Community Health Systems, amerikanischer Betreiber von 206 Krankenhäusern in 29 Bundesstaaten, outete sich diese Woche. Man sei Opfer einer erfolgreichen Hacker-Attacke geworden.
Gegenüber der US Aufsichtsbehörde SEC gab der Betreiber an, zwischen April und Juni von einer wahrscheinlich aus China operierenden Gruppe erfolgreich gehackt worden zu sein. Bei den entwendeten Daten soll es sich um nicht-sensible Informationen gehandelt haben. Betroffen sind Patienten von Ärzten, mit denen der Betreiber in den letzten fünf Jahren zusammengearbeitet habe. Man vermutet einen Zusammenhang mit früheren Attacken, bei denen mindestens 140 Unternehmen in den USA, Kanada und Großbritannien Angriffsziel waren.
Sind Daten in Ihrem Unternehmen sicher? Analysen der letzten Monate zeigen, nicht nur große Konzerne und Unternehmen stehen im Fokus solcher Angriffe. Vollautomatisiert werden von außen über das Internet Schwachstellen in Unternehmensnetzen abgescannt und zielgerichtet penetriert. Oft mit Erfolg und meist ohne Kenntnis der betroffenen Unternehmen. Gerne unterstützen wir Sie bei der Überprüfung und Absicherung Ihres Firmennetzwerkes zusammen mit unseren Partnern für IT-Sicherheit.
Amerikanische und nun auch deutsche Medien berichten vom wohl größten Datenklau in der Geschichte des Internets. Zumindest vom größten bekannten Datenklau kann man wohl getrost ausgehen.
Einer russischen Hackergruppe soll es gelungen sein, über 1,2 Milliarden Datensätze zu hacken. Betroffen seien Benutzernamen, Passwörter und auch Email-Adressen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik, kurz BSI warnt vor der optimistischen Einschätzung, deutsche Nutzer könnten eventuell nicht betroffen sein. Sobald man weitere Informationen aus den USA vorliegen habe, werde man sich um Hilfestellungen für deutsche Internetnutzer bemühen und diese veröffentlichen. Ursprünglich seien wohl sogar mehr als 4 Milliarden Datensätze betroffen gewesen, doch durch Ausschluß von Dopplungen sei es zu einer Reduktion auf 1,2 Mrd. gekommen.
Nun heißt es also wieder mal, breitflächig Passwörter ändern. Das diese gewiße Sicherheitsanforderungen genügen müssen, sollte sich mittlerweile rumgesprochen haben. Auch die Nutzung von einem Passwort für mehrere Dienste ist geeignet, es Hackern und Dieben leichter zu machen — von daher keine gute Idee. Da man sich diese nicht alle merken kann, bietet sich die Nutzung eines Passwort-Tresors wie Keepass an. Cloud basierte Passwortmanager ohne Verschlüsselugn oder gar von amerikanischen Anbietern sollten sich von selbst verbieten.
Wohl dem, der in seinen Online Profilen nicht alle Komfort-Merkmale nutzt. Es ist zwar praktisch, wenn der Online Shop die Kreditkartendaten für eine schnellere Abwicklung schon gespeichert hat und man diese nicht mehr eingeben muss. Sicher ist dabei aber im Zweifel nur eins: wird Ihr Account gehackt — und wenn auch über Umwege -, dann hat der Hacker auch gleich noch Ihre Zahlungsdaten. Wollen Sie das?
Wir halten Sie auf unserem Blog informiert, wenn seitens des BSI belastbare Informationen kommuniziert werden.
Viel Zeit und Mühe wird in das Abschirmen und Absichern von IT Netzwerken gegen Angriffe von außen investiert. Dabei übersieht man schnell die Gefahren, die Unternehmensdaten von innen drohen können. Unabhängig ob Fahrlässigkeit oder Absicht, so sollten Sie als Unternehmer und Unternehmen diese Bedrohung nicht aus dem Blick verlieren. In fast einem Viertel aller Fälle sind Mitarbeiter der Grund für Datenabfluss aus dem Unternehmen.
In Zeiten von Speichersticks mit immer größerer Speicherkapazität und Fotohandys mit mehreren Megapixeln Auflösung erschreckt es teilweise, wie lax der interne Umgang in Unternehmen sein kann.
Nutzungsrichtlinien und Profilsperren für die Nutzung von USB Sticks sind oft Fehlanzeige. Daten können in großen Mengen kopiert und unauffällig in der Hosentasche ausser Haus gebracht werden.
Fotohandys werden teilweise sogar vom Unternehmen den Mitarbeitern zur Verfügung gestellt. Die hohen Auflösungen erlauben detailgetreue Wiedergaben beim Abfotografieren wichtiger und geheimer Dokumente. Nützlich ist die oftmals zusätzlich eingerichtete Internetflat, um die Fotodokumentation gleich noch unauffällig zu versenden.
Doch dies sind nur zwei ausgewählte Möglichkeiten, wie schützenswerte Daten das Unternehmen verlassen können. Diese setzen selbstverständlich noch ein gewisses Maß an krimineller Energie bei Ihren Mitarbeitern voraus. Aber wer kennt schon den genauen Preis, ab dem Loyalität in den Hintergrund tritt?
