Aufrufe
vor 1 Jahr

Netzwoche 1/2019

24 Web Security Was

24 Web Security Was Sicherheitsexperten derzeit den Schlaf raubt Komisch, spannend und beängstigend. Jeden Tag gibt es neue Meldungen zu Distributed-Denial-of-Service-Attacken, Ransomware, Cryptominern und Co. Die gefundenen Perlen erscheinen online im IT-Security-Blog. An dieser Stelle eine kleine Auswahl aus den Sammlungen des letzten Monats. Texte und Illustrationen: Coen Kaat Was macht dieser Raspberry Pi im abgesperrten Serverraum? Was macht man, wenn man im Serverraum, den man verwaltet, plötzlich einen Raspberry Pi entdeckt? Ohne auch nur die geringste Ahnung zu haben, woher das Gerät kommt; in einem abgeschlossenen Serverraum, zu dem fast niemand Zugang hat. Ein IT-Leiter einer österreichischen Hochschule, der sich mit just diesem Problem konfrontiert sah, wusste schnell Rat: Er fragte mal auf Reddit nach, was das sein könnte, wie «The Register» berichtet. Schon bald war das Gerät identifiziert. Es handelte sich um ein nRF52832-MDK. Ein IoT-Gadget, das sich über Bluetooth und WLAN verbinden kann. Kostenpunkt: etwa 30 US-Dollar. Aber was macht es da? Die Antwort der Reddit-Nutzer kam sogleich: definitiv ein Keylogger! Tatsächlich befindet sich der Serverraum nur wenige Meter vom Büro des CEOs entfernt. Durchaus denkbar also, dass jemand versucht, die Tastenanschläge oder die Netzwerkaktivitäten des Chefs aufzuzeichnen. Was dahintersteckt, hat der IT-Leiter noch nicht herausgefunden. Aber dafür, wer dahintersteckt. Von der Geschäftsleitung erfuhr er, dass ein ehemaliger Mitarbeiter noch immer einen Schlüssel zum Serverraum hat. Nur wenige Minuten, bevor das Gerät erstmals bemerkt wurde, hatte jemand versucht, sich mit dem Benutzernamen des ehemaligen Mitarbeiters einzuloggen – dank Identity and Access Management (IAM) ohne Erfolg. Zuerst Westeros, dann der Cyberraum: Malware Khalesi im Anmarsch Das Botnetz Mylobot ist noch relativ jung. Es wurde erst im Juni 2018 entdeckt. Der Entdecker: der USamerikanische Telko Centurylink. Das Botnetz verfügt über fortschrittliche Methoden, um sich vor seinen Opfern zu verstecken. So «schläft» es etwa nach der Infektion erst mal zwei Wochen. Erst dann kontaktieren die infizierten Rechner den «Command and Control»-Server. Centurylink will nun herausgefunden haben, was Mylobot genau macht. Nachdem das Botnetz einen Rechner infiziert hat, lädt es in einem zweiten Schritt eine Malware namens Khalesi herunter. Das Schadprogramm sei darauf spezialisiert, Informationen zu stehlen. Der Name erinnert an die populäre Buchreihe und TV-Serie «Game of Thrones». Eine der Hauptfiguren ist Daenerys Targaryen, auch bekannt als Khaleesi (mit zwei statt einem «e»). Wenn diese nicht gerade Drachen aufzieht, versucht sie, die Welt zu erobern. Im Gegensatz zu ihrem Malware-Namensvetter allerdings mit überwiegend guten Absichten. Die Malware könnte jedoch auch einfach nach ihrem Entwickler benannt worden sein. Schliesslich ist Khalesi auch ein arabischer Familienname. Die Verbreitung der Malware deutet durchaus in diese Richtung. So kommt sie vor allem im Irak, Iran, in Argentinien, Russland, Vietnam, China, Indien, Saudi-Arabien, Chile und Ägypten vor. Sicherheitslücke macht DJIs Drohnen zu Wanzen Was will kein Nutzer erleben, wenn seine womöglich mehrere tausend Franken teure Drohne gerade über den Köpfen anderer Menschen schwebt? Eine Sicherheitslücke! Doch genau eine solche fanden die Sicherheitsexperten von Check Point, wie das israelische Unternehmen mitteilt. Betroffen war der Drohnenhersteller DJI. Die gefundene Schwachstelle ermöglichte es einem Angreifer zwar nicht, eine Drohne zu kapern. Die Schwachstelle sitzt im Anmeldeprozess für DJI-Nutzer. Ein Angreifer könnte theoretisch auf Flug- und Nutzerdaten sowie auf die gemachten Fotos und Videos zugreifen. Ausserdem könnte er auch im Flug die Kamera anzapfen oder den Flug auf der Karte verfolgen, wie Check Point schreibt. Der Angreifer müsste dafür lediglich einen DJI-Benutzer ködern, der das Onlineforum des Herstellers frequentiert. Über einen infizierten Link gelang es Check Point, an diese Cookies heranzukommen und sich so erfolgreich als diesen Nutzer auszugeben. Check Point entdeckte das Problem bereits im März 2018. DJI behob die Sicherheitslücke anschliessend. Gemäss den beiden Unternehmen gibt es keine Hinweise darauf, dass die Schwachstelle tatsächlich ausgenutzt wurde. Mehr im Security-Blog: www.it-markt.ch/Security 01 / 2019 www.netzwoche.ch © netzmedien ag

