MSD Computersysteme GmbH

18/10/2023

Hackerangriff: So viel Lösegeld zahlen deutsche Unternehmen für ihre Daten

Hackerangriffe mit Lösegeldforderungen sind heute keine Seltenheit mehr. Doch wie viel Lösegeld zahlen Unternehmen tatsächlich, um nach einem Hackerangriff wieder Zugriff auf ihre Daten zu erhalten? Eine neue Studie liefert Zahlen.

Cyber-Angriffe auf Unternehmen und Behörden haben in den letzten Jahren stark zugenommen. Ziel der Angreifer ist häufig die Zahlung eines Lösegeldes, ohne das die betroffenen Unternehmen nicht mehr an ihre Daten kommen.

Eine neue Studie des IT-Sicherheitsanbieters Splunk hat ergeben, dass 90 Prozent der befragten Unternehmen im vergangenen Jahr einen disruptiven Cyberangriff erlebt haben. Für den so genannten CISO-Report befragte der IT-Sicherheitsdienstleister zahlreiche CISOs (Chief Information Security Officers), CSOs (Chief Security Officers) und andere Sicherheitsverantwortliche.

Wie viele Unternehmen zahlen nach einem Hackerangriff Lösegeld?

Insgesamt haben 83 Prozent der befragten Unternehmen nach einem Hackerangriff Lösegeld gezahlt. Bei mehr als der Hälfte lagen die Summen über 100.000 US-Dollar. Besonders betroffen ist der Einzelhandel. So haben 59 Prozent der befragten Unternehmen aus dieser Branche einen Cyberangriff erlebt. Ganze 95 Prozent haben im Zuge des Angriffs auch Lösegeld bezahlt. Dies geschah laut Splunk entweder direkt, über eine Cyberversicherung oder über sogenannte Mittelsmänner.

Neben dem Einzelhandel sind aber noch weitere Branchen enorm von Hackerangriffen betroffen. Dazu zählen unter anderem die Branche der Finanzdienstleister mit 59 Prozent sowie das Gesundheitswesen mit 52 Prozent.

Was steckt hinter der Erhebung?

Die Ergebnisse der vorliegenden Studie basieren auf zwei Befragungsrunden. Dabei wurden sowohl quantitative als auch qualitative Untersuchungen durchgeführt. Eine erste Befragungsrunde richtete sich an 350 Chief Information Security Officers, Chief Security Officers sowie weitere Sicherheitsverantwortliche aus zehn Ländern. Darunter waren unter anderem Deutschland, Frankreich, Großbritannien sowie die USA.

Der qualitative Teil der Studie richtete sich an 20 Sicherheitsfachleute aus den USA, Kanada sowie Großbritannien. Sie wurden in 60-minütigen Telefoninterviews ausführlich zum Thema befragt.

14/09/2023

Wifi-Netzwerke mit LANCOM LEPS absichern

Das Verschlüsselungsverfahren WPA2 bietet im WLAN Schutz vor unerwünschten Abhörversuchen. Es verwendet eine Passphrase als zentralen Schlüssel, was die Handhabung vereinfacht und den Datenaustausch der Clients sicher verschlüsselt.

Trotz dieser Vorteile weist WPA2 im täglichen Einsatz einige Schwachstellen auf. Die globale Gültigkeit der Passphrase bedeutet, dass alle Clients, die sich mit dem WLAN verbinden wollen, dieselbe Passphrase (oft auch als Schlüssel oder Keys bezeichnet) verwenden. Dies verleitet Mitarbeiter dazu, diesen Schlüssel weiterzugeben, wenn Dritte (Kunden, Lieferanten, Besucher etc.) "kurz und befristet" Zugang zum WLAN benötigen.

In der Praxis bedeutet dies, dass bei Verlust oder Weitergabe der Passphrase oder beim Ausscheiden eines Mitarbeiters, der die Passphrase kennt, die Sicherheit des Netzwerks gefährdet sein kann.

