Krypto e.V.

Im laut McAfee größten Online-Bankraub der Geschichte haben Kriminelle knapp 900.000 Euro von 250 ahnungslosen Kunden erbeutet. Im Mittelpunkt der Phishing-Aktionen steht die schwedische Bank Nordea, die mit den Zahlen nun an die Öffentlichkeit gegangen ist. “Ein offener und transparenter Umgang mit dem Problem sehen wir als einzigen richtigen Weg, um Kunden zu informieren und vor der Gefahr zu warnen”, so Nordea-Sprecher Boo Ehlin. Einmal mehr gehen die Schadensfälle auf Phishing-E-Mails und Trojanerprogramme zurück. Als Zeitspanne, in der die Schadenssumme zusammengekommen ist, nannte Ehlin die vergangenen 15 Monate.

Mit der Entscheidung, konkrete Zahlen bezüglich Schadenssumme und betroffenen Kunden publik zu machen, hebt sich die nordische Bank von fast allen übrigen europäischen Banken ab. Diese warnen zwar wiederholt vor Phishing-Attacken und anderen Sicherheitsbedrohungen, tatsächliche Schadensfälle werden im Normalfall allerdings nicht kommuniziert. So gibt es für den gesamten deutschsprachigen Raum keine verlässlichen Zahlen, wie viel Schaden den Banken alljährlich durch derartige Phishing-Fälle entstehen. “Eine Schätzung ist sehr schwierig, da die Dunkelziffer sehr hoch ist”, erklärt Matthias Gärtner, Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI) ,im Interview. “Die Banken selber haben für Deutschland eine jährliche Gesamtschadenssumme im hohen einstelligen Millionenbereich kommuniziert”, so Gärtner weiter.

“Die Problematik ist, dass Bankkunden beim Thema Online-Banking immer noch nicht genug sensibilisiert sind”, meint Oliver Kuntzmann, Sicherheitsexperte bei Norman Data Defense. Ein großer Teil der Verbraucher könne mit entsprechenden Warn-E-Mails durch die Banken einfach nichts anfangen, so Kuntzmann weiter. Die eher restriktive Informationspolitik der Banken bezüglich Sicherheitsrisiken erklärt der Sicherheitsexperte damit, dass diese ihr eigenes Produkt und die Technologie dahinter verkaufen und nicht in Frage stellen wollen. Neben technischen Verbesserungen, wie das Umstellen auf zeitlich begrenzte Einmal-Codes, die bei Überweisungen verwendet werden, verweist Kuntzmann erneut auf die Grundvoraussetzungen für sicheres Online-Banking: Aktuelle Antivirenlösung, Firewall und aktualisiertes Betriebssystem.

BSI-Sprecher Gärtner weist zudem darauf hin, dass sich Bankkunden auch durch das Setzen von Kontolimits vor größeren Verlusten schützen können. Zusätzlich empfiehlt er, eigene Kontoauszüge in kurzen Abständen zu überprüfen. Banken könnten so vielfach eine Rücküberweisung veranlassen, so Gärtner. Als zunehmendes Problem gilt auch, dass Phisher immer häufiger auf das Abheben von kleineren Beträgen setzen, die von den Bankenverantwortlichen sowie den Kontoinhabern selbst oftmals übersehen werden. Der Großteil der Einzelschäden bewegt sich derzeit in einem Rahmen von 3.000 bis 7.000 Euro. Im überwiegenden Teil der Fälle zeigen sich die Banken bei der Erstattung der verlorenen Geldsummen kulant.

Hitachi hat in Japan, Tokyo neue RFID-Prototypen entwickelt, die gerade einmal so groß wie ein Staubkorn sind. Die winzigen Sender sind 64-mal kleiner als die derzeit von Hitachi angebotenen kleinsten RFID-Tags und weisen Maße von 0,05 mal 0,05 Millimeter auf. Mit einer Dicke von nur fünf Mikron eignet sich der RFID-Staub für die Integration in eine Reihe von Materialien. So könnten die Mini-Sender zukünftig etwa in Geldscheine oder Ausweispapiere eingearbeitet werden und als deren Echtheitszertifikat dienen.

