[datensicherheit.de, 16.06.2021] Im Zuge der sich langsam abschwächenden „Corona“-Fallzahlen kehrten immer mehr Mitarbeiter in die ehemals gewohnte Büro-Umgebung zurück. Einige Firmen atmeten nun auf, da sie sich davon auch eine bessere Informations- und IT-Sicherheit versprächen. Doch wie immer bei diesem „Katz- und Maus-Spiel“ seien ihnen Cyber-Kriminelle einen Schritt voraus: „Mehr Mitarbeiter im Büro heißt für sie, dass sie ihre Phishing-Aktivitäten auf die geänderte Situation anpassen.“ Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4, geht in seiner aktuellen Stellungnahme auf diese Bedrohung ein.

Foto: KnowBe4

Jelle Wieringa: Neben technischen vor allem organisatorische Maßnahmen gegen Phishing zu empfehlen

Zehntausende Phishing-E-Mails fordern auf, gefälschtes Fax oder einen Scan mit bösartigem Link zu überprüfen

Eine Untersuchung von Avanan zeige nun, dass vermehrte Phishing-Versuche via Fax und Scan unternommen würden. Den letztlich warteten in den Büros unzählige Drucker und Fax-Geräte auf die rückkehrenden Mitarbeiter. Diese seien das „Eintrittstor zum Unternehmensnetzwerk“. Die nun aufgedeckte Phishing-Kampagne zeige einen deutlichen Anstieg der Phishing-E-Mails im Zusammenhang mit Fax und Scannern im Mai 2021.
Wieringa erläutert: „Laut den Daten von Avanan gab es von Januar bis April etwas mehr als 53.000 Phishing-E-Mails, die den Empfänger aufforderten, ein gefälschtes Fax oder einen Scan mit einem bösartigen Link zu überprüfen. Dies entspricht etwa 13.000 E-Mails pro Monat, die diese Art der Thematisierung verwenden und ähnlich wie die untenstehende aussehen.“

Abbildung: Avanan

Beispiel für Phishing-Attacke

Security Awareness Training kann Mitarbeiter über Phishing-Bedrohung aufklären

Doch allein im Mai 2021 sei diese Zahl auf 65.000 gestiegen – ein Anstieg um 500 Prozent, was perfekt mit der Tatsache zusammenpasse, dass viele Unternehmen ihre Mitarbeiter zur Rückkehr an den Arbeitsplatz aufforderten. „Wenn Mitarbeiter wieder ins Büro zurückkehren, sollten Unternehmen ihre Sicherheitsstrategie den neuen Gegebenheiten anpassen, so wie es die Angreifer letztlich auch getan haben“, rät Wieringa:
Neben technischen böten sich hierzu vor allem organisatorische Maßnahmen an. Hilfreich sei z.B. ein kontinuierliches „Security Awareness Training“ für alle Mitarbeiter, „in dem sie über diese und andere Themen von Phishing-Angriffen aufklärt und über die neuesten Betrügereien und Social-Engineering-Taktiken auf dem Laufenden gehalten werden, damit sie sich selbst und das Unternehmen vor Cyber-Angriffen schützen können“.

Weitere Informationen zum Thema:

AVANAN, Jeremy Fuchs, 03.06.2021
Return to the Office. Get Welcomed by Phishing Emails

datensicherheit.de, 08.10.2020
TÜV SÜD: Tipps zur IT-Sicherheit für Rückkehr aus dem Home-Office / Arbeiten im Home-Office während der Corona-Krise hat Angriffsfläche spürbar vergrößert

datensicherheit.de, 01.09.2020
Mitarbeitergeräte: Tickende Zeitbomben nach dem Home-Office / Wechsel vieler Mitarbeiter in das Home-Office zu Beginn der „Corona“-Kontaktbeschränkungen oft überhastet

[datensicherheit.de, 11.02.2019] Laut einer Meldung des „Forum Privatheit“ hat das Bundesverfassungsgericht (BverfG) am 5. Februar 2019 mitgeteilt, dass das Bayerische Polizeiaufgabengesetz insoweit verfassungswidrig ist, als es ohne weitere Einschränkung der Polizei erlaubt, das Kennzeichen aller vorbeifahrenden Kraftfahrzeuge verdeckt von einem Kennzeichenlesesystem automatisiert zu erfassen, kurzzeitig gemeinsam mit Angaben zu Ort, Datum, Uhrzeit und Fahrtrichtung zu speichern und mit Kennzeichen aus dem Fahndungsbestand abzugleichen. Nach Analyse durch Experten des Forschungsverbunds nimmt das „Forum Privatheit“ Stellung zu den Auswirkungen.

