[datensicherheit.de, 11.04.2024] ESET-Forscher haben nach eigenen Angaben eine Cyber-Spionagekampagne entdeckt, welche demnach „Android“-Nutzer in Südasien – vor allem in Indien und Pakistan – ins Visier nahm. Die Masche dieser Hacker-Gruppe laut ESET: „Gefälschte Messenger-Apps, die zwar funktionieren, gleichzeitig aber Schadcode enthalten und sensible Daten stehlen.“ Mit dieser Attacke habe die bis dato unbekannte und von ESET „Virtual Invaders“ genannte Hacker-Gruppe gezielt „Android“-Nutzer in der Region ausspioniert. „Virtual Invaders“ sei von November 2021 bis Ende 2023 aktiv gewesen und habe die Fake-Apps über spezielle Webseiten und auf „Google Play“ verbreitet. „Es kommt immer wieder vor, dass Cyber-Kriminelle funktionierende Apps programmieren und veröffentlichen, um an Daten von Nutzern zu gelangen“, erläutert ESET-Forscher Lukas Stefanko, der Entdecker dieser Hacker-Kampagne. Seine Empfehlung: „Nutzer sollten sich bei ihren Messenger-Apps auf die gängigen Anbieter verlassen und vor allem davon absehen, Anwendungen aus unseriösen Quellen herunterzuladen.“

Hacker verbreiteten zahlreiche Fake-Apps mit weitreichenden Rechten

Die Apps seien äußerlich nicht von legitimen Messengern zu unterscheiden gewesen. „Schaute man allerdings unter die Haube, ergab sich ein anderes Bild: Alle Apps enthielten den Open-Source-Schadcode ,Android XploitSPY RAT’. Dieser beliebte Code ermöglicht Hackern, Kontaktlisten und Dateien zu extrahieren, den GPS-Standort des Geräts auszulesen und die Namen bestimmter Ordner herauszufinden.“

Hierzu hätten Verzeichnisse wie der Kamera- und Downloads-Ordner sowie anderen Messaging-Apps, z.B. „Telegram“ und „WhatsApp“ gehört. „Hatten die Hacker eine interessant klingende Datei gefunden, reichte ein Befehl vom Command-and-Control-Server (C&C), um sie zu extrahieren.“

Darüber hinaus hätten die Fake-Apps betroffene Smartphones in regelrechte Wanzen verwandelt: Auf Befehl der Hacker hin hätten die Anwendungen auf Kameras und Mikrofone der Geräte zugegriffen, um ihre Umgebung auszuhorchen.

„Interessanterweise ist die Implementierung der in ,XploitSPY’ integrierten Chat-Funktion einzigartig; wir gehen deshalb davon aus, dass diese Chat-Funktion von der ,Virtual Invaders’-Gruppe entwickelt wurde“, berichtet Stefanko.

Hacker konnten Malware vor Sicherheitstools verstecken

Die Malware verwende eine systemeigene Bibliothek, die häufig bei der Entwicklung von „Android“-Apps zur Verbesserung der Leistung und zum Zugriff auf Systemfunktionen eingesetzt werde. In diesem Fall werde die Bibliothek jedoch verwendet, um sensible Informationen zu verbergen, wie z.B. die Adressen der C&C-Server, wodurch es für Sicherheitstools schwieriger werde, die App zu analysieren. Die Hacker-Kampagne habe sich im Laufe der Jahre weiterentwickelt und umfasse nun auch Verschleierung, Emulatorerkennung und das Verstecken von C&C-Adressen.

„Google Play“ habe die betroffenen Apps – „Dink Messenger“, „Sim Info“ und „Defcom“ – nach ihrer Entdeckung entfernt. Darüber hinaus habe ESET als Partner der „Google App Defense Alliance“ zehn weitere Apps identifiziert, welche auf Code von „XploitSPY“ basierten und Google darüber informiert, woraufhin diese ebenso entfernt worden seien.

„Alle schadhaften Apps wiesen nur eine geringe Anzahl von Installationen auf. Dies deutet eher auf einen gezielten Ansatz als eine breit angelegte Strategie hin.“ Insgesamt hätten rund 380 Nutzer die Apps von Websites und aus dem „Google Play Store“ heruntergeladen und Konten erstellt, um die Nachrichtenfunktionen zu nutzen. Aufgrund des gezielten Charakters der Hacker-Kampagne sei die Anzahl der Installationen der einzelnen Apps von „Google Play“ relativ gering: Sie liege zwischen null und 45.

Weitere Informationen zum Thema:

welivesecurity by eseT, Lukas Stefanko, 10.04.2024
ESET Research / eXotic Visit campaign: Tracing the footprints of Virtual Invaders

Tipps von Lookout für die sichere Nutzung von SMS, Messenger und Co.

[datensicherheit.de, 16.05.2023] Lookout betont in einer aktuellen Stellungnahme, dass man grundsätzlich vorsichtig sein sollte bei jeder Art von Textnachrichten, „die man erhält und die mit dem Anspruch auf Dringlichkeit auftritt“ – diesen Tipp sollten Nutzer sogenannter Messenger und SMS-Nachrichten immer im Kopf haben. Dies gilt demnach besonders dann, wenn man eine zufällige Nachricht von seinem angeblichen Chef oder „CEO“ erhält, in der zu lesen ist: „Hallo Herr oder Frau Soundso, ich brauche heute bis um 15 Uhr folgende Finanzinformationen …“ – und es ist tatsächlich bereits 13.30 Uhr, wodurch „Eile angesagt“ wäre.

Foto: Lookout

Sascha Spangenberg: Prinzipiell verdächtige Anwendungen könnten Bedrohungsakteure als Einfallstor für Phishing-Angriffe missbrauchen!

