[datensicherheit.de, 13.02.2025] Die Verbraucherzentrale NRW warnt anlässlich des „Safer Internet Day“ am 11. Februar 2025 vor einer „neuen Qualität von Phishing-Mails“: Sparkasse, Postbank, Telekom oder PayPal – es seien oft große Unternehmen, deren Namen Kriminelle für betrügerische E-Mails (Phishing-Mails) missbrauchten. Denn bei Firmen mit großem Kundenstamm sei die Wahrscheinlichkeit hoch, dass unter den wahllos ausgewählten Adressaten einige dabei sein würden, welche die Behauptung in der E-Mail glaubten und in die Falle tappten. „Die Methoden werden dabei zunehmend raffinierter”, so Ralf Scherfling, Finanzexperte bei der Verbraucherzentrale NRW. Er führt aus: „Früher ließen sich Phishing-Mails an schlechter Rechtschreibung, falscher Absender-Adresse, seltsam verlinkten Internet-Adressen und einem fehlenden Namen in der Anrede erkennen. Inzwischen braucht man viel mehr technisches Verständnis, um Phishings-Mails zu durchschauen.” Er erläutert in seiner Stellungnahme, wie Verbraucher eine verdächtige E-Mail auf Echtheit prüfen können:

Aussagen aus E-Mails sollten immer überprüft werden!

Wann immer Verbraucher eine E-Mail von einem Unternehmen erhalten, bei dem sie ein Kundenkonto haben, sollte man misstrauisch sein und die Informationen aus der E-Mail verifizieren. Verbraucher könnten hierzu direkt auf die originale Website des Anbieters gehen und sich in ihr Kundenkonto einloggen. „Wichtig: Die Unternehmensseite darf nicht über einen Link in der verdächtigen Mail aufgerufen werden!“

Alternativ könnten sich Betroffene auch über die echte App des Anbieters in ihr Kundenkonto einloggen. „Dort können sie prüfen, ob sie tatsächlich diese Nachricht erhalten haben und ob wirklich Handlungsbedarf besteht.“ Den Aussagen und Aufforderungen aus einer E-Mail sollten Verbraucher nie trauen.

Keine Links in E-Mails öffnen oder Daten eingeben!

„Hinter Phishing-Mails steht immer der Versuch, persönliche Daten abzugreifen, mit denen Kriminelle dann weiteren Schaden bei den Betroffenen anrichten könnten, zum Beispiel das Girokonto zu leeren.“ Bereits das Öffnen eines Links könne gefährlich werden, „wenn Kriminelle im Quellcode der Seite ein Schadprogramm verstecken und die Betroffenen sich dadurch einen Virus oder Trojaner einfangen“.

Scherfling unterstreicht: „Wurden persönliche Daten eingegeben, besteht akuter Handlungsbedarf! Handelte es sich beispielsweise um sensible Kontodaten, sollte umgehend das Kreditinstitut oder der Zahlungsdienstleister kontaktiert werden und ferner Strafanzeige gestellt werden.“

Auch das Empfängerfeld der E-Mail kann verdächtig sein!

Verbraucher sollten prüfen, ob sie tatsächlich als Empfänger der E-Mail adressiert sind. Unternehmen sprächen ihre Kunden in E-Mails grundsätzlich mit ihrem Namen an und niemals mit „Sehr geehrter Kunde“ oder „Sehr geehrter Nutzer“… Manchmal hätten Kriminelle den Namen ihrer Opfer aber schon herausgefunden und schrieben diese mit persönlicher Ansprache an.

„Eine weitere Betrugsmasche, die seit Kurzem im Zusammenhang mit PayPal von Kriminellen eingesetzt wird, ist das Anlegen von Verteilerlisten.“ Die Kriminellen richteten bei einem entsprechenden Anbieter eine E-Mail-Adresse als Verteilerliste ein. „In diese Liste tragen sie die Mail-Adressen ihrer Opfer ein.“ Bei PayPal nutzten sie die Funktion „Geld anfordern“ und gäben die Adresse ihrer Verteilerliste ein. Dorthin werde dann eine echte PayPal-Mail geschickt und automatisch an alle anderen unsichtbaren Mail-Adressen des Verteilers gestreut. „So erhalten die Betroffenen Mails, die gar nicht an sie adressiert sind.“

So erkennt man den echten Absender der E-Mail!

Viele Phishing-Mails seien sehr gut gemacht. Die E-Mail-Adresse des Absenders scheine vertrauenswürdig. „Wer tatsächlich hinter der E-Mail steckt, lässt sich über den Mail-Header, auch Quelltext genannt, sicher feststellen. Der Header enthält Informationen zum Empfänger, Absender sowie der IP-Adresse des Absenders, die sonst nicht sichtbar wären.“

Cyber-Kriminelle könnten zwar grundsätzlich auch Fälschungen in den Header einbauen, beispielsweise falsche Zeilen. Aber bestimmte Bereiche des Headers seien vertrauenswürdig und könnten einen Betrugsversuch aufdecken. Scherflings abschließender Hinweis: „Wie der E-Mail-Header ausgelesen werden kann, hängt vom genutzten Mail-Programm ab. Eine Hilfe für das Auslesen des Headers findet sich auf der Internetseite der Verbraucherzentrale NRW.“

Weitere Informationen zum Thema:

verbraucherzentrale Nordrhein-Westfalen, 10.02.2025
Phishing über E-Mail-Verteiler: Gefahr für Ihr PayPal-Konto? / Rechtschreibfehler, unpassender Absender, seltsame Links, keine namentliche Anrede – das sind bislang die „Klassiker“ zum Erkennen betrügerischer Nachrichten. Inzwischen reicht das nicht mehr…

verbraucherzentrale Nordrhein-Westfalen, 07.02.2025
Phishing-Radar: Aktuelle Warnungen / Hier zeigen wir kontinuierlich aktuelle Betrugsversuche, die uns über unser Phishing-Radar erreichen

verbraucherzentrale Nordrhein-Westfalen, 04.02.2025
Phishing-Mails: Woran Sie sie erkennen und worauf Sie achten müssen / Es vergeht kein Tag, an dem Online-Kriminelle keine E-Mails mit gefährlichen Links oder Anhängen verschicken…

datensicherheit.de, 28.01.2025
Cyber-Kriminelle in der Schweiz werfen Köder aus: Versand gefälschter E-Mails des Finanzamts / Proofpoint hat alarmierende Zunahme von Cyber-Kampagnen und bösartigen Domains festgestellt

datensicherheit.de, 03.01.2025
E-Rechnungspflicht erfordert Stärkung der E-Mail-Sicherheit / Die E-Rechnung als ein Meilenstein der Digitalisierung des Mittelstands

datensicherheit.de, 04.10.2024
Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf / Mit fortschrittlichen Techniken gefälschte E-Mails machen es nahezu unmöglich, sie von echten zu unterscheiden

[datensicherheit.de, 13.02.2025] Laut einer Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Umfeld des Aktionstags „Safer Internet Day“, der diesmal am 11. Februar 2025 begangen wird, ist ein digitaler Alltag ohne E-Mails für die meisten Verbraucher kaum vorstellbar. Diese Abhängigkeit könne jedoch auch Gefahren bergen – nicht nur weil das E-Mail-Postfach ein beliebtes Ziel von z.B. Phishing-Angriffen sei. Das BSI und der Deutschland sicher im Netz e.V (DsiN) möchten demnach aus diesem Grund gemeinsam darüber aufklären, wie Verbraucher E-Mails sicher nutzen können. „Zum ,Safer Internet Day’ (SID) nehmen sie Mythen rund um die Sicherheit von E-Mail-Kommunikation unter die Lupe. Der ,Safer Internet Day’ ist ein Aktionstag rund um den sicheren Umgang mit digitalen Medien.“

Passen Absendername und E-Mail-Adresse nicht zusammen, ist Vorsicht geboten!