Auch unbewußte Gefahren können von Mitarbeitern ausgehen: Verteilen Sie USB Sticks auf dem Parkplatz eines Unternehmens vor Arbeitsbeginn, wie zufällig verloren. Zuvor präparieren Sie diese mit einer kleinen, eindeutigen und ungefährlichen Ping Routine im Autostart. Sie werden staunen, wie viele dieser Sticks sich bis zum Abend aus dem Unternehmensnetzwerk auf dem bereitgestellten Ping Server gemeldet haben. Stellen Sie sich vor, diese Sticks wären mit Schadsoftware präpariert gewesen (Backdoors, Löschfunktionen etc.) !! Horrorvorstellung, aber bedauerlicherweise Realität.
Eine beliebte Methode ist das Ausspähen von Daten und Geheimnissen über die Abfallbehälter. Sei es direkt aus den Papierkörben an den Schreibtischen oder aus den Containern im Hof. Etwas Unterstützung vom Reinigungspersonal und Sie werden staunen, an welche Informationen man bei der “Müll”-Auswertung so alles gelangen kann. Zahlreichen Untersuchungen zufolge finden fast 50% der Spionage-Angriffe nicht auf elektronischem Weg statt, sondern durch einfaches Durchsuchen der Abfallbehälter, auch “Bin Raiding” genannt.
100%ige Sicherheit und Schutz vor diesen und ähnlichen Gefahren gibt es nicht. Als Berater für Datenschutz und Datensicherheit unterstütze ich Sie jedoch bei der Minimierung dieser Risiken durch konkrete Maßnahmen im Bereich der IT Sicherheit und durch Sensibilisierung Ihrer Mitarbeiter durch Schulung und Aufklärung. Sie können Ihre Mitarbeiter zu den regelmäßigen Schulungen “Datenschutz und Datensicherheit” schicken oder angepasste Schulungen auf Basis Ihrer vorhandenen (oder noch zu erstellenden) Nutzungsrichtlinien durch mich bei Ihnen vor Ort durchführen lassen. Sprechen Sie mich an.
Lesen Sie aktuelle Aussagen (07.07.2014) zu diesem Thema vom Verfassungsschutz-Präsident H.-G. Maaßen auf unserer Beratungs-Webpage.
Erneut haben Hacker Emailadressen und dazugehörige Passwörter geknackt. Dieses Mal sind cirka 18 Millionen Datensätze, darunter ungefähr 3 Millionen deutsche Nutzer betroffen sein.
Das Bundesamt für Sicherheit in der Informationstechnik BSI hat erneut eine Webseite zur komfortablen Online-Prüfung ins Netz gestellt. Den Online Test finden Sie unter
Auf dieser Webseite finden Sie unter “Häufige Fragen” weitere Hintergrundinformationen, Tipps zur Absicherung Ihrer IT Geräte, der Auswahl eines sicheren Passworts sowie Anleitungen zum Ändern und / oder Zurücksetzen Ihrer Passwörter bei zahlreichen betroffenen Webmail-Anbietern.
Betroffene Nutzer der Unternehmen Deutsche Telekom / T‑Online, Freenet, gmx.de, Kabel Deutschland, Vodafone, und web.de werden direkt über diese Dienstleister im Rahmen ihrer bestehenden Kundenbeziehungen informiert, wenn Sie betroffen sind. Für alle anderen empfiehlt sich der Online Test.
Nach Aussage des BSI ist Vorsicht beim Surfen im Web angeraten. Mit Hilfe von manipulierten Werbebannern wird beim Besuch der betroffenen Seiten Schadsoftware verteilt. Betroffen sind auch zahlreiche bekannte deutschsprachige Webseiten (wie Online-Angebote von Nachrichten‑, Politik‑, Lifestyle- und Fachmagazinen, Tageszeitungen, Jobbörsen und Städteportalen). Dabei wird eine Sicherheitslücke in einer verbreiteten Werbe-Server-Software ausgenutzt. Im Zusammenspiel mit Schwachstellen aus veralteter Software auf den Geräten des Besuchers eine gefährliche Mischung.
Bekannte Schwachstellen in Java, im Adobe Reader, in Adobe Flash oder auch im Microsoft Internet Explorer, ermöglichen die Installation von Schadprogrammen wie Online-Banking-Trojaner auf PCs (Windows) der Besuchern. Dabei reicht der Besuch einer Webseite mit einem entsprechend manipulierten Werbebanner bereits vollkommen aus. Es ist kein weiteres Zutun des Nutzers erforderlich.
Abhilfe schafft im Moment lediglich die automatische oder auch manuelle Installation der von Adobe und Microsoft zur Verfügung gestellten Sicherheitsupdates, entweder direkt unter www.adobe.de oder über die systeminterne Update-Funktion.
Ende letzten Jahres führte der Computerhersteller DELL eine Umfrage bei über 250 IT-Verantwortlichen in deutschen Unternehmen durch mit einem erschreckenden Ergebnis. Kernfrage: wie gut ist der IT-Bereich auf eine Umsetzung von Bring Your Own Device (BYOD) vorbereitet.
