[datensicherheit.de, 09.06.2022] Laut einer aktuellen Kaspersky-Studie sind im vergangenen Jahr – 2021 – über 500 Schwachstellen in Routern identifiziert worden, Doch fast drei Viertel der Nutzer (73%) denken demnach dennoch nicht darüber nach, ihren Router aufzurüsten oder zu schützen.

Router eine der größten Bedrohung des IoT

Täglich würden Millionen neue Router in Privathaushalten und an Arbeitsplätzen für WLAN-Verbindungen eingerichtet. Laut der aktuellen Kaspersky-Analyse seien im Jahr 2021 insgesamt über 500 Schwachstellen in Routern entdeckt worden – darunter 87 kritische.

„Die Bedrohungen, welche von anfälligen Routern ausgehen, reichen von E-Mail-Kompromittierung bei Privatanwendern und in Unternehmen bis hin zur physischen Sicherheit von Haushalten.“

Dennoch hätten laut der aktuellen Kaspersky-Studie 73 Prozent noch nie darüber nachgedacht, ihren Router aufzurüsten oder zu schützen. „Dies macht diese Geräte zu einer der größten Bedrohung des ,Internet of Things‘.“

Router als Knotenpunkt eines Heimnetzwerks

Router seien der Knotenpunkt eines Heimnetzwerks, über welchen alle Geräte eines „Smart Home“ auf das Internet zugriffen und Daten austauschten. „Durch die Infizierung eines Routers verschaffen sich Angreifer Zugriff auf dieses Netzwerk, über das Daten übertragen werden.“

So könnten sie Malware auf den angeschlossenen Computern und Endgeräten installieren, um sensible Daten, private Fotos oder Geschäftsdateien zu stehlen – und dem Nutzer möglicherweise irreparablen Schaden zuzufügen. Angreifer könnten zudem Anwender auf Phishing-Seiten umleiten, die sich als häufig genutzte Webmail- oder Online-Banking-Seiten tarnen.

„Alle Daten, die auf diesen Seiten eingegeben werden – seien es Zugangsdaten, Passwörter oder Bankkarteninformationen –, gelangen dann in die Hände der Cyber-Kriminellen.“

Cyber-Kriminelle können Authentifizierung umgehen, Fernbefehle an einen Router senden oder ihn sogar außer Gefecht setzen

2020 sei die Zahl der entdeckten Schwachstellen auf 603 gestiegen, etwa dreimal so viele wie im Jahr davor. 2021 sei die Zahl der entdeckten Sicherheitslücken mit 506 ähnlich hoch gewesen. Von allen in diesem Zeitraum entdeckten Sicherheitslücken seien 87 kritisch gewesen. Durch solche Schwachstellen könnten Cyber-Kriminelle die Authentifizierung umgehen, Fernbefehle an einen Router senden oder ihn sogar außer Gefecht setzen.

„Obwohl Forscher inzwischen auf viel mehr gefundene Schwachstellen aufmerksam machen als früher, gehören Router nach wie vor zu den am wenigsten gesicherten technischen Geräten. Einer der Gründe dafür ist, dass einige Hersteller bestehende Gefahren nicht unmittelbar beseitigen.“ So seien fast ein Drittel der im Jahr 2021 entdeckten kritischen Sicherheitslücken ohne jegliche Reaktion seitens der Hersteller bestehen geblieben. „Sie veröffentlichten weder Patches noch Empfehlungen. Bei weiteren 26 Prozent solcher Schwachstellen wurde lediglich die Empfehlung ausgesprochen, den technischen Support zu kontaktieren.“

Neben einer zunehmenden Aktivität von Angreifern verfügten Privatnutzer und kleine Unternehmen zumeist nicht über das Fachwissen oder die Ressourcen, um eine Bedrohung rechtzeitig zu erkennen und Schaden abzuwenden. Die Tatsache, dass nahezu drei Viertel der Anwender (73%) noch nie darüber nachgedacht hätten, ihren Router aufzurüsten, stelle insbesondere in sensiblen Umgebungen wie Krankenhäusern oder Regierungsgebäuden ein Risiko dar, „da dort ein Datenleck möglicherweise schwerwiegende Auswirkungen haben kann“.

Viele Menschen arbeiten im Home-Office – aber die Sicherheit der Router hat sich nicht verbessert

„Viele Menschen arbeiten seit zwei Jahren von zu Hause aus, aber die Sicherheit von Routern hat sich in dieser Zeit nicht verbessert, da sie selten upgedated werden“, berichtet Maria Namestnikova, Leiterin des russischen „Global Research and Analysis Team“ (GReAT) bei Kaspersky. Daher bestehe auch aktuell weiterhin die Gefahr, dass Schwachstellen in Routern von Cyber-Kriminellen ausgenutzt würden.

Es sei wichtig, einer Bedrohung so früh wie möglich vorzubeugen, da ein Angriff häufig erst als solcher erkannt werde, „wenn es schon zu spät ist und relevante Daten oder finanzielle Mittel bereits entwendet wurden“.

Wenn ein Router erworben wird, sollte die Netzwerksicherheit genauso wichtig sein wie die Geschwindigkeit der Datenübertragung. Nutzer sollten Produktbewertungen lesen und darauf achten, wie schnell Hersteller auf Bedrohungen reagieren. „Außerdem sollten sie ihre Geräte aktualisieren, sobald Patches verfügbar sind, um den Verlust von sensiblen Daten und Geld vorzubeugen“, rät Namestnikova.

Kaspersky gibt Tipps zum Schutz für Router:

• Gebrauchte smarte Geräte zu kaufen, sei unsicher, da deren Firmware von den Vorbesitzern verändert worden sein könnte, um Angreifern die volle Kontrolle über ein „Smart Home“ zu ermöglichen.
• Stets das Standardpasswort in ein komplexes Passwort ändern!
• Sowohl Anwendungen als auch Geräte stets auf dem aktuellen Stand halten und Updates dafür zeitnah installieren!
• Seriennummern, IP-Adressen oder andere sensible Informationen der intelligenten Geräte niemals weitergegeben, schon gar nicht in Sozialen Netzwerken!
• WPA2-Verschlüsselung nutzen, da sie die sicherste Form der Datenübertragung darstelle!
• Den Fernzugriff in den Einstellungen des Routers deaktivieren, sofern er nicht genutzt wird!
• Eine statische IP-Adresse wählen, DHCP deaktivieren sowie das eigene WLAN mit einem MAC-Filter schützen! „Diese Maßnahmen führen zwar dazu, dass die Verbindung verschiedener zusätzlicher Geräte mit dem Router manuell konfiguriert werden muss und der Prozess dadurch länger und komplexer wird, es macht es jedoch auch wesentlich schwieriger, in das lokale Netzwerk einzudringen.“
• Eine spezielle Sicherheitslösung installieren, um das Heimnetzwerk und alle angeschlossenen Geräte vor Cyber-Bedrohungen zu schützen!

