Riesige Datenpanne bei Autovermietung Buchbinder

Das Fachmagazin c’t berichtet über eine riesige Datenpanne bei der Autovermietung Buchbinder. Kunden sollten jetzt handeln.

Geschätzte Lesezeit für diesen Artikel: 2 Minuten.

Wie das Fachmagazin c’t berichtet, konnten die Daten von Millionen von Kunden der Autovermietung Buchbinder wochenlang frei im Netz heruntergeladen werden. Details könnt Ihr hier nachlesen. Im Artikel ist eine Vorlage verlinkt, mit der man bei Buchbinder eine Auskunft über seine gespeicherten Daten gemäß DSGVO und deren Löschung verlangen kann.

Man kann auch dann von dem Datenleck betroffen sein, wenn man ein Auto über eine Plattform wie z. B. billiger-mietwagen.de reserviert und dann bei Buchbinder gemietet hat. Besonders brisant ist die Sache, weil Autovermieter neben der Adresse des Mieters immer auch sein Geburtsdatum sowie seine Handy-, Ausweis-, Führerschein und Kreditkartennummern abgefragt werden. Weiterlesen

Warum man E-Mails grundsätzlich digital signieren sollte

Schadprogramme, die über E-Mails verbreitet werden, sind zu einer regelrechten Landplage geworden. Besonders schlimm hat es zuletzt die Universität Gießen erwischt. Digital signierte E-Mails können diese Bedrohung stark eindämmen.

Geschätzte Lesezeit für diesen Artikel: 5 Minuten

E-Mail-Anhänge und per E-Mail verbreitete Links stellen einen der häufigsten Verbreitungswege von Schadsoftware wie Emotet dar. Allzu leicht klicken viele Nutzer auf Dateien oder URLs, die scheinbar von vertrauenswürdigen Kontakten geschickt wurden. Zu spät merken sie, dass die Nachricht in Wirklichkeit von einem anderen Absender stammt – und dass die harmlos aussehende Word-Datei im Anhang einen Computervirus enthält.

Wie schlimm es sein kann, wenn ein Netzwerk infiziert ist, hat zuletzt die Universität Gießen erfahren müssen. Ab dem 8. Dezember 2019 waren wochenlang weder die allgemeine Universitätswebseite noch die Seite der Universitätsbibliothek erreichbar. Auch die E-Mail-Server waren lahmgelegt. Die Universität musste die ganze Zeit im Notbetrieb arbeiten, vieles ging in dieser Zeit gar nicht (erfahre mehr). Auch die Katholische Hochschule Freiburg musste im Dezember 2019 nach einem Hackerangriff einen Großteil ihrer Systeme zeitweise vom Netz nehmen (erfahre mehr). Weiterlesen

Bitte Gurt anlegen

Zum vergangenen Jahreswechsel wurde ein Hackerangriff auf Politiker und andere Prominente bekannt. Was können sie und wir alle als Nutzer daraus lernen?

Geschätzte Lesezeit für diesen Artikel: 4 Minuten

Wenn private Daten an die digitale Öffentlichkeit gelangen, fallen die Betroffenen oft aus allen Wolken. In vielen Fällen stellt sich jedoch im Nachhinein heraus, dass sie aus Bequemlichkeit oder Unwissen nicht einmal die einfachsten Sicherheitsregeln beachtet haben – obwohl es in der Vergangenheit beileibe keinen Mangel an Warnschüssen gab. So kommentiert der IT-Journalist Friedhelm Greis treffend:

Politiker sprachen in den vergangenen Tagen von einem „ersten“ und „letzten“ Warnschuss. Doch der brutalstmögliche Warnschuss in Sachen IT-Sicherheit sitzt seit zwei Jahren im Weißen Haus und twittert munter vor sich hin.

Richtig ist, dass Anbieter und Behörden eine Menge für IT-Sicherheit tun müssen und dass in manchen Bereichen ein eklatanter Nachholbedarf besteht. Aber auch wir als Nutzer können einen ganz erheblichen Beitrag zum Schutz unserer Daten leisten. Dazu müssen wir nur die folgenden vier einfachen Regeln beachten: Weiterlesen

Nein, PGP ist nicht unsicher geworden

Die E-Mail-Verschlüsselung mit PGP oder S/MIME hat aktuell eine mögliche Schwachstelle. Grundsätzlich ist E-Mail-Verschlüsselung aber weiterhin sicher.

