© PSW Group

Auch Geheimdienste dürfen Staatstrojaner nutzen

Bundesregierung hat sich auf umfassende Überwachung geeinigt

Der Staatstrojaner soll vom Verfassungsschutz, dem Bundesnachrichtendienst (BND) und dem Militärischen Abschirmdienst (MAD) angewandt werden dürfen. Das hat das Kabinett der Bundesregierung am 28. Oktober dieses Jahres entschieden.
Nicht nur Bundesdatenschützer Kelber sieht diese Entwicklung sehr kritisch und warnt davor, dass der Bundestrojaner zu staatlicher Überwachung führen könnte. Auch Sicherheitsanbieter F-Secure möchte sich nicht an dieser Telekommunikationsüberwachung beteiligen.

Auch die IT-Sicherheitsexperten der PSW GROUP kritisieren diese Entwicklung scharf, denn die Bundesregierung hat sich auf eine umfassende Überwachung geeinigt: Die sogenannte Quellen-Telekommunikationsüberwachung Plus soll es Agent*innen von Verfassungsschutz, BND und MAD erlauben, neben der laufenden Kommunikation auch rückwirkend alle alten Kommunikationen ausforschen zu dürfen, die seit dem Moment der Bewilligung der staatlichen Spionage stattgefunden haben. Somit greifen Ermittler*innen auch auf gespeicherte E-Mails oder Chatverläufe zu.

„Es handelt sich unserer Meinung nach hier um schwerwiegende Eingriffe in IT-Systeme, die möglicherweise gleichzeitig mehrere Grundrechte der Betroffenen und auch deren Kontaktpersonen einschränken. Zudem schwächt die Ausweitung der Befugnisse, den Staatstrojaner einzusetzen, das generelle Vertrauen in IT-Systeme, in deren Integrität sowie in die Vertrauenswürdigkeit von darauf abgelegten Daten“, gibt Patrycja Tulinska, Geschäftsführerin der PSW GROUP, zu bedenken. Die Polizei besitzt seit längerem flächendeckend Befugnisse, sich mittels Spionagesoftware heimlich in Smartphones oder Rechner zu hacken. Diese werden nun auf verschiedene Geheimdienste ausgeweitet. So wird es jetzt auch dem Verfassungsschutz, dem BND und dem MAD gestattet, direkt in Smartphones oder Rechner einzudringen. Mittels eingeschleuster Schadsoftware, nämlich dem Bundestrojaner, gelingt es, die dort laufende Kommunikation abzufangen – seien es Telefonate oder Messenger-Chats. Dieses Abfangen geschieht, noch bevor die Anbieter die Nachrichten verschlüsseln.

Massive Kritik vom Bundesbeauftragten für Datenschutz und Anbieter F-Secure

Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), kritisiert Mängel in der aktuellen Fassung des Gesetzesentwurfs: Das Gesetz lege „den Umfang der Informationserhebung nicht klar fest“. So könne aus der Quellen-Telekommunikationsüberwachung Plus die eigentlich nicht gewollte Online-Durchsuchung werden. Kelber findet sehr klare Worte: „Es besteht die Gefahr, dass das Ausmaß der staatlichen Überwachung in der praktischen Anwendung das für eine Demokratie erträgliche Maß übersteigt.“

Auch F-Secure, finnischer Anbieter von Sicherheitsprodukten, wehrt sich gegen den Bundestrojaner: Nach Information von F-Secure soll mit der hauseigenen Anti-Schadprogramm-Software nach dem Bundestrojaner gesucht und dieser dann – wie jeder andere Trojaner – deaktiviert werden. Das Unternehmen gibt zu bedenken, dass nicht nur die Messenger- oder andere Kommunikationen vom Bundestrojaner betroffen seien, denn durch Bezahl-Dienste wie Apple Pay oder Google Pay wird auch die Nachverfolgung von Bezahlungen auf dem Smartphone möglich. Zudem wird das Smartphone in der Bevölkerung auch für Funktionen wie CarKey, dem digitalen Autoschlüssel, genutzt – auch darauf hätte der Bundestrojaner im Zweifel Zugriff.

Noch muss die Gesetzesänderung zur Quellen-Telekommunikationsüberwachung den Bundestag passieren. Dann bleibt abzuwarten, wie sich die Lage entwickelt: „Könnten Kelber oder Anbieter wie F-Secure mit ihrer Verweigerungshaltung etwas bewirken, wäre dies ein großer Sieg für die Privatsphäre“, hofft Patrycja Tulinska, und fügt hinzu: „Ich hege allerdings die Befürchtung, dass der Staat auf einzelne Anbieter zugehen und das Einbauen von Hintertüren verlangen wird.