Lookout rät zur Überprüfung, ob Nachricht aus seriöser Quelle stammt

Sascha Spangenberg, Manager bei Lookout, rät hierzu: „Am besten überprüft man immer sofort, ob die Nachricht aus einer seriösen Quelle stammt. Zum Beispiel wenn es um einen Text geht, der einen Hyperlink enthält und behauptet: ,Heute kommt eine Lieferung, die sofort bestätigt werden muss’ oder ,Sie müssen Ihre Finanzdaten aktualisieren und auf diesen Link klicken, um sich anzumelden’.“ Er warnt, dass es sich dann in den meisten Fällen dabei tatsächlich um eine Art von Phishing-Versuch handele, „mit dem man entweder auf eine bestimmte Internet-Seite geführt werden soll und auf der man dann aufgefordert wird, sensible Daten wie die eigenen Bankinformationen einzugeben“. Zudem komme es in einigen Fällen (wie zum Beispiel bei dem Banking-Trojaner „FluBot“) sogar dazu, „dass man aufgefordert wird, eine gefährliche Anwendung auf sein eigenes Gerät herunterzuladen“.

Man sollte deshalb prinzipiell misstrauisch bei jeder Textnachricht sein, in der man um vertrauliche Informationen gebeten wird – unabhängig davon, ob jemand vorgibt, vom gleichem Arbeitgeber zu kommen, oder vortäuscht, die Position eines Vorgesetzten zu besitzen. Seriöse Unternehmen machten so etwas nicht. Man sollte sich in einem solchen Fall an eine seriöse Quelle wenden – wie zum Beispiel direkt an die eigene Bank oder an den Kundendienst eines Versandunternehmens, um sofort die Echtheit der Kontaktaufnahme zu überprüfen. Wenn eine SMS von jemandem aus dem Unternehmen zu stammen scheint, für das man selbst arbeitet, von der man aber noch nie etwas gehört hat oder einen direkten Kontakt zu ihr gehabt hatte, möge man sich direkt über ein anderes Medium wie zum Beispiel einen Telefonanruf unmittelbar an diese Person wenden und sie direkt fragen: „Hallo, waren Sie das wirklich?“

Auffällige Anzeichen dafür, dass eine Android-App eventuell nicht sicher ist, lt. Lookout:

Wenn eine „Android“-App eine große Anzahl von Berechtigungen verlangt oder solche, die für die Aufgabe unnötig erscheinen, ist sie möglicherweise alles andere als sicher. Dies ist zum Beispiel dann der Fall, wenn eine Anwendung im Hintergrund (Flashlight- oder Wallpaper-App) plötzlich Zugriff auf die Audio-Funktionen des Geräts, die Kamera, SMS-Nachrichten oder andere auffällige und unbegründete Berechtigungen anfordert. Man erlebt es leider oft, dass sich bösartig orientierte Anwendungen als harmlos tarnen und so viele Informationen wie nur irgend möglich einsammeln wollen. Allzu oft gehen die Anwender gar nicht von dem Ernstfall aus, dass man wirklich versucht hatte, sie anzugreifen, und machen allzu leichtsinnig den Fehler, auf „OK“ zu klicken.

Ein weiteres Anzeichen dafür, dass die Anwendung bösartig gesinnt ist, besteht darin, wenn man sie vielleicht sogar selbst installiert hat und sie dann plötzlich nicht mehr richtig funktioniert oder wenn man sie nicht mehr auf seinem Gerät identifizieren kann – das bedeutet dann wahrscheinlich, dass im Hintergrund bereits etwas Schlimmes passiert ist. Man kann dies häufig bei Überwachungsprogrammen beobachten, bei denen man eine Anwendung installieren kann, die sich zwar als harmlos ausgibt und die sich dann nach dem Starten das Symbols nicht mehr auf dem Gerät zu befinden scheint, ohne dass die Anwendung selbst wirklich entfernt worden ist. Dies sollte man als einen Hinweis darauf lesen, dass ein bösartig gesinnter Angreifer versucht hat und dies weiter tun wird, Informationen über einen selbst einzusammeln.

Man sollte auf jeden Fall vorsichtig bei solchen Anwendungen sein, die „Accessibility Services“ einfordern, also eine Art von Zugangsberechtigung. Dies ist zwar eine völlig legitime Funktion des Betriebssystems von „Android“, die es Anwendern mit Behinderungen ermöglicht, mit ihrem Gerät zu interagieren, aber Bedrohungsakteure missbrauchen dies oft: Sie wollen damit alles sehen oder beobachten können, was man gerade auf seinem Gerät unternimmt. Dies erlaubt ihnen zum Beispiel zu beobachten, ob man gerade eine Messaging- oder eine Banking-Anwendung geöffnet hat. Anschließend könnten sie zum Beispiel auf der Grundlage der Ereignisse, die sie mitbekommen, in ihrem Sinne reagieren, und Nachrichten an die im Hintergrund agierende bösartige Anwendung weiterleiten.

Lookout-Tipps: Wie man erkennt, ob iPhone- oder Android-Anwendung Sicherheitsberechtigungen missbraucht:

Wenn eine „iPhone“- oder „Android“-Anwendung Zugriff auf Gerätefunktionen anfordert, die für den Zweck der Anwendung nicht sinnvoll erscheinen, könnte sie absichtlich oder unabsichtlich mehr Informationen einsammeln, als sie eigentlich sollte. Dies könnte dann ein Fall von mangelhafter Sicherheit der Anwendung oder ein Indiz für bösartige Aktivitäten sein. Neuere Versionen von Betriebssystemen benachrichtigen die Benutzer in der Regel, wenn eine App auf bestimmte Funktionen zugreifen möchte, zum Beispiel auf den Standort oder die Kamera. Wenn die App den Zugriff jedoch nicht für die vorgesehene Funktion benötigt oder man eine Zugriffsanforderung zu einem Zeitpunkt beobachten kann, der keinen unmittelbaren Sinn ergibt (zum Beispiel bei der Anforderung von Standortdaten, wenn man gerade keine Karteninformationen verwendet), könnte dies ein Warnsignal sein.

