Als Reaktion auf eine Sicherheitslücke in mehreren Versionen des Internet Explorer (IE) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Freitag empfohlen, den Microsoft-Browser vorerst nicht zu nutzen, sondern bis zum Vorliegen eines Patches auf einen alternativen Browser umzusteigen. Das Ausführen des Internet Explorer im "geschützten Modus" sowie das Abschalten von Active Scripting erschwere zwar mögliche Angriffe, könne sie jedoch nicht vollständig verhindern, erläutert das BSI. Zuvor war bekannt geworden, dass durch die Lücke in den IE-Versionen 6, 7 und 8 ein konzertierter Angriff gegen Google, Adobe und zahlreiche andere US-Firmen, hinter dem chinesische Cyber-Spione vermutet werden, ermöglicht wurde. Die Lücke, die Microsoft inzwischen offiziell bestätigt hat, ermöglicht es, über eine manipulierte Webseite Code auf einen Windows-Rechner zu schleusen und zu starten. Die Angreifer nutzten dies, um einen Trojaner-Downloader auf die angegriffenen Rechner zu schleusen.
BSI warnt vor Nutzung des Internet Explorer weiterlesen
Alle Beiträge von RA Stefan Preußner
Eingabe mehrerer TAN beim Online-Banking nicht grob fahrlässig
LG Berlin, Urt.v. 11.08.2009, Az. 37 O 4/09
Eine Bankkundin war auf eine Phishing-Seite hereingefallen, die der Home-Banking-Seite ihrer Hausbank zum Verwechseln ähnlich nachempfunden war und hatte nach Aufforderung vier unverbrauchte Transaktionsnummern (TAN) eingegeben. Wenig später veranlassten Unbekannte, dass von ihrem Konto insgesamt 14.500,- Euro ins Ausland transferiert wurden. Der Versuch, das Geld mittels Rückbuchung zurückzuleiten, schlug fehl. Die Bank verweigerte eine Erstattung des Geldes mit der Begründung, sie habe ihre Kunden schon seit Monaten vor solchen Phishing-Seiten gewarnt. Die Kundin habe die Abbuchungen daher zu vertreten, da sie diese durch sorglosen Umgang mit PIN und TAN grob fahrlässig überhaupt erst ermöglicht habe. Das LG Berlin beurteilte die Sache anders und entschied, dass beide Seiten ein Verschulden trifft:
Will die Bank ihren Kunden zur Pflicht machen, die von ihr veröffentlichten Warnhinweise stets zur Kenntnis zu nehmen und zu beachten, so müsse sie dies vertraglich vereinbaren. Gleiches gelte auch für die seitens der Bank aufgestellten Regeln zum Umgang mit den TAN durch die Bankkunden. Da die Bank dies unterlassen hat, habe sie „die irrtümliche Annahme der Klägerin mit heraufbeschworen, das Verfahren zur Freigabe einer versehentlich falsch eingegebenen PIN sei von der Bank dergestalt verändert worden, dass mehrere TAN einzugeben seien“. Der Bankkundin falle hingegen das Verschulden zur Last, „in fahrlässiger Weise die ihr im Rahmen des online-Banking obliegenden Sorgfaltspflichten verletzt“ zu haben, „als sie der Aufforderung folgte, die Eingabe der PIN mit vier TAN zu bestätigen“.
Nach Abwägung der gegenseitigen Verursachungsbeiträge kam das Gericht zu dem Ergebnis, dass die Bank 90 und die Kundin 10 Prozent des entstandenen Schadens zu tragen haben.
Das Urteil können Sie im Volltext HIER abrufen.
BKA registriert zunehmende Internet-Kriminalität
Das Bundeskriminalamt (BKA) hat auf einer Informationsveranstaltung des Branchenverbandes Bitkom vor steigender Internet-Kriminalität gewarnt. Laut BKA sind IuK-Straftaten im Vergleich zum Vorjahr um 11 Prozent auf insgesamt 37.900 registrierte Fälle gestiegen. Es sei aber "von einem erheblich größeren Dunkelfeld auszugehen". Der Bitkom präsentierte zudem eine Hochrechnung auf Basis von Meldungen der Landeskriminalämter. Die Zahl der Phishing-Fälle wird danach deutlich zunehmen (plus 53 Prozent), weil Cyberkriminelle inzwischen auch das iTAN-Verfahren beim Online-Banking aushebeln könnten.
BKA registriert zunehmende Internet-Kriminalität weiterlesen
Auch Google Mail, Yahoo und AOL von Phishing-Angriff betroffen
Neben Hotmail-Nutzern sind von der gestern gemeldeten Phishing-Attacke offenbar auch Anwender von Google Mail, Yahoo und AOL betroffen. Dies berichtet die BBC. Die britische Medienanstalt hatte nach eigenen Angaben Einblick in zwei Listen mit mehr 30.000 Namen und Passwörtern Viele der Konten sollen aber alte beziehungsweise seit längerem unbenutzte Konten oder gar "Wegwerfkonten" gewesen sein.
Auch Google Mail, Yahoo und AOL von Phishing-Angriff betroffen weiterlesen
Umsetzungsphase für den elektronischen Personalausweis beginnt
Das BMI gibt 30 Teilnehmer für den zentral koordinierten Anwendungstest bekannt.
Der Beauftragte der Bundesregierung für Informationstechnik, Staatssekretär Dr. Hans Bernhard Beus, hat die ausgewählten Teilnehmer des zentral koordinierten Anwendungstests für den elektronischen Personalausweis bekannt gegeben. Damit läutet das Bundesministerium des Innern (BMI) die Umsetzungsphase für die Einführung des neuen Ausweisdokuments ein.