-PM PSW Group-

 

© Ironhack

Analyse

Diese Länder sind für Cyberkriminelle und Hacker besonders attraktiv

Wir wollen im Internet shoppen, mobil bezahlen, ein smartes Zuhause, soziale Netzwerke nutzen, Daten in der Cloud speichern, von KI-Learning profitieren, eine digitale Verwaltung und vieles mehr. Doch umso mehr Technologien wir nutzen, desto stärker steigt auch das Risiko, dass Privatnutzer, Unternehmen und Regierungen in die Fänge von Cyberkriminellen und Hackern geraten. Die meisten erfolgreichen Attacken im Bereich der Netzkriminalität sind das Resultat durchaus vermeidbarer Sicherheitslücken. Darüber hinaus entwickelt sich ein Trend hin zu immer raffinierteren, verbrecherischen Methoden, mit denen sich die Einzeltäter und organisierte Hackergruppen immer häufiger Zugang zu den sensibelsten unserer Daten verschaffen und damit Schäden in Millionenhöhe verursachen. Heute gehören Cyberattacken zu den stärksten Bedrohungen der Wirtschaft.

Hoher Bedarf an Spezialisten im Bereich Cybersicherheit und Datenschutz

Die Corona-Pandemie hat viele Unternehmen gezwungen, Mitarbeiter oft erstmals ins Home Office zu versetzen oder andere Digitalisierungsmaßnahmen in Rekordzeit zu realisieren. Damit sind viele neue Schlupflöcher geschaffen worden, für die Kriminelle nur allzu dankbar sind. 70 Prozent der Unternehmen wollen ihre Cybersicherheit zukünftig erhöhen, so eine Umfrage des Finanzblatts LearnBonds. Dementsprechend hoch ist der Bedarf an Fachkräften und Spezialisten im Bereich Cybersicherheit und Datenschutz. Mit dem Accelerated Cybersecurity Bootcamp von Ironhack wollen wir unseren Beitrag dazu leisten, die in allen Bereichen vernetzte Welt ein wenig sicherer zu machen.

Die Ergebnisse

Im Zuge dessen haben wir uns auch dafür interessiert, welche Länder für Hacker und Cyberkriminelle besonders attraktiv sind und die folgende Analyse durchgeführt. Unser Ergebnis zeigt, dass Deutschland, nach den Vereinigten Staaten, der am stärksten von Cyberkriminellen bedrohte Staat ist. Eine Erkenntnis, die sich mit den Risikobewertungen ausgewiesener Experten deckt. “Fast die Hälfte aller Unternehmen in Deutschland (46 Prozent) vermeldete in den vergangenen Monaten Cyberangriffe auf ihr Unternehmen”, vermeldete das Bündnis Deutschland sicher im Netz im Zuge der Veröffentlichung des DsiN-Praxisreport Mittelstand 2020 im Oktober 2020. Auch unter Privatpersonen haben bereits 9 von 10 Computern in Deutschland einen funktionierende Sicherheitssoftware installiert, ergibt unsere Untersuchung. Fast 15 Prozent aller Computer haben bereits mindestens einmal Schadprogramme, wie Malware, registriert. Zum Schutz vor Datendiebstahl im Internet haben die meisten Länder weitreichende Datenschutzgesetze eingeführt. In Deutschland ist die Informationstechnik als Tatmittel außerdem rechtmäßig anerkannt. 

Methodik

Um eine Rangliste der Länder, deren Einwohner, Unternehmen und öffentlicher Dienst am stärksten von Cyberkriminalität bedroht sind, wurden alle Mitgliedsstaaten der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (mit Ausnahme von Luxemburg, das aufgrund unzureichender Datenlage ausgeschlossen werden musste) ausgewählt und auf die nachfolgenden Einflussfaktoren untersucht:

Risikobewertung
Daten zur Einschätzung des Risikos auf nationaler Ebene wurden der Cybercrime-Risiko-Datenbank VulDB entnommen.

Verbreitung von Sicherheitssoftware
Daten zum Anteil der Computer, die über funktionierende Sicherheitssoftware, wie Anti-Viren-Software o. ä., verfügen, wurden dem Microsoft Digital Defense Report 2017 entnommen.

Computer mit Schadprogrammen
Daten zum Anteil der Computer, auf denen Schadprogramme, wie Malware o. ä., gefunden wurde, wurden dem Microsoft Digital Defense Report 2017 entnommen.