Aus Sicherheitsgründen müsste dann die Passphrase im Access Point geändert werden, was aber zur Folge hat, dass sie auch auf allen Clients geändert werden muss. Dies kann nicht immer gewährleistet werden, so dass einige berechtigte Mitarbeiter das WLAN für eine gewisse Zeit nicht mehr nutzen können. Auch die Verteilung des neuen Schlüssels an alle berechtigten Mitarbeiter ist problematisch, da dieser nicht in unbefugte Hände gelangen darf.

Daher bietet sich ein Verfahren an, bei dem nicht eine globale Passphrase für alle gilt, sondern für jeden Benutzer im WLAN eine individuelle Passphrase konfiguriert werden kann. So kann beim Ausscheiden eines Mitarbeiters dessen "persönliche" Passphrase einfach gelöscht werden, während alle anderen ihre Gültigkeit und Vertraulichkeit behalten.

Ein solches Verfahren ist im Standard IEEE 802.1X implementiert. Dieser ermöglicht es, jedem Mitarbeiter im WLAN ein eigenes Passwort zuzuweisen. IEEE 802.1X erfordert jedoch neben den Access Points eine weitere Hard-/Software, nämlich einen Radius-Server.

Der Netzwerkhersteller LANCOM hat deshalb LEPS (LANCOM Enhanced Passphrase Security) entwickelt und in den Access Points implementiert. LEPS ermöglicht es, ähnlich wie bei IEEE 802.1X, jedem WLAN-Benutzer einen eigenen Schlüssel zuzuweisen, ohne jedoch einen Radius-Server zu benötigen. In der Version LEPS-MAC ist es zusätzlich möglich, den Zugang mit individuellem Schlüssel auf einzelne Geräte zu beschränken, was die Netzwerksicherheit weiter erhöht.

Unsere IT-Sicherheitsexperten empfehlen dringend, bestehende WIFI-Netzwerke auf individuelle Schlüssel in WPA2-Netzwerken umzustellen. Für weitere Informationen stehen wir Ihnen jederzeit unter [email protected] oder [email protected] zur Verfügung.

13/09/2023

Hacker stehlen Daten von Kinderschutzorganisation

Die Hacker selbst behaupten, 6,8 TB an Daten gestohlen zu haben, darunter persönliche, medizinische und gesundheitsbezogene Informationen.

Eine Hackergruppe namens Bianlian soll in die IT-Systeme der weltweit tätigen Kinderschutzorganisation Save the Children International eingedrungen sein und insgesamt 6,8 TB an Daten gestohlen haben. Wie aus einem X-Bericht von vx-underground hervorgeht, behaupten die Angreifer, unter anderem über persönliche, medizinische und gesundheitsbezogene Daten sowie E-Mail-Korrespondenz und mehr als 800 GB an Finanzdaten der Organisation zu verfügen.

Die inzwischen 104 Jahre alte Kinderschutzorganisation habe rund 25.000 Mitarbeiter, einen Umsatz von 2,8 Milliarden Dollar und sei in insgesamt 116 Ländern aktiv. Einem Bericht von The Register zufolge hat Save the Children seit 1919 mehr als einer Milliarde Kindern geholfen.

Dass Hackerangriffe moralische Fragen aufwerfen, ist sicher nicht ungewöhnlich. Der Angriff von Bianlian auf eine gemeinnützige Organisation, die sich zum Ziel gesetzt hat, Kindern ein besseres Leben zu ermöglichen, zeigt jedoch, dass gerade diese Hackergruppe mit ihren Aktivitäten kaum ehrenwerte Ziele verfolgt. Auch vx-underground zeigte dafür kein Verständnis: "Die Bianlian Ransomware Group braucht einen Schlag ins Gesicht", so die Sicherheitsexperten auf X.