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 08.06.2022
Router security in 2021

datensicherheit.de, 03.08.2021
Warnung von Tenable: Millionen anfälliger ungeschützter Router / Tenable weist auf Risiko von Software-Bibliotheken hin

datensicherheit.de, 02.07.2020
Router: Gravierende Sicherheitsmängel als Standard / Rainer M. Richter kommentiert aktuelle Erkenntnisss des Fraunhofer-Instituts FKIE

datensicherheit.de, 27.06.2020
Fast alle getesteten Router mit Sicherheitsmängeln / „Home Router Security Report 2020“ vom Fraunhofer FKIE veröffentlicht

[datensicherheit.de, 27.09.2021] Die „Pandemie“ habe die Welt des sogenannten Datings nachhaltig umgekrempelt: Mehr als jeder Dritte Deutsche habe schon Erfahrungen mit Online-Dating gemacht. Auch „Mobile Dating“ sei ein Trend, welcher aus der „Pandemie“ hervorgegangen sei. „Statista prognostiziert bis 2024 über 275 Millionen weltweite Nutzer. Forscher von Check Point Research (CPR) entdeckten mehrere kritische Schwachstellen in der Website und der mobilen App der amerikanischen Singlebörse ,OkCupid‘, einem der weltweit führenden kostenlosen Online-Dating-Dienste mit mehr als 50 Millionen Nutzern in 110 Ländern, und half, diese zu beheben“, berichtet Christine Schönig, „Regional Director Security Engineering CER“, „Office of the CTO“, bei der Check Point Software Technologies GmbH. Obwohl sich die Plattformen mittlerweile um mehr Sicherheit bemühten, wurden selbst bei den großen Anbietern, wie z.B. „Tinder“, Sicherheitslücken entdeckt.

Christine Schönig, Bild: Check Point Software Technologies GmbH

Christine Schönig: Jeder Nutzer von Dating-Diensten sollte stets Vorsicht walten lassen!

Risiken für Nutzer beim Online-Dating:

Eines der größten Risiken für Nutzer, welche freizügige Fotos teilen, sei die Möglichkeit, dass diese Bilder als Erpressung verwendet würden. Bei der Registrierung für eine App werde eine große Menge an persönlichen Informationen preisgegeben, welche auch von Cyber-Kriminellen, die sich bei der App anmeldeten, zur Erpressung der Mitglieder verwendet werden könne.
Daneben sei eine der besten Techniken, die Hacker in Dating-Apps einsetzten, die Erstellung eines attraktiven Profils. Schönig erläutert: „Sobald ein Chat zustande kommt und Dateien ausgetauscht werden, können sie jede Art von Malware in der gesendeten Datei verstecken. Zum Beispiel in einem Foto eine Spyware, die in der Lage ist, die Passwörter des Benutzers abzugreifen.“

Fake-Dating-Accounts: Betrug und Identitätsdiebstahl drohen

Manchmal werde mit solchen Fake-Accounts nach langer Online-Beziehung und ohne sich je gesehen zu haben, auch ganz unverblümt nach Geld gefragt. Als Begründung werde hierbei häufig angegeben, dass man das Zugticket, um sich endlich mal persönlich zu treffen, nicht bezahlen könne.
Eine weitere Masche der Cyber-Kriminellen sei außerdem der Identitätsdiebstahl. „Kriminelle sind durch die im Netz preisgegebenen Daten dazu in der Lage, die Identität zu imitieren und diese für ihre betrügerischen Absichten einzusetzen“, warnt Schönig.

Im Darkweb Hunderte gestohlener Dating-App-Profile

Erschreckend zudem sei: „Mit gestohlenen oder gefälschten Konten wird Handel betrieben. Im ,Darkweb‘ finden sich Hunderte von geklauten Dating-App-Profilen, die zu einem hohen Preis verkauft werden. Hinzu kommt natürlich stets die Gefahr, dass der Anbieter durch Hacker die sensiblen Daten verliert.“
Im Jahr 2016 sei eine Dating-Website gehackt und die Daten von 32 Millionen Nutzern seien gestohlen worden, darunter sogar einige, „die sich bereits von den Diensten abgemeldet hatten“. Zu den Daten gehörten demnach E-Mails, Passwörter und persönliche Kontoinformationen, „die unter anderem verkauft und für nachfolgende Phishing- oder Malware-Angriffe verwendet wurden“.

In Dating-Apps genau überlegen, welche Informationen mit wem geteilt werden!

Jeder Nutzer dieser Dienste sollte stets Vorsicht walten lassen, welche Informationen er mit wem teilt – besonders angesichts der Tatsache, dass wegen der Zunahme von Fernarbeit und sogenanntem Home-Office oft private Geräte mit dem Firmennetzwerk verbunden oder die Arbeitsgeräte auch für private Zwecke genutzt würden.
Auf diese Weise könnten sogar Unternehmen als Neben-Effekt ins Visier von Hackern geraten, welche Informationen mittels Spyware oder anderer Schad-Software stehlen wollten.

