Die beliebtesten Passwörter der Deutschen sind mal wieder „123456“ oder „Berlin“. Die knacken Cyberangreifer in weniger als einer Sekunde. Nehmt die Sache ernst und verwendet endlich sichere Passwörter,
Hacker sind wie Einbrecher: Sie nehmen sich die Objekte vor, bei denen es besonders einfach ist. Großbritannien verbietet jetzt schlichte Default-Passwörter in vernetzten Geräten.
Hintergrund: Viele Hersteller liefern ihre Geräte mit Standardpasswörtern wie „admin“ oder „12345“ an alle Kunden aus. Das stellt ein erhebliches Sicherheitsrisiko dar.
Default-Passwörter in ausgelieferter Hardware stellen aus mehreren Gründen ein großes Sicherheitsrisiko dar:
Es ist daher unerlässlich, dass Hersteller ihre Kunden prominent auf die Notwendigkeit einer sofortigen Passwortänderung hinweisen. Idealerweise sollten Geräte Nutzer bei Inbetriebnahme zu einer Änderung zwingen.
Machen die Hersteller aber nicht. Die Folge: Viel zu viele Geräte wie Router, WLAN-Access-Points, Haushaltsgeräte, Smart-TV oder Rauchmelder lassen sich von Hackern leicht knacken.
Rund 12.000 Attacke in einer Woche
Die meisten installieren Geräte oder stellen sie auf – und denken dann nieder daran. Die unbemerkten Angriffe auf die Geräte aus dem Netz realisiert niemand.
Die britische Verbraucherschutzorganisation „Which?“ hat bei einer einwöchigen Messung eines Test-Haushalts 12.000 Attacken auf Smarthome-Geräte gemessen. Ganze 2.500 Mal wurde dabei versucht, die zumeist schwachen Passwörter der Geräte zu „erraten“.
Die Angriffe sind real, der Widerstand der vernetzten Geräte niedrig. Viele Hersteller haben es sich und den Konsumenten in der Vergangenheit zu leicht gemacht: Sie haben ihre Geräte mit einem Standardpasswort wie „admin“, „passwort“ oder „12345“ ausgeliefert.
Das Passwort steht im Handbuch und die Geräte müssen nicht aufwändig mit unterschiedlichen Passwörtern konfiguriert ausgeliefert werden, die man auch noch dem Kunden mitteilen muss.
Standard-Passwort erhebliches Sicherheitsrisiko
Doch alle Geräte eines Herstellers oder Modells im Auslieferungszustand mit demselben Passwort auszustatten, ist ein enormes Sicherheitsrisiko.
Denn die meisten Kunden machen sich nicht die Mühe, das voreingestellte Passwort zu ändern. Warum auch: Das Gerät funktioniert schließlich – und ein Standardpasswort gaukelt Sicherheit vor.
Doch genau diese Praxis ist ein Leckerbissen für Hacker: Sie durchforsten mit Hilfe von automatisierten Scans rund um die Uhr das gesamte Netz nach aktiven Geräten – ob Router, Smart-TV oder Web-Cam – und übernehmen dann die Kontrolle. Denn wenn das Passwort bei nahezu allen Geräten identisch ist, bedarf das keinen großen Aufwand.
Hacker können viel zu leicht Kontrolle übernehmen
Die Folge: Hacker können sich in fremde Wohnzimmer einklinken, Gespräche belauschen, unbemerkt die Web-Cam aktivieren und Schlimmeres. Besonders gefährlich für die Allgemeinheit ist das Zusammenschließen von gekaperten Geräten in den Privathaushalten zu sogenannten „Botnets“, um damit in konzertierten Aktionen Server zu attackieren und lahmzulegen („DDoS-Attacke“). Teilweise mit enormem Schaden,
Aus diesem Grund verbietet die britische Regierung es den Herstellern jetzt, Geräte mit einfachen Standard-Passwörtern wie „admin“ oder „password“ auszuliefern. Ab sofort müssen erhöhte Sicherheitsstandards beachtet werden.
Weitere sinnvolle Maßnahme: Die Hersteller müssen angeben, wie lange sie ihre Geräte mindestens mit Sicherheits-Updates versorgen; etwa um entdeckte Sicherheitslücken in der Software der Geräte zu stopfen. Außerdem müssen die Hersteller den Kunden ermöglichen, Probleme und Sicherheitslücken zu melden.