Unter den 30 ausgewählten Services finden sich neben Bank- und Versicherungsdienstleistungen unter anderem auch Anwendungen zur Altersverifikation an Automaten und für Glücksspiele im Internet. Daneben wird der elektronische Personalausweis auch beim Einchecken im Hotel, bei der Fluggastabfertigung und beim E-Ticketing im Personennahverkehr zum Einsatz kommen. Erfreulich dabei ist, dass nicht nur größere Unternehmen und Behörden für den Test gewonnen werden konnten, sondern auch mehrere mittelständische Unternehmen.
Umsetzungsphase für den elektronischen Personalausweis beginnt weiterlesen
Anmeldung eines EBay-Accounts unter falschem Namen
Die Einrichtung eines Mitgliedskontos unter falschen Personalien bei der Auktionsplattform eBay im Internet kann nach Ansicht des Kammergerichts den Tatbestand des Fälschens beweiserheblicher Daten (§ 269 Abs. 1 StGB) erfüllen. Der anschließende Ankauf von Waren unter diesem Account ist grundsätzlich nicht tatbestandsmäßig, weil es regelmäßig an einer Täuschung der Anbieter über die Identität des Bieters fehlt.
(Kammergericht, Beschluss vom 22.07.2009, Az. (4) 1 Ss 181/09 (130/09))
Den Beschluss können Sie im Volltext >HIER< abrufen.
Ein Botnetz? Geschnitten oder im Stück?
"Ein Botnetz? Wir haben gerade ein japanisches im Angebot! Macht fünf Dollar für tausend infizierte PCs!" So ähnlich scheint der Handel mit infizierten Rechnern im Untergrund zu funktionieren. Der Sicherheitsdienstleister Finjan hat einen Bericht veröffentlicht, wonach es dem hauseigenen Malicious Code Research Center gelungen ist, eine Handelsplattform für Botnetze zu analysieren. Auf der Plattform "Golden Cash" (Your Money Making Machine) können Kriminelle Botnetze verkaufen und kaufen. Die Preise variieren je nach Lage des Botnetzes. Während 1000 Zombie-PCs in Japan zu Schleuderpreisen über den digitalen Tisch gehen, müssen Käufer eines Botnetzes in Australien für 1000 Rechner schon bis zu 500 Dollar zahlen.
2,2 Millionen URLs bei URL-Verkürzerdienst manipuliert
Unbekannte sind in die Systeme des URL-Verkürzers cligs (cli.gs) eingebrochen und haben rund 2,2 Millionen URLs auf einen bei freedomblogging.com gehosteten Beitrag des Bloggers Kevin Sablan umgeleitet. URL-Verkürzer machen aus einer langen URL eine kurze, leichter weiterzugebende URL, bei der aber das eigentliche Ziel nicht mehr erkennbar ist. Weiter bekannte Dienste sind is.gd, TinyURL und andere. Nach Angaben des cligs-Betreibers Pierre Far ließen sich aber mehr als 90 Prozent der ursprünglichen URLs restaurieren. Die möglicherweise aus Kanada stammenden Angreifer haben offenbar eine Sicherheitslücke in der Cligs-Editing-Funktion benutzt, um die URLs zu manipulieren. Die Funktion wurde zwischenzeitlich deaktiviert. Ein neu aufgesetztes System soll die Schwachstelle nicht mehr aufweisen. Bei Cligs angelegte Nutzerkonten sollen die Angreifer nicht kompromittiert haben. Gespeicherte Passwörter sollen ohnehin verschlüsselt in der Datenbank abgelegt sein – mit welchem Algorithmus gibt Far indes nicht an.
2,2 Millionen URLs bei URL-Verkürzerdienst manipuliert weiterlesen
Mehrere Virenscanner mit Sicherheitsproblemen
Symantec hat auf ein Sicherheitsproblem in mehreren seiner Antivirenprogramme für Unternehmen und Privtanwendern hingewiesen. Durch einen Fehler ist es möglich, den Virenscanner bei der Suche nach Schädlingen in präparierten Archiven auszutricksen. Die Archive sind zwar durch die Manipulation eigentlich in keinem korrekten Format mehr, allerdings können einige Anwendungen und Entpacker enthaltene Dateien dennoch extrahieren. Insbesondere auf Sicherheits-Gateways an den Netzgrenzen stellt die fehlende Erkennung ein Problem dar, sodass etwa in Unternehmen nur noch der Scanner auf den Endsystemen beim Auspacken die Möglichkeit hat, eine drohende Infektion abzuwenden. Damit wird nicht zuletzt der mehrstufige Ansatz mit unterschiedlichen Virenscannern ausgehebelt.
Kriminalbeamte schlagen „Notrufsäule“ im Netz vor
Der Bund Deutscher Kriminalbeamter (BDK) spricht sich für mehr Sicherheit im Netz aus und hat der Bundesfamilienministerin Ursula von der Leyen (CDU) ein umsetzungsreifes Konzept vorgelegt. Das sagte BDK-Chef Klaus Jansen der Neuen Osnabrücker Zeitung. Das Konzept umfasst eine Aufklärungskampagne unter dem Motto "Der 8. Sinn im Netz" sowie das Online-Angebot "Web Patrol" und eine Software, mit der Übergriffe oder Verstöße im Netz gemeldet werden können. Das Konzept will Jansen am morgigen Dienstag auf dem 14. Deutschen Präventionstag in Hannover der Öffentlichkeit vorstellen."Web Patrol" ist ein Projekt des BDK und der Stiftung Deutsches Forum für Kriminalprävention (DFK) unter Mitarbeit von Vertretern aus Forschung und Wirtschaft. Zu den Partnern gehören T-Systems, Microsoft und das Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme (IAIS).
Kriminalbeamte schlagen „Notrufsäule“ im Netz vor weiterlesen