[datensicherheit.de, 18.11.2024] Die G DATA CyberDefense AG hat laut einer eigenen Meldung vom 14. November 2024 Sicherheitslücken der in Geschäftssoftware „TOPqw Webportal“ entdeckt und erläutert, dass diese Schwachstellen ggf. Zugang zu persönlichen Informationen ermöglicht hätten. Das betroffene Kieler Softwarehaus, baltic IT, habe nach Tests der „G DATA Advanced Analytics“ diese insgesamt fünf Sicherheitslücken stopfen müssen – eine davon habe als „kritisch“ gegolten.

Foto: G DATA

Tim Berghoff („Security Evangelist“ bei G DATA CyberDefense): Potenzielle Angreifer hätten auf triviale Art und Weise den kompletten Inhalt von Datenbanken einsehen können…

IT-Security-Fachleute der „G DATA Advanced Analytics“ unternahmen Penetrationstest

Die Software sei in insgesamt zwölf Bundesländern im Einsatz – unter anderem in kommunalen Betrieben, Gemeinden und Stadtverwaltungen. IT-Security-Fachleute der „G DATA Advanced Analytics“ hätten bei einem Penetrationstest der Webanwendung „TOPqw Webportal“ des Kieler Softwareherstellers baltic IT mehrere Schwachstellen identifizieren können.

Dabei sei aufgefallen, dass potenzielle Angreifer auf triviale Art und Weise den kompletten Inhalt von Datenbanken hätten einsehen können. Möglich gewesen sei dies durch eine sogenannte „SQL-Injection“. Unter anderem seien in der Datenbank Namen, E-Mail-Adressen und auch (gehashte) Passwörter lesbar gewesen. Für den Zugriff war demnach kein Passwort erforderlich.

G DATA sieht bereits prinzipielle Zugriffsmöglichkeit als schlimm genug an

„Die Sicherheitslücke erlaubte keine Ausführung von Code auf dem Datenbankserver“, erklärt Tim Berghoff, „Security Evangelist“ bei G DATA CyberDefense. Aber der Zugriff allein sei bereits schlimm genug gewesen – insbesondere vor dem Hintergrund, dass in der Datenbank persönliche Informationen über Empfänger von Sozialleistungen hinterlegt gewesen seien.

Eine Funktion, welche neue Benutzer in der Datenbank anlegen solle, sei ebenfalls über eine Sicherheitslücke mittels SQL-Injection angreifbar gewesen. Angreifer hätten mit Hilfe dieser Schwachstelle direkt auf die Datenbank zugreifen und eigenen SQL-Code einschleusen können. Dies hätte wiederum vollen Zugriff auf den gesamten Inhalt der Datenbank ermöglicht.

G DATA entdeckte u.a. nicht korrekt implementierte Zugriffskontrolle

Die dritte Schwachstelle war laut Berghoff eine nicht korrekt implementierte Zugriffskontrolle. „Nutzer, die nicht über entsprechende Freigaben verfügen, können auf administrative Komponenten der Web-Anwendung zugreifen, indem sie einfach die Adresse im Browser entsprechend anpassen.“ Dies erlaube es jedem angemeldeten Benutzer, andere Benutzerkonten einzusehen, sowie bestehende Konten zu löschen oder neue anzulegen. Damit wäre es bei einem Angriff beispielsweise möglich gewesen, sämtliche Benutzer auszusperren. Auch die Manipulation von Daten sei möglich gewesen. Über das Kalkulationsmodul der Anwendung hätten sich auch bösartige Dateien einschleusen lassen.

Zwei weitere Sicherheitslücken hätten es einem Angreifer erlaubt, eigenen „Javascript“-Code in die Webanwendung zu schleusen. Da die Plattform Dateinamen an einer Stelle nicht validiere und an einer anderen Stelle „Javascript“ als Protokoll zulasse, sei es möglich, auch bösartige Skripte im Kontext der Web-Anwendung laufen zu lassen.

Dienstleister baltic IT hat laut G DATA schnell reagiert

Glücklicherweise seien diese Schwachstellen im Rahmen des Penetrationstests aufgefallen und nicht erst durch eine böswillige Ausnutzung durch Kriminelle. baltic IT habe schnell reagiert und die kritische Sicherheitslücke in „TOPqw“ bereits nach zwei Tagen geschlossen.

Auch die übrigen Schwachstellen seien nach und nach behoben worden. Der Veröffentlichungsprozess sei den Regeln der „Responsible Disclosure“ gefolgt. „Seit dem 25. Juli 2024 sind alle fünf gemeldeten Sicherheitslücken geschlossen und die entsprechenden Updates an alle Produktionsumgebungen der ,TOPqw’-Kunden ausgerollt.“

Weitere Informationen zum Thema:

CYBER.WTF, Majid Lakhnati & Maximilian Hildebrand, 11.11.2024
Harvesting the Database – 5 CVEs in TOPqw Webportal

[datensicherheit.de, 22.06.2024] Im Sommerurlaub gehöre das Smartphone oder Tablet zum Reisegepäck wie Sonnencreme und Badekleidung. „Eine repräsentative Umfrage von der G DATA CyberDefense AG zeigt, dass 92 Prozent der Urlauber ihre Mobilgeräte mit in die Ferien nehmen und 80 Prozent regelmäßig öffentliche WLAN-Netze nutzen.“ Doch genau hierbei lauerten erhebliche Sicherheitsrisiken wie das Mitlesen des Datenverkehrs durch Cyber-Kriminelle. Diese spähten öffentliche WLAN-Netze aus, um sensible Informationen wie Passwörter oder Kreditkartendaten abzugreifen. Zum Sommerbeginn 2024 gibt die G DATA CyberDefense AG Tipps zur IT-Sicherheit auf Reisen. Für die zugrundeliegende Urlaubs-Umfrage ließ die G DATA CyberDefense AG nach eigenen Angaben im Mai 2024 insgesamt 1.000 Internetnutzer aus Deutschland befragen – diese repräsentative Kurzumfrage habe die OmniQuest GmbH durchgeführt.