Weitere Informationen zum Thema:

Check Point SOFTWARE TECHNOLOGIES LTD., 28.07.2020
Avoiding Dating Disasters: Check Point Research Helps to Mitigate Significant Vulnerabilities in OkCupid’s Website and Mobile App / Check Point researchers demonstrate how a hacker could have accessed users’ sensitive data – full profile details, private messages, images and email addresses – on OkCupid, the leading free online dating platform

datensicherheit.de, 29.07.2020
OkCupid: Singles im Hacker-Fadenkreuz / Check Point Research informierte Entwickler von OkCupid rechtzeitig über Schwachstellen

datensicherheit.de, 07.09.2019
facebook-Dating – aus Datenschutzsicht bedenklich / Neuer Dienst soll in Europa 2020 zur Verfügung stehen

datensicherheit.de, 15.08.2016
Dating-Portale durch Luring Attacks über TOR-Netzwerk bedroht / Vielzahl an Fake-Profilen zum Ködern von Nutzern

[datensicherheit.de, 22.03.2021] Prof. Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), hält nach eigenen Angaben die geplante Neufassung des Bundespolizeigesetzes für verfassungsrechtlich bedenklich: „Die Befugnisse der Bundespolizei sollen erweitert und den Möglichkeiten des Bundeskriminalamtes angeglichen werden. Dabei wird verkannt, dass es sich bei der Bundespolizei um eine Sonderpolizei mit begrenztem Aufgabenspektrum handelt. Sie soll Bahnhöfe, Flughäfen und die Landesgrenze schützen.“ Zur Novelle des Bundespolizeigesetzes habe sich der BfDI gegenüber dem Deutschen Bundestag unter anderem in einer schriftlichen Stellungnahme geäußert.

Bundespolizei könnte präventiv Telekommunikation der Bürger überwachen

Zukünftig soll demnach die Bundespolizei präventiv die Telekommunikation der Bürger überwachen dürfen – dies betreffe auch Fälle ohne konkreten Anfangsverdacht. Hierbei wäre die Schwelle angesichts der Tiefe eines solchen Grundrechtseingriffs viel zu niedrig angesetzt. Außerdem solle der Bundespolizei eine sogenannte „Quellen-TKÜ“ ermöglicht werden, mit der letztendlich Smartphones und Laptops infiltriert und ausgespäht werden könnten.
Problematisch daran sei, dass hierfür gezielt Sicherheitslücken ausgenutzt werden müssten. Dies senke das Sicherheitsniveau für alle digitalen Kommunikationsgeräte. Schließlich solle die Bundespolizei auch die Möglichkeit für eine „echte“ Online-Durchsuchung bekommen.

Erweiterte Befugnis der Bundespolizei zu erkennungsdienstlichen Maßnahmen

Die Befugnis der Bundespolizei zu erkennungsdienstlichen Maßnahmen wie etwa das Abnehmen von Fingerabdrücken oder das Anfertigen von Fotos einer Person, solle mit dem neuen Entwurf auf Fälle noch gar nicht begangener Straftaten erweitert werden. Auch hierbei stelle sich die Frage, „ob die im Gesetzentwurf vorgesehene Eingriffsschwelle einer möglichen verfassungsgerichtlichen Prüfung standhält“.
Die europäischen Vorgaben zu den wesentlichen Aufsichtsbefugnissen der Datenschutzbehörden würden im Entwurf nur ansatzweise umgesetzt. „Damit werden dem BfDI unnötige Hürden für die Ausübung seiner Datenschutzkontrolle auferlegt.“

Neufassung des Bundespolizeigesetzes könnte zu Vertragsverletzungsverfahren führen

Die sei besonders problematisch, weil an anderer Stelle die bisher vorgesehene datenschutzrechtliche Vorabprüfung und Beratung durch die sogenannten Errichtungsanordnungen ersatzlos gestrichen worden sei. Kelber warnt:
„Das beschädigt den Rechtsstaat. Aufgrund der mangelhaften Umsetzung meiner Befugnisse in nationales Recht halte ich ein Vertragsverletzungsverfahren der EU-Kommission gegen die Bundesrepublik Deutschland für möglich.“

Weitere Informationen zum Thema:

datensicherheit.de, 12.02.2021
Bundespolizeigesetz: DAV sieht Licht und Schatten

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, 09.03.2021
Stellungnahme zur Modernisierung der Rechtsgrundlagen der Bundespolizei

[datensicherheit.de, 22.03.2021] Sicherheitsforscher von McAfee haben nach eigenen Angaben „vier kritische Sicherheitslücken in ,Netop Vision Pro‘“, einer in Deutschland verbreiteten Software für erweitertes Klassenraum-Management, entdeckt. Software dieser Art werde seit dem Beginn der „Covid-19-Pandemie“ von vielen deutschen Schulen eingesetzt, um „Home Schooling“ zu ermöglichen. Bereits in vergangenen Monaten sei es vermehrt zu ähnlichen Sicherheitsvorfällen gekommen, wie etwa der Schwachstelle in der Schul-App „Anton“ oder der gravierenden Sicherheitslücke in der „Schulcloud-Lösung“ des Hasso-Plattner-Instituts.

McAfee-Warnung: Hacker könnten private Daten abgreifen

Die Sicherheitslücken in der „Netop“-Software ermöglichten es Hackern, die volle Kontrolle über die Rechner der Schüler zu erhalten – und somit Ransomware einzuschleusen, private Daten abzugreifen oder sich Zugriff zu anderen Accounts auf dem Rechner und lokalen Netzwerk zu verschaffen.
Mangelnde Verschlüsselung, das grundsätzlich unsichere Design und „LPE“-Schwachstellen der Software führten dazu, dass die Hacker Lernbefehle emulierten und Geräte somit vollständig kompromittieren könnten. Auch der Zugriff auf die Webcams der Schüler wäre dadurch möglich.

Erkenntnisse des McAfee Advanced Threat Research Teams:

• Fehlende Verschlüsselung im gesamten Netzwerk-Traffic und keine Verschlüsselungsoption in der Konfiguration: Dadurch werde es jedem im lokalen Netzwerk ermöglicht, dem Unterricht zuzuhören und den Inhalt der Bildschirme der Schüler einzusehen.
• Die Schwachstelle ermögliche das Einschleusen von Ransomware in sämtliche Schulcomputer des Netzwerks, wodurch die komplette Infrastruktur der Schule lahmgelegt werden könnte.
• Ein heimlicher Angreifer könnte unbemerkt Keylogging-Software installieren und die Bildschirme der Schüler überwachen, was dazu führen könnte, dass Social-Media- oder Finanzkonten kompromittiert würden.
• Hacker könnten sich außerdem Zugriff auf die Webcams der Schüler verschaffen – und somit nicht nur den digitalen Raum infiltrieren, sondern auch das physische Umfeld der größtenteils minderjährigen Schüler.

