[datensicherheit.de, 31.10.2022] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zur „Awareness“-Veranstaltung zum Thema „Mobile Security – Smartphones und Tablets sicher einsetzen“ ein – dieses Web-Seminar wird demnach in Kooperation mit der IHK Berlin organisiert:

Abbildung: it’s.BB

Mobile Security: it’s.BB lädt zur Online-Veranstaltung ein

Einsatz eines Mobile Device Management Systems empfohlen

„In diesem Seminar erfahren Sie, wie Sie Ihren Kollegen produktives mobiles Arbeiten ermöglichen, ohne die Einhaltung der DSGVO und die Sicherheit Ihrer Firmendaten aus den Augen zu verlieren.“

Anhand der Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) könne gelernt werden, welche Bedrohungsszenarien existieren und wie ihnen unter Einsatz eines „Mobile Device Management“-Systems am besten begegnet werden kann.

Mobile Security – Smartphones und Tablets sicher einsetzen

Mittwoch, 16. November 2022, 16.00 bis 17.00 Uhr
Online über die „MS Teams“-Plattform

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung:
Michael Rödiger, Cortado Mobile Solutions GmbH
Andreas Polzer, IHK Berlin

16.10-16.45 Uhr
• Einleitung
• Auszüge aus der BSI-Studie
• Mobile Device Management
• Bedrohungen mit Mobile Device Management abwehren
• Zusammenfassung
Michael Rödiger, Cortado Mobile Solutions GmbH

16.45-17.00 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema:

it’s.BB
Nov. 16 / Mobile Security – Smartphones und Tablets sicher Einsetzen / Einen Platz reservieren

[datensicherheit.de, 26.11.2020] Sicherheitsforscher von Check Point sind nach eigenen Angaben „einem neuen Trend von Cyber-Kriminellen auf die Spur gekommen“ – versuchte QR-Codes infizieren demnach Smartphones. Hacker machten sich die vermehrte Nutzung dieser Codes wegen der „Corona-Krise“ und die verbundene Panik vieler Menschen vor einer Übertragung durch Berührung zunutze. „Hinzu kommt, dass ein Code erst als schädlich erkannt werden kann, wenn der Nutzer ihn bereits eingelesen hat.“

Foto: Check Point Software Technologies

Christine Schönig rät dringend, eine Sicherheitslösung für Smartphones zu verwenden

Hacker versuchen, über infizierte QR-Codes Zugangsdaten zu stehlen oder betrügerische Anwendungen und Malware zu laden

Hacker versuchten, über infizierte QR-Codes vermehrt Zugangsdaten zu stehlen oder betrügerische Anwendungen und Malware auf die Mobiltelefone der Benutzer zu laden. Die Check Point® Software Technologies Ltd. warnt daher vor gefälschten QR-Codes, deren Nutzung während der „Covid-19-Krise“ explodiert sei.
Hysterie bezüglich der Übertragung von „Covid-19“ durch Berührung habe dazu geführt, dass Restaurants nun QR-Codes eingeführt hätten, damit Kunden mit ihrem Smartphone in Speisekarten blättern oder kontaktlose Zahlungen vornehmen könnten. Außerdem kämen QR-Codes am Eingang von Veranstaltung zur Kontaktverfolgung zum Einsatz.

Hacker nutzen Popularität von QR-Codes aus und ersetzten echte durch verseuchte

Hacker versuchen nun, die Popularität von QR-Codes auszunutzen und ersetzten echte durch verseuchte. Diese öffneten entweder eine infizierte Internet-Adresse oder versuchten, Malware auf das Smartphone herunterzuladen, wenn die QR-Codes eingelesen werden. Anfang 2020 habe die belgische Bundespolizei eine Warnung über einen Online-Betrug mit QR-Codes herausgegeben:
„Der gefälschte Code griff hier auf die Anmeldedaten der Nutzer zu, die für andere Anwendungen auf dem Telefon verwendet werden, wie Bank- und Shopping-Apps.“ Ziel sei es außerdem gewesen, heimlich Geld-Transaktionen auszulösen. Die ING Bank in den Niederlanden habe ebenso vor falschen QR-Codes gewarnt, deren Funktion es sei, eine zweite Person – den Hacker – über die Telefon-App der ING Bank mit den ING-Konten der Kunden zu verbinden.

Rund 38% der Befragten haben QR-Code in einer Gaststätte eingelesen

Eine kürzlich von MobileIron durchgeführte Umfrage habe ergeben, dass von März bis September 2020 rund 38 Prozent der Befragten einen QR-Code in einem Restaurant, einer Bar oder einem Café eingelesen hätten und 37 Prozent im Einzelhandel. „Mehr als die Hälfte (51 Prozent) der Befragten berichteten, dass sie keine Sicherheits-Software auf ihren Telefonen installiert haben oder nicht wissen, ob eine vorhanden ist.“
In vielen Fällen enthielten diese Smartphones sowohl persönliche als auch geschäftliche Anwendungen und Daten, wodurch Unternehmen einem erhöhten Risiko ausgesetzt seien. Der „Cyber Security Report 2020“ von Check Point zeige, dass 27 Prozent der Organisationen weltweit von Cyber-Angriffen über Mobiltelefone betroffen gewesen seien und 34 Prozent direkt von mobiler Malware.