„Bereits der Absender einer E-Mail ist vergleichsweise leicht manipulierbar!“, warnt Caroline Krohn, Fachbereichsleiterin „Digitaler Verbraucherschutz im BSI“, in ihrer Stellungnahme. Daher empfehle es sich, immer auch die vollständige E-Mail-Adresse des Absenders anzeigen zu lassen. Sie erläutert: „Passen der angezeigte Absendername und die E-Mail-Adresse nicht zusammen, ist Vorsicht geboten!“ Generell gelte: Links und Anhänge sollten nur mit Vorsicht geöffnet werden, denn auch das Gerät eines eigentlich vertrauenswürdigen Absenders könne mit einem Schadprogramm infiziert sein.

BSI und DsiN empfehlen außerdem, „den Zugriff zum eigenen E-Mail-Postfach mit einer Kombination aus starkem Passwort und Zwei-Faktor-Authentisierung zu schützen“. Gelangten Unbefugte zum Beispiel durch einen Phishing-Angriff an das Passwort, reiche dies dann nicht mehr aus, um das jeweilige Benutzerkonto zu übernehmen. Eine sichere Alternative zu Passwörtern böten außerdem sogenannte Passkeys: Da Nutzer sich dank des dann passwortlosen Verfahrens eben kein Passwort mehr merken müssten, könne dies auch nicht mehr in falsche Hände geraten.

Misstrauen geboten, wenn per E-Mail oder Telefon Weitergabe von Zugangsdaten gefordert wird!

Die DsiN-Geschäftsführerin, Isabelle Rosière, gibt zudem zu bedenken: „Phishing-Maschen werden immer geschickter: Mitunter gelingt es dabei auch, die Zwei-Faktor-Authentisierung zu umgehen. Cyber-Kriminelle erstellen etwa täuschend echt aussehende Webseiten, die bekannte Seiten imitieren.“ Wenn dann Nutzer ihr Passwort und den Einmalcode aus ihrer Authentifizierungs-App eingeben, könnten die Angreifer die Daten in Echtzeit mit lesen und auf das Benutzerkonto zugreifen. „Misstrauen ist etwa dann angebracht, wenn eine Institution per E-Mail oder am Telefon um die Weitergabe von Zugangsdaten bittet“, betont Rosière.

Von Phishing-Mails bis E-Mail-Verschlüsselung untersucht das BSI auf seiner Website bekannte Mythen rund um die Sicherheit von E-Mail-Kommunikation genauer und gibt Verbrauchern niedrigschwellige Handlungsempfehlungen zur Prävention. Auf der Website „sicher-im-netz.de“ bietet DsiN außerdem weitere Hinweise rund um E-Mail-Sicherheit von DsiN.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
E-Mail-Sicherheit: Mythen im Faktencheck

Bundesamt für Sicherheit in der Informationstechnik
Zwei-Faktor-Authentisierung / Mehr Sicherheit für Online-Konten und vernetzte Geräte

Bundesamt für Sicherheit in der Informationstechnik
Spam, Phishing & Co / So erkennen Sie gefälschte und schadhafte E-Mails

Bundesamt für Sicherheit in der Informationstechnik
Schafft die Passwörter ab?! / Anmelden ohne Passwort mit Passkey

DsiN Deutschland sicher im Netz, DsiN für Verbraucher
E-Mail und Messenger sicher nutzen / Menschen tauschen sich im Netz hauptsächlich per E-Mail und Messenger aus. Um dabei sicher zu sein, sind einige Dinge zu beachten.

DsiN Deutschland sicher im Netz, DsiN für Verbraucher
Phishing im Netz erkennen und vorbeugen / Soziale Manipulation und Phishing sind ein alltägliches Sicherheitsproblem. Das beste Mittel gegen unerwünschte Nachrichten bleibt Wachsamkeit.

datensicherheit.de, 13.05.2024
Passkeys statt Passwörter – Passwörter nicht mehr zweckmäßig / Einfache Passwörter zu leicht zu knacken und umfangreiche für den Anwender zu kompliziert

datensicherheit.de, 15.12.2023
Passwort-Handhabung als Herausforderung: Wenn möglich zusätzlich Zwei-Faktor-Authentifizierung einrichten! / Passwort-Vielzahl im Alltag und Berufsleben erfordert methodisches Vorgehen

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

[datensicherheit.de, 06.02.2024] Nach aktuellen Erkenntnissen des Bitkom e.V. werden die Allgemeinen Geschäftsbedingungen (AGB) bei geschäftlichen Transaktionen als eher lästig empfunden: Demnach lesen zwei Drittel der Befragten die AGB „gelegentlich oder selten“ – indes 25 Prozent „nie“. Die große Mehrheit halte sie für „zu kompliziert“ und „zu ausführlich“. Die zugrundeliegende Befragung hat laut Bitkom im Zeitraum von Kalenderwoche 1 bis 2 2024 stattgefunden und sei repräsentativ. Die Fragestellungen habe gelautet: „Lesen Sie die AGB, bevor Sie online einen Kauf tätigen oder anderweitig einen Vertrag abschließen?“ – „In welchem Ausmaß lesen Sie die AGB in der Regel?“ – „Inwiefern treffen die folgenden Aussagen zu AGBs bei Online-Geschäften auf Sie bzw. Ihrer Meinung nach zu?“ – „Lesen Sie die AGB offline, also z.B. im Kleidungsgeschäft oder in Supermärkten, bevor Sie einen Kauf tätigen?“

Ohne die AGB mit einem Klick zu bestätigen, geht heute nichts mehr

„Wer online einen Vertrag abschließt oder ein Kundenkonto im Online-Shop eröffnen will, kennt das: Ohne die Allgemeinen Geschäftsbedingungen (AGB) mit einem Klick zu bestätigen, geht nichts.“ Allerdings gebe ein Viertel (25%) der Internetnutzer an, die AGB bei Online-Angeboten nie zu lesen.

Die große Mehrheit (63 Prozent) lese sie nur gelegentlich oder selten und gerade einmal elf Prozent gäben an, das immer zu tun. Dies seien Ergebnisse einer Befragung von 1.013 Internetnutzern ab 16 Jahren im Vorfeld des „Safer Internet Day“ am 6. Februar 2024.

Politik, Wirtschaft und Wissenschaft sollten gemeinsam AGB-Optimierung beraten

Selbst von jenen 74 Prozent, die zumindest ab und an die AGB lesen, schaue sich rund die Hälfte (48%) in der Regel nur einzelne Abschnitte an. 41 Prozent aus dieser Gruppe sagten, sie würden die AGB zum größten Teil lesen, elf Prozent sogar vollständig. „Politik, Wirtschaft und Wissenschaft sollten gemeinsam stärker darüber nachdenken, wie die wichtigen Informationen so vermittelt werden können, dass sie wirklich bei den Menschen ankommen“, kommentiert der Bitkom-Präsident, Dr. Ralf Wintergerst.