Nach Veröffentlichung der Erkenntnisse des McAfee-Forscherteams sicherere Version herausgegeben

Die Schwachstelle in „Netop Vision Pro“ zeige einen einzigartigen und situationsbedingten Angriffsvektor auf, welcher sich durch die Verbreitung von „Home Schooling“ im Rahmen der „Covid-19-Pandemie“ ergeben habe. Die potenziellen Auswirkungen und Schäden von Sicherheitslücken wie dieser seien „enorm“ – und die Forschungserkenntnisse verdeutlichten nunmehr die Notwendigkeit, neue Technologien im Rahmen von „Home Schooling“ genauer zu untersuchen und zu schützen.
Nach Veröffentlichung der Erkenntnisse des McAfee-Forscherteams habe Netop Vision Pro mittlerweile eine sicherere Version der Software zur Verfügung stellen können, welche Schulen direkt implementieren könnten.

Weitere Informationen zum Thema:

datensicherheit.de, 31.07.2020
Home-Office: McAfee-Sicherheitstipps gegen Schatten-IT

McAfee, Judith Bitterli, 21.03.2021
Keep Remote Classes Safe and in Session: What You Need to Know About Netop Vision Pro

McAfee, Sam Quinn & Douglas McKee, 21.03.2021
Netop Vision Pro – Distance Learning Software is 20/20 in Hindsight

ZEIT ONLINE, 28.02.2021
Digitaler Unterricht: Sicherheitslücke bei der HPI-Cloud

[datensicherheit.de, 07.03.2021] Egal, ob Überwachungskameras für Häuser und Firmen, Babycams, der Saugroboter oder die smarte Schließanlage – immer öfter fänden IoT-Geräte den Weg in Netzwerke und öffneten damit „Tür und Tor“ für Hacker-Attacken. Nahezu jedes Device habe teils gravierende Lücken, warnen Security-Experten von IoT Inspector:

Bewusstsein für IoT-Sicherheit weder bei Anwendern, noch Herstellern oder Inverkehrbringern wirklich vorhanden

Das Bewusstsein für die notwendige Sicherheit dieser Geräte sei weder bei den Anwendern, noch bei den Herstellern oder Inverkehrbringern wirklich vorhanden. „Ein im Klartext aus dem Staubsauger auslesbarer WLAN-Schlüssel oder ein für den Benutzer unsichtbares Admin-Account mit gefährlichem Vollzugriff in der Firmware einer Überwachungskamera, der vom OEM-Hersteller in China stammt, sind dabei nur einige der immensen Sicherheitslücken, die wir immer wieder sehen“, erläutert Rainer M. Richter, Geschäftsführer von IoT Inspector.
Sein Unternehmen hat demnach die Sicherheitsprüfung der Firmware smarter Devices automatisiert und ermögliche so in wenigen Minuten eine tiefe Analyse, „die eine Vielzahl von Schwachstellen aufdeckt und deren gezielte Behebung ermöglicht“. Auch Verletzungen internationaler Vorgaben zu IT-Sicherheit würden durch den integrierten „Compliance Checker“ geprüft.

IoT-Devices im privaten Einsatz können leicht gehackt werden

Eine besondere Gefahr sehen die Experten dabei „in der drastischen Zunahme von Menschen im Home-Office“: IoT-Devices im privaten Einsatz könnten leicht gehackt werden, erlaubten z.B. den Zugriff auf ein WLAN und erhöhten damit das Infektionsrisiko für sich darin befindende Computer und andere IT-Komponenten. Der Schritt in ein abgesichertes Firmennetzwerk – beispielsweise per VPN-Verbindung – sei dann nur noch der krönende Abschluss einer möglichen Hacker-Strategie.
Aber auch direkt in Unternehmen seien mehr und mehr smarte Geräte mit Internetverbindung unterwegs: Nicht nur Fertigungssteuerungen, auch Schließ- und Überwachungssysteme seien rund um die Uhr online. „Es muss sich scheinbar erst etablieren, dass der mit IoT-Geräten in der IT-Infrastruktur verbundene Komfort auch beachtliche Sicherheitsrisiken mit sich bringt. Wer sich längst an Firewall und Virenscanner gewöhnt hat, darf in Punkto IT-Security nicht bei smarten Devices – also IoT Devices – aufhören“, betont Richter.

IoT-Geräte wie Drucker, Router, smarte Licht- und Klimakontrollen als potenzielle Einfallstore

IoT-Geräte umfassten auch Drucker, Router, smarte Licht- und Klimakontrollen, die sich ebenfalls als potenzielles Einfallstor für Hacker eigneten. Sie könnten als sogenannte Trojanische Pferde missbraucht werden und so die Infiltration von Netzwerken, den Diebstahl von Daten oder die Platzierung von Ransomware ermöglichen. Dabei seien zahlreiche der bereits von IoT Inspector durchleuchteten Devices auch in Kritischen Inftrastrukturen (KRITIS) im Einsatz – ein immenses Risiko und gleichzeitig ein Bruch der Vorgaben an IT-Compliance.
Gleichzeitig müsse auch klar sein, dass IoT-Security nicht durch eine einmalige Prüfung dauerhaft gegeben sein könne. Jedes Firmware-Update – von der smarten Kamera über den Router und jede weitere IoT-Anschaffung – berge das Risiko neuer Sicherheitslücken. „Eine Überwachungsfunktion innerhalb der IoT Inspector-Plattform ermöglicht die tägliche Prüfung auf neue Risiken und die laufende Einhaltung der internationalen Vorgaben, die sich je nach Land auch von Zeit zu Zeit ändern“, berichtet Richter.

