Security News
Microsoft bestätigt LNK-Schwachstelle in Windows
pcwelt.de – 19. Juli 2010
Microsoft hat in einer Sicherheitsmitteilung bestätigt, dass es in Windows eine Sicherheitslücke bei der Behandlung von Verknüpfungen gibt. Sie wird von der kürzlich bekannt gewordenen Stuxnet-Malware genutzt.
Ein offenbar für Industriespionage entwickelter Schädling nutzt eine Sicherheitslücke in Windows, um sich über infizierte USB-Sticks Wurm-artig zu verbreiten. Er installiert ein Rootkit zu seiner Tarnung. Microsoft warnt, die Lücke lasse sich auch über Netzwerkfreigaben ausnutzen. Ein Beispiel-Exploit ist öffentlich verfügbar.
Microsoft gibt in seiner Sicherheitsmitteilung 2286198 an, die Sicherheitslücke betreffe alle noch unterstützten Windows-Versionen. Dies sind seit letzter Woche nur noch Windows XP SP3, Vista, Windows 7 sowie die Server-Versionen 2003, 2008 und 2008 R2. Die Lücke steckt jedoch auch in älteren Windows-Versionen wie XP SP2 und Windows 2000, die Microsoft nicht mehr unterstützt.
Link.
Deutsche: Lebenslang ein Passwort
silicon.de.de – 28. Juni 2010
Viele Deutsche leben nach dem Motto: Ein Passwort hält ein Leben lang. Das geht aus einer aktuellen Umfrage hervor, die der Marktforscher Forsa im Auftrag des Branchenverbandes Bitkom unter rund 1000 deutschsprachigen Personen ab 14 Jahren durchgeführt hat.
Demnach verändern 41 Prozent der Bundesbürger aus eigener Initiative niemals ihre Zugangscodes für Online-Konten, E-Mail-Postfächer, Auktionsplattformen, PC oder Handy. 8 Prozent wechseln den Zugangscode nur alle paar Jahre, 11 Prozent immerhin jährlich. 6 Prozent tauschen halbjährlich ihre Kennwörter, 9 Prozent quartalsweise, 7 Prozent monatlich, jeder hundertste gar wöchentlich.
"Bei Passwörtern zahlt sich Treue nicht aus – die wichtigsten Passwörter sollten alle drei Monate geändert werden", sagte dazu Professor Dieter Kempf vom Präsidium des Bitkom. Das erschwere Online-Kriminellen ihre Arbeit. "Private Nutzer und Unternehmen sind gleichermaßen gefordert. Die Firmen sollten die PCs ihrer Mitarbeiter so einstellen, dass Kennwörter regelmäßig geändert werden müssen. Zudem sollte es Vorgaben zur Mindestlänge und dem Schwierigkeitsgrad des Passwortes geben", so Kempf.
Frauen ändern ihre wichtigsten Kennwörter demnach noch seltener als Männer: 45 Prozent tun dies nie (Männer: 38 Prozent), nur 12 Prozent mindestens einmal im Quartal (Männer: 24 Prozent). Sensibilisiert sind Jugendliche und junge Erwachsene bis 29 Jahre: Gut 27 Prozent dieser Altersgruppe ändert seine wichtigsten Kennwörter mindestens quartalsweise. Bei den Senioren über 60 Jahren sind es nur rund 4 Prozent.
Link.
Passwortknacker 100 mal schneller durch SSD
heise.de – 09. März 2010
Der Security-Spezialist Objectif Sécurité hat eine seiner Rainbow-Tables – ein gängiges Hilfsmittel zum Knacken von Passwort-Hashes – für den Einsatz von SSDs optimiert. Das Ergebnis ist laut Philippe Oechslin von Objectif Sécurité eine Beschleunigung um den Faktor 100 im Vergleich zur alten 8-GByte-Rainbow-Table für XP-Hashes. Ein Web-Formular nimmt XP-Hashes entgegen und knackt sie kostenlos mit den neuen, zehn Mal größeren Tabellen.
Oechslin hat einen betagten Athlon 64 X2 4400+ mit einer SSD und den optimierten Tabellen ausgestattet. Das System könne bei einer CPU-Auslastung von 75 Prozent ein 14-stelliges XP-Passwort mit Sonderzeichen in durchschnittlich 5,3 Sekunden knacken. Im Worst-Case soll es rein rechnerisch 300 Milliarden Passwörter je Sekunde abklappern können, was einem Faktor 500 im Vergleich zu einem Elcomsoft-Cracker mit Unterstützung einer moderner Tesla-GPU von NVidia entspreche...
Link
Erfolgreicher Hardwareangriff auf RSA-Implementierung
heise.de – 05. März 2010
Forscher der University of Michigan konnten durch Manipulation der Spannungsversorgung eines Embedded-Prozessors an den von ihm verwendeten geheimen RSA-Schlüssel gelangen. Der Angriff zielt auf die Berechnung von RSA-Signaturen mit Hilfe des FWE-Algorithmus (Fixed Window Exponentiation), wie es beispielsweise in der Kryptobibliothek OpenSSL der Fall ist. Bei dem untersuchten Embedded-Prozessor handelt es sich um ein SPARC-basiertes Leon3-SoC, das auf einem FPGA von Xilinx läuft und laut den Wissenschaftlern aber repräsentativ für Embedded-Systeme sein soll.
Grundlage der von Andrea Pellegrini, Valeria Bertacco und Todd Austin in einem Paper beschriebenen Attacke ist die Absenkung der Spannungsversorgung der Prozessoreinheit gerade so weit, dass es bei den zur Signaturberechnung erforderlichen Multiplikationsoperationen gelegentlich zu Bitfehlern kommt. Aufgrund der mathematischen Eigenschaften des FWE-Algorithmus lassen sich aus einer fehlerhaften Unterschrift unter gewissen Umständen vier Bits des geheimen Schlüssels errechnen. Da man nicht vorhersagen kann, welche Unterschriften einen geeigneten Fehler enthalten und welche vier Schlüsselbits sich daraus berechnen lassen, muss man sehr viele Signaturen sammeln....
Link
Angriff auf Windows-Bitlocker
heise.de – 04. Dez 2009
Fraunhofer SIT hat einen Weg vorgestellt, wie ein Angreifer die PIN für die BitLocker-Laufwerkverschlüsselung unter Windows ausspähen kann – und das trotz TPM-geschütztem Boot-Vorgang. Der Trick: Ein Angreifer mit Zugriff auf den Zielrechner bootet einfach von einem USB-Stick und tauscht den BitLocker-Bootloader gegen einen eigenen Bootloader aus, der dem Anwender die Original-PIN-Abfrage von BitLocker vorgaukelt, eingegebene PINs aber im Klartext auf der Platte ablegt.
Während der Bootprozess bei BitLocker zwar eine Integritätsprüfung des Systems und damit auch der Windows-Software durchführt, gilt dies nicht für den Bootloader selbst – aber bis zum Windows-Bootvorgang kommt es bei dem eigentlichen Angriff ohnehin gar nicht erst. Daher schütze auch ein eventuell eingebautes Trusted Computing Module (TPM) nicht vor derartigen Manipulationen, erklärt das Fraunhofer SIT in seinem Bericht.
Hat der ausgetauschte Bootloader die vom Opfer eingegebene PIN auf der Platte gespeichert, schreibt er den Original-Bootloader wieder in den MBR zurück und startet neu. Der Anwender mag sich zwar wundern, dass der Rechner neu startet, aber wer hat nicht schon mal einen Abbruch des Boot-Vorgangs mit einem anschließendem Neustart erlebt
Um an die gespeicherte PIN zu gelangen, muss der Angreifer ein zweites Mal Zugriff auf den Zielrechner haben, abermals von einem USB-Sticks starten und dann auf die Platte zugreifen. Mit der ausgelesenen PIN kann er dann in einem weiteren Bootvorgang BitLocker freischalten und auf das geschützte Windows-System zugreifen.
Link.
ChipTAN-Verfahren der Sparkassen ausgetrickst
heise.de – 23. Nov 2009
Der Sicherheitsdienstleister RedTeam Pentesting hat Wege aufgezeigt, wie sich das derzeit von den Sparkassen eingesetzte "chipTAN comfort"-Verfahren angreifen lässt, sodass Betrüger eigene Überweisungen durchführen könnten.