Hitachi zufolge soll die Vermarktung der technologischen Innovation bereits in zwei bis drei Jahren erfolgen. Auch eine serienreife Produktion will man bis dahin anbieten können. Ausgestattet sind sie mit einem 128-Bit-ROM-Speicher (Read Only Memory), der wie der englische Name schon sagt, nur passiv ausgelesen werden kann. Der Speicher bietet Platz für eine bis zu 38-stellige Identifikationsnummer, die ähnlich eines Barcodes individuell dem jeweiligen Gegenstand zugeteilt werden kann. Beschrieben werden die Tags mittels Elektronenstrahlen.

Die erneute Schrumpfung von RFID-Tags lässt nicht nur unter Datenschützern die Sorge laut werden, dass die Technologie missbraucht werden könnte. Auch das vielzitierte Konzept des “gläsernen Menschen” taucht immer wieder in der Diskussion auf. “Die Skepsis gegenüber derartigen Technologien ist zum Teil sicherlich auch kulturbedingt”, meint Alfred Dümlein von Hitachi High Technologies Europe. Im asiatischen Raum habe die Bevölkerung diesbezüglich weitaus weniger Berührungsängste, so Dümlein. Wichtiger als die Größe der eingesetzten Chips sei vielmehr, dass die damit verknüpften Datenbanken im Hintergrund mit entsprechenden Sicherheitsmechanismen ausgestattet werden, mein Dümlein weiter. Damit könne etwaigen Missbrauchsszenarien vorgebeugt werden.

Ahnungslose Computernutzer sind eines der größten Sicherheitsrisikos für PCs. Vor allem die immer weiter verbreiteten W-Lan Netzwerke sind eine Lücke, durch die Eindringlinge leicht Zugang zum PC erhalten, wie die Zeitung Welt am Sonntag berichtet. Knapp zwei Drittel aller W-Lans sind unverschlüsselt, schätzt das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Verschlüsselung überfordert Laien oft und so haben alle im Umkreis von bis zu 40 Metern Zugang zum Computer. Inzwischen gibt es sogar schon Hacker, die Stadtpläne ins Internet stellen, auf denen Standorte mit unverschlüsselten W-Lans eingezeichnet sind.

Doch nicht nur Privatanwender, sondern vor allem auch Unternehmen sollten sich gut vor Hackerangriffen schützen. “In letzter Zeit haben wir verstärkt chinesische Hackerangriffe festgestellt”, erklärt Hans Elmar Remberg, der Vizepräsident des deutschen Bundesamts für Verfassungsschutz. Auch aus der Russischen Föderation sowie Iran und Nordkorea kommen viele Angriffe mit dem Ziel, ihr militärisches Potenzial sowie ihre Wirtschaftskraft zu stärken, erklärt Remberg. Vor allem mittelständische Unternehmen sind ein leichtes Ziel für Angreifer, da bei ihnen häufig große Sicherheitslücken zu finden sind.

Die besten Sicherheitsvorrichtungen helfen jedoch nicht, solange die Mitarbeiter nicht im Umgang damit geschult sind. Menschliche Irrtümer und Nachlässigkeit sind laut einer Erhebung des Branchendienstes kes und Microsoft die häufigsten Ursachen für IT-Sicherheitsprobleme. Häufig bleibt das Eindringen eines Hackers jedoch vollkommen unbemerkt. Manchmal hinterlassen sie aber auch Botschaften oder versuchen den Computerbesitzer zu erpressen. Mit Hilfe von Schädlingsprogrammen, sogenannter Malware, verschlüsseln Hacker die Computerfestplatte und zwingen den Besitzer, Geld auf ein Konto zu überweisen, damit dieser wieder Zugriff auf seine Daten erhält.