Wenn man ein Gerät verwendet, das eine Verbindung zur Infrastruktur des Unternehmens herstellt, besteht immer das Risiko, dass sensible Daten über den eigenen Arbeitsplatz in Gefahr stehen könnten. Lookout-Daten zeigen, dass praktisch einer von drei Mitarbeitern von Zuhause aus mehr als 20 Stunden pro Woche mit seinem persönlichen Tablet oder Smartphone arbeitet. Und auf solchen Geräten befinden sich oft Dutzende von nicht zugelassenen, also prinzipiell verdächtigen Anwendungen, die von Bedrohungsakteuren als Einfallstor für ihre Phishing-Angriffe genutzt werden könnten. 32 Prozent der Remote- und Hybrid-Mitarbeiter verwenden demnach Apps oder Software, die nicht von der IT-Abteilung genehmigt wurden, und 92 Prozent der externen Mitarbeiter erledigen Aufgaben für ihren Beruf auf ihren persönlichen Tablet- oder Smartphone-Geräten.

[datensicherheit.de, 27.06.2022] Laut Medienberichten soll es zur Entdeckung eines groß angelegten „facebook Messenger“-Betrugs gekommen sein, von dem möglicherweise Hunderte Millionen „facebook“-Nutzer betroffen sein könnten, was abermals das weltweite Bedrohungspotenzial durch Phishing-Angriffe verdeutlicht. PIXM meldet, dass im Jahr 2021 2,7 Millionen Nutzer eine Phishing-Seiten besucht hätten – und rund 8,5 Millionen bisher im Jahr 2022. Das stellt laut einer aktuellen Stellungnahme von KnowBe4 „ein enormes Wachstum dieser Angriffsmethode im Vergleich zum letzten Jahr dar“.

Links zu Phishing-Seite stammen wohl von facebook selbst

Hierbei nutzten die Bedrohungsakteure kompromittierte „facebook“-Konten, um die Phishing-Seiten über den „facebook Messenger“ zu verbreiten. Die Links stammten dabei wohl von „facebook“ selbst, so die Forscher. „Das heißt, das Konto eines Nutzers wird kompromittiert, und der Bedrohungsakteur loggt sich wahrscheinlich automatisch in dieses Konto ein und schickt den Link über ,facebook Messenger‘ an die ,Freunde‘ des Nutzers.“ Das interne „Threat Intelligence Team“ von Facebook sei in diese Systeme zum Sammeln von Anmeldeinformationen eingeweiht, doch diese Gruppe setze eine Technik ein, um die Blockierung ihrer URLS zu umgehen.

Diese Technik beinhalte die Verwendung legitimer Anwendungsdienste, welche das erste Glied in der Umleitungskette darstellten, sobald der Benutzer auf den Link geklickt hat. Anschließend werde er auf die eigentliche Phishing-Seite umgeleitet. Auf „facebook“ erscheint aber ein Link, „der mit einem legitimen Dienst generiert wurde, den ,facebook‘ nicht ohne weiteres blockieren kann“.

Die Kampagne nutze eine Automatisierung, um verschiedene Phishing-Seiten zu durchlaufen und so die Erkennung durch Sicherheitstechnologien zu vermeiden. „Sobald eine der URLs dennoch entdeckt und blockiert wird, haben es die Bedrohungsakteure recht einfach einen neuen Link mit demselben Dienst und einer neuen eindeutigen ID zu erstellen.“ Diese Beobachtungen zeigten, dass pro Dienst mehrere an einem Tag verwendet worden seien. Die Nutzung dieser Dienste ermögliche es, die Links der Bedrohungsakteure für lange Zeit verborgen zu halten und eine Blockierung durch den „facebook Messenger“ zu vermeiden.

Beliebte Angriffstechniken neben Phishing

Bei einem klassischen Phishing-Angriff werde versucht, sensible Informationen wie Benutzernamen, Kennwörter und Kreditkartendaten zu erlangen. Die Bedrohungsakteure gäben sich hierbei als vertrauenswürdiges Unternehmen aus und verschickten Massen-E-Mails, um Spam-Filter zu umgehen und oftmals sorglose Nutzer zum Anklicken schadhafter Links zu verleiten. Nachfolgend eine kleine KnowBe4-Übersicht weiterer beliebter Techniken, mit denen „täglich weltweit Tausende von Unternehmen und Privatpersonen angegriffen werden“:

Vishing
Vishing stehe für „Voice-Phishing“. Dabei handele es sich um eine Betrugsmasche, bei der die Opfer in Form eines Telefonanrufs oder einer Sprachnachricht – kontaktiert und dann mündlich nach ihren persönlichen Daten befragt würden.

Ransomware
Angreifer nutzten Ransomware, um die Daten der Opfer zu verschlüsseln und ihre Computer oder Systeme zu sperren. Folglich würden die Opfer damit erpresst, ein Lösegeld zu zahlen, um ihre Daten und ihren Zugriff zurückzuerhalten.

Social Engineering
Dies bezeichne den Einsatz psychologischer Manipulation, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben oder Zugang zu Geldern zu gewähren. Die Kunst des „Social Engineering“ könne auch darin bestehen, Informationen von Social-Media-Plattformen zu sammeln, um potenzielle Opfer damit zu manipulieren.