Bei chipTAN comfort erzeugt ein spezielles Gerät die TAN für eine Transaktion. Nach Eingabe seines Auftrags hält der Kunde seinen optischen TAN-Generator mit eingebauten Fototransistoren vor den Bildschirm, auf dem die Bank einen Schwarz-Weiß-Blinkcode (Flickercode) sendet. Der Code enthält die Überweisungsdaten sowie weitere zur Berechnung der TAN benötigten Daten. Das Gerät zeigt nach dem Einlesen des Codes den Überweisungbetrag und das Konto an – eine Manipulation der Transaktion durch einen Betrüger oder Trojaner sollte normalerweise sofort auffallen. Nach dem Drücken der Bestätigungstaste erhält man die TAN. Soweit so gut.
Zumindest bei der Sparkasse lässt sich das Verfahren in Zusammenhang mit Sammelüberweisungen per Man-in-the-Middle-Attacke aushebeln. In einer Sammelüberweisung kann der Kunde einzelne Überweisungen zusammenfassen und mit einer einzigen TAN legitimieren. Der Haken an der Sache: Anders als bei Einzelüberweisungen erscheinen im "chipTAN comfort"-Gerät bei einer Sammelüberweisung nur die Gesamtsumme und die Anzahl der Überweisungen. Einzelne Zielkonten zeigt das Gerät nicht an. Somit hat der Kunde keine Möglichkeit eine Manipulation der Transaktionsdaten festzustellen. Ein Trojaner könnte beispielsweise die vom Kunden abgeschickten Daten im Browser abfangen und durch eigene Austauschen, sodass zwar die Summe und die Zahl der Überweisungen gleich, die Zielkonten aber andere sind.
Link.
Passwortklau durch Schwachstelle im SSL/TLS-Protokoll
heise.de – 16. Nov 2009
Die Anfang des Monats bekannt gewordene Schwachstelle im Design des SSL/TLS-Protokolls lässt sich offenkundig bereits praktisch für Angriffe ausnutzen. Der Student Anil Kurmus berichtet in seinem Blog, dass es ihm in Versuchen gelungen sei, ein Twitter-Passwort in einer Man-in-the-Middle-Attacke auszuspähen. Bislang ging man davon aus, dass das Problem eher exotisch sei und nur in wenigen Szenarien überhaupt zum Tragen komme. Die Design-Schwäche lässt sich von Angreifern ausnutzen, um in geschützte Verbindungen eigene Inhalte einzuschleusen.
Bei seiner Attacke hängte Kurmus den verschlüsselten HTTPS-Request eines Versuchsopfers an seinen eigenen Twitter-Request quasi als Nachricht an. Zwar lässt sich auf diese Weise der Inhalt des Pakets des Opfers nicht unmittelbar einsehen, aber der Webserver fügt die beiden Pakete aufgrund der sogenannten TLS-Renegotiation-Lücke nach der Entschlüsselung zu einem zusammen. In der Folge erschien im Test vom Kurmus der HTTP-Request des Opfers als Tweet im Konto von Kurmus – und im Tweet waren Nutzername und Passwort Base64-kodiert einzusehen und einfach zu dekodieren.
Twitter soll laut Bericht seit Ende letzter Woche mit einem Fix verhindern, dass sich diese Lücke weiter ausnutzen lässt. Konkrete Angaben, wie Kurmus in seiner Attacke die TLS-Renegotiation angetriggert hat, fehlen in dem Bericht. Die Neuaushandlung lässt sich aber auf mehreren Wegen anstoßen. Der in den ursprünglichen Berichten beschriebene Einsatz von SSL-Client-Zertifikaten ist nur ein möglicher Weg.
Link.
Kein Schlupfloch für Spione
FTD.de – 28. Aug 2009
Wer sensible Firmendaten schützen will, braucht eine ausgefeilte Sicherheitsstrategie. Der Mensch ist dabei ebenso wichtig wie die Technik. International beläuft sich der Schaden durch Datendiebstahl auf mehrere Milliarden.
Es gibt immer noch Firmen von Weltrang, deren Sicherheitssysteme so löchrig sind wie Schweizer Käse. Was passieren kann, wenn Spione es auf hochbrisante Daten abgesehen haben, zeigt der Fall Deutsche Telekom. Vor drei Jahren wurden 17 Millionen Telefonnummern und Kundendaten gestohlen und illegal gehandelt. Jeder zweite T-Mobile-Kunde war angeblich betroffen, darunter Politiker, Wirtschaftsführer und Stars wie Hape Kerkeling.
Kein Einzelfall. Erst in diesem Jahr gab es einen noch erfolgreicheren digitalen Raubzug. Einer Gruppe von Hackern gelang es, die Kommunikationskanäle mehrerer amerikanischer Unternehmen zu kapern. Mehr als 130 Millionen Daten von Kreditkarten erbeuteten die Spione. Eklatante Sicherheitslücken in den Computersystemen einer Firma für Zahlungsabwicklungen haben es den Hackern leicht gemacht....
Link.
So schützen Sie auf Reisen Laptop und Handy
welt.de – 28. Aug 2009
Ob am Flughafen, im Hotel oder am Strand: Kriminelle haben in der Ferienzeit Hochsaison. Besonders beliebte Beute sind Laptops oder Handys. Wenn Fotos oder Musik weg sind, ist der Urlaub oft verdorben. Werden geschäftliche Informationen oder Passwörter ausgespäht, wird es womöglich sogar gefährlich.
Tatort Flughafen Düsseldorf: Fußballtrainer Christoph Daum wartet auf seinen Flug in die Türkei, wo er neuerdings Fenerbahce Istanbul trainiert. Seinen Laptop hat er natürlich dabei, denn auf dem Gerät sind wichtige Details über den Vertrag mit Fenerbahce gespeichert. In der Hektik lässt Daum sein Handgepäck ein paar Sekunden aus den Augen – und schon ist es mitsamt Laptop verschwunden. Weg sind damit auch Fotos, wichtige Telefonnummern und Geschäftliches. ...
Link.
WLAN: WPA-Verschlüsselung in 1 Minute geknackt
winfuture – 28. Aug 2009
Informatikern aus Japan ist es gelungen, die verbreitete Wi-Fi Protected Access (WPA)-Verschlüsselung binnen einer Minute zu knacken. Das berichtete das US-Magazin 'NetworkWorld'.
Nach Angaben der beiden Forscher Toshihiro Ohigashi von der Universität Hiroshima und Masakatu Morii von der Universität Kobe bezieht sich der Hack allerdings nur auf die ursprüngliche, aber noch immer weit verbreitete Form der WPA-Verschlüsselung, bei der der Temporal Key Integrity Protocol (TKIP)-Algorithmus zum Einsatz kommt....
Link.
Datenklau bei der Royal Air Force wird brisant
computerwoche – 25. Mai 2009
In Großbritannien reißt die Serie der Datenpannen nicht ab. Ein Datendiebstahl bei der Air Force stellt sich nun als peinliches Fiasko für alle Beteiligten heraus.
Die Computer-Festplatten seien im September von der Royal Air Force (RAF) in Gloucestershire gestohlen worden und enthielten Informationen, die bei einer Sicherheitsüberprüfung der Mitarbeiter gesammelt wurden, berichteten der Sender "BBC" und die Zeitung "Guardian" am Montag. Unter den verschwundenen Informationen waren Details über Drogenmissbrauch, strafrechtliche Verfolgungen, Besuche bei Prostituierten oder außereheliche Affären. Die Regierung habe die Brisanz der Informationen geheim gehalten. Zum Tatzeitpunkt hatte das Verteidigungsministerium lediglich mitgeteilt, dass womöglich Bankdetails und Adressen verloren gegangen seien. Ein internes Papier habe nun aber gezeigt, dass auch die Details von den Sicherheitschecks verschwunden sind, berichteten die Medien. Betroffen seien rund 500 Menschen...
Link...
Unbekannte klauen Clinton-Festplatte
spiegel – 20. Mai 2009
Festplatten und Laptops gehören auch in Behörden zu den beliebtesten Mitnahmegütern. Mitunter gehen dabei sensible Daten verloren: Dem US-Nationalarchiv kam nun eine Festplatte mit Archivdaten über die Clinton-Regierung abhanden. Das FBI ermittelt.