Bayern, Baden-Württemberg und Hessen: Kontrollen ohne Einschränkungen

Obwohl das BVerfG bereits 2008 festgestellt habe, dass das Überwachungsinstrument des Kfz-Kennzeichen-Scanning nur zum Schutz wichtiger Rechtsgüter und bei einem konkreten Anlass an beschränkten Orten und begrenzten Zeiten eingesetzt werden dürfe, hätten die Bundesländer Bayern, Baden-Württemberg und Hessen diese Kontrollen ohne diese Einschränkungen in den Katalog der normalen polizeilichen Handlungsinstrumente aufgenommen und davon ausführlich Gebrauch gemacht.
Dagegen habe ein Bürger mit Wohnsitz in Bayern und in Österreich geklagt, der befürchtet habe, auf den Reisen zwischen den beiden Wohnsitzen immer wieder überwacht zu werden und aufgrund der hohen Falscherkennungsrate der Kennzeichenlesesysteme als zur Fahndung Ausgeschriebener erfasst zu werden sowie Nachteile zu erleiden. Das Verwaltungsgericht München, der Verwaltungsgerichtshof Bayern und das Bundesverwaltungsgericht hätten die Klage abgewiesen, u.a. weil die bloße Erfassung des Kennzeichens keinen Grundrechtseingriff darstelle. Das BVerfG hat laut „Forum Privatheit“ diese Urteile in seinem Beschluss vom 18. Dezember 2018 aufgehoben und die entsprechende Regelung im Bayerischen Polizeiaufgabengesetz für teilweise verfassungswidrig erklärt.

Stärkung des Grundrechts auf informationelle Selbstbestimmung

„Der Beschluss des BVerfG stellt mit großer Klarheit fest, dass der Einsatz des Überwachungsinstruments der automatisierten Kennzeichenkontrollen auf bestimmte Anlässe und zur Abwehr einer konkreten Gefahr für Rechtsgüter von erheblichem Gewicht beschränkt ist und stärkt damit das Grundrecht auf informationelle Selbstbestimmung und Datenschutz nachdrücklich“, kommentiert Prof. Dr. Alexander Roßnagel, Sprecher des Forschungsverbunds „Forum Privatheit“ und Professor für Umwelt- und Technikrecht an der Universität Kassel. „Die breite Überwachung des Straßenverkehrs durch automatisierte Kennzeichenkontrollen ist unzulässig.“
Das Gericht habe eindeutig festgestellt, „dass bereits die Erfassung der Kennzeichen in das Grundrecht auf informationelle Selbstbestimmung eingreift, unabhängig davon, ob ein Treffer festgestellt werden kann“.

BverfG hat Bewertung geändert

Das habe das BVerfG in seiner Entscheidung zum Kfz-Kennzeichen-Scanning vom 8. März 2008 noch anders gesehen: Damals habe es entschieden, dass die bloße Erfassung und unmittelbare Löschung der Daten, sobald festgestellt worden ist, dass im Abgleich mit einer Fahndungsdatei kein Treffer vorliegt, keinen Grundrechtseingriff darstelle.
Diese Feststellung hätten sich viele Regelungen im Recht der Polizei und der Nachrichtendienste zunutze gemacht. Jetzt sei das BVerfG von dieser Feststellung abgerückt und sehe bereits in der Erhebung von Daten einen unerlaubten Grundrechtseingriff.

Fortbewegung ohne staatliche Kontrolle als Freiheitsrecht

Erfasst ein Überwachungssystem Menschen, so sei es nicht erst hinsichtlich der damit verbundenen Folgen, sondern bereits durch die Erfassung freiheitsbeeinträchtigend:
„Zur Freiheitlichkeit des Gemeinwesens gehört es, dass sich die Bürgerinnen und Bürger grundsätzlich fortbewegen können, ohne dabei beliebig staatlich registriert zu werden, hinsichtlich ihrer Rechtschaffenheit Rechenschaft ablegen zu müssen und dem Gefühl eines ständigen Überwachtwerdens ausgesetzt zu sein“, so das BVerfG.

Beliebige Kontrollen mit Rechtsstaatsprinzip grundsätzlich unvereinbar

Zulässig seien solche Kontrollen nur unter zwei Voraussetzungen: Zum einen müss dafür ein objektiv bestimmter und begrenzter Anlass bestehen. „Die Durchführung von Kontrollen zu beliebiger Zeit und an beliebigem Ort ins Blaue hinein ist mit dem Rechtsstaatsprinzip grundsätzlich unvereinbar“, so das BVerfG.
Zum anderen müssten sie dem Schutz von wichtigen Rechtsgütern oder öffentlichen Interessen dienen – hierzu zählten z.B. Leib, Leben und Freiheit der Person und der Bestand und die Sicherheit des Bundes und der Länder. Da das Bayerische Polizeiaufgabengesetz beide Voraussetzungen nicht beachte, habe das BVerfG die zu weitgehenden Regelungen für verfassungswidrig erklärt.