Gesetzgebung
Informationen darüber, ob in den untersuchten Ländern Gesetze zum Schutz vor Cyberkriminalität installiert wurden, wurden der UNCTAD entnommen.

Um die Ergebnisse aller untersuchten Länder in einem Einflussfaktor miteinander vergleichen zu können, wurden die Ergebnisdaten rechnerisch auf einer Punkteskala von 0 bis 100 standardisiert. Für die Standardisierungen wurde eine gewöhnliche Normalisierungsformel genutzt. Das Ergebnis des Faktors Risikobewertung trug mit einem Gewicht von 89 Prozent zum Endergebnis bei. Die Ergebnisse der Faktoren Verbreitung von Sicherheitssoftware und Computer mit Schadstoffprogrammen trugen gemeinsam mit einem Gewicht von 5,5 Prozent zum Endergebnis bei. Das Ergebnis des Faktors Gesetzgebung trug mit einem Gewicht von 5,5 Prozent zum Endergebnis bei. Das Auswertungsergebnis wurde ebenfalls standardisiert. Das Land, welches am stärksten von Cyberkriminalität bedroht ist, erhielt die Punktzahl 100. Das Land, welches am wenigsten stark von Cyberkriminalität bedroht ist, erhielt die Punktzahl 0. Alle anderen Länder reihen sich gemäß ihres Ergebnisses zwischen 100 und 0 ein.

-PM Ironhack-

 

© Kaspersky

Ghimob: Banking-Trojaner attackiert mobile Nutzer in Deutschland

Kaspersky-Forscher haben einen neuen Banking-Trojaner gefunden, der Nutzer in Deutschland, aber auch weltweit attackiert [1]. Der Remote Access Trojaner (RAT) ‚Ghimob‘ wurde im Zuge der Überwachung einer gegen Windows gerichteten, maliziösen Kampagne durch die Banking-Malware Guildma [2] entdeckt.

Dabei haben die Kaspersky-Forscher URLs, die nicht nur eine schädliche .ZIP-Datei für Windows verbreiteten, sondern auch einen Downloader für Ghimob entdeckt. Nach dem Infiltrieren des Bedienungshilfe-Modus [3] kann Ghimob Persistenz erlangen und eine manuelle Deinstallation deaktivieren, Daten erfassen, Bildschirminhalte manipulieren und den Cyberkriminellen die vollständige Remote-Steuerung ermöglichen. 

Guildma, einer der Bedrohungsakteure hinter der berüchtigten Tétrade-Malwarefamilie [4] – für seine skalierbaren, schädlichen Aktivitäten sowohl in Lateinamerika als auch in anderen Teilen der Welt bekannt – arbeitet aktiv an neuen Techniken, entwickelt Malware und hat neue Opfer im Visier. 

Der neue Banking-Trojaner Ghimob versucht die Opfer dazu zu verlocken, die schädliche Datei über eine E-Mail zu installieren, die darauf hinweist, dass man Schulden hätte. Die Mail enthält dabei einen Link, der zu vermeintlich weiteren Informationen führt. Sobald der Remote Access Trojaner (RAT) installiert ist, sendet die Malware eine Nachricht über die erfolgreiche Infektion an den Server. Diese enthält Informationen zum Telefonmodell, die Angabe, ob es über eine Bildschirmsperre verfügt, und eine Liste aller installierten Anwendungen, die die Malware attackieren kann. Ghimob kann 153 unterschiedliche Apps ausspionieren – es handelt sich dabei überwiegend um Anwendungen von Banken, Fintech-Unternehmen, Kryptowährungen und Börsen. Fünf dieser Apps stammen von Banken in Deutschland. 

Funktional gesehen ist Ghimob ein Spion, den sein Opfer ständig mit sich herumträgt. Die Cyberkriminellen können per Fernzugriff auf das infizierte Gerät zugreifen und betrügerische Aktivitäten ausführen. Durch die Verwendung des Smartphones des Opfers können sie vermeiden, dass Finanzinstitute und deren Anti-Fraud-Systeme sie erkennen identifizieren und daraufhin Sicherheitsmaßnahmen ergreifen. Selbst wenn der Nutzer ein Sperrbildschirmmuster verwendet, ist Ghimob in der Lage, dieses aufzunehmen und abzuspielen, um das Gerät zu entsperren. 

