Bewerbungsmail mit Schadsoftware

Vorsicht beim Öffnen von Bewerbungen per Mail im Betrieb: Bereits im Jahr 2018 gab es diverse Warnungen vor Mails, die wie übliche Bewerbungs-Mails aussehen. Heute erhielt ich auf gleich mehreren Mailadressen eine gleichlautende Mail, mit der man sich für eine angebliche Stellenausschreibung bewirbt. Schon von den Mailadressen her passte es nicht, losgelöst davon, dass wir nichts ausgeschrieben haben in der Kanzlei

Angebliche Bewerbung per Mail
“Bewerbungsmail mit Schadsoftware” weiterlesen

Was ist ein sicheres Passwort?

Aus meiner Sicht ist es sinnvoller, zu fragen, wie ein unsicheres Passwort aussieht, da ansonsten etwas utopisches avisiert wird: Absolute Sicherheit. Tatsächlich gibt es einige Faktoren, die unsichere Passwörter ausmachen bzw. Unsicherheitsfaktoren darstellen:

  • Passwortlänge: Je kürzer ein Passwort ist, umso unsicherer ist es schon alleine, weil Brute-Force-Angriffe umso leichter werden. Das BSI rät zu jedenfalls 8 Zeichen bei Internet-Passwörtern, während bei Geräten wie WLAN-Routern zu jedenfalls 20 Zeichen geraten wird.
  • Zeichen: Nutzen Sie jedenfalls Buchstaben sowohl gross- wie kleingeschrieben, wenigstens ein Sonderzeichen (Ausrufezeichen, Fragezeichen, Klammeraffe) und wenigstens eine Ziffer.
  • Keine allgemeinen Bezeichnungen: Verwenden Sie keine allgemeinen Begriffe die man in einem Duden findet, keine Zeichen- oder Zahlenketten die eingängig sind und auch keines der bekannten unsicheren Passwörter. Verwenden Sie all dies auch nicht “nur” als Bestandteil Ihres Passworts, vor allem nicht, in dem Sie dann einfach ein simples Sonderzeichen dran hängen.
  • Keine persönlichen Bezeichnungen: Vermeiden Sie persönliche Daten wie Geburtsdaten von Familienmitgliedern, Hochzeitsdatum, Vornamen, Nachnamen, Hausnummern, Postleitzahlen etc. Verwenden Sie all auch hier all dies nicht “nur” als Bestandteil Ihres Passworts, vor allem nicht, in dem Sie dann einfach ein simples Sonderzeichen dran hängen.
  • Passwort-Manager verwenden: Mit einer allgemeinen Empfehlung diesbezüglich tue ich mich schwer. Zentral in einem Passwortmanager alle Passwörter zu sichern ermöglicht hochkomplexe Passwörter, schafft aber eine zentrale Angriffsstelle. Hier kann man Kritik üben, man muss es aber nicht. Dabei sollte man auch wissen, dass die Stiftung Warentest im Jahr 2017 bei einem Test von Passwort-Managern ebenfalls teilweise Kritikpunkte gefunden hatte.
  • Kein unverschlüsseltes Speichern: Wenn Sie sich Passwörter notieren, tun Sie dies nicht unverschlüsselt. Also nicht am Schreibtisch unter der Auflage “versteckt”, nicht im Notizbuch, nicht in einer unverschlüsselten Text-Datei oder Cloud-Notiz.
  • Passwort regelmäßig ändern: Aus meiner Sicht vollkommen überholt ist der Ratschlag, das Passwort regelmäßig zwingend zu ändern. Berechtigt ist hier die Kritik dahin gehend, dass gerade der Zwang regelmässig ggfs. kurzfristig zu wechseln dazu führt, erst recht einfache Passwörter zu verwenden.

Dazu auch von mir: Vorsorge zur Vermeidung eines Hacker-Angriffs

“Was ist ein sicheres Passwort?” weiterlesen

Kommentar: Der Gesetzgeber wacht beim Cybercrime auf – er ist selber betroffen

Nach dem Bekanntwerden der Veröffentlichung von persönlichen Daten von Politikern und Prominenten ist nun die Aufregung groß – da lese ich zum Beispiel in der Süddeutschen Zeitung von einem Politiker:

Grünen-Chef Robert Habeck forderte eine bessere Ausrüstung und Ausbildung der Polizei für solche Delikte. Man brauche eine “Cyber-Polizei”, sagte er am Montag im ARD-“Morgenmagazin”. “Die Polizei muss ertüchtigt werden, solche Leute zu fassen.”