Rechtliche Anpassungen zur Überwachung notwendig

Diese Bewertung gelte nicht nur für das Bayerische Polizeiaufgabengesetz, sondern auch für vergleichbare Regelungen in Baden-Württemberg und Hessen. Die Feststellung, dass ein Grundrechtseingriff bereits durch die bloße Erfassung von Überwachungsdaten besteht, habe Auswirkungen für viele polizeiliche und nachrichtendienstliche Überwachungsmethoden, weil diese bisher davon ausgegangen seien, dass ein Grundrechtseingriff erst mit der Speicherung als Treffer beginne.
Diese Erkenntnis zwinge ebenfalls zur Anpassung vieler Erlaubnisse zur Überwachung. „Damit stellt Deutschland – im Gegensatz zu anderen europäischen Ländern – den Datenschutz über den noch unklaren Nutzen einer sehr umfassenden Kennzeichenerkennung“, unterstreicht „Forum Privatheit“-Experte Dr. Michael Friedewald vom Fraunhofer ISI.

Erfassung von Diesel-Fahrzeugen in keiner Weise verhältnismäßig

So habe das Urteil des BVerfG auch Auswirkungen auf die Absicht, Fahrverbote für ältere Diesel-Fahrzeuge durch automatisierte Kennzeichenerfassung und Abgleich mit dem Bundeskraftfahrzeugregister durchzusetzen:
„Solche automatisierten Kennzeichenkontrollen finden zwar nur an der Einfahrt zu Umweltzonen oder für Dieselfahrzeuge gesperrte Straßen statt, dienen aber nicht der Abwehr einer Gefahr für Rechtsgüter wie Leib, Leben und Freiheit der Person und den Bestand und die Sicherheit des Bundes und der Länder, sondern der Verhinderung oder Verfolgung von Ordnungswidrigkeiten – sind also in keiner Weise verhältnismäßig“, resümiert Roßnagel.

Weitere Informationen zum Thema:

forum <privatheit>
selbstbestimmtes_leben_in_der_digitalen_welt

datensicherheit.de, 23.03.2018
forum <privatheit>: Demokratie nicht einzelnen Internet-Unternehmen überlassen

datensicherheit.de, 08.03.2018
forum <privatheit>: Datenschutz als Basis der Innovationsförderung

[datensicherheit.de, 04.02.2015] Resolution1 Security aus der AccessData-Gruppe hat zum neuen Jahr 2015 den „ThreatScanner“ vorgestellt. Dieses kostenlose Tool überprüft verdächtige Endpoints auf Malware-Spuren.

Scans zur Entdeckung von Regin und SMB

Mit dem „ThreatScanner“ soll das IT-Security-Personal kompromittierte Systeme sofort identifizieren und auf Gefahren schnell reagieren können, um die Auswirkungen von Angriffen zu minimieren.
Nach der Installation führe das Programm umgehend ausführliche Scans durch, die aktuelle Bedrohungen aufdeckten, wie z.B. den Backdoor-Trojaner „Regin“ und den „Server Message Block“-Wurm (SMB), der Sony Pictures angegriffen haben soll.

Einfache Bedienung und große Flexibilität

Der „ThreatScanner“ sei einfach in der Handhabung und ermögliche die flexible Einrichtung individueller Scans. Auch aktuelle Bedrohungsformate würden dabei automatisch berücksichtigt.
Nach dem Download führe die Befehlszeile ein simples Skript aus, das nach IOC- (Indicator of Compromise) oder YARA-Regeln (Malware-Identifikations- und Klassifizierungs-Tool auf Open Source-Basis) einen „Windows“-basierten Endpoint (Computer oder Laptop) analysiert. Ein automatisch erstellter Report im HTML- und XML-Format stelle Details verdächtiger Programme zusammen, so dass Analysten direkt Gegenmaßnahmen treffen könnten.
Dieses neue Freeware-Tool ermögliche die simultane Nutzung der integrierten IOC- und YARA-Regeln und biete so größere Flexibilität bei der Suche. Andere aktuelle Tools seien dahin gehend eingeschränkt, da sie nur eins dieser Formate scannten, aber nicht beide. Bei „ThreatScanner“ seien je eine „Regin“-IOC- und YARA-Regel, eine Sony-IOC-Regel und mehrere US-CERT-IOC-Regeln vorinstalliert.

Unterstützung der Incident-Response-Strategie

Sie hätten den „ThreatScanner“ entwickelt, um nicht nur ihren Kunden, sondern der gesamten Security Community zu helfen. Daher machten sie dieses Freeware Tool einer breiten Öffentlichkeit zugänglich, erläutert Brian Karney, „CEO“ der Resolution1 Security.
In der heutigen, weit entwickelten Bedrohungslandschaft müssten Unternehmen vorausschauend handeln und Gefahren begegnen anstatt passiv auf Tausende täglicher SIEM-Alarme zu vertrauen. Mit dem „ThreatScanner“ gäben sie IT-Sicherheits-Teams ein Zusatzwerkzeug an die Hand, mit dem diese ihre Incident-Response-Strategie deutlich verstärken könnten, so Karney.

Weitere Informationen zum Thema:

RESOLUTION1 SECURITY
ThreatScanner
Anmerkung der Red.: Die Nutzung dieses Angebots geschieht außerhalb der Verantwortung von datensicherheit.de auf eigenes Risiko und eigene Haftung!