Auch EU plant Maßnahmen – allerdings erst ab 2027
Die britische Regierung sei damit die weltweit erste, die solche Regeln umgesetzt hat, so das britische Parlament. Auch das Europaparlament hat sich im März dieses Jahres auf den „Cyber Resilience Act“ geeinigt, der ähnliche Sicherheitsanforderungen vorsieht. Solche Maßnahmen werden von IT-Sicherheitsexperten schon lange gefordert.
Allerdings bekommen Hersteller und Handel in der EU eine großzügige Übergangszeit: Geplant ist, dass die europäischen Regeln erst ab 2027 greifen.
Darauf sollte man aber nicht warten. Wer ein Gerät installiert und benutzt, das online geht, sollte darauf achten, gleich am Anfang das Standard-Passwort durch ein eigenes zu ersetzen. Das erschwert es Hackern, sich in die Geräte einzuklinken.
Es geht mal wieder im Sicherheit im Netz. Die Ergebnisse einer Studie des Unternehmens SoSafe zu Beginn dieses Jahres haben für Aufsehen gesorgt. Cyberkriminelle führen zunehmend erfolgreiche Ransomware-Angriffe gegen deutsche Unternehmen durch.
Cyberkriminelle sind variantenreich, wenn es darum geht, ihre Ransomware zu verteilen. So verschicken die Kriminellen beispielsweise mit einer Malware infizierte E-Mails an Mitarbeiter.
Sobald der Mitarbeiter auf den Link klickt, wird das System über die Schadprogramme komplett gesperrt, sodass das Unternehmen keinen Zugriff mehr hat. So funktioniert Ransomware in der Regel.
Bei 45 Prozent der auf diese Weise erfolgreich angegriffenen Unternehmen kommt es seitens der Cyberkriminellen zu einer Lösegeldforderung. Im Schnitt liegt diese mittlerweile pro Ransomware-Angriff bei durchschnittlich 4,54 Millionen US-Dollar!
Im europäischen Schnitt neigen deutsche und niederländische Unternehmen vermehrt dazu, diesen Forderungen nachzugeben.
Zukünftig wird die Anzahl der Angriffe durch den Einsatz von künstlicher Intelligenz sogar noch ansteigen. Der Einsatz von ChatGPT und anderen KI-Bots verspricht den Cyberkriminellen eine Zeitersparnis bei Phishing-Angriff (Einfallstor) von mindestens 40 Prozent.
Unternehmen sind gezwungen, zu reagieren!
Unternehmen, egal ob klein, mittel oder groß, müssen die Mitarbeiter sensibilisieren, Software per Patch-Management auf dem aktuellen Stand halten und die Passwortsicherheit erhöhen.
Auffällig bei den Lösegeldforderungen ist die von Cyberkriminellen bevorzugte Zahlungsmethode: Kryptowährungen. Warum eigentlich?
Im Jahr 2023 spülten Lösegelder über eine Milliarde Euro in die Kassen der Cyberkriminellen, wie aus dem Cyber Crime Report der Analysefirma Chainalysis hervorgeht.
Betroffen sind sowohl Unternehmen als auch einzelne Privatpersonen. Der Hauptfokus liegt jedoch hauptsächlich im Unternehmenssektor, da hier höhere Lösegeldforderungen möglich sind.
Jetzt stellt sich die Frage: Wie treiben die Cyberkriminellen eigentlich die Lösegelder ein? Wer jetzt an einen Hollywood-Blockbuster denkt, bei dem ein Mitarbeiter des Unternehmens eine Tüte voller Bargeld im Mülleimer deponiert, irrt gewaltig. So etwas gibt es im Kino oder in der Realität vielleicht vor 50 Jahren.
Eine Überweisung per Bankkonto, Paypal oder eine Einzahlung auf eine Prepaid-Kreditkarte wäre eine Option. Hierbei muss jedoch einer der Cyberkriminellen ein Konto eröffnen, seine persönlichen Daten preisgeben und seinen Personalausweis vorlegen. Es würde also nur eine Frage der Zeit sein, bis die Polizei an der Tür klopft.
Kriminelle tüftelten auch hierzu eine Strategie aus. Sie ließen Bankkonten auf fremden Namen eröffnen. Hierzu veröffentlichten sie Jobangebote im Homeoffice auf Plattformen wie Kleinanzeigen (ehemals Ebay-Kleinanzeigen). Sie lockten die Bewerber mit attraktiven Gehältern, die Aufgabe war einzig, Bankkonten im eigenen Namen zu eröffnen. Diese Masche funktionierte jedoch nur für eine gewisse Zeit.