QR-Code nichts Anderes als schnelle und bequeme Möglichkeit, auf Online-Ressource zuzugreifen

„Wir alle dürfen nicht vergessen, dass ein QR-Code nichts Anderes als eine schnelle und bequeme Möglichkeit ist, auf eine Online-Ressource zuzugreifen, und wir können erst dann sicher sein, dass diese Ressource echt ist, wenn wir den Code eingelesen haben. Das aber bedeutet, dass ein Angriff gegebenenfalls schon begonnen hat, während wir noch die Echtheit des QR-Codes prüfen“, erläutert Christine Schönig, „Regional Director Security Engineering CER“, „Office of the CTO“ bei der Check Point Software Technologies GmbH.
QR-Codes seien nicht von Natur aus sicher oder vertrauenswürdig – das sollte jeder bedenken – und Hacker wüssten, dass die Mehrheit der Menschen nur wenig oder gar keine Sicherheits-Software auf ihren Handys installiere. Schönig: „Daher raten wir dringend, eine Sicherheitslösung für Smartphones zu verwenden, um die Geräte und Daten vor Phishing, betrügerischen Anwendungen und Malware zu schützen – und eben vor gefährlichen QR-Codes.“

Weitere Informationen zu Thema:

datensicherheit.de, 25.11.2020
Android: Völlig neuartige Malware bedroht Anwender

mobileIron, 15.09.2020
MobileIron Research Reveals QR Codes Pose Significant Security Risks to Enterprises and End Users

The Brussels Times, 17.01.2020
Police issue warning about QR code fraud

Check Point® SOFTWARE TECHNOLOGIES LTD., 15.01.2020
No Immunity from Cyber Attacks, Shows Check Point Research‘s Cyber Security Report

[datensicherheit.de, 25.11.2020] Mobiles Arbeiten kann die öffentliche Verwaltung beschleunigen und den Mitarbeitern mehr Flexibilität ermöglichen. Werden allerdings private Smartphones verwendet, gingen Länder, Städte und Gemeinden „große Risiken“ ein, warnt Virtual Solution und klärt in einer aktuellen Stellungnahme über die „entscheidenden Fallstricke“ bei „Bring Your Own Device“-Modellen (BYOD) auf.

Foto: Virtual Solution AG

Sascha Wellershoff empfiehlt eine sogenannte Container-Lösung

Bei BYOD stellen sich wichtige rechtliche und technische Fragen

Mitarbeiter in der öffentlichen Verwaltung müssten auch von unterwegs oder im Home-Office mobil auf Dokumente und Fachanwendungen zugreifen können. Für die Kommunikation und Erledigung dieser Aufgaben verwendeten daher viele ihr privates Smartphone oder Tablet.
„Und selbst wenn dienstliche Geräte bereitgestellt werden, wollen die meisten weder veraltete Hard- und Software ihres Arbeitgebers verwenden noch mehrere Mobilgeräte mit sich führen.“ Bei BYOD, also der Integration privater Endgeräte in die behördliche IT-Struktur, stellten sich aber wichtige rechtliche und technische Fragen.

Warnung vor drei entscheidenden BYOD-Fallstricken und Empfehlungen zur Vermeidung:

1. Verbindliche Regelungen und Nutzungsvereinbarungen für Einsatz von Privatgeräten!
   Hat die Behörde die Nutzung privater Endgeräte nicht offiziell geregelt, gälten die gesetzlichen Bestimmungen. Daraus folge eine direkte Auswirkung auf die Haftung: Da die Nutzung des Privatgeräts für die Behörde und in deren Kenntnis und Interesse erfolge, sei sie auch dienstlich veranlasst. Bei einer Beschädigung oder dem Verlust des Geräts während der üblichen Arbeitszeit müssten Länder, Städte und Gemeinden grundsätzlich dafür aufkommen. Ein eventuelles Mitverschulden des Mitarbeiters, etwa wenn das Smartphone herunterfällt, sei aus Gründen der „beschränkten Arbeitnehmerhaftung“ ausgeschlossen. Aus diesem Grund sollten Behörden verbindliche Regelungen und Nutzungsvereinbarungen für den Einsatz von Privatgeräten am Arbeitsplatz festlegen.
2. Sicherheitsvorkehrungen und Datenschutz beachten!
   Neben den rechtlichen Problemen lauerten beim BYOD-Modell auch zahlreiche sicherheitstechnische und datenschutzrelevante Fallstricke. Veraltete Betriebssysteme, unsichere WLAN-Verbindungen „und die Nutzung von Apps, die es mit der Privatsphäre nicht so genau nehmen“, seien häufig Einfallstore für Cyber-Kriminelle und Gründe für die Verletzung der DSGVO. Bestes Beispiel sei „WhatsApp“, welche häufig für die informelle dienstliche Kommunikation innerhalb von Behörden genutzt werde: Diese App lese die Adressbücher der Mitarbeiter mit den Kontaktdaten von Kollegen und Lieferanten aus und gebe die Daten an die Konzernmutter Facebook weiter. Darüber hinaus erfasse „WhatsApp“ auch Metadaten, etwa GPS-Daten, Absturzberichte und Nutzerverhalten. Viele Länder und Kommunen hätten für „WhatsApp und Co.“ keine Nutzungsregelungen aufgestellt oder duldeten sie stillschweigend.
3. Kontrollverlust durch mangelnde Trennung zwischen dienstlich und privat vorbeugen!
   Werden dienstliche und private Daten und Anwendungen auf dem Smartphone nicht strikt voneinander getrennt, stünden die IT-Verantwortlichen vor einem weiteren großen Problem: „Sie verlieren auf einem Privatgerät die Kontrolle über die dienstlichen Daten und Systeme.“ Dies gelte insbesondere im Notfall, wenn etwa nach einem erfolgreichen Cyber-Angriff oder dem Verlust des Gerätes schnell sensible Informationen aus der Ferne gelöscht werden müssten.