Weitere Informationen zum Thema:

datensicherheit.de, 09.12.2020
Tausende IoT-Schwachstellen unter dem Weihnachtsbaum

datensicherheit.de, 26.08.2020
Die Top 5 Mythen der IoT-Sicherheit / Palo Alto Networks rät, sich in der IoT-Welt auf das Netzwerk und die gesamte Datenumgebung zu konzentrieren, anstatt auf das spezifische Gerät

datensicherheit.de, 19.08.2020
IoT-Sicherheit: 7 zentrale Erkenntnisse / Palo Alto Networks betont Bedeutung Maschinellen Lernens für verbesserte IoT-Sicherheit

datensicherheit.de, 07.08.2020
IoT allerorten: Von Türklingeln über Aquarien bis zu Kernkraftwerken / Palo Alto Networks rückt Sicherheit der IoT in den Fokus und betont deren zentrales Merkmal der allgegenwärtigen Konnektivität

[datensicherheit.de, 23.02.2021] Kaum eine andere App stehe aktuell medial so sehr im Fokus wie Clubhouse. Nun berichteten Experten von eine ersten „Data Breach“ auf dieser Plattform:

Satnam Narang, Staff Research Engineer beim IT-Sicherheitsanbieter Tenable, Foto: Tenable

Satnam Narang: Nicht überraschend, dass Hacker einen Weg fanden, Clubhouse-API zu zerlegen…

Clubhouse-Audio-Feeds aus mehreren Räumen auf eigene Website gestreamt

„Clubhouse“ habe einen Datensicherheitsverstoß erlitten, „nachdem ein Entwickler in China eine Open-Source-App entwickelt hatte, mit der ,Android‘-Benutzer auf die App, die eigentlich nur für iPhone verfügbar ist, zugreifen konnten“.
Eindringlinge hätten so auch „Clubhouse“-Audio-Feeds aus mehreren Räumen auf ihre eigene Website streamen können. „Clubhouse“ habe den Benutzer inzwischen dauerhaft gesperrt und Schutzmaßnahmen angekündigt, um weitere Verstöße zu verhindern.

Clubhouse – Popularität der exklusiven App im letzten Jahr extrem stark zugenommen

„Trotz der Exklusivität von ,Clubhouse‘ – die App ist nur auf Einladung verfügbar und auf iOS-Geräte beschränkt – hat dessen Popularität im letzten Jahr extrem stark zugenommen“, erläutert Satnam Narang, „Staff Research Engineer“ beim IT-Sicherheitsanbieter Tenable.
Daher sei es nicht überraschend, dass Hacker einen Weg gefunden hätten, die „Clubhouse“-API (Application Programming Interface) zu zerlegen und zu analysieren. Narang berichtet: „Nun veröffentlichten sie Open-Source-Tools, mit denen sie Inhalte aus Räumen extrahieren und schließlich einen Klon der App für ,Android‘-Geräte entwickeln konnten.“

Clubhouse sollt offiziellen Offenlegungsprozess für Schwachstelle einführen

In diesem Fall seien die Absichten des Benutzers klar: „Sie wollten die Anwendung ohne iOS-Gerät verwenden.“ Es könnte aber auch andere, kriminelle Personen geben, die Gespräche führten und / oder als sogenannte Geister-Benutzer (nicht in einem Raum sichtbar, aber in der Lage zu chatten) in öffentlichen und privaten Räumen sprächen und gegen die Auflagen der App in Sachen Datenschutz und Diskretion verstießen.
Es bestehe auch die Wahrscheinlichkeit, dass Schwachstellen auf der gesamten Plattform verblieben, die noch entdeckt und offengelegt werden müssten. Narang kommentiert: „Wir hoffen, dass ,Clubhouse‘ einen offiziellen Offenlegungsprozess für Schwachstelle einführt, damit Sicherheitsprofis ,Clubhouse‘ dabei helfen können, seine wachsende Plattform und letztendlich seine Benutzer besser zu schützen.“

Weitere Informationen zum Thema:

datensicherheit.de, 14.02.2021
Zerologon: Microsoft schloss kritische Schwachstelle

datensicherheit.de, 02.02.2021
Clubhouse: Prof. Dr. Johannes Caspar adressiert App-Betreiber / Auskunft über den Schutz der Privatsphäre im App-Umfeld gefordert

datensicherheit.de, 21.01.2021
Clubhouse: Audio-Chat-App mit Datenschutzmängeln / Neue App hat auch in Deutschland einen Hype ausgelöst

[datensicherheit.de, 29.09.2020] Malewarebytes hat mach eigenen Angaben in seinem neuesten Cyber-Sicherheitsbericht für 2020 gravierende Sicherheitslücken und Gefahren für kleine und mittlere Unternehmen (KMU) durch Mitarbeiter im Home-Office aufgedeckt – „ein Anstieg von 22 Prozent bei Sicherheitsverletzungen seit Beginn der ,Pandemie‘ und gestiegene Kosten für die Behebung entstandener Schäden“. Dies sei ein Ergebnis einer Umfrage unter Entscheidungsträgern im Bereich IT- und Cyber-Sicherheit. Des Weiteren hätten 28 Prozent der KMU seit Beginn der „Pandemie“ unerwartete Kosten für die Behebung eines Malware-Angriffs oder einer Sicherheitsverletzung gehabt. So ziele insbesondere die Malware „NetWiredRC“ auf KMU ab.

Sicherheitsverletzungen zugenommen, seit Unternehmen auf Work from Home umstiegen

In dem aktuellen Cyber-Sicherheitsbericht „Enduring from Home – Auswirkungen von Covid-19 auf die Unternehmenssicherheit“ hat Malwarebytes demnach „massive Sicherheitsrisiken für kleine und mittlere Unternehmen“ aufgedeckt. Der Bericht kombiniere von Malwarebytes erhobene Daten mit den Ergebnissen einer Umfrage unter 200 IT- und Cyber-Sicherheits-Entscheidungsträgern.
Die Daten zeigten, dass das Potenzial für Cyber-Angriffe und Sicherheitsverletzungen zugenommen habe, seit Unternehmen auf ein „Work from Home“-Modell (WFH) umgestiegen sind. 22 Prozent der befragten KMU gäben an, dass sie seit Beginn der „Pandemie“ mit einer Sicherheitsverletzung durch einen Remote-Mitarbeiter konfrontiert gewesen seien.