Bianlian erpresst mit gestohlenen Daten

Laut The Register existiert Bianlian seit Juni 2022 und hat seitdem vor allem Ziele im Gesundheitswesen sowie kritische Infrastrukturen angegriffen. Ursprünglich habe die Gruppe neben dem Datendiebstahl auch Ransomware eingesetzt, um die angegriffenen Systeme zu verschlüsseln. Später seien die Angreifer jedoch dazu übergegangen, ausschließlich Daten zu stehlen und mit deren Veröffentlichung zu drohen, sollten die angegriffenen Organisationen der Lösegeldforderung nicht nachkommen.

Laut einer Sicherheitsempfehlung (PDF) des FBI, der CISA und des Australian Cyber Security Centre (ACSC) vom Mai 2023 scheinen die Bianlian-Hacker ihre Ziele hauptsächlich über RDP oder andere Remote-Desktop-Dienste zu infiltrieren. Die Empfehlung lautet daher, die Fernzugriffsfunktionen sowie die Verwendung von Powershell und anderen Kommandozeilenaktivitäten einzuschränken.

11/09/2023

Hacker verbreiten Ransomware über Cisco VPN

Eine Zero-Day-Schwachstelle in der VPN-Funktion zweier Cisco-Produkte wird derzeit aktiv ausgenutzt, um Unternehmensnetzwerke zu infiltrieren.

Der US-amerikanische Netzwerkausrüster Cisco warnt vor einer Zero-Day-Schwachstelle in der VPN-Funktion der Adaptive Security Appliance (ASA) und der Firepower Threat Defense (FTD), die von Angreifern aktiv ausgenutzt wird, um sich Zugang zu Unternehmensnetzwerken zu verschaffen und dort Ransomware einzuschleusen. Der Schweregrad der als CVE-2023-20269 registrierten Sicherheitslücke wird vom Hersteller als "mittel" eingestuft. Ein Patch soll zu einem späteren Zeitpunkt verfügbar sein.

Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, aus der Ferne einen Brute-Force-Angriff durchzuführen, um gültige Zugangsdaten zu ermitteln. Mit den entsprechenden Accounts könnte ein böswilliger Akteur dann eine clientlose SSL-VPN-Verbindung zum Netzwerk des angegriffenen Unternehmens aufbauen, was je nach Netzwerkkonfiguration unterschiedliche Auswirkungen haben kann.

Laut Bleeping Computer gab es bereits im vergangenen Monat Berichte über die Ransomware-Gruppe Akira, die über Cisco-VPN-Geräte in Unternehmensnetzwerke eingedrungen sein soll. Auch die Ransomware-Gruppe Lockbit, die bereits für zahlreiche prominente Hackerangriffe verantwortlich ist, soll kurz darauf eine undokumentierte Sicherheitslücke in VPN-Geräten von Cisco ausgenutzt haben. Detaillierte Informationen über die Schwachstelle lagen zu diesem Zeitpunkt jedoch noch nicht vor.

Administratoren müssen handeln

Bis zur Veröffentlichung eines Sicherheitsupdates empfiehlt Cisco den zuständigen Administratoren, einige Sicherheitsmaßnahmen zu ergreifen, um möglichen Cyberangriffen vorzubeugen. Vor allem die Aktivierung der Multi-Faktor-Authentifizierung (MFA) ist entscheidend, damit böswillige Angreifer trotz erlangter Zugangsdaten keinen Zugriff auf die entsprechenden Konten erhalten.

10/09/2023

Schwachstellen ermöglichen den Zugriff von Staatstrojanern auf das iPhone

Zwei Schwachstellen in iOS 16.6 werden aktiv ausgenutzt, um die Spyware Pegasus auf iPhones zu installieren. Patches sind verfügbar.

Zwei Zero-Day-Schwachstellen, für die Apple erst gestern kritische Sicherheitsupdates bereitgestellt hat, sollen aktiv ausgenutzt werden, um die von der NSO Group entwickelte kommerzielle Spionagesoftware Pegasus, die von Regierungsbehörden häufig als Staatstrojaner eingesetzt wird, auf iPhones zu verbreiten.