Abbildung: G DATA CyberDefense AG

Urlaubs-Umfrage 2024 der G DATA CyberDefense AG: Cyber-Sicherheitsrisiken offensichtlich

Öffentliche WLAN-Netze oft ungesichert – einfache Möglichkeit für Cyber-Kriminelle, den Datenverkehr mitzulesen

Mit gepackten Koffern seien viele Urlauber bereit, den Alltagsstress hinter sich zu lassen. Doch für einen unbeschwerten Urlaub sollte – neben Ladegerät und Powerbank – auch das abgesicherte Mobilgerät eine Selbstverständlichkeit sein. Eine repräsentative Umfrage der G DATA CyberDefense AG unter 1.000 Deutschen zeigt demnach, dass fast alle Reisenden ihre Mobilgeräte mit in den Urlaub nehmen. Dabei nutzten vier von fünf Urlauber häufig öffentliche WLAN-Netze.

„Diese Bequemlichkeit ist jedoch gefährlich, wenn man nicht auf die IT-Sicherheit achtet.“ Öffentliche WLAN-Netze seien oft ungesichert und böten Cyber-Kriminellen eine einfache Möglichkeit, den Datenverkehr mitzulesen. Dadurch bestehe das Risiko, „dass persönliche Daten gestohlen werden, was zu Identitätsdiebstahl oder finanziellen Verlusten führen kann“.

Cyber-Kriminelle können sensiblen Daten missbrauchen – für Identitätsdiebstahl oder finanzielle Betrügereien

Das Smartphone oder Tablet sei für viele ein unverzichtbarer Begleiter im Urlaub. „Der smarte Alleskönner dient nicht nur zur Kommunikation und Navigation, sondern wird auch für Soziale Netzwerke und viele andere Anwendungen genutzt.“ Tim Berghoff, „Security Evangelist“ bei der G DATA CyberDefense AG, erläutert: „Selbst alltägliche Aktivitäten wie Online-Banking oder das Teilen von Urlaubsfotos in Sozialen Netzwerken bergen Sicherheitsrisiken, insbesondere in öffentlichen WLAN-Verbindungen. Cyber-Kriminelle können diese Netze nutzen, um sensiblen Daten abzufangen. Sind die Daten einmal in den Händen von Angreifern, können die persönlichen Informationen missbraucht werden – sei es für Identitätsdiebstahl oder finanzielle Betrügereien.“

Öffentliche WLAN-Hotspots an Flughäfen, Bahnhöfen oder in Hotels seien äußerst beliebt, aber auch sehr unsicher. Diese Angebote nutzten viele Reisende gerne, um ihr Datenvolumen zu schonen und Kosten zu vermeiden. „Das wissen Cyber-Kriminelle und klinken sich hier ein, um große Teile des Datenverkehrs mitzulesen – zum Beispiel Passwörter für Mail-Postfächer, Online-Dienste oder Einkaufsportale.“ Cyber-Kriminelle könnten dabei verschiedene Methoden anwenden, um an sensible Daten zu gelangen: „Ein beliebter Trick ist das Erstellen von gefälschten WLAN-Hotspots, die echten Netzwerken ähneln. Wenn Reisende sich mit diesen gefälschten Hotspots verbinden, können die Angreifer den Datenverkehr abfangen und persönliche Informationen stehlen.“ Daher sei es ratsam, nur vertrauenswürdige Netzwerke zu nutzen und ein „Virtual Private Network“ (VPN) zu verwenden, um die Datenübertragung zu verschlüsseln.

IT-Sicherheit im Urlaub: So schützen sich Reisende vor Cyber-Betrug

Um den Urlaub unbeschwert genießen zu können, sollten laut G DATA einige wichtige Cyber-Sicherheitsvorkehrungen getroffen werden:

Sicherheitssoftware installieren!
Vor der Abreise sollte eine umfassende Cyber-Sicherheitslösung auf allen Mobilgeräten installiert werden (mit der „G DATA Mobile Internet Security“ etwa seien Urlauber gut geschützt).

VPN nutzen!
Ein VPN sorge für eine sichere Verbindung durch eine verschlüsselte Übertragung von Daten. Diese seien von außen nicht einsehbar und könnten von Cyber-Kriminellen nicht entschlüsselt werden.

Software-Updates durchführen!
Vor Reiseantritt sollten das Betriebssystem und alle genutzten Apps auf den neuesten Stand gebracht werden, um Cyber-Sicherheitslücken zu schließen.

Back-ups machen!
Reisende sollten vor dem Urlaub eine Sicherheitskopie aller wichtigen Daten auf einem externen Speichermedium erstellen. So seien alle Informationen auch bei einem Geräteverlust gesichert.

Powerbank oder USB-Kondom einpacken!
USB-Ladestationen böten Cyber-Kriminellen viel Raum, um Schaden anzurichten. Eine Alternative zu öffentlichen Ladeorten sei die eigene Powerbank. USB-Ladestationen sollten nur mit einem sogenannten USB-Kondom genutzt werden. – dieses schütze beim Aufladen vor Datenableitung und werde zwischen Ladekabel und Buchse gesteckt, so dass nur der Strom zum Aufladen fließen könne.

