Eine App in aller Munde: Der überwältigende Erfolg des mobilen Augmented-Reality-Spiels Pokémon Go fördert nicht nur den Spieltrieb, sondern auch die Machenschaften von Hackern und Kriminellen.
Spielegigant Nintendo hat sich vor einiger Zeit dazu entschlossen, auch auf dem Mobile-Games-Sektor tätig zu werden, statt seine Produkte nur im Zusammenspiel mit der eigenen Hardware an den Mann und die Frau zu bringen. Mit dem Hype, den das erste App-Produkt Pokémon Go ausgelöst hat, haben auch die Japaner selbst nicht gerechnet. Doch wo der Hype tobt, sind meist auch Kriminelle und Hacker nicht weit.
Pokémon-Fake-Apps: Augmented-Reality-Gefahr?
Kurz nach dem US-Release der App Pokémon Go für iOS- und Android-Devices meldete sich der erste Security-Anbieter zu Wort. Bei Proofpoint hatte man bereits eine manipulierte Android-Variante des Games entdeckt, die einen Trojaner an Bord hatte. Insbesondere Pokémon-Fans die nicht in Australien, Neuseeland oder den USA leben, liefen Gefahr auf eine solche gefälschte App hereinzufallen, denn die offizielle Version war bis vor kurzem nur in genannten Ländern verfügbar.
Pokémon Go ist inzwischen auch im deutschen Google Play Store verfügbar. Neben der offiziellen App finden sich hier auch zahlreiche Pokémon-"Guides", -"GPS Apps" und -"Tutorials".
Die Security-Spezialisten von RiskIQ zählen inzwischen über 170 Fake-Apps die im Zusammenhang mit Pokémon Go stehen. Chad Salesbury, Spezialist für mobile Malware bei RiskIQ, schätzt rund die Hälfte dieser Apps, die den Spielern unter anderem Cheats, Tipps oder Songs aus dem Game versprechen, als risikobehaftet ein. Und selbst wenn diese Versprechen eingelöst werden: die gefährlichen Apps verlangen in der Regel umfassende Zugriffsrechte - etwa auf Kamera, Kontaktlisten oder Social-Media-Accounts. Generell ist jede Art von persönlichen Daten für Cyberkriminelle und Hacker verwertbar - sei es durch Missbrauch oder Verkauf.
Salisbury hat nach eigenen Angaben auch eine Pokémon-Fake-App aufgespürt, die den Spielern zwar Cheats für das mobile Augmented-Reality-Spiel liefert, dafür aber auch die Berechtigung einholt, SMS zu verschicken. Angreifer könnten diese Funktion nutzen, um Textnachrichten an teure Sondernummern zu verschicken und so Geld zu generieren. "User die inoffizielle Apps herunterladen sind sich meist nicht im Klaren darüber, dass sie gerade dabei sind, sensible Daten aus der Hand zu geben. Sie denken, Produkte wie ein Pokémon Go Music Player seien harmlos", warnt Salisbury.
Die gefährlichste Malware 2015
CTB Locker Beim CTB-Locker handelt es sich um eine Kombination von Krypto- und Ransomware. Das Programm verschlüsselt die Dateien der betroffenen Unternehmen. Anschließend verlangen die Cyber-Kriminellen 3 Bitcoins (ca. 360 Dollar) Lösegeld für die Freigabe. Die Infizierung erfolgt in den meisten Fällen über eine E-Mail, die von der Adresse eines Firmenangestellten aus an das Management geschickt wird.
Angler Exploit Kit Exploit Kits gelangen über schadhafte Websites in das Netzwerk. Sie suchen nach Schwachstellen auf Webservern und nutzen diese zur Platzierung von Ransomware. Problematisch ist hierbei, dass Exploit Kits ihre Landing Page häufig wechseln, um IPS-Detection zu vermeiden.
Volatile Cedar Volatile Cedar (explosive Zeder) ist wahrscheinlich eine im Libanon verwurzelte Hacker-Gruppe. Als Hintergrund ihres Handels können politische Gründe angenommen werden. Bereits seit 2012 attackiert die Malware-Kampagne Einzelpersonen, Unternehmen und Institute weltweit.