SZ-Online, 7. Januar 2019, 06:25 Uhr, Hackerangriff

“Ach!?” ist das erste was mir einfällt wenn ich diese Zeilen lese: Da schimpfen Ermittler und Anwälte gleichermaßen über die schlechte Ausstattung der Behörden und Justiz in diesem Bereich, aber kaum ist ein Politiker mit wohl eher nicht so spannenden Daten betroffen, da wacht man dann auf. Jahrelang stehe ich bereits Menschen bei, die sich gegen Stalking, Telefon-Terror, Facebook-Beleidigungen, Fake-Rezensionen und digitale Bloßstellungen wehren bei einem letztlich dann in Schlagkraft und vor allem Reaktions-Geschwindigkeit doch eher überschaubaren juristischen Maßnahmenkatalog. Aber kaum sind Parlamentarier betroffen, da rotiert die Maschine.

“Kommentar: Der Gesetzgeber wacht beim Cybercrime auf – er ist selber betroffen” weiterlesen

Bitkom zum Thema Cybersicherheit 2018

Bei Bitkom finden sich einige Pressemeldungen zum Thema Cybersicherheit – und der Tatsache, dass gerade KMU dieses hochbrisante Thema (ebenso wie die Politik) verschlafen. So weist der Bitkom in einer Pressemitteilung auf die Häufigkeit von Angriffen hin:

Deutsche Industrieunternehmen sind beliebte Ziele für Sabotage, Datendiebstahl oder Wirtschaftsspionage. Vor allem die Chemie- und Pharmabranche trifft solche Attacken hart: Drei von vier Chemie- und Pharmaunternehmen (74 Prozent) wurden in den vergangenen zwei Jahren Opfer, weitere 22 Prozent waren vermutlich betroffen. Das ist das Ergebnis einer Studie des Digitalverbands Bitkom (…) Aber auch der Maschinen- und Anlagenbau (67 Prozent) sowie die Hersteller von Kommunikations- und Elektrotechnik (63 Prozent) sahen sich in den Jahren 2016 und 2017 einer Vielzahl an Attacken ausgesetzt. (…) Insgesamt ist der Industrie durch Sabotage, Datendiebstahl oder Spionage in den vergangenen zwei Jahren ein Gesamtschaden von 43,4 Milliarden Euro entstanden. Sieben von zehn Industrieunternehmen (68 Prozent) sind in diesem Zeitraum Opfer geworden, jedes fünfte Unternehmen (19 Prozent) vermutet dies zudem.

Bitkom Pressemitteilung vom 30.11.2018

Dabei wurde im Oktober 2018 die “Wirtschaftsschutzstudie 2018” vom Bitkom veröffentlicht, die frei zum Download steht. Zwar ist es für mich so, dass diese aus meiner Sicht einerseits Fortschritte zeigt, aber insgesamt doch nahe legt, dass gerade im breiten Bereich der KMU die Thematik untergeht. Während Großunternehmen sich zunehmend um die Problematik kümmern werden kleinere Unternehmen hier – so mein Eindruck – durchaus abgehängt.

“Bitkom zum Thema Cybersicherheit 2018” weiterlesen

LDI NRW: Technische Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand

Die Landesdatenschutzbeauftragte NRW hat sich zur Frage geäußert, wie aus dortiger Sicht die Datenschutz-Grundverordnung (DS-GVO) in Bezug auf den unverschlüsselten Versand von E-Mails zu interpretieren ist.

“LDI NRW: Technische Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand” weiterlesen

Cybercrime: Wie schütze ich mich vor einem Hackerangriff?

Bevor man sich damit beschäftigen muss, wie man mit einem Hack-Angriff umgeht, ist es sinnvoller über die Vorsorge nachzudenken – also zu verhindern, dass überhaupt ein erfolgreicher Angriff auftritt. Dies ist inzwischen sogar Pflicht, mit dem IT-Sicherheitsgesetz sind Sie verpflichtet, zumindest grundsätzliche Sicherheitsaufgaben zu erledigen. Das bedeutet in aller Kürze: Werksseitig vorhandene Passwörter müssen verändert werden, Softwareupdates zeitnah eingespielt werden und Zugangshürden zur Infrastruktur, die man selber einrichten kann, aktiviert werden.

Zum Thema Cyberangriff weitere Artikel von mir:

“Cybercrime: Wie schütze ich mich vor einem Hackerangriff?” weiterlesen

Rechnungsbetrug

Beim Rechnungsbetrug geht es darum, dass auf irgendeinem Weg eine Rechnung am Ende im Raum steht, die seriös aussieht, die aber betrügerisch ist. Im einfachsten Fall geht es um eine nur scheinbar bestellte Dienstleistung und einen Dritten, der eine Geschäftsbeziehung schlicht vorgaukelt.