Dr. Wintergerst betont: „Die Art und Weise, wie AGB heute präsentiert werden, schneidet bei den Menschen insgesamt schlecht ab.“ Acht von zehn Internetnutzern beklagten, dass die AGB „viel zu kompliziert geschrieben“ (80%) oder „zu unübersichtlich“ (78%) seien. Drei Viertel (74%) hielten AGB für „viel zu ausführlich“. 85 Prozent vertrauten darauf, dass die AGB in Deutschland einem gewissen Standard bei Sicherheit und Verbraucherschutz entsprächen.

„AGB werden im Internet sehr viel stärker wahrgenommen als in der Offline-Welt, also zum Beispiel in Geschäften vor Ort“, berichtet Dr. Wintergerst abschließend: „Dort lesen drei Viertel (75%) ,nie’ die AGB, ein Fünftel (20%) ,gelegentlich oder selten’ und nur zwei Prozent tun dies nach eigenem Bekunden ,immer’.“

[datensicherheit.de, 04.02.2024] „Alles gut, weil bis jetzt ist nichts passiert“ sei die schlechteste Cyber-Sicherheitsstrategie betont Sophos-Sicherheitsexperte Michael Veit in seiner aktuellen Stellungnahme zum diesjährigen „Safer Internet Day“ am 6. Februar 2024 – dieser soll Unternehmen und private Anwender daran erinnern, dass und wie es besser geht. Dieser Tag sei eine gute Gelegenheit, die Sophos-Tipps dem eigenen Verhalten gegenüberzustellen und gegebenenfalls das Eine oder Andere für die Zukunft zu beherzigen.

Jeder kann sein eigenes Verhalten im Umgang mit dem Internet so gestalten, dass die Nutzung möglichst sicher ist!

Veit stellt klar: „Das Internet sicher zu machen, ist eine Utopie, aber jeder kann sein eigenes Verhalten im Umgang mit dem Internet so gestalten, dass die Nutzung möglichst sicher ist.“ Deshalb sei der „Safer Internet Day“ jeweils eine gute Gelegenheit, das eigene Tun und Handeln sowie das des Unternehmens auf den Prüfstand zu stellen.

„Ein wichtiger Aspekt für die sichere Internetnutzung ist gleichzeitig einer, den niemand so richtig gerne mag: Passwörter. Und dennoch ist das Passwort für jeden User und für alle Unternehmen eine der besten Schutzmöglichkeiten.“

Indem mit guten Passwörtern und mit einer Zwei-Faktor-Authentifizierung (ZFA) oder noch fortschrittlicheren Technologien der unautorisierte Zugang zu Computern, Netzwerken und Applikationen verhindert wird, seien Cyber-Kriminelle nicht in der Lage einzudringen, ihre Privilegien auszuweiten und schlussendlich Ransomware zu aktivieren oder wertvolle Daten zu stehlen.

Jeder Internet-Nutzer sollte Passwörter trotz aller Lästigkeit als enorm wichtig ansehen!

„Obwohl kaum jemand das Anlegen, Verwalten und den Umgang mit Passwörtern mag, weiß jedes Unternehmen und jeder Internet-Nutzende, dass sie trotz aller Lästigkeit enorm wichtig sind“, führt Veit weiter aus und berichtet: „Allerdings sehen wir, wie selbst große Konzerne aufgrund einer schlechten Passwortverwaltung oder einem laxen Umgang kompromittiert werden.“ Die Verwendung guter Passwörter für jede Website gehöre in Verbindung mit weiteren zusätzlichen Authentifizierungsmethoden nach wie vor zu den besten Maßnahmen, um kritische Zugänge und das Unternehmen zu schützen.

Aussagen wie „es wird schon alles gut gehen“ oder „das sind ja keine wichtigen Accounts“ oder „ich habe gerade keine Zeit, mich um Passwortsicherheit zu kümmern“ seien nicht selten Ursachen für fatale Folgen im Unternehmen.

Sophos hat nach eigenen Angaben mit seinem „X-Ops‘ Active Adversary Report“ herausgefunden, dass im Jahr 2023 erstmals kompromittierte Zugangsdaten mit 56 Prozent die Hauptursache für Angriffe waren, die Datendiebstahl und/oder Ransomware-Attacken zur Folge hatten. Dies sei ein Anstieg von 26 Prozent zwischen 2022 und 2023.

Einfache aber wirkungsvolle Safer-Internet-Tipps für Anwender:

Neben einer guten Passwortpraxis sei es wichtig, „nein“ zu sagen und die Angabe von Informationen zu verweigern. „Nur weil eine Web-Applikation beispielsweise den Geburtstag oder andere augenscheinlich unwichtige Informationen wissen möchte, heißt das noch lange nicht, dass diese Applikation die Informationen auch tatsächlich braucht oder gar ein Recht darauf hat“, so Veit. Was im Internet nicht preisgegeben wird, könne weder weitergegeben noch missbraucht werden.

Daher: „Keine Angaben von noch so harmlosen Informationen und kein Anklicken von Links, die man nicht kennt oder benötigt.“

Zudem gelte es, keine fremden und potenziell gefährlichen Apps zu nutzen und die benötigten Apps immer auf dem neuesten Stand zu halten. Zudem wäre grundsätzlich die Standardeinstellung von Vorteil, dass alles was, man nicht kennt, „potenziell als verdächtig oder bösartig behandelt wird, bis das Gegenteil bewiesen ist“.

Safer-Internet-Tipps für Unternehmen:

Firmen, die eine Website betreiben und vielleicht sogar Zahlungsdienste oder Customer-Management-Lösungen eingebunden haben, sollten diese auf Sicherheit überprüfen. Wenn die dafür benötigten Ressourcen oder Fachkenntnisse nicht ausreichen, böten sich externe Experten an, welche unabhängig prüften, was gut eingerichtet und gesichert ist und welche Sicherheitsprobleme dringend behoben werden müssten. „Denn eines ist sicher: Cyber-Kriminelle testen teils hoch automatisiert die Sicherheit jedes Servers und jeder Webseite auf Schwachstellen.“

Veit warnt: „Viele Menschen, die früher bei der Arbeit das Internet nutzten, um nur Nachrichten zu lesen oder E-Mails abzurufen, verwenden es jetzt täglich auf vielfältige Weise – auch um mit Kollegen zusammenzuarbeiten, die sie vielleicht weniger gut oder gar nicht kennen.“ Doch diese heute weitgehend übliche Arbeitsweise öffne Cyber-Kriminellen „Tür und Tor“ für Betrugsmaschen und „Social Engineering“. Darum sollten Unternehmen ihre Mitarbeiter regelmäßig zu den aktuellen Gefahren und vor allem zum sicheren Verhalten im Internet schulen. Es sei wichtig, „dass sie eigenständig Betrugsversuche erkennen, diesen nicht folgen und an die entsprechenden internen Stellen melden“.