Wirksame Verteidigung gegen Phishing-Kampagnen

Schulungen zum Sicherheitsbewusstsein (wie z.B. solche von KnowBe4) könnten Mitarbeitern und Unternehmen helfen, die raffinierten Betrugsmethoden zu durchschauen, welche es schafften, die Sicherheitsfilter der Unternehmen zu umgehen.

Grundsätzlich werde hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings sei es, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen.

Weitere Informationen zum Thema:

PIXM
Phishing tactics: how a threat actor stole 1M credentials in 4 months

datensicherheit.de, 04.04.2022
Fanpages: Facebook-Verstöße gegen Europäisches Datenschutzrecht auch Seitenbetreibern zuzurechnen / Datenschutzkonferenz hat Kurzgutachten zur aktuellen Situation und datenschutzrechtlichen Konformität des Betriebs sogenannter Fanpages erstellt

datensicherheit.de, 06.10.2021
Massiver IT-Ausfall bei facebook: Abhängigkeit von Digitalen Identitäten fordert Unternehmen heraus / Digitale Identitäten für Nutzung von Anwendungen in Unternehmen unverzichtbar

datensicherheit.de, 07.04.2021
Facebook-Datenleck: Maßnahmen gegen drohenden Identitätsdiebstahl / Persönliche Daten von 533 Millionen Facebook-Nutzern, einschließlich Telefonnummern, online geleakt

Seit 2016 hat Avast mehrere Versuche von Pegasus, in Android-Telefone einzudringen, verfolgt und blockiert

[datensicherheit.de, 19.07.2021] „Pegasus“ sei ein „Remote Access Tool“ (RAT) mit Spyware-, also Spionagesoftware-Eigenschaften, erläutert Jakub Vavra, „Mobile Threat Analyst“ bei Avast, in seiner Stellungnahme. „Android“-Varianten dieser Spyware könnten Daten von beliebten Messenger-Plattformen wie „WhatsApp“, „facebook“ und „Viber“ sowie aus E-Mail-Programmen und Browsern extrahieren.

Foto: Avast

[avast-jakub-vavra.jpg]

Jakub Vavra: Pegasus ein gefährliches Tool, das sich zum Ausspionieren von unwissenden Personen missbrauchen lässt

Pegasus kann Bildschirm der Benutzer über Mikrofon und Kamera aus der Ferne überwachen

„Pegasus“ sei in der Lage, den Bildschirm der Benutzer über Mikrofon und Kamera aus der Ferne zu überwachen, Screenshots zu erstellen und die Eingaben der Smartphone-Besitzer per Keylogging aufzuzeichnen. „Diese Funktionen machen ,Pegasus‘ zu einem gefährlichen Tool, das sich zum Ausspionieren von unwissenden Personen missbrauchen lässt“, warnt Vavra.
„Seit 2016 haben wir mehrere Versuche von ,Pegasus‘-Spyware, in ,Android‘-Telefone einzudringen, verfolgt und blockiert, die meisten davon im Jahr 2019.“ Avast blockiere „Pegasus“ wie jede andere Spyware, um Nutzer zu schützen.

Pegasus wird offenbar zu Überwachungszwecken eingesetzt

Offensichtlich werde „Pegasus“ sehr gezielt eingesetzt, denn im Gegensatz zu weit verbreiteter Spyware zum massenhaften Abgreifen von Nutzerdaten, habe „Pegasus“ eine geringe Verbreitung und werde nur bei wenigen Personen – offenbar zu Überwachungszwecken – eingesetzt.
Die minimale Verbreitung dieser Spyware mache diese nicht weniger gefährlich, denn für jeden Einzelnen, der überwacht wird, „sei der Schaden für die Privatsphäre sicherlich enorm hoch“, so Vavra.

Weitere Informationen zum Thema:

datensicherheit.de, 04.02.2021
Smart-Home-Geräte: Avast rät zu mehr Sicherheit in 7 Schritten

[datensicherheit.de, 07.07.2021] Der Digitalcourage e.V. übt nach eigenen Angaben Kritik an dem „absehbaren Beschluss des Europäischen Parlaments zur sogenannten Chatkontrolle“: Die temporäre Befugnis für private Anbieter von E-Mail- und Messenger-Diensten, sämtliche Nachrichten auf Inhalte mit Bezug zu Kindesmissbrauch zu untersuchen, sei „ein gefährlicher Präzedenzfall, der zudem die Opfer nicht schützt“. Weiterhin bestehe die Gefahr, dass, ähnlich wie bei anderen Überwachungsinstrumenten, die Inhalte der automatisierten Untersuchung kontinuierlich ausgeweitet würden. Den Schutz von Missbrauchsopfern gegen das Grundrecht auf geschützte Kommunikation auszuspielen sei keine Lösung. Automatisierte Überwachung könne klassische Polizeiarbeit in diesem sensiblen Bereich nicht ersetzen.

Digitalcourage: Angriff auf vertrauliche Kommunikation der Bürger stellt diese unter Generalverdacht

Dieser Beschluss sei „ein Angriff auf die vertrauliche Kommunikation von Bürgerinnen und Bürgern“ und setze diese faktisch einem unzulässigen Generalverdacht aus. Während immer mehr Kommunikation heutzutage online stattfinde, sei dieser Eingriff in das „digitale Briefgeheimnis“ ein völlig falsches Signal.
Auch könne solche Massenüberwachung nicht zwischen potenziellen Straftätern und besonders schutzbedürftige Formen der Kommunikation differenzieren – „z.B. von Opfern von sexualisierter Gewalt“ mit ihren Therapeuten oder Anwälten. Der Beschluss vom 6. Juli 2021 gelte bis Ende 2022 – die endgültige Verordnung solle im Oktober 2021 vorgelegt werden.

