Cyberkriminelle veröffentlichen gestohlene Nacktfotos von Prominenten. Eine kritische Sicherheitslücke in vielen WordPress-Themes erlaubt es Angreifern, beliebige Dateien vom Webserver herunterzuladen und so im schlimmsten Fall etwa Nutzerdaten aus dem Shopsystem auszulesen. Solche Nachrichten gehören anscheinend mittlerweile zu unserem Alltag. Dabei gibt es einfache und kostenfreie Wege, die eigene IT/Internet-Sicherheit zu erhöhen.
Es ist verlockend: Da geistern angeblich Nacktfotos unserer Lieblingsstars durchs Netz und wider besseren Wissens würden wir doch gerne einen Blick riskieren. Eine Mail will diesen Wunsch erfüllen, doch beim Öffnen bittet sie uns, den notwendigen Codec zu installieren. Oder wir klicken auf einen Link und landen auf einer mit Schadprogrammen verseuchten Seite. Einmal unachtsam und schon wird der eigene Rechner beispielsweise Teil eines ferngesteuerten Bot-Netzwerks und kann dann für kriminelle Handlungen wie Spam-Versand, Virenverbreitung, DDoS-Attacken oder für Wirtschaftsspionage missbraucht werden.
Foto: eco e.V.
Schadprogramme auf Rekordniveau
Im 2. Halbjahr 2013 stieg die Anzahl neuer Malware im Vergleich zum ersten Halbjahr laut G Data um 24 Prozent auf 1.874.141. Das Jahr 2013 brach demnach bezogen auf die Anzahl neuer Schadprogrammtypen erneut alle vorherigen Rekorde und schloss mit einer Gesamtzahl von 3.384.075. Die Chance, selbst ein Opfer zu werden, ist somit größer, als viele Internetanwender erwarten. Besonderes Risiko herrscht beim Besuch von Pornografie-Webseiten, was beim Stichwort Nacktfotos nahe liegt. An der Spitze der infizierten Internetseiten finden sich aber welche der Kategorien Technologie/Telekommunikation und Wirtschaftsleben - vor allem Downloadportale und Newsangebote mit Adservern. Aber auch die Webauftritte kleiner und mittelständischer Unternehmen (KMU) sind oft ein leichtes Opfer, denn diese investieren häufig am Anfang Zeit und Geld, bis sie einen zufriedenstellenden Internetauftritt haben - und haken das Thema gedanklich ab. Dabei verhält es sich wie mit einem Auto: Die einmalige Investition reicht nicht. Erst die Pflege sorgt dafür, dass man langfristig davon profitiert und es sicher nutzen kann.
Foto: G Data SecurityLabs
Beim Webseiten-Check der Initiative-S sind mittlerweile mehr als 27.000 Domains eingetragen, die täglich auf Malware geprüft werden. Dabei werden die Experten auch jeden Tag fündig und das nicht nur einmal, sondern im Schnitt sogar dreimal. Der kostenfreie Service für KMU ist ein Angebot des eco - Verband der deutschen Internetwirtschaft e.V., der durch das Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative "IT-Sicherheit in der Wirtschaft" gefördert wird. Alle entdeckten Infektionen konnten schnell behoben werden. Das Problem ist, die Unternehmen dafür zu sensibilisieren, ihre begrenzten Ressourcen Zeit und Manpower dafür zu nutzen, ihre IT/Internet-Sicherheit zu erhöhen. Macht man ihnen bewusst, welche Konsequenzen das bedeuten kann - von Umsatzverlusten über Imageschäden und Haftung für Fremdschäden bis hin zum Totalausfall von Webauftritt, Onlineshop oder Hardware - werden sie hellhörig. Sensibilisierung reicht aber nicht, sie müssen selbst aktiv werden und die Lösungen und hilfreichen Tools sind vielfältig.
Fehlende Aktualisierung als Sicherheitsrisko
Rund 1,2 Millionen Besucher informierten sich allein 2013 auf botfrei.de über aktuelle Bedrohungen, Werkzeuge und Sicherheitsprodukte, im Forum gab es rund 30.000 neue Beiträge zu mehr als 2.000 Themen. Hinzu kamen tausende Anfragen per E-Mail und Telefon. Rund 300.000 Anwender luden
sich zudem den EU/DE-Cleaner herunter, um ihren PC von Schadprogrammen zu säubern. Dieser fand auf rund 35 Prozent der überprüften Systeme Infektionen mit Malware und somit mehr als 2012, wo er nur bei circa 33 Prozent fündig wurde. Bei etwa 22 Prozent aller 2013 geprüften Systeme waren die Internetbrowser selbst inaktuell. Bei den Plug-Ins, die 90 Prozent aller Infektionen ausmachen, lag die Zahl sogar noch höher: 38 Prozent nutzten veraltete Java-Versionen, bei 32 Prozent war Adobe PDF nicht auf dem neuesten Stand. 2014 gab es bereits Monate, in denen die Infektionsrate bei den überprüften Systemen über 40 Prozent lag.
