ich an dieser Stelle auch Hersteller in die Pflicht nehmen: Auch viel zu viele Hersteller vernachlässigen das Thema Sicherheit bei ihren IoT-Geräten“, so Schrenk. Diese mangelnde Beachtung führe dann dazu, „dass ihre Geräte anfällig für Angriffe sind“. Eine unzureichende Sicherheitsprüfung bei der Entwicklung und Implementierung mache es für Angreifer einfacher, Schwachstellen auszunutzen und Zugriff auf sensible Daten zu erlangen.

6 praktische Sicherheits-Tipps für IoT-Geräte

Die Sicherheit eines IoT-Geräts liege auch in der eigenen Hand. Durch die Umsetzung einiger einfacher, aber wirkungsvoller Maßnahmen könnten Anwender die IoT-Security verbessern und ihr vernetztes Zuhause oder Unternehmen vor potenziellen Bedrohungen schützen:

1. Durchführung von Software- und Geräteupdates
Regelmäßige Updates von Software und Firmware seien entscheidend, um Sicherheitslücken zu schließen. Hersteller veröffentlichten oft Patches, um bekannte Schwachstellen zu beheben. „Anwendende sollten sicherstellen, dass sowohl die Software der IoT-Geräte als auch die Router und Gateways auf dem neuesten Stand gehalten werden“, rät Schrenk.

2. Änderung der Standardpasswörter und Verwendung sicherer Passwörter
Ein häufiges Einfallstor für Angreifer seien die mit vielen IoT-Geräten gelieferten Standardpasswörter. Mit jedem neuen IoT-Gerät sollten diese deshalb umgehend geändert und dabei auf die Verwendung komplexer Passwörter – am besten für jedes Gerät ein eigenes – geachtet werden.

3. Deaktivierung ungenutzter Funktionen
Viele IoT-Geräte böten nicht zwingend benötigte Funktionen. Deren Deaktivierung reduziere potenzielle Angriffspunkte. „Denn jede aktive Funktion ist eine potenzielle Schwachstelle – weniger ist oft mehr, wenn es um Sicherheit geht.“

4. Aktivierung einer Multi-Faktor-Authentifizierung (MFA)
Die MFA-Aktivierung füge eine zusätzliche Sicherheitsebene hinzu, „indem neben dem Passwort ein weiterer Authentifizierungsfaktor erforderlich ist“. Dies erschwere es Angreifern erheblich, Zugriff auf ein IoT-Gerät zu erlangen – „selbst wenn das Passwort kompromittiert ist“.

5. Übersicht über alle aktiven Geräte und Zugriffskontrolle
„Ich rate außerdem dazu regelmäßig zu überprüfen, welche Geräte überhaupt aktiv sind, und die Geräte vom Internet zu trennen, wenn sie nicht benötigt werden“, empfiehlt Schrenk. Überhaupt sollte der Geräte-Zugriff auf diejenigen Personen beschränkt werden, „die das IoT-Gerät wirklich benötigen“.

6. Kritikfähigkeit und gesundes Misstrauen
Abschließend rät Schrenk: „Eine der wichtigsten Maßnahmen ist eine kritische Einstellung. Auch wenn alle Sicherheitsvorkehrungen getroffen wurden, sollte niemals davon ausgegangen werden, dass ein IoT-Gerät nicht gehackt werden kann. Regelmäßige Überprüfungen und Sensibilisierung für aktuelle Sicherheitsbedrohungen sind unerlässlich!“

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 21.11.2023
IoT-Security: Mehr Sicherheit für IoT-Geräte

datensicherheit.de, 04.05.2023
Wenn IoT-Haustürkameras zu Phishing-Fallen werden / IoT-System zu einer möglichen Schwachstelle für seine Nutzer geworden

datensicherheit.de, 16.09.2022
Cyber Resilience Act: Sichere IoT-Geräte schwer zu entwerfen / Cybersecurity by Design soll helfen, potenzielle Einfallstore zu schließen

datensicherheit.de, 17.08.2022
IoT im Ransomware-Visier: IoT-Geräte benötigen speziellen Cyber-Sicherheitsansatz / Hunderttausende angeschlossener IoT-Geräte mit Ransomware, Krypto-Minern, Trojanern und Botnets könnten kompromittiert werden

Browser-Erweiterungen benötigen bestimmte Berechtigungen

[datensicherheit.de, 27.09.2023] Von Übersetzungs-Tools über Werbeblocker bis hin zu Passwort-Managern – die Nutzung von Browser-Erweiterungen zur Anpassung und Verbesserung des Online-Erlebnisses ist heutzutage offensichtlich weit verbreitet. Diese kleinen Programme sollen zahlreiche Funktionen bieten, um das Surfen im Internet komfortabler und effizienter zu gestalten. Doch Patrycja Schrenk, Geschäftsführerin der PSW GROUP, rät zur Vorsicht: „Browser-Erweiterungen bergen auch ein Sicherheitsrisiko – insbesondere dann, wenn sie nicht sorgfältig überprüft oder aus nicht vertrauenswürdigen Quellen heruntergeladen werden!“ Damit Browser-Erweiterungen ordnungsgemäß funktionieren, müssten sie bestimmte Berechtigungen erhalten, wie beispielsweise das Lesen und Ändern von Inhalten von Webseiten. „Allerdings bergen umfangreiche Berechtigungen immer auch ein Sicherheitsrisiko, da sie das Potenzial für Missbrauch erhöhen“, warnt Schrenk. Cyber-Kriminelle könnten nämlich scheinbar harmlose Erweiterungen in echte Bedrohungen verwandeln – „mit denen sie dann zum Beispiel sensible Benutzerdaten wie Passwörter oder Zahlungsinformationen ausspionieren, auf gefälschte Websites umleiten und Anmeldeinformationen stehlen, unerwünschte Adware verbreiten und sogar die Opfer-Rechner mit Malware infizieren“.

Foto: PSW GROUP

Patrycja Schrenk: Je weniger Browser-Erweiterungen aktiv sind, desto geringer ist die Angriffsfläche für potenzielle Sicherheitsbedrohungen!

Ein Sortiment verschiedener schädlicher Browser-Erweiterungen

Tatsächlich existiere eine ganze Reihe verschiedener schädlicher Browser-Erweiterungen, allen voran betrügerische „WebSearch“-Erweiterungen für „Office“-Dateien. Diese Erweiterungen geben demnach vor, nützliche Tools für „Office“-Dateien zu sein, manipulierten jedoch heimlich die Browser-Suche und fügten Affiliate-Links zu Drittanbieter-Ressourcen ein.

Schrenk berichtet: „Viele ,WebSearch’-Erweiterungen sind inzwischen für ihre betrügerischen Aktivitäten bekannt. Nach ihrer Installation ersetzen sie die gewohnte Browser-Startseite durch eine Mini-Site mit einer Suchleiste und verfolgen Affiliate-Links zu Drittanbieter-Ressourcen wie ,AliExpress’ oder ,Farfetch’.“ Zudem änderten sie auch die Standard-Suchmaschine in „search.myway“. Dies ermögliche es den Cyber-Kriminellen, die Suchanfragen ihrer Opfer zu überwachen, zu speichern und zu analysieren, um sie mit gezielter Werbung zu überhäufen oder sie auf unerwünschte Websites umzuleiten.

Änderung der Standard-Suchmaschine des Browsers

Bei Cyber-Kriminellen ebenfalls beliebt seien die Adware-Erweiterung der „DealPly“-Familie. Diese Adware-Erweiterungen würden oft mit raubkopierten Inhalten verbreitet und ersetzten ebenfalls unbemerkt die Browser-Startseite durch eine Mini-Site, die Affiliate-Links zu beliebten digitalen Plattformen enthalte. Zusätzlich änderten sie die Standard-Suchmaschine des Browsers und verfolgten die Suchanfragen der Nutzer, um personalisierte Werbeanzeigen einzublenden.