Keine BYOD-Strategie ohne klare und sichere Trennung privater und dienstlicher Daten sowie Anwendungen

„Ohne eine klare und sichere Trennung von privaten und dienstlichen Daten und Anwendungen sollte eine BYOD-Strategie nicht verfolgt werden. Jetzt aber den Mitarbeitern die schnelle und unkomplizierte Kommunikation über das eigene Smartphone zu verbieten, ist ineffizient und demotivierend“, erläutert Sascha Wellershoff, Vorstand von Virtual Solution in München.
Er empfiehlt eine sogenannte Container-Lösung (wie z.B. „SecurePIM Government“), welche demnach auf dem Mobilgerät des Mitarbeiters den dienstlichen strikt vom privaten Bereich trennt. Die Daten und Dokumente würden nach höchsten Standards verschlüsselt gespeichert und auch Ende-zu-Ende verschlüsselt übertragen. Wellershoff: „Damit schützen sich Behörden und Ämter sicher vor Cyber-Angriffen und garantieren gleichzeitig die Einhaltung der DSGVO.“

Weitere Informationen zum Thema:

datensicherheit.de, 10.06.2019
Stille Teilnehmer: BYOD-Mobilgeräte in Unternehmen / Michael Scheffler erörtert, warum BYOD nicht so einfach umsetzbar ist, wie es zunächst erscheint

datensicherheit.de, 11.03.2014
Studie: BYOD-Trend hält an – Sicherheitskultur weiter mangelhaft / Ergebnisse der „2013 Mobile Enterprise Risk Survey“ von Absolute Software

datensicherheit.de, 24.08.2013
KASPERSKY-Umfrage 2013: Richtlinien für BYOD-Umgang in Unternehmen oft noch Mangelware / Laut der Studie „Global Corporate IT Security Risks: 2013“ hat jedes dritte deutsche Unternehmen hat noch gar keine Sicherheitsrichtlinien

datensicherheit.de, 11.04.2013
BYOD: Mitarbeiter verwenden ihre privaten Geräte für den Beruf / BITKOM veröffentlicht Leitfaden „Bring Your Own Device“

datensicherheit.de, 05.03.2013
BYOD: Hälfte der Unternehmen hat bereits ein Gerät mit wichtigen Daten verloren / Laut aktueller varonis-Studie seien 86 Prozent der Mitarbeiter sogar „süchtig nach mobilen Geräten“

[datensicherheit.de, 07.07.2020] Laut einer aktuellen kaspersky-Analyse von Angriffen auf mobile Geräte wurden 14,8 Prozent der Anwender, welche im Jahr 2019 Ziel von Malware oder Adware waren, dann auch Opfer einer Infektion der Systempartition. Die gravierende Folge, so kaspersky, sei: „Die Löschung bösartiger Dateien ist in diesem Fall nicht möglich.“ Darüber hinaus spielten hierbei auch vorinstallierte Standardapplikationen eine Rolle – je nach Marke des Smartphones schwanke das Risiko nicht löschbarer Anwendungen bei Billiggeräten zwischen einem und fünf Prozent, im Extremfall bis zu 27 Prozent. Unter sogenannter Adware wird Software verstanden, welche zur Anzeige unaufgeforderter Werbung entwickelt wurde.

Sicherheitslösung kann nicht auf Systemverzeichnisse zugreifen…

… und somit die bösartigen Dateien nicht entfernen – laut kaspersky-Experten wird diese Art der Infektion immer häufiger zum Installieren von Adware verwendet. Die Infektion könne über zwei Wege erfolgen: Erhält der Angreifer Root-Zugriffsrechte für ein Gerät, könne er die Adware in der Systempartition installieren. Oder aber der Code, über welchen die Werbung auf dem kompromittierten Gerät angezeigt wird, gelange in die Firmware des Geräts, „bevor dieses überhaupt in die Hände des Nutzers kommt“.
Unter den Bedrohungen, welche in den Systemverzeichnissen aufgedeckt wurden, fand kaspersky nach eigenen Angaben „eine Vielzahl von Schadprogrammen – von Trojanern, die ohne Wissen des Anwenders Anwendungen installieren und ausführen können, bis hin zu weniger bedrohlichen, aber dennoch lästigen Werbeprogrammen“.

