AGS IT-Services – Wir zu Ihrem Nutzen. Sie haben Fragen oder wünschen weitere Informationen? Nehmen Sie Kontakt auf.

0711 220965-0 | Fax 0711 220965-99

Rudolf-Diesel-Str. 22, 73760 Ostfildern

Mo – Fr 8.00 – 17.00h

0711 220965-0 | Fax 0711 220965-99

Rudolf-Diesel-Str. 22 – 73760 Ostfildern

Top

Netzwerk-Sicherheit. Gefährliches IOT

Welche Risiken ein Kunde durch den Betrieb eines IoT – oder Smart-Home-Geräts eingeht, verheimlichen die Hersteller konsequent: Versteckte Sensoren, Dienste und Funktionen, mit Standard-Passwort oder gar nicht abgesichert, deren Existenz Spezifikationen, Bedienungsanleitungen und Verpackung verschweigen. Für Hacker ist dies ein Paradies, in dem sie sich ungestört breitmachen, Daten abschöpfen und Geräte für Angriffe missbrauchen können. Sogar Geld lässt sich damit verdienen: Im Darknet gibt es unzählige DDoS-Anbieter, die für eine Handvoll Euro Ziele für Tage oder Wochen aus dem Internet schießen. Ein Megasat Sat-IP-Server mit seinem Root -Zugang und Gigabit-Ethernet ist wie dafür geschaffen. Genauso wie für Angriffe auf andere Geräte aus dem Netz.

Ein IoT-Gerät ist für den Besitzer eine Blackbox, deren exakte Funktionen und deren Sicherheit er nicht überblicken kann. Für das lokale Netzwerk, in dem private Dokumente und Bilder kursieren, eine nicht einzuschätzende Gefahr. Deshalb gehören IoT-Geräte grundsätzlich in ein eigenes Netzwerk verbannt, und zwar am besten jede Geräteklasse für sich. WLAN-Access-Points mit Multi-SSID- und VLAN-Unterstützung sowie VLAN-fähige Switches sind für einen verantwortungsbewussten Betrieb ebenso unverzichtbar wie Router und Firewalls, die die einzelnen Netze gegeneinander abschirmen. Das sind die versteckten Kosten für die Annehmlichkeiten eines Smart-Home.

 

Quelle c’t 2017

Warum sollte man sich komplizierte Passwörter merken, wenn man doch einzigartige Merkmale mit sich herumträgt? Schon jetzt lassen sich Smartphones per Fingerabdruck entsperren, mit der Iris, oder gleich dem ganzen Gesicht. Das Kreditkarten-Unternehmen Mastercard möchte, dass sich Kunden mit einem Zwinkern identifizieren und nennt das „Selfie Pay“. Andere Ideen zur Identifikation reichen vom Herzschlag über Venenerkennung bis zum Lächeln.

Allerdings ist die Stärke von biometrischen Passwörtern gleichzeitig ihre Schwäche: die Einzigartigkeit. Wenn ein Passwort gestohlen wird, können Nutzer es einfach ändern. Aber wie soll man einen Fingerabdruck oder ein Gesicht ändern, wenn Kriminelle dieses Merkmal erbeutet haben?

Gerade Fingerabdrücke lassen sich einfach kopieren. Wenn auf Fotos die Finger von vorne zu sehen sind, lassen sie sich nachmachen. Das hat der Chaos Computer Club bereits 2014 gezeigt, als die Hacker den Daumen der Verteidigungsministerin Ursula von der Leyen kopierten. Ist die Foto-Auflösung hoch genug, lassen sich Abdrücke mit Photoshop bearbeiten und auf Folie drucken. Fertig ist der falsche Finger. Den Fingerabdruck von Finanzminister Wolfgang Schäuble konnten die Hacker kopieren, weil er ein benutztes Wasserglas im Raum gelassen hatte.

Viele Scanner lassen sich mit Fotos überlisten, nicht nur vom Fingerabdruck. Das geht auch mit Iris oder Gesicht. Im Zweifel also lieber auf das gute alte Passwort setzen – solange es nicht „passwort“ lautet.

Jedes Konto sollte mit einem eigenen Passwort geschützt werden. Denn können Kriminelle ein Passwort knacken, haben sie nur Zugriff auf den einen Account und nicht auf andere Konten des Nutzers. Aber Internetnutzer haben oft Dutzende Accounts: Bank, E-Mail, Schnäppchen-Webseite und so weiter.