„Hauptziel dieser betrügerischen Adware ist es, Einnahmen aus den Affiliate-Links und den angezeigten Werbeanzeigen zu generieren. Indem sie die Suchanfragen ihrer Opfer analysieren und personalisierte Werbung anzeigen, hoffen die Cyber-Kriminellen, mehr Klicks auf die Werbeanzeigen zu erhalten und so ihre Einnahmen zu steigern“, so Schrenk.

Browser-Erweiterungen der AddScript-Familie missbrauchen sogar legitime Technologien und Praktiken

Mit der Erweiterungen der „AddScript“-Familie missbrauchten Cyber-Kriminelle sogar legitime Technologien und Praktiken für ihre illegalen Zwecke: Diese Erweiterungen präsentierten sich nämlich als nützliches Tool, beispielsweise als Musik- und Video-Downloader oder als Proxy-Server-Manager, infizierten aber das Gerät ihres Opfers mit Schadsoftware. „Und ist diese erst einmal installiert, beginnt die Schadsoftware, im Hintergrund Videos anzuschauen, um künstlich die Aufrufzahlen zu erhöhen.“ Dies erzeuge Einnahmen für die Angreifer, da einige Website-Anbieter Zahlungen basierend auf der Anzahl der Aufrufe von Videos leisteten.

Schrenk warnt auch zugleich vor dem Cookie-Dieb „FB-Stealer“: „Mit Hilfe dieser schädlichen Erweiterungen stehlen Cyber-Kriminelle Sitzungscookies von Nutzenden des Sozialen Netzwerks ,facebook’, womit sie ohne jegliche Passwortabfrage Zugriff auf das ,facebook’-Konto ihres Opfers erhalten. Mit diesem Zugang können die Kriminellen dann verschiedene böswillige Aktivitäten ausführen, wie zum Beispiel Freunde und Verwandte des Opfers anschreiben und um Geld bitten oder andere Betrugsmaschen ausführen.“ Die „FB-Stealer“-Erweiterung gelange häufig zusammen mit dem Trojaner „NullMixer“ auf das Gerät des Opfers, welches sich „NullMixer“ beim Download gehackter Software-Installer einfange.

FriarFox – Firefox-Browser-Plugin seit mehreren Monaten aktiv

Seit mehreren Monaten aktiv sei auch das „Firefox“-Browser-Plugin „FriarFox“, welches Angreifern den Zugriff auf die „Gmail“-Konten ihrer Opfer gewähre. Verteilt werde die Erweiterung durch Phishing-E-Mails mit einem präparierten Link, welcher zu einer gefälschten Landing-Page mit einem vermeintlichen „Adobe Flash Player Update“ führe. Sobald das Opfer den Link anklickt, werden laut Schrenk „JavaScript“-Dateien ausgeführt, welche prüften, ob bestimmte Kriterien erfüllt sind – etwa, ob der Link mittels „Firefox“ geöffnet wurde und ob eine aktive User-Session in „Gmail“ ausgeführt wird. Ist dies der Fall, werde die „FireFox“-Browser-Erweiterung durch eine „XPI“-Datei installiert, welche den Cyber-Kriminellen nahezu vollständige Kontrolle über die E-Mail Konten ihrer Opfer gewähre.

Nutzer seien indes solchen schadhaften Browser-Erweiterungen nicht schutzlos ausgeliefert. Allerdings sollten diese stets sorgfältig ausgewählt und ausschließlich aus vertrauenswürdigen Quellen, beispielsweise aus den offiziellen WebStores der Browser, bezogen werden. „Auch wenn es keine 100%-ige Sicherheitsgarantie ist, so ist das Risiko, dort an eine bösartige oder unsichere Erweiterung zu geraten, definitiv geringer“, erläutert Schrenk.

Browser-Erweiterungen nur für deren Funktion unbedingt erforderliche Berechtigungen erteilen!

Wer seinen Browser-Erweiterungen zudem nur diejenigen Berechtigungen gewährt, welche für deren Funktion unbedingt erforderlich sind und zusätzlich sicherstellt, dass die Browser-Erweiterungen regelmäßig aktualisiert werden – zum Beispiel durch das Aktivieren der automatischen Update-Funktion – habe weitere wichtige Schutzmaßnahmen ergriffen. Schrenks Tipp: „Es lohnt sich auch, die Bewertungen und Erfahrungsberichte anderer Nutzenden zu lesen, bevor eine Erweiterung installiert wird. Positive Bewertungen und hohe Installationszahlen sind ein guter Indikator für die Vertrauenswürdigkeit einer Erweiterung.“

Schrenk selbst installiert nach eigenen Angaben außerdem auch „nur Erweiterungen, die ich wirklich benötige“ – und deaktiviert oder entfernt Erweiterungen, welche sie nicht nutzt. „Und das rate ich auch jedem anderen, denn je weniger Erweiterungen aktiv sind, desto geringer ist die Angriffsfläche für potenzielle Sicherheitsbedrohungen.“

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 09.08.2023
Bedrohungslage / Browser-Erweiterungen, Cookies & Co.: Ein unbekanntes Risiko

Auf Opfer zugeschnittene Cactus-Angriffe laufen derzeit über Fortinet VPN-Server

[datensicherheit.de, 19.06.2023] Laut einer aktuellen Meldung der PSW GROUP treibt eine neue Ransomware-Bande namens „Cactus“ ihr Unwesen in der digitalen Welt: Diese Cyber-Kriminellen hätten es besonders auf VPN-Anwendungen abgesehen, um sich einen ersten Zugang zu den Systemen und Netzwerken zu verschaffen. IT-Sicherheitsexpertin Patrycja Schrenk warnt: „Die ,Cactus’-Ransomware kann sich zudem offenbar selbst verschlüsseln, um dadurch eine Erkennung durch Antivirensoftware zu erschweren. Die Bekämpfung durch gängige Antivirusprogramme gestaltet sich daher als schwierig.“ Der Name „Cactus“ leitet sich demnach von dem angegebenen Dateinamen „cAcTuS.readme.txt“ und dem Namen in der Lösegeldforderung ab. Bislang sei noch nicht bekannt, wer hinter dieser neuen Ransomware-Bande steckt. „Die Ermittlungen laufen auf Hochtouren.“

Foto: PSW GROUP

Patrycja Schrenk rät, das gesamte Netzwerk kontinuierlich auf Auffälligkeiten zu überwachen…

Im Fokus eines Cactus-Angriffs stehen Schwachstellen in bekannten VPN-Servern von Fortinet

„Was ,Cactus’, im Vergleich zu anderen Ransomware-Varianten noch gefährlicher macht, ist, dass die Angreifer die Verschlüsselung zum Schutz der Ransomware-Binärdatei einsetzen. Im Fokus eines Angriffs stehen dabei Schwachstellen in bekannten VPN-Servern von Fortinet“, erläutert die Geschäftsführerin der PSW GROUP:

Über den VPN-Server griffen die Cyber-Kriminellen auf das Netzwerk zu und führten ein Batch-Script aus, durch welches die eigentliche Ransomware geladen werde. „Der Schadcode wird in einer ZIP-Datei übertragen und nach dem Download extrahiert.“ Mithilfe eines speziellen Schlüssels in der Befehlszeile könnten die Angreifer die Anwendung starten und Dateien auf dem betroffenen System so verschlüsseln, dass Nutzer keinen Zugriff mehr hätten.

Die Cactus-Ransomware-Bande erhält weiteres Druckmittel

„Doch damit nicht genug“, so Schrenk – sie führt weiter aus: „Vor der Verschlüsselung werden die Dateien an die Server der Angreifer übertragen. Dadurch erhält die Ransomware-Bande ein weiteres Druckmittel. Denn erstens kann Lösegeld für die Entschlüsselung der Dateien auf dem kompromittierten System gefordert werden und zusätzlich können die Cyber-Kriminellen damit drohen, die erbeuteten Daten zu veröffentlichen.“

„Cactus“ habe vor allem große Unternehmen mit einer Menge von sensiblen Daten im Visier. Laut verschiedener Berichte sollten die Forderungen bei bisherigen „Cactus“-Angriffen in Millionenhöhe liegen und die Angriffe speziell auf die jeweiligen Opfer zugeschnitten sein. Welche Unternehmen bisher von den „Cactus“-Angriffen betroffen sind, ist laut Schrenk noch nicht bekannt – „bisher wurden noch keine sensiblen Daten veröffentlicht“.

