Die Entwicklung von Patches läuft auf Hochtouren, seit die beiden neusten Angriffsszenarien Meltdown und Spectre entdeckt wurden: Diese werden durch Sicherheitslücken bzw. Hardware-Bugs in allen Geräten möglich gemacht, die in den letzten 20 Jahren hergestellt wurden.
Forscher haben vor kurzem Schwachstellen in der Hardware-Architektur von Prozessoren entdeckt. Dadurch können Angreifer mit Schadcode alle Daten, die der Computer im Speicher verarbeitet auslesen – Passwörter, genauso wie Zugangscodes. Die Fülle an Angriffsmöglichkeiten wurde von drei Projektgruppen entdeckt. Durch den Fehler lässt sich Speicher auslesen, auf die ein User-Prozess gar nicht zugreifen dürfte (sog. Bruch der Memory Isolation).
Besonders gefährdet sind Web-Browser: Sie laden Code herunter und führen ihn aus (JavaScript, HTML 5). Schadcode könnte beispielsweise über unseriöse Webseiten eingeschleust werden. Dagegen helfen Browser-Updates und Script-Blocker wie NoScript.
„Meltdown“ betrifft hauptsächlich Intel, ARM und AMD Prozessoren. Software-Patches können hier zwar die Angriffsfläche verringern, aber den Fehler nicht gänzlich beheben. Zusätzlich zu den Betriebssystem-Updates müssen auch BIOS Updates der jeweiligen Computer- bzw. Motherboard-Hersteller eingebracht werden. Bei Markengeräten und jüngeren PCs jetzt kein großes Problem, aber zig-Millionen Noname- und Supermarkt PCs in technisch nicht versierten Haushalten stellen eine riesige Gefahr dar. Da es sich um eine Hardware-Lücke handelt, sind alle Betriebssysteme betroffen, also etwa Windows, Linux, macOS, iOS, Android und FreeBSD.
Ob Ihre Geräte davon betroffen sind?
Mit größter Wahrscheinlichkeit Ja! Die anfälligen Prozessoren sind in so ziemlich allen Geräten verbaut – von PCs, Laptops und Smartphones, bis hin zu Tablets und Streaming-Boxen.
Auch ein Antivirus-Programm kann hier keinen Hunderprozentigen Schutz gewährleisten.
Grundsätzlich sind aktuelle, als auch ältere Prozessoren für mindestens eins der Angriffsszenarien anfällig. Eine ausführliche Auflistung finden Sie hier. Einer der wenigen Prozessoren, die als nicht betroffen gelten ist der Prozessor des Raspberry Pi.
Wie kann man sich schützen?
Für alle Benutzer von Windows- betriebenen PCs oder Laptops ist es hilfreich die letzten Windows 10 – und BIOS Updates von Dell, HP, Lenovo, oder der anderen Hardware Herstellern sicherzustellen. Microsoft hat bereits Patches zur Verfügung gestellt, die zumindest eine Ausnutzung der Sicherheitslücken schwerer machen sollen. Auch andere Betriebssystemhersteller rollen bereits Updates aus. Am besten schnellstmöglich installieren!Updates diverser Hersteller, sowie Infos dazu finden Sie hier. Die Liste wird laufend aktualisiert.
Nochmal zusammengefasst Willy’s 10 Punkte Liste:
Immer das aktuellste Betriebssystem mit den aktuellsten Updates und Patches verwenden
Auch alle Anwendungssoftware wie Browser, PDF Reader, Grafikprogramme auf den neuesten Stand bringen
Das BIOS des Computer aktualisieren. Wer es nicht selber kann soll sich Hilfe holen.
Unbedingt für jeden genutzten Dienst ein eigenes Passwort anlegen, nie das gleiche Passwort für mehrere Dinge verwenden
Das EMail-Passwort ist das Wichtigste. Hier ein starkes Passwort verwenden. Wer dieses ergaunert hat, kann sich über „Passwort zurücksetzen“ andere Dienste freischalten lassen
Verwenden Sie ein gutes und aktuelles Antivirenprogramm. Die Updates für dieses müssen automatisch und zumindest stündlich aktualisiert werden.
Wenn es sich um Firmengeräte handelt, schützen Sie sich durch eine richtige Hardware-Firewall. Diese (wenn sie eine aktuelle ist) schützt Sie auch vor Viren und Angriffen, in dem sie den Datenverkehr direkt am Internetanschluss kontrolliert und ggf. blockiert.
Sobald alle Updates (auch das BIOS) installiert sind, die Passwörter wechseln. Man kann nie wissen, ob sie nicht schon ausgespäht worden sind
Geben Sie acht, worauf Sie klicken. Wenn Ihnen etwas komisch vorkommt, schauen Sie genau oder kontaktieren Sie den Absender.
