Einem IT-Experten ist es gelungen, das 20 Jahre alte Betriebssystem Windows 95 auf einer Smartwatch zum Leben zu erwecken: Auf einer Samsung Galaxy Gear ist das typische Windows-95-Logo zu sehen, das nach dem Bootvorgang auf dem Bildschirm erscheint. Das zeigt, wie leistungsfähig Smartwatches heute sind.
Die Eckdaten klingen alarmierend – und haben diese Woche Internetbenutzer in aller Welt aufgeschreckt. Eine amerikanische Sicherheitsfirma will einen Hackerring ausgehoben haben, der rund 1,2 Milliarden Datensätze mit Logindaten geklaut hat – und 500 Millionen E-Mail-Adressen gesammelt. Klingt so, als müsste praktisch jeder betroffen sein. Ensprechend groß war die Verunsicherung in den letzten Tagen, denn niemand kann wissen, ob auch er betroffen war oder nicht. Die Glaubwürdigkeit der Nachrichten ist mehr als zweifelhaft. (mehr …)
Die auf Cyberkriminalität spezialisierte Staatsanwaltschaft Verden ist auf einen Datensatz von über 18 Millionen E-Mail-Adressen samt Passwörter gestoßen, die sich Betrüger besorgt haben. Der größte bislang in Deutschland entdeckte Datenklau. Rund drei Millionen deutsche User sollen betroffen sein. Die Branche ist in Aufruf, und die User sind es auch. Denn mit geklauten E-Mail-Zugängen lässt sich eine Menge anstellen.
Entdeckt wurden rund 18 Millionen Datensätze, bestehend aus E-Mail-Adresse und Passwort. Also die üblichen Zugangsdaten zu Onlinekonten aller Art, die wir jeden Tag überall verwenden. Die Staatsanwaltschaft spricht davon, die Datensätze seien „sichergestellt“ worden, so wie man ein Beweisstück sichert und aus dem Verkehr zieht. Bei digitalen Informationen geht das aber natürlich nicht, da kann man nichts sicherstellen und damit aus dem Kreislauf der Betrüger entfernen. Denn niemand weiß, ob nicht noch Kopien dieser Datensätze vorliegen.
Genaue Erkenntnisse liegen darüber bislang nicht vor. Aber vermutlich auf einem Server, wo die Daten gesammelt wurden.
Auch das kann man derzeit nicht genau sagen, dazu müsste man erst mal alle Adressen analysieren. Aber es wird von etwa drei Millionen deutscher User ausgegangen, die betroffen sind. Es geht dabei um E-Mail-Adresse bei großen deutschen Providern, aber genauso bei internationalen Anbietern. Ob sich hinter einer Google-Mail-Adresse ein deutscher User verbirgt oder nicht, lässt sich aber in der Regel nicht ohne weiteres sagen.
Solche Datensätze, bestehend aus E-Mail-Adresse und Passwort, sind in kriminellen Kreisen bares Geld wert. Wer 18 Millionen Adressen hat, der kann damit ohne weiteres ein paar Hunderttausend Euro verdienen. Die Adressen werden für alles Mögliche missbraucht.
Natürlich versuchen die Kriminellen rauszufinden, ob sie über die E-Mail-Adressen Spam versenden können. Noch ertragreicher für die Kriminellen und folgenreicher für die Opfer aber ist Identitätsdiebstahl. Dabei übernimmt der Kriminelle die digitale Identität des Opfers, schlüpft in seine Rolle. Er kann in seinem Namen und auf seine Rechnung einkaufen, aber auch andere Leute belästigen andere kriminelle Aktivitäten verschleiern. Da ist eine Menge denkbar – mitunter mit schlimmen Folgen.
Bislang lässt sich das nicht rausfinden. Anfang des Jahres hat es ja schon mal einen ähnlichen Fall gegeben, da hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) eine Webseite eingerichtet, wo man das überprüfen konnte: Einfach die eigene E-Mail-Adresse eingeben, danach wurde man informiert, ob die eigene Mail-Adresse in der Liste steht oder nicht. Ich könnte mir vorstellen, dass das BSI etwas Ähnliches auch für diesen Fall plant. Aber so etwas braucht erfahrungsgemäß seine Zeit.