Laut einem gestern veröffentlichten Bericht von Citizen Lab wird dafür eine Zero-Click-Exploit-Kette namens Blastpass verwendet. Damit lasse sich die Spyware unbemerkt und ohne jegliche Benutzerinteraktion auf iPhones mit der iOS-Version 16.6 installieren. Die dafür ausgenutzten Sicherheitslücken seien als CVE-2023-41064 und CVE-2023-41061 registriert.

Ein Angreifer habe Blastpass verwendet, um das iPhone eines Mitarbeiters einer zivilgesellschaftlichen Organisation mit Sitz in Washington DC und internationalen Niederlassungen mit der Spyware Pegasus zu infiltrieren. Dazu musste der böswillige Akteur lediglich Passkit-Anhänge mit speziell präparierten Bildern an das iMessage-Konto der Zielperson senden.

Jetzt updaten und bei Bedarf den Lockdown-Modus nutzen.
Technische Details zur Exploit-Kette nennt Citizen Lab noch nicht, das zur Universität Toronto gehörende interdisziplinäre Labor will sie aber zu einem späteren Zeitpunkt mitteilen. Sowohl iOS als auch iPadOS sind laut Apple jeweils ab Version 16.6.1 gegen eine Ausnutzung der beiden Sicherheitslücken geschützt.

Die Forscher von Citizen Lab empfehlen Apple-Nutzern, ihre Geräte umgehend zu aktualisieren. Personen mit erhöhtem Risiko wie Prominente, Politiker oder Journalisten sollten zudem den Lockdown-Modus aktivieren, der Blastpass-Angriffe blockieren kann.

Einem Bericht von Bleeping Computer zufolge handelt es sich bei CVE-2023-41064 um eine Schwachstelle, die durch speziell gestaltete Bilder zu einem Pufferüberlauf führen kann. Bei CVE-2023-41061 handelt es sich um einen Validierungsfehler, der durch bösartige Dateianhänge ausgelöst werden kann. Beide Sicherheitslücken ermöglichen es Angreifern, beliebigen Code auf ungepatchten iPhones und iPads auszuführen.

Auch macOS und watchOS sind betroffen

CVE-2023-41064 kann laut Apple auch unter macOS Ventura ausgenutzt werden, während CVE-2023-41061 auch die Apple Watch mit watchOS betrifft. Für beide Systeme hat der Konzern ebenfalls Patches bereitgestellt.

08/09/2023

Auf Microsoft Onedrive belegen Fotos in Alben bald den doppelten Speicherplatz

Fotos, die Nutzer auf Onedrive hochladen und dort in Alben sortieren, will Microsoft künftig doppelt auf das verbrauchte Speicherkontingent des Cloud-Speicherdienstes anrechnen. Das geht aus einer E-Mail hervor, die der Konzern derzeit an Nutzer der auf modernen Windows-Systemen vorinstallierten Onedrive-Anwendung verschickt.

"Die Daten von Fotos, die in Ihrer Galerie und in Ihren Alben gespeichert sind, werden separat auf Ihr gesamtes Microsoft-Speicherkontingent angerechnet", heißt es in der Mitteilung. Die Änderung werde ab Mitte Oktober schrittweise eingeführt.

Die Galerie ist der Standardspeicherort für Fotos in Onedrive. Alben hingegen werden von den Nutzern selbst über die Website des Cloud-Speicherdienstes erstellt. Die Fotos aus der Galerie fügen sie dann bei Bedarf dort hinzu.

Speicherbonus zum Ausgleich ausgeschöpfter Kontingente

Um zu verhindern, dass einzelne Nutzer durch die Umstellung keine neuen Daten mehr bei Onedrive speichern können, weil ihr Speicherplatz in der Cloud plötzlich erschöpft ist, will Microsoft den Nutzern einen einmaligen Speicherbonus gewähren. Dieser soll unmittelbar nach der Umstellung des jeweiligen Nutzerkontos aktiviert werden. Er soll zudem kostenlos sein und nach einem Jahr automatisch verfallen.