Ransomware Cactus äußerst gefährlich

„Die Ransomware ,Cactus’ ist äußerst gefährlich, da gängige Viren-Scanner diese aufgrund der verschlüsselten Angriffe nur schwer erkennen können“, unterstreicht Schrenk und rät: „Deshalb ist es umso wichtiger, sich vor Angriffen mit Präventivmaßnahmen zu schützen. Dazu gehört es, Anwendungen und öffentlich zugängliche Systeme stets auf dem neuesten Stand zu halten und Patches umgehend einzuspielen.“

Auch rät sie abschließend, das gesamte Netzwerk kontinuierlich auf Auffälligkeiten, insbesondere „PowerShell“, zu überwachen und schnell zu reagieren, einen Passwort-Manager zu implementieren sowie eine Zwei-Faktor-Authentifizierung zum Standard zu machen. Ergänzend lohne sich die regelmäßige Überprüfung der Administrator- und Dienstkonten. Die Erstellung regelmäßiger Backups sollte obligatorisch sein.

Weitere Informationen zum Thema:

PSW GROUP, Juliane Groß, 13.06.2023
IT-Security / Ransomware Cactus: Angriffe auf VPN-Schwachstellen

DSGVO-konformer Betrieb einer Website ist eine komplexe Angelegenheit

[datensicherheit.de, 22.05.2023] „Eine Website DSGVO-konform zu betreiben ist eine komplexe Angelegenheit: Im Hintergrund werden zahlreiche Plugins, externe Ressourcen und andere Quellen geladen“, betont die PSW GROUP in ihrer aktuellen Stellungnahme. Website-Betreiber setzten sogenannte Cookies ein, um Tracking, Analysen und verschiedene Funktionen zu ermöglichen. Gleichzeitig gebe es aber auch immer mehr Verordnungen, Gesetze und Anforderungen an den Datenschutz, die erfüllt werden müssten. Immer wieder verschickten findige Rechtsanwälte Abmahnungen wegen nicht korrekter Einstellungen. „Ob berechtigt oder nicht: Für Website-Betreiber ist es allemal unnötig und nervig, sich damit auseinanderzusetzen – und häufig auch teuer.“

Foto: PSW GROUP

Patrycja Schrenk: DSGVO-Konformität einer Website einfach so nebenbei zu prüfen, ist kaum möglich!

Tools helfen Betreibern selbst zu testen, ob die eigene Website auch wirklich datenschutzkonform ist

Patrycja Schrenk, Geschäftsführerin der PSW GROUP, gibt zu bedenken: „Die DSGVO-Konformität einer Website einfach so nebenbei zu prüfen, ist kaum möglich. Der größte Aufwand liegt in der Identifizierung von Webseiten-Erweiterungen und Cookies.“ Auch die Information der Betroffenen sei ein weiterer Punkt, „der Hürden bereithält“. Denn zum Einen müsse der Grundsatz der Transparenz gewährleistet sein und eine einfache Sprache verwendet werden, zum Anderen müssten die rechtlichen Vorgaben erfüllt werden. Gerade letzteres führe dazu, dass Datenschutzerklärungen zu langen Rechtstexten mutierten und es für Laien schwierig werde, zu verstehen, worum es eigentlich geht.

Immerhin: Dank einiger Tools könne jeder Website-Betreiber selbst testen, ob die eigene Website auch wirklich datenschutzkonform ist: „Tatsächlich gibt es eine Unmenge an brauchbaren Tools zur Analyse. Mit ,Qualys’, den Entwicklertools im Browser und ,Cookiedatabase’ können wir jedoch drei Tools wirklich jedem ans Herz legen, da diese sich in unserem Alltag als Datenschützer bewährt haben.“

Qualys SSL-Labs misst Sicherheit einer SSL-verschlüsselten Website

„Qualys SSL-Labs“ misst demnach die Sicherheit einer SSL-verschlüsselten Website: Verschiedene Parameter – beispielsweise der Einsatz von „Perfect Forward Secrecy“ (PFS) – werden zur Bewertung herangezogen. „Konkret untersucht der kostenlose Online-Test die SSL-Zertifikatskette von Webseiten. Das Sicherheitsprotokoll SSL dient der Verschlüsselung sensibler Daten während einer Online-Übermittlung. Des Weiteren werden auch die Übertagungsprotokolle geprüft – je aktueller, je besser“, erläutert Schrenk. Für den Test werde einfach die Domain eingegeben, den Rest erledige das Tool. Ratings zwischen „A“ bis „F“ bewerteten die Website dann von „ausgezeichnet“ bis „extrem unsicher“.

Mit den sogenannten „Entwicklertools“ stehe gleich eine ganze Kollektion hilfreicher Werkzeuge bereit, die jeder Webbrowser kostenlos mitgeliefert bekomme. Sie erlaubten es, die gerade angezeigte Webseite zu analysieren und hinter die Kulissen zu schauen. „Hier erfahren Website-Betreibende zum Beispiel welche Cookies eingebunden und welche Dienste, zum Beispiel ,Google Fonts’ oder ,Google Analytics’, geladen werden, wie groß diese sind, welche Web Services im Hintergrund laufen und wo potenzielle Problemstellen und Risiken verborgen liegen.“

Entwicklertools zeigen an, welche Cookies auf der jeweiligen Website gesetzt sind

„Zu den Entwicklertools gelangt man über einen Rechtsklick an jeder beliebigen Stelle einer Website und anschließend mit einem Klick auf durchsuchen oder F12 auf der Tastatur. Die Entwicklertools zeigen nun unter anderem an, welche Cookies auf der jeweiligen Website gesetzt sind und ob sie aus einer externen Quelle stammen oder direkt von der Website eingebunden werden.“ Cookies aus externer Quelle seien in den meisten Fällen ein Problem und sollten nach Möglichkeit unterbunden werden, rät Schrenk. Dem gegenüber seien technisch notwendige Cookies all jene, „die keine Analyse- oder Marketing-Zwecke verfolgen, sondern notwendig für eine Funktion der Website sind“. Ein Cookie zum Speichern des Warenkorbes sei beispielsweise „technisch notwendig“, genauso wie auch das Cookie zum Speichern der Cookie-Banner-Einstellungen.

Natürlich sei es nicht allein damit getan, zu wissen, welche Cookies geladen werden. Doch es könne durchaus schwierig sein, die Art oder den Zweck eines Cookies zu ermitteln – „vor allem, wenn dessen Bezeichnung keinen Anhaltspunkt bietet und die angezeigte Domain mit der eigenen Website identisch ist“. Schrenk führt aus: „Aber auch dafür gibt es eine Lösung. Denn mit ,cookiedatabase.org’ gibt es eine sehr praktische Cookie-Datenbank, mit der sich die gängigsten Cookies identifizieren lassen.“ Die Suchfunktion des Dienstes liefere reichlich Informationen über Cookies, „unter anderem von welchem Dienst das Cookie stammt, zu welchem Zweck das Cookie verwendet wird, wie lange das Cookie gespeichert wird und welche Funktion das Cookie hat“.

Datenschutzerklärung für die Website zwingend erforderlich!