Geschätzte Lesezeit für diesen Artikel: 2 Minuten

Seit Mitte Mai 2018 kursieren Meldungen über eine Schwachstelle in E-Mails, die nach dem PGP- oder dem S/MIME-Standard verschlüsselt worden sind. Auch ein eingängiger Name für den Fehler war schnell gefunden: Efail.

Unter bestimmten Bedingungen könnten Angreifer, so die Warnung, über manipulierte E-Mails an den Klartext von verschlüsselten E-Mails gelangen (erfahre mehr). Es wurden sogar Empfehlungen laut, man solle aus diesem Grund ganz auf verschlüsselte E-Mails verzichten. Weiterlesen

Die Windows-Falle

In einer sehenswerten aktuellen ARD-Doku geht es um die Abhängigkeit öffentlicher Einrichtungen von Microsoft. Fazit: Wir sitzen in der Windows-Falle.

Geschätzte Lesezeit für diesen Artikel: 4 Minuten

Der gerade bekannt gewordene Hacker-Angriff auf die Netzwerke deutscher Bundesbehörden („Bundeshack“) ist nur der jüngste in einer langen Serie von IT-Pannen. Ein ums andere Mal machen solche Angriffe deutlich, wie verletzlich unsere Rechner und somit unsere Daten sind. Das gilt in gleichem Maße für Privatpersonen wie für Firmen, Behörden und andere öffentliche Einrichtungen.

Besonders häufig sind die Produkte aus dem Hause Microsoft das Ziel von Angriffen, im aktuellen Fall anscheinend das E-Mail-Programm Outlook (erfahre mehr). Ob diese besonders unsicher sind steht hier nicht zur Diskussion, auch wenn viele Experten genau das befürchten. Tatsache ist, dass sich Angriffe auf Microsoft-Produkte wegen ihrer enormen Verbreitung besonders lohnen. Schadsoftware kann in einer solchen digitalen Monokultur eine enorme Wucht entfalten. Erinnern wir uns beispielsweise an den WannaCry-Verschlüsselungstrojaner, der sich im Mai 2017 in atemberaubender Geschwindigkeit um den Globus verbreitete (erfahre mehr).

Dieses (1.) Sicherheitsargument wäre alleine schon Grund genug, um den unreflektierten Einsatz von Microsoft-Software ernsthaft zu überdenken. Daneben gibt es aber noch einige weitere, mindestens ebenso gewichtige Argumente: Weiterlesen

Riesige Sicherheitslücke im aktuellen Mac-Betriebssystem entdeckt

Im aktuellen Mac-Betreibssystem High Sierra können sich Angreifer Administratorrechte verschaffen, ohne das Passwort zu kennen.

Geschätzte Lesezeit für diesen Artikel: 2 Minuten

Heutzutage hat man sehr gute Möglichkeiten, seine Daten vor unbefugtem Zugriff zu schützen. Man kann – und sollte – zumindest Folgendes tun:

  1. alle internen und externen Laufwerke verschlüsseln (erfahre mehr)
  2. starke Passwörter bzw. Passphrases verwenden (erfahre mehr)
  3. einen Passwort-Manager verwenden, um diese Passphrases zu speichern (erfahre mehr)
  4. Daten nur verschlüsselt in die Cloud laden (erfahre mehr)

Das alles ist jedoch zwecklos, wenn ein Angreifer sich auf einem Rechner Administratorrechte verschaffen kann. Zu Recht gilt ein Programmierfehler, der dies erlaubt, als eine der schlimmsten Sicherheitslücken. Genau eine solche Sicherheitslücke liegt bei der aktuellen Version des Apple-Betriebssystems OS X 10.13 „High Sierra“ vor (erfahre hier und hier mehr). Weiterlesen

Kein Backup? WannaCry?

Was können wir aus dem WannaCry-Angriff lernen?