Wie viel zusätzlichen Cloud-Speicher der Konzern gewährt, geht aus der Mitteilung nicht hervor. Allerdings könne der Nutzer den Umfang und das Ablaufdatum in den Einstellungen von Onedrive einsehen, sobald der Bonus aktiv ist.

Um das Speicherlimit nicht zu überschreiten, empfiehlt Microsoft den Nutzern, "nicht mehr benötigte Fotos, Videos, Dateien und E-Mail-Anhänge regelmäßig zu löschen". Dabei sei es hilfreich, die bei Onedrive gespeicherten Elemente nach Dateigröße zu sortieren, um besonders große Dateien zu finden.

Mögliche Auswirkungen auf die Löschvorgänge

Wie sich diese Änderung letztendlich auf das Verhalten beim Löschen von Fotos auswirken wird, ist noch unklar. Wie aus einem Bericht von Dr. Windows hervorgeht, arbeitet Onedrive bisher mit Verknüpfungen, so dass ein aus der Galerie gelöschtes Foto auch aus allen Alben verschwindet, in denen es enthalten war - und umgekehrt. Es ist daher denkbar, dass Microsoft nach der Umstellung mit Kopien arbeitet, so dass die Bilder nach dem Löschen aus der Galerie oder einem Album an den jeweils anderen Speicherorten erhalten bleiben.

06/09/2023

Moderne Autos sind ein Albtraum für den Datenschutz

Ob Tesla, Audi, VW, BMW, Honda oder Nissan, sie alle scheinen mehr Daten zu sammeln als nötig - und geben sie oft auch noch weiter.

Die Mozilla Foundation hat die Datenschutzrichtlinien und -praktiken von insgesamt 25 Herstellern weit verbreiteter Automobile untersucht und kam zu einem ernüchternden Ergebnis: Keiner dieser Autohersteller bestand die Tests der Stiftung zum Schutz der Privatsphäre der Verbraucher. Auf der Website des Projekts wurden daher alle Hersteller mit dem Warnzeichen "Privacy Not Included" versehen.

Software, Smartphones und auch andere tragbare Geräte haben in der Vergangenheit immer wieder Datenschutzbedenken aufgeworfen. Eine noch größere Gefahr sieht die Mozilla Foundation aber offenbar in modernen Kraftfahrzeugen. "Autos sind die schlimmste Produktkategorie, die wir je in Bezug auf den Datenschutz getestet haben", lautet das Fazit der Untersuchungen der Stiftung.

Dabei stellte Mozilla nicht nur fest, dass grundsätzlich alle getesteten Marken zu viele persönliche Daten sammeln. Mit einem Anteil von 84 Prozent würden die meisten Hersteller die Nutzerdaten sogar an Dienstleister, Datenbroker und andere Unternehmen weitergeben oder gar verkaufen. Etwas mehr als die Hälfte der Autohersteller gab sogar an, die Daten "auf Anfrage" an Regierungen oder Strafverfolgungsbehörden weiterzugeben. Eine richterliche Anordnung sei dafür nicht erforderlich.

Zudem hätten nur zwei Automarken, Renault und Dacia, angegeben, dass die Fahrer das Recht hätten, ihre persönlichen Daten löschen zu lassen. Bei den übrigen 92 Prozent der Hersteller hätten die Fahrzeughalter keine oder nur geringe Kontrollmöglichkeiten über ihre Daten. Auch die Einhaltung gängiger Sicherheitsstandards wie eine Verschlüsselung der gespeicherten Informationen sei grundsätzlich bei keinem der Hersteller gewährleistet.