„Ein wichtiger Baustein einer jeden datenschutzkonformen Website ist die Datenschutzerklärung selbst.“ Diese müsse Besucher einer Website über jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten aufklären – etwa über die Verarbeitung der IP-Adresse, von Browser-Daten, Cookies, Webanalyse-Tools wie „Google Analytics“ sowie Social-Media-Plugins. „Die Datenschutzerklärung muss nicht nur darüber informieren, welche Daten erhoben werden, sondern auch was mit ihnen passiert, warum diese Daten erhoben werden und ob Daten an Dritte weitergegeben werden“, informiert Schrenk und betont: „Die Datenschutzerklärung muss eindeutig als solche gekennzeichnet sein. Daher ist es nicht ausreichend, sie innerhalb des Impressums unterzubringen. Datenschutzerklärung und Impressum sind klar voneinander zu trennen.“

Diese Angaben sind laut Schrenk zwingend erforderlich:

• Name und Kontaktdaten des/der Verantwortlichen
• Zweck und Rechtsgrundlage der Datenverarbeitungen: „Was wird auf der Website gemacht, welche Tools werden dazu eingesetzt und welche Legitimation hab der Betreibende dafür? Falls die Rechtsgrundlage Artikel 6, Absatz 1 der DSGVO ist, muss das berechtigte Interessen des oder der Verantwortlichen oder Dritter beschrieben werden.“
• Aufklärung über Rechte der Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragung)
• Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
• Speicherdauer der Daten
• Sofern vorhanden: Kontaktdaten des Datenschutzbeauftragten

Weitere Informationen zum Thema:

PSW GROUP CONSULTING – BLOG, 30.04.2023
How to… check your website? Kostenlose Tools zum Website-Check / Worauf sollte man achten?

Patrycja Schrenk erläutert, wie DDoS-Attacken erkannt werden können, und welche Möglichkeiten es zur Abwehr gibt

[datensicherheit.de, 24.02.2023] „Wenn Cyber-Kriminelle mit DDoS-Attacken Firmennetzwerke, Webseiten und ganze Online-Shops lahmlegen, kann das für die Betroffenen schnell zum wirtschaftlichen Fiasko werden, wenn der Shop oder die Firmen-Homepage über Stunden oder gar Tage hinweg nicht erreichbar ist“, warnt Patrycja Schrenk, Geschäftsführerin der PSW GROUP, in ihrer aktuellen Stellungnahme und gibt Tipps, wie DDoS-Attacken erkannt werden können und welche Möglichkeiten es gibt, solche Angriffe abzuwehren.

Foto: PSW GROUP

Patrycja Schrenk: DDoS-Attacken zielen auf Verzögerungen oder Komplettausfälle!

DDoS-Angriffe auf den ersten Blick nur schwer zu erkennen

Schrenk erläutert: „DDoS-Attacken haben im Gegensatz zu anderen Angriffen nicht das Ziel, ein System zu kompromittieren, sondern Verzögerungen oder Komplettausfälle herbeizuführen. Allerdings können diese Attacken in Kombination mit einem Hacking-Versuch auftreten und dienen dann als Ablenkungsmanöver.“ Das Problem sei: „DDoS-Angriffe sind auf den ersten Blick nur schwer zu erkennen.“ Denn sie ähnelten zunächst einer Flut legitimer Nutzeranfragen auf den Online-Shop oder auf die Website.

Es gebe jedoch Möglichkeiten, den künstlich erzeugten „Traffic“ eines Distributed-Denial-of-Service-Angriffs von dem organischen Datenverkehr zu unterscheiden: „Trotz Spoofing- und Distribution-Techniken gehen viele DDoS-Angriffe von einer begrenzten IP-Range, einem einzelnen Land oder einer Region aus – vielleicht von einer, die normalerweise nicht viel ,Traffic’ erzeugt.“ Ein weiteres, auffälliges Anzeichen für eine DDoS-Attacke sei es, wenn der gesamte Datenverkehr von demselben Client kommt – also zum Beispiel mit demselben Betriebssystem und Web-Browser. Normalen organischen „Traffic“ würde sich in diesem Punkt durch eine „natürliche Vielfalt“ der verwendeten Geräte auszeichnen. Auch wenn extrem hoher Datenverkehr nur auf einen einzigen Server, einen Netzwerkanschluss oder eine Webseite einstürzt, statt sich gleichmäßig über eine komplette Website zu verteilen, sei das ein Anhaltspunkt für einen DDoS-Angriff.

Bei DDoS-Angriff rasch und überlegt handeln!

„Tritt der ,Worst Case’ ein und Cyber-Kriminelle bombardieren den Webserver mit sinnlosen oder ungültigen Anfragen, bis er unter der Last zusammenbricht und eine Website nicht mehr erreichbar ist, ist es wichtig zu wissen, was zu tun ist und mit klarem Kopf die entsprechenden Schritte einzuleiten, um den Angriff abzuwehren“, unterstreicht Schrenk.

Konkret rät Schrenk: „Zunächst müssen umgehend Vorgesetzte oder die Sicherheitsexperten der IT-Abteilung informiert werden. Je schneller das geschieht, desto schneller können sie Gegenmaßnahmen einleiten.“ Dies setze allerdings voraus, dass Mitarbeiter durch Schulungen über die Anzeichen eines Angriffs informiert sind und wissen, wie sie sich zu verhalten haben.

Mehrstufige Reaktion auf DDoS-Attacken

Im nächsten Schritt gelte es, sensible Daten und deren Zugang zu sichern beziehungsweise diesen sofort zu blockieren, um es Angreifenden unmöglich zu machen, Daten aus dem Unternehmen zu stehlen oder zu beschädigen. „Im Anschluss müssen die betroffenen Systeme isoliert werden, um zu verhindern, dass Angreifende eventuell weitere Systeme infizieren und dort Schäden verursachen.“

Ist dies erfolgt, sollten Beweise für den Angriff gesammelt werden. Dabei sollten laut Schrenk so viele Daten wie möglich zusammengetragen werden. Dazu zählten Informationen über die Art des Angriffs – „handelt es sich beispielsweise um UDP-Flood, SYN-Flood oder HTTP-Flood?“ – über den Zeitpunkt des Angriffs und die IP-Adresse(n) des oder der Angreifer.

Erprobten Notfallplan auch für den Falle einer DDoS-Attacke vorhalten!

„Wir betonen immer wieder, wie wichtig es ist, einen Notfallplan zu haben und diesen auch zu befolgen. Das trifft auch im Falle einer DDoS-Attacke zu.“

Denn darin sei nicht nur festgehalten, welche Abteilungen oder Verantwortlichen in welcher Reihenfolge informiert werden müssten, sondern auch die zu ergreifenden Maßnahmen, welche zur Reduzierung der Auswirkungen eines Angriffs führten und mit denen das Netzwerk wieder in seinen Originalzustand versetzt werde.

DDoS-Attacken vergleichsweise einfach abzuwehren

Auch wenn es ohne Hilfsmittel schwierig sei, DDoS-Angriffe und den damit einhergehenden „Traffic“ von legitimen Anfragen zu unterscheiden, ließen sich diese Attacken vergleichsweise einfach abwehren. Denn Unternehmen müssten im Grunde genommen nur die benötigten Ressourcen und Kapazitäten schaffen, um die Masse an Anfragen verarbeiten zu können.

Dies gelinge durch Zuschaltung von Rechenleistung, beispielsweise durch „Cloud“-Dienste, so dass der Anstieg von Anfragen verarbeitet und reguliert werden kann. Zusätzlich ließen sich weitere, verschiedene Sicherheitsmaßnahmen integrieren und umsetzen. Ein wichtiger Ansatzpunkt dafür sei die Identifizierung der kritischen IP-Adressen der Anfragen sowie die Schließung bekannter Sicherheitslücken.

Vorbeugung und Gegenmaßnahmen zur Abwehr eines DDoS-Angriffs:

Überwachung von Ressourcen und Netzwerk
Ein intelligentes Überwachungssystem für das gesamte Unternehmensnetzwerk könne sicherstellen, „dass Ressourcen und Kapazitäten nicht überlasten oder die Leistung von Website und Anwendungen nicht beeinträchtigt werden“.

Implementierung von DDoS-Schutzmaßnahmen
Die regelmäßige Überprüfung und Optimierung der eigenen Schutzmaßnahmen gegen DDoS-Angriffe sollte obligatorisch sein. Dazu gehöre auch, neue Technologien oder Dienste zu implementieren, um das Netzwerk besser vor Angriffen zu schützen.

