Wieder ein Hack, noch ein Datenabfluss und mehr oder weniger schwere Konsequenzen für die Betroffenen: Wenn über Cyberthemen gesprochen wird, stehen häufig Angriffe und Präventionsmassnahmen im Zentrum. Doch die Debatte rund um Cybersicherheit hat mehr zu bieten, wie jüngst ein Beitrag von Davi Ottenheimer und Bruce Schneider aufgezeigt hat.
Heute verteilen sich die Daten einer Person über unzählige Unternehmen, Plattformen sowie staatliche Akteure. In einigen Fällen basieren sie auf selbst geteilten Daten, etwa Informationen auf einem Social-Media-Account oder der Registrierung für ein Event. An anderer Stelle werden Informationen mit der eigenen Identität verknüpft, welche anhand von Einkäufen, Verhaltensmustern oder simplen Likes abgeleitet wurden. Nicht immer sind solche Angaben korrekt, und in weiteren Fällen werden auch falsche Verknüpfungen von verschiedenen Datenquellen vorgenommen.
Auf den ersten Blick erscheint es nicht weiter tragisch, wenn die Werbung nicht immer relevant ist oder eine Webseite den Wohnort falsch vermutet. Diverse Fälle aus der Vergangenheit zeigen jedoch, dass gerade falsche Informationen auch harte Konsequenzen haben können: Abgelehnte Kreditanträge oder Hausdurchsuchungen bei der falschen Adresse (und somit falschen Person) sind nur zwei Beispiele, bei denen das Individuum fundamental wegen Datenfehlern eingeschränkt wird.
Digitale Integrität besser schützen
Um das Problem zu umgehen, schlagen die Autoren eine andere Philosophie zum Umgang mit Daten vor. Eine, welche die Integrität besser verifiziert und das Speichern der Daten näher an die Person bindet, welche effektiv die Identität besitzt. So können Personen die Daten bei einem selbst gewählten Anbieter speichern und unabhängig von Anwendungen verwalten. Anschliessend kann der Zugriff von anderen Anwendungen auf die Daten frei durch die Person stattgegeben oder eingeschränkt werden. Durch diese «Single Source of Truth» werden gleich zwei Herausforderungen gelöst: Zum einen hat eine Person bessere Kontrolle darüber, wer auf die Daten zugreift und welche Datenpunkte geteilt werden sollten. Gleichzeitig wird damit auch sichergestellt, dass die geteilten Daten auch effektiv korrekt sind und somit verlässlich gebraucht werden können.
Es erscheint evident, dass auch dieses Vorgehen nicht ohne Nachteile ist. Jedoch kann es, wenn es richtig umgesetzt wird, auch viele Probleme der häufiger diskutierten Datensicherheit und Privatsphäre entschärfen.
Cyberangriffe
Aktuelle Vorfälle in der Schweiz
Das Bundesamt für Cybersicherheit (BACS) warnt aktuell vor einer Reihe von Betrugsmaschen, die in der Schweiz kursieren. So werden unter anderem erneut gefälschte Inkasso-Meldungen per E-Mail versandt, welche beim Link-Klick zum Download von Schadsoftware führen. Zudem erhalten einige Personen SMS, welche über eine angebliche, nicht bezahlte Parkbusse informieren. In diesem Fall führt der Link auf eine Phishing-Seite und sollte daher ebenfalls nicht angeklickt werden.
Hack beim US-Justizsystem
Erneut wurde das Gerichtsaktensystem in den USA angegriffen. Wie Medien berichtet haben, sind dadurch unter anderem versiegelte Dokumente kompromittiert worden. Entsprechend sind in mehreren Bundesstaaten potenziell Daten zu vertraulichen Informant:innen, Zeugen und weiteren Fallakten offengelegt worden. Auch über einen Monat nach dem Entdecken des Vorfalls sind viele der Umstände ungeklärt. Besonders erscheint, dass angeblich auch fünf Jahre nach dem ersten Vorfall bei der gleichen Software gewisse Schwachstellen noch immer nicht ausreichend abgesichert worden sind. Im verlinkten Artikel ordnen mehrere Stimmen die Ereignisse ein und geben einen Blick darauf, warum dieser Vorfall besonders kritisch ist und welche Präventionsmassnahmen wichtig gewesen wären.