Über 60% der Teilnehmer können oder wollen z.B. benutzereigene Tablets nicht in die vorhandene IT-Infrastruktur einbinden. Das Ergebnis sei lt. DELL nicht überraschend, jedoch zu hinterfragen. Können es sich Unternehmen leisten, diesem Trend nicht zu folgen? Von Bedeutung wird es sein, diese Thematik sicher und praxisorientiert in das vorhandene System-Managament zu integrieren.
Dabei sollten Sie frühzeitig Ihren Datenschutzbeauftragten involvieren. Er kennt sich mit diesem Thema üblicherweise aus und kennt pragmatische Ansätze, die der Sicherheit und der Produktivität des Unternehmens zu Gute kommen. Sie haben noch keinen Datenschutzbeauftragten?
Die Pressemeldung samt Link zur ausführlichen Studie finden Sie hier.
Üblicherweise ist die Code-Sperre zum Reaktivieren des Smartphones ein probates Mittel, um unberechtige Zugriffe auf Daten und Mißbrauch zu verhindern. Der Redaktion von Golem.de ist es nun mit einiger Fingerfertigkeit gelungen, diese Sicherheitsschranke im Betriebssystem iOS 6.1 zu umgehen. Ein Update ist laut Apple in Arbeit, um diese Lücke zu schliessen.
Da die Sicherheitslücken in der aktuellen Java Version 7.11 zu groß waren, hat Oracle nun reagiert. Ab sofort steht Version 13 zwei Wochen früher als geplant zum Download bereit. Wir empfehlen allen Nutzern, das Update zeitnah einzuspielen. 26 der 50 Korrekturen sind in der höchsten Gefahrenstufe 10 deklariert.
Bereits in einer Kundeninformation aus 2012 haben wir auf das Thema inoffzielles Outsourcing durch Mitarbeiter aufmerksam gemacht. Nicht vorhandene Funktionen in der IT-Struktur werden durch gewiefte Mitarbeiter und externe Tools — oftmals dann ohne Kenntnis der IT-Verantwortlichen — eingeführt und genutzt. Sicherheitslücke, drohende Bußgelder und mögliche Datenpannen gleich inklusive.
2009 hat das amerikanische Satire Magazin The Onion einen Videoclip produziert, aufgemacht wie einen offiziellen Nachrichtenbeitrag im US Fernsehen. Darin wird berichtet, das nun nicht mehr nur Unternehmen Outsourcing betreiben, sondern auch Mitarbeiter selbst. Um Arbeitszeit zu sparen und mehr Zeitressourcen z.B. zum Kaffee trinken, Ebay-Auktionen verfolgen oder einfach nur relaxen, heuern amerikanische Mitarbeiter (im Video noch Fakes) preiswerte externe Hilfskräfte an. Diese erledigen dann die Aufgaben des Angestellten, der seine freie Zeit nun deutlich sinnvoller nutzen kann. Was 2009 als Satire begann, wurde mit einer Meldung am gestrigen Tage Realität:
Eine Firma wandte sich an das Sicherheitsunternehmen Verizon mit der Bitte, auffällige Logfiles zu überprüfen. Diese würden einen kontinuierlichen VPN Tunnel nach China belegen. Die Verbindung wurde mit dem eToken (vorbildlich) eines Softwareentwicklers aufgebaut, der während der Logzeiten jedoch nicht zu Hause, sondern an seinem Schreibtisch im Büro saß. Weiter ergab die Analyse, das die Verbindung in den letzten 6 Monaten fast kontinuierlich aufgebaut war. Die Untersuchung des Arbeitsplatzes brachte es dann ans Tageslicht: der Entwickler hatte sich für ein Fünftel seines eigenen Jahresgehalts einen Dienstleister aus dem fernen China geleistet, der seine Programmieraufgaben pflichtbewußt übernahm. Das notwendige eToken schickte der findige Mitarbeiter auf dem Postweg ins Land der aufgehenden Sonne. Mittlerweile arbeitet der Programmierer nicht mehr für das Unternehmen. Kurios jedoch: der vermeintlich von ihm gelieferte Programm-Code war stets so gut, so daß er mehrfach beste Bewertungen dafür erhielt.
heise security meldet, die Telekom hat nach knapp einer Woche eine fehlerbereinigte und für den allgemeinen Gebrauch gedachte Firmware-Version (1.17.000) für den Speedport W 921V veröffentlicht. Hier finden Sie die ausführliche Anleitung und neue Version der Firmware.
Originalartikel vom 26.04.2012
heise.de berichtet von einem Sicherheitsleck in den Routern der Telekom. Mittels einer trivialen PIN erhält man per WPS WLAN Zugriff auf den Router, unabhängig von allen anderen Sicherheitseinstellungen. Betroffen sind die Modelle Speedport W 504V, W723V (Typ B) und W921V.
Die Telekom beginnt mit der Information über diese Sicherheitslücke. Besitzer eines der oben genannten Speedport Routers sollten die Meldungen verfolgen, um eine Lösung für das Problem zu erhalten.