IP-Sperrlisten
Sperrlisten, auch „Blacklists“ genannt, ermöglichten es, IP-Adressen zu identifizieren und Datenpakete direkt zu verwerfen. „Diese Sicherheitsmaßnahme lässt sich manuell umsetzen oder durch dynamisch erzeugte Sperrlisten über die Firewall automatisieren“, so Schrenks Tipp.

Filterung über „Scrubbing Center“
Der gesamte Datenverkehr werde zunächst an ein sogenanntes Scrubbing-Center umgeleitet, dort bereinigt und es dann an den eigentlichen Server weitergeleitet. „Um auffällige Datenpakete herauszufiltern, können Grenzwerte für Datenmengen in einem bestimmten Zeitraum definiert werden. Dabei ist jedoch zu beachten, dass Proxys mitunter dazu führen, dass viele Clients mit derselben IP-Adresse beim Server registriert und möglicherweise unbegründet blockiert werden“, bemerkt Schrenk.

SYN-Cookies
SYN-Cookies nähmen Sicherheitslücken im TCP-Verbindungsaufbau ins Visier. „Kommt diese Sicherheitsmaßnahme zum Einsatz, werden Informationen über SYN-Pakete nicht mehr auf dem Server gespeichert, sondern als Crypto-Cookie an den Client gesendet. SYN-Flood-Angriffe beanspruchen zwar Rechenkapazität, belasten jedoch nicht den Speicher des Zielsystems“, informiert Schrenk.

Load-Balancing
Load-Balancing sei eine effektive Gegenmaßnahme gegen Überlastung, indem es die Lastenverteilung auf verschiedene Systeme – Hardware oder auch „Cloud“-Dienste – aufteile.

Weiterbildung
Die Schulung der Mitarbeiter trage maßgeblich zur Sicherheit bei. „Wenn Mitarbeitende Angriffe schneller erkennen und wissen, was zu tun ist, verkürzt das die Reaktionszeiten der IT-Abteilung oder IT-Sicherheitsbeauftragten enorm.“

Reporting über den Angriff
Nach einem Angriff sollten alle gesammelten Daten analysiert werden, um Schwachstellen zu identifizieren und zukünftige Angriffe zu verhindern. Idealerweise werde ein Bericht erstellt, um die Angriffssituation zu dokumentieren.

DDoS-Angriffe haben Einkehr in den Alltag gehalten

„DDoS-Angriffe haben ihren Weg in unseren Alltag gefunden. Jedoch hilft der technologische Fortschritt, sich weitgehend gegen solche Attacken zu schützen. ,Network Service Provider’ beispielsweise integrieren inzwischen Sicherheitssysteme in ihre Dienstleistungen, die DDoS-Angriffe erkennen und entsprechende Gegenmaßnahmen einleiten.“ Der IT-Dienstleister halte dann genügend Kapazitäten vor, um große Mengen an eingehendem Datenverkehr zu bewältigen.

Natürlich könne auch jedes Unternehmen diese Praxis selbst umsetzen und je nach Situation sein eigenes Netzwerk aufrüsten oder ein „Content Delivery Network“ (CDN) nutzen. „Auch CDNs verfügen in der Regel über eine große Gesamtkapazität, so dass viele DDoS-Angriffe abgewehrt werden können. Zudem lässt sich in vielen Fällen Angriffsverkehr filtern“, so Schrenk abschließend.

Weitere Informationen zum Thema:

PSW GROUP, Juliane Groß, 01.02.2023
Bedrohungslage / Das können Sie tun, um DDoS-Angriffe erfolgreich abzuwehren

HTML-Anhänge bei Phishing-Attacken häufig so gestaltet, dass sie wie Seiten offizieller Unternehmenswebsites aussehen

[datensicherheit.de, 06.09.2022] Phishing über HTML-Dateien wird laut einer aktuellen Warnung der PSW GROUP unter Cyber-Kriminellen immer beliebter: Deren IT-Sicherheitsexperten verweisen in diesem Zusammenhang auf entsprechende Auswertungen des Sicherheitsanbieters Kaspersky – diesem sei es zwischen Januar und April 2022 gelungen, „nahezu zwei Millionen dieser Phishing-E-Mails zu blockieren“.

Foto: PSW GROUP

Patrycja Schrenk: Oberste Regel gilt auch beim HTML-Phishing – nämlich Anhänge und Links nur mit Bedacht zu öffnen!

Phishing-Abwehr: Eigentlich sollten Antiviren-Lösungen schädliche Skripte erkennen

„Eigentlich erkennen Antiviren-Lösungen E-Mails mit schädlichen Skripten in HTML-Anhängen recht leicht und sind in der Lage sie zu blockieren. Doch die Cyber-Kriminellen lernen dazu“, berichtet Patrycja Schrenk, Geschäftsführerin der PSW GROUP, und erläutert:

„Verzerren die Betrüger nämlich den Phishing-Link oder auch die gesamte HTML-Datei durch verworrenen oder unbrauchbaren Code, erkennen die Antiviren-Lösungen den Code-Müll nicht als potenzielles Phishing.“

Noch immer ist vielen Nutzern nicht bewusst, dass Dateien in Phishing-E-Mails nicht sicher sind

Um ihre Opfer zur Preisgabe ihrer sensiblen Daten zu verleiten, würden die HTML-Anhänge häufig so gestaltet, dass sie wie Webseiten offizieller Unternehmenswebsites aussehen. Dazu kopierten die Kriminellen Bilder, Stil, Skripte oder andere Multimedia-Komponenten von offiziellen Seiten.

„Der Erfolg, den sie mit diesem Vorgehen haben, ist dabei der Unwissenheit der Opfer geschuldet: Noch immer ist vielen Nutzenden nicht bewusst, dass Dateien in Phishing-E-Mails nicht sicher sind. So werden schädliche HTML-Anhänge ahnungslos geöffnet – und die Kriminellen haben leichtes Spiel“, warnt Schrenk.

Laut Kaspersky-Studie zum HTML-Phishing zwei Herangehensweisen zu unterscheiden

Wie Kaspersky in seiner Studie zum HTML-Phishing herausgefunden habe, seien zwei Herangehensweisen beim HTML-Phishing zu unterscheiden: Zum einen HTML-Dateien mit Phishing-Link, zum anderen komplette schädliche Websites. Schrenk führt aus: „Im ersten Fall versenden die Kriminellen eine HTML-Datei mit einem Text, in dem angeblich wichtige Informationen enthalten sind. Das kann beispielsweise die Benachrichtigung einer Bank sein, die zu einem Überweisungsversuch Details mitteilt.“ Nutzer würden dann aufgefordert, einen Link zur angeblichen Website der Bank anzuklicken, um die Überweisung abzubrechen.

„Tatsächlich aber werden die Opfer dann auf die Phishing-Seite gelenkt. Die zweite Herangehensweise sind komplette schädliche Websites.“ Für Cyber-Kriminelle sei diese Methode praktisch, denn sie sparten Hosting-Gebühren und müssen keine Websites erstellen – „denn das notwendige Phishing-Formular und das entsprechende Skript zur Datenerfassung sind bereits vollständig im Anhang der E-Mail enthalten“, erläutert Schrenk.

Schutz vor Phishing erfordert Problembewusstsein

Um sich effektiv vor Phishing zu schützen, müsse nach Ansicht der IT-Sicherheitsexpertin ein Problembewusstsein bestehen: „Dazu gehört, Mitarbeitende zu sensibilisieren und sie über weitere Formen des Phishings zu informieren. Denn es gibt nicht nur HTML-Phishing, sondern beispielsweise auch Smishing, also das Phishing per SMS und Quishing, das Phishing per QR-Code“, unterstreicht Schrenk. Die oberste Regel, die beim Phishing generell gelten sollte, gelte deshalb auch beim HTML-Phishing: Nämlich Anhänge und Links nur mit Bedacht zu öffnen.