Wenn Ihr Handy keine Updates mehr erhält, tauschen Sie es aus. Es gibt sehr gute Geräte um unter € 300,-, diese kann man wieder ein paar Jahre nutzen
Wie geht’s jetzt weiter?
In einem Artikel von futurezone heißt es: Ein komplett neues Chip-Design werde es nicht von heute auf morgen geben. Das wird noch viele Jahre dauern…
Auch noch wichtig! Wenn Sie eine E-Mail vom Bundesamt für Sicherheit in der Informationstechnik erhalten, in der Sie gebeten werden, den von ihnen, AMD und Intel entwickelten Sicherheitspatch zu installieren: Auf KEINEN Fall installieren, sondern die Mail sofort löschen!Dabei handelt es sich um eine Fake-Mail, die gerade in Umlauf ist und die auf eine Fake-Website führt – mit einem als Sicherheitspatch getarnten Windows-Trojaner!
Zu groß für den 0815 Hacker: Die neue Einbruchsserie im US Finanzsektor, und, wie „die ganz oben“ versuchen Alles zu vertuschen!
Anfang dieser Woche die Meldung: „Cyber-Einbruch“ bei Deloitte – einer der größten Beratungsfirmen, die Daten von Großkonzernen weltweit verwaltet.
Und das kurz, nachdem bereits ein erfolgreicher Angriff auf die größte US-Kreditauskunftsfirma Equifax gemeldet wurde. Ganze 140 Millionen Datensätze von Firmen und Privatpersonen sollen gestohlen worden sein. Die bei Equifax kompromittierten Daten gehen in den Terabyte-Bereich und werden wohl auch Millionen von Bonitätsprofilen aus der EU beinhalten.
Die Börsenaufsicht SEC (Securities and Exchange Commission) wurde zur Durchsetzung von Offenlegungspflichten und Sanktionen gedrängt. Wie praktisch, dass die SEC selbst letzte Woche einen Großeinbruch in ihrer wichtigsten Datenbank zu verzeichnen hatte! Eine Untersuchung im US-Kongress läuft bereits.
Erschreckend ist nicht nur die Tatsache, dass sich die unbekannten Kriminellen über Monate ganz unbemerkt im Netzwerk der Börsenaufsicht herumtreiben konnten, sondern auch, dass die Einbrüche in allen genannten Fällen geheimgehalten wurden. Im Deloitte-Fall wurde der Einbruch über Monate verschwiegen, bis es schließlich ans Tageslicht kam.
Was noch erschwerend hinzukommt ist, dass in allen 3 Fällen überdurchschnittlich gut gesicherte Datenspeicher angegriffen wurden. Als ob das nicht schon genug wäre, handelt es sich bei allen Diebstählen um US Finanzdaten- Material der obersten Güteklasse.
Mit gewöhnlichen Hackern hat das Ganze jedenfalls nicht mehr viel zu tun. Der Grund ist, dass das gestohlene Datenmaterial nicht kommerziell verwertbar ist. Außerdem gehen die Kriminellen nach den Einbrüchen über Monate im Netzwerk in Deckung, um nach und nach relevante Daten heraus zu schleußen.
Große Projekte sind dort am Laufen und es macht den Eindruck, als ob es sich um staatliche Cyber-Akteure aus einem oder mehreren (noch nicht bekannten) Drittstaaten handelt.
Überweis‘ doch mal! – Nein? Tja, wenn doch nur jeder Hellseher wäre…
Vor ein paar Tagen wurde uns eine Mail-Konversation eines Kunden weitergeleitet. Ein Mitarbeiter wurde per E-Mail aufgefordert eine Überweisung an den zuständigen Controller der Firma zu tätigen. Was der besagte Mitarbeiter nicht wusste: Diese Email stammte überhaupt nicht vom Vorstand der Firma (was der Sender der Mail allerdings vorgab). Es handelte sich um einen sog. Fake-Präsidenten. Doch zunächst war dies erstmal kaum ersichtlich. Der Sender nannte gewisse Personen des Vorstandes sowie Namen der Geschäftsführung, um glaubhaft zu erscheinen.
Im nachhinein betrachtet, ist die Kenntnis eines Fremden über Unternehmen und Mitarbeiter nicht weit hergeholt. Wir alle haben schließlich eine Firmen-Homepage und sind im Web auch in diversen Social Media Kanälen präsent, oder?! Gar nicht mal so unwahrscheinlich also, dass sich Betrüger der notwendigen Infos bedienen können, um sich Geld oder sonstige Daten zu erschleichen.