AAEH/Beebone Es handelt sich hierbei um Schadsoftware, die weitere Malware nachlädt. Darunter befinden sich unter anderem Password Stealers, Rootkits, gefälschte Antivirus-Programme und Ransomware. AAEH wird unter anderem über Netzwerke, bewegliche Datenträger oder .zip- und .rar-Dateien verbreitet. Die Schadsoftware ändert ihre Form, sobald sie einmal installiert wurde und verteilt sich mit großer Geschwindigkeit über das gesamte System. Sie stiehlt Zugangsdaten für Online-Services wie Bank-Accounts und erpressen mit Datenverschlüsselung Geld von den Betroffenen.
Simda Das Simda Botnet ist ein Netzwerk von infizierten Computern. Malware aus diesem Botnet verbreitet sich selbstständig. Bereits 770.000 Geräte wurden weltweit angegriffen. Seit 2009 attackieren Cyber-Kriminelle einzelne Geräte mit Schwachstellen und infizieren sie mit der Simda-Malware. Diese leitet Benutzer auf schädliche Websites weiter und lädt zusätzliche Malware herunter. Die Hacker steuern das kompromittierte System von außen und führen weitere Attacken aus oder verkaufen die Steuerung an andere Cyber-Kriminelle.
Logjam Der Angriff richtet sich auf den Diffie-Hellman-Key, der für eine sichere Verbindung zwischen zwei Kommunikationspartnern sorgt. Logjam reduziert die Verschlüsselung dieser Verbindung, so dass Hacker Inhalte mitlesen und geteilte Daten modifizieren können.
Matsnu Matsnu ist eine Schadsoftware, die als Hintertür fungiert, sobald sie ein System infiltriert hat. Sie ist in der Lage, jeden beliebigen Code hochzuladen und auszuführen. Dieser verschlüsselt dann Dateien oder stiehlt sensible Daten. Die Malware kommuniziert über DGA (Domain Generation Algorithm)-Technik mit dem C&C-Server. DGA erschwert das Blocken schadhafter Netzwerkaktivitäten, indem es ständig neue Domains erzeugt.
Certifi-gate „Certifi-gate“ gewährt Cyber-Kriminellen heimlich uneingeschränkten Zugriff auf ein mobiles Endgerät. Dazu werden Remote Support Apps missbraucht, die in der Regel über solche Rechte verfügen. Bösartige Anwendungen ermöglichen eine Ausweitung der Nutzerrechte und Zugriff auf persönliche Daten durch die Hacker. Dadurch können sie eine Reihe von Aktivitäten einleiten, die normalerweise nur dem Geräteinhaber zur Verfügung stehen. Die Installation von Apps, die Verfolgung des Nutzerstandorts oder die Aufnahme von Gesprächen über das Mikrofon sind nur einige Beispiele.
Sality Gambling Campaign Sality installiert einen Virus, Trojaner oder Wurm auf einer Festplatte. Es verfügt über Selbstverbreitungsmechanismen, die auf USB-Devices und Netzwerkordner übergreifen. Darüber hinaus kann die Malware Services und Prozesse beenden und ist in der Lage, als Server zu fungieren.
BrainTest Diese Malware ist in einer Android Game-App namens BrainTest verpackt war. Es wurden bis zu ihrer Entfernung aus dem Google Play Store Mitte September bis zu 500.000 infizierte Apps heruntergeladen. Auch nach deren Deinstallation erschien die Malware kurze Zeit später wieder auf den betroffenen Geräten. Analysen ergaben, dass sie fortschrittliche Techniken verwendet, um die Google Play Malware Detection zu umgehen und die Kontrolle über gehackte Geräte zu behalten. Zu diesem Zweck wird ein Rootkit auf dem Device installiert, das den Download und die Ausführung jedes beliebigen Codes ermöglicht. So kann zum Beispiel Werbung auf Geräten gezeigt oder sensible Daten gestohlen werden.