Gefahrenquelle: Einsatz privater, ungesicherter Geräte der Mitarbeiter im Home-Office

Das bringe Kosten mit sich: 28 Prozent der Befragten sagten, dass sie für unerwartete Kosten für die Behebung einer Cyber-Sicherheitsverletzung oder eines Malware-Angriffs aufkommen müssten. Eine Gefahrenquelle stelle dabei der Einsatz von privaten, ungesicherten Geräten der Mitarbeiter dar: 33 Prozent der Mitarbeiter aus KMU nutzten private Geräte häufig auch für die Arbeit.
Diese und weitere Zahlen belegten, dass gerade KMU aktuell Hauptziel von Cyber-Kriminellen seien: „Sie liegen teilweise deutlich über den Durchschnittswerten, die für Unternehmen aller Größenordnungen ermittelt wurden.“

Mehrheit der KMU möchte in Zukunft dauerhaftes, sicheres Home-Office-Modell für Mitarbeiter installieren

Noch beunruhigender als solche Vorkommnisse sei die Tatsache, dass KMU häufig trotzdem keine adäquaten Maßnahmen ergriffen: „Während beispielsweise die Mehrheit der KMU angibt, dass sie in Zukunft ein dauerhaftes, sicheres Home-Office-Modell für die Mitarbeiter installieren wollen, gab die gleiche Anzahl von KMU an, dass sie keine Virenschutz-Lösung planen, die speziell die Remote-Belegschaft schützt.“
Und obwohl sich die KMU weitgehend darin einig seien, dass sie während der „Pandemie“ vermehrt Videokonferenzen, Online-Kommunikation und Cloud-Speicherplattformen nutzten – wodurch sie Cyber-Kriminellen mehr Angriffsfläche böten – gebe eine besorgniserregende Anzahl von Befragten an, dass sie diese Software-Tools nicht bezüglich Cyber-Sicherheit oder Datenschutz prüften, bevor sie diese den Mitarbeitern zur Verfügung stellen.

Wechsel ins Home-Office hat Notwendigkeit umfassender Sicherheitskonzepte dramatisch unterstrichen

„Der Wechsel zur Arbeit im Home-Office hat die Notwendigkeit eines umfassenden Sicherheitskonzepts sowie IT-Anleitungen und Schulungen zur Vermeidung von Sicherheitsverletzungen dramatisch unterstrichen. Viele Organisationen haben die Lücken in ihren Cyber-Sicherheitsplänen nicht behoben als sie zu einer Remote-Belegschaft übergingen – mit massiven Sicherheitsproblemen als Folge“, berichtet Marcin Kleczynski, „CEO“ und Mitgründer von Malwarebytes.
Die Verwendung von mehr, oft unautorisierten, Geräten offenbare die dringende Notwendigkeit eines vollständigen, mehrstufigen Sicherheitsmodells sowie neuer Richtlinien für die Arbeit von zu Hause aus. „Unternehmen waren noch nie einem größeren Sicherheitsrisiko ausgesetzt als jetzt und Hacker werden immer aktiver“, warnt Kleczynski.

Home-Office im Visier: Phishing- und Malware-Attacken

In Bezug auf die Bedrohungslandschaft beobachteten die Sicherheitsforscher von Malwarebytes, dass Cyber-Kriminelle sich darauf spezialisiert hätten, unsachgemäß gesicherte Firmen-VPNs, cloud-basierte Dienste und geschäftliche E-Mails für sich zu nutzen. Auch die Zahl von Phishing-E-Mails, die „Covid-19“ als Köder benutzten, sei stark angestiegen. Diese E-Mails enthielten Malware wie „AveMaria“ und „NetWiredRC“, die Remote-Desktop-Zugriff, Steuerung der Webcam, Passwortdiebstahl und mehr ermöglichten.
Daten von Malwarebytes zeigten, dass „AveMaria“ von Januar bis April 2020 einen enormen Anstieg von 1.219 Prozent verzeichne. „In ähnlicher Weise beobachten die Sicherheitsforscher bei ,NetWiredRC‘ einen 99-prozentigen Anstieg von Januar bis Juni 2020, wobei in erster Linie kleine und mittelständische Unternehmen im Visier waren.“

Malwarebytes-Sicherheitsforscher empfehlen folgende Maßnahmen für KMU:

• Cyber-Sicherheitsschulungen für alle Mitarbeiter, die nicht nur auf die Bedrohungen im Home-Office zugeschnitten sind, sondern auch auf solche, denen die Mitarbeiter je nach ihren beruflichen Verpflichtungen und dem Grad des Unternehmenszugangs ausgesetzt sind.
• Nutzung einer aktuellen Virenschutz-Lösung.
• Regelmäßiges Einspielen der Updates.
• Einführung kontinuierlicher Datenschutz- und Cyber-Sicherheitsprozesse: Dabei nicht nur an interne Produkte denken, sondern auch an externe, neue Zugänge der Mitarbeiter.

Weitere Informationen zum Thema:

Malwarebytes
Enduring from home: COVID-19’s impact on business security

datensicherheit.de, 21.08.2020
Mitarbeiter im Home-Office: Malwarebytes warnt vor massiven Sicherheitslücken / Malwarebytes veröffentlicht aktuellen Cyber-Sicherheitsberichts zu den Auswirkungen von „Covid-19“ auf die Unternehmenssicherheit

datensicherheit.de, 01.09.2020
Mitarbeitergeräte: Tickende Zeitbomben nach dem Home-Office / Wechsel vieler Mitarbeiter in das Home-Office zu Beginn der „Corona“-Kontaktbeschränkungen oft überhastet

datensicherheit.de, 19.08.2020
Mittelstand im Home-Office: 5 IT-Sicherheits-Tipps / Yuriy Yuzifovich gibt Hinweise, wie auch ohne eigene IT-Abteilung Sicher im Home-Office gearbeitet werden kann

datensicherheit.de, 31.07.2020
Home-Office: McAfee-Sicherheitstipps gegen Schatten-IT / Laut neuer McAfee-Studie hat Cloud-Nutzung während der „Corona“-Krise um 50 Prozent zugenommen – damit wuchs auch Risiko der Schatten-IT

[datensicherheit.de, 02.09.2020] Trotz diverser Apple-Sicherheitsmechanismen stoßen Sicherheitsforscher von Malwarebytes nach eigenen Angaben „bei Mac-Geräten weiterhin auf Sicherheitslücken“. Mit „macOS Mojave“ sei zwar ein neues, zusätzliches Sicherheitsverfahren eingeführt worden, um Anwender noch besser vor Malware zu schützen, doch Sicherheitsrisiken blieben weiterhin bestehen.

