Kategorien
Linknews Cybercrime & Cybersecurity

Cybercrime & Cybersecurity Linknews #5

Wieder einmal aktuelles aus der Welt der Cybersicherheit, Anfang März 2020.

  1. Hacker kompromittieren die E-Mail-Konten von T-Mobile-Mitarbeitern und stehlen Benutzerdaten; Betroffen sind  Informationen sowohl über Mitarbeiter als auch über Kunden: https://thehackernews.com/2020/03/hackers-compromise-t-mobile-employees.html
  2. Lücke in virtuellen Kreditkarten via #Paypal ermöglichte bei #Google-Pay Abbuchungen: https://www.heise.de/security/meldung/Google-Pay-Luecke-in-virtuellen-Kreditkarten-erlaubt-unberechtigte-Abbuchungen-4667527.html
  3. Digitale Erpressung ist der neue Goldesel der Crimeware-Szene berichtet Heise – #Ransomware als eigener Wirtschaftsfaktor: https://www.heise.de/security/meldung/FBI-Ransomware-Opfer-zahlten-ueber-140-Millionen-4675780.html
  4. Still ist es geworden um #Citrix – eine aktuelle Meldung aus Australien zu einer gehackten Militärbehörde soll das Thema nochmals in Erinnerung rufen: https://www.zdnet.de/88377500/citrix-schwachstellen-australische-militaerbehoerde-berichtet-ueber-spionage/
  5. Digitale Sprachassistenten haben etwas von ihrem Hype verloren, sind aber umso mehr Teil des Alltags. Grund genug, die Thematik auch Sicherheitstechnisch in Erinnerung zu rufen – nicht seine digitalen Assistenten überall zugänglich herumliegen lassen: https://www.security-insider.de/neue-sicherheitsrisiken-durch-sprachassistenten-a-909854/
  6. Sicherheitsrisiken sind wichtige Faktoren bei IoT-Initiativen. Ein Kaspersky-Bericht zeigt sieben Schritte auf, die unternommen werden müssen, um einen IoT-gezielten Angriff zu verhindern: https://www.techrepublic.com/article/7-security-tips-for-iot-systems/
  7. Auch um die #Schadsoftware #Emotet ist es ruhig geworden – dabei ist sie weiterhin fleissig und aktiv, hier ein aktueller Beitrag um das Thema im Fokus zu halten: https://www.psw-group.de/blog/emotet-erkennen-massnahmen-gegen-trojaner/7415
  8. Weiterhin zu Emotet findet sich bei Heise ein äusserst umfangreicher Artikel zum Umgang mit und den Lehren aus Emotet (evt. kostenpflichtig): https://www.heise.de/ct/artikel/Was-Emotet-anrichtet-und-welche-Lehren-die-Opfer-daraus-ziehen-4665958.html?wt_mc=rss.red.security.security.atom.beitrag.beitrag
  9. Alarmierend: Nur drei von zehn Internetnutzern (31 Prozent) fühlen sich selbst in der Lage, Geräte wie Smartphone oder Computer ausreichend vor Angriffen durch Internetkriminelle zu schützen hat eine BITKOM-Umfrage ergeben: https://www.bitkom.org/Presse/Presseinformation/Nur-jeder-dritte-Internetnutzer-weiss-die-eigenen-Geraete-zu-sichern
  10. Ebenfalls eine alarmierende Erinnerung: Auch eigene Dienstleister können erhebliche Sicherheitslücken darstellen. Nun wird berichtet, dass eine Frau um fast 100.000 Euro betrogen wurde, nachdem ihr Anwalt gehackt wurde. Wie immer wurde per gefakter Mail ein anderes Bankkonto samt Überweisungsanforderung benannt: https://www.itgovernance.co.uk/blog/woman-scammed-out-of-95000-after-her-solicitor-was-hacked … einerseits eine Mahnung speziell für Anwälte, das Thema Datensicherheit auf dem Schirm zu haben. Ich kann aber auch berichten, dass dies hiesige Mandanten faktisch nie interessiert. Einen Wettbewerbsvorteil wegen der hier durchaus mit spürbaren Kosten verbundenen Sicherheitsmaßnahmen erlebe ich selber in dieser Form nicht.
  11. Eine neue Datenbank mit Informationen zu sogenannten Ausweichtechniken von #Malware-Familien soll IT-Sicherheitsabteilungen in ihrer Arbeit unterstützen berichtet Heise: https://www.heise.de/ix/meldung/Wissenssammlung-zu-Malware-Evasion-Techniken-soll-automatisierten-Tools-helfen-4673277.html
  12. #Erpressungstrojaner: Die kommunalen Spitzenverbände haben gemeinsam mit BKA und BSI Empfehlungen zum Umgang mit Lösegeldforderungen bei IT-Angriffen herausgegeben, so Heise: https://www.heise.de/newsticker/meldung/Erpressungstrojaner-Deutsche-Kommunen-sollen-kein-Loesegeld-zahlen-4676368.html und auch die FAZ berichtet dazu: https://www.faz.net/aktuell/wirtschaft/gefahr-von-cyberangriffen-kein-loesegeld-fuer-hacker-16662001.html
  13. #SSL: Bei Lets Encrypt gab es ein Sicherheits-Problem mit Zertifikaten, darum wurde ein erheblicher Teil zurückgerufen. Der Rat ist simpel: Einfach umgehend neue Zertifikate anfordern. Schneier berichtet zur Lücke unter https://www.schneier.com/blog/archives/2020/03/lets_encrypt_vu.html und Heise berichtet zu Zurückgerufenen Zertifikaten: https://www.heise.de/security/meldung/Let-s-Encrypt-hat-vorerst-doch-nur-1-7-Millionen-Zertifikate-zurueckgezogen-4676780.html
  14. Etwas #Cybersecurity-Boulevard: Der Dienst “Have I Been Pwned” ist schon geradezu legendär und solle zwischenzeitlich verkauft werden, daraus ist aber nix geworden und wird auch nix mehr werden: https://www.heise.de/security/meldung/Troy-Hunt-will-seinen-Pruefdienst-Have-I-Been-Pwned-nun-doch-behalten-4676778.html
  15. Unter dem Titel “Prävention ist die Cyberabwehr für Krankenhäuser” hat die EU-Agentur für Cybersicherheit (“ENISA”) einen Leitfaden für die Beschaffung von Cybersicherheit für Krankenhäuser veröffentlicht: https://www.enisa.europa.eu/news/enisa-news/prevention-is-the-cyberdefence-for-hospitals
  16. Eine Warnmeldung: #Fakeshop nutzt Hype um Coronavirus aus – es zeigen sich in der Tat viele Betrugsversuche rund um #Corona: https://www.polizei-praevention.de/aktuelles/fakeshop-nutzt-medienhype-um-corona-virus-aus.html
  17. Ein berechtigter Kommentar zur Cybersicherheit, der ebenso gut zum Datenschutzrecht passt: Es ist an der Zeit, das Spiel der Schuldzuweisungen zu beenden – Es gibt weit mehr Möglichkeiten, um hilfreich zu sein, als die Aufregung darum, was ein Unternehmen wahrscheinlich falsch gemacht hat: https://www.darkreading.com/cybersecurity-industry-its-time-to-stop-the-victim-blame-game/a/d-id/1337059
  18. #Cybersecurity und #Amazon: Wie man ein AWS Cloud-Bucket-Datenleck verhindert: Fehlkonfigurierte AWS-Buckets haben zu riesigen Datenverlusten geführt. Das Befolgen einer Handvoll von Praktiken aber kann dazu beitragen, dass Sie nicht die nächste Meldung werden: https://www.darkreading.com/application-security/database-security/how-to-prevent-an-aws-cloud-bucket-data-leak–/d/d-id/1337093
  19. 6 Wahrheiten über Desinformationskampagnen: #Desinformation geht weit über die bloße Beeinflussung von Wahlergebnissen hinaus. Einige Infos zum Orientieren und Umgang mit Fake-Kampagnen: https://www.darkreading.com/risk/6-truths-about-disinformation-campaigns-/d/d-id/1337199
  20. Die meisten Cyberangriffe im Jahr 2019 wurden ohne Malware durchgeführt: Wenn die “Malware-freie” Angriffsbahn fortgesetzt wird, könnte dies nach Ansicht der Experten von CrowdStrike und anderen Sicherheitsfirmen große Schwierigkeiten für die Verteidiger bedeuten – https://www.darkreading.com/threat-intelligence/most-cyberattacks-in-2019-were-waged-without-malware/d/d-id/1337239
  21. Vorfall der Woche: Cyber-Angriff auf Karnevalskreuzfahrtschiffe – https://www.cshub.com/attacks/articles/incident-of-the-week-carnival-cruise-lines-hit-by-cyber-attack
  22. Aktuelle und Erwähnenswerte Sicherheitslücken:

(a) Google Chrome: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen – https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2020/03/warnmeldung_tw-t20-0038.html

(b) Researchers discover attackers abusing the latest version of the remote desktop ActiveX control class introduced for Windows 10: https://www.darkreading.com/attacks-breaches/new-trickbot-delivery-method-focuses-on-windows-10/d/d-id/1337207

(c) Dell Computer: Mehrere Schwachstellen – https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2020/02/warnmeldung_tw-t20-0032.html

(d) D-LINK Router: Mehrere Schwachstellen ermöglichen Codeausführung – https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2020/02/warnmeldung_tw-t20-0034.html

(e) WPA2 Chipsätze: Schwachstelle ermöglicht Offenlegung von Netzwerkpaketen – https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2020/02/warnmeldung_tw-t20-0036.html (dazu auch die Meldung bei Schneier: https://www.schneier.com/blog/archives/2020/03/wi-fi_chip_vuln.html)

mm

Von Strafverteidiger & Fachanwalt für IT-Recht Jens Ferner

Ich habe mich als Strafverteidiger & Fachanwalt für IT-Recht fokussiert auf Rechtsfragen rund um Strafrecht, Technik & Arbeitsrecht: IT-Recht, IT-Vertragsrecht, Softwarerecht, künstliche Intelligenz, Datenschutzrecht, Medienrecht ebenso wie IT-Arbeitsrecht, IT-Strafrecht, digitales Werberecht & Urheberrecht. Ergänzend bin ich bei Ordnungswidrigkeiten und im Unternehmensstrafrecht tätig.

Meine juristische Expertise ergänze ich mit umfangreicher technischer Erfahrung als Programmierer & Linux-Systemadministrator inkl. Netzwerksicherheit, IT-Forensik & IT-Risikomanagement.