Weitere Informationen zum Thema:

G DATA Blog, Melina Pohlmann, 20.06.2024
Sicher Reisen: So schützen Sie Ihr Mobilgerät vor Cybergefahren im Urlaub

datensicherheit.de, 22.04.2024
KEEPER: 5 Sicherheitsmaßnahmen, um Cyber-Bedrohungen während der Urlaubszeit zu minimieren / Bevorstehenden Pfingst- und Sommerferien sich auch wieder Hochsaison für Cyber-Kriminelle

datensicherheit.de, 10.08.2023
Urlaubszeit als Festsaison für Cyber-Kriminelle: Warnende Erkenntnisse von NordVPN / Adrianus Warmenhoven, Experte für Cyber-Sicherheit bei NordVPN, erläutert die Gefahren der Veröffentlichung von Urlaubsfotos im Internet

datensicherheit.de, 21.06.2023
Cybersecurity auch im Urlaub: Schutz vor Datenverlust, Identitätsdiebstahl und Malware-Infektionen / Besondere Vorsicht ist in unbekannten Umgebungen geboten – insbesondere im Urlaub

[datensicherheit.de, 03.12.2021] Nach aktuellen Erkenntnissen der G DATA CyberDefense AG geben jüngere Menschen im Alter unter 30 Jahren mehr Geld als ältere Nutzer aus, um digitale Endgeräte zu schützen. „Wer einen PC oder Smartphone nutzt, sollte sich auch mit dem Schutz seiner Daten auseinandersetzen. Doch wie viel ist ihnen die Sicherheit wert?“ Die aktuelle Umfrage „Cybersicherheit in Zahlen“ von G DATA CyberDefense in Zusammenarbeit mit statista und „brand eins“ belegt demnach: „Jeder Zweite will maximal zehn Euro monatlich investieren.“

Foto: G DATA

Tim Berghoff: 13 Prozent mit sehr großer IT-Sicherheitskompetenz bereit, zwischen 100 und 200 Euro pro Monat zu investieren

19% der Befragten investieren kein Geld in die Sicherheit ihrer Daten

Für den Schutz der eigenen Daten gebe es viele verschiedene Anbieter und Preisspannen. Das Ergebnis der Studie von G DATA CyberDefense in Zusammenarbeit mit statista und „brand eins“ zeige jedoch: „Personen ab 50 Jahren sind zwar grundsätzlich bereit, Geld für ihre IT-Sicherheit auszugeben, und haben auch klare Vorstellungen davon, wie viel sie bereit sind zu investieren. Mehr als 40 Prozent wollen höchstens zehn Euro im Monat ausgeben, 19 Prozent der Befragten investieren kein Geld in den Schutz ihrer Daten.“
Eine mögliche Erklärung dafür sei, dass jüngere Personen unterschiedliche Anforderungen an ihre Endgeräte und somit auch an das eigene IT-Sicherheitssystem hätten. Daher sei auch jeder dritte Befragte unter 30 bereit, zwischen zehn und 50 Euro für die IT-Sicherheit auszugeben. Während Ältere das System allgemein von externen Zugriffen sichern wollten, gehe es bei Jüngeren um gezielte Maßnahmen wie Passwortmanager, VPNs, Malwareschutz oder auch Cloud-Dienste, um Daten zu sichern.

Persönliche Anforderungen an die IT-Sicherheitslösung sowie Bedienbarkeit und Komfort spielen eine wichtige Rolle

Die persönlichen Anforderungen an die IT-Sicherheitslösung spielten eine wichtige Rolle. Die Bemessung der Kosten hänge davon ab, ob jeder einzelne Nutzer ausschließlich auf kostenfreie Angebote setzt oder mit einer Kombination aus kostenlosen und kostenpflichtigen Lösungen arbeitet. Bedienbarkeit und Komfort seien ebenfalls wichtige Faktoren.
„Je weniger bewandert Anwenderinnen und Anwender im Bereich der IT-Sicherheit sind, desto weniger geben sie für die Sicherheit aus. Das klingt zwar widersinnig, aber wir müssen uns hier vergegenwärtigen, dass diese Menschen die potenziellen Risiken entweder nicht kennen oder sie für sich nicht als relevant betrachten. Gegen ein Risiko, das man nicht kennt, kann sich auch nicht schützen und gibt daher auch kein Geld dafür aus“, erläutert Tim Berghoff, „Security Evangelist“ bei G DATA CyberDefense. Dass man in IT-Sicherheit investieren müsse, sei vielen Menschen klar. Zwischen zwölf und 120 Euro pro Jahr sei den allermeisten die Sicherheit wert, mit Tendenz nach oben. Berghoff: „Ein gutes Grundschutzpaket für die eigenen Geräte bekommt man für dieses Geld definitiv.“

Befragte mit großem IT-Sicherheitswissen sind durchaus bereit, mehr Geld auszugeben

Die Investitionsbereitschaft in IT-Sicherheit hänge von der Kompetenz der Nutzer ab. So seien Befragte mit einem großen IT-Sicherheitswissen bereit, mehr Geld auszugeben. Das zeige die aktuelle Umfrage: „13 Prozent mit einer sehr großen IT-Sicherheitskompetenz sind bereit, zwischen 100 und 200 Euro pro Monat zu investieren. Im Gegensatz dazu wollen nur 36 Prozent der Personen mit einer sehr geringen Kompetenz maximal zehn Euro für den Schutz ihrer Geräte ausgeben.“ Ein weiteres Drittel setzt hier auf kostenlose Angebote.
„Cybersicherheit in Zahlen“ zeichne sich durch eine hohe Informationsdichte und besondere methodische Tiefe aus: Mehr als 5.000 Arbeitnehmer in Deutschland seien im Rahmen einer repräsentativen Online-Studie zur Cyber-Sicherheit im beruflichen und privaten Kontext befragt worden. Die Experten von statista hätten die Befragung durchgeführt und könnten dank einer Stichprobengröße, die weit über dem branchenüblichen Standard liege, belastbare und valide Marktforschungsergebnisse im Heft „Cybersicherheit in Zahlen“ präsentieren.