Mac-Software außerhalb des AppStores ohne Überprüfung

Das Sicherheitsverfahren „Notarizing“ sei als Ergänzung zum bereits bestehenden „Code-Signing“-Prozess eingeführt worden. Der „Code-Signing“-Prozess sei ein kryptographisches Verfahren, welches es einem Entwickler ermögliche, die Software durch Apple zu authentifizieren.
Dabei werde sowohl geprüft, „wer die Software erstellt hat, als auch die Integrität der Software verifiziert“. Da jegliche „Mac“-Software, die sich außerhalb des „AppStore“ verbreitet, jedoch keinerlei Überprüfung durchlaufe, gebe es einige Sicherheitslücken – und Malware, wie beispielsweise „FruitFly“, bleibe jahrelang unbemerkt.

Schutz für Mac durch Notarizing angestrebt

Angesichts dieses Problems habe Apple als Lösungsansatz das neue Sicherheitsverfahren „Notarizing“ entwickelt.
„Dieses Verfahren beinhaltet, dass Entwickler ihre Software bei Apple einreichen. Die Software durchläuft eine Art automatisierten Scan, um sicherzustellen, dass sie keine Malware enthält, und wird dann entweder abgelehnt oder beglaubigt, sozusagen von Apple als malware-freie Software zertifiziert und im ,AppStore‘ zur Verfügung gestellt.“

Mac-Bedrohungen haben Windows-Bedrohungen erstmalig überstiegen

Die Sicherheitsforscher von Malwarebytes beobachten jedoch nach eigenen Angaben „trotz beider Sicherheitsmechanismen weiterhin diverse Sicherheitslücken für ,Mac‘-Geräte“.
Bereits 2019 hätten die „Mac“-Bedrohungen erstmalig die „Windows“-Bedrohungen überstiegen, so ein Bericht der Sicherheitsforscher.

Weitere Informationen zum Thema:

Malwarebytes LABS, Thomas Reed, 31.08.2020
Apple’s notarization process fails to protect

Malwarebytes, 11.02.2020
Malwarebytes präsentiert neuen Malware-Jahresbericht: Mac-Bedrohungen steigen um 400 Prozent

datensicherheit.de, 21.08.2020
Mitarbeiter im Home-Office: Malwarebytes warnt vor massiven Sicherheitslücken

[datensicherheit.de, 26.08.2020] Avast hat nach eigenen Angaben „schwerwiegende Sicherheitslücken in zwei beliebten TV-Set-Top-Boxen entdeckt“ – diese könnten es Cyber-Kriminellen ermöglichen, Malware auf dieen Geräten zu speichern, um über einen Wetterdienst Botnet- oder Ransomware-Angriffe zu starten.

Foto: Avast

Unter der Lupe im avast IoT Lab: „THOMSON THT741FTA“ (o.) und „Philips DTR3502BFTA“ (u.)

Avast hat beide Hersteller auf Sicherheitslücken hingewiesen

Hersteller der betroffenen Boxen seien die Unterhaltungselektronik-Unternehmen Thomson und Philips: „THOMSON THT741FTA“ und „Philips DTR3502BFTA“ seien europaweit erhältlich und würden häufig von Verbrauchern gekauft, deren Fernsehgeräte DVB-T2 nicht unterstützen.
„DVB-T2 ist das aktuelle digitale Signal für terrestrisches Fernsehen, das Zugang zu zusätzlichen hochauflösenden (HD)-Fernsehdiensten bietet.“
Avast hat demnach beide Hersteller auf diese Sicherheitslücken hingewiesen und ihnen Tipps zur Verbesserung der Produktsicherheit mitgeteilt.

Avast warnt: Geräte mit offenen Telnet-Ports ausgeliefert

Die Untersuchung, geleitet vom „IoT Labor“-Teamleiter Vladislav Iluishin und dem IoT-Bedrohungsforscher Marko Zbirka, habe im Januar 2020 begonnen und sei Teil einer laufenden Initiative von Avast zur Untersuchung und Prüfung der Sicherheitsvorkehrungen von IoT-fähigen Geräten.
Zu Beginn ihrer Analyse hätten Iliushin und Zbirka entdeckt, „dass beide Geräte mit Internetanschluss von ihren Herstellern mit offenen Telnet-Ports ausgeliefert werden“. Dabei handele es sich um ein mehr als 50 Jahre altes, unverschlüsseltes Protokoll, welches für die Kommunikation mit anderen Geräten oder Servern verwendet werde.
Dies könnte es einem Angreifer ermöglichen, Fernzugriff auf die Geräte zu erlangen und sie in Botnetze zu integrieren, um DDoS-Angriffe (Distributed Denial of Service) oder andere bösartige Aktivitäten zu starten. Iliushin und Zbirka sei es gelungen, die Binärdatei des weitverbreiteten „Mirai“-Botnetzes auf beiden Set-Top-Boxen auszuführen.

Hinweis von Avast: Support für Linux-Kernel 3.10.23 im November 2017 ausgelaufen

Die Experten hätten darüber hinaus einen Fehler aufgedeckt, welcher mit der Architektur der Set-Top-Boxen zusammenhänge. Beide Geräte basierten auf dem Programm „Linux-Kernel 3.10.23“, welches 2016 auf den Boxen installiert worden sei.
Es diene als Brücke zwischen der Hardware und der Software der Geräte, indem es der Software genügend Ressourcen zuweise, damit sie ausgeführt werden kann.
Der Support für Version „3.10.23“ sei jedoch im November 2017 ausgelaufen. Patches für Fehler und Schwachstellen seien also nur ein Jahr lang vor dem Ende des Supports herausgegeben worden – seitdem seien die Benutzer potenziell Angriffen ausgesetzt.