Es klingt immer dramatisch, wenn die US-Bundespolizei FBI Ermittlungen aufnimmt, um einem Datendiebstahl nachzugehen. Mitunter ist das berechtigt, denn immer wieder verschwinden USB-Sticks oder CD-Roms mit sensiblen Daten aus allen möglichen Behörden rund um den Globus. Schlamperei ist dabei nicht immer hinreichend als Erklärung, oft wird es tatsächlich um Spionage gehen.
Link...
Ex-Mitarbeiter entwenden sensible Daten und geistiges Eigentum
searchsecurity – 12. Mai 2009
Insider-Attacken sind der Hauptgrund für den Abfluss geschäftlicher Informationen und geistigen Eigentums.
Betrugsfälle in Unternehmen tendieren zunehmend in Richtung Datendiebstahl und Bedrohung des geistigen Eigentums. Das geht aus dem Global Fraud Report 2008/2009 des Spezialisten für Datenrettung und IT-Forensik Kroll Ontrack hervor, der die steigende Computerkriminalität zudem mit der Finanzkrise in Verbindung bringt.
Scheinbar sinkt während der globalen Rezession neben IT-Budgets und Zahl der Vollzeitbeschäftigten auch die Moral der Beschäftigten. Dem Kroll Global Fraud Reports 2008/2009 zufolge sind Fälle von frustrierten Mitarbeitern, die sich für verfehlte Unternehmenspolitik rächen wollen, in den letzten Monaten häufiger geworden.
Gerade Unternehmen, die sich dem Thema IT-Sicherheit nur unzulänglich widmen, seien seit Zusammenbruch des Kapitalmarkts immer häufiger von kriminellen Handlungen betroffen. Immer wieder komme es vor, dass entlassene Mitarbeiter unternehmenskritische Daten kopieren und entwenden.
Wirtschaftliche Schäden in Millionenhöhe sind die Folge für die Unternehmen: Der Kroll-Befragung zufolge hat ein Unternehmen in den vergangenen drei Jahren durchschnittlich 8,2 Millionen US-Dollar durch Betrug verloren. Im gleichen Zeitraum waren 85 Prozent der Unternehmen mindestens einmal von Betrug betroffen, zuvor waren es noch 80 Prozent.
Link...
Verlust des Firmenlaptops kostet 50'000 Dollar
inside-it.ch – 23. Apr 2009
Eine von Intel unterstützte Studie des amerikanischen Ponemon Institute kommt zum Schluss, dass der Verlust eines Laptops für Unternehmen mit durchschnittlich 49'246 Dollar zu Buche schlägt. Der minimalste Schaden belief sich bei den befragten 29 US-Unternehmen auf 1'200 Dollar, der höchste bei einer satten Million. Zur Berechnung herangezogen wurden dabei verschiedene Variablen wie Datenverlust, Produktivitätsverlust, Kosten für die Untersuchung oder die Ermittlung der fehlenden Daten.
Consulting-Unternehmen, Anwaltskanzleien, Finanzdienstleister, aber auch Pharma-, Bildungs- und Technologieunternehmen erleiden bei einem Verlust des mobilen Arbeitsgeräts eines Mitarbeitenden die grössten finanziellen Ausfälle, heisst es in der Studie. Am teuersten sind, wie zu erwarten, die Laptops von Managern und Direktoren, die die Firmenkasse mit durchschnittlich über 60'000 Dollar belasten.
Link...
Elektronische Gesundheitskarte: Medizin-IT verliert langsam die Geduld
heise.de – 21. Apr 2009
Während es in anderen Branchen kriselt, ist die Stimmung unter den IT-Lieferanten für die Medizin eigentlich noch recht gut. Mit einer um 20 Prozent gewachsenen Ausstellungsfläche und einer Reihe von neuen Ausstellern kann die dreitägige Berliner Fachmesse ConHIT zufrieden sein. Erstmals bietet sie einen Karriere-"Tag" für den Nachwuchs an: Am kommenden Donnerstag ist der Besuch der Messe ab 13:00 Uhr für IT-Studenten kostenlos. Nachrichten rund um die elektronische Gesundheitskarte (eGK) trüben indes die Gemütslage.
Mit dem angelaufenen Rollout der Lesegeräte in der Region Nordrhein sollte die elektronische Gesundheitskarte eigentlich kein "großes" Thema auf der ConHIT sein. Doch schon die Nachricht, dass die Anmeldefrist der Ärzte zum Kassieren der Gerätepauschale in der Rollout-Region bis Ende Oktober verlängert wurde, kann als Indikator für eine bedenkliche Stimmung gelten. Dann ist Bundestagswahl. Viele Ärzte zweifeln offenbar, dass das anspruchsvolle Telematik-Projekt den Wahlkampf überlebt. Entsprechend selten werden die Pauschalen in der Rollout-Region abgerufen. Auch die Ausgabe der neuen Patientenkarten verzögert sich. Jedenfalls dürfte der Meilenstein, noch in diesem Jahr mindestens eine Million Karten auszuliefern, nicht erreicht werden.
Zu allem Überdruss haben die IT-Lieferanten rund um die eGK nicht die rechte Geduld mehr, auf Fortschritte zu warten. Besonders bei den Software-Herstellern ist der Unmut groß. Nicht druckreife Worte fielen auf der ConHIT einem Entwicklungsleiter ein, der sich mit dem von Gematik und Gesundheitsministerium favorisierten elektronischen Arztbrief beschäftigt. Die Entscheidung der Projektgesellschaft, beim Arztbrief keine Dateianhänge zuzulassen (weil der Arbeitsspeicher der Konnektoren zu klein ist), kommentierte er übersetzt als "Rückschritt". Eine höfliche Formulierung fand man hingegen beim Aussteller Siemens für die Entscheidung, keine Konnektoren für das Telematik-System zu entwickeln. Man habe keine wirtschaftliche Perspektive mehr gesehen, erklärte Berhard Calmer von Siemens Healtcare gegenüber heise online.
Ganz tot sind Projekte rund um die eGK freilich nicht. So zeigte die Asklepios-Gruppe eine Identifikationslösung auf Basis von Microsoft Sharepoint, bei der sich Ärzte mit dem Hausausweis, Heilberufeausweis (HBA) oder dem kommenden elektronischen Personalausweis einloggen können. Die Firma IDpendant stellte eine Lösung vor, die den Heilberufeausweis für das Single-Sign-On in die gesamte IT eines Krankenhauses nutzt. Link...
Lediglich jedes fünfte Unternehmen hat Sicherheitsrichtlinien zur Nutzung aller mobiler Endgeräte definiert
itseccity – 24. Mrz 2009
Eine neue Marktstudie (IDC: IT-Sicherheit bei mobilen Endgeräten und drahtloser Datenübertragung. Status quo und Trends in Deutschland 2008/2009, Januar 2009) zum Thema "IT-Sicherheit bei mobilen Endgeräten und drahtloser Datenübertragung" liefert wichtige Einblicke in den deutschen Markt. Auch wenn das Thema "Mobile Security" in den Unternehmen angekommen ist, bleibt noch viel zu tun.
Wer IT-Security im Allgemeinen und die Sicherheit mobiler Endgeräte im Besonderen gewährleisten will, muss die unterschiedlichen Bedrohungspotenziale kennen. Immerhin haben bereits 44 Prozent der von Marktforscher IDC in einer aktuellen Studie befragten Unternehmen Erfahrungen mit Angriffen auf die Sicherheit mobiler Endgeräte gesammelt; 56 Prozent der Mitarbeiter haben schon einmal ein Endgerät verloren. Um die Daten auf den Devices und während der Datenübertragung zu schützen, nutzen erst 59 Prozent eine Verschlüsselung der Dateien, Festplatten und Speicher-karten; ihre E-Mails verschlüsseln gar nur 52 Prozent. Hier erfolgt IT-Security oft noch nach dem Motto "es ist immer gut gegangen".
Link...