Wie kann man sich die einzelnen Passwörter merken? Sie auf ein Post-it zu schreiben und an den Monitor zu heften: keine gute Idee. Neugierige Familienmitglieder oder Arbeitskollegen können so ganz einfach auf sensible Daten zugreifen, und es wird schnell unübersichtlich. Besser: Einen Passwort-Manager verwenden. So lassen sich auch Dutzende Konten recht einfach verwalten.

Die Programme heißen Lastpass, Keepass oder 1Password und sind für nahezu alle Computer- und Smartphone-Betriebssysteme zu haben. So lässt sich mit geringem Aufwand eine Passwort-Datenbank aufbauen. Der Nutzer muss sich nicht mehr zig Codes merken, sondern nur noch einen, nämlich das für den Passwort-Manager. Dieses Masterpasswort sollte selbstverständlich klug gewählt werden und möglichst lang und komplex sein.

Die Manager können auch selbst zufällige Passwörter generieren und lassen sich oft durch Erweiterungen mit dem Internet-Browser verbinden: Ein Klick, und man ist eingeloggt. Übrigens können Passwort-Manager auch mit anderen Daten gefüttert werden. Wlan-Schlüssel, Telefonnummern oder andere wichtige Informationen lassen sich so ebenfalls sicher aufbewahren.

Ein Bankkonto ist am Geldautomaten recht einfach gesichert: Die PIN besteht nur aus vier Zahlen. Trotzdem werden Konten nicht reihenweise leergeräumt. Das liegt an der Bankkarte. Nur Karte und PIN zusammen lassen einen Kunden Geld abheben. Wer nur eins von beiden hat, kommt nicht an das Geld. Online-Konten lassen sich nach dem selben Prinzip sichern – mit der Zwei-Faktor-Authentifizierung (2FA).

Mit 2FA wird eine zweite Sicherheitsstufe etabliert. Nutzer können sich nicht mehr anmelden, wenn sie nur das Passwort kennen. Sie müssen zusätzlich einen weiteren Code eingeben, der zum Beispiel per App oder SMS auf das Handy geschickt wird. So erfüllt das Smartphone die Funktion der Bankkarte. Kriminelle können mit dem Passwort alleine nichts mehr anfangen, sie müssten zusätzlich an das Handy des Betroffenen kommen, um sich in den Account einzuloggen.

Viele Webseiten bieten diesen zusätzlichen Schutz für Nutzerkonten bereits an, vor allem die Großen: Amazon, Microsoft, Apple, Facebook, Google und andere. Gerade wichtige Konten, die oft genutzt werden, sollten so gesichert werden. Meist lässt sich die 2FA in den Sicherheitseinstellungen mit wenigen Klicks aktivieren. Der zusätzliche Code ist schnell eingegeben. Am heimischen Rechner, wo Nutzer sich besonders oft einloggen, können sie 2FA auch deaktivieren, um sich ständige Abfragen zu ersparen.

Viele Angestellte kennen das: Die IT-Abteilung hat schon mehrmals den Tausch des Passworts verlangt, weil: “ Sicherheitsgründe“. Widerwillig haben die Mitarbeiter dann ihrem alten Passwort ein neues Ausrufezeichen hinzugefügt – schon das Sechste! Aber bringt es überhaupt etwas, regelmäßig neue Passwörter zu nutzen?

Im Prinzip ja, wenn man komplett neue Passwörter verwendet. Aber das tun nur die wenigsten, haben Forscher der University of North Carolina bereits 2010 herausgefunden. Denn ein Großteil der untersuchten Nutzer hat eben nur das vorherige Passwort ein wenig verändert. Aus „Password“ wird beispielsweise „Passw0rd“. Das hilft niemandem, denn Hackerprogramme probieren auch solche einfachen Änderungen durch. Außerdem neigen Menschen eher dazu, ein schwächeres Passwort auszuwählen, wenn sie wissen, dass sie es ohnehin bald ändern müssen.

Der Befehl aus der IT-Abteilung ist also gut gemeint, scheitert aber an den Mitarbeitern, die vor den Firmenrechnern sitzen. Der Mensch ist aus Sicht der IT-Sicherheit eine Schwachstelle. Der Nutzen der regelmäßigen Umstellung sei „relativ gering“, urteilen Forscher der Carleton University in Ottawa. Ihr Fazit: Der Mehraufwand durch die ständigen Passwortwechsel lohnt sich nicht. Man sollte Kennwörter lieber dann wechseln, wenn es einen Angriff gab und das Passwort gestohlen worden sein könnte. In so einem Fall sollte man dann schnell handeln.