Weitere Informationen zum Thema:

G DATA
Cybersicherheit in Zahlen / Wir machen Komplexes verständlich. / Auf 104 Magazinseiten.

[datensicherheit.de, 23.11.2021] Laut einer aktuellen Meldung von G DATA haben Deutsche grundsätzlich „wenig Vertrauen in deutsche Behörden und Institutionen“ – nur 45 Prozent hätten angegeben, diesen in puncto Datenschutz zu vertrauen. Das zeige die aktuelle Umfrage „Cybersicherheit in Zahlen“ von G DATA in Zusammenarbeit mit Statista und „brand eins“. Ein weiteres Ergebnis der Studie indes: Je größer die Kompetenz im Bereich IT-Sicherheit, desto größer das Vertrauen.

Foto: G DATA

Tim Berghoff: Bildungssystem hat den Auftrag, frühzeitig Möglichkeiten zu eröffnen und damit langfristig IT-Kompetenzen zu schaffen…

In zentralen Fragen zu Datenschutz und IT-Sicherheit kein großes Vertrauen

Deutsche Behörden und Institutionen genießen demnach in Deutschland in zentralen Fragen zum Datenschutz und zur IT-Sicherheit kein großes Vertrauen. Nur etwa 15 Prozent der Befragten hätten „sehr großes Vertrauen“ in Behörden, wenn es um den Schutz und die Sicherheit von persönlichen Daten geht, die Behörden erheben beziehungsweise speichern.
Besondere Zweifel gebe es im Bereich der Aufklärung von Kindern und Jugendlichen in der Schule zu richtigem Verhalten im Internet und möglichen Gefahren. Hierzu hätten in ganz Deutschland zwei Drittel der Befragten wenig Vertrauen in die Kompetenz der zuständigen Behörden. Eine Folge der Versäumnisse bei der Bildung sei, dass die Gefahren des Internets und der Umgang mit ihnen nie richtig erlernt und umgesetzt würden.

Begründetes Vertrauen braucht mehr als bloße medienwirksame Leuchtturm-Projekte

„Wer sich heute über einen Mangel an IT-Fachkräften beklagt, muss zu der Erkenntnis kommen, dass das Bildungssystem hier einen Auftrag hat, frühzeitig Möglichkeiten zu eröffnen und damit langfristig Kompetenzen zu schaffen“, fordert Tim Berghoff, „Security Evangelist“ bei G DATA CyberDefense.
Dieser Auftrag werde seit Jahren konsequent verschlafen und die Verantwortung auf die Eltern abgewälzt. Berghoff führt aus: „Das Internet ist nicht mehr etwas, das nur in der Freizeit passiert. Diese Erkenntnis ist allerdings noch nicht überall angekommen. Da braucht es mehr als schicke und medienwirksame Leuchtturm-Projekte an einzelnen Schulen.“

Vertrauen in Behörden hängt deutlich von der IT-Sicherheitskompetenz der Befragten ab

Die Umfrage belege auch, dass das Vertrauen in Behörden deutlich von der IT-Sicherheitskompetenz der Befragten abhänge. „Je höher die ist, desto größer ist auch das Vertrauen.“ So sprächen zwei Drittel der Befragten mit großem IT-Sicherheitswissen Behörden beim Schutz und Sicherheit von persönlichen Daten ein großes Vertrauen aus. Bei Menschen mit sehr geringer IT-Sicherheitskompetenz seien es nur 33 Prozent.
Die Studie „Cybersicherheit in Zahlen“ zeichne sich durch eine hohe Informationsdichte und besondere methodische Tiefe aus: Mehr als 5.000 Arbeitnehmer in Deutschland seien im Rahmen einer repräsentativen Online-Studie zur Cyber-Sicherheit im beruflichen und privaten Kontext befragt worden. Die Experten von Statista hätten die Befragung durchgeführt und könnten dank einer Stichprobengröße, die weit über dem branchenüblichen Standard liege, belastbare und valide Marktforschungsergebnisse im Heft „Cybersicherheit in Zahlen“ präsentieren.

Weitere Informationen zum Thema:

G DATA
Cybersicherheit in Zahlen. Wir machen Komplexes verständlich. Auf 104 Magazinseiten.

[datensicherheit.de, 06.10.2021] Die Streaming-Plattform „twitch“ ist offenbar Opfer einer umfassenden Hacker-Attacke geworden. Laut einer aktuellen Stellungnahme der G DATA CyberDefense AG sollen unter anderem der komplette Quellcode sowie auch einige Nutzerdaten betroffen sein. „twitch“-Nutzer sollten sicherheitshalber sofort ihre Passwörter ändern und eine Zweifaktor-Authentifizierung aktivieren.

Foto: G Data

Tim Berghoff: Umsätze in twitch-Streams zwischen August 2019 und September 2021 in Datei enthalten…

Kompletter twitch-Quellcode in Datei aufgetaucht

In einem Internetforum sei eine mehr als 120 Gigabyte große Datei aufgetaucht, welche dem Anschein nach den kompletten Quellcode der zu amazon gehörenden Streaming-Plattform enthält sowie auch einige interne Daten.
Für einige prominente Streamer besonders pikant: „Auch sämtliche Umsätze, die sie zwischen August 2019 und September 2021 in ihren ,twitch‘-Streams generiert haben, sowie die ausgezahlten Beträge sind in den geleakten Daten enthalten.“

Wer auf twitch aktiv ist, sollte Situation genau beobachten

„Die veröffentlichten Daten scheinen aktuell zu sein – das macht das ,Leak‘ besonders brisant. Wer auf ,twitch‘ aktiv ist, sollte die Situation genau beobachten und seinen Account absichern. Dafür empfiehlt sich insbesondere die Nutzung von Zwei-Faktor-Authentifizierung und sicherheitshalber die Änderung des Passwortes“, sagt Tim Berghoff, „Security Evangelist“ bei G DATA CyberDefense.
Der Ursprung des Leaks sei bislang nicht bekannt. In den vergangenen Monaten seien bekannte Ransomware-Gruppen jedoch dazu übergangen, Daten ihrer Opfer zu veröffentlichen, „wenn diese sich weigern das Lösegeld zu zahlen oder die Anweisungen der Kriminellen missachten“. Ob hinter dem Leak ein Ransomware-Angriff steckt, lasse sich zum jetzigen Zeitpunkt allerdings nicht bestätigen.