Jeder zweite Entlassene klaut Daten
Cio– 16. Mrz 2009
IT-Chefs schützen ihren Betrieb ungenügend
Scheidende Angestellte, die nicht gut auf den Arbeitgeber zu sprechen sind, klauen vor ihrem Weggang besonders oft Daten. Und jeder Vierte CIO lässt Nutzerkonten von Entlassenen nicht sofort sperren. Dabei könnten IT-Chefs stärker gegen Datenklau vorgehen.
Wer Mitarbeiter entlässt, muss damit rechnen, dass auch vertrauliche Informationen das Unternehmen verlassen. 59 Prozent der Angestellten, die in den letzten zwölf Monaten aus Firmen ausgeschieden sind, geben zu, Firmendaten mitgenommen zu haben. Das hat eine Umfrage des US-amerikanischen Ponemon-Institute ergeben.
Für die Untersuchung "Data Loss Risks During Downsizing" befragten die Wissenschaftler 945 US-Bürger, die innerhalb der letzten zwölf Monate die Stelle wechselten. Alle benutzten zum Arbeiten einen Computer oder Laptop und hatten Zugang zu vertraulichen Daten wie Kundeninformationen oder Kontaktlisten. 37 Prozent von ihnen verließen den bisherigen Arbeitgeber auf dessen Betreiben hin....
Link...
Starke Zunahme beim Identitätsdiebstahl
infoweek.ch – 20. Feb 2009
Zumindest in den USA findet Identitätsklau auf bisher selten erreichtem Niveau statt. Laut einer Studie von Javelin Research nahm die Anzahl der Identitätsdiebstähle 2008 gegenüber dem Vorjahr um 22 Prozent zu. Zehn Millionen US-Bürger hatten im letzten Jahr einen Diebstahl persönlicher Daten zu beklagen, dies ist der höchste Stand seit 2004. Die hochgerechnete Zahl resultiert aus einer Umfrage bei 4800 US-Einwohnern - 482 davon wurden 2008 Opfer eines Identitätsdiebstahls....
Link...
In Großbritannien häufen sich Datenverluste und -diebstähle
Heise – 09. Feb 2009
Großbritannien ist nicht nur führend im Sammeln von Daten, sondern vermutlich auch beim Datenverlust. Allein in den letzten drei Monaten wurden dem für Datenschutz zuständigen Information Commissioner’s Office (ICO) 100 Vorfälle gemeldet, bei denen persönliche Daten wie Namen, Adressen, Bankdaten, Informationen über Gehälter oder medizinische Daten verloren gegangen sind oder gestohlen wurden. Das wäre ein Vorfall jeden Tag.
Insgesamt waren es 2008 und bis Ende Januar 2009 insgesamt 376 Vorfälle, 36 Prozent mehr als im Jahr zuvor. Meist kamen Behörden die Daten abhanden, mit 112 Vorfällen traten aber auch fast ein Drittel der Vorfälle in der Privatwirtschaft auf – mit steigender Tendenz. Das ICO fordert die Unternehmen auf, den Datenschutz zu stärken, da sie ansonsten Vertrauen verspielen würden.
Link...
Neuseeländer kauft MP3-Player mit geheimen Militärdaten
zdnet – 27. Jan 2009
Dateien verzeichnen US-Streitkräfte in Afghanistan und Irak
Ein Neuseeländer hat laut einem Bericht des neuseeländischen Fernsehsenders TVNZ in den USA einen gebrauchten MP3-Player für 18 Dollar gekauft, der als geheim eingestufte Daten des US-Militärs enthielt. Demnach hat der 29-jährige Chris Ogle auf dem Gerät mehr als 60 Dateien mit persönlichen Informationen über in Afghanistan und dem Irak stationierte Soldaten gefunden, darunter Sozialversicherungsnummern, Handynummern und die Namen schwangerer Soldatinnen.
Auf dem MP3-Player waren dem Bericht zufolge auch ein Einsatzplan und Details der Ausstattung militärischer Stützpunkte gespeichert. Allerdings stammen die meisten Daten aus dem Jahr 2005 und stellen nach Ansicht von TVNZ keine Bedrohung für die nationale Sicherheit der USA dar. Die US-Armee und die amerikanische Botschaft in Neuseeland wollten den Bericht auf Nachfrage des Fernsehsenders nicht kommentieren.
Link...
– 12. Mai 2009
Britische Regierungswebseite wegen des Verlustes eines USB-Sticks geschlossen
Heise – 02. Nov 2008
Datenverluste gab es bei den britischen Behörden in letzter Zeit oft, besonders gefährdet sind Daten, die auf mobilen Datenträgern gespeichert wurden. Jetzt ist es wieder passiert: Ein Angestellter der Firma Atos Origin, die die Regierungswebseite Gateway betreibt, hat einen USB-Stick mit Benutzernamen und Passwörtern von Bürgern verloren. Über Gateway können Bürger und Geschäftsleute nach der Registrierung, bei der sie Namen, Adresse, Sozialversicherungsnummer und Bankverbindungen angeben müssen, zahlreiche Dokumente und Anträge online einreichen, beispielsweise die Steuererklärung, aber auch Auskünfte erhalten. Wiedergefunden wurde der Stick auf dem Parkplatz eines Pubs in der Nähe der Firma.
Link...
Großbritannien: 277 Datenverluste in einem Jahr
zdnet – 29. Okt 2008
In 30 als ernst eingestuften Fällen dauern die Ermittlungen noch an
Der britische Datenschutzbeauftragte Richard Thomas hat während der RSA-Sicherheitskonferenz in London erklärt, seine Behörde habe seit November 2007 insgesamt 277 Meldungen über Datenverluste erhalten. "Es gab 28 Meldungen von Regierungsstellen, 75 innerhalb der Gesundheitsbehörden und 80 aus der Privatwirtschaft." In 30 sehr ernsten Fällen dauerten die Ermittlungen noch an.
Nach Auskunft von Thomas hat die Datenschutzbehörde im letzten Jahr Zwangsmaßnahmen gegen das Finanzministerium, das Gesundheitsministerium und das Verteidigungsministerium eingeleitet. "Es wird Zeit, dass der Groschen fällt", sagte Thomas. "Je mehr Datenbanken eingerichtet und je mehr Informationen ausgetauscht werden, je größer ist das Risiko, dass etwas schief geht." Thomas warnte auch davor, dass Datenverluste das Vertrauen von Bürgern und Kunden schwächen und dem Ruf von Unternehmen und Regierungsstellen schaden.
Link...
17 Millionen Telekom-Nummern entwendet
PC Welt – 06. Okt 2008
Deutschlands größter Datendiebstahl erschüttert die Telekom und bringt die Debatte über die Sicherheit vertraulicher Angaben neu in Gang.
17 Millionen Telefonnummern und Kundendaten wurden der Mobilfunksparte T-Mobile 2006 entwendet, wie der Konzern in Bonn am Samstag mitteilte. Nach Angaben des Nachrichtenmagazins "Der Spiegel" sind darunter auch geheime Nummern und Privatadressen von Politikern, Wirtschaftsführern und Milliardären, für die eine Verbreitung in kriminellen Kreisen sicherheitsbedrohend wäre. Das Bundesinnenministerium bestätigte, es seien Gefährdungsanalysen ausgearbeitet worden. T-Mobile bietet seinen Kunden den kostenlosen Wechsel der Rufnummer an. Politiker forderten bessere Datenschutz- Kontrollen. Telekom-Chef René Obermann bat die Kunden um Entschuldigung.
Nach Stand 2006 war jeder zweite T-Mobile-Kunde betroffen. Inzwischen hat der deutsche Mobilfunk-Marktführer bundesweit mehr als 38 Millionen Kunden. Dem "Spiegel" waren entwendete Datensätze vorgelegt worden. Zu den Betroffenen zählen laut dem Magazin Showgrößen wie Hape Kerkeling, Günther Jauch, Til Schweiger und Fernsehkoch Johann Lafer, aber auch Minister, Ex-Bundespräsidenten und Glaubensvertreter. Zu prominenten Betroffenen wollte sich Konzernsprecher Stephan Broszio nicht äußern. Laut "Spiegel" wurde auch das Bundeskanzleramt in Berlin informiert...
Link...