Sogar Daten über das Sexualleben werden erhoben

Besonders schlecht schnitt beispielsweise der Autohersteller Nissan ab. Das Unternehmen sammle "Daten der bedenklichsten Kategorien", darunter Informationen über das Sexualleben sowie über "psychologische Neigungen, Veranlagungen, Verhalten, Einstellungen, Intelligenz, Fähigkeiten und Fertigkeiten" der Verbraucher. Auch die Erfassung genetischer Merkmale durch den Hersteller sei kein Einzelfall - insgesamt sechs Autohersteller hätten angegeben, solche Informationen zu sammeln.

Darüber hinaus wollen einige Hersteller auch Daten über den Einwanderungsstatus, die nationale Herkunft, religiöse Überzeugungen, Fahrgewohnheiten, den Gesundheitszustand oder das Körpergewicht der Fahrzeuginsassen sammeln. Dazu werden verschiedene Datenquellen genutzt, darunter Kameras, Mikrofone und viele andere Geräte und Sensoren.

05/09/2023

Microsoft deaktiviert TLS 1.0 und 1.1 in zukünftigen Windows-Versionen

Microsoft weist darauf hin, dass ab diesem Monat die TLS 1.0 und 1.1 Protokolle in neuen Windows Betriebssystemen standardmäßig deaktiviert werden. Die Protokolle für verschlüsselte Netzwerkverbindungen TLS 1.0 und 1.1 gelten als veraltet und unsicher. Microsoft deaktiviert sie ab diesem Monat standardmäßig in neueren Betriebssystemversionen und beginnt mit den Änderungen in den Insider Preview Versionen. Die Änderungen stören den Betrieb einiger Anwendungen.

Option zur Reaktivierung von TLS 1.0 und 1.1 bleibt bestehen, temporäre Lösung bei Problemen

Sollten IT-Verantwortliche aufgrund der Deaktivierung auf unüberwindbare Probleme stoßen, können sie die Unterstützung wieder aktivieren, indem sie einen DWORD-Registrierungsschlüssel mit dem Namen "Enabled" und dem Wert "1" unter den folgenden Registrierungszweigen erstellen:

HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client

HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server

Microsoft weist jedoch eindringlich darauf hin, dass dies nur als allerletzte Maßnahme und dann auch nur als vorübergehende Krücke erfolgen sollte, bis die inkompatible Anwendung aktualisiert oder ersetzt werden kann. Die Unterstützung für ältere TLS-Versionen könnte in Zukunft auch ganz eingestellt werden.

In einem Artikel listen die Microsoft-Entwickler auch mehrere Anwendungen auf, die aufgrund der Änderungen nicht mehr korrekt funktionieren. Darunter befinden sich recht alte Software wie SQL Server 2012, 2014 und 2016, Microsoft Office 2008 Professional - Accounting Express, Safari 5.1.7, aber auch aktuelle wie ACDSee Photo Studio sowohl in der Version 2018 als auch in der Version 2023. Die Liste sei nicht vollständig, erklärt Microsoft, alle Systeme und Organisationen sollten die Abschaltung der alten TLS-Protokolle testen und beobachten, ob Fehler auftreten. Dann könnten sie die Anwendungsentwickler kontaktieren, damit diese eine aktualisierte Version oder Workarounds zur Verfügung stellen.

04/09/2023

BSI bewertet die Sicherheit verschiedener 2FA-Verfahren

Den eigenen Online-Zugang nur mit einem Passwort zu sichern, gilt mittlerweile als riskant. Sicherheitsexperten sind sich einig, dass die Authentifizierung über einen zweiten Faktor (2FA) das Schutzniveau gegenüber dem einfachen Login deutlich erhöht.

Aber Zweitfaktor ist nicht gleich Zweitfaktor, 2FA kann mit ganz unterschiedlichen Verfahren realisiert werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die verschiedenen Verfahren hinsichtlich ihrer Sicherheit bewertet.