XCodeGhost XCodeGhost ist eine kompromittierte Version der iOS Entwicklerplattform XCode. Diese wurde dabei so verändert, dass sie jede App, die mit ihrer Hilfe programmiert wird, mit Malware infiziert. Die verseuchten Apps werden von den Hackern gesteuert und fischen Userdaten oder öffnen spezielle URLs, die Schwachstellen in iOS-Systemen oder anderen iOS-Apps aufspüren und ausnutzen. Sie lesen Daten, wie beispielsweise Passwörter, aus der Zwischenablage aus und versuchen, Credentials aus der iCloud zu stehlen. Die schadhafte Version von XGhost liegt nicht auf iTunes selbst; sie kann nur von anderen Plattformen heruntergeladen werden.
Pokémon Go: Deutschland-Release für iOS & Android
Seit diesem Mittwoch steht Pokémon Go nun auch im deutschen Google Play Store und AppStore zum Download zur Verfügung. Die Gefahr, Opfer von Malware und Datendiebstahl zu werden mag durch den offiziellen Release gesunken sein, doch die Natur des Pokémon-Spiels fördert noch ganz andere Praktiken zu Tage. Aufgabe des Spielers ist es nämlich, digitale Pokémons in der realen Welt zu finden und einzufangen. Um die kleinen Fantasie-Viecher anzulocken, lassen sich digitale Lockstoffe in der realen Welt "ablegen" - quasi Geocaching mit Pokémons.
In O’Fallon, Missouri, USA berichteten verschiedene Medien von einem Vorfall, der beweisen soll, dass Kriminelle Pokémon Go für ihre Zwecke nutzen. Scheinbar hatte eine Bande von Straßenräubern ihre Opfer mit der Nintendo-App lokalisiert, angelockt und diese anschließend ausgeraubt. Die Täter wurden später von der Staatsmacht aufgespürt, wie das Police Department auf seiner Facebook-Präsenz verkündet. Sie werden verdächtigt, weitere Raubüberfälle nach demselben Muster durchgeführt zu haben. Das O’Fallon Police Department warnt daher: "Wenn Sie diese App (oder andere dieser Art) nutzen oder Kinder haben, die dies tun, bitten wir Sie Vorsicht walten zu lassen, wenn Sie Fremde über ihren Aufenthaltsort informieren".
Pokémon-Go-Tipps: Sicheres AR-Vergnügen
Doch es gibt auch Stimmen, die die Warnungen vor Malware und Datendiebstahl für überzogen halten. So zum Beispiel die Experten des finnischen Security-Anbieters F-Secure. Deren Sicherheitsberater Sean Sullivan wird im Unternehmensblog bezüglich des oben genannten Raubüberfalls in den USA zitiert: "Die Räubergeschichte ist Unsinn und wurde gehypt. Die Presse konnte nicht widerstehen über die Geschichte zu berichten."
Auch mit dem zuletzt aufgekommenen Vorwurf, App-Entwickler Niantic könne über Pokémon Go die Inhalte von Google-Accounts einsehen oder abgreifen, räumt Sullivan auf. Dass App-Hersteller auf E-Mail-Adresse, IP-Adresse, besuchte Webseiten und Standort der Nutzer zugreifen kann, sei zwar möglich und auch zu diskutieren, allerdings sei eine solche Praxis "typisch für die meisten Apps", wie der Security-Experte preisgibt. Auch die "Süddeutsche Zeitung" war in einem Artikel auf den Google-Zugriffsvorwurf gegen Niantic eingegangen und hatte dabei Entwarnung gegeben: "Wer Pokémon Go spielt, muss sich keine Sorgen um seine Daten machen." Verschiedene Medien hatten berichtet, die Entwickler des Spiels hätten vollständigen Zugriff auf die Google-Konten ihrer Nutzer. Tatsächlich handelte es sich dabei um einen Bug in der iOS-Version - die Pokémon-Go-App hatte mehr Zugriffsberechtigungen als nötig angefordert. Inzwischen ist dieser Fehler behoben.