Es ist sicher sinnvoll und ratsam, das eigene Passwort, vor allem für den Mail-Zugang, zu erneuern. Unbedingt ein Passwort wählen, das man sonst nirgendwo benutzt, das mindestens acht Zeichen lang ist, Groß- und Kleinschreibung enthält sowieso Ziffern und Sonderzeichen. Das schützt zwar nicht vor jeder Art von Datenklau, aber erschwert zumindest die üblichen Passwort-Hacks. Ganz wichtig ist aber, beim Mail-Postfach ein anderes Passwort zu benutzen als in anderen Onlinekonten. Denn nur so ist sichergestellt, dass Datendiebe nicht das Mail-Postfach kapern können, wenn ihnen die Zugangsdaten zu einem anderen Onlinekonto in die Hände fallen.
Doch: Es gibt mittlerweile durchaus eine Möglichkeit. Manche Mail-Provider wie Google Mail aber auch kleinere deutsche Anbieter wie mail.de bieten die Möglichkeit der Zwei-Wege-Authentifizierung. Das bedeutet: Man muss bei der Anmeldung neben dem Passwort auch noch einen Code eingeben, der im eigenen Handy erzeugt wird. Gelingt es einem Hacker, an das Passwort zu gelangen, besteht trotzdem keine Möglichkeit, das E-Mail-Konto zu übernehmen. Man muss diese Form der zusätzlichen Absicherung in den Mail-Konten aktivieren. Es bedeutet einen geringfügig höheren Aufwand, aber ein enormes Plus bei der Sicherheit. Davon sollte jeder Gebrauch machen, der bei einem Mail-Provider ist, der das bereits unterstützt.
Immer wieder brechen Hacker in große Onlinedienste ein und entwenden sensible Zugangsdaten. Wer wissen möchte, ob er selbst Opfer einer großen Hackattacke gewesen ist, kann ein Onlineportal befragen.
Fast täglich werden Meldungen von gestohlenen Benutzerdaten bekannt. Hacker brechen in die Server großer und kleiner Onlinedienste ein und entwenden Benutzernamen, Passwörter und andere Details. Adobe war beispielsweise im Oktober 2013 Ziel eines Angriffs. 153 Millionen Daten von Nutzern rund um den Globus wurden gestohlen. Aber auch Sony, Vodafone, Yahoo und weitere Unternehmen sowie deren Kunden waren bereits betroffen.
Wer selbst Kunde bei einer dieser Firmen ist, möchte natürlich wissen, ob sein Benutzerkonto zu den gestohlenen Daten gehört. Die Webseite „Have I been pwned?“ (frei übersetzt: Wurde ich erwischt?) beantwortet genau diese Frage. Anwender geben dort ihre E-Mail-Adresse oder den Benutzernamen ein; der Online-Service verrät daraufhin, ob Kontodaten bei einer der betroffenen Seiten gestohlen wurde.
Diese Informationen bezieht „Have I been pwned?“ von den Daten, die die Hacker nach ihrer Tat herausgeben. Mit dem Einbruch zu prahlen und die gestohlenen Benutzernamen im Internet zu veröffentlichen, ist in der Szene nicht unüblich. In all diesen Fällen kann die Webseite prüfen, ob man selbst zu den Opfern gehört. Andere Fälle von Datendiebstahl sind zwar bekannt geworden – dazu gehören etwa LinkedIn und Evernote. Allerdings wurden die nötigen Informationen von den Akteuren nie veröffentlicht.
Zusätzlich zur Abfrage direkt auf der Webseite bietet „Have I been pwned?“ einen E-Mail-Service: Wer sich anmeldet, erhält sofort eine Warnung per Mail, wenn man bei künftigen Vorfällen betroffen ist.
Erst vor wenigen Tagen wurden im großen Stil die Router der Marke Fritzbox gehackt. Angreifer konnten den Datenverkehr abhören und die komplette Kontrolle über das Gerät übernehmen. Jetzt wurde eine große Angriffswelle auf Router der Firmen D-Link, Micronet, Tenda und TP-Link entdeckt. Betroffen sind laut Expertenberichten rund 300.000 Geräte, allerdings bislang vorerst in Asien, aber auch in Polen und Italien.
Die Kriminellen manipulieren durch Ausnutzen von Sicherheitslücken unbemerkt die Router der Betroffenen. Konkret werden die DNS-Einstellungen verändert, so eine Art Telefonbuch im Gerät. Wenn die Opfer eine bestimmte Webseite ansteuern, werden sie auf manipulierte Webseiten umgelenkt. Anstatt der Webseite der Bank, erscheint eine Webseite, die zwar täuschend echt aussieht, aber nicht von der Bank kommt.