Web Hintergrund 25 Bild: EmirMemedovski / iStock.com Nicht verzagen, EDÖB fragen Seit dem 25. Mai 2018 gelangen deutlich mehr Beschwerden an die europäischen Datenschutzbehörden. EU-Bürger nehmen zwar ihre Datenschutzrechte häufiger in Anspruch, doch rund um die EU-DSGVO herrscht nach wie vor viel Unsicherheit – auch in Schweizer Unternehmen. Autor: Joël Orizet Seit die EU-DSGVO am 25. Mai des letzten Jahres wirksam wurde, nehmen Bürger der Europäischen Union ihre Datenschutzrechte häufiger in Anspruch. Deutlich mehr Zuschriften hätten die europäischen Aufsichtsbehörden erreicht. Darunter eine «beachtliche» Zahl an Beschwerden: «In der gesamten EU sind bis Ende September 55 000 Beschwerden sowie 18 900 Meldungen von Datenschutzverletzungen eingegangen», lässt sich die ehemalige deutsche Bundesdatenschutzbeauftragte Andrea Voßhoff von «Heise Online» zitieren. Sie sei überrascht, dass nach wie vor eine «Vielzahl an Fehlinformationen» rund um die Verordnung kursiere. Dementsprechend gebe es Ängste vor einer Abmahnwelle oder davor, dass die Aufseher nun massenweise Geldbussen verhängten. «Solche Szenarien sind ausgeblieben», betonte Voßhoff gegenüber «Heise Online». Eine erste DSGVO-Strafe in Deutschland wurde vom Datenschutzbeauftragten in Baden-Württemberg verhängt. Er büsste die Chat-Plattform Knuddels.de. Das soziale Netzwerk habe Passwörter von Nutzern unverschlüsselt gespeichert. So verstiess das Unternehmen gegen die Pflicht, die Sicherheit von personenbezogenen Daten zu gewährleisten. Mit einem Bussgeld in Höhe von 20 000 Euro kam das soziale Netzwerk allerdings glimpflich davon. Einen kühlen Kopf bewahren Dass viele der anfänglichen Befürchtungen übertrieben sind, erklärten auch Schweizer Datenschutzexperten an einer Tagung des IT-Verbands ICMF im September. Die oft zitierten Bussgeldforderungen von 20 Millionen Euro respektive 4 Prozent des weltweiten Umsatzes würden wohl nur in Ausnahmefällen verhängt, sagte Ursula Uttinger, Juristin und Präsidentin des Datenschutz-Forums Schweiz. «Am ehesten noch bei grossen, multinationalen Unternehmen, um ein Zeichen zu setzen, aber wohl kaum bei KMUs.» Trotzdem sollten Unternehmen die Datenschutzbestimmungen umsetzen. «Und zwar nicht nur wegen der EU-DSGVO, sondern weil auch wir in der Schweiz ein Datenschutzgesetz haben, das Vorgaben macht, die es einzuhalten gilt», sagte Uttinger. Die EU-DSGVO gilt etwa für jene Schweizer Unternehmen, die Daten von Personen in der EU bearbeiten. Betroffen sind Unternehmen aller Branchen, die grosse Mengen von Personendaten durch automatisierte Verfahren profilbildend analysieren, wie Adrian Lobsiger, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), im Interview mit der «Netzwoche» (Ausgabe Nr. 06/2018) erklärte. Solchen Unternehmen stehe der EDÖB mit Rat und Tat zur Seite. Auf seiner Website (www.edoeb.admin.ch) stellt der EDÖB eine umfassende Wegleitung mit weiterführenden Links und praktischen Hilfsmitteln bereit. Artikel online: www.netzwoche.ch ▸ Webcode DPF8_119952 Dossier online auf www.netzwoche.ch/eu-dsgvo www.netzwoche.ch © netzmedien ag 01 / 2019

Archiv