Mythos 1: Passwörter brauchen möglichst viele Sonderzeichen

Ein gutes Passwort hat zwei Eigenschaften: Es ist für Angreifer schwer zu erraten und für Nutzer leicht zu merken. Kennwörter aus verschiedenen Buchstaben, Zahlen und Sonderzeichen sind zwar relativ sicher, aber schwer zu merken, etwa „(g93äZ?/“. Da dasselbe Passwort nicht auf mehreren Seiten verwendet werden sollte, kann es mit solchen Passwörtern schnell unübersichtlich werden.

Es gibt eine bessere Methode, die ebenfalls sehr sicher und dazu noch gut zu merken ist: lange Passwörter. Sie sind sicher, weil Kriminelle meist versuchen, Kennwörter durch das sogenannte Bruteforce-Verfahren zu knacken. Das bedeutet, sie probieren verschiedene Zeichenkombinationen systematisch durch – und zwar mehrere Millionen in der Sekunde. Dafür nutzen sie spezielle Tools, die zum Teil kostenlos im Internet zu finden sind. Jedes zusätzliche Zeichen im Kennwort erhöht die Sicherheit exponentiell. Es ist also besser, eine leicht zu merkende Passphrase, also einen „Satz“, zu kreieren, als ein einzelnes Passwort.

Aber nicht jede Phrase aus mehreren Wörtern ist dafür geeignet. „Sein oder Nichtsein, das ist hier die Frage“ ist ein langes Passwort, aber kein gutes. Denn der Spruch aus Shakespeares Hamlet ist sehr bekannt: Viele Hackerprogramme haben Sprüche oder andere prominente Sätze bereits eingespeichert und probieren sie durch. Auch persönliche Daten haben in einem Passwort nichts zu suchen, denn sie könnten erraten werden. „Mein Hund heißt Fifi“ oder „Ich wohne in Berlin“ sollte man daher nicht verwenden.

Besser: Auf den Zufall vertrauen. Eine sichere Phrase lässt sich beispielsweise mit einer Methode namens Diceware erstellen. Dabei würfelt man fünf Mal mit einem sechsseitigen Würfel – es ergibt sich eine fünfstellige Zahl, die für ein bestimmtes Wort steht. Das macht man mehrmals und verknüpft die Wörter mit Leerzeichen: „pflege themse deckel unruh kattun“ wäre so ein Zufallsergebnis. Diese Wortkombination gibt es weder bei Shakespeare noch in einem Spruchkalender. Listen mit einfachen Wörtern zur Diceware-Methode gibt es online.

Quelle: Sueddeutsche online> 04.05.2017

Drohen mit Datenmüll

Programme wie Locky, Teslacrypt oder Petya setzen den Nutzer unter Druck: Wenn er nicht zahlt, drohen seine E-Mails, Office-Dokumente und Fotos zu unlesbarem Datenmüll zu werden.

Zahlen mit Bitcoins

Die Erpresser verlangen in den meisten Fällen zwischen 200 und 800 Euro – es handelt sich also um Summen, die viele Nutzer zahlen können. Überwiesen wird das Geld in der Digitalwährung Bitcoin, die den Kriminellen Anonymität ermöglicht.

Freikaufen klappt manchmal…

Erfahrungsberichte zeigen, dass die Kriminellen nach der Zahlung des Lösegeldes durchaus Daten freigeben. Andernfalls würde ihr Geschäftsmodell mit der Zeit zusammenbrechen. Experten warnen allerdings, dass es häufig auch nicht klappt – das Geld ist trotzdem verloren.

… ist aber fragwürdig

Allerdings ist im Umgang mit Kriminellen nichts garantiert. Zudem sorgen Opfer mit ihren Zahlungen dafür, dass das Geschäftsmodell floriert – und so für die kriminellen Hacker ein Anreiz besteht, weiterzumachen. Es ist also eine Abwägung, die Betroffene vornehmen müssen

Entschlüsseln, aber nicht zahlen

Die Hacker setzen die Verschlüsselungstechnik oft nicht richtig ein. Dann haben Experten die Möglichkeit, sie zu umgehen und so die Daten wiederzustellen. Die Website id-ransomware.malwarehunterteam.com zeigt, ob ein Trojaner zu knacken ist.

Manchmal hilft Geduld…

Bis Experten eine Möglichkeit entwickelt haben, um die Ransomware zu umgehen, kann allerdings etwas Zeit vergehen. Wer die Daten unbedingt braucht, wird darin also keine Alternative sehen.

… immer hilft ein Backup

Die Erkenntnis ist banal, aber immer noch nicht weit verbreitet: Der beste Schutz gegen Ransomware sind regelmäßige Back-ups, also Datensicherungen. Selbst wenn andere Schutzmaßnahmen nicht greifen sollten, sind Nutzer nicht erpressbar.