Dem Bundesamt für Verfassungsschutz zu Folge sind deutsche Firmen immer wieder Opfer chinesischer Hackerangriffe. Als eine neue Form der Industriespionage habe sich mittlerweile das Ausspähen fremder Rechner mittels sogenannter Schadprogramme etabliert, wie der Vize-Präsident des Verfassungsschutzes, Hans-Elmar Remberg, dem ZDF mitteilte. Die Spionageprogramme gelangen über E-Mail-Anhänge auf Firmencomputer und erlauben Eindringlingen den Zugriff auf wichtige Daten. Besonders aus China kommen immer mehr Hackerangriffe. Nach Beobachtung des Verfassungsschutzes geht China offensichtlich weltweit sehr aggressiv vor, um seine eigene Wirtschaft möglichst schnell aufzubauen. Das Mittel der Wahl sei dabei die Spionage auf elektronischem Wege. Die Vorteile gegenüber klassischen Methoden: weniger Aufwand, flächendeckender Einsatz und eine verschwindend geringe Gefahr entdeckt zu werden.

In welchem Ausmaß chinesische Malware bereits im Umlauf ist, zeigen neueste Untersuchungen des Anti-Viren-Herstellers Sophos. Im vergangenen Jahr stammten die meisten Schadprogramme aus China. Damit überholt das Reich der Mitte den bisherigen Spitzenreiter USA. Schutz gegen die Flut der Trojaner und Würmer biete nur ein konsequenter Einsatz moderner IT-Sicherheitstechnik. Da jeder einzelne Rechner ein potentielles Einfallstor für Spionageprogramme sei, müsse effektiver Schutz vor allem eines sein: lückenlos. “Besondere Bedeutung kommt dabei der Art der Verwaltung eingehender E-Mails zu. Wenn die elektronische Post zuerst an zentraler Stelle ankommt, kann sie direkt gefiltert werden. Schädlinge haben dann keine Chance mehr”, weiß Jörg Mokros, Geschäftsführer des Brandenburger Systemhauses DIS.

Einer Umfrage der Nationalen Initiative für Internetsicherheit (Nifis) zufolge werden deutsche Unternehmen bis 2011 ihre Ausgaben für die Informationssicherheit deutlich erhöhen. Knapp ein Viertel der Befragten geht demnach davon aus, dass die ihre Budgets für IT-Sicherheit um 50 Prozent aufstocken. 18 Prozent wagen die Prognose, dass sich die Ausgaben in diesem sensiblen Bereich sogar verdoppeln. “Das ist ein erfreuliches Ergebnis, auch wenn die in Kraft getretenen Richtlinien zu Basel II diesen Umstand sicherlich begünstigen und nicht alle Unternehmen aus Überzeugung in die Sicherheit investieren”, kommentiert Nifis-Vorstandsvorsitzender Peter Knapp. Bei vielen Unternehmen steht die Aufklärung und Schulung von Mitarbeitern sowie die Etablierung einer unternehmensweiten Security-Policy mit entsprechenden Verhaltensregeln im Fokus, so die Teilnehmer der Untersuchung.

Die Studie hatte unter anderem ermittelt, dass nach Ansicht der Befragten derzeit die größte Gefahr für die Informationssicherheit eines Unternehmens von den eigenen Angestellten ausgeht. Trotzdem glauben nur 30 Prozent der Branchenkenner, dass die Verantwortung der IT-Sicherheit in deutschen Unternehmen formell geregelt ist und es dazu auch schriftliche Regeln gibt. “Hier besteht definitiv noch Nachholbedarf. Zumindest die mittelständischen und großen Unternehmen sollten einen schriftlichen Verhaltenscodex etablieren, der den Umgang mit Daten verbindlich regelt”, so Nifis-Chef Knapp. 79 Prozent der Befragten gehen außerdem davon aus, dass Betriebe in Zukunft Maßnahmen zur Gewährleistung der Informationssicherheit durch eine neutrale Institution überprüfen und zertifizieren lassen. 48 Prozent antworteten auf die entsprechende Frage mit einem klaren “ja”. Von Vorteil ist dabei, dass eine neutrale Instanz die Sicherheitsvorkehrungen und Prozesse auf Lücken testet. Die Bestätigung eines hohen Grades an Sicherheit hat außerdem eine sehr starke Außenwirkung. Zudem sei auf diese Weise eine permanente Überprüfung der eingesetzten Sicherheitsvorkehrungen sowohl in technischer wie auch in organisatorischer Hinsicht gewährleistet, so die Initiative.