Adware teilweise schon vorinstalliert

In einigen Fällen seien Adware-Module vorinstalliert worden, bevor der Nutzer sein Gerät überhaupt erhalten habe, „was zu potenziell unerwünschten und ungeplanten Folgen führen kann“. Beispielsweise verfügten viele Smartphones über Funktionen, welche einen Fernzugriff auf das Gerät ermöglichten – im Falle von Missbrauch könnte eine solche Funktion zu einer Datenkompromittierung des Nutzergeräts führen.
Einige wenige Anbieter hätten offen zugegeben, Adware in ihre Smartphones einzubetten. Während manche zuließen, dass sie deaktiviert werden kann, täten andere dies nicht und bezeichneten es als Teil ihres Geschäftsmodells, um die Kosten des Geräts für den Endkunden zu senken. Oft habe der Benutzer nur zwei Optionen – Kauf des Geräts zum vollen Preis oder die billigere Alternative mit lebenslanger Werbung.

Mobilgerät kann auch schon vor dem Kauf kompromittiert sein

„Unsere Analyse zeigt, dass Nutzer mobiler Geräte nicht nur regelmäßig von Adware und anderen Bedrohungen angegriffen werden, sondern dass ihr Gerät auch schon vor dem Kauf kompromittiert sein kann“, warnt Igor Golovin, Sicherheitsforscher bei kaspersky. Die Kunden hätten nicht einmal den Verdacht, dass sie ihr Geld für ein „Plakat im Taschenformat“ ausgäben.
Einige Anbieter von Mobilgeräten konzentrierten sich auf die Gewinnmaximierung durch geräteinterne Werbetools, auch wenn diese Tools den Gerätebesitzern Unannehmlichkeiten bereiteten. Kein guter Trend – sowohl für die Sicherheit als auch für die Nutzerfreundlichkeit. Golovin: „Ich rate den Anwendern, sich das Modell des Smartphones, das sie kaufen wollen, genau anzuschauen und diese Risiken zu berücksichtigen. Am Ende des Tages ist es oft die Wahl zwischen einem billigeren oder einem benutzerfreundlicheren Gerät.“

kaspersky-Tipps zur Vermeidung von Risiken durch Adware:

• Vor dem Kauf eines Geräts Kaufbewertungen prüfen.
• Im Falle einer Infizierung nach Firmware-Updates Ausschau halten oder versuchen, eine alternative Firmware auf eigenes Risiko zu installieren.
• Verwendung einer zuverlässige Sicherheitslösung für mobile Geräte (wie z.B. „Kaspersky Internet Security für Android“), welche bei der Erkennung einer Vielzahl von Bedrohungen, einschließlich Adware, helfen kann.

Weitere Informationen zum Thema:

kaspersky SECURELIST, Igor Golovin, Anton Kivva, 06.07.2020
Pig in a poke: smartphone adware

datensicherheit.de, 19.03.2018
RottenSys: Mobile Adware infiziert Millionen Geräte weltweit

[datensicherheit.de, 01.03.2020] Mit dem Ziel, sichere Geräte von Anfang an über eine festgelegte Nutzungsdauer zu ermöglichen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Katalog mit Sicherheitskennzeichen für Smartphones veröffentlicht.

5 Jahre nach Geräteveröffentlichung Versorgung mit Sicherheits-Updates

Alexander Burris von G DATA CyberDefense nimmt Stellung zu dem vom BSI publizierten Anforderungskatalog zur Entwicklung von Sicherheitsanforderungen für Smartphones. In dem zehnseitigen Dokument sticht in Bezug auf Sicherheits-Updates demnach folgende Aussage heraus:
„Geräte müssen über die Dauer von fünf Jahren nach Geräteveröffentlichung mit Sicherheits-Updates versorgt werden. Aus der Gerätebeschreibung muss klar ersichtlich sein, ab wann ein Gerät aus der Versorgung mit Sicherheits-Updates herausfällt.“

Foto: G DATA CyberDefense

Alexander Burris: Ohne Hersteller und Händler läuft diese BSI-Initiative ins Leere

Realitität: Meistens schon nach 2 Jahren keine sicherheitsrelevanten Updates mehr

Burris: „Die Forderung des BSI nach garantierten Updates für fünf Jahre für Smartphones und Tablets ist der richtige Schritt, um die Sicherheit mobiler Geräte zu erhöhen. Und nachhaltig ist es auch noch.“
Der „Lead Mobile Researcher“ bei G DATA CyberDefense macht aber deutlich: „Die Realität ist aber eine andere: Immer noch sind viele Geräte mit einer veralteten und damit auch unsicheren ,Android‘-Version im Einsatz.“ Denn meistens stellten Hersteller nach zwei Jahren keine sicherheitsrelevanten Updates mehr bereit.