Klassische IT-Security sei gut, reiche aber nicht aus: „Cyber-Kriminelle verfügen über Mittel und Tools, Schwachstellen auszunutzen, die sie beispielsweise in unbekannten Netzwerk- und IoT-Geräten oder in der IT-Lieferkette entdecken.“ Eine hohe Sicherheit sei dann möglich, wenn sämtliche IT-Security-Lösungen in einem intelligenten und KI-gestützten „Ökosystem“ eingebunden und kontinuierlich mit menschlicher Expertise kombiniert würden. „Security-Services, welche mit ,Threat Hunting’ die schnelle Reaktion auf Verdachtsfälle oder Angriffe garantieren, helfen den Schaden durch Cyber-Kriminelle rechtzeitig abzuwehren.“

Netzwerke umspannen weite Bereiche des Internets – erweiterte Datensicherheits-Strategie erforderlich!

Nahezu kein Unternehmen könne sich heute noch auf die Sicherheit innerhalb traditioneller IT-Perimeter verlassen. „Das eine Unternehmensnetzwerk gibt es nicht mehr.“ Viel mehr überspanne das Netzwerk weite Bereiche des Internets, darunter die „Cloud“ und die gesamte IT-Lieferkette oder „SaaS“-Dienste.

Dem sollten Unternehmen mit einer erweiterten Strategie Rechnung tragen und nach Lösungen suchen, „die weit mehr als nur die eigenen Server und Arbeitsplätze mit Firewalls und Endpoint-Schutz absichern“.

Zero-Trust-Methoden und „Network Detection and Response“ (NDR) in Verbindung mit hochgradig spezialisierten externen Security-Services, würden diesen neuen Anforderungen gerecht werden.

Weitere Informationen zum Thema:

SOPHOS NEWS, John Shier, 23.08.2023
Time keeps on slippin’ slippin’ slippin’: The 2023 Active Adversary Report for Tech Leaders /A deep dive into incident-response cases from the first half of this year finds both attackers and defenders picking up the pace

[datensicherheit.de, 08.02.2023] „Chat-Roboter, Bildgeneratoren und andere KI-Systeme werden seit einigen Wochen aus den IT-Forschungslaboren auf die Internetnutzer losgelassen“, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) in seiner aktuellen Stellungnahme. Aus diesem gegebenen Anlass wirft er „einen genaueren Blick auf Datenschutz“ bei Künstlicher Intelligenz (KI).

Datenschützer begleiteten KI-Entwicklungen seit einigen Jahren und weisen insbesondere auch auf die Gefahren hin

„Den Aufsatz über Vincent van Gogh mit ein paar Klicks schreiben lassen, statt mühsam verschiedene Quellen zusammenzutragen und schöne Sätze zu konstruieren, das verspricht eine Software, die sich derzeit bei Schülern und Studenten großer Beliebtheit erfreut“, berichtet der LfDI RLP anlässlich des diesjährigen „Safer Internet Day“ (SID) am 7. Februar 2023. Seit einigen Wochen sei in Schulen der Sprach-Roboter „ChatGPT“ angekommen, welcher demnach in Sekunden scheinbar von Schülerhand geschriebene Texte über alle möglichen Unterrichtsthemen erstellen kann.

Dies sei nur ein Beispiel, „wie KI-Systeme sich mehr und mehr in digitalen Anwendungen unseres Alltags finden“. Datenschützer begleiteten die Entwicklungen im Bereich KI seit einigen Jahren und wiesen insbesondere auch auf die Gefahren hin, welche diese Systeme bergen könnten: „KI-Systeme, sei es im Sprachassistenten, der Forschung oder bei Sicherheitsbehörden, können menschliche Aufgaben in einem Bruchteil der Zeit erledigen und werden daher als Unterstützung immer verbreiteter. Problematisch ist, dass bei vielen der Systeme der Algorithmus, der die Entscheidungen trifft, eine Black-Box ist“, sagt der Landesdatenschutzbeauftragte Prof. Dr. Dieter Kugelmann und führt weiter aus: „Wer den Algorithmus entwickelt und kontrolliert, der bestimmt die Ergebnisse. Hier kann es schnell zu tendenziösen oder falschen Ergebnissen, politischen Beeinflussungen oder rassistischen Diskriminierungen kommen. Transparenz der Algorithmen und die Möglichkeit, die Systeme durch unabhängige Dritte überprüfen zu lassen, sind daher das A und O, bevor man entsprechende KI-Systeme beispielsweise im Bereich des staatlichen Handelns einführt.“

Die „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ (DSK) habe bereits 2019 in der „Hambacher Erklärung“ zur Künstlichen Intelligenz sieben Anforderungen an KI-Systeme definiert, welche helfen sollten, missbräuchlichen Einsatz zu verhindern.

Datensammlung: Seit Herbst 2022 bei einigen KI-Systemen Login für alle möglich

Dass die „Intelligenz“ der Systeme noch Grenzen habe, zeige sich bei genauerer Betrachtung der Ergebnisse dieser Chat-Roboter oder Bildgeneratoren. Oftmals seien die Texte zwar sprachlich perfekt geschrieben, „inhaltlich gehen sie aber nicht zu sehr in die Detailtiefe oder sind schlichtweg falsch“.

Auch die Bildgeneratoren versagten beim Erstellen der – ansonsten fotorealistischen – Bilder noch bei Details wie Augen, Fingern oder Gegenständen wie Brillen. Um hierfür wirkliche Perfektion zu liefern, fehlten den Systemen schlicht noch mehr menschliche Daten. Das ist eine Triebfeder, warum seit Herbst 2022 bei einigen Systemen der „Login für Jederfrau und Jedermann“ geöffnet worden sei. Millionen Nutzer seien in den ersten Wochen auf diese Plattformen geströmt, welche sich zum Teil nur angemeldet mit einem Account nutzen ließen, und fütterten den Algorithmus mit jeder ihrer Eingaben mit Daten, einschließlich ihrer Mobilfunknummer. Eine immense, valide Testgruppe, welche die Betreiberfirmen und Geldgeber hinter den Programmen mit eigenen Mitteln nie hätten einkaufen können. „Und das trotz beispielsweise angekündigten Investitionen von 10 Milliarden US-Dollar des US-Konzerns Microsoft in ,ChatGPT’. Erst die vermeintlich spielerische Chat-Tätigkeit vieler Millionen Nutzerinnen und Nutzer mit dem Roboter schafft den rasant wachsender Datenbestand, der sich zur Verbesserung der Systeme ausschlachten lässt.“

Professor Kugelmann betont abschließend: „Die Diskussion um KI nimmt zu Beginn des Jahres somit gerade an Fahrt auf. Für Lehrkräfte ist es jetzt eine gute Gelegenheit, in das Thema einzusteigen und sich mit den Schülerinnen und Schülern konstruktiv-kritisch mit den Programmen auseinanderzusetzen.“ Er möchte mit dem neuen Themenbereich zu KI daher gerade Schulen ansprechen und der LfDI RLP werde hierzu in den kommenden Monaten weitere Informationen bereitstellen, „die Schülerinnen und Schülern den Einblick in die Welt der KI und den Schutz ihrer persönlichen Daten erfahrbarer machen sollen“.