Die Ergebnisse der Studie bestätigt man auch beim Stuttgarter ITK-Systemintegrator Nextiraone. “Auch mit der intelligentesten Technologie sind sie nicht automatisch vor Angriffen geschützt. Ein gutes Beispiel dafür, dass der Missbrauch um sich greift, sind Abrechnungsbetrug und Identitätsdiebstahl”, sagt Matthias Schütte, Sicherheitsspezialist bei Nextiraone. Besonderes Augenmerk gilt dem Faktor Mensch. “Mitarbeiter sind immer öfter Ursache dafür, dass auch wertvolle und vertrauliche Unternehmensinformationen ungeschützt dem Zugriff Unbefugter ausgesetzt sind.” Ein Großteil der Ursachen für Attacken auf das eigene Netzwerk sei daher im eigenen Unternehmen zu finden.

Das könnten sowohl beabsichtigte Manipulationen von Mitarbeitern sein, aber auch durch Nachlässigkeiten und Unwissenheit verursachte Schäden. Das bestätigt auch eine Studie des Softwareherstellers McAfee. “Demnach bleiben Investitionen in Lösungen zum Schutz von Geschäftsdaten vor externen Bedrohungen und Hacker-Attacken häufig deshalb unwirksam, weil eine vollständige interne Kommunikation der unternehmensspezifischen Sicherheits-Vorgaben nicht gelingt und weil sich Mitarbeiter allzu sorglos verhalten”, schreibt der Onlinedienst All about Security. Die Ergebnisse belegen auch, dass 37 Prozent der befragten Unternehmen in Europa keine festen Regeln für den Umgang mit vertraulichen Daten haben. “In puncto Datensicherheit gab es in den vergangenen Jahren eine unvorstellbare Technologiegläubigkeit, die sich immer weiter von der Realität entfernt hat”, findet Lynn McNulty von der Sicherheits-Akkreditierungsbehörde der US-Regierung. Auch das Bewusstsein in der Unternehmensführung für die Belange der IT-Sicherheit müsse verstärkt werden, ergänzt Schütte. Die Sicherheitsstrukturen vieler Unternehmen seien oft reines Flickwerk. Das hänge auch damit zusammen, dass die IT-Sicherheit nicht als kontinuierliche Aufgabe begriffen werde, sondern als einmalige Investition, weshalb er zu Managed Services beziehungsweise Hosting-Modellen rät, bei dem ein Unternehmen sich um die nicht zum Kerngeschäft gehörenden Sicherheitsstrukturen eigentlich kaum noch kümmern muss.

Moskau – Der Lehrer Alexander Ponosov, der wegen des Einsatzes von illegaler Microsoft-Software in einer russischen Mittelschule vor Gericht zitiert wurde, muss nicht ins Gefängnis. Ein russisches Gericht hat den Schulleiter gestern, Donnerstag, zwar für schuldig befunden, Windows-Betriebssysteme und Software im Wert von 9.700 Dollar installiert zu haben.

Im selben Atemzug wurde Ponosov aber von drohenden Gefängnis- und Bußgeldstrafen freigesprochen. Der finanzielle Schaden für den Konzern Microsoft sei zu unbedeutend, so der Urteilsspruch des Gerichts, das den Fall damit für erledigt erklärte.

Der Fall Ponosov hat von Russland ausgehend ein enormes weltweites Interesse ausgelöst. Im eigenen Land schwappte dem aus bescheidenen Verhältnissen stammenden Lehrer eine Solidaritätswelle der russischen Bevölkerung entgegen, da die angedrohte Strafe überwiegend als ungerecht empfunden wurde. Der Höhepunkt der medialen Auseinandersetzung gipfelte schließlich in einem offenen Brief von Michael Gorbatschow an Bill Gates auf, in welchem Gorbatschow um Gnade für Ponosov bat. Darüber hinaus sah
sich sogar der russische Staatspräsident Wladimir Putin veranlasst, die drohende Gefängnisstrafe vorab als “lächerlichen Unsinn” zu verurteilen.