Bei der Durchführung einer betrügerischen Transaktion können die Angreifer ein schwarzes Bildschirm-Overlay anzeigen oder einige Webseiten im Vollbildmodus öffnen. Der Betrugsprozess wird, während der Nutzer auf seinen Bildschirm blickt, im Hintergrund ausgeführt. Hierbei werden bereits geöffnete oder in angemeldeten Finanz-Apps genutzt, die auf dem Gerät installiert sind. 

Die Ziele von Ghimob befinden sich in Brasilien, Paraguay, Peru, Portugal, Deutschland, Angola und Mosambik.
„Der Wunsch lateinamerikanischer Cyberkrimineller nach einem mobilen Banking-Trojaner mit weltweiter Reichweite hat eine lange Geschichte“, kommentiert Fabio Assolini, Sicherheitsexperte bei Kaspersky. „Wir haben bereits Basbanke [5] und BRata [6] identifiziert, die jedoch beide stark auf den brasilianischen Markt ausgerichtet waren. Tatsächlich ist Ghimob der erste brasilianische Mobile-Banking-Trojaner, der für die internationale Expansion bereit ist. Wir denken, dass diese neue Kampagne mit dem Guildma-Bedrohungsakteur in Verbindung gebracht werden kann, der für einen bekannten brasilianischen Banking-Trojaner verantwortlich ist. Indiz hierfür ist unter anderem insbesondere die Nutzung derselben Infrastruktur. Wir empfehlen Finanzinstituten, diese Bedrohungen genau zu beobachten und gleichzeitig ihre Authentifizierungsverfahren zu optimieren, die Qualität ihrer Betrugsbekämpfungstechnologie und den Einblick in aktuelle Bedrohungsdaten zu verbessern sowie zu versuchen, alle Risiken dieser neuen mobilen RAT-Familie zu verstehen und zu minimieren.“ 

Kaspersky-Produkte erkennen die neue Malware als Trojan-Banker.AndroidOS.Ghimob.
Alle Details und IoCs, die mit dieser Bedrohung in Verbindung stehen, werden den Nutzern der Financial-Threat-Intelligence-Dienste von Kaspersky [7] zur Verfügung gestellt. 

Kaspersky-Tipps zum Schutz vor RAT- und Banking-Bedrohungen

  • SOC-Teams sollten stets Zugang zu den neuesten Bedrohungsinformationen haben. Das Kaspersky Threat Intelligence Portal [8] bietet Zugriff auf die Threat Intelligence des Unternehmens und stellt Daten und Erkenntnisse zu Cyberangriffen zur Verfügung. 
  • Zur Erkennung, Untersuchung und rechtzeitigen Behebung von Vorfällen auf Endpunktebene sollte eine zuverlässige EDR-Lösung wie Kaspersky Endpoint Detection and Response [9] implementiert werden.
  • Um Unternehmensgeräte vor schädlichen Anwendungen zu schützen, sollte eine Endpoint-Lösung mit Funktionen zum Schutz von mobilen Geräten wie Kaspersky Endpoint Security for Business [10] verwendet werden. Dadurch wird sichergestellt, dass nur vertrauenswürdige Anwendungen aus einer genehmigten Whitelist auf den Geräten installiert werden können, die Zugriff auf sensible Unternehmensdaten haben.

Weitere Informationen zu Ghimob sind verfügbar unter https://securelist.com/ghimob-tetrade-threat-mobile-devices/99228/

  -PM Kaspersky-

 

Quellen:

[1] https://securelist.com/ghimob-tetrade-threat-mobile-devices/99228/
[2] https://securelist.com/the-tetrade-brazilian-banking-malware/97779/#guildma-full-of-tricks
[3] https://support.google.com/accessibility/android/answer/6006564?hl=de
[4] https://www.kaspersky.de/about/press-releases/2020_tetrade-brasilianische-banking-malware-familien-verbreiten-sich-weltweit
[5] https://securelist.com/basbanke-trend-setting-brazilian-banking-trojan/90365/
[6] https://securelist.com/spying-android-rat-from-brazil-brata/92775/ 
[7] https://www.kaspersky.de/enterprise-security/cybersecurity-services
[8] https://www.kaspersky.de/enterprise-security/threat-intelligence
[9] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
[10] https://www.kaspersky.de/small-to-medium-business-security

 

© TÜV-Verband

Initiativbericht des EU-Parlaments macht Reformvorschläge

Cybersecurity muss Bestandteil eines modernen Sicherheitsbegriffs werden

In Europa besteht dringender Handlungsbedarf für mehr Produktsicherheit. Zu diesem Schluss kommt das EU-Parlament in seinem „Initiativbericht zur Produktsicherheit im Binnenmarkt“. Der TÜV-Verband teilt diese Einschätzung. „Technische Entwicklungen wie die Digitalisierung und Vernetzung werden in der europäischen Produktgesetzgebung nicht ausreichend berücksichtigt“, sagte Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands (VdTÜV). „Viele Verbraucherprodukte, die heute bei uns auf den Markt gebracht werden, entsprechen weder den grundlegenden Sicherheitsanforderungen noch den geltenden Rechtsvorschriften.“ Daher sei die Initiative des EU-Parlaments für mehr Produktsicherheit ein wichtiges Signal für mehr Verbraucherschutz.