Digitalcourage erinnert an Zensursula-Debatte

„Wir erinnern an dieser Stelle noch einmal an die ,Zensursula‘-Debatte in Deutschland, bei der mit demselben vorgeschobenen Grund der Verhinderung und Aufklärung der sexuellen Folter von Kindern, eine Zensursur-Infrastruktur aufgebaut werden sollte.“
Damals habe sich aus dem Protest heraus der Verein MOGiS e.V., „MissbrauchsOpfer Gegen InternetSperren“, gegründet und aus der Protestbewegung heraus schließlich mit den „Piraten“ auch eine in etliche Parlamente einziehende Partei.

Weitere Informationen zum Thema:

datensicherheit.de, 28.04.2021
Automatisierte Nachrichten- und Chat-Kontrolle: Mehrheit gegen EU-Pläne / Meinungsumfrage von YouGov unter 10.265 Bürgern aus zehn EU-Ländern

MOGiS
Wer Wir sind

[datensicherheit.de, 15.05.2021] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) wird nach eigenen Angaben gemeinsam mit anderen Verbänden und Unternehmen eine konzertierte Initiative gegen die geplante Mitwirkungspflicht für Kommunikationsdienste bei staatlicher Überwachung und gegen die gezielte Schwächung von Verschlüsselung unterstützen.

Laut TeleTrusT detailliertes Schreiben an Mitglieder des Deutschen Bundestages bzw. an die Bundesregierung übersandt

Dr. Holger Mühlbauer, TeleTrusT-Geschäftsführer, erläutert: Hinsichtlich des anstehenden Gesetzes zur Anpassung des Verfassungsschutzrechts wendeten sich Fachkreise gegen eine Ausweitung staatlicher Überwachung und die Schwächung verschlüsselter Kommunikation von Nutzern digitaler Dienste wie E-Mail, VoiP oder Messenger-Anwendungen.
Unter der Federführung von Facebook Deutschland sei anlässlich der für den 14. Mai 2021 angesetzten Expertenanhörung im Bundestags-Innenausschuss ein detailliertes Schreiben an Mitglieder des Deutschen Bundestages bzw. an die Bundesregierung übersandt worden.

TeleTrusT kritisiert ernste Gefahren für sichere Kommunikation zwischen Journalisten mit ihren Quellen

Im Besonderen gehe es dabei um vorgesehene Mitwirkungspflichten für Unternehmen bei der Implementierung von Überwachungsmaßnahmen der Nachrichtendienste und Sicherheitsbehörden. Aus Sicht der Unterzeichner seien Folgewirkungen „gravierend“ für die Cyber-Sicherheit in Deutschland.
„Beispielsweise drohen nicht nur ernste Gefahren für die sichere Kommunikation zwischen Journalistinnen und Journalisten mit ihren Quellen, sondern ist verschlüsselte Kommunikation oftmals das einzige Mittel für zivilgesellschaftliche Organisationen, um mit besonders Schutzbedürftigen in Verbindung zu treten“, gibt Dr. Mühlbauer zu bedenken.

Potenzielle Sicherheitslücken: TeleTrusT warnt auch vor Missbrauch durch Cyber-Kriminelle

Bedenken und Kritik richteten sich gegen die weite und unklare Fassung der Mitwirkungspflicht, wonach ausdrücklich alle Telekommunikationsdienste – was auch Messenger und E-Mail umfasse – Nachrichtendienste bei der Realisierung von Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) unterstützen sollten. So könnten zukünftig Messenger-Dienste wie beispielsweise „Threema“, „Signal“ oder „WhatsApp“, aber auch E-Mail- oder Videokonferenzdienste je nach Gesetzesauslegung mit Anfragen und dem Verlangen von Sicherheitsbehörden konfrontiert werden, Schadsoftware auf den Endgeräten der Nutzer zu platzieren.
Anbieter müssten potenzielle Sicherheitslücken vorhalten. Die Kenntnis darüber könnte fremden Nachrichtendiensten oder Cyber-Kriminellen nützlich sein. Damit konterkariere diese Anpassung des Verfassungsschutzrechts auch die erst kürzlich verabschiedete Novelle des IT-Sicherheitsgesetzes (ITSIG 2.0) und das Datenschutzrecht allgemein, „denn einerseits sollen Anbieter größtmögliche Vertraulichkeit und Datensicherheit gewährleisten, andererseits könnten sie zur Mitwirkung bei der Schwächung IT-Sicherheit zum Zwecke staatlicher Ausspähung verpflichtet werden.“

TeleTrusT sieht sichere Verschlüsselung als bedeutsamen Wirtschaftsfaktor

Sichere Verschlüsselung sei darüber hinaus ein bedeutsamer Wirtschaftsfaktor. „Für viele IT-Unternehmen ist das Angebot sicherer und verschlüsselter Kommunikation (insbesondere mittels Technologie ,Made in Germany‘ / ,Made in the EU‘) auch ein wichtiges und wachsendes Geschäftsfeld.“
Sollten aufstrebende Unternehmen künftig dazu verpflichtet werden können, Behörden Zugang zur Kommunikation ihrer eigenen Geschäftskreise zu gewähren, werde dies zu einem Vertrauensverlust gegenüber einer ganzen Zukunftsbranche führen, warnt Dr. Mühlbauer. Diese Vorhaben der Bundesregierung seien damit vor allem auch schädlich für die Innovationskraft der hiesigen Digitalwirtschaft.