Aktuelle durchschnittliche Nutzungsdauer bei 2,7 Jahren

„Auch Google sagt für aktuelle ,Pixel‘-Geräte nur einen garantierten Support von 18 Monaten zu und gilt damit als Vorreiter in der Branche“, so Burris. Aber ohne Hersteller und Händler laufe diese Initiative des BSI ins Leere.
Freiwillig würden die Hersteller dem Vorschlag des BSI nicht zustimmen. „Denn der kurze Zeitraum bis zur Neuanschaffung eines aktuellen Gerätes ist schließlich Teil des Geschäftsmodells.“ Laut einer aktuellen Studie der TU Berlin liege zurzeit die durchschnittliche Nutzungsdauer bei 2,7 Jahren für ein Gerät.

Globale Initiative nötig, um Zeitraum für Sicherheitsupdates einheitlich zu gestalten

Es braucht sicherlich eine globale Initiative, um den Zeitraum für Sicherheitsupdates einheitlich zu gestalten, ergänzt Burris.
„Klar ist aber auch, dass sich etwas ändern muss: Denn ,Android‘-Geräte, die bereits sicherheitstechnisch nach einem Jahr veraltet sind, sind nicht mehr zeitgemäß.“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Herstelleranforderungen zur Sicherheit von Smartphones

datensicherheit.de, 19.10.2019
BSI: Lagebericht zur IT-Sicherheit 2019 vorgestellt

[datensicherheit.de, 31.10.2019] Die G DATA CyberDefense AG geht in ihrem Kommentar des Urteils des Oberlandesgerichts (OLG) in Köln kritisch auf das Ergebnis ein, dass damit eine Klage von Verbraucherschützern zurückgewiesen wurde. Elektronikmärkte verkauften bewusst veraltete und unsichere „Android“-Smartphones, ohne Kunden auf die Risiken hinzuweisen. Dem aktuellen Urteil nach dürften sie das nun auch weiter tun.

Schon lange vor Sicherheitslücken in vielen Android-Smartphones gewarnt

Die Klage vom Juli 2017 habe Hoffnungen bei vielen Sicherheitsexperten geweckt, die schon lange vor Sicherheitslücken in vielen „Android“-Smartphones gewarnt hätten. „Diese werden nämlich nicht mehr behoben und stellen deshalb ein Risiko für die persönlichen Daten von Nutzern dar.“
Verbraucherschützer hätten mit dem Gerichtsurteil erwirken wollen, dass Geräte mit einer veralteten „Android“-Version nur noch mit einem entsprechenden Hinweis verkauft werden dürften, da sie „gut dokumentierte und nicht behebbare Mängel bei der Sicherheit“ aufwiesen.

Händler nicht verpflichtet, Käufer auf Sicherheitslücken hinzuweisen

Tim Berghoff, „G DATA Security Evangelist“, kritisiert: „Mit dem heutigen Urteil hat das OLG Köln die Verantwortung also wieder einmal beim Verbraucher abgeladen und erteilt damit Händlern faktisch einen Freibrief, weiterhin Geräte zu verkaufen, denen selbst das BSI ‚eklatante Sicherheitsrisiken für die Nutzer‘ bescheinigt hat.“ Diese Geräte seien also nach allen geltenden Maßstäben als „unsicher“ zu betrachten.
Zudem seien Händler auch weiterhin nicht verpflichtet, die Käufer dieser Geräte auf die bestehenden Sicherheitslücken und die fehlenden Möglichkeiten zu einem Update hinzuweisen. In der Urteilsbegründung habe es geheißen, dass es der Beklagten (gemeint sei jene, die fraglichen Elektronikmärkte betreibende Unternehmensgruppe) nicht zuzumuten sei, sich Informationen über sämtliche Sicherheitslücken zu verschaffen und entsprechende Tests für die betroffenen Modelle durchzuführen.

Großer Rückschritt für die Sicherheit persönlicher Daten

Dass gerade „Android“-Smartphones ohnehin oft nur mit großer Verzögerung – wenn überhaupt – aktuelle Updates und Sicherheits-Patches erhielten, sei nichts Neues. Google unternehme zwar Schritte in die richtige Richtung, aber dennoch seien noch immer Millionen unsicherer Geräte ohne Aussicht auf Updates unterwegs – und das werde auch noch eine Weile lang so bleiben.
„Das Urteil bedeutet einen großen Rückschritt für die Sicherheit persönlicher Daten, den wir bei G DATA mit Kopfschütteln zur Kenntnis nehmen“ , so Berghoff. Letztlich nehme das Urteil genau die Partei – den Verbraucher – in die Verantwortung, die insgesamt am wenigsten einschätzen könne, „ob und inwiefern ein Gerät über ein ausreichend hohes Sicherheitsniveau verfügt“. Gerade hierbei wären jedoch die Händler und auch die Hersteller gefragt, die zumindest auf die Risiken hinweisen könnten – „so hätte ein potenzieller Käufer wenigstens die Möglichkeit einer Entscheidung“.