Schwachstelle in Banken-Site ermöglichte unautorisierte Überweisung
heise – 01. Okt 2008
Nach Cross Site Scripting (XSS) scheint sich nun Cross Site Request Forgery (CSRF) zur Epidemie zu entwickeln. Forscher der Princeton University haben im Rahmen einer Studie unter anderem bei der Direktbank ING eine derartige Lücke entdeckt, mit der sich unautorisierte Überweisungen vornehmen ließen. Möglich war dies unter anderem auch deshalb, weil es bei den meisten Banken in den USA neben der PIN oder einem Passwort keine zusätzliche Sicherung wie eine TAN gibt.
Vermutlich handelt es sich hierbei um den ersten bekannt gewordenen Fall, bei dem solch ein Betrug mittels CSRF bei einer Bank möglich gewesen wäre. Die Lücke ist mittlerweile geschlossen. Grundlagen zum Thema Cross Site Request Forgery sind auch im Artikel "Dunkle Flecken - Neuartige Angriffe überrumpeln Webanwender"...
Link...
USB-Sticks mit persönlichen Daten aus britischem Luftwaffenstützpunkt gestohlen
heise – 28. Sept 2008
In Großbritannien häufen sich die Datenverluste bei Behörden. Das britische Verteidigungsministerium musste erneut berichten, dass aus einem doppelt gesicherten Personalbüro auf dem Luftwaffenstützpunkt Innsworth am letzten Dienstag drei USB-Speichermedien mit persönlichen Daten von bis zu 50.000 ehemaligen und aktuell dienenden Soldaten gestohlen wurden.
Ein Sprecher des Verteidigungsministeriums räumte ein, dass Daten des gesamten Personals der Luftwaffe, einschließlich ihrer Angehörigen, in Gefahr sein könnten. Allerdings scheint unklar zu sein, welche Informationen sich auf den Speichermedien befanden und wie viele Soldaten vom Diebstahl betroffen sind. Man nehme den Diebstahl "sehr ernst", um die Ermittlungen nicht zu gefährden, dürfe jetzt aber keine weiteren Einzelheiten bekannt geben.
Link...
Britische Lehrerorganisation vermisst CD mit Daten von 11.000 Lehrern
Heise – 26. Sept 2008
Die britische Lehrerorganisation General Teaching Council (GTC) ist auf der Suche nach einer CD mit den Daten von 11.423 Lehrern. Sie sei auf dem Postweg zwischen einem Datenverarbeitungsdienstleister zum GTC-Büro in Birmingham abhandengekommen, heißt es in einer Mitteilung. Die CD sei von einem Kurierdienst transportiert worden, der auch eine Nachverfolgung anbietet, doch sie sei nicht zum angekündigten Zeitpunkt geliefert worden. Auch nach einer Durchsuchung des Kurierfahrzeugs sei der Datenträger nicht gefunden worden.
Bei den Daten handelt es sich um digitalisierte Kopien von Änderungsformularen, die Lehrer ausgefüllt haben. Laut GTC enthalten sie Name, Adresse und die Referenznummer jedes Lehrers sowie die Änderungen, die sie gegenüber der früheren Registrierung bei der GTC angegeben haben, nicht aber die National Insurance Number oder finanzielle Details. Die Daten seien verschlüsselt, sodass sie für Dritte nicht ersichtlich werden. Die GTC beteuert, sie werde der Angelegenheit mit aller nötigen Aufmerksamkeit nachgehen. Ein solcher Vorfall solle für die Zukunft ausgeschlossen werden, betont Alan Meyrick vom GTC.
Link...
Brite ersteigert Laptop mit Bankdaten bei Ebay
zdnet – 27. Aug 2008
Festplatte enthält unter anderem ausgefüllte Antragsformulare für Kreditkarten
Der Brite Andrew Chapman hat bei Ebay für 77 britische Pfund (rund 96 Euro) einen Laptop mit persönlichen Daten von Millionen Bankkunden ersteigert. Als er feststellte, welch brisantes Material auf der Festplatte des Rechners gespeichert war, meldete der IT-Manager seinen Fund der Polizei.
Nach Angaben von Chapman waren die teils veralteten, teils aber auch aktuellen Daten auf der Festplatte nicht verschlüsselt. Er habe die Informationen wie ausgefüllte Antragsformulare für Kreditkarten ganz einfach gefunden. Sie hätten in Backup-Dateien und in ISO-Images gelegen....
Link...
Passwort für Pre-Boot-Authentication bleibt im Klartext liegen
heise – 26. Aug 2008
Einem Bericht des Sicherheitsdienstleisters iViZ Techno Solutions weisen bekannte Festplattenverschlüsselungs-Tools und Boot-Manager eine Schwäche auf, durch die Angreifer an das benutzte Passwort gelangen können. Ursache des Problems ist, dass die gängigen Tools nach der Abfrage des Passworts offenbar vergessen, die im Klartext im Speicher abgelegte Zeichenkette zu löschen. In der Regel tritt dieses Problem bei Produkten auf, die für die Pre-Boot-Authentifizierung mittels Passwort die Funktionen des BIOS benutzen.
Sofern das Produkt das Passwort nicht selbst löscht, bleibt es im Speicher an der Adresse 0x40:0x1e bis zum Abschalten liegen. Um es auszulesen, muss ein Angreifer allerdings physischen Zugriff auf das Gerät haben -- und zwar nach der Eingabe des Passwortes und dem Bootvorgang. Dies dürfte die Relevanz eines solches Angriffs allerdings erheblich einschränken, da in diesem Fall der Angreifer bereits vollen Zugriff auf Daten, Betriebssystem und Anwendungen hat. Interessant wird der Angriff nur, wenn ein Trojaner das Passwort ausliest und der Angreifer anschließend etwa das Laptop stiehlt. Zudem könnte der Angreifer bei der mehrfachen Verwendung des selben Passwortes für weitere Dienste oder Mail-Verschlüsselung noch von der Kenntnis des Passwortes profitieren....
Link...
Millionen europäischer Kundendaten aus Hotel-Buchungssystem gestohlen
heise – 25. Aug 2008
Bis zu 8 Millionen persönliche Datensätze von den Kunden der Hotelkette Best Western sind von Kriminellen aus dem Buchungssystem der 1.312 europäischen Best-Western-Hotels entwendet worden. Entdeckt hatte den bislang wohl größten Datenklau die schottische Zeitung Sunday Herald. Die weltweit größte Hotelkette mit über 4.000 Hotels in 80 Ländern hat bestätigt, dass derzeit untersucht wird, wie die Sicherheitsvorkehrungen des Computersystems von den Eindringlingen überwunden werden konnten.
Gestohlen wurden persönliche Informationen wie Adressen, Arbeitgeber oder Kreditkartendaten von bis zu 8 Millionen Hotelgästen, die im letzten Jahr in einem der Hotels von Best Western übernachtet hatten. Ein Sprecher der Hotelkette meinte wenig beruhigend, es sei "unwahrscheinlich", dass aufgrund der Funktionsweise des Systems alle Buchungsdaten von allen europäischen Hotels in die Hände der Kriminellen geraten sind. Mit den Kreditkartenunternehmen zusammen werde nun versucht, die Sicherheit der Kunden zu gewährleisten...
Link...
Erneute Datenpanne in Großbritannien: USB-Stick mit sensiblen Häftlingsdaten verschlampt
tecchannel – 22. Aug 2008
Das vereinigte Königreich hat schon wieder einen Datenskandal. Diesmal ist ein Stick mit Informationen über 25000 Häftlinge verschwunden.
Neuer Datenskandal in Großbritannien: Diesmal sind unverschlüsselte Informationen über Zehntausende Häftlinge verschwunden. Auf dem abhandengekommenen Memorystick seien unter anderem persönliche Daten von 10 000 Schwerverbrechern sowie Details über alle 84 000 Häftlinge in England und Wales gespeichert gewesen, räumte das Innenministerium in der Nacht zu Freitag ein. Ein Sprecher sagte, eine private Beratungsfirma habe die Daten verloren....
Link...
EU-Flughäfen: 3300 Notebooks verschwinden jede Woche
tecchannel – 01. Aug 2008
Die Verlustrate von Notebooks auf europäischen Flughäfen liegt bei über 3300 Stück pro Woche. Das geht aus einer Studie des Ponemon Institute hervor, die vom PC-Hersteller Dell in Auftrag gegeben wurde.