So hat es nicht lange gedauert, bis Kryptowährungen in den Fokus von Cyberkriminellen rutschten. Diese digitalen Währungen sind dezentralisiert und nicht abhängig von Bundesbanken oder dem Staat.
Die finanziellen Transaktionen (Wallet-to-Wallet) finden komplett anonym statt!
In der Lösegeldforderung nennen die Cyberkriminellen den aus 26 bis 35 alphanumerischen Zeichen bestehenden (Public Key) der Wallet – keine Namen, keine Bankdaten. Auf diese Wallet senden die Unternehmen Lösegeld, ohne zu wissen, wem diese Wallet gehört.
Für Strafverfolgungsbehörden stellt die Anonymität der Täter hinter den Cyberangriffen eine erhebliche Herausforderung dar.
Obwohl jede Transaktion in der Blockchain – einem öffentlichen Ledger, das alle Transaktionen aufzeichnet – vermerkt wird, ist die Rückverfolgung dieser Transaktionen zu realen Personen ohne zusätzliche Informationen schwierig.
Cyberkriminelle nutzen diese Anonymität aus, um Lösegeldforderungen zu stellen, wohl wissend, dass die digitale Spur, die sie hinterlassen, verwischt und schwer zu verfolgen ist
Hochzeit, Party, lange Autofahrt: Den Musikgeschmack abzustimmen und mehrere Teilnehmer zufriedenzustellen, kann eine Herausforderung sein. Entweder kalkuliert ihr Meckerei ein, oder ihr erstellt einfach online eine gemeinsame Playlist!
Der Druck aus der US-Politik nimmt zu, dass die großen Plattformen deutlich mehr für den Jugendschutz tun. Der Meta-Konzern hat jetzt Verbesserungen bei der Verbreitung von Nacktbildern angekündigt. Die sollen künftig standardmäßig geblurt sein.
Instagram hat sich in den letzten Jahren zu einer der beliebtesten Social-Media-Plattformen entwickelt, insbesondere bei Jugendlichen und jungen Erwachsenen. Doch die Plattform birgt auch einige Risiken, vor allem für die jüngeren Nutzer. Die Diskussion um angemessenen Jugendschutz auf Instagram hat daher stark an Fahrt aufgenommen.
Eine der Hauptsorgen ist der potenzielle Zugang zu unangemessenen oder schädlichen Inhalten wie Gewalt, Mobbing, übermäßiger Sexualisierung oder der Förderung ungesunder Körperbilder. Jugendliche befinden sich in einer sensiblen Phase der Entwicklung und sind besonders anfällig für negative Einflüsse.
Die Probleme von Sextortion, Sexting und Cybergrooming sind bei Instagram besonders virulent.
Sextortion bezeichnet die Erpressung mit intimen Bildern oder Videos, oft nach dem ungewollten Teilen selbiger durch das Opfer.
Beim Sexting, dem Austausch anzüglicher Nachrichten und Fotos, besteht die Gefahr der Weiterverbreitung ohne Einwilligung.
Cybergrooming meint die gezielte Kontaktaufnahme durch Erwachsene zu Minderjährigen mit dem Ziel der sexuellen Ausbeutung.
Instagram ist hier ein bevorzugter Tummelplatz für Täter. All diese Praktiken können für Jugendliche auf der Plattform verheerende psychische und rechtliche Folgen haben. Präventionsmaßnahmen zur Sensibilisierung und Aufklärung der Gefahren sind daher unerlässlich – wurden aber bislang sträflich vernachlässigt.
Meta kündigt Nacktbild-Filter an
Der Meta-Konzern, der Instagram betreibt, hat sich als Maßnahme – nicht zuletzt aufgrund zunehmenden Drucks aus der US-Politik – nun dazu entschlossen, einige zusätzliche Sicherheitsfunktionen für Minderjährige einzuführen und diese in einem offiziellen Blogpost angekündigt.
Geplant ist, dass beim Senden und Empfangen von Nacktbildern künftig Warnhinweise erscheinen sollen. Außerdem – und das ist viel wichtiger – will Instagram Nacktbilder in Direktnachrichten bei Minderjährigen automatisch durch einen Unschärfefilter („Blur“) unkenntlich machen.
Unschärfefilter macht Nacktbilder unkenntlich
Empfänger solcher „Nachrichten“ sollen künftig die Wahl haben, ob sie ein solches Bild sehen möchten oder nicht, erklärt die zuständige Abteilung des Meta-Konzerns in Frankreich, die im Konzern für den Kinderschutz zuständig ist. Demnach sollen junge Menschen mit den neuen Maßnahmen vor „ungewolltem und potenziell gefährlichem Kontakten“ bewahrt werden.