Weitere Informationen zum Thema:

YOUNG DATA
Künstliche Intelligenz

SID23, 07.02.2023
SAFER INTERNET DAY

heise online, Stefan Krempl, 05.02.2023
„Virtueller Freund“: Datenschützer stoppen Chatbot Replika in Italien / Die italienische Datenschutzbehörde hat es dem Replika-Entwickler untersagt, Informationen von Nutzern des Landes zu verarbeiten. Die Risiken seien zu hoch.

datensicherheit.de, 04.10.2022
KI: Bitkom kommentiert EU-Haftungsrichtlinie / EU-Kommission hat Entwurf zur Haftungsrichtlinie zu Künstlicher Intelligenz (AI Liability Directive) veröffentlicht

DSK DATENSCHUTZKONFERENZ, 03.04.2019
Hambacher Erklärung zur Künstlichen Intelligenz / Sieben datenschutzrechtliche Anforderungen

[datensicherheit.de, 09.02.2021] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) wirbt nach eigenen Angaben für ein Start-up-Projekt, welches es Kindern ermöglichen soll, spielerisch die Grundlagen der IT-Sicherheit zu erlernen: „Mit dem Fuchs Finn, der mit einem Raumschiff auf der Erde notlanden muss und dort mit der aufregenden Welt von Internet und Smartphone konfrontiert wird, lässt sich Kindern ab sieben Jahren informationstechnische Grundbildung vermitteln.“ Anlässlich des „Safer Internet Day 2021“ begrüßt der TeleTrusT demnach diesen Ansatz und unterstützt das Projekt als Partner.

Abbildung: Foldio Adventures

„Fuchs im Netz“: Das Cyber Security Spiel für Kinder! (verfügbar ab 15. Februar 2021)

Projekt soll Kindern mit einem App-Abenteuer Verständnis für Sicherheit im Internet vermitteln

Spielerisch erlernten Kinder darüber den souveränen Umgang mit sicheren Passwörtern, erführen etwas über Datenschutz und Privatsphäre in Social-Media-Netzwerken und würden sensibilisiert für Themen wie Cyber-Mobbing.Das Projekt vermittele Kindern mit einem App-Abenteuer Verständnis für Sicherheit im Internet.
Mit „Fuchs im Netz“ habe das saarländische Start-up Foldio ein Adventure-Game entwickelt, mit welchem Kinder ab sieben Jahren die Grundlagen von IT-Sicherheit, Datenschutz und Privatsphäre im Netz spielerisch erlernen könnten.

In sicherer Umgebung des Spiels sammeln Kinder Erfahrungen mit Herausforderungen und negativen Aspekten des Internets

Das Cybersecurity-Lernspiel transportiere didaktische Themen über ein bunt gestaltetes, kindgerechtes Point-and-Click-Abenteuer. In der sicheren Umgebung dieses Spiels sammelten Kinder auf pädagogisch ansprechende Weise Erfahrungen mit den Herausforderungen und negativen Aspekten des Internets. „Wer einen Fehler macht, wird nicht bestraft, sondern belehrt, wie der Fehler hätte vermieden werden können.“
Im Verlauf des Spiels würden Lerneffekte und Unterhaltung kombiniert. Dabei sei die Geschichte in fünf Tagesetappen aufgeteilt, welche Eltern und Kindern eine klare Struktur gäben. Jeder Teil des Spiels beinhalte mehrere „Wimmelbilder“, welche wie auch die anderen Graphien mit Liebe zum Detail im Zeichentrick-Stil gestaltet seien. Die Rahmenhandlung solle dazu anregen, mehr über das Thema zu erfahren. Integrierte Minispiele, etwa die „Passwort-Arena“ und ein Quiz-Wettbewerb, böten zudem Abwechslung, während sie gleichzeitig einen Lehranspruch erfüllten.

Weitere Informationen zum Thema:

Fuchs im Netz
Das Cyber Security Spiel für Kinder! / Verfügbar ab 15. Februar 2021

datensicherheit.de, 31.01.2019
BSI und ProPK: Datenschutz-Tipps zum Safer Internet Day 2019

[datensicherheit.de, 10.02.2020] Zum internationalen „Safer Internet Day“ am 11. Februar 2020 publiziert DE-CIX Ergebnisse einer Studie, die in den letzten Jahren zu DDoS-Angriffen am Internetknoten in Frankfurt/Main sowie zur Wirksamkeit von Gegenmaßnahmen solcher Angriffe erstellt wurde. Beteiligt gewesen seien neben dem internen DE-CIX-Forschungsteam auch Forscher der BENOCS GmbH, der Brandenburgischen Technischen Universität (BTU) Cottbus-Senftenberg, der Universität Twente und des Max-Planck-Instituts für Informatik in Saarbrücken.

Abbildung: DE-CIX Management GmbH

Graphik: Selected DDoS attacks at DE-CIX

Testweise eigenes System per gekaufter DDoS-Attacke ausgetestet

Der Betreiber des weltgrößten Internetknotens (IX) DE-CIX in Frankfurt/Main hat nach eigenen Angaben gemeinsam mit einem internationalen Team von Wissenschaftlern eine Studie veröffentlicht, welche erstmals die Auswirkungen von Angriffen per DDoS (Distributed Denial-of-Service) sowie die Effekte von polizeilichen Gegenmaßnahmen untersucht.
Die Ergebnisse seien alarmierend. So sei festgestellt worden, dass jeder Internetnutzer Cyber-Angriffe für weniger als 20 US-Dollar beauftragen und durchführen lassen könne. Für diese Studie seien eigens eine Mess-Infrastruktur aufgebaut worden, DDoS-Angriffe von -Dienstleistern (auf „Booter“-Webseiten) gekauft und damit das eigene System angegriffen worden.

15 Booter-Webseiten 2018 ohne nachhaltigen Erfolg vom Netz genommen

Das Forscherteam habe darüber hinaus die Auswirkungen der internationalen Polizeimaßnahmen vom Dezember 2018 gegen DDoS-Dienstleister analysiert. Diesbezüglich seien 15 „Booter“-Webseiten im Rahmen einer Aktion des FBI und der niederländischen Polizei vom Netz genommen worden – ohne nachhaltigen Erfolg.
Am Projekt seien Forscher des DE-CIX, der BENOCS GmbH, der Brandenburgischen Technischen Universität (BTU) Cottbus-Senftenberg, der Universität Twente und des Max-Planck-Instituts für Informatik in Saarbrücken beteiligt gewesen.

Sechs Tage später Frequenz der Angriffe schon wieder auf altem Niveau

„Eine nachhaltige Verbesserung der Sicherheitslage in Bezug auf DDoS-Aktivitäten im Internet konnten wir als Folge der polizeilichen Gegenmaßnahmen vom Dezember 2018 nicht verzeichnen“, berichtet Dr. Christoph Dietzel, verantwortlich für Forschung und Produktentwicklung bei DE-CIX.
Nach ungefähr sechs Tagen sei die Frequenz der Angriffe schon wieder auf altem Niveau von durchschnittlich fünfzig NTP- (Network Time Protocol) DDoS-Angriffen pro Stunde – die Maßnahmen hätten einen Abfall auf dreißig Angriffe pro Stunde bewirkt.

Zu jeder Tages- und Nachtzeit DDoS-Angriffe gegen Tausende Ziele

„Weitere Analysen am weltgrößten Internetknoten DE-CIX in Frankfurt ergaben, dass zu jeder Tages- und Nachtzeit DDoS-Angriffe gegen Tausende Ziele im Internet stattfinden. Interessanterweise konnten wir feststellen, dass nur etwa 20 Prozent des Traffics eines Angriffs durch unseren IX in Frankfurt laufen.“
Unter dieser Annahme könnte man laut Dr. Dietzel schließen, dass der von ihnen beobachtete 311-Gbps-Angriff „am Ziel fünfmal so groß war und daher eine tatsächliche Größe von 1,555 Tbps hatte“ – der Angriffsverkehr am Ziel könnte also generell signifikant größer sein als ihre Messungen zeigten.