Völlig sorglos sollten Pokémon-Go-Begeisterte trotzdem nicht mit der gehypten App umgehen. F-Secure empfiehlt, in jedem Fall die eigenen Datenschutzeinstellungen zu überprüfen und notfalls auch ein Gmail-unabhängiges Google-Konto zu erstellen. Sicherheitsanbieter G Data hat hingegen einige Tipps für Pokémon-Begeisterte zusammengetragen, die Wert auf IT-Sicherheit legen. Diese wollen wir Ihnen natürlich nicht vorenthalten:
Installieren Sie nur Apps aus vertrauenswürdigen Quellen
Schützen Sie Ihr Gerät mit Sicherheits-Software
Prüfen Sie die Berechtigungen, die Apps bei der Installation anfordern
Behalten Sie Ihre Privatsphäre im Blick: GPS-Koordinaten werden nicht nur an die Entwickler weitergegeben, sondern unter Umständen auch an andere, fremde Personen, die ebenfalls User sind
Vermeiden Sie Kostenfallen durch sogenannte Mikro-Transaktionen oder In-Game-Käufe
Techconsult-Studie Mobile Security
Mobile Anwendungen Die Mobilisierung von Geschäftsprozessen bekommt einen immer größeren Stellenwert für Unternehmen.
Mobile Probleme Gleichzeitig hat die Mehrheit der Firmen massive Probleme mit der Umsetzung.
Berufliche - private Nutzung/Geräte Die Nutzungsformen ByoD und COPE sind in den meisten Unternehmen inzwischen etabliert.
Mischung von privaten und geschäftlichen Daten Mangels geeigneter Lösungen nehmen viele Unternehmen eine Vermischung privater und geschäftlicher Daten in Kauf.
Pokémon-Jagd: Tipps für die physische Sicherheit
Neben Datenschutz- und IT-Security sollten Pokémon-Go-Fanatiker unbedingt auch auf ihre physische Sicherheit achten. Glauben Sie nicht? Hier bitteschön, die bislang kuriosesten Pokémon-Go-Unfälle:
Pokémon Go: Tipps für die physische Sicherheit
Cliffhanger Zwei junge Männer waren Mitte Juli dermaßen ergriffen vom Pokémon-Fieber, dass Sie bei der Jagd nach Pikachu und Co. glatt eine Klippe übersehen haben. Nach dem knapp 30 Meter tiefen Sturz mussten beide Beteiligte in ein Krankenhaus eingeliefert werden. Halten Sie sich also beim Pokémon-Vergnügen fern von Klippen, Abhängen und dergleichen.
Abenteuer im Gehege Mit der Aussicht auf besonders seltene Pokémon-Exemplare fallen alle Hemmungen: Zwei Jugendliche sind wegen eines raren Mönsterchens mitten in der Nacht kurzerhand in den Zoo von Toledo (US-Bundesstaat Ohio) eingebrochen. Beide müssen sich nun vor Gericht verantworten. Ob die Monsterjäger auch ins Reptiliengehege gesprungen wären? Beim derzeitigen Ausmaß des Pokémon-Hypes durchaus denkbar.
Das bisschen Fahren... Die Kombination von Autofahren und irgendwelchen anderen Dingen ist per se unglücklich. Das gilt ganz besonders für das Spielen von Pokémon Go während der Fahrt. Ein 28-Jähriger wickelte - während er Pokémons jagte - sein Auto um einen Baum. Glücklicherweise überstand er den Unfall ohne ernsthafte Verletzungen. Die Karre ist allerdings Schrott. Sein eigenes Leben so aufs Spiel zu setzen ist schon - naja - dumm. Wer aber während der Fahrt zockt, setzt auch das Leben Anderer aufs Spiel.
Gruftie-Revival? Die Pokémons sind überall zu finden, ist schon klar. Deswegen muss man sie aber nicht überall jagen. Friedhöfe, Gedenkstätten und Museen sind ein denkbar schlechter Ort für Pokémon-getrieben Jubelausbrüche. Das durften auch Pokémon-Verrückte im Holocaust-Museum in Arlington, Virginia erfahren haben. Physische Gefahr droht einerseits durch scharfkantige Gegenstände (Grabsteine, Schaukästen, etc.), andererseits durch andere Besucher, die die Sache vielleicht nicht ganz so locker sehen.