Das bedeute auch, lieber auf das Öffnen zu verzichten, wenn die Anhänge oder Links verdächtig erscheinen. „Zur Skepsis rate ich generell bei E-Mails von vermeintlich bekannten Absendern mit Links oder Anhängen, die nicht erwartet werden. Dahinter könne sich E-Mail-Spoofing verbergen, eine Methode, bei der Angreifende ihre wahre Identität verschleiern und andere Identitäten vortäuschen. Im Zweifel also lieber mit dem Absender kurz telefonieren, um sicherzugehen, dass die Nachricht tatsächlich von dort stammt“, empfiehlt Schrenk abschließend.

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 18.08.2022
Bedrohungslage / HTML-Phishing: Sicherheitsanbieter warnt vor Angriffen

Patrycja Schrenk gibt Tipps, welche Vorsichtsmaßnahmen gegen Botnetze getroffen werden können

[datensicherheit.de, 25.08.2022] Die PSW GROUP warnt vor zunehmender Gefahr durch sogenannte Botnetze und gibt Hinweise, wie Anwender betroffene Geräte erkennen und welche Vorsichtsmaßnahmen sie treffen können. Demnach gehören Botnetze gehören zu den größten Bedrohungen für das Internet der Dinge (IoT). Mit ihrer Hilfe verbreiteten Cyber-Kriminelle Malware, führten DDoS-Attacken durch und schleusten sogenannte Spyware ein. Die Gefahr durch Botnetze könnte sogar noch weiter zunehmen, denn inzwischen böten Cyber-Kriminelle im Darknet bereits Kurse zum Bau und Betrieb eines Botnetzes an.

Foto: PSW GROUP

Patrycja Schrenk warnt: Jedes vernetzte Gerät mit Zugang zum Internet kann Teil eines Botnetzes werden!

Auch Mobilgeräte wie Smartphones oder Tablets können Teile von Botnetzen werden

„Jedes vernetzte Gerät mit einem Zugang zum Internet kann Teil eines Botnetzes werden. Häufig sind IoT-Geräte, insbesondere im privaten Umfeld, sehr weit vom Schutzniveau gängiger Computer entfernt und werden immer wieder von Kriminellen gekapert, ohne dass die Opfer davon etwas mitbekommen“, warnt Patrycja Schrenk, Geschäftsführerin der PSW GROUP. Aber auch Mobilgeräte wie Smartphones oder Tablets könnten Teile von Botnetzen werden.

Sie erläutert: „Ein Botnetz besteht aus einem Netz gekaperter Rechner, deren Besitzer in der Regel nichts davon ahnen. Zunächst wird der Zielrechner, der in das Botnetz eingebunden werden soll, mit Malware infiziert. Mit dieser Schadsoftware können Angreifer die Kontrolle über das System übernehmen.“

Gekaperte Rechner ließen sich über sogenannte Command-and-Control-Server (C&C-Server) steuern und für unterschiedliche Aktivitäten verwenden: Spamming, für die Speicherung illegaler Dateien, das Verteilen von Schadsoftware oder auch für DDoS-Attacken.

Vielseitigkeit der Botnetze für Cyber-Kriminelle so attraktiv

„Es ist zwar mit einigem Aufwand verbunden, ein Botnetz zu erstellen. Allerdings ist es dessen Vielseitigkeit, die für Kriminelle so attraktiv ist“, so Schrenk. Botnetze könnten nach der Infektion eine Zeit lang schlummern und sich erst später aktivieren.

Sie könnten aber auch sofort Daten ausspähen oder als Erpressungstrojaner Einsatz finden. Insbesondere von Unternehmen gefürchtet seien DDoS-Angriffe:

„Das Botnetz bombardiert das Opfersystem mit der gebündelten Rechnerleistung sowie Netzwerk-Bandbreite all der angeschlossenen Geräte so lange, bis das Zielsystem unter dieser Last in die Knie geht und nicht mehr erreichbar ist.“

Botnetze nicht einfach zu erkennen

Es sei nicht einfach, Botnetze zu erkennen, denn sie brauchten für gewöhnlich keine nennenswerte Rechenleistung. Dennoch gebe es einige Hinweise, welche auf Botnetze hindeuten können:

„Wer beispielsweise eine plötzliche Verlangsamung der Internetgeschwindigkeit oder Bandbreitenspitzen feststellt, wenn das Betriebssystem sich nicht aktualisieren oder Prozesse auf dem Rechner sich nicht schließen lassen, sind das Indizien, dass der Rechner Teil eines Botnets ist“, erklärt Schrenk. Auch unerwartete Änderungen im System oder unbekannte Prozesse im Task-Manager seien Hinweise für die Existenz eines Botnetzes.

Immerhin, so Schrenk, verrichteten viele Anti-Viren-Lösungen gute Arbeit beim Auffinden von Botnetzen, so dass Anwender auch den Warnungen ihres Antiviren-Tools trauen könnten. „Das setzt natürlich voraus, dass es auf aktuellem Stand gehalten wird. Gleiches gilt auch für das Betriebssystem und sämtliche andere Anwendungen. Funktions- und Sicherheitsupdates sollten immer rasch eingespielt werden“, unterstreicht Schrenk und ergänzt: „Aber bitte keine P2P-Download-Dienste verwenden. Diese sind gerade dann beliebt, wenn neue Software erwartet wird. Stattdessen lieber auf die offiziellen Quellen für die Downloads zurückgreifen.“

Maßnahmen und Verhaltensregeln – damit Botnetze keine Chance haben

Mit weiteren Maßnahmen und Verhaltensregeln könne sich jeder zudem aktiv davor schützen, dass Botnetze keine Chance haben: Wer E-Mails mit Anhängen erhält oder aufgefordert wird, weiterführende Links anzuklicken, sollte Vorsicht walten lassen. „Anhänge sollten nicht geöffnet werden – auch nicht, wenn der Absender bekannt ist. Dann lässt sich durch ein kurzes Telefonat klären, ob die E-Mail tatsächlich von dieser Person stammt. Ähnlich verhält es sich bei Links. Auch hier rate ich, diese nicht anzuklicken.“

Soll eine Website aufgerufen werden, ist es laut Schrenk sicherer, die URL direkt manuell in die Browser-Leiste einzugeben. Wer sich über die Seriosität einer Website unschlüssig ist, könne über das Impressum und weitere Rechtstexte Klarheit gewinnen – und im Zweifelsfall die Seite besser verlassen.

Wichtig sei auch noch: Bei neuen Geräten, gleich ob im Unternehmen oder zu Hause, sollten unbedingt und am besten sofort die voreingestellten Passwörter geändert werden. Starke Passwörter aus einer Kombination von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen und einer Länge von mindestens zehn Zeichen seien dabei zu bevorzugen – und zwar für jedes Gerät oder jeden Dienst ein eigenes. Schrenks abschließender Tipp: „Idealerweise werden Zugänge durch eine Zwei- oder Mehr-Faktor-Authentifizierung gesichert, also beispielsweise aus Passwort und einem weiteren Faktor.“

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 05.07.2022
Bedrohungslage / Botnetze: Die automatisierte Gefahr

IT-Sicherheitsexpertin Patrycja Schrenk warnt vor anlassloser Chat-Massenüberwachung durch Echtzeit-Scans

[datensicherheit.de, 18.08.2022] Aktuelle Pläne der EU-Kommission sehen ein neues Gesetz zur Chat-Kontrolle vor. Ziel sei es, den Kampf gegen sexuellen Missbrauch Minderjähriger voranzutreiben. Patrycja Schrenk, Geschäftsführerin der PSW GROUP, betont: „Das ist zweifelsfrei dringend notwendig.“ Indes warnt sie in diesem Zusammenhang eindringlich: „Doch erreicht werden soll dies, indem die Privatsphäre unter anderem auf unser aller Mobiltelefone ausgehebelt wird. Ob jedoch die anlasslose Massenüberwachung auch unbescholtener Bürgerinnen und Bürger die Strafverfolgung in dieser Hinsicht wirklich weiterbringt, bezweifle ich stark.“

Foto: PSW GROUP

Patrycja Schrenk: Problematisch bei den aktuell vorhandenen Technologien ist mitunter die hohe Fehlerquote…

Chat-Kontrolle meint Durchleuchten von Online-Kommunikation in Messengern, Sozialen Netzwerken und E-Mails

Es seien zweifelsohne erschreckende Zahlen der EU-Kommission: Allein im Jahr 2021 habe es 85 Millionen Meldungen von Bildern und Videos mit der Darstellung sexuellen Kindesmissbrauchs gegeben – die Dunkelziffer liege weitaus höher.