Weitere Informationen zum Thema:

Oberlandesgericht Köln, 31.10.2019
Sicherheitslücken bei Smartphones / Elektronikmarkt muss nicht auf Sicherheitslücken und fehlende Updates des Betriebssystems Android hinweisen

datensicherheit.de, 30.07.2019
G DATA: Keine Entspannung bei Android-Malware

[datensicherheit.de, 05.09.2019] „Check Point Research“, die Threat-Intelligence-Abteilung der Check Point® Software Technologies Ltd., konnte nach eigenen Angaben „eine Sicherheitslücke in Samsung, Huawei, LG, Sony und anderen ,Android‘-basierten Smartphones“ enthüllen. Diese Geräte seien dadurch anfällig für fortschrittliche Phishing-Angriffe.

„Open Mobile Alliance Client Provisioning“ hat nur begrenzte Authentifizierungsmethoden

Die betroffenen Mobiltelefone nutzen demnach OTA-Bereitstellung (Over-the-Air), über die Mobilfunkbetreiber netzwerkspezifische Einstellungen auf ein neues Gerät übertragen können, das ihrem Netzwerk beitritt. Check Point Research habe jedoch festgestellt, dass der Industriestandard für die OTA-Bereitstellung, das „Open Mobile Alliance Client Provisioning“ (OMA CP), nur begrenzte Authentifizierungsmethoden beinhalte.
Angreifer könnten dies ausnutzen, um sich als Netzbetreiber auszugeben und irreführende „OMA CP“-Nachrichten an die Benutzer zu senden. Die Nachricht fordere die Benutzer auf, Einstellungen für ihren Netzwerkbetrieb zu akzeptieren, die aber beispielsweise ihren Internetverkehr über einen Proxy-Server des Hackers leiteten.

Betrügerische Android-App liest die IMSI eines Smartphones aus

„Sicherheitsforscher stellten fest, dass bestimmte Samsung-Telefone für diese Form des Phishing-Angriffs am anfälligsten sind, da sie keine Authentizitätsprüfung für Absender von ,OMA CP‘-Nachrichten besitzen. Der Benutzer muss nur die Anfrage akzeptieren und der Schad-Code wird installiert, ohne dass der Absender seine Identität nachweisen muss.“ Huawei, LG und Sony Telefone hätten zwar eine Form der Authentifizierung an Bord, aber Hacker benötigten nur die „International Mobile Subscriber Identity“ (IMSI) des Empfängers, um ihre Identität selbstständig zu „bestätigen“.
Angreifer könnten die IMSI eines Opfers auf verschiedene Arten erhalten, einschließlich der Erstellung einer betrügerischen „Android“-App, welche die IMSI eines Telefons auslese, sobald die Anwendung installiert wurde. Der Angreifer könne sogar die Notwendigkeit einer IMSI umgehen, „indem er dem Benutzer eine Textnachricht sendet, in der er sich als Netzbetreiber ausgibt und den Nutzer auffordert, eine PIN-geschützte ,OMA CP‘-Nachricht zu akzeptieren“. Wenn der Benutzer dann die angegebene PIN-Nummer eingibt, könne der CP ohne IMSI installiert werden.

Popularität von Android-Geräten: Kritische Schwachstelle muss behoben werden!

„Angesichts der Popularität von ,Android‘-Geräten ist dies eine kritische Schwachstelle, die behoben werden muss“, fordert Slava Makkaveev, „Security Researcher“ bei Check Point Software Technologies. Ohne eine stärkere Form der Authentifizierung sei es für einen Cyber-Kriminellen einfach, einen Phishing-Angriff über eine Over-the-Air-Bereitstellung durchzuführen.
„Wenn der Benutzer eine OMA CP-Nachricht erhält, hat er keine Möglichkeit zu erkennen, ob sie wirklich von einer vertrauenswürdigen Quelle stammt. Wenn der Betroffene auf ‚Akzeptieren‘ drückt, könnten er unbeabsichtigt einen Angreifer in sein Handy lassen“, warnt Makkaveev.

Im März 2019 betroffene Anbieter alarmiert

Im März 2019 gaben die Forscher nach eigenen Angaben ihre Ergebnisse an die betroffenen Anbieter weiter. Samsung habe in der eigenen „Security Maintenance Release“ für Mai 2019 (SVE-2019-14073) bereits einen Fix für diesen Phishing-Flow aufgenommen, LG habe einen Fix im Juli 2019 (LVE-SMP-190006) veröffentlicht und Huawei plane, UI-Fixes für „OMA CP“ in die nächste Generation von Smartphones der „Mate“-Serie oder „P“-Serie aufzunehmen. „Sony weigerte sich, die Schwachstelle anzuerkennen und erklärte, dass ihre Geräte der ,OMA CP‘-Spezifikation entsprechen.“
„Check Point SandBlast Mobile“ z.B. könne derartige Man-in-the-Middle- und Phishing-Angriffe verhindern, um Geräte vor den genannten schädlichen „OMA CP“-Nachrichten zu schützen.