Dabei unterscheidet die Behörde zwischen dem Schutz vor Phishing, vor der Nutzung des zweiten Faktors in Echtzeit, vor Angriffen aus der Ferne und der Anfälligkeit für Datenabfluss. Den höchsten Schutz bieten nach Analyse des BSI die hardwarebasierten Verfahren Fido2, Chip-TAN und die eID-Funktion des Personalausweises. Sofern angeboten, wird daher die Verwendung eines dieser Verfahren empfohlen.

Infos des BSI:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/2FA/it-sicherheit.pdf?__blob=publicationFile&v=3

03/09/2023

Verbraucherschützer befürchten neue WLAN-Abmahnwelle

Bei einer Umsetzung des DSA in deutsches Recht könnte der Schutz vor kostenpflichtigen Abmahnungen für Betreiber offener WLANs wegfallen.

Nach der Umsetzung des neuen EU-Digitalgesetzes kann es nach Ansicht von Verbraucherschützern wieder zu Abmahnungen gegen Betreiber öffentlicher WLAN-Netze kommen. Im Entwurf der Bundesregierung für ein neues Gesetz über digitale Dienste (DDG) fehle "der entscheidende Passus", der die Angst vor Abmahnungen "genommen hat oder nehmen könnte", heißt es in einer Stellungnahme des Verbraucherzentrale Bundesverbands (VZBZ) zum Referentenentwurf des Bundesministeriums für Digitales.

Das Ministerium hatte den Entwurf Anfang August 2023 veröffentlicht. Die Bundesregierung setzt damit die EU-Verordnung über digitale Dienste (Digital Services Act/DSA) um. Diese ist im November 2022 in Kraft getreten und gilt ab dem 17. Februar 2024 in allen Mitgliedstaaten der Europäischen Union. Mit dem Entwurf werden das Telemediengesetz (TMG) und das Netzwerkdurchsetzungsgesetz (NetzDG) aufgehoben.

Regelungen des TMG nur teilweise übernommen

Die Aufhebung des TMG betrifft auch die zuletzt 2017 geänderte Vorschrift zur sogenannten Störerhaftung. Nach § 8 Abs. 1 TMG können Diensteanbieter "nicht wegen einer rechtswidrigen Handlung eines Nutzers auf Schadensersatz oder Beseitigung bzw. Unterlassung einer Rechtsverletzung in Anspruch genommen werden; dies gilt auch für die Kosten der Geltendmachung und Durchsetzung dieser Ansprüche".

Im Entwurf des DDG findet sich in § 8 jedoch nur die Regelung, dass Betreiber offener WLANs "nicht verpflichtet werden dürfen, personenbezogene Daten der Nutzer zu erheben und zu speichern (Registrierung)" oder "die Eingabe eines Passwortes zu verlangen".

In § 7 des neuen DDG wird hingegen klargestellt, dass bei der Durchsetzung von Netzsperren keine Ansprüche gegen den Diensteanbieter geltend gemacht werden können. Der Verzicht auf eine solche Regelung in § 8 kündigt nach Ansicht der Verbraucherschützer "den seinerzeit gefundenen und nach wie vor notwendigen Kompromiss zwischen der Förderung des Aufbaus öffentlicher WLANs und dem Schutz gewerblicher Schutzrechte auf". Der Gesetzgeber müsse daher "sicherstellen, dass keine neue Abmahnwelle für Anbieter öffentlicher WLANs droht".

Digitalministerium sieht keinen Handlungsspielraum

Ähnlich sieht es der Handelsverband HDE. "Mit großer Sorge haben wir festgestellt, dass der bisher geltende Ausschluss der Störerhaftung durch den Referentenentwurf nicht mehr sicher gewährleistet ist", zitiert die Lebensmittelzeitung aus einem Schreiben des stellvertretenden HDE-Hauptgeschäftsführers Stephan Tromp an das Digitalministerium.