Diese Verlustrate bezieht jedoch lediglich die acht größten Airports des Kontinents ein. An der Spitze liegt der Flughafen London Heathrow, wo 900 Geräte pro Woche abhanden kommen. Platz zwei belegt der Amsterdamer Airport Schiphol, gefolgt von Paris Charles de Gaulle. Hier sind Notebook-Verluste von jeweils etwa 700 Stück wöchentlich zu beklagen.
den USA liegt die Rate gegenüber Europa sogar noch deutlich höher. 12.000 Notebooks gehen dort laut der Studie wöchentlich verloren. Die Zahlen beinhalten sowohl gestohlene, als auch einfach vergessene und liegengelassene Geräte. Vor allem bei den Sicherheitskontrollen, wo die mobilen Rechner separat vom restlichen Handgepäck durchleuchtet werden, greifen Diebe oft zu. Solange sich der rechtmäßige Eigentümer noch selbst der Kontrolle unterziehen muss, haben die Gauner genug Zeit, um sich den fremden Laptop zu nehmen....
Link...
Verschiedene Arten von Insider Threats gefährden die IT-Sicherheit
searchsecurity – 01. Aug 2008
Die Gefahr der Industriespionage wird oft unterschätzt.
Sie kennen die Arbeitsabläufe im Unternehmen. Sie haben Zeit nach geheimen Informationen zu suchen. Und sie wissen, wie sie Ihrer Firma gezielt immensen Schaden zufügen können: Die eigenen Mitarbeiter stellen die größte Gefahr für die IT-Security dar, da sie einen Zugang zum Unternehmen und Zugriff auf sensible Daten haben. SearchSecurity erläutert die verschiedenen Arten von Insider Threats und wie sie gegen mögliche Spione vorgehen können.
Bei einer Studie mit knapp 7.500 deutschen Unternehmen (PDF, ~5 MB) hat das Beratungsunternehmen Corporate Trust gemeinsam mit dem Handelsblatt und dem hamburgischen Büro für Angewandte Kriminologie die Insider Threats als größte Gefahr für Industrie- und Wirtschaftsspionage identifiziert: In etwa einem Viertel aller Spionage-Fälle, bei denen ein Täter ermittelt werden konnte, waren die eigenen Mitarbeiter verantwortlich für den Know-how-Diebstahl.
Trotz dieser Zahlen wird die Gefahr der Industriespionage in deutschen Unternehmen noch immer deutlich unterschätzt. Zwar erwarten 80 Prozent der Umfrage-Teilnehmer einen weltweiten Anstieg des Spionage-Risikos. Doch frei nach dem Motto „Das kann uns nicht passieren!“ glaubt nur ein gutes Drittel der Befragten, dass die Gefahr auch für das eigene Unternehmen steigt....
Link...
Personalakten von Google-Mitarbeitern gestohlen
CNET News.com– 03. Jul 2008
Datenverlust ist Folge eines Einbruchs bei einem externen Personaldienstleister
Google hat bestätigt, dass bei einem Einbruch in die Räume des Personaldienstleisters Colt Express Outsourcing Services am 26. Mai auch Daten von Google-Mitarbeitern entwendet wurden. Die Personalakten waren auf Desktop-Computern gespeichert und enthielten Namen, Anschriften sowie Sozialversicherungsnummern. Betroffen sind Angestellte mit einem Einstellungsdatum vor 2006. Wie Colt mitteilte, waren die Festplatten der gestohlenen PCs nicht verschlüsselt.
Bisher ist noch unklar, welche Kunden von Colt von dem Einbruch tatsächlich betroffen sind. Nach Ansicht des früheren Google-Mitarbeiters Danny Thorpe, der in einem Brief von Google vom Verlust seiner Akte erfahren hat, sind die gestohlenen Personendaten ausreichend, um einen Identitätsdiebstahl zu begehen. Bisher soll es jedoch keine Hinweise auf einen Missbrauch der Daten geben.
Link...
Generation Datenklau
futureZone ORF.at – 02. Jul 2008
Pro Tag verzeichnet der Versicherungkonzern Lloyd's etwa 60 gefährliche Angriffe auf seine Infrastruktur. Die britische Armee führt die steigende Zahl der sicherheitsrelevanten Vorfälle auf den sorglosen Umgang der "Generation Facebook" mit persönlichen Daten zurück. In Litauen wurden 300 Web-Auftritte von Regierung und Behörden erfolgreich angegriffen. Schön langsam wird es ungemütlich im Internet. Das weiterhin steigende Aufkommen von Spam-Mails geht mittlerweile gegen 90 Prozent des gesamten Mailverkehrs, doch das ist nur die Spitze des Eisbergs. Unter der Oberfläche spielt es sich immer härter und längst auch professioneller ab...
Link...
Notebook-Schwund in den Ministerien
futureZone ORF.at – 25. Jun 2008
In Österreichs Ministerien kommt eine beachtliche Zahl an PCs und vor allem Notebooks abhanden, wie zwei parlamentarische Anfragen ergeben haben. Sensible Daten sollen dabei nicht in falsche Hände gekommen sein, obwohl die Daten nicht immer gut geschützt waren.
Die beiden Nationalratsabgeordneten Johann Maier [SPÖ] und Karl Öllinger [Grüne] haben in zwei parlamentarischen Anfragen bei den heimischen Ministerien nachgefragt, wie es denn hierzulande um die Datensicherheit im Falles des Verlusts oder Diebstahls von PCs und Notebooks eines Ministeriums bestellt ist.
Link...
Schockierend: Daten von Einwohnermeldeämtern frei im Internet zugänglich
Tecchannel – 24. Jun 2008
Etliche deutsche Städte und Gemeinden haben das Standard-Passwort nicht geändert. Somit hätte sich jedermann Zugriff auf sämtliche Daten beschaffen können. Das ARD-Magazin „Report München“ hat einen Datenskandal aufgedeckt. Dessen Recherchen zufolge seien die Daten zahlreicher Bürger über Jahre hinweg frei im Internet zugänglich gewesen. Ein Test habe ergeben, dass man innerhalb weniger Sekunden sämtliche Daten von Bürgern auslesen konnte. Dazu gehörten Familienstand, Geburtsdatum, Religionszugehörigkeit, Passnummern und Passfotos. Zufällig eingegebene Straßennamen gaben angeblich die Daten der dort wohnhaften Bürger frei. Dieser Online-Zugriff sei bei fünf Kommunen bis vergangenen Freitag problemlos möglich gewesen...
Link...
Viele schwache Web-Server-Zertifikate gefährden Online-Shopping
Heise – 09. Jun 2008
Erschreckend viele https-Zertifikate nutzen schwache Schlüssel und lassen sich demnach einfach fälschen. Zu diesem Ergebnis kommt ein Bericht in der seit heute am Kiosk verfügbaren c't 13/08.
Beim Online-Shopping sollen https-Verbindungen dafür sorgen, dass der Kunde sicher sein kann, auf der richtigen Seite gelandet zu sein und seine Daten nur verschlüsselt an den Server zu schicken. Durch einen Fehler des Paketbetreuers erzeugten jedoch Debian-Systeme über anderthalb Jahre schwache OpenSSL-Schlüssel. Kommen diese als Zertifikat von https-Sites zum Einsatz, können Kriminelle nicht nur den verschlüsselten Verkehr einfach dechiffieren, sondern auch gefälschte https-Sites unter dem Namen des Shops aufsetzen.
Link...
Studenten knacken Microsofts Cardspace
Heise – 28. Mai 2008
Studenten der Ruhr-Uni Bochum wollen einen Weg gefunden haben, wie sich die bei Microsofts neuem Authentifizierungs-Framework CardSpace benutzten Security-Tokens stehlen lassen. Ein Angreifer käme damit an die geschützten und verschlüsselt übertragenen Nutzerdaten wie Passwörter, Kreditkartennummer und Lieferadresse heran. CardSpace (ehemals InfoCard) ist der Nachfolger von Passport, bei dem die persönlichen Daten eines Anwenders nicht auf einem zentralen Microsoft-Server, sondern lokal beim Anwender gespeichert sind. Der Anwender entscheidet abhängig von der jeweiligen Webseite welche Daten er übermittelt. CardSpace soll zudem die klassische Passwort-basierte Authentifizierung ablösen. Mit CardSpace lassen sich mehrere sogenannten Karten respektive Information Cards für verschiedene Anbieter verwalten.