War bislang die IT-Sicherheit, also der Schutz vor Cyberangriffen, nicht in der europäischen Produktgesetzgebung verankert, wird die Kommission nun aufgefordert, die Bezeichnung „Sicheres Produkt“ neu zu definieren. „Wir brauchen dringend einen neuen, digital geprägten Produktsicherheitsbegriff, der funktionale Sicherheit und Cybersecurity verbindet“, sagte Bühler. „Damit ist gemeint, dass zukünftig ein Produkt nicht nur bei bestimmungsgemäßem Gebrauch und vorhersehbarer Fehlanwendung sicher sein muss, sondern darüber hinaus einen adäquaten Schutz vor missbräuchlichem Zugriff bietet, also robust gegen Cyberattacken ist.“ Zutreffend sehe das EU-Parlament den Cybersecurity Act als eines der Hauptinstrumente, um die IT-Sicherheit von Produkten in der EU zu erhöhen. Bühler: „Die risikoadäquate Widerstandsfähigkeit von Produkten gegen Hackerangriffe muss für die Hersteller eine verpflichtende Anforderung sein. Diese Regelungslücke muss umgehend geschlossen werden.“ Die im Cybersecurity Act vorgesehene Zertifizierung müsse vor allem bei solchen Produkten gesetzlich verankert werden, von denen im Falle einer Cyberattacke Gefahren für die Gesundheit oder die Privatsphäre ausgehen können.

Der TÜV-Verband begrüßt zudem, dass das EU-Parlament die Kommission auffordert, zügig einen einheitlichen Regulierungsrahmen für die Nutzung Künstlicher Intelligenz vorzulegen. „Gerade auch beim Einsatz von Künstlicher Intelligenz sind risikobasierte Sicherheitsanforderungen und entsprechende Konformitätsbewertungsverfahren zwingend notwendig“, erläuterte Bühler. „Hier fordert das Parlament zurecht wirksame Kontrollen, wobei KI-Anwendungen ab einem signifikanten Risikolevel zwingend von unabhängiger Stelle überprüft werden müssen.“

Um Verbraucher:innen wirksam vor unsicheren Produkten zu schützen, fordert das EU-Parlament eine Stärkung der Marktüberwachung. Unter anderem müssten die finanziellen und personellen Ressourcen der zuständigen Behörden aufgestockt und die Zusammenarbeit zwischen den nationalen Institutionen verbessert werden. „In der Praxis funktioniert das System der nationalen Marktüberwachung nur unzureichend“, sagte Bühler. Der Grund: fehlende konkrete Vorgaben der EU und unterschiedlich erfolgreiche Arbeitsweisen in den einzelnen Mitgliedstaaten. Besonders zu begrüßen ist daher auch die Forderung der Abgeordneten, die Mindeststichprobengrößen für die Identifizierung unsicherer Produkte EU-weit einheitlich festzulegen.

Der TÜV-Verband fordert zur Stärkung der Produktsicherheit in der EU einen präventiven Ansatz mit frühzeitigen Prüfungen, um unsichere Produkte von vornherein vom Markt fernzuhalten. So könnten potenziell gefährliche Produkte durch unabhängige Prüfungen im Produktionsprozess oder bereits während der Produktentwicklung identifiziert werden. Bühler: „Frühzeitige Prüfungen von unabhängigen Stellen entlasten die Behörden und setzen das Vorsorgeprinzip zum Schutz der Verbraucher um.“

Positiv bewertet der TÜV-Verband auch die Forderung des EU-Parlaments, Online-Handelsplattformen bei der Produktsicherheit stärker in die Verantwortung zu nehmen. Hier können unabhängige Prüforganisationen für Verbesserungen sorgen, indem sie angemessene Sicherheitsvorkehrungen der Plattformen kontrollieren, vertrauenswürdige Händler zertifizieren oder die Sicherheit von online gehandelten Produkten stichprobenartig prüfen.

-PM TÜV-Verband-