Die Maßnahmen gegen unerwünschte Nacktbilder sollen bereits vor dem Versenden greifen. Falls jemand mit aktivierten Nacktbildschutz plant, ein solches Foto zu versenden, erscheint bereits ein Warnhinweis. Erst nach Bestätigung wird das Bild tatsächlich verschickt. Beim Empfänger erscheint das Bild dann durch Filter unscharf. Auf diese Weise soll niemand ungewollt mit solchen Aufnahmen konfrontiert werden.
Eine Hürde, keine Blockade
Die Empfänger können das Bild nach ausdrücklicher Bestätigung anschauen oder den sendenden Account direkt und konsequent blockieren. Außerdem erscheint ein ebenfalls ein Warnhinweis, sollte jemand versuchen, ein empfangenes Nacktbild weiterzuleiten.
Das alles ist eine Hürde, keine Blockade.
Im Vordergrund der Maßnahmen stehe der bessere Schutz vor sogenannter „Sextortion“, erklärt Meta. Hier bringen die Täter die zumeist minderjährigen Opfer durch Vorspiegelung falscher Tatsachen und psychologische Tricks dazu, Nacktbilder oder sogar -videos von sich zu erstellen und ihnen über die Plattform zu senden. Ist das erst mal geschehen, drohen die Täter häufig mit der Veröffentlichung des Materials.
Kontrolle erfolgt auf den Geräten selbst
Da Instagram seit Mai 2023 die direkte Kommunikation auf der Plattform durch eine Ende-zu-Ende-Verschlüsselung absichert, kann Meta die Inhalte nicht sehen und auch nicht überprüfen. Deshalb erfolgt die Überprüfung auf den Geräten von Absender und Empfänger. Die nötige Analyse ob nackt oder nicht erfolgt auf den Geräten selbst durch eine KI-Funktion.
Die neue Schutzfunktion soll zunächst in mehreren Ländern in Mittel- und Lateinamerika getestet werden und in den kommenden Monaten weltweit zum Einsatz kommen.
Konzern steht unter Druck
Der Meta-Konzern steht unter Druck: Whistleblowerin Frances Haugen, die früher bei Facebook gearbeitet hat, wirft dem Konzern vor, bei weitem nicht genug für Jugendschutz getan zu haben.
Facebook priorisiere Profit über das Wohlergehen der Jugendlichen. Interne Studien hätten gezeigt, dass Instagram der mentalen Gesundheit von Teenagern schade, das Unternehmen habe aber trotzdem nicht ausreichend reagiert. Seitdem hat insbesondere die US-Politik den Druck auf den Konzern verstärkt.
Bereits im Januar hatte Meta einen verstärkten Jugendschutz auf Instagram angekündigt. Jugendliche müssen seitdem die Zustimmung der Eltern einholen, um ein Konto von privat auf öffentlich zu setzen.
Es gibt wenige Momente, die eine solche Panik hervorrufen wie der vermeintliche Verlust der Geldbörse. Da diese immer kleiner werden, ist es schwer, die mit Ortungschips zu versehen. Da helfen die SlimTags!
Die Autokorrektur an eurem Smartphone soll euch helfen: Die Tasten sind klein, eure Finger groß, schnell schleichen sich Tippfehler ein. Lustig die einen, peinlich die anderen. Die Autokorrektur macht dies nur manchmal besser!
Ihr habt ein Dokument in Word erstellt, aber nicht gespeichert. Oder der Rechner ist abgestürzt, der Akku des Notebooks war leer, kurz: Das Dokument ist weg. Oft ist nicht unwiederbringlich verloren, sondern lässt sich – zumindest teilweise – wiederherstellen. Wir zeigen euch, wie das geht.
Der aktuelle Fall mit den von Prinzessin Kate veröffentlichten Fotos macht plötzlich vielen Menschen klar: Selbst Laien können heute mit Photoshop Fotos bearbeiten und dank KI wundersame Dinge anrichten. Ein Grund, mal auf die grundsätzlichen Fähigkeiten der KI-Fotobearbeitung von heute zu schauen.
Alle Messenger-Dienste bieten die Möglichkeit der Gruppenchats: Statt wie sonst im trauten 1:1 mit einem einzelnen Gesprächspartner zu sprechen, sammeln sich mehrere Benutzer und sprechen gemeinsam. Schön, aber nicht immer risikolos!