Lass Dich überraschen Nicht nur in der virtuellen Welt entdecken Kriminelle den Pokémon-Hype für sich - auch die Gauner der realen Welt. In St. Louis, USA wurden mehrere Mobile Gamer ausgeraubt. Die Gangster hatten Sie zuvor, offensichtlich ganz gezielt, über die Pokémon-Go-App auf einen verlassenen Parkplatz gelockt. Lassen Sie also Vorsicht walten, wenn Sie in abgelegenen Gebieten auf die Jagd gehen. Insbesondere nachts.
See-Erfahrung Ähnlich wie die beiden Cliffhanger hatte ein Pokémon-Fan vor lauter Ergriffenheit übersehen, dass er auf einen See zuläuft. Das Beste an dieser Geschichte: das wasserintensive Mißgeschick wurde auf YouTube für die Ewigkeit festgehalten.
Datenschutz: Neue Geschäftsmodelle mit Pokémons?
Sicher ist jedenfalls, dass der unerwartete Erfolg von Pokémon Go dafür sorgen wird, dass Kriminelle und Cyberkriminelle nach Wegen Ausschau halten, die massive User-Basis des AR-Games auszubeuten. Die Zukunft der populären App könnte allerdings auch ohne das Zutun von Kriminellen weiterhin von Datenschutz-Bedenken geprägt sein, wie die "New York Times" berichtet: "Die Ansiedelung des Spiels in der realen Welt eröffnet Niantic neue, spannende Möglichkeiten, Geld zu verdienen. Fast-Food-Restaurants, Coffee Shops und andere Einzelhändler könnten künftig zu gesponserten Locations werden, die die Spieler mit virtueller Beute anlocken."
Wie Tech Crunch berichtet, sollen die ersten gesponserten Locations mit dem Japan-Release von Nintendos Hit-Game kommen. Demnach hat Nintendo einen Deal mit dem Fast-Food-Riesen McDonald’s abgeschlossen, der alle rund 3.000 Restaurants im Land der aufgehenden Sonne zu virtuellen Pokémon-Trainingsräumen macht. Wie Bloomberg berichtet, hat alleine die Nachricht von der Kooperation dafür gesorgt, dass die Aktien von McDonald’s Japan um satte 23 Prozent an Wert zugelegt haben - der größte Zuwachs seit 2001.
F-Secure bringt mögliche Folgen einer solchen Entwicklung auf den Punkt: "Diese Partnerschaften könnten neue Sorgen entfachen über das Teilen der Standortdaten der Spieler mit Werbepartnern. Aber derzeit scheinen die Menschen überaus bereit zu sein, in die Welt hinaus zu gehen und sich selbst als Pokémon-Go-Spieler bekanntzumachen."
Die Polizei Bochum erwischte einige Stunden nach dem Deutschland-Release von Pokémon Go den ersten Autofahrer bei der Monsterjagd während der Fahrt. Foto: KeongDaGreat - shutterstock.com
Damit hat auch die deutsche Polizei bereits erste Erfahrungen gesammelt: Wie die Polizei Bochum mitteilt, wurde schon kurz nach dem Deutschland-Release von Pokémon Go der erste Autofahrer erwischt, der am Steuer auf der Jagd nach Pokémons war. Die Folge für den 24-jährigen: eine Ordnungswidrigkeitenanzeige. Merke: "Don't Pokémon and drive!"
EU-Datenschutzreform 2016: Die wichtigsten Änderungen
Ein Gesetz für alle EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.
"Recht auf Vergessen" Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.
"Opt-in" statt "Opt-out" Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).
Recht auf Transparenz Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.
Zugang und Portabilität Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.
Schnellere Meldung Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.
Weniger Behördenchaos Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.
Grenzübergreifend Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.
Erweiterter Geltungsbereich Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.
Höhere Bußgelder Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.
Bürokratieabbau Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.
Erst ab 16 Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.
Stärkung der nationalen Aufsichtsbehörden Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)