Um Kindesmissbrauch mit neuen Methoden verfolgen zu können, habe die EU-Kommission nun einen Gesetzesvorschlag zum Schutz von Kindern präsentiert: Mit der sogenannten Chat-Kontrolle – also dem Durchleuchten von Online-Kommunikation in Messengern, Sozialen Netzwerken oder auch per E-Mail – möchte die EU Algorithmen einführen, welche erkennen könnten, ob und wann Material zu Kindesmissbrauch online geteilt wird.

Technische Lösungen zur Chat-Kontrolle mit datenschutzrechtlichen Nachteilen

Um dies zu erreichen, könnte Künstliche Intelligenz (KI) zum Einsatz kommen: Der Algorithmus erkenne bereits bekanntes Material anhand eines Hashwerts, also eines einzigartigen, den Datei-Inhalt beschreibenden Wertes. Ist den Algorithmen – und damit auch den Behörden – ein Bild bekannt, auf dem Kindesmissbrauch dargestellt wird, könnten alle Bilder damit abgeglichen werden.

Um bisher nicht bekanntes Material erkennen zu können, sollten die Algorithmen mittels Machine Learning, also Maschinellem Lernen, dazulernen können. Allerdings: „Das anlasslose Scannen von Kommunikationen im Internet ist ein großer Eingriff in die Privatsphäre“, warnt Schrenk.

Konkrete technische Lösungen zur Chat-Kontrolle bisher offengelassen

Welche technischen Lösungen eingesetzt werden sollen, habe die EU-Kommission zudem offengelassen. Aktuell seien zwei Verfahren im Gespräch. So sollten entweder Anbieter Nachrichten vor dem Verschlüsseln durchleuchten, wobei möglicherweise Nachrichten dann unverschlüsselt ausgeleitet würden. Dieses „client-side scanning“ (CSS) sei indes gefährlich für die IT-Sicherheit:

Staatliche Stellen erhielten Zugang zu privaten Inhalten, „so dass es sich um Abhöraktionen handelt“. Viele Nutzergeräte wiesen zudem Schwachstellen auf, welche durch die Überwachungs- und Kontrollmöglichkeiten des CSS von weiteren Akteuren ausgenutzt werden könnten. CSS schwäche aber auch die Meinungsfreiheit und Demokratie: Einmal eingeführt, werde es schwer, sich gegen etwaige Ausweitungen zur Wehr zu setzen oder Kontrolle über den Missbrauch des Systems zu erhalten, so Schrenk.

Hintertür im Messenger zur Chat-Kontrolle erwogen

Ein zweites Verfahren wäre die Aushebelung der Verschlüsselung durch die Messenger-Dienste selbst. Hierzu möchte die EU Anbieter zu einer „Hintertür“ im Messenger verpflichten, „so dass über diese auf die Inhalte des Smartphones zugegriffen werden kann“.

Davon betroffen seien Host-Provider, einschließlich Foto- und Video-Plattformen, Zugangs-Provider, App-Store-Betreiber sowie interpersonelle Kommunikationsdienste wie Messenger und E-Mail. Diesen Diensten solle vorgeschrieben werden, Chats, Nachrichten sowie E-Mails mittels KI nach verdächtigen Inhalten zu durchleuchten. Als verdächtig erkannte Inhalte sollten an Strafverfolgungsbehörden weitergeleitet werden, um den Anfangsverdacht zu überprüfen.

Konsequenz: Harmlose Nachrichten, Chats, Videos oder Fotos von Unschuldigen gesichtet und unnötig verbreitet

„Problematisch bei den aktuell vorhandenen Technologien ist mitunter die hohe Fehlerquote: Auch irrtümliche Treffer müssen an die Strafverfolgungsbehörden gesendet werden, so dass harmlose Nachrichten, Chats, Videos oder Fotos von Unschuldigen gesichtet und unnötig verbreitet werden“, erläutert Schrenk. In der Praxis bedeute dies: Personen, die im geplanten EU-Zentrum arbeiten, müssten falsch-positives Material händisch aussortieren. Damit bekämen Ermittler auch legale Aufnahmen Minderjähriger zu sehen.

„Falsch-positive Ergebnisse entstehen, weil die scannende KI den Kontext nicht versteht: Verbringt eine Familie den Sommer am Strand und schickt einander die entstandenen Fotos zu, landen diese unter Umständen in der EU-Zentrale und bei Europol. Privatsphäre sieht anders aus.“ Schrenk kommentiert weiter: „Was folgt, könnte eine nie da gewesene Massenüberwachung aller Bürgerinnen und Bürger sein – anlasslos und vollautomatisiert. Damit würde das Recht auf Verschlüsselung ausgehebelt und das digitale Briefgeheimnis abgeschafft werden.“

Algorithmen zur Chat-Kontrolle weder Öffentlichkeit noch Wissenschaft zugänglich

„Wir dürfen uns auch nichts vormachen: Maschinell nach Grooming-Versuchen oder derzeit unbekannten Missbrauchsdarstellungen suchen zu wollen, ist rein experimentell – auch, beziehungsweise gerade, unter Verwendung von KI. Denn die Algorithmen, die dabei eingesetzt werden, sind weder der Öffentlichkeit noch der Wissenschaft zugänglich.“ Schrenk kritisiert hierzu: „Und eine Offenlegungspflicht ist in dem Gesetzentwurf nicht zu finden.“

Kommunikationsdienste, die für Grooming-Versuche missbraucht werden könnten – und darunter fielen alle Kommunikationsdienste – müssten Altersverifikationen der Nutzern durchführen. „Das geht nur, wenn diese sich ausweisen. Damit wird die anonyme Kommunikation de facto unmöglich gemacht, was gerade Menschenrechtler, Whistleblower, politisch Verfolgte, Journalisten oder marginalisierte Gruppen bedrohen könnte“, moniert Schrenk nachdrücklich.

Chat-Kontrolle stellt alle unter Generalverdacht:

Die Selbsteinschätzung „Ich habe aber nichts zu verbergen“ sei falsch. Aus Datenschutzsicht sei der Entwurf zum Chat-Kontrolle-Gesetz nämlich katastrophal, denn jeder stehe unter Generalverdacht: „Wer glaubt, er oder sie hätte nichts zu verbergen, sollte darüber nachdenken, dass im Falle einer Chat-Kontrolle alle E-Mails und Chats automatisch auf verdächtige Inhalte durchsucht werden. Es existiert dann keine vertrauliche und geheime Kommunikation mehr.“

Schrenk führt aus: „Gerichte müssen derlei Durchsuchungen nicht mehr anordnen, sie geschehen automatisiert.“ Sie nennt auch die weitreichenden Konsequenzen: „Harmlose Familienfotos vom Strandurlaub werden höchstwahrscheinlich falsch-positiv anschlagen und von internationalen Ermittelnden angesehen.“ Ein Urlaubsfoto, vom Sprössling am Strand an die Oma versendet, mache diese schon verdächtig.