Innerhalb der twitch-Community in vergangenen Monaten Auseinandersetzungen über Hate Raids

Der Leak könnte auch politische Gründe haben. Denn innerhalb der ,twitch‘-Community habe es in den vergangenen Monaten Auseinandersetzungen über „Hate Raids“ gegeben. Kritiker würden der Plattform vorwerfen, nicht entschieden genug gegen rechtsextreme Hassbotschaften vorzugehen.
„Ersten Gerüchten zufolge sollen sich auch gehashte Passwörter in der Datensammlung befinden“, so Berghoff. Verbindlich bestätigt sei das allerdings zum Zeitpunkt dieser Meldung noch nicht. „twitch“ selbst habe sich zu dem Vorfall bislang nicht geäußert.

Weitere Informationen zum Thema:

datensicherheit.de, 06.05.2021
G DATA CyberDefense: 5 Tipps zum Welt-Passwort-Tag 2021

[datensicherheit.de, 06.05.2021] G DATA CyberDefense geht in einer aktuellen Stellungnahme auf den diesjährigen „Welt-Passwort-Tag“ am 6. Mai 2021 ein und erörtert auf Basis der Erkenntnis, dass Passwörter wohl ein leidiges, indes aber wichtiges Thema seien, welche Verhaltensregeln Sinn haben und worauf getrost verzichtet werden kann. Die oft kolportierte Regel z.B., sein Passwort in kurzen Abständen und ohne konkreten Anlass zu ändern, sei der Datensicherheit eher abträglich und somit ein Anachronismus. In einem Leitfaden des Bundesamts für Sicherheit in der Informationstechnik (BSI) heiße es demnach nur noch „Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht“ – und eben nicht pauschal einmal im Monat.

Foto: G DATA CyberDefense

G DATA warnt vor Brute-Force-Methoden zum Ausprobierten der gängigsten Passwörter

Zu viele Nutzer wählen ein einfach zu merkendes Passwort

Viel entscheidender für die Sicherheit sei es, „dass das gewählte Passwort ,stark‘, also schwer zu erraten ist“. Denn Cyber-Kriminelle nutzten häufig sogenannte Brute-Force-Methoden und probierten in kürzester Zeit Abertausende der gängigsten Passwörter durch – und hätten damit leider immer noch zu oft Erfolg, da viele Nutzer einfach zu merkende Passwörter wählten.
„Diese Kennwörter probieren Kriminelle als erstes aus, wenn sie in Online-Konten und Nutzer-Accounts in Firmennetzwerken eindringen wollen. Und sie tauchen mit schöner Regelmäßigkeit immer wieder in Listen auf, die Titel tragen wie ‚Die 10 schlechtesten Passwörter‘“, erläutert Tim Berghoff, „Security Evangelist“ bei G DATA CyberDefense.

5 Top-Tipps, um ein sicheres Passwort zu konzipieren:

1. Es sollte lang sein!
   „Jedes zusätzliche Zeichen erhöht die möglichen Kombinationen exponentiell und macht ein Erraten mittels Brute-Force praktisch unmöglich.“ Weiterhin sollte das Passwort nicht im Wörterbuch stehen, denn diese probierten Angreifer als erstes aus.
2. Niemals das gleiche Passwort für mehrere Zugänge verwenden!
   Cyber-Kriminelle nutzten häufig „Credential Stuffing“ und testeten alle bereits gestohlene Passwörter durch.
3. Es sollte möglichst komplex sein und Sonderzeichen, Groß-/Kleinschreibung sowie Zahlen enthalten!
   Mit jedem Sonderzeichen erhöhten sich die kombinatorischen Varianten enorm, „was weiteren Sand ins Getriebe von Brute-Force-Attacken streut“.
4. Es sollte weder weitergegeben, noch notiert werden!
   Daher sollte man ein System haben, nach dem man es sich gut merken kann. Gerne genutzt werden die Anfangsbuchstaben von Sätzen, analog zu „Mein Vater erzählt mir jeden Sonntag…“ oder ähnlichen „Eselsbrücken“.
5. Will man ganz sicher gehen, nutzt man einen zweiten Faktor zur Authentifizierung!
   Dies schütze nämlich auch vor unberechtigtem Zugriff, sollte das Passwort doch einmal in die falschen Hände geraten.

Weitere Informationen zum Thema:

datensicherheit.de, 06.05.2021
Welt-Passwort-Tag 2021: Digitalisierung vorangetrieben und neue Herausforderungen geschaffen / 84% der Remote-Mitarbeiter gaben in einer Umfrage von CyberArk an, ein identisches Passwort in mehreren Applikationen zu verwenden

datensicherheit.de, 04.05.2021
6. Mai 2021 ist Welt-Passwort-Tag: Avira gibt 4 Tipps für starke Passwörter / In 80 Prozent der Fälle gehackter Online-Konten schwaches Passwort Ursache

Bundesamt für Sicherheit in der Informationstechnik, 09.09.2020
ORP.4: Identitäts- und Berechtigungsmanagement (Edition 2020)

PC-WELT, Panagiotis Kolokythas, 03.01.2020
123456: Die 25 schlechtesten Passwörter des Jahres 2019 / Das Sicherheits-Unternehmen Splashdata hat auch für das Jahr 2019 die 25 schlechtesten Passwörter ermittelt.