Für die Ursache der Sicherheitslücke in den WordPress-Themes - ein Fehler im Plug-In Slider Revolution - gibt es schon seit Februar Abhilfe. Doch viele wissen gar nicht, dass ihr WordPress-Theme betroffen sein könnte und haben dementsprechend keine Aktualisierung vorgenommen. Eine weitere große Sicherheitsbaustelle ist Windows XP, das mit zwölf Prozent immer noch Platz 3 der verwendeten Betriebssysteme belegt. Dabei hat Microsoft den Support bereits im Frühjahr eingestellt und veröffentlicht nicht länger Updates. Sicherheitslücken werden somit nicht mehr geschlossen, die Nutzung des Betriebssystems kann zur Gefahr werden.
Verschlüsselung als Abhörschutz
Sowohl beim Transport als auch bei der Speicherung sensibler Daten sollten Verschlüsselungstools eingesetzt werden. Doch die meisten Unternehmen und Privatanwender nutzen die verfügbaren Lösungen falsch oder gar nicht, denn die Software ist häufig kompliziert und die Kenntnisse der Nutzer unzureichend. Geheimdienste und auch Hacker haben entsprechend leichtes Spiel und können vertrauliche Informationen sowie wertvolle Daten ohne großen Aufwand auslesen.
IT-Unternehmen sind daher aufgerufen, Benutzern den Einsatz von Verschlüsslungen mit intuitiv bedienbaren Lösungen so einfach wie möglich zu machen. Gleichzeitig sind aber auch die Anwender selbst gefragt, sich umfassend zu informieren und Verschlüsselungsmaßnahmen konsequent zu nutzen. Viele Softwarelösungen beinhalten bereits standardmäßig Verschlüsselungsfunktionen, welche lediglich aktiviert und genutzt werden müssen. Aber wie viele Anwender haben etwa bei ihrem Mac händisch in den Sicherheitseinstellungen den Verschlüsselungsdienst FileVault aktiviert?
- http://forum.botfrei.de
1. Alle Geräte des Netzwerkes regelmäßig mit der vorhandenen Antivirenlösung im vollständigen Suchlauf überprüfen. - http://forum.botfrei.de
2. Zusätzlich die Rechner mit einem passiven Zweite-Meinung-Scanner wie beispielsweise den kostenfreien EU-Cleanern von Avira und SurfRight (www.botfrei.de/eucleaner.html) überprüfen – gerne auch mit beiden, da diese unterschiedliche Probleme erkennen. - http://forum.botfrei.de
3. Alle Zugangsdaten regelmäßig von einem sicheren und virenfreien Rechner aus ändern, nicht nur die von Server, Webseite und Mailkonto, sondern auch zum Beispiel von Facebook, Amazon, Online-Banking usw. Wenn kein anderer „sauberer” Rechner vorhanden ist, kann dies auch mit einem Linux-Livesystem (http://wiki.ubuntuusers.de/Desktop-CD) oder mit der aktuellen Antibot DVD 3.5.1 (www.botfrei.de/rescuecd.html) über die integrierte Desktopumgebung sicher erfolgen. - http://forum.botfrei.de
4. Darüber hinaus den Browsercheck von Check & Secure (www.check-and-secure.com) durchführen, um zu prüfen, ob der Router Sicherheitslücken aufweist und wie aktuell die installierten Versionen der Browser sowie der darin installierten Plug-Ins sind. - http://forum.botfrei.de
5. Aktuelle Service Packs und Sicherheitsupdates installieren, Software stets aktuell halten und alte Software vom System entfernen. Hierfür gibt es hilfreiche Software-Updater wie den Heimdal Security Agent (http://blog.botfrei.de/tools). - http://forum.botfrei.de
6. Nicht (mehr) benötigte Benutzerkonten löschen/deaktivieren. - http://forum.botfrei.de
7. Vertrauliche Daten verschlüsselt übertragen *und* diese dann auch NUR verschlüsselt in Datenbanken speichern. - http://forum.botfrei.de
8. Software nur aus vertrauenswürdigen Quellen beziehen. - http://forum.botfrei.de
9. Den eigenen Webauftritt regelmäßig auf Manipulationen durch Dritte und Schadcode überprüfen (lassen), zum Beispiel mit www.initiative-s.de. - http://forum.botfrei.de
10. Nicht benötigte Serverdienste deaktivieren und Ports schließen.
Ein ganz sensibles Thema ist dabei die Speicherung von Daten in der Cloud. Hier sollte zunächst genau überlegt werden, welche Informationen dorthin ausgelagert werden. Dabei sollte darauf geachtet werden, dass bei mancher Software oder einigen Apps Daten automatisch in der Cloud gesichert werden. So berichteten einige Medien, die gestohlenen Nacktfotos der Prominenten seien mit dem iPhone aufgenommen worden und den Usern war nicht bewusst, dass diese auch online in der iCloud abgelegt wurden.
Wird eine Cloud-Lösung genutzt, sollten die Daten am besten bereits lokal verschlüsselt werden. Hierfür gibt es kostenfreie Lösungen wie Truecrypt oder BoxCryptor. Sofern möglich sollte die Übertragung in die Cloud dann ausschließlich über eine gesicherte https-Verbindung erfolgen, besser noch mithilfe einer VPN-Lösung wie beispielsweise Steganos. All das ist immer noch keine 100-prozentige Sicherheitsgarantie. Doch das Ausspionieren durch Geheimdienste und Hacker wird deutlich schwieriger, teurer und zeitaufwändiger. (bw)