Weitere Informationen zum Thema:

cp<r>, Artyom Skrobov, Slava Makkaveev, 04.09.2019
Advanced SMS Phishing Attacks Against Modern Android-based Smartphones

datensicherheit.de, 15.06.2019
Check Point: Top Malware im Mai 2019

datensicherheit.de, 13.03.2019
Check Point: SimBad betrifft 150 Millionen Nutzer

datensicherheit.de, 15.01.2019
Checkpoint stellt die ‘Most Wanted‘-Malware des Monats Dezember 2018 vor

[datensicherheit.de, 25.07.2019] Google plant offenbar, seine neuen „Pixel 4“-Smartphones mit einer besonders starken Gesichtserkennungstechnologie auszustatten. In diesem Kontext sollen Googles „Pixel“-Teams zur Gewinnung von Trainingsdaten in den USA Passanten für die Einwilligung in einen Gesichtsscan fünf US-Dollar in Form von Amazon- oder Starbucks-Gutscheinen anbieten.

Hälfte der Befragten nicht über Wert persönlicher Daten im Klaren

kaspersky hat nach eigenen Angaben bereits Anfang 2019 im Rahmen einer Studie „auf die Gefahren bei der Herausgabe persönlicher Informationen, Daten oder biometrischer Merkmale hingewiesen“.
Bedenklich sei, dass die Hälfte (50 Prozent) der 1.000 deutschen Befragten sich nicht darüber im Klaren sei, welchen Wert ihre persönlichen Daten für Dritte hätten; 29 Prozent hätten dazu keine Aussage treffen wollen und lediglich 17 Prozent hätten sich die Aussage zugetraut, dass sie den Wert ihrer Daten für andere einschätzen könnten.

kaspersky-Tipps für Umgang mit persönlichen Daten

Nutzer sollten – egal ob Gesichtsscan oder Passwörter – auf ihre persönlichen Daten Acht geben, beispielsweise mit den folgenden Tipps:

• Biometrische Daten, welche der eigenen Identifizierung durch Fingerabdruck-Mapping, Gesichtserkennung oder Retina-Scan dienen könnten, sollten Dritten ebenfalls nicht zugänglich gemacht werden. Biometrische Authentifizierung sei zwar praktisch, aber Datenschützer befürchteten, dass solche biometrischen Sicherheitssysteme die Privatsphäre untergraben könnten. Sorge bereite insbesondere, dass persönliche Daten zu leicht und ohne Zustimmung gesammelt werden könnten.
• Sorgfältiger Umgang mit Inhalten in Sozialen Medien. Alles, was dort gepostet wird, könne jetzt oder in Zukunft gravierende Folgen haben, falls es in falsche Hände gerät.
• Passwörter nicht teilen, auch nicht unter Freunden und in der Familie. Das mag zwar unbequem sein, verringere jedoch die Betrugsgefahr.
• Privates sollte auch im Internet privat bleiben. Dritte sollten nur bei absoluter Notwendigkeit Zugriff auf persönliche Informationen bekommen.
• Für Speicherung und Schutz sensibler Daten nur legitime Anwendungen verwenden (ein Bespiel: „Kaspersky Password Manager“).
• Verlässliche Sicherheitslösungen (z.B. „Kaspersky Security Cloud“ oder „Kaspersky Internet Security“) böten umfassenden Schutz gegen ein breites Spektrum an Cyber-Gefahren.

Weitere Informationen zum Thema:

kaspersky
Was ist Biometrie?

GoogleWatchBlog, 24.07.2019
Pixel 4 Gesichtserkennung: Google kauft Gesichtsdaten auf offener Straße für 5 Dollar – Details zum Ablauf

kaspersky, SECURELIST, David Jacoby, 05.11.2018
Hey there! How much are you worth?

datensicherheit.de, 09.04.2019
KASPERSKY lab warnt vor digitalen Doppelgängern

[datensicherheit.de, 21.07.2019] Sommerzeit ist Urlaubszeit – und damit auch die Zeit, in der Nutzer sich besonders häufig mit ihren Smartphones in fremden WLANs einloggen: am Flughafen, im Hotel etc. Überall mobil online sein ist jedoch nicht nur praktisch, sondern birgt auch Gefahren:

• Wie erkennen Sie, ob das WLAN sicher ist?
• Wie sorgen Sie als Anbieter eines WLANs für die Sicherheit?
• Und wie können Sie Ihre mobilen Geräte einfach und doch effektiv vor Malware und Angreifern schützen?

Sophis bietet hierzu zwei Sommer-Webinare!

• Sicheres WLAN auch in der Urlaubszeit mit Sophos Wireless, Webinar am 23.07.2019 | 13:30 – 14:30 Uhr
  Anmeldung zum Webinar
  
  Themen:
  • 6 DOs und DON’Ts für sichere WLAN-Nutzung unterwegs
  • Sophos Wireless: Einführung
  • WLAN-Verwaltung als Teil eines Systems, für verbesserte Sichtbarkeit und noch besseren Schutz
• Entspannter Urlaub dank geschützter Smartphones, Webinar am 24.07.2019 | 13:30 – 14:30 Uhr
  Anmeldung zum Webinar
  
  Themen:
  • Praktische Tipps zum Sichern Ihrer mobilen Geräte im Urlaub
  • Sophos Mobile Funktionsumfang
  • So schützen Sie Ihre privaten Daten und Unternehmensdaten mit einem Unified Endpoint Management-System (UEM)

In beiden Webinaren haben Sie außerdem Gelegenheit, live im Chat Fragen zu stellen.