Vorfall der Polizei melden

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert Ransomware-Opfer dazu auf, bei der Polizei eine Anzeige zu erstatten. Das hilft dabei, ein genaueres Bild vom Ausmaß der Kriminalität zu bekommen. Nutzer sollten dafür den Sperrbildschirm abfotografieren und rekapitulieren, was zur Infektion geführt haben könnte.

  • Quelle Handelsblatt Auszug aus Veröffentlichung

    Ransomware-Angriffe
    So wappnen sich Nutzer gegen Cyber-Erpresser 05-2017

  • Zehntausende Computer weltweit wurden von einem Erpressungstrojaner infiziert. Solche Software ist permanent im Netz unterwegs und hat Verbraucher und Unternehmen im Visier. Sie verschlüsselt den Inhalt des Windows-Computers und verlangt Lösegeld für die Freischaltung.

    Üblicherweise muss erst der Nutzer eines Computers dem Trojaner die „Tür“ in seinen Rechner öffnen, etwa wenn er einen präparierten Link in einer E-Mail anklickt. Bei der Attacke am Freitag nutzte die Software jedoch eine Sicherheitslücke im Microsoft-Betriebssystem Windows aus, über die sie automatisch neue Computer anstecken konnte. Diese Schwachstelle hatte sich einst der US-Abhördienst NSA für seine Überwachung aufgehoben, vor einigen Monaten hatten unbekannte Hacker sie aber publik gemacht.

    Doch, wurde sie – im Prinzip. Microsoft veröffentlichte bereits im März ein Update, das die Schwachstelle beseitigte. Dafür musste man das Update aber erst installieren. Viele Anwender klicken die Aufforderung zum Update einfach weg und kümmern sich nicht um die Sicherheit des PCs. So traf es nun Computer, auf denen das Update noch nicht aufgespielt wurde – oder Rechner mit dem veralteten Windows XP, für das es schon seit Jahren keine Aktualisierungen mehr gibt. Microsoft legte nun eilig ein Update auch für XP und zwei weitere Versionen auf. Das aktuelle Windows 10, mit dem neue Computer ausgeliefert werden, war von Anfang an nicht anfällig gewesen.

    Das heißt, es hätte nicht so schlimm kommen müssen?

    Ja, in diesem Fall hätte es gereicht, die Computer mit aktueller Software zu versehen.

    Warum passierte dies dann offensichtlich nicht überall?

    Verbraucher sind oft nachlässig, wenn es um Software-Updates geht. In Unternehmen ist ein Hindernis, dass zum Teil komplexe Strukturen aus Zehntausenden Computern gemanagt werden müssen. Auf ihnen muss manchmal auch noch Spezial-Software laufen, die mit neuen Systemen vielleicht gar nicht kompatibel ist. Und gerade bei einfachen Systemen wie Anzeigetafeln neigt man auch aus Kostengründen dazu, eher alte Rechner einzusetzen. Zum Teil laufen die Systeme auch noch mit Windows XP und können gar nicht umfassend aktualisiert werden.

    Ja, denn grundsätzlich gilt: Jedes Gerät ohne aktuellste Software ist ein Sicherheitsrisiko. Man ist als Verbraucher also auch auf die Gewissenhaftigkeit von Unternehmen und Behörden ringsum angewiesen. Und selbst dann ist man noch nicht auf der sicheren Seite, denn moderne Software ist so komplex, dass ständig neue Sicherheitslücken entdeckt werden. Manche werden von den Anbietern gestopft, bevor sie öffentlich bekannt werden. Andere werden von Geheimdiensten oder kriminellen Hackern entdeckt und ausgenutzt – so wie in diesem Fall zunächst von der NSA.

    Hätte die NSA also die Lücke nicht gehortet, sondern gleich Microsoft gemeldet, wäre dann nichts passiert?

    In diesem Fall jedenfalls wohl nichts. Und deshalb sehen sich IT-Experten bestätigt, die warnen, dass nicht geschlossene Sicherheitslücken am Ende eine Gefahr für alle darstellen. In den USA gibt es übrigens ein Regierungsgremium, das entscheidet, ob eine Schwachstelle geschlossen oder ausgenutzt werden soll. Meist werden die Hersteller informiert.

    Der Wurm Stuxnet, der vor rund einem Jahrzehnt das iranische Atomprogramm sabotierte, demonstrierte bereits, dass auch Industrieanlagen manipuliert werden können. Das Bewusstsein ist da und gerade in kritischen Infrastrukturen wie Versorger, Telekommunikation, Verkehr oder Finanzwesen wird verstärkt auf Sicherheit geachtet. So waren bei Telefónica und dem Energiekonzern Iberdrola in Spanien oder der Deutschen Bahn auch nur Randsysteme betroffen. Bisher wurde laut Experten nachweislich nur ein Fall in der Ukraine bekannt, in dem ein Energiesystem durch einen Hackerangriff in die Knie gezwungen wurde.