[datensicherheit.de, 14.04.2021] Zum „Patch Tuesday“ am 13. April 2021 habe es wieder einige kritische Updates für „Microsoft Exchange“ gegeben – ebenso wie bei „Hafnium“ rieten Experten dringend zur Installation der Patches. Anders als bei jener Sicherheitslücke sei die Warnung jedoch von der US-amerikanischen NSA gekommen.

Foto: G DATA

Tim Berghoff: Geschwindigkeit beim Patchen macht den Unterschied zwischen sicherem und unsicherem Netzwerk!

Patch Tuesday am 13. April 2021 betraf Sicherheitslücken in Exchange 2013, 2016 und 2019

„Am gestrigen ,Patch-Tag‘ hat Microsoft zwei kritische Sicherheitslücken geschlossen, die lokal installierte Instanzen von ,Exchange‘ 2013, 2016 und 2019 betreffen. Diese Sicherheitslücken ermöglichen das Ausführen von beliebigem Programmcode auf einem betroffenen System.“ Im Unterschied zu den Sicherheitslücken, welche die „Hafnium“-Gruppe genutzt habe, gebe es derzeit jedoch laut Microsoft keine Anzeichen dafür, dass die Lücken aktiv ausgenutzt würden.
Damit unterschieden sich diese beiden Sicherheitslücken von dem Vorfall Anfang März 2021. Damals habe sich herausgestellt, dass diese Lücken bereits seit Längerem bei Microsoft bekannt gewesen seien – habe sich jedoch dafür entschieden, sie erst später zu schließen. „Ein Plan, der schnell revidiert wurde, nachdem sich abzeichnete, dass weltweit Zehntausende ,Exchange‘-Server angegriffen und gezielt auf die Schwachstellen gescannt wurden.“

US-amerikanische National Security Agency gab Hinweis zu Sicherheitslücken

Laut „Release Notes“ für die vorliegenden Patches sei die Warnung diesmal von der US-amerikanischen National Security Agency (NSA) gekommen. Diese Information sei über den bei Microsoft vorhandenen „Vulnerability Disclosure“-Prozess geflossen.
„Ein zweites Mal ,Hafnium‘ ist uns zwar diesmal augenscheinlich erspart geblieben. Dennoch ist klar: Geschwindigkeit macht beim Patchen den Unterschied zwischen einem sicheren und einem unsicheren Netzwerk“, betont Tim Berghoff, „Security Evangelist“ bei G DATA.

Updates schnell installieren, um Sicherheitslücken zu schließen!

Knapp einen Monat nach dem Bekanntwerden von insgesamt sieben Sicherheitslücken in „Microsoft Exchange“ und eindringlichen Mahnungen, Updates zeitnah einzuspielen, könne von Entwarnung keine Rede sein. Im Gegenteil: Erst jetzt machten sich einige erfolgreiche Angriffe bemerkbar, etwa durch die Installation von Ransomware auf gekaperten Systemen.
Berghoff: „Was die Vorkommnisse aus dem März mit dem aktuellen ,Patchday‘ gemeinsam haben, ist, dass die Installation der Updates so schnell wie möglich erfolgen muss. Grund dafür ist, dass mit dem Verfügbarwerden eines Patches auch Kriminelle und andere Angreifer verstärkt damit beginnen, nach verwundbaren Systemen zu suchen, um dort ungepatchte Systeme gezielt angehen zu können.“

Weitere Informationen zum Thema:

G DATA Blog, Tim Berghoff, 14.04.2021
Microsoft Exchange: Neue Sicherheitslücken entdeckt und geschlossen

datensicherheit.de, 15.03.2021
Microsoft Exchange Server: Gefährdete Server und Patching-Tempo ermittelt / Palo Alto Networks bietet Expanse-Plattform zur Analyse von Angriffsflächen wie aktuell Microsoft Exchange Server an

datensicherheit.de, 12.03.2021
Microsoft Exchange Server: Zeitleiste der Cyber-Vorfalls rekonstruiert / Zehntausende anfälliger Exchange-Server innerhalb von drei Tagen gepatcht

datensicherheit.de, 11.03.2021
Microsoft Exchange: Vermehrt Datenpannen-Meldungen in Rheinland-Pfalz / Dutzend Nachfragen sowie Meldungen von Verletzungen des Schutzes personenbezogener Daten

datensicherheit.de, 08.03.2021
Erfolgreicher Angriff: Mehr als zehntausend lokale Microsoft Exchange Server betroffen / Exchange Online Service nicht betroffen – Thomas Jupe kommentiert Vorfall und gibt Tipps

datensicherheit.de, 03.03.2021
Microsoft Exchange: Zero-Day-Lücken ermöglichen Industriespionage / Lokal installierte Versionen von Microsoft Exchange betroffen

[datensicherheit.de, 03.03.2021] Microsoft habe am Abend des 2. März 2021 Notfall-Patches für insgesamt vier bisher ungepatchte Sicherheitslücken in „Microsoft Exchange“ veröffentlicht. Diese Lücken würden derzeit von staatlichen Akteuren aktiv ausgenutzt.

Foto: G DATA

Tim Berghoff: Überstunden für IT-Admins!

Bereitgestellte Updates für Microsoft Exchange unverzüglich installieren!

G DATA warnt aktuell: Vier Zero-Day-Sicherheitslücken in lokal installierten Versionen von „Microsoft Exchange“ ermöglichten sowohl eine Authentisierung ohne Nutzerdaten, das Schreiben und Ausführen von beliebigem Code als auch die Ausleitung von Unternehmensdaten. Angreifer könnten sogar ganze Offline-Adressbücher und Mailboxen exfiltrieren.
Daher rate Microsoft, die bereitgestellten Updates unverzüglich zu installieren: Alle vier Zero-Day-Lücken hätten eine CVE zugewiesen bekommen (CVE-2021-26855,CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065). Betroffen seien lokale Installationen von „Microsoft Exchange“. Die Online-Versionen sind demnach von den Lücken „nach derzeitigen Erkenntnissen nicht betroffen“.