Unternehmen mit existenzbedrohenden Finanz- und Imageschäden konfrontiert

Attacken solcher Art könnten bei Unternehmen zu existenzbedrohenden Finanz- und Imageschäden führen. „Deswegen werden wir zur Bekämpfung dieser Cyber-Kriminalität auch in Zukunft weitere Forschungen betreiben“, unterstreicht Dr. Dietzel.
Der Fokus des neuen Forschungsprojekts, das vom Bundesministerium für Bildung und Forschung (BMBF) gefördert werde, liege dabei auf Technologien der Künstlichen Intelligenz (KI) „und wie sich diese eignen, um DDoS-Angriffe direkt im Kern des Internets, am Internetknoten, zu erkennen und um neuartige, effektive Schutzmaßnahmen zu entwickeln“. Das Projekt laufe bis Juni 2022.

Booter-Webseiten als Online-Dienstleister

„Booter“-Webseiten fungierten als Online-Dienstleister und ermöglichten es jedem Internetnutzer, Angriffe gegen bekannte Internetplattformen durchzuführen – mit wenigen Mausklicks und für sehr wenig Geld. Aufgrund dieser Einfachheit würden Internetdienste immer häufiger Opfer von DDoS-Angriffen.
Das Ziel der Angriffe sei es, die Verfügbarkeit von Internetdiensten und Webseiten zu stören: Mehr Ressourcen (z.B. Rechenleistung oder Übertragungskapazität) eines Computersystems als insgesamt zur Verfügung stehen würden genutzt, so dass der entsprechende Dienst kollabiert und für die Öffentlichkeit nicht mehr erreichbar sei.

Internes Forschungsteam des DE-CIX im Einsatz

DE-CIX verfügt nach eigenen Angaben über ein internes Forschungsteam: In enger Zusammenarbeit mit industriellen und akademischen Partnern arbeite dieses kontinuierlich daran, „neuartige technische Möglichkeiten und Lösungen zu suchen, die die Innovation des Marktsegments und die Entwicklung eines IX der nächsten Generation weiter vorantreiben“.
Dazu gehörten auch durch Drittmittel finanzierte Projekte der Öffentlichen Hand. Aktuell liege der Fokus, neben der Erkennung und Eindämmung von DDoS-Angriffen, auf programmierbaren Computernetzwerken (P4/SDN) und der Verbesserung des Inter-Domain-Routings.

Weitere Informationen zum Thema:

DE-CIX
DDoS Hide & Seek: On the Effectiveness of a Booter Services Takedown

datensicherheit.de, 16.10.2019]
DDoS-Angriffe als Ablenkungsmanöver

datensicherheit.de, 14.09.2019]
DDoS-Angriffe: Attacken werden komplexer

datensicherheit.de, 05.08.2019
DDoS-Angriffe: Neuer kaspersky-Bericht erschienen

datensicherheit.de, 22.07.2019
20 Jahre DDoS: Ein Jahrestag zum Aufrütteln

datensicherheit.de, 10.07.2019
DDoS-Abwehr ohne Ende: Marc Wilczek im ds-Hintergrundgespräch / ds-Herausgeber Dirk Pinnow traf den Link11-COO am Rande einer Tagung in Berlin

datensicherheit.de, 05.07.2019
DDoS-Angriff auf die ÖBB – Kritische Infrastrukturen zunehmend gefährdet

datensicherheit.de, 24.04.2019
Imperva deckt auf: DDoS-Angriff mit Ping-Befehl

datensicherheit.de, 07.09.2018
Cyberstudie: Fast jeder Service Provider wird zum Ziel von DDoS-Attacken

datensicherheit.de, 29.08.2018
DDoS-Angreifer nutzen verstärkt Cloud-Dienste

[datensicherheit.de, 31.01.2019] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seiner Stellungnahme zum „Safer Internet Day 2019“ darauf hingewiesen, dass – wenn viele persönliche Daten einer Person im Internet kursieren – mit schädlichen Folgen zu rechnen sei: Betrüger könnten damit z.B. unter falschem Namen Online-Bestellungen tätigen oder Verträge und Abonnements abschließen. Immer wieder komme es auch zu Erpressungsfällen oder Bloßstellungen Betroffener. Das BSI und die Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK) rufen daher anlässlich des „Safer Internet Days“ am 5. Februar 2019 zu einem umsichtigen Umgang mit persönlichen Daten im Internet auf.

Sicherer Zugangsschutz zu Online-Diensten

BSI-Präsident Arne Schönbohm: „Identitätsdiebstahl ist längst zu einem Alltagsphänomen geworden, vor dem die Anwenderinnen und Anwender dringend besser geschützt werden müssen. Nicht erst die Vorfälle der letzten Wochen zeigen, dass ein sicherer Zugangsschutz zu Online-Diensten ein absolutes Muss ist.“
Doch ein starkes Passwort allein reiche nicht aus. Auch die Diensteanbieter seien in der Pflicht, die Daten ihrer Kunden besser zu schützen. Dazu müssten sie sichere Zugangsverfahren wie etwa eine Zwei-Faktor-Authentisierung anbieten und ihre eigenen Anwendungen und Systeme noch besser gegen Cyber-Kriminalität schützen.
„Das BSI als die nationale Cyber-Sicherheitsbehörde wird diese Ansätze im Rahmen des Digitalen Verbraucherschutzes mit Nachdruck gegenüber den Anbietern verfolgen und die Unterstützungsangebote für Anwenderinnen und Anwender weiter ausbauen”, betont Schönbohm.

Anzeigen entscheidend, um Täter zu verfolgen

„Es gibt keinen 100-prozentigen Schutz vor Kriminalität im Internet. Die Tricks und Maschen der Betrüger sind ausgefeilt und perfide. Daher appellieren wir als Polizei an jeden Betroffenen und jede Betroffene, sich bei einem Schaden an die Polizei zu wenden“, sagt ProPK-Vorsitzender Gerhard Klotter.
„Ihre Anzeige ist entscheidend, um Täter zu verfolgen.“ Jede Anzeige ermögliche der Polizei auf aktuelle Vorgehensweisen schnell zu reagieren und Bürger zeitnah zu warnen.

Viele Zugangswege für Cyber-Kriminelle

Es gebe viele Wege, wie Cyber-Kriminelle an die Daten der Internetnutzer kommen könnten. Mittels Phishing z.B. versuchten Betrüger die Anwender dazu zu verleiten, ihre Daten selbst herauszugeben.
Zudem könnten über Schadprogramme wie Trojaner Zugangsdaten gestohlen werden. Hacker könnten schwache Passwörter mit automatisierten Verfahren überwinden, um Datenbanken von Diensteanbietern zu stehlen.
Beim sogenannten Doxing sammelten Täter personenbezogene Daten, um sie zu bündeln und öffentlich verfügbar zu machen.
Die beste Vorbeugung sei der sparsame Umgang mit den eigenen Daten im Internet. Zudem sollten Diensteanbieter nach Seriosität und angebotenen Sicherheitseigenschaften ausgewählt werden.