    Die Software immer auf dem neuesten Stand halten, ist heutzutage die absolute Mindestanforderung, betont Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. Außerdem sollte man eine Firewall einsetzen, die den Datenverkehr überwacht – auch innerhalb des eigenen Netzwerks, damit ein Gerät nicht andere anstecken kann. Schließlich sollte man die jahrelangen Warnungen von Experten beherzigen, nicht übereilt auf Links in E-Mails zu klicken.

    Im Idealfall hat man auch als Privatnutzer ein frisches Backup, aus dem man den Computer wiederherstellen kann. „Dann fehlen vielleicht die Fotos vom letzten Wochenende, aber es ist nicht alles verloren“, sagt Candid Wüest vom Sicherheitssoftware-Anbieter Symantec. Die Firmen und auch die Behörden raten grundsätzlich davon ab, den Kriminellen Lösegeld zu zahlen, um deren Geschäft nicht zu befeuern. Manchmal – eher selten – gelingt es sogar, die Verschlüsselung der Angreifer zu knacken. Privat zeigen aber auch Experten Verständnis für Nutzer, die am Ende die geforderten Bitcoins bezahlen. Denn: „Was soll man anderes machen, wenn ansonsten alle Daten verloren gehen?“ Doch selbst wenn man zahlt, ist keinesfalls garantiert, dass man einen Schlüssel erhält, mit dem man wieder auf seine Daten zugreifen kann.

    Quelle. Handelsblatt 05-2017

     

     

 

Fakt: Jeder Computernutzer besitzt wertvolle Daten. Und seien es nur lokal gespeicherte Passwörter fürs Online-Banking, Kreditkartendaten, E-Mail- oder Web-Accounts. Diese Infos sind gerade für Identitätsdiebe äußerst wertvoll.

Mythos: AV und Firewall genügen dann aber auch, um meinen Computer sicher zu machen.

Fakt: Jede installierte Software birgt potenzielle Schwachstellen und sollte mit Updates auf dem Stand gehalten werden – das gilt für Security-Software ebenso wie für jede andere Applikation. Wichtig ist auch, dass persönliche Passwörter und weitere Informationen über einen selbst vertraulich und sicher aufbewahrt werden.

Mythos: Ich habe die kritischen Daten auf meiner Festplatte gelöscht – nun sind sie weg.

Fakt: Auch wenn die Datei nicht mehr angezeigt und gefunden wird, ist doch nur der Verweis darauf entfernt worden. Die eigentliche Information ist noch solange auf der Festplatte gespeichert, bis sie mit einer neuen überschrieben wird. Erst mit speziellen Wipe-Tools, die Festplatten sektorweise überschreiben, werden Daten endgültig gelöscht.

Mythos: Gefährliche Websites lassen sich direkt erkennen.

Fakt: Cyberkriminelle tun alles, um eben das zu verhindern. Die besten entwickeln Websites, die seriös und professionell aussehen – oft sogar vertrauten Angeboten eins zu eins gleichen, um die Besucher zu täuschen. Und dann reicht ein einziger kompromittierter Link, und der ahnungslose Besucher sitzt in der Falle.

Mythos: Ich bekomme es mit, wenn mein Computer infiziert oder unterwandert wurde.

Fakt: Früher vielleicht ja, heute nur noch bei schlecht gemachten Attacken. Die Entwicklung im Untergrund ist soweit fortgeschritten, dass kaum ein Nutzer noch merkt, wenn sein Rechner als Teil eines Botnetzes als Spam-Schleuder missbraucht wird oder andere Computer angreift.

Mythos: E-Mails meiner Freunde und Bekannten kann ich gefahrlos öffnen.

Fakt: Es ist einfach geworden, sich beim Versenden einer Mail als jemand anders auszugeben. Ein wenig Stöbern im Social Web, überzeugende Argumente, ein falscher Name im Absender-Feld, eine geklaute oder kaum sichtbar abgeänderte E-Mail-Adresse als Absender – fertig ist der Stress für dem Empfänger. Halten Sie also die Augen immer offen!

Mythos: Security und Usability gehen nicht zusammen.

Fakt: Usability-Experten bemühen sich schon lange, diesen Widerspruch aufzulösen. Viele Dinge lassen sich heute bequem und gleichwohl sicher erledigen.

Quelle: Handelsblatt 04.2017

 

})(jQuery)