Weitere Informationen zum Thema:

datensicherheit.de, 12.02.2021
Bundespolizeigesetz: DAV sieht Licht und Schatten / Rechtsanwältin Lea Voigt, Vorsitzende des DAV-Ausschusses „Gefahrenabwehrrecht“, nimmt Stellung und warnt vor Folgen der Quellen-TKÜ

datensicherheit.de, 16.12.2020
eco warnt vor Schwächung der Vertrauenswürdigkeit digitaler Kommunikation / Staatliche Überwachung statt Erhöhung der IT-Sicherheit in der eco-Kritik

datensicherheit.de, 11.06.2019
Peter Schaar kritisiert Schnittstellen zur Ausleitung der Kommunikation / Hintertüren in Messengern und anderen Internetdiensten würden Informationssicherheit schwächen

Der eco – Verband der Internetwirtschaft warnt vor Hintertüren im Gesetzgebungsverfahren

[datensicherheit.de, 21.03.2021] Der eco – Verband der Internetwirtschaft e.V. geht in seiner aktuellen Stellungnahme auf die geplante Identifizierungspflicht für Messenger ein und warnt vor „Hintertüren im Gesetzgebungsverfahren“. Das Bundesinnenministerium (BMI) fordere bei der Novelle des Telekommunikationsgesetzes (TKG) kurzfristige Änderungen, welche weitreichende Folgen für alle Internetnutzer hätten. Die Anfang März 2021 bekannt gewordene „Formulierungshilfe“, welche das BMI außerhalb des Regelprozesses an die Fraktion der CDU/CSU im Bundestag gereicht habe, sieht demnach eine Identifizierungspflicht für sogenannte nummern-unabhängiger Dienste vor – dies betreffe Messenger, Audio- und Videochats sowie E-Mail-Kommunikation. Diese sollten künftig Name, Anschrift und Geburtsdatum ihrer Nutzer erheben, überprüfen und speichern.

Foto: eco e.V.

Klaus Landefeld: Für Einsatz zur Gefahrenabwehr sind Staatstrojaner gänzlich ungeeignet!

Stellvertretender eco-Vorstandsvorsitzender nimmt Stellung

Der eco übt nach eigenen Angaben „scharfe Kritik am Vorgehen des Bundesinnenministers und lehnt eine derartige Verpflichtung entschieden ab“ – die geplanten Maßnahmen sollten faktisch eine Identifizierungspflicht vor der Inbetriebnahme von Geräten wie Mobiltelefonen, Notebooks und Tablets bedeuten, da die Nutzeraccounts bei jedem Hersteller standardmäßig mit mindestens einem Kommunikationsmittel verknüpft seien.
Der stellvertretende eco-Vorstandsvorsitzende, Klaus Landefeld, führt aus: „Auch viele weitere Dienste ermöglichen eine Kommunikation der Nutzer und müssten in Folge Angaben zur Identität der Nutzer nicht nur erheben, sondern diese Angaben auch überprüfen – mit anderen Worten, sich den Ausweis zeigen lassen.“

eco befürchtet Vertrauensverlust und negative Folgen für Digitalstandort Deutschland

Eine solche Regelung würde aus Sicht des Verbandes die Vertrauenswürdigkeit und Integrität von Kommunikation im Internet weiter schwächen. Landefeld befürchtet außerdem, „dass insbesondere kleine und mittlere Unternehmen in diesem Bereich überfordert wären, denn eine Überprüfung von Daten zur Ermittlung der Identität von Nutzern sei stets mit einem hohen organisatorischen und finanziellen Aufwand für die Erhebung und Verifikation verbunden“.
Darüber hinaus könnte es auch zu einer Abwanderung von Nutzern kommen, welche in einer globalisierten Welt die ohne großen Aufwand nutzbaren („click-baren“) Dienste aus dem Ausland bevorzugen würden.

eco moniert fehlende Überwachungsgesamtrechnung

Insgesamt bereite eco die Fülle neuer gesetzlicher Maßnahmen und Verpflichtungen aus den gegenwärtig vorliegenden Gesetzesentwürfen große Sorge. „Die systematische und kontinuierliche Erweiterung der Überwachungsmaßnahmen wie sie in den Gesetzentwürfen zum Telekommunikationsgesetz, dem IT-Sicherheitsgesetz, dem BND-Gesetz, dem Verfassungsschutzgesetz und zur Fortentwicklung der Strafprozessordnung vorgesehen sind, ist in dieser Quantität und Qualität besorgniserregend“, so Landefeld.
Unabhängig von der Tatsache, dass die Umsetzung all dieser Überwachungsmaßnahmen die betroffenen Anbieter vor erhebliche Herausforderungen und Belastungen stelle, schwäche der deutsche Staat die Vertraulichkeit von Kommunikation durch heimliche Überwachung und gefährdet zudem die Sicherheit von IT-Infrastrukturen durch Hacking und „Staatstrojaner“. Von der verfassungsrechtlich gebotenen und angekündigten Überwachungsgesamtrechnung des Staates fehle hingegen weiterhin jede Spur: „Hier hält sich das BMI bedeckt“, merkt Landefeld an.

Gesetzgeber muss laut eco Alternativen prüfen

Der eco forder den Gesetzgeber dazu auf, endlich ernsthaft nach Alternativen zu Überwachungsmaßnahmen zu suchen und empirische Forschung zu diesem Thema stärker zu fördern. Zudem müssten personelle und sachliche Ausstattung der Ermittlungsbehörden besser werden, denn meist verhinderten diese fehlenden Ressourcen eine Aufklärung.
„Es darf beim Thema Überwachung nicht nur eine Richtung geben. Unser Grundgesetz gebietet es, solche Maßnahmen zu hinterfragen und auch aufzuheben, falls mildere, gleich wirksame Mittel zur Hand sind oder die Wirkungslosigkeit der Überwachungsmaßnahmen festzustellen ist“, betont Landefeld.