Glück im Unglück…
Die zuständigen Kollegen waren auf Urlaub und konnten daher die geforderte Überweisung nicht durchführen. Dies wurde dem Sender aka. „Vostand“ mitgeteilt, worauf dieser mit gebrochenem Deutsch antwortete. So konnte der Mitarbeiter den versuchten Betrug schließlich entlarven. Der sprachliche Fail des Betrügers war somit unseres Kunden Segen. Bei der geforderten Summe hätte es sich „nur“ um 27.180 EUR gehandelt…
Und das ist ist nicht mal ironisch gemeint. Je nach Firma und Ausmaß der laufenden Geschäfte kann es passieren, dass ganz andere Summen ins Nirvana wandern: Im Februar 2017 wurde ein deutsches Unternehmen um satte 1,5 Mio. Euro gebracht. Der Raub wurde erst zwei Tage später überhaupt erst enttarnt. Die ergaunerte Summe war damit natürlich auf immer und ewig verloren. Mehr dazu hier.
Wie kam es dazu?
Gleiche Masche wie bei unseren Kunden: Die Betrüger gaben sich als Geschäftsführung aus und forderten die Buchhalterin auf das Geld per Faxanweisung auf ein Konto in Fernost zu transferieren. Die Begründung: Ein „geheimes Projekt“. Der Betrug flog erst auf, als sie eine weitere Summe überweisen sollte. Diesmal gleich 3,5 Mio. Zum Glück hatte die Mitarbeiterin ausversehen ihren tatsächlichen Chef angemailt…
Man geht davon aus, dass die Betrugsfälle weiter zunehmen werden – auch in Österreich. In welcher Form und mit welchen Versionen des Mailbetrugs allerdings gerechnet werden kann, ist nicht sicher. Sicher ist nur, dass sich die Methoden sofort anpassen, sobald ein bestimmter Bekanntheitsgrad erreicht ist.
Ähnliche Fälle hagelte es in letzter Zeit. Den größten Schaden erlitt der Nürnberger Autozulieferer Leoni, der ganze 40 Mio. an solche Betrüger verlor. Versicherer sind bereits alarmiert und profilieren sich langsam zu sog. „Experten für das Vertrauensschaden-Segment“. Bei der Vertrauensschadenversicherung Euler Hermes in Deutschland beläuft sich die Schadenssumme bereits auf 140 Mio. und die Tendenz ist steigend.
In Zeiten des zunehmenden Webbetrugs steigt auch die Flut an Betrüger-Mails, die täglich in die Postfächer der Unternehmen gelangen. Wer weiß, vielleicht haben auch Sie morgen schon das Vergnügen! Sowas kann man nie wissen…
Im Fall unserer eigenen Kunden ist das bereits Klappe die Zweite, was Überweisungsbetrug per E-Mail angeht. Daher legen wir Ihnen und all unseren Kunden immer wieder Folgendes nahe:
Kontrollieren Sie, ob es sich beim Absender wirklich um einen Kollegen/ die besagte Person handelt – gerade bei Geldgeschichten sollte man sich nicht einfach so darauf verlassen
Schauen Sie immer auf die E-Mail Adresse des Absenders: oft ist sie das erste Indiz für einen Betrug
Achten Sie auf logische Zusammenhänge und Sprache der Mail: Drücken sich bekannte Personen so aus? Klingt Wortwahl etc. vertraut? Existiert das Projekt überhaupt, wofür Geld benötigt wird?
Ist die gewohnte Signatur am Ende der Mail? (Normalerweise gibt es für firmeninterne E-Mail Adressen eigene Signaturen – kommt eine Mail von außerhalb, sollte dies sofort an der fehlenden Signatur erkennbar sein; Wir bei klenner.at nutzen u.a. auch ein solches Tool, das einigen Fallen entgegenwirken kann)
und das wichtigste: Besprechen Sie solche wichtigen Angelegenheiten vorher persönlich! Nichts geht über den persönlichen Kontakt. Wenn Sie den besagten Kollegen anrufen, werden Sie sicher schnell merken, ob dieser Ahnung hat wovon Sie reden ;)
Die letzte Instanz ist wie immer: gesunder Menschenverstand. Das heißt: Werden Sie misstrauisch, wenn sie das Gefühl bekommen, dass es derjenige eilig hat mit dem Geld und er Sie mehr oder weniger dazu drängen will die Überweisung jetzt und sofort zu erledigen. Oftmals kann man die Ungeduld förmlich zwischen den Zeilen lesen. Wenn Sie derjenige schon gleich zu Anfang nach dem Kontostand fragt, wäre ich auch erstmal vorsichtig!
Nicht immer können solche Betrugsmaschen auf die ersten Blicke erkannt werden. Also seien Sie sicher, dass Sie zumindest alle möglichen Sicherheitsvorkehrungen getroffen haben, damit so etwas gar nicht erst in Ihren Posteingang kommt. Allerhöchstens darf sich Ihr Spam-Ordner drüber freuen…
Wir verwenden Cookies, um unsere Website und unseren Service zu optimieren.
Funktional
Immer aktiv
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Vorlieben
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistiken
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