Microsoft war in Folge der Berichterstattung ebenfalls Kritik ausgesetzt, hat aber stets beteuert mit den Anklageerhebungen der Staatsanwaltschaft nichts zu tun zu haben. Auch hat Microsoft wiederholt beteuert, im Normalfall nicht gegen Privatpersonen gerichtlich vorzugehen, wenngleich mehr als ein Drittel der verwendeten Windows-Software in Europa wissentlich eine Raubkopie darstellt. “Prinzipiell werden diese strafrechtlich nicht von uns verfolgt, es sei denn sie treten wissend selbst als Wiederverkäufer und Anbieter von unlizenzierten Versionen auf”, so die Microsoft-Sprecherin Anika Bücker.

Ponosov hat russischen Medienberichten zufolge die Urteilsverkündigung mit einer Flasche Champagner gefeiert. Der Staatsanwalt meldete indes Berufung an und kritisierte die Logik des Gerichts, den Prozess wegen der verhältnismäßig geringen Schadenssumme einzustellen

Microsoft hat im Kampf um die ISO-Zertifizierung des eigenen Dokumentenformats Open XML harte Kritik an IBM geübt. In einem offenen Brief kritisieren die Microsoft-Manager Tom Robertson und Jean Paoli, dass der ODF-Befürworter IBM einen globalen Feldzug gegen das von Microsoft entwickelte Format führe und dieses als ISO-Standard verhindern wolle. Open XML wurde Anfang Dezember 2006 von den Mitgliedern des Standardisierungsgremiums Ecma als internationaler offener Standard abgesegnet. Besonders stößt sich Microsoft am Umstand, dass man selbst die ISO-Zertifizierungsbemühungen der ODF-Befürworter nie behindert habe. Auch wehrt sich Microsoft gegen die Argumentation, dass es mit dem zeitlich früher eingereichten ODF-Standard nur einen offenen ISO-Standard geben könne, zumal auch Konkurrenten wie Apple und Novell durch die Ecma-Absegnung ihre Zustimmung zum Formatstandard erteilt haben.

“Die Industrie wie auch Kunden haben immer schon mit co-existierenden Standards und Formaten gelebt. Ecma Open XML und ODF wurden mit unterschiedlichen Zielsetzungen entwickelt und sind nur zwei von vielen Formatstandards wie PDF und HTML, die heute in Verwendung sind”, erklärt Andreas Ebert, Regional Technology Officer EMEA bei Microsoft, im Interview. Microsoft zufolge geht es bei der Zertifizierung von Open XML als offener ISO-Standard auch nicht um das exklusive Ausspielen der beiden Formate gegeneinander. “ODF ist für gewisse Anwendungsszenarien sicherlich perfekt geeignet, andererseits kann es bei weitem nicht alle Funktionalitäten abdecken, die Kunden durch Ecma Open XML in Anspruch nehmen können und wollen”, so Ebert.

Den Versuch IBMs, die Absegnung von Open XML als ISO-Standard zu verhindern und gleichzeitig ODF über öffentliche Vergabevorgänge Kunden aufzuzwingen, erachtet Microsoft als Angriff auf die Wahlfreiheit der Kunden. Im offenen Brief wirft Microsoft IBM zudem vor, aus rein kommerziellen Beweggründen zu handeln und dadurch letztlich technische Innovationen zu behindern. Als verwerflich sieht man dabei auch die Weigerung IBMs den Open-XML-Standard in Lotus Notes nicht zu unterstützen, während man selbst für die aktive Unterstützung und Einbindung des ODF-Formats in Microsoft-Office-Prozesse gesorgt habe. “Wir haben auf unsere Kunden gehört. Sie wollen Wahlfreiheit, Interoperabilität und Innovation. Wir und andere sind überzeugt davon, dass Open XML all diese Anforderungen erfüllt”, so Robertson und Paoli in ihrer Stellungnahme.