Kritik des eco an Staatstrojanern in geplantem Bundespolizeigesetz

Diese Kritik wird Landefeld laut eco auch im Rahmen einer für den 22. März 2021 im Bundestag geplanten Expertenanhörung zum Bundespolizeigesetz wiederholen, welches den Einsatz von sogenannten Staatstrojanern vorsieht: Der Einsatz von „Staatstrojanern“ schwäche die IT-Sicherheit von Bürgern, der Wirtschaft und letztlich des Staates. Er unterminiere die Vertrauenswürdigkeit von Kommunikation im Netz.
Landefeld stellt klar: „Für einen Einsatz zur Gefahrenabwehr sind ,Staatstrojaner‘ gänzlich ungeeignet. Denn das Aufbringen der Software auf dem IT-Gerät der Zielperson erfordert so viel Zeit, dass ein sofortiges Handeln der Bundespolizei zur Abwehr der Gefahr fast unmöglich ist.“

Weitere Informationen zum Thema:

datensicherheit.de, 07.03.2021
G DATA zur Klarnamenpflicht: Mehr Bürokratie ohne Sicherheit / Klarnamenpflicht hat laut G DATA nichts im Telekommunikationsgesetz zu suchen

datensicherheit.de, 03.03.2021
Identifizierungszwang: Dr. Patrick Breyer fordert Stopp der unverantwortlichen Pläne / Der Europaabgeordnete und Bürgerrechtler hatte bereits gegen deutschen Identifizierungszwang für Nutzer von Prepaid-Handykarten geklagt

[datensicherheit.de, 03.03.2021] Sowohl Bundesinnenminister Horst Seehofer als auch der am 1. März 2021 vorgestellte SPD-Wahlprogrammentwurf fordere eine Pflicht zur Angabe von Namen und Anschrift zur Benutzung von Messenger- und E-Mail-Diensten bzw. Sozialen Medien. Dr. Patrick Breyer, Europaabgeordneter und Bürgerrechtler der Piratenpartei, geht in seiner aktuellen Stellungnahme auf dieses Vorhaben ein und übt heftig Kritik. Er habe bereits vergeblich vor dem Bundesverfassungsgericht und dem Europäischen Menschenrechtsgerichtshof gegen den deutschen Identifizierungszwang für Nutzer von Prepaid-Handykarten geklagt. Der Menschenrechtsgerichtshof habe die Vereinbarkeit mit dem Recht auf freie Meinungsäußerung allerdings offen gelassen.

Identifizierungszwang – Angriff auf unsere Sicherheit im Netz

„Diese Angriffe auf unsere Sicherheit im Netz sind absolut unverantwortlich: Wie ständige Datenskandale zeigen, sind unsere Identität und Privatanschrift nicht sicher in den Händen von Facebook, Google und Co.“, betont Dr. Breyer.
Nur Anonymität im Netz schütze wirksam vor Datenklau und -verlust, Stalking und Identitätsdiebstahl, Doxxing und „Todeslisten“. Besonders unverzichtbar sei das Recht auf Anonymität im Netz zum Beispiel für Frauen, Kinder, Minderheiten und gefährdete Personen, Missbrauchs- und Stalkingopfer.

Nur Anonymität verhindert Verfolgung und Benachteiligung – Identifizierungszwang bringt Gefährdete zum Verstummen

Sogenannte Whistleblower und Presseinformanten, politische Aktivisten und beratungssuchende Menschen in Not verstummten ohne den Schutz der Anonymität, warnt der Bürgerrechtler. Nur Anonymität verhindere die Verfolgung und Benachteiligung mutiger und hilfsbedürftiger Menschen und gewährleiste den freien Austausch mitunter lebenswichtiger Informationen.
Dr. Breyer führt hierzu aus: „Deswegen hat sich auch das Europäische Parlament 2020 mit breiter Mehrheit zum Recht auf Anonymität bekannt. Dieses Recht muss im geplanten Digitale-Dienste-Gesetz ausdrücklich verankert werden.“

Weitere Informationen zum Thema:

Daten-Speicherung.de – minimum data, maximum privacy
TKG-Verfassungsbeschwerde

wikia.org
Who is harmed by a „Real Names“ policy?

[datensicherheit.de, 18.11.2020] Im Kontext der jüngsten islamistischen Terrorwelle ist die Diskussion über Pläne wieder aufgeflammt, die Verschlüsselung von Computer- und Handydaten sowie beliebten Messenger-Diensten wie „Signal“, „Threema“ oder „WhatsApp“ so zu schwächen, dass Sicherheitsbehörden sich leichter Zugriff verschaffen und Kommunikation mitlesen könnten. Jörn Müller-Quade, Professor für Kryptographie und Sicherheit am KIT, stellt hierzu klar: „Eine ganz schlechte Idee!“

Überwachung durch Hintertüren in der Ende-zu-Ende-Verschlüsselung schießen weit über das Ziel hinaus

Denn anders als bei der heute gängigen Praxis, dass Polizei oder Geheimdienste auf richterliche Anordnung hin Wohnungen von Verdächtigen verwanzen oder deren Telefongespräche abhören können, würden Maßnahmen, verschlüsselte Kommunikation durch eingebaute Hintertüren in der Ende-zu-Ende-Verschlüsselung überwachbar zu machen, weit über das Ziel hinaus schießen:
„Das wäre dann so, als würde einem Dieb nicht nur die Türe offenstehen, die er gerade aufgebrochen hat, sondern Abermillionen von Türen – mit einem einzigen Einbruchsversuch“, warnt der Experte für Cyber-Sicherheit. Professor Müller-Quade sieht hierbei „eine massive Grundrechtsverletzung“.