Schnelle Reaktion bei Daten-Diebstahl

Personen, deren sensible Daten öffentlich gemacht oder für andere Zwecke missbraucht wurden, müssten umgehend reagieren:
* Überprüfen Sie, von welchen Konten Ihre Daten abgegriffen wurden.
* Setzen Sie die Konten zurück und wählen Sie starke Passwörter, beginnend mit den Accounts, die für das Zurücksetzen von Passwörtern in anderen Anwendungen notwendig sind (z.B. E-Mail-Konten). In einem zweiten Schritt setzen Sie Online-Profile wie facebook zurück, weil Sie sich mit diesem Account bei anderen Diensten anmelden können.

Die Polizeiliche Kriminalprävention der Länder und des Bundes

Das ProPK-Programm verfolgt nach eigenen Angaben das Ziel, die Bevölkerung, Multiplikatoren, Medien und andere Präventionsträger über Erscheinungsformen der Kriminalität und Möglichkeiten zu deren Verhinderung aufzuklären.
Dies soll unter anderem durch kriminalpräventive Presse- und Öffentlichkeitsarbeit und durch die Entwicklung und Herausgabe von Medien, Maßnahmen und Konzepten geschehen, welche die örtlichen Polizeidienststellen und andere Einrichtungen, zum Beispiel Schulen, in ihrer Präventionsarbeit unterstützen.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Gesunder Menschenverstand / Drei Sekunden für mehr E-Mail-Sicherheit

Bundesamt für Sicherheit in der Informationstechnik
Software sicher einrichten / Update- und Patch-Management

Bundesamt für Sicherheit in der Informationstechnik
Empfehlungen / Passwörter

Bundesamt für Sicherheit in der Informationstechnik
Online-Banking / Zwei-Faktor-Authentisierung für höhere Sicherheit

Bundesamt für Sicherheit in der Informationstechnik
Passwörter / Wie Passwort-Manager Daten schützen

Bundesamt für Sicherheit in der Informationstechnik, 08.01.2019
Aktueller Cyber-Vorfall – Empfehlungen für Betroffene von Datenleaks

POLIZEILICHE KRIMINALPRÄVENTION DES BUNDES UN

D DER LÄNDER
Mit dem Sicherheitskompass vor Internetgefahren schützen

datensicherheit.de, 06.02.2018
Appell zum Safer Internet Day 2018: Hersteller und Betreiber sollten Datenschutz gleich einbauen

[datensicherheit.de, 30.01.2019] Rund um den „Ändere-dein-Passwort-Tag“ am 1. Februar und den Safer Internet Day am 5. Februar verzeichnet das Hasso-Plattner-Institut (HPI) besonders starkes Interesse an seinen kostenlosen Sicherheitskursen im Netz. Auf seiner IT-Lernplattform https://open.hpi.de haben sich seit 16. Januar rund 6.000 Personen grundlegendes Wissen zur Datensicherheit im Internet vermitteln lassen. Für den am 20. Februar startenden  kostenfreien Kurs „Digitale Identitäten – Wer bin ich im Netz?“ (https://open.hpi.de/courses/identities2019) haben sich bereits jetzt schon mehr als 3.000 Interessenten angemeldet.

„Die hohe Nachfrage in diesen Wochen beweist, dass sich Internetnutzer für die Sicherheit ihrer Daten zunehmend selbst in der Hauptverantwortung sehen“, sagt der Potsdamer Informatikwissenschaftler Prof. Christoph Meinel. Der Institutsdirektor leitet die kostenlosen Onlinekurse in deutscher Sprache. Deren Ziel: Die Bevölkerung zu einem besseren Schutz ihrer digitalen Identitäten und ihrer Daten im Internet bewegen.

Drei von vier Internetnutzern sehen Hauptverantwortung bei sich

Meinel verweist darauf, dass laut einer neusten Umfrage des Digitalverbands Bitkom 74 Prozent der Befragten sagen, sie seien selbst für den Schutz ihrer persönlichen Daten im Internet verantwortlich. Vor fünf Jahren hatten dies noch erst 62 Prozent so gesehen. Allerdings meine mehr als jeder Fünfte (22 Prozent), der Staat sei für sichere Daten im Internet verantwortlich. Drei Prozent, so das Ergebnis, sehen Internetanbieter oder Hard- und Softwarehersteller als zuständig an.

„Vor allem die jüngsten Cyberangriffe und Datendiebstähle, die außer Prominenten auch hunderte Millionen von Menschen betrafen, haben sprunghaft das Bewusstsein wachsen lassen, etwas für seine eigene Sicherheit im Internet tun zu müssen“, betont der HPI-Direktor.

Auf der Bildungsplattform openHPI des Instituts wird dem deshalb seit 16. Januar mit einer Serie von kostenlosen Sicherheitskursen Rechnung getragen. Der am 30. Januar beendete Onlinekurs „Datensicherheit im Netz – Einführung in die Informationssicherheit“ (https://open.hpi.de/courses/informationssicherheit2019) kann – wie alle anderen auf openHPI auch – nach seinem Ablauftermin weiterhin genutzt werden – allerdings im Selbststudium und ohne Prüfungen. Er führte vor allem in Verschlüsselungstechniken ein.

„Unsichere Passwörter größtes Einfallstor für Cyberkriminelle“

Das nächste, ab 20. Februar bereitstehende Gratis-Angebot widmet sich den digitalen Identitäten und wie man sie gegen Diebstahl verteidigt. „Jeder von uns hat durchschnittlich 25 Internetkonten, zum Beispiel für E-Mail-Dienste, soziale Netzwerke, Online-Shopping oder Lernplattformen“, berichtet Meinel. Jedes Konto im Netz repräsentiert nach seinen Worten eine eigene, individuelle digitale Identität. Sie umfasse jeweils ganz verschiedene persönliche Angaben wie E-Mail-Adresse und Passwort sowie oft auch Anschrift und Bankverbindung.

„Diese umfangreichen und vielfältigen persönlichen Informationen animieren Cyberkriminelle, digitale Identitäten zu stehlen und zu missbrauchen“, warnt der Potsdamer Informatikwissenschaftler. Deshalb will er den Kursteilnehmern beibringen, wie sie ihre digitale Identität effektiv schützen können. Meinel geht es darum, das Wissen der Teilnehmer über sichere Passwörter, über die Abwehr möglicher Angriffe auf diese und sichere Methoden zu ihrer Speicherung zu vermehren.

Unsichere Passwörter sind nach Einschätzung des HPI-Direktors „das größte Einfallstor für Cyberkriminelle“. Er will Internetnutzer mit seinem Kurs „aufrütteln“, damit sich diese bei der Wahl von Passwörtern nicht mehr länger auf simple Zahlenreihen wie 123456 verlassen. Nach Analyse von gehackten und 2018 im Netz veröffentlichten Passwörtern durch das HPI handelt es sich bei dieser Ziffernkette nach wie vor um das in Deutschland am häufigsten verwendete Log-in-Kennwort.