Geschätzte Lesezeit für diesen Artikel: 5 Minuten

Mitte Mai 2017 hat sich der weltweit bisher größte Angriff mit einem Verschlüsselungstrojaner ereignet. Der Trojaner kursierte in verschiedenen Versionen und unter verschiedenen Namen, wird jedoch vor allem als „WannaCry“ in die Annalen eingehen. Bei dem Angriff machten sich die Angreifer eine Sicherheitslücke im Windows-Betriebssystem zunutze. Diese Lücke war zwar bereits im März, also zwei Monate vor dem Angriff, durch ein Windows-Update geschlossen worden. Allerdings waren auch im Mai weltweit noch Millionen von Rechnern ungeschützt am Netz. Die Schuld dafür ist allem Anschein nach nicht nur bei den Nutzern zu suchen: Über Update-Probleme von Windows 7 wird in den einschlägigen Foren und Blogs seit langem berichtet (z. B. hier). Daher überrascht es kaum, wenn Windows-Rechner oft wochen- oder monatelang ungeschützt bleiben. Weiterlesen

Was wir von Hillary Clinton über sichere E-Mails lernen können

hillary_clinton_by_gage_skidmore

In wenigen Tagen werden wir wissen, wer im Januar 2017 ins Weiße Haus einziehen wird. Falls der neue Hausherr dann Donald Trump heißt, könnte das auch an Hillary Clintons nachlässigem Umgang mit E-Mails liegen.

Geschätzte Lesezeit für diesen Artikel: 4 Minuten

Man sollte meinen, dass Politikerinnen und Politiker die Sprengkraft geleakter E-Mails inzwischen kennen und entsprechend vorsichtig mit diesem Medium umgehen. Aber anscheinend halten viele es weiterhin für ausreichend, ihre Nachrichten mit einem schwachen Passwort zu schützen. Von einer solchen Nachlässigkeit ist aktuell bekanntlich die amerikanische Präsidentschaftskandidatin Hillary Clinton betroffen. Sie hat in ihrer Zeit als US-Außenministerin anstelle eines offiziellen, speziell gesicherten E-Mail-Servers einen privaten Server der Familie genutzt. Zudem wurden Anfang 2016 tausende E-Mails gehackt, und zwar nicht durch einen Angriff auf ihren Account, sondern auf die privaten Accounts verschiedener Mitarbeiter. Es zeigte sich, dass diese noch schlechter als ihr eigener Account gesichert waren. Ja, man vergisst leicht, dass es sich mit sicherer Kommunikation ähnlich verhält wie mit dem Streiten: Es gehören immer zwei dazu (erfahre mehr). Weiterlesen

Daten von 500 Millionen Yahoo-Nutzern gehackt

Und wieder geht ein großer Hack durch die Schlagzeilen. Diesmal hat es Yahoo getroffen. Im Beitrag steht, was Nutzer jetzt tun sollten.

Geschätzte Lesezeit für diesen Artikel: 2 Minuten

Hackerangriffe auf große Internetfirmen sind in den letzten Jahren zur Regel geworden (erfahre mehr). Diesmal hat es den ohnehin angeschlagenen Konzern Yahoo getroffen: Nach Medienberichten wurden bei einem Angriff Ende 2014 die Daten von über 500 Millionen Nutzern gestohlen: Passwort-Hashes, aber auch sonstige Daten wie Handynummern und Sicherheitsfragen inklusive der passenden Antworten.

Wie immer in solchen Fällen sind jetzt auch die Nutzer gefragt. Was ist zu tun? Weiterlesen

Über 140 Millionen LinkedIn-Passwörter gehackt

security-1163108

Nach einem katastrophalen Datenleck kursieren zur Zeit über 140 Millionen LinkedIn-Passwörter im Internet. Im Beitrag steht, wie man sich vor solchen Hacks schützen kann.

Bereits 2012 wurde bekannt, dass das soziale Netzwerk LinkedIn von Hackern angegriffen wurde. Damals wurden ca. 6 Millionen Nutzer informiert und ihre Passwörter zurückgesetzt. Inzwischen sieht es danach aus, dass bei jenem Angriff eine wesentlich größere Zahl an Zugangsdaten erbeutet wurde – aktuell geht man von ca. 140 Millionen aus.

Bei solchen Hacks werden in der Regel nicht die Passwörter selbst erbeutet. Diese werden von den Anbietern meist gar nicht gespeichert. Gespeichert wird nur der so genannte „Hash-Wert“ jedes Passworts. Gibt man als Nutzer beim Login sein Passwort ein, wird aus ihm jedes Mal neu der Hash-Wert errechnet und mit dem hinterlegten Hash-Wert verglichen. Nur wenn die beiden Werte übereinstimmen, wird der Zugang zum Account gewährt (erfahre mehr). Weiterlesen