Maßnahmen zur Überwachung dürfen keinesfalls skalieren

Jede Maßnahme, die für die Überwachung verwendet werde, dürfe daher keinesfalls skalieren, also ein derart enormes Ausweitungspotenzial haben, so Professor Müller-Quade. Gerade das sei bei den gegenwärtigen Ideen, wie etwa einen Generalschlüssel für die Verschlüsselung bei den Behörden zu hinterlegen, aber der Fall.
„Schlimmstenfalls würde dieser Schlüssel auch ausländischen Geheimdiensten zur Verfügung stehen oder gar Schurkenstaaten oder Verbrechern in die Hände fallen.“

Jede einzelne Überwachung sollte Aufwand generieren

Die Lösung sei demnach: Um Massenüberwachung zu verhindern, müsse folglich jede einzelne Überwachung Aufwand generieren. „Wie beim physischen Wohnungseinbruch.“
Laut Professor Müller-Quade müsse idealerweise eine physische Interaktion mit dem zu überwachenden Gerät für die Überwachung nötig sein: „Vorstellbar wäre, dass man beispielsweise ein Siegel im Innern des Geräts aufbrechen muss, um es abzuhören oder auszulesen.“

Weitere Informationen zum Thema:

KIT
KASTEL / Prof. Dr. Jörn Müller-Quade

datensicherheit.de, 18.11.2020
Offener Brief: Verschlüsselung nicht in Frage stellen / Reporter ohne Grenzen und Netzwerk Recherche fordern Regierungen der EU-Staaten auf, Verschlüsselung bei Messenger-Diensten zu wahren

[datensicherheit.de, 05.11.2020] Laut einer Meldung des Bundeskriminalamts (BKA) wurden am 29. Oktober 2020 in einer konzertierten Aktion in sechs Bundesländern insgesamt neun Chatgruppen im Messenger-Dienst Telegram übernommen und sichergestellt. Hierzu hätten die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das BKA sowie weitere Strafverfolgungsbehörden kooperiert.

Ermittlungen gegen Administratoren entsprechender Telegram-Gruppen sowie dortige Händler seit Anfang Juni 2020

Die bundesweiten Ermittlungen gegen Administratoren entsprechender Gruppen sowie dortige Händler seien seit Anfang Juni 2020 geführt worden und hätten bislang zur Identifizierung von 28 Beschuldigten geführt, gegen die dann „Durchsuchungsbeschlüsse in 30 Objekten vollstreckt werden konnten“.
Die Beschuldigten stehen demnach im Verdacht, „Handel mit Betäubungsmitteln, gefälschten Dokumenten, illegal erlangten Daten und anderen inkriminierten Gütern“ über den Messenger-Dienst „Telegram“ betrieben zu haben.

In den übernommenen Telegram-Kanälen und -Gruppen wurden Sicherstellungsbanner veröffentlicht

An dieser konzertierten Aktion seien mit der „Durchführung strafprozessualer Maßnahmen in eigener Zuständigkeit“ auch die Generalstaatsanwaltschaft Bamberg – Zentralstelle Cybercrime Bayern (ZCB) – und die Staatsanwaltschaften in Bremen, Chemnitz, Essen, Hagen, Konstanz und Mannheim in Zusammenarbeit mit örtlichen Polizeidienststellen beteiligt gewesen.
Auch in der Republik Österreich seien durch die Staatsanwaltschaft Feldkirch mit der Polizei Vorarlberg zeitgleich Durchsuchungen durchgeführt worden.
Im Kontext dieser Maßnahmen habe die Kommunikation in insgesamt neun Chatgruppen des Messengers „Telegram“ mit ca. 8.000 Mitgliedern übernommen und sichergestellt werden können, darunter u.a. „Silk Road“, „Marktplatz//Schwarzmarkt“, „GermanRefundCrew“ oder „Cracked Accounts Shop“. In den übernommenen Kanälen und Gruppen sei ein Sicherstellungsbanner veröffentlicht worden. „Im Rahmen der Durchsuchungen der Wohnungen der Tatverdächtigen konnten zudem über vier Kilogramm Betäubungsmittel, acht Waffen und 8.000 Euro Bargeld sowie zahlreiche weitere Beweismittel, insbesondere Smartphones und diverse Datenträger, sichergestellt werden.“

Darknet-Alternative: Handel mit illegalen Waren und Dienstleitungen über Telegram

Der von ZIT und BKA geführte Teil des Ermittlungskomplexes richte sich gegen 13 Männer im Alter von 18 bis 54 Jahren. Gegen sie bestehe u.a. „der Verdacht des Verschaffens einer Gelegenheit zum unbefugten Erwerb bzw. zur unbefugten Abgabe von Betäubungsmitteln (§ 29 Abs. 1 Ziff. 10 BtMG) bzw. des unerlaubten Handels mit Betäubungsmitteln in teils nicht geringer Menge (§§ 29 Abs. 1, 29a Abs. 1 BtMG).“ Gegen einen 25-jährigen Mann aus dem Landkreis Offenbach habe ein durch die ZIT bei dem Amtsgericht Offenbach am Main erwirkter Haftbefehl vollstreckt werden können. Zudem sei ein weiterer 19-jähriger Mann aus dem Landkreis Offenbach vorläufig festgenommen worden, der noch am 30. Oktober 2020 dem Haftrichter des Amtsgerichts Offenbach am Main vorgeführt werden sollte.
Bei dem Handel mit illegalen Waren und Dienstleitungen über „Telegram“ handele es sich um eine Alternative zu Handelsplattformen im sogenannten Darknet. Dabei erfolge in den teilweise öffentlich zugänglichen Kanälen und Chatgruppen von „Telegram“ die Anbahnung der illegalen Geschäfte, etwa durch mit Bildern beworbene Angebote oder durch Listen verifizierter Händler. Die Abwicklung der illegalen Geschäfte zwischen Händler und Käufer erfolge danach in separaten Chats zwischen einzelnen „Telegram“-Nutzern.

Weitere Informationen zum Thema:

datensicherheit.de, 29.08.2020
Empire Market: Weltgrößter Darknet-Markt nicht mehr erreichbar