Avast weist auf unsichere Verbindung zwischen den Boxen und dem „AccuWeather“-Backend hin

Zu weiteren Sicherheitsproblemen der Geräte gehöre eine unverschlüsselte Verbindung zwischen den Set-Top-Boxen und einer vorinstallierten „Legacy“-Anwendung des beliebten Wettervorhersagedienstes „AccuWeather“. Diese Erkenntnis hätten die Forscher durch die Analyse des Datenverkehrs zwischen den Set-Top-Boxen und dem Router gewonnen.
Die unsichere Verbindung zwischen den Boxen und dem „AccuWeather“-Backend könnte es Cyber-Kriminellen ermöglichen, die Inhalte zu verändern, welche „die Benutzer auf ihren Fernsehern sehen, wenn sie die Wetteranwendung nutzen“.
Beispielsweise könnte ein Eindringling eine Lösegeldnachricht anzeigen, „in der er behauptet, der Fernseher des Nutzers sei gekapert worden, und eine Zahlung für die Freigabe des Geräts verlangen“.

IoT-Hersteller denken laut Avast selten darüber nach, wie sie die Bedrohungsoberfläche ihrer Produkte reduzieren können

„Die Hersteller sind nicht nur dafür verantwortlich, bereits vor dem Verkauf ihrer Produkte sicherzustellen, dass die Sicherheitsstandards eingehalten werden, sondern auch dafür, diese und damit ihre Nutzer dauerhaft abzusichern“, stellt Iliushin klar.
Leider dächten IoT-Hersteller selten darüber nach, „wie sie die Bedrohungsoberfläche ihrer Produkte reduzieren können“. Stattdessen verließen sie sich auf das absolute Minimum an IoT- und Kundensicherheit oder ließen sie im Extremfall völlig außer Acht, um Kosten zu sparen und ihre Produkte schneller auf den Markt zu bringen.
Eine vollständige Beschreibung der Erkenntnisse sei auf „Decoded“, dem Threat-Intelligence-Blog von Avast, veröffentlicht worden. „Der Beitrag enthält auch Best-Practice-Sicherheitstipps für die Hersteller dieser Geräte und für Endverbraucher.“

Für Besitzer dieser Set-Top-Boxen hat Avast einige Top-Tipps parat:

• Wenn Sie die internetbasierten Funktionen Ihrer Set-Top-Box nicht unbedingt benötigen, verbinden Sie sie nicht mit Ihrem Heimnetzwerk!
• Informieren Sie sich: Kaufen Sie immer von etablierten, vertrauenswürdigen Marken, die langfristigen Support für Geräte und Sicherheit bieten!
• Für fortgeschrittene Nutzer: Melden Sie sich auf Ihrer Router-Benutzeroberfläche an und überprüfen Sie in den Einstellungen, ob Universal „Plug and Play“ (UPnP) aktiviert ist. Wenn dies der Fall ist, empfehlen wir Ihnen, es zu deaktivieren. Überprüfen Sie außerdem Ihre Port-Weiterleitungskonfiguration und deaktivieren sie diese, es sei denn, dies ist für Ihre Zwecke absolut notwendig.

Im Rahmen der Untersuchung habe sich Avast sowohl mit Philips als auch mit Thomson in Verbindung gesetzt „und teilte die Ergebnisse zusammen mit Vorschlägen zur Verbesserung der Produktsicherheit mit“.

Weitere Informationen zum Thema:

DECODED avast.io, Vladislav Iliushin & Marko Zbirka, 26.08.2020
Flaws in DVB-T2 set-top boxes exposed

datensicherheit.de, 28.08.2019
Avast: Schadsoftware Retadup erfolgreich gestoppt

[datensicherheit.de, 15.05.2020] Nachdem im vergangenen Jahr ein Entwurf für das IT-Sicherheitsgesetz 2.0 an die Öffentlichkeit gelangt und auch von Seiten des Verbands der Internetwirtschaft scharf kritisiert worden war, hat das Bundesministerium des Innern, für Bau und Heimat (BMI) die Beratungen nun wiederaufgenommen und die Ressortabstimmung gestartet.

Backdoors und gezielte Schwächung von Verschlüsselung kontraproduktiv

Für den eco – Verband der Internetwirtschaft müssen im Rahmen des IT-SiG 2.0 die Verantwortlichkeiten und Haftung für IT-Sicherheit ausgewogen geregelt sowie Sicherheitslücken zügig geschlossen werden: Staatliche Backdoors sowie die gezielte Schwächung von Verschlüsselung sind kontraproduktiv für die IT-Sicherheit und gefährden das Vertrauen in die Nutzung digitaler Dienste.

Zu den nun anstehenden Beratungen sagt eco-Vorstand Klaus Landefeld:

„Die mit dem Referentenentwurf geplanten ausgeweiteten Befugnisse für das BSI müssen verhältnismäßig sein. Schnüffelklauseln oder Portscan-Paragraphen in einem IT-Gesetz sind keine Option und untergraben die Vertraulichkeit elektronischer Dienste und Kommunikation: Jede unnötig provozierte Sicherheitslücke könnte künftig von Nachrichtendiensten oder Kriminellen ausgenutzt werden, um an sensible Informationen von Nutzer/innen, Behörden und Firmen zu kommen.“

Auch ist nicht klar, inwieweit das BSI mit der ZITIS-Stelle zusammenarbeitet, so dass sich zusätzlich die Frage ergibt, ob bekannte Sicherheitslücken tatsächlich geschlossen oder nicht doch von Sicherheitsbehörden für deren Zwecke verwendet werden. „Wir erwarten, dass das Verhältnis von BSI und ZITIS klargestellt wird. Das BSI muss zur Durchsetzung von IT-Sicherheit und nur dafür da sein“, so Landefeld.

Klare, transparente, nachvollziehbare und verhältnismäßige Regeln gefordert

Der eco fordert klare, transparente, nachvollziehbare und verhältnismäßige Regeln: „Wir stehen im Bereich der Kritischen Infrastrukturen schon heute vor dem Problem, dass wir umfassende Meldepflichten haben und an Datenschutzbeauftragte und BSI melden müssen.“ Solche Meldepflichten dürfen nicht unendlich ausgeweitet werden, sie müssen für die Unternehmen handhabbar und transparent ausgestaltet werden.

Weitere Informationen zum Thema:

datensicherheit.de, 04.05.2020
Netzwerkdurchsetzungsgesetz: eco veröffentlicht Leitlinien zur Reform

datensicherheit.de, 29.04.2020
eco zum Medienstaatsvertrag: Bundesländer müssen EU-Kritik dringend berücksichtigen