Link...
Wirtschaftsspionage zielt auf deutsche Unternehmen
Tech Channel – 29. Apr 2008
Wirtschaftsspionage ist immer noch ein aktuelles Thema, auch wenn die großen Schlagzeilen aus den Medien wieder verschwunden sind. Aktuell, so warnte das Bundesamt für Verfassungsschutz, nehme die Spionageaktivität aus China und Algerien zu.
Das Bundesamt für Verfassungsschutz hat einen bedenklichen Anstieg von Wirtschaftsspionage in Deutschland festgestellt. An ursprünglich deutschen Technologien seien besonders Agenten aus China interessiert. Darüber hinaus nehmen die Spionageaktivitäten aus Algerien merklich zu, wie aus einem Bericht der Bild unter Berufung auf den noch unveröffentlichten Jahresbericht des Verfassungsschutzes hervorgeht. Neben Geheimdienst-Aktionen aus dem Ausland sind häufig die eigenen Mitarbeiter bei betroffenen Unternehmen Verursacher von Spionageschäden. "Diese geben Informationen entweder gutgläubig und unwissend weiter oder sind böswillig an der Weitergabe von Informationen an andere Unternehmen interessiert", erklärt Heinrich Weiss, Geschäftsführer des Bayerischen Verbands für Sicherheit in der Wirtschaft.
Link...
Fundbüros ermöglichen Datenklau
PC Welt – 29. Apr 2008
Hacker können Fundbüros deutscher Großstädte und Flughäfen nutzen, um an wertvolle Daten auf verlorenen Notebooks zu gelangen. Mit den gewonnenen Informationen können die Angreifer Wirtschaftsspionage betreiben oder Zugang zum Online-Banking bekommen. Wie einfach kommen Unberechtigte an aufgefundene Notebooks in deutschen Fundbüros? Ziemlich einfach: Das ist das Ergebnis einer Telefon-Umfrage des IT-Schulungsunternehmens Firebrand Training. Auf die Frage, ob man einen verlorenen Laptop ausnahmsweise auch ohne Angabe von Seriennummer oder Kaufbeleg zurück erhalten könne, antworteten fast alle der Angestellten der befragten Fundbüros mit „Ja".
Link...
Compliance und IT-Security sind kein Widerspruch
Compliance Magazin – 25. Apr 2008
Die Einhaltung immer neuer gesetzlicher Auflagen und Vorschriften stellt in vielen Unternehmen die bisherigen Modelle der IT-Sicherheit in Frage. Denn das Risiko finanzieller Sanktionen, öffentlicher Blamagen und eventuell sogar von Haftstrafen hat das Thema Compliance zwar in den Führungsetagen zum Thema gemacht. Doch gleichzeitig gerät die eigentliche IT-Security ins Hintertreffen, weil nicht mehr länger ein Zustand allgemeiner Sicherheit das Ziel ist. Sondern nur noch eine adäquate Einhaltung der Richtlinien, sodass die Checklisten der Unternehmensprüfer ohne Probleme abgehakt werden können.
Link...
Über 500 Computer aus Ministerien verschwunden
Welt – 19 Apr 2008
Bei Bundesbehörden sind laut Medienberichten zahlreiche Computer mit sensiblen Daten verloren gegangen. Betroffen sein sollen auch Steuerdaten und Geheim-Unterlagen des Verteidigungsministeriums. Von 2005 bis 2007 gingen demnach in Ministerien und anderen Behörden 189 Tischcomputer und 326 Laptops verloren. Durch gestohlene oder verschwundene Computer, Laptops, Handys und anderen Datenträgern sind laut „Bild“-Zeitung bei Bundesbehörden im großen Umfang sensible Daten abhanden gekommen....
Link...
USA: Hohe Zahl an Sicherheitsvorfällen im ersten Quartal 2008
Heise – 03 Apr 2008
Gestohlene Laptops; Angriffe, über die Kriminelle beispielsweise an 18.000 Kreditkartendaten eines Ski-Ressorts gelangen; versehentlich veröffentlichte Kreditkartennummern und andere persönliche Daten von Förderern eines Museums; per E-Mail versandte Sozialversicherungsnummern; eine von einem Bankmitarbeiter gestohlene Festplatte mit einer Million Kundendaten; die Sicherheitslücke im Computersystem einer Supermarktkette, die zum Diebstahl von 4,2 Millionen Kreditkartennummern führt: Von insgesamt 167 solcher Sicherheitslücken, die den unberechtigten Zugang zu sensiblen persönlichen Daten ermöglichen berichtet das amerikanische ID Theft Resource Center für das erste Quartal 2008. In der Summe wurden dadurch 8,3 Millionen Datensätze der unbefugten Verwendung ausgesetzt.
Link...
Hackerwettbewerb: OS X und Vista fallen, Ubuntu nicht
Computerwoche – 31 Mar 2008
Im Rahmen des Hackerwettbewerbs "Pwn to Own" sind mit Mac OS X und Windows ausgestattete Geräte durch Lücken in Safari respektive Flash kompromittiert worden. Nur das Open-Source-System Ubuntu konnte den Experten-Attacken erfolgreich standhalten.
Bei dem vom Sicherheitsunternehmen TippingPoint gesponserten Ereignis bei der Sicherheitskonferenz CanSecWest Ende der Vorwoche konnten Experten Laptops gewinnen, wenn sie sich via Zero-Day-Exploits Zugriff auf Dateien im System verschafften. "Ein interessanter Wettbewerb, denn nicht jeder hat die Fähigkeiten, Zero Days zu finden", urteilt Mikko Hyppönen, Security-Spezialist bei F-Secure, gegenüber pressetext. Mit "OS X Leopard 10.5.2" auf einem MacBook Air, "Vista Ultimate SP1" auf einem Fujitsu-Gerät und "Ubuntu Linux 7.10" auf einem Sony-Notebook waren die drei großen Betriebssystem-Namen als Angriffsziele am Start. Die drei Zielsysteme waren auf den jeweils aktuellen Stand gepatcht.
Link...
Online-Bankräuber erbeuten mehrere Millionen
Welt – 16 Mrz 2008
Die Kriminalität mit abgefischten Kontodaten von Bankkunden in Deutschland nimmt drastisch zu. Laut BKA-Chef Jörg Ziercke ist die Zahl der gemeldeten Fälle 2007 um 20 Prozent gestiegen.
Der jährliche Schaden durch das so genannte "Phishing" geht nach Polizei-Angaben in die Millionen. Der Kontodaten-Klau im Internet ist im vergangenen Jahr deutlich angestiegen. Es gebe eine „rasante Zunahme“, sagte der Chef des Bundeskriminalamtes (BKA), Jörg Ziercke, der „Neuen Osnabrücker Zeitung“. Im Jahr 2007 seien 4200 so genannte Phishing-Fälle registriert worden. Das seien 700 oder 20 Prozent mehr als im Vorjahr...
Link...
Balanceakt Compliance – IT-Security oder ein zufriedener Prüfer?
SearchSecurity – 12 Mrz 2008
Bei der Umsetzung gesetzlicher Vorgaben müssen Unternehmen zwischen Compliance und IT-Sicherheit abwägen. Es besteht wohl kein Zweifel daran, dass gesetzliche Auflagen die Rolle der IT-Sicherheit grundlegend verändert haben. Das Risiko finanzieller Sanktionen, öffentlicher Blamagen und eventuell sogar von Haftstrafen hat die Sicherheit auch in den Führungsetagen zum Thema gemacht. Doch mit dem zunehmenden Fokus auf Compliance-Erfüllung gerät die eigentliche IT-Security ins Hintertreffen.
„Stellen Sie sich die Situation von Sicherheitsexperten vor ein paar Jahren vor“, sagt Eric Litt, Direktor für Informationssicherheit bei General Motors. „Sie unterstanden dem mittleren Management. In keinem Fall fanden sie Unterstützung oder Interesse bei der Unternehmensleitung. Und wenn sie etwas für die Sicherheit in Bewegung setzen wollten, dann war das ziemlich aussichtslos.“...