„Schwache Passwörter: Haustüren, in denen der Schlüssel steckt!“

„Ein derart schwaches Passwort gleicht einer Haustür, in die ich von außen meinen Schlüssel stecke. So etwas lädt geradezu zum Identitätsdiebstahl ein“, klagt Meinel. Bei Einbruchsversuchen bräuchten Cyberkriminelle dann oft nur den Bruchteil einer Sekunde, weil deren Software gleich als Erstes die am meisten verwendeten Passwörter ausprobiere. „Mehr als 19 Jahre dauert es hingegen, bis automatisiert arbeitende Cracking-Programme, die 100 Milliarden Versuche pro Sekunde schaffen, ein Passwort knacken, das zehn Stellen hat, Groß- und Kleinschreibung verwendet sowie Zahlen und Sonderzeichen“, fügt Meinel an.

Zwar gebe es keinen hundertprozentigen Schutz vor Identitätsdiebstahl, räumt der Internetsicherheits-Experte ein, „aber ich will in meinem Onlinekurs den Teilnehmern nahelegen, es den Kriminellen so schwer wie möglich zu machen, an ein Passwort zu gelangen“. In seinem Fachgebiet „Internet-Technologien und -Systeme“ erforscht Meinel systematisch das Verhalten bei der Wahl von Passwörtern in aller Welt.

HPI hat bereits acht Milliarden veröffentlichte Datensätze analysiert

Dazu haben die HPI-Wissenschaftler seit 2006 mittlerweile rund acht Milliarden in Internet-Datenbanken veröffentlichte Angaben ausgewertet. Sie stammen von Cyberkriminellen, die diese persönlichen Identitätsdaten gestohlen haben, sich damit brüsten und damit sogar weitere illegale Handlungen möglich machen. 810 solche „Leaks“ haben die Spezialisten des Potsdamer Instituts in eine eigene Datenbank, den HPI Identity Leak Checker, integriert.

Er hilft Internetnutzern bei der Prüfung, ob möglicherweise eigene Identitätsdaten im Netz kursieren und somit Missbrauch droht. Dazu braucht man auf https://sec.hpi.de/ilc/ lediglich seine E-Mail-Adresse einzugeben. Es erfolgt ein schneller Datenabgleich und man erfährt in einer Antwortmail, ob damit zusammenhängende persönliche Angaben wie etwa Telefonnummer, Geburtsdatum oder Adresse im Netz offengelegt wurden.

„Die von den Nutzern eingegebene E-Mail-Adresse verwendet das HPI lediglich, um sie mit unserer Datenbank abzugleichen und eine Antwort zu senden. Wir speichern sie sicherheitshalber in verschleierter Form. Eine Weitergabe an Dritte ist ausgeschlossen“, versichert Meinel.

Schon Ende März setzt der Institutsdirektor seine Serie an kostenlosen Onlinekursen für erhöhtes Sicherheitsbewusstsein fort. Am 27.3. startet er einen kostenlosen 14-tägigen Onlinekurs zur viel diskutierten Blockchain-Technologie und deren Sicherheit. Der Titel: „Blockchain – Sicherheit auch ohne Trust Center“. Anmelden kann man sich bereits unter https://open.hpi.de/courses/blockchain2019. IT-Grundwissen reicht aus, um von den kostenlosen Cybersecurity-Kursen auf der Lernplattform openHPI zu profitieren.

Weitere Infiormationen zum Thema:

datensicherheit.de, 22.03.2017
28 Jahre World Wide Web: HPI-Onlinekurs erklärt Risiken

[datensicherheit.de, 06.02.2018] Der „Safer Internet Day“ als Tag für das sicherere Internet findet jedes Jahr am zweiten Dienstag im Februar statt, so auch am 6. Februar 2018. Aus diesem Anlass betont Marit Hansen, Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD SH), dass schon mehr Sorgfalt bei der Sicherheit notwendig sei: Wenn Hacker den Einstieg in „Smart Homes“ über eben nur scheinbar „smarte“ Glühlampen finden oder wenn Autodiebe sich einen Zugriff über geklonte Schlüsselsignale verschaffen, spreche dies alles nicht für eine durchdachte Gestaltung der Systeme. Dasselbe gelte für die Datenschutz-Konzepte der Hersteller und Betreiber.

Aushöhlung des Datenschutzes

Als bedenkliche Beispiele führt Hansen an: Wenn Standort- und Bewegungsdaten auf Fitnesswegen bekannt werden und die Sportler darüber identifiziert werden können, wenn Sprachassistenzsysteme die Kommunikation im Wohnzimmer aufzeichnen und als „Zeuge“ vor Gericht auftreten sollen, wenn wir auf Basis unseres Nutzungsverhaltens in Kategorien eingestuft und gezielt beworben werden – es sei denn, wir gehören zu der für Werbung unattraktiven Kategorie „waste“ (Müll). Wenn Algorithmen aus diesen gesammelten Daten Ergebnisse fabrizieren, die unser Leben beeinflussen können: Entscheidungen darüber, ob wir einen Kredit bekommen, wie teuer uns eine Versicherung angeboten wird, ob wir uns verdächtig gemacht haben, wie geeignet wir für einen Job sind, ob sich eine medizinische Behandlung lohnt usw.
Hansen fordert daher: „Datenschutz muss endlich in die Anwendungen und Produkte eingebaut werden!“

Datenschutzfreundliche Voreinstellungen gefordert

Sie appelliere an die Hersteller und Betreiber von technischen Systemen, dass sie bei der Implementierung die Datenschutzrisiken in den Blick nehmen. Aktuell seien die meisten Anwendungen so vorkonfiguriert, dass personenbezogene Daten der Nutzenden weitergegeben werden. Oft müssten die Nutzenden mühsam sämtliche Systemeinstellungen durchklicken, um die standardmäßige Herausgabe von Daten zu stoppen. Der Grundsatz der Datenminimierung werde nur selten erfüllt.
Das Prinzip „Datenschutz by Default“ bedeute aber das Gegenteil: Die Voreinstellungen seien datenschutzfreundlich, und die Nutzenden entschieden selbst, ob und wann welche ihrer Daten weitergegeben werden.

Eingebauter Datenschutz als Regelfall

„Datenschutz by Design“ und „Datenschutz by Default“ sind neue gesetzliche Anforderungen aus der Datenschutz-Grundverordnung (DSGVo), die ab dem 25. Mai 2018 endgültig in ganz Europa gelten wird. Zur Umsetzung dieser Anforderungen verpflichtet sind all diejenigen, die für die Verarbeitung personenbezogener Daten verantwortlich sind (die sog. Verantwortlichen). „Ich hätte mir gewünscht, dass die Datenschutz-Grundverordnung auch die Hersteller unmittelbar zu eingebautem Datenschutz verpflichtet – das ist immerhin für die kommende europäische ,e-Privacy-Verordnung‘ so geplant“, kommentiert Hansen.
In jedem Fall aber verpflichte die DSGVO die Hersteller mittelbar: „Damit die Verantwortlichen ihre Datenschutzpflichten erfüllen können, werden sie die Hersteller von Produkten und Betreiber von Systemen fragen müssen, wie es um den Datenschutz in deren Angeboten bestellt ist. Wer hierauf keine gute Antwort gibt, kann dann bei der Auswahl der Produkte und Systeme nicht zum Zug kommen.“
Für den „Safer Internet Day 2019“ erwartet Hansen, „dass wir die Wirkungen der Datenschutz-Grundverordnung sehen werden – nämlich ein deutliches Plus an Datenschutz und Sicherheit im Internet.“

Weitere Informationen zum Thema:

datensicherheit.de, 10.02.2014
Safer Internet Day: BSI veröffentlicht Broschüre zum Thema Cloud Computing