Gehackt: Windows, Ubuntu, Exchange, Teams, Zoom, Chrome, Safari und Edge

hacker

Für Prämien von insgesamt über 1 Million US-Dollar demonstrierten Hacker beim Pwn2Own 2021 erneut Sicherheitslücken in wichtigen IT-Produkten.

heise security logoDie jährliche „Hacking-WM“ Pwn2own lieferte erneut eine spektakuläre Show: Sicherheitsforscher demonstrierten unter real anmutenden Bedingungen inklusive Zeitdruck live Sicherheitslücken und kaperten dabei so gut wie alles, was ihnen vorgesetzt wurde. Früher durfte der Hacker das gekaperte Gerät anschließend behalten, daher der Name Pwn2own: Im Szene-Slang steht „pwn“ für eine erfolgreiche In-Besitznahme, weil es so ähnlich aussieht und ausgesprochen wird wie „own“, also besitzen und „2“ spielt mit dem Gleichklang von „two“ und „to“. Heute zahlen selbst Hersteller oft schon fünf- bis sechsstellige Beträge für das Melden von Sicherheitslücken und der Wettbewerb zog entsprechend nach.

external link https://www.heise.de/

Diese Tools verbessern Ihren Viren-Schutz

Hat ein Virus Ihren Rechner infiziert und Ihr Antiviren-Tool mundtot gemacht? Mit einem Zweit-Scanner überprüfen Sie den Sicherheitsstatus Ihres Computers.

pc weltEin Antiviren-Programm auf dem Rechner ist Standard – sei es Avira Free Antivirus , Microsoft Security Essentials oder ein anderes Tool. Ist es installiert und aktuell, wiegen sich die meisten User in Sicherheit. Doch was, wenn das Programm einen Eindringling meldet? Fast alle Antiviren-Programme bieten dann sinngemäß folgende Optionen: „Virus in Quarantäne verschieben“ oder „Virus entfernen“. Aber wird der Schädling auch wirklich restlos aus dem System getilgt? Ein auf die Virenjagd spezialisiertes Programm schafft als zweite Instanz Sicherheit. Der Zweit-Scanner ist auch dann sinnvoll, wenn das Antiviren-Programm schweigt. Denn manche Schädlinge manipulieren den installierten Viren-Wächter oder deaktivieren ihn sogar heimlich. Der Virenjäger schlägt dann Alarm.

external link https://www.pcwelt.de/

5 Tipps zum Whistleblower-Schutz für Unternehmen

company cyber security

Viele betroffene Unternehmen wissen noch nichts davon und sind nicht ausreichend darauf vorbereitet: 2021 tritt in Deutschland das neue Whistleblower-Gesetz in Kraft.

security insiderKonkret bedeutet das für Unternehmen mit über 250 Mitarbeitenden, dass sie ein sicheres und anonymes Hinweisgebersystem zur Verfügung stellen müssen. Was gilt es dabei zu beachten? In den letzten Jahren rückte das Thema Whistleblower-Schutz verstärkt in das öffentliche Bewusstsein und wurde zunehmend in der Politik und in den Medien diskutiert. Aktueller Anlass hierfür ist die vom EU-Parlament beschlossene „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“, kurz „Whistleblowing-Richtlinie“, die am 17. Dezember 2021 in Kraft treten wird. 

external link https://www.security-insider.de/

500 Mio. Profildaten im Netz – das sagt LinkedIn dazu

linkedin logo

Erst Facebook dann LinkedIn: Sicherheitsexperten melden, dass Angreifer 500 Millionen Profil-Daten zum Verkauf anbieten.

pc weltEin Hacker bietet vier Beispieldatensätze mit insgesamt 2 Millionen Daten für zwei US-Dollar in einem Forum als Beweis für den Diebstahl an. Mit dem Hinweis: Für einen mindestens vierstelligen US-Dollar-Betrag sei er bereit, komplett alle 500 Millionen Profildaten zu verkaufen. Eine erste Analyse dieser „Proof-of-Concept“-Datensätze ergab laut Cybernews, dass es sich um echte Daten handle. Enthalten seien private Daten der LinkedIn-Nutzer, darunter deren vollständige Namen, die LinkedIn-IDs, Mail-Adressen, Telefonnummern und Arbeitsplatzinformationen.

external link https://www.pcwelt.de/

Wie Abkürzungen vor Angriffen schützen

online security

In unserem Monatsrückblick für März geht es um sprachliche Abkürzungen und sicherheitsrelevante Angriffe. Aufmerksame Zuhörer können dabei ihr Security-Wissen prüfen, Kommunikationsstrategien für die Krise konzipieren und mitverfolgen, wie Chefredakteur Peter Schmitz ins Philosophieren gerät.

security insiderReines Marketing oder innovatives Konzept? Diesmal ergründen Peter Schmitz und Dirk Srocke, was hinter den oftmals kryptischen Begriffen der Technikwelt steckt. Per Kommentar oder E-Mail an die Redaktion dürfen Sie sich übrigens gern an der offenen Diskussion beteiligen – wir sind auf Ihre Meinungen gespannt. Neben ersten Anregungen und Sichtweisen auf eine neue Cybersecurity-Kultur liefert unser Audioformat diesmal Best Practices für Prozess- und Fertigungsindustrie sowie ein Informations-Update zu den kritischen Sicherheitslücken in Microsoft Exchange

external link https://www.security-insider.de/

Facebook-Daten gestohlen: Hier sehen Sie, ob Sie betroffen sind

facebook

Über 500 Millionen Facebook-Daten wurden gestohlen. Hier überprüfen Sie, ob auch Sie vom Datendiebstahl betroffen sind.