Die Betrüger können auf diese Weise Zugangsdaten abgreifen. Jeder Internetbenutzer sollte darauf achten, dass sein Router von außen nicht nutzbar ist: Die Konfiguration des Gerätes sollte ausschließlich im LAN, nicht aber im WLAN möglich sein. Das ist eine der am häufigsten verwendeten Schwachstellen.
In jedem Handy, jedem Smartphone und vielen Tablets steckt eine SIM-Karte. Sie sorgt dafür. dass das jeweilige Gerät Kontakt mit dem Mobilfunknetz herstellen kann. Was in so einer SIM-Karte gespeichert ist und was dort vor sich geht, darüber macht sich kaum jemand Gedanken – es funktioniert einfach. Jetzt wurde eine Sicherheitslücke in vielen SIM-Karten entdeckt: Aufgrund eines mangelhaften Verschlüsselungsverfahrens ist es möglich, SIM-Karten zu kapern und dann Schaden anzurichten, etwa indem kostenpflichtige SMS verschickt oder Bezahlsysteme aufgerufen oder manipuliert werden.
Um ein Handy zu kapern, muss eine SMS verschickt werden, die den Eindruck erweckt, vom jeweiligen Provider zu sein. Die SMS enthält im Gerät auszuführenden Code – und knackt das System. Danach lässt sich das Handy oder Smartphone fernsteuern. Um das zu erreichen, ist zwar ein gewisser Aufwand nötig, aber machbar ist das eben schon. Bislang wird das Sicherheitsleck nicht ausgenutzt. Aber die Zeit drängt: Experten rechnen damit, dass spätestens in sechs Monaten Kriminelle den Trick anwenden. Deshalb arbeiten alle Mobilfunkprovider an einer Lösung des Problems.
Betroffen sind ältere SIM-Karten, die noch ein DES-Verschlüsselungsverfahren verwenden. Das soll auf rund die Hälfte aller im Umlauf und Gebrauch befindlichen SIM-Karten zutreffen, immerhin eine halbe Milliarde Karten. In neueren SIM-Karten wird zwar bereits 3DES zur Verschlüsselung eingesetzt, aber auch dieses System ist nicht wirklich sicher. Deswegen rüsten die SIM-Karten-Hersteller derzeit auf AES um, solche SIM-Karten können bislang noch nicht gehackt werden. Moderne Micro- und Nano-SIMs sind nicht betroffen, sie verwenden ein sicheres System.
Und schon wieder wurde ein Twitter-Account gehackt, diesmal der des britischen Senders BBC. Es wurden sogar gleich mehrere Accounts gekapert – und auch gleich Schabernack getrieben. „Wetterstation in Saudi-Arabien wegen Kollision mit Kamel geschlossen“, lautete eine Meldung, die per Twitter verteilt wurde.
Der erneute Vorfall zeigt: Es wird allerhöchste Zeit, dass Twitter die Sicherheitsvorkehrungen erhöht. Während Google, Facebook, Dropbox und viele andere mittlerweile die bewährte Zwei-Wege-Authentifizierung anbieten, die ein Hacken von Konten nahezu unmöglich macht, zieht sich das bei Twitter ewig hin. Zwar hat auch Twitter schon vor langer Zeit angekündigt, die „Two Step Verification“ anbieten zu wollen – aber wann? Es wird langsam Zeit.
Fast keine Webseite der Welt verzichtet auf MySQL: Die kostenlose Datenbank ist äußerst populär und gehört praktisch zum Grundrüstzeug jeder Website.
Vertrauen ist hier besonders wichtig. Wie unangenehm, wenn dann die Webseite dazu gehackt wurde – und Schadt-Software verteilt. Genau das ist aber passiert: Unbekannte haben die populäre Website gehackt und einen Trojaner eingepflanzt, der wurde dann unbemerkt über die Webseite verteilt. Es reichte ein Besuch auf der Webseite, man musste nichts runterladen. Da sich hier viele über die kostenlose Datenbank informieren, hat die Webseite jede Menge Besucher. Experten schätzen, es sind rund 35.000 pro Tag.
Eingeschleust wurde das sogenannte „BlackHole Exploit Pack“. Es untersuchte den PC des Besuchers nach Schwachstellen und jubelt ihm je nach Schwachstelle die „passende“ Schad-Software unter. Das Problem: Nur wenige Antivirenpakete wehren diesen Angriff bislang ab.
Offensichtlich hätte der Hack sogar verhindert werden können. Schon Tage vor dem Angriff gab es Anzeichen, dass etwas geplant ist – aber die Sicherheitslücken wurden nicht angemessen gestopft.