Gruppe „Hafnium“ nutzt Lücken in Microsoft Exchange derzeit aktiv

Es gebe eindeutige Anzeichen dafür, dass eine Gruppierung namens „Hafnium“ diese Lücken derzeit „aktiv nutzt“. Experten zufolge operiere diese Gruppe aus dem asiatischen Raum und im Auftrag einer Regierung.
„Auch wenn Unternehmen vermehrt Chat-Plattformen wie ,MS-Teams‘, ,Slack‘ oder andere nutzen, sind Mailserver nach wie vor das Herzstück vieler Unternehmen. Hier liegen extrem viele unternehmenskritische Daten“, erläutert Tim Berghoff, „Security Evangelist“ bei G DATA.
Notfall-Patches von Microsoft bedeuteten in der Regel vor allem eins: „Überstunden für IT-Admins“. Dass Angreifer die Sicherheitslücke bereits aktiv ausnutzten, zeige, wie wichtig zeitnahes Handeln in diesem Fall sei.

Angreifer geben sich als Microsoft Exchange-Server aus

Angreifer, welche die Lücken ausnutzen, gäben sich – vereinfacht gesagt – als „Exchange“-Server aus. Dadurch sei es möglich, die Zugänge zu kompromittieren, ohne selbst Kenntnis von Passwörtern zu haben. „Damit ist ein direkter Einblick in das Postfach des jeweiligen Nutzers möglich.“ Schon diese Sicherheitslücke allein wäre hochgradig kritisch.
Die übrigen Lücken würden unter anderem dafür genutzt, sogenannten Webshells auf dem Server einzurichten. Über diese könnten Angreifer dann jederzeit von außen auf Informationen zugreifen. Es gelte als gesichert, dass die Gruppierung hinter „Hafnium“ vor allem Forschungseinrichtungen (speziell solche, die in der Erforschung ansteckender Krankheiten aktiv seien), NGOs und Zulieferunternehmen für die Rüstungsindustrie ins Visier nehme.
„APT-Gruppen wie ,Hafnium‘ setzen in der Regel nicht auf kurzfristige und sichtbare Angriffe wie Ransomware – sondern versuchen über Zeit möglichst viele vertrauliche Daten zu sammeln. Fokus der Aktivitäten dürfte also in der Regel Industriespionage sein und nicht die klassische Verwertungskette organisierter Cybercrime-Gangs“, so Berghoff.

Täter haben bereits ganze Postfächer in Form der lokal gespeicherten Archivdatei von Microsoft Exchange ausgeleitet

Da die Täter auch bereits ganze Postfächer in Form der lokal gespeicherten Archivdatei ausgeleitet hätten, könne man die Kritikalität der entdeckten Sicherheitslücken nicht hoch genug bewerten. Es gebe jedoch eindeutige Anzeichen, „anhand derer sich klar erkennen lasse, ob sich derzeit jemand mit Hilfe dieser Kombination aus Zero-Day-Lücken Zugriff auf Unternehmensdaten verschafft hat“.
Eines dieser Anzeichen sei recht typisch für die Ausleitung von Daten. Beispielsweise speicherten die Täter Kopien der lokalen „Outlook“-Datei in einem ZIP-Archiv, welches in „%ProgramData%“ abgelegt werde. Ein regelmäßiger Blick könne sich also an dieser Stelle lohnen.
Typischerweise bereiteten die Täter die Ausleitung von Daten vor, indem sie die erbeuteten Informationen an einer Stelle sammelten und von dort aus dann nach außen sendeten. Im Falle von „Hafnium“ sei ein öffentlicher Online-Filesharing-Dienst namens „Mega“ verwendet wordem. Ein ebenfalls oft beobachtetes Anzeichen für verdächtige Aktivitäten in diesem Zusammenhang: „Prozess-Dumps, die in bestimmten Verzeichnissen wie c:\windows\temp abgelegt sind.“

Hinweise auf Ausnutzung von Microsoft Exchange durch „Hafnium“

Auf der Microsoft-Website sei eine sehr ausführliche Auflistung von Merkmalen und Kenndaten zu finden, die auf eine Ausnutzung durch „Hafnium“ hindeuteten.
Berghoff: „Darunter befinden sich bestimmte Aktivitäten, die sich in Log-Dateien wiederfinden. Ein Beispiel dafür wäre das automatisierte Herunterladen zusätzlicher Werkzeuge aus einem öffentlichen ,Github‘-Repository.“

Weitere Informationen zum Thema:

datensicherheit.de, 14.02.2021
Zerologon: Microsoft schloss kritische Schwachstelle

Microsoft, 02.03.2021
HAFNIUM targeting Exchange Servers with 0-day exploits

[datensicherheit.de, 28.01.2021] Der „Takedown“ des „Emotet“-Botnetzes sei ein „empfindlicher Schlag gegen Cybercrime“ – indes wohl nur eine „Verschnaufpause für Unternehmen“. Daher sollten Unternehmen die nun so gewonnene Zeit nutzen und ihre Sicherheitsstrategie überprüfen, empfiehlt Tim Berghoff, „Security Evangelist“ bei G DATA.

Foto: G DATA

Tim Berghoff: Gratulation an das BKA, die ZIT und alle Beteiligten zu der sehr erfolgreichen Operation!