pc weltUnbekannte haben über 553 Millionen Daten von Facebook-Nutzern gestohlen. Wie über das lange Oster-Wochenende bekannt wurde, sind damit über 20 Prozent aller Facebook-Nutzer weltweit betroffen. Der Hack fiel auf, weil die Daten in einem Hacker-Forum veröffentlicht wurden, wie unter anderem Business Insider meldet . Die Analyse von Experten ergab, dass es sich um echte Daten handelt und ein Facebook-Sprecher erklärte, dass für den Diebstahl eine Lücke ausgenutzt wurde, die von Facebook im Jahr 2019 geschlossen wurde.

external link https://www.pcwelt.de/

Datenleck bei Facebook – Millionen von Nutzerdaten online

facebook

Geburtsdaten, E-Mail-Adressen, Telefonnummern und Beziehungsstatus: Persönliche Daten von 533 Millionen Facebook-Nutzern sind im Netz aufgetaucht. Sie waren schon 2019 von Hackern erbeutet worden.

ard tagesschau logoDaten von hunderten Millionen Facebook-Nutzerinnen und -Nutzern sind am Wochenende in einem Hacker-Forum entdeckt worden. Darauf aufmerksam machte die IT-Sicherheitsfirma Hudson Rock. „Alle 533.000.000 Facebook-Daten wurden gerade kostenlos veröffentlicht“, erklärte Alon Gal, Technologie-Chef von Hudson Rock, auf Twitter. Er warf Facebook „absolute Nachlässigkeit“ vor. Zu den veröffentlichten Daten der 533 Millionen Nutzerinnen und Nutzer zählen unter anderem vollständige Nutzernamen, Geburtsdaten, E-Mail-Adressen, Telefonnummern und mitunter auch der Beziehungsstatus.

external link https://www.tagesschau.de/

Welche Sicherheitslücken soll man patchen?

cyber security malware

In vielen Unternehmen stellt sich die Frage, wie sich im Jahr 2021 die Herausforderungen der Cybersicherheit bewältigen lassen. Ein Rückblick auf die wichtigsten Sicherheitslücken im vergangenen Jahr ist hilfreich, um die aktuellen Risiken zu verstehen, die Sicherheitsfachkräfte mit hoher Wahrscheinlichkeit auch in den nächsten Monaten beschäftigen werden.

security insiderTenable hat Datensicherheitsverletzungen im Verlauf des vergangenen Jahres analysiert und kürzlich die Ergebnisse in einem Report veröffentlicht. Dieser bietet einen Überblick über die wichtigsten Sicherheitslücken, die im vergangen Jahr 2020 aufgedeckt oder ausgenutzt wurden. Die Bedrohungslandschaft war zuletzt insbesondere dadurch gekennzeichnet, dass die Bedrohungsakteure auf ungepatchte Sicherheitslücken und die Kombination mehrerer Sicherheitslücken bei ihren Angriffen setzen.

external link https://www.security-insider.de/

Chrome: Update für Desktop-Ausgabe beseitigt mehrere Sicherheitsprobleme

chrome browser

Der Chrome-Browser für Windows, macOS und Linux wurde aktualisiert. Das Update schließt Schwachstellen mit „High“-Einstufung.

heise security logoGoogle hat die stabile Version (Stable Channel) des Web-Browsers Chrome für den Desktop (Windows, macOS, Linux) auf 89.0.4389.114 angehoben. Das Update, das wie gewohnt über die nächsten Tage und Wochen hinweg an bestehende Browser-Installationen ausgeliefert werden soll, umfasst laut Google insgesamt 8 Schwachstellen-Fixes. Von mindestens sechs Schwachstellen soll ein hohes Risiko ausgehen. Wie schon in früheren Security Advisories nennt Google auch im aktuellen Advisory zu Chrome 89.0.4389.114 nur jene Schwachstellen explizit, die von externen Sicherheitsforschern entdeckt wurden. Details zu den sechs genannten Sicherheitsproblemen mit „High“-Wertung fehlen; in der Regel folgen Einzelheiten erst dann, wenn die meisten Nutzer das Update erhalten haben. Auf diese Weise soll das Risiko aktiver Angriffe auf noch ungeschützte Systeme minimiert werden.

external link https://www.heise.de/03

Acht Strategien gegen Ransomware

ransomware

Während der Pandemie behaupteten Cyberkriminelle immer wieder, sie würden ihre Attacken auf Organisationen und Einrichtungen des Gesundheitswesens unterlassen. Die Realität war das Gegenteil – die Zahl der Angriffe verdoppelte sich.

security insiderLaut Angaben von „Health IT Security“ war im 3. Quartal 2020 das amerikanische Gesundheitswesen der weltweit am meisten angegriffene Sektor. Im Vergleich zum Vorjahr haben sich hier die Angriffe sogar noch verdoppelt. Auch in Deutschland war und ist die Lage kritisch. Im „Lagebericht zur IT Sicherheit Deutschland 2020” spricht das Bundesamt für Sicherheit in der Informationstechnik (BSI) von einer dynamischen Gefährdungslage für Verwaltungs- und Gesundheitseinrichtungen.

external linkhttps://www.security-insider.de/