Link...
Datenflut: Bis 2010 rund 988 Milliarden GByte erwartet
ZDNet – 11 Mrz 2008
Banken, Telkos und Behörden geraten zunehmend unter Druck. Die digitale Informationsmenge wird sich bis 2010 versechsfachen und dann 988 Exabyte (988 Milliarden GByte) erreichen. Zu diesem Fazit gelangt EMC in der aktuellen Erhebung "The Expanding Digital Universe". Demnach sind derzeit 70 Prozent der Produzenten von Daten Privatpersonen, die durch das tägliche Telefonieren, Fotografieren, Filmen oder im Internet surfen zu speichernde Informationen erzeugen. Doch durch die prognostizierte Flut an Daten geraten vor allem IT-Abteilungen in Unternehmen unter Druck, so die Studie.
Link...
Wirtschaftsspionage via Mail überrascht die Unternehmen
Computerzeitung – 05 Feb 2008
Sorglose Plauderei, Nachlässigkeit beim Umgang mit Laptops oder unvorsichtiger Umgang mit E-Mails: Menschliche Schwächen sind für Wirtschaftsspione ein gefundenes Fressen, zeigt eine Podiumsdiskussion der Computer Zeitung. Und die Gefahr, etwa aus China, ist real – auch wenn viele Firmen das nicht glauben...
Link...
Aktuelle Studie über Datenverluste rückt die Zuordnung und Sicherheit von Daten in den Vordergrund
IT SecCity – 05 Feb 2008
Spätestens seit den international bekannt gewordenen gravierenden Datenverlusten in Großbritannien ist die Notwendigkeit einer höheren Datensicherheit nicht mehr von der Hand zu weisen. Eine Studie des Information Security Forum (ISF) weist in diesem Zusammenhang darauf hin, dass eine umfassende Informationssicherheit auf sinnvollen Verfahrensregeln für sensible und vertrauliche Daten basiert....
Link...
Sicherheitsforscher warnen vor Gefahren des US-Lauschprogramms
Heise – 04 Feb 2008
Führende Wissenschaftler auf dem Gebiet der Computersicherheit haben Alarm geschlagen: Der von den USA für Anti-Terror-Zwecke aufgebaute Überwachungsapparat der internationalen Telekommunikation könnte ihrer Analyse zufolge just von Terroristen zur Vorbereitung von Anschlägen missbraucht werden. Böswillige Hacker oder Insider könnten sich Zugang zu den Abhöranlagen oder zu den gespeicherten Verbindungsdaten verschaffen und die damit zu gewinnenden Informationen für eigene Zwecke verwenden,...
Link...
Eindringlinge nutzen Protokoll-Schwachstellen drahtloser Netzwerke
SearchSecurity – 14 Jan 2008
Funk-Netzwerke sind ständig der Gefahr des Hacking ausgesetzt und sollten dementsprechend abgesichert werden. Doch nach wie vor setzen viele Unternehmen auf die rudimentäre WEP-Verschlüsselung, die seinerzeit als Notfall-Maßnahme eingeführt wurde...
Link...
2007: Drei Milliarden Dollar Phishing-Schaden allein in den USA
Computer Zeitung – 19 Dez 2007
Wie zu erwarten war, fällt der Security-Rückblick für 2007 noch schlechter aus als der des Vorjahres. Gartner meint unter anderem, dass es praktisch kaum noch uninfizierte Enduser-Clients gibt. Über 3,6 Millionen US-Bürger haben in diesem Jahr mehr als 3,2 Milliarden Dollar durch Phishing-Attacken verloren,...
Link...
Arbeitsmarkt IT-Sicherheit: Zahl der Angriffe auf Unternehmens-IT
Crosswater Systems – 18 Dez 2007
Die IT-Sicherheitsverantwortlichen in Deutschland sind stark gefordert: Mehr als ein Viertel der Unternehmen melden in den vergangenen zwölf Monaten einen Anstieg der Angriffe auf die Firmen-IT. Dies sind acht Prozent mehr als noch 2006…
Link...
Die Top 10 Security-Trends für 2007
Computerwelt – Austria – 18 Dez 2007
Die meisten Fälle von Datenverlust waren auf das Verschwinden von Equipment zurückzuführen. 46 Prozent aller zu Identitätsdiebstahl geeigneten Datenverlustfälle wurden in der ersten Jahreshälfte 2007 durch Diebstähle oder den Verlust von Computern und Datenträgern verursacht...
Link...
Neue Checkliste zur Informations-Sicherheit
central IT – 14 Dez 2007
Seit 1985 fragt die Fachzeitschrift <kes> gemeinsam mit namhaften Sponsoren alle zwei Jahre nach Erfahrungen und Einschätzungen aus der Praxis von Informations-Sicherheits-Verantwortlichen und -Administratoren. Denn verlässliche Zahlen zu Risiken, Angriffen und dem Stand der IT-Security sind zwar eine wesentliche Hilfe, um die eigene Sicherheitslage und neue Bedrohungen richtig einzuschätzen...
Link ...
Rauchen gefährdet die Datensicherheit
All about Security – 12 Dez 2007
Zwei Drittel aller Laptops sind während der Zigarettenpause leichte Beute für Datendiebe. Nicht nur Hacking und Wirtschaftsspionage sondern auch Rauchen ist eine Bedrohung für vertrauliche Firmendaten...
Link...
Notebook-Klau Rauchen gefährdet Datensicherheit
PC-Welt – 11 Dez 2007
Rauchen ist für Menschen gesundheitsschädlich - das steht mittlerweile außer Frage. Doch Rauchen gefährdet auch die IT-Sicherheit, genauer gesagt die Datensicherheit. Weil Raucher überdurchschnittlich oft ihre Laptops aus den Augen lassen. Die Raucherpause ist daran schuld...
Link...
Neues Jahr bringt neue IT-Risiken
InformationWeek – 11 Dez 2007
Im kommenden Jahr werden neue Bedrohungen die IT-Welt heimsuchen. Im Blickpunkt stehen virtuelle Welten und manipulierte Suchmaschinen...
Link...
IT-Sicherheit Mitarbeiter als großes Risiko
PC-Welt – 09 Dez 2007
Die Hauptrisiken für die IT-Sicherheit gehen nach wie vor von Viren, Trojanern und Hackerangriffen aus. Doch immer häufiger sind auch die Mitarbeiter eine Firma daran beteiligt, wenn bösartige Programme unbewusst aktiviert werden...
Link...
IT-Sicherheit: An jedem dritten erfolgreichen Angriff sind eigene Mitarbeiter beteiligt
Gewerbeauskunft – 09 Dez 2007
Ein Drittel aller IT-Sicherheitsverstöße in Unternehmen wird von den eigenen Mitarbeitern verursacht. Damit hat sich der Anteil der "hausgemachten" Sicherheitsprobleme seit 2006 annähernd verdoppelt. Zwar gelten Hacker, die Viren und Trojaner einschleusen, immer noch als Problemquelle Nummer eins...
Link...
Risikomanagement für IT-Sicherheit: Fehlanzeige
Compliancemagazin.de – 09 Dez 2007
Bundesdatenschutzgesetz, KonTraG, Aktiengesetz oder HGB: Deutsche Geschäftsführer unterschätzen Haftungsrisiken. Ab Juli 2008 greifen EU-weit verschärfte Regeln in Bezug auf die Dokumentation der IT- und Telekommunikationsinfrastruktur eines Unternehmens...
Link...
Notebook mit Daten von 268.000 Blutspendern gestohlen
tecChannel – 09 Dez 2007
Laut computerwold.com wurde ein Notebook gestohlen, das Details von über 250.000 Blutspendern aus der Region Minnesota enthält...
Link...
Der Mitarbeiter ist das Risiko
InformationWeek – 07 Dez 2007
Ein Drittel aller IT-Sicherheitsverstöße in Unternehmen wird von den eigenen Mitarbeitern verursacht, wenn auch meist ohne böse Absicht. Damit hat sich der Anteil der internen Sicherheitsprobleme seit 2006 annähernd verdoppelt...
Link...