Hinweis des Veranstalters: Sollten Sie aus zeitlichen Gründen nicht teilnehmen können, melden Sie sich bitte dennoch für das Webinar an, Sie erhalten im Nachhinein so automatisch den Link zur Aufzeichnung von uns per E-Mail. Das Webinar ist kostenfrei; es fallen lediglich Telefongebühren für Sie an.

Weitere Informationen zum Thema:

datensicherheit.de, 11.07.2019
IT-Sicherheit: Tipps für das Arbeiten unterwegs

datensicherheit.de, 30.07.2018
Datensicherheit im Urlaub und auf Reisen

[datensicherheit.de, 08.06.2019] Erneut hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf mehreren Smartphones vorinstallierte Schadsoftware nachgewiesen. Die Geräte wurden auf unterschiedlichen Online-Marktplätzen gekauft und auf eine bereits im Februar nachgewiesene Schadsoftware-Variante überprüft. Das BSI warnt daher auf Grundlage von §7 des BSI-Gesetzes vor dem Einsatz der Geräte Doogee BL7000 und M Horse Pure 1 und rät allen Anwenderinnen und Anwendern zu besonderer Vorsicht.

Auch andere Geräte mit vorinstallierter Schadsoftware

Auch auf dem Gerät Keecoo P11 wurde die Schadsoftware in der Firmware-Version V3.02 (V362HH.SHWY.HB.HJ.P3.1130.V3.02) nachgewiesen. Für dieses Gerät steht eine Firmware V3.04 (V362HH.SHWY.HB.HJ.P3.0315.V3.04) ohne diese Schadsoftware über die Updatefunktion „Wireless Update“ des Herstellers zur Verfügung. Daneben hat das BSI auf dem Gerät VKworld Mix Plus die gleiche Schadsoftware nachweisen können, diese wurde allerdings nicht aktiv. Auch in diesen Fällen ist für Verbraucher besondere Vorsicht geboten.

„Unsere Untersuchungen zeigen ganz deutlich, dass IT-Geräte mit vorinstallierter Schadsoftware offensichtlich keine Einzelfälle sind. Sie gefährden die Verbraucherinnen und Verbraucher, die diese günstigen Smartphones kaufen und letztlich womöglich mit ihren Daten draufzahlen. Eine besondere Gefährdung entsteht zudem, wenn das infizierte Smartphone genutzt wird, um das smarte Zuhause inklusive Fenstersicherung oder Alarmanlage zu steuern. Um solche Angriffsszenarien zu verhindern, brauchen wir eine gemeinsame Anstrengung insbesondere seitens der Hersteller und der Händler, damit künftig derartig unsichere Geräte gar nicht erst verkauft werden können“, so BSI-Präsident Arne Schönbohm.

Betroffene Geräte wurden von einzelnen Handelsplattformen aus dem Sortiment genommen

Einzelne Handelsplattformen haben die von der BSI-Warnung betroffenen Geräte bereits bis auf Weiteres aus dem Sortiment genommen. Hilfen für Verbraucher sind folgend zusammengefasst: Beim Kauf von IT-Geräten geht die Sicherheit vor

Hintergründe zur Schadsoftware

Dem BSI liegen sogenannte Sinkhole-Daten vor, die pro Tag Verbindungsversuche zu über 20.000 unterschiedlichen deutschen IP-Adressen mit einem maliziösen C&C-Server nachweisen. Es muss daher von einer größeren Verbreitung von Geräten mit dieserSchadsoftware-Variante in Deutschland ausgegangen werden.
Das BSI hat deutsche Netzbetreiber bereits mittels CERT-Bund Reports über infizierte Geräte in deren jeweiligen Netzen informiert. Die Provider wurden gebeten, ihre betroffenen Kunden entsprechend zu benachrichtigen. Die von der IT-Sicherheitsfirma Sophos als „Andr/Xgen2-CY“ bezeichnete Schadsoftware übermittelt ad hoc verschiedene kennzeichnende Daten des Geräts an einen C&C-Server und verfügt daneben auch über eine Nachladefunktion. Darüber könnten weitere Schadprogramme wie etwa Banking-Trojaner auf den jeweiligen Geräten platziert und ausgeführt werden. Eine manuelle Entfernung der Schadsoftware ist aufgrund der Verankerung im internen Bereich der Firmware nicht möglich. Nutzer haben daher keine Möglichkeit, die Geräte zuverlässig zu bereinigen und ohne Schadfunktionalität zu betreiben, solange kein entsprechendes Firmwareupdate zur Verfügung steht.

Weitere Informationen zum Thema:

datensicherheit.de, 25.02.2019
Fake-Apps häufigste Ursache für gehackte Smartphones

datensicherheit.de, 09.07.2018
Smartphones: Hacker können Touchscreen-Benutzerinteraktionen analysieren

datensicherheit.de, 20.06.2018
HeroRat: Android-Smartphones als digitale Wanzen

datensicherheit.de, 14.03.2018
Smart Devices: Herkömmliche Modelle viel zu einfach zu hacken