Obwohl sich mobile Speichermedien wie USB-Sticks und Speicherkarten auch im Geschäftsleben großer Beliebtheit erfreuen, ist ein Großteil der Speicherinhalte – dazu zählen auch geschäftskritische Daten – nicht konsequent gesichert. Nur jedes fünfte Speichermedium ist derzeit komplett verschlüsselt. Darüber hinaus haben nur wenige Arbeitgeber unumgängliche Sicherheitsrichtlinien für das Speichern, Bearbeiten und Übertragen von Daten eingeführt. Das geht aus einer heute, Donnerstag, vorgestellten Umfrage des Sicherheitsspezialisten Utimaco hervor.

“Die finanziellen, immateriellen und sicherheitstechnischen Konsequenzen, die ungeschützte Datenträger bei Verlust oder Diebstahl nach sich ziehen können, sind kaum bezifferbar”, warnt Nadine Szünder, Marktanalystin bei Utimaco. Bevorzugte Speicherinhalte sind nämlich neben Fotos vor allem geschäftskritische Daten wie Kundeninformationen, Finanzzahlen oder Vertragsdetails. Dabei gaben nur 7,3 Prozent der Befragten an, dass ihr Unternehmen über verbindliche Sicherheitsrichtlinien verfügt. Immerhin 11,9 Prozent der Firmen haben zumindest eine Sicherheitslösung im Einsatz, die automatisch Daten absichert, die auf Speichermedien übertragen werden und eventuell das Unternehmen verlassen. Problematisch sind Utimaco zufolge auch die zunehmend geläufigeren Speicherkapazitäten von bis zu zwei Gigabyte, mit denen die gesamten Inhalte von Datenbanken oder komplexe Konstruktions- und Entwicklungsdaten unbemerkt kopiert und nach außen getragen werden könnten.

“Besonders in Großunternehmen sollte nicht nur das Bewusstsein für Datensicherheit ausgeprägt sein, sondern auch konzernweit eine unumgängliche Security-Policy umgesetzt werden”, fordert Szünder. Zwar sei der Missbrauch geschäftssensibler oder persönlicher Daten kein neues Phänomen.”Dennoch sind diese Daten durch die Masse an Speichermedien viel stärker und zumeist ungeschützt im Umlauf”, so die Expertin. Als möglichen Grund für die Zurückhaltung der Unternehmen bei der Definierung von Sicherheitsrichtlinien und dem Einsatz von Sicherheitssoftware hat Utimaco die mögliche Einschränkung beim Datenaustausch mit Geschäftspartnern und Kunden ausgemacht. Die Software SafeGuard Removable Media soll die Daten auf den Speichermedien vor unautorisiertem Zugriff schützen. “Ohne das richtige Kennwort findet man auf dem Speichermedium nur einen Datensalat”, so eine Utimaco-Sprecherin.

Bundesjustizministerin Brigitte Zypries spricht sich gegen einen Schnellschuss bei heimlichen Online-Durchsuchungen aus. Sie stellt sich damit gegen Bundesinnenminister Wolfgang Schäuble, der möglichst bald einen rechtlichen Rahmen für heimliche Online-Durchsuchungen schaffen will.

Die Technik ist ja da. Warum sie also nicht einsetzen, warum den Terroristen und den anderen Bösewichtern irgendeine Chance geben? Diese Haltung gehört bei den Sicherheitsexperten dieser Welt seit Jahren zum guten Ton: Biometrie, Funkchips, Satellitenortung – es gibt noch eine Menge Platz zum Spielen für die Fachleute. Wenn da nur das ständige Überwachungsstaat-Gejammere der Datenschützer nicht wäre. Mehr dazu auf Spiegel.de

Posted by admin at 7:54 am on Februar 6th, 2007. No comments... »
Categories: News.