Chat-Kontrolle könnte staatlichen Akteuren wie Geheimdiensten, aber auch Cyber-Kriminellen Zugriff verschaffen

Kommt die Chat-Kontrolle, könnten außerdem weitere staatliche Akteure wie Geheimdienste oder auch Cyber-Kriminelle auf privaten Chats und E-Mails zugreifen. „Etabliert sich die Technologie zur Chat-Kontrolle, ist es einfach, sie auch für andere Zwecke einzusetzen. Die erzwungene ,Hintertür’ ermöglicht nämlich das Überwachen bislang sicher verschlüsselter Kommunikationen auch für andere Zwecke.“ Den Algorithmen sei es egal, „ob sie nach Kindesmissbrauch, Drogenkonsum oder nach unliebsamen Meinungsäußerungen suchen“. In einigen Staaten der EU sei es beispielsweise nicht normal, zur „LGTPQ+“-Bewegung zu gehören. Tatsächlich verwendeten autoritäre Staaten derlei Filter zur Verfolgung und Verhaftung Andersdenkender, so Schrenk.

Schlimmstenfalls schade die Chat-Kontrolle sogar bei der Verfolgung von Kindesmissbrauch, denn Ermittler seien mit oftmals strafrechtlich irrelevanten Meldungen überlastet. „Überdies werden Missbrauchstäter nicht getroffen: Schon jetzt nutzen sie in aller Regel keine kommerziellen Online-Dienste, sondern richten eigene Foren ein. Dort laden sie Bild- und Videomaterial häufig als verschlüsseltes Archiv hoch und teilen nur Links und Passwörter.“ Die Algorithmen der Chat-Kontrolle funktionierten dort nicht. „Sorgen bereitet mir zudem, dass die Strafverfolgung privatisiert würde. Denn dann entscheiden Algorithmen großer Tech-Giganten, welche Inhalte als verdächtig gelten“, gibt Schrenk abschließend zu bedenken.

Weitere Informationen zum Thema:

PSW GROUP CONSULTING – BLOG, 25.07.2022
Pandoras Büchse oder: Die Chatkontrolle – Massenüberwachung durch Echtzeit-Scans

datensicherheit.de, 17.06.2022
Digitalcourage zeigt Engagement, um geplante Chat-Kontrolle zu verhindern / Der Digitalcourage e.V. ruft zur Mithilfe auf

datensicherheit.de, 08.06.2022
Offener Brief an EU: Über 70 Organisationen fordern Rückzug der Chat-Kontrolle / Von EU-Kommission vorgeschlagene Maßnahmen von weiten Teilen der Zivilgesellschaft als grundrechtswidrige Massenüberwachung abgelehnt

datensicherheit.de, 18.05.2022
Chat-Überwachung: Appell an Innenministerin Faeser die drohende Massenüberwachung zu verhindern / Mehr als 113.000 Menschen unterstützen bereits den Aufruf zum Stopp der Chat-Überwachung

Abhör- sowie Manipulationsversuche beeinflussen Daten auf Quantenebene

[datensicherheit.de, 19.07.2022] Quantencomputer könnten in einigen Jahren unsere heutigen, konventionellen Verschlüsselungen knacken – als Gegenmaßnahme forschen Wissenschaftler deshalb seit Jahren daran, eben ein nicht-knackbares Verschlüsselungssystem zu entwickeln. „Und diese Forschung zeigt bereits erste Erfolge. Beispielsweise hat Google mit ,Sycamore‘ einen Prozessor entwickelt, der das Herzstück eines Quantencomputers mit 53 Qubits bildet“, berichtet Patrycja Schrenk, IT-Sicherheitsexpertin und Geschäftsführerin der PSW GROUP.

Foto: PSW GROUP

Patrycja Schrenk: Erfolge und Entwicklungen der vergangenen Jahre zeigen, dass es gilt, sich vorzubereiten!

Abhörversuche auf quanten-kryptisch verschlüsselten Kanälen fallen direkt auf

Während traditionelle Verschlüsselungssysteme auf Mathematik basierten, basiere die Quanten-Kryptographie auf physischen Eigenschaften. Damit eröffne die Quanten-Kryptographie neue Möglichkeiten: Finden Abhörversuche auf quanten-kryptisch verschlüsselten Kanälen statt, fielen diese direkt auf. Denn etwaige Abhör- sowie Manipulationsversuche beeinflussten die Daten auf Quantenebene und -verfahren machten diese Einflüsse messbar.

„Die Quanten-Kryptographie nutzt Elementarteilchen und Photonen, um mit ihren wesentlichen Eigenschaften ein unknackbares Verschlüsselungssystem zu schaffen. Das ist damit zu begründen, dass der Quantenstatus eines Systems nicht messbar ist, ohne es dabei zu beeinflussen. In der Folge können Abhör- sowie Manipulationsversuche einfach nicht unentdeckt bleiben“, erläutert Schrenk.

Quanten-Verschlüsselung funktioniert bisher unter Laborbedingungen

Dass Quanten-Verschlüsselung funktioniert, hätten neben IBM – Ende 2021 stellte das Unternehmen mit „Eagle Chip“ einen Quantenprozessor mit 127 Qubits vor – auch andere Forscher bewiesen. Jedoch habe es sich um Versuche unter Laborbedingungen und über recht kurze Distanzen hinweg gehandelt: So sei es im Sommer 2015 der Universität Genf in Zusammenarbeit mit dem Hersteller Corning gelungen, eine Distanz von über 300 Kilometern zu überwinden. Wenig später, im Jahr 2018, sei die Überwindung einer Strecke von 421 km gelungen.

„Dass der Quantentechnologie die Zukunft gehört, beweist auch die Tatsache, dass die Entwickelnden des freien SSH-Frameworks ,OpenSSH‘ ab Version 9.0 den Schlüsselaustausch gegen Angriffe durch Quantencomputer abgesichert haben“, so Schrenk. Dafür hätten sie eine „Streamlined NTRU Prime“ genannte Methode implementiert. Als quelloffenes Public-Key-Kryptosystem nutze „NTRU“ gitterbasierte Kryptographie zum Ver- bzw. Entschlüsseln von Informationen.

Verfahren der Post-Quanten-Kryptographie auf klassischer Hardware zu implementieren

Vorreiter der Quanten-Kryptographie gebe es bereits: Die sogenannte Post-Quanten-Kryptographie. Schrenk führt aus: „Mit Post-Quanten-Kryptographie werden Bemühungen bezeichnet, quanten-sichere Krypto-Verfahren, also Verfahren die sich nicht durch Quantencomputer brechen lassen, zu standardisieren. Das ,Post-Quantum Cryptography Projekt‘ ist beispielsweise eine dieser Standardisierungsaktivitäten im Sektor der quantencomputer-resistenten Kryptographie.“

Es sei 2016 vom US-amerikanischen National Institute of Standards and Technology initiiert, allerdings sei der ganz große Durchbruch bisher noch nicht gelungen. Schrenk sieht dennoch Potenzial: „Verfahren der Post-Quanten-Kryptographie lassen sich entgegen zur Quanten-Kryptographie auf klassischer Hardware implementieren.“

Quantencomputer und Post-Quantum-Kryptoverfahren derzeit noch nicht für praktische Anwendung

Damit sei sowohl der praktische Einsatz von Quanten-Kryptographie als auch Quantencomputern noch Zukunftsmusik. Wie lange noch, werde sich zeigen. Denn experimentelle Quantencomputer seien bereits in verschiedenen Forschungseinrichtungen gebaut worden. Tech-Giganten wie IBM, Google, Microsoft und Infineon hätten längst Physiker, Mathematiker oder Informatiker angeworben, um erste kommerzielle Quantencomputer entwickeln zu können.

„Kommerziell wurde die Technologie bis dato noch nicht genutzt – sowohl Quantencomputer als auch die Post-Quantum-Kryptoverfahren befinden sich derzeit nicht auf einem Stand, der die praktische Anwendung erlaubt. Dennoch zeigen die Erfolge und Entwicklungen der vergangenen Jahre, dass es gilt, sich vorzubereiten. Es müssen dringend Verfahren, die sich nicht durch Quantencomputer brechen lassen, gefunden werden“, betont Schrenk abschließend.

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 21.06.2022
IT-Security / Quantenkryptografie einfach erklärt