Auf Anfrage der Lebensmittelzeitung, warum der entsprechende Passus nicht im DDG enthalten sei, teilte das Ministerium mit: "Ziel des Gesetzentwurfes zum Digitaldienstegesetz ist es, dass sich an der bestehenden Rechtslage für WLAN-Anbieter nichts ändert". Hinsichtlich der Verantwortlichkeit der Anbieter würden künftig die Regelungen des DSA gelten. "Der nationale Gesetzgeber hat insoweit keinen Gestaltungsspielraum", teilte das Ministerium dem Bericht zufolge weiter mit.

Die Anfrage von Heise.de, welcher Artikel im DSA den Schutz vor Abmahnungen verhindern könne, konnte das Ministerium aufgrund technischer Probleme zunächst nicht beantworten.

01/09/2023

31/08/2023

Webseiten vieler bekannter Organisationen können gehackt werden

Sicherheitsforscher haben unzählige Subdomains entdeckt, die von Cyberkriminellen gekapert und für bösartige Webseiten missbraucht werden können.

Sicherheitsforscher des Wiener Beratungsunternehmens Certitude Consulting warnen derzeit vor verwaisten DNS-Einträgen bei zahlreichen Organisationen, über die böswillige Akteure deren Subdomains kapern können. Wie ein Sprecher des Unternehmens in einer E-Mail an die Redaktion von Golem.de erklärte, konnten die Forscher mehr als 1.000 Organisationen identifizieren, die von der Schwachstelle betroffen sind.

Durch das so genannte Subdomain-Hijacking ist es Angreifern beispielsweise möglich, unter den Domains bekannter Unternehmen, Behörden oder Bildungseinrichtungen beliebige Desinformations- oder Phishing-Webseiten zu hosten. So können beispielsweise Schadsoftware oder Falschinformationen verbreitet oder gezielt Zugangsdaten von Besuchern dieser Subdomains gestohlen werden.

Auch deutsche Unternehmen sind betroffen

Um das Ausmaß des Problems zu verdeutlichen, haben die Sicherheitsforscher selbst einige Webseiten von besonders gefährdeten Organisationen übernommen und dort eine Warnung veröffentlicht. Darunter befinden sich beispielsweise Webseiten von Regierungsbehörden aus Australien und den USA. Certitude Consulting nennt aber auch zwei deutsche Unternehmen, von denen die Forscher jeweils eine Subdomain gekapert haben sollen: das zur Ergo-Gruppe gehörende Versicherungsunternehmen Nexible und den Tabakkonzern Dannemann.

Darüber hinaus ist es den Sicherheitsforschern gelungen, unter bestimmten Subdomains eine Umleitung auf eine andere Website zu erzwingen und damit einen ähnlichen Effekt zu erzielen. Als Beispiele nennt Certitude Consulting unter anderem den Nachrichtensender CNN, die internationale Nichtregierungsorganisation Caritas sowie die University of California, die University of Pennsylvania und die Stanford University.

Cloud-Anbieter und Administratoren müssen handeln

Neben den jeweiligen Website-Betreibern sehen die Forscher auch die Cloud-Anbieter in der Pflicht. "Cloud-Dienste könnten das Hacken von Subdomains in den meisten Fällen effektiv und lückenlos verhindern, indem sie die Domain-Inhaberschaft verifizieren und bereits genutzte IDs nicht sofort wieder zur Registrierung freigeben", sagt Florian Schweitzer, Experte für Cloud-Sicherheit bei Certitude Consulting. Microsoft habe dies für Azure Storage Accounts bereits umgesetzt, bei anderen Anbietern wie Amazon Web Services sei dies noch nicht der Fall.

Certitude Consulting empfiehlt Administratoren, Cloud-Ressourcen erst dann zu deaktivieren, wenn die entsprechenden DNS-Einträge gelöscht wurden. Zudem ist es sinnvoll, bestehende DNS-Einträge regelmässig zu überprüfen.