Wesentlich komplexer ist der Rechnungsbetrug im eigentlichen Sinne: Hier wird – etwa durch Social Engineering oder CEO-Fraud – ermittelt, welche Geschäftsbeziehungen bestehen. Dann wird, etwa per Mail oder durch gefälschte Rechnungen, der Eindruck erweckt, die Bankverbindung des Geschäftspartners hat sich verändert und es wird zur Zahlung auf ein neues Konto aufgefordert.

Hinweis: Erschreckend oft funktioniert diese Masche, auch bei ganz erheblichen Summen! In diesem Bereich habe ich Fälle vertreten, wo sich ein erschreckend naiver Umgang zeigte, etwa in dem kurzerhand per Mail mitgeteilte Bankverbindungen schlicht übernommen wurden.

“Rechnungsbetrug” weiterlesen

Darknet-Verkäufer bei fingierter Übergabe festgenommen

Ich habe einen längeren Beitrag zur Thematik Darknet und Ermittlungsverfahren im Darknet vor einiger Zeit verfasst, in dem ich auch etwas zum Entdeckungsrisiko geschrieben habe. Bei der Zentralstelle Cybercrime Bayern findet sich eine Pressemitteilung, die nochmals verdeutlich, dass gerade beim Warenverkauf die physische Übergabe der Ware einen erheblichen Ansatzpunkt für Ermittler bietet.

“Darknet-Verkäufer bei fingierter Übergabe festgenommen” weiterlesen

Notveräußerung von Bitcoins im Jahr 2018

Bei der Zentralstelle Cybercrime Bayern habe ich eine Pressemitteilung zur Notveräußerung von Bitcoins gefunden. Die Mitteilung ist hinsichtlich des Vorgehens interessant, daher übernehme ich sie im Folgenden.

Rechtlich ist darauf hinzuweisen, dass eine solche Notveräußerung im Sinne des §111p StPO immer in Betracht kommt, wenn beschlagnahmte Gegenstände einen erheblichen Wertverlust erleiden könnten. Ich kenne dies etwa aus BTM-Verfahren, wo zum Schmuggel genutzte KFZ auf diesem Wege noch vor der Hauptverhandlung veräußert wurden. Im vorliegenden Fall dürfte sich die Notveräußerung als gute Wahl dargestellt haben, wenn man sich vor Augen hält, wie sich der allgemeine Bitcoin-Kurs seit der Veräußerung Anfang 2018 entwickelt hat.

Was mit dem Geld geschieht steht erst am Ende fest, etwa wenn das Gericht eine Einziehung anordnet. Der Staat kann auch mit Teilen des Betrages hinsichtlich von Kosten die Aufrechnung erklären. Da inzwischen, nach der Reform der Vermögensabschöpfung im Strafrecht, auch die Einziehung von sämtlichen finanziellen Vorteilen der Tat im Raum steht ohne dass eventuelle Kosten bei der Bemessung berücksichtigt werden, stehen hier mitunter erhebliche Vermögensverluste im Raum.

“Notveräußerung von Bitcoins im Jahr 2018” weiterlesen

Cyberangriff: Was kann man als Opfer von Cybercrime nach einem Hackerangriff tun?

Was tun nach einem Cyberangriff: Aus meiner Sicht gibt es einige allgemeine Hinweise zu grundsätzlichen Verhaltensweisen nach einem Hack-Angriff, die sich an der ersten Frage ob es um einen Verbraucher oder ein Unternehmen geht, orientieren – insbesondere bei der Frage gegen wen man vorgeht. Tatsächlich muss ich immer wieder beobachten, dass gerade in den ersten entscheidenden Momenten im Hinblick auf spätere Aufklärung gravierende Fehler gemacht werden. Dies ist mit der eingetretenen Schocksituation zu erklären, die aber durch saubere Vorbereitung zumindest in Unternehmen durchaus verhindert werden kann.

Dabei greifen heute für Unternehmen die von Cybercrime betroffen sind empfindliche Entwicklungen ineinander: Auf der einen Seite wurde mit der Datenschutzgrundverordnung die Rechtslage verschärft, das IT-Sicherheitsgesetz schaffte deutliche Anforderungen an die IT-Sicherheit. Auf der anderen Seite sind Unternehmen kaum und grossteils unzureichend auf die Thematik IT-Sicherheit vorbereitet – und es müssen Datenbrüche gemeldet werden wobei Betroffene Schadensersatzansprüche haben, mit der DGSVO auch hinsichtlich Schmerzensgeld, was ganz erhebliche Folgekosten verursachen kann.

Zum Thema Cyberangriff weitere Artikel von mir:

“Cyberangriff: Was kann man als Opfer von Cybercrime nach einem Hackerangriff tun?” weiterlesen