Neu-Infektionen mit Emotet – der Allzweckwaffe des Cybercrime – vorerst unterbunden

In einer koordinierten Aktion nationaler und internationaler Ermittlungsbehörden sei das international operierende Botnetz hinter der „Emotet“-Malware zerschlagen worden. Damit sei die Infrastruktur hinter „der Allzweckwaffe des Cybercrime“ nicht mehr funktional – und Unternehmen vorerst vor einer Infektion durch „Emotet“ geschützt.
Bereits erfolgte Infektionen seien aber auch nach der erfolgreichen Aktion nicht bereinigt: „Wer eine Warnung durch das BSI erhalten hat, sollte diese nach wie vor ernstnehmen.“
Berghoff betont: „Wir gratulieren dem BKA, der ZIT und allen Beteiligten zu der sehr erfolgreichen Operation. Die Welt ist durch diese Aktion ein Stück sicherer geworden. Die IT-Sicherheitslage bleibt zwar angespannt, aber allen IT-Verantwortlichen in Unternehmen dürfte ein Stein vom Herzen fallen.“

Wiederaufbau der Emotet-Infrastruktur möglich – wird aber Zeit und Geld kosten

Es sei nicht auszuschließen, dass die Gruppen hinter „Emotet“ das Netzwerk in den kommenden Monaten oder Jahren wiederaufbauen würden – doch dies werde viel Zeit und Geld kosten. „Diese Zeit sollten Unternehmen nutzen, ihre eigene IT-Sicherheitsstrategie zu überprüfen und gegebenenfalls anzupassen“, rät Berghoff.
„Emotet“ sei als „Allzweckwaffe des Cybercrime“ die mit Abstand gefährlichste Bedrohung für Unternehmen. Im vergangenen Jahr, 2020, hätten die Experten von G DATA über 800.000 Samples dieser Schadsoftware identifiziert.
„Emotet“ fungiere quasi als Türöffner und lade nach einer erfolgreichen Infektion des Systems weiteren Schadcode nach. Dabei handele es sich meist um Verschlüsselungstrojaner wie „Ryuk“ oder „Trickbot“. G DATA CyberDefense beobachtet „Emotet“ nach eigenen Angaben seit vielen Jahren „rund um die Uhr“, um Kunden bestmöglich vor dieser Gefahr zu schützen. Die G DATA Gruppe stelle ihre Fähigkeiten im Bereich Malware-Analyse und IT-Forensik regelmäßig auch Ermittlungsbehörden und betroffenen Unternehmen zur Verfügung.

Weitere Informationen zum Thema:

datensicherheit.de, 22.10.2020
Emotet: Varianten ohne Ende

[datensicherheit.de, 17.01.2021] Nach aktuellen Erkenntnissen der G DATA CyberDefense AG richtet sich derzeit eine Malware-Kampagne gegen Nutzer aus Deutschland. Dabei kämen mit „Kronos“ und „Gootkit“ zwei altbekannte Schadprogramme erneut zum Zuge – verbreitet werde die Schadsoftware über manipulierte Suchmaschinen-Ergebnisse. G-DATA-Kunden seien durch verschiedene proaktive Technologien wie „BEAST“ und „DeepRay“ geschützt.

Foto: G Data

Tim Berghoff: „Gootkit“ und „Kronos“ bekannt, jedoch kein „Schnee von gestern“

Seit 14. Januar 2021 erste Malware-Welle

Bereits am 14. Januar 2021 habe die aktuelle Welle zu rollen begonnen: „Besonders Nutzer aus Deutschland scheinen im Fokus der Angreifer zu stehen. Für eine breitgefächerte Verteilung sorgten zahlreiche kompromittierte Internetseiten.“ Dabei werde eines von zwei Schadprogrammen installiert – entweder „Gootkit“ oder „Kronos“. Bei beiden handele es sich um Banking-Trojaner.
Diese seien alles Andere als „Schnee von gestern“, betont Tim Berghoff, „Security Evangelist“ bei G DATA CyberDefense. „Die Verteilung von Schadprogrammen über manipulierte Suchergebnisse beweist einmal mehr, dass das Alter einer Angriffsmethode nicht bedeutet, dass sie obsolet ist.“

In der Registry versteckter „Gozi“ lädt Malware

Beide Schadprogramme würden mit einem sogenannten Loader auf ein System gebracht, welcher unter dem Namen „Gozi“ bekannt ist. Auch dieser Loader sei ein „alter Bekannter“ – früher sei mit diesem auch bereits eine andere Ransomware namens „Sodinokibi“ verteilt worden.
Was den „Gozi“-Loader besonders mache, sei nicht nur, „dass dieser aktuell mit ,Kronos‘ eine andere Schadsoftware als üblich verteilt“. Dieser Loader verstecke sich auch besonders gut vor dem Zugriff durch Schutzprogramme, indem der gesamte Schadcode nicht als Datei auf dem PC abgelegt, sondern in der Systemdatenbank – der „Registry“ – gespeichert werde.

Vergiftete Suchmaschinen verbreiten Malware

Durch die Manipulation von Suchmaschinen-Ergebnissen rutschten die kompromittierten Webseiten etwa auch in der Google-Suche nach oben und würden daher öfter angeklickt. Diese Manipulation finde unter anderem durch die Einbettung von Schlüsselwörtern und durch Verlinkung mit anderen Webseiten statt.
Für Suchmaschinen bedeuteten relevante Schlüsselwörter und dichte Verlinkung, dass die jeweilige Seite relevant sei und platziere sie daher höher in der Trefferliste. Das Ergebnis seien noch mehr Infektionen. Diese Technik nenne sich „Search Engine Poisoning“ (auf Deutsch: „Suchmaschinen-Vergiftung“). „Diese positioniert die Seiten höher in der Trefferliste, wohingegen die legitimen Webseiten, die unter normalen Umständen eher angeklickt werden, weiter nach unten rutschen.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2020
EMA-Hack: Gezielter Cyber-Angriff auf das Herz unserer KRITIS