Mehr dazu (Paywall)
Möglicher Lieferketten-Angriff auf KI-taugliche Hardware
Aufgrund geltender Exportbeschränkungen in den USA dürfen gewisse leistungsstarke Hardwareteile nicht nach China ausgeführt werden. Glaubt man chinesischen Vorwürfen sowie einem Medienbericht aus den USA, versehen US-Behörden bereits heute einige Hardwareteile mit Trackern, welche potenziell für das KI-Training verwendet werden könnten. Während genauere Details fehlen, liegt bereits ein Gesetzesentwurf vor, welcher eine solche Praktik zukünftig für alle relevanten Hardwarekomponenten vorschreiben würde. Je nach Umsetzung würden dann alle betroffenen und exportierten Hardwareteile über einen eingebauten Tracker sowie gegebenenfalls einen «Kill-Switch» verfügen.
Falsche Angriffsmeldung durch Ransomware-Gruppe
Eine kriminelle Gruppe hat sich zu einem Angriff auf das Unternehmen Bitbox bekannt. Laut einem Medienbericht von Inside-IT entspricht das Bekenntnis jedoch nicht der Wahrheit. Vielmehr, so meldet das Unternehmen, stammen diese Daten aus einem «jahrealten Leak». Dass kriminelle Gruppen alte Daten wiederverwerten oder unechte Erfolgsmeldungen teilen, kommt immer wieder vor.
Data Breach / Datenschutz
Ungesicherte Daten: Wohin fliegen Schweizer Diplomat:innen?
Es ist naheliegend, dass Unternehmen wie Fluggesellschaften sensitive Daten über Menschen besitzen und entsprechend gerne angegriffen werden. Regelmässig zeigt sich jedoch, dass die gleichen Daten in einem vor- oder nachgelagerten Schritt noch einfacher abgegriffen werden können. So auch in diesem Fall: Die Website eines Unternehmens, welches die Abholung, das Check-in und die Auslieferung von Fluggepäck als Service anbietet, wies laut Medienberichten eine schwere Sicherheitslücke auf. Forschenden gelang es, über den scheinbar einfachen Fehler Daten über alle Kunden einzusehen. Dazu gehörten unter anderem Flugpläne, Kontaktdaten, Adressen und Passbilder. Brisant dabei: Laut Bericht betraf dies auch Diplomat:innen und Staatsfunktionäre aus den USA, der Schweiz und Grossbritannien. Das Unternehmen hat kommuniziert, dass die Lücke direkt geschlossen worden sei und es keine Anzeichen gäbe, dass abseits der Forschenden weitere Personen auf die Daten zugegriffen hätten.
Mehr dazu (Paywall)
UK führt eine digitale Altersverifikation ein
Weltweit arbeitet eine wachsende Zahl von Staaten an Gesetzen zur Altersverifikation im Internet. Als Ziel wird in der Regel der Schutz von Kindern und Jugendlichen genannt. Mit gleicher Absicht ist in Grossbritannien der Online Safety Act (2023) in Kraft getreten. Viele Plattformen, darunter Social-Media-Seiten wie BlueSky, Reddit, Discord, X sowie Seiten mit Erwachseneninhalten führen daher für Benutzer aus diesen Ländern die vorgeschriebenen Alterskontrollen ein. Plattformen, welche sich diesen Regelungen widersetzen, drohen hohe Geldstrafen.
Indessen konnten verschiedene Reaktionen beobachtet werden: Viele Plattformen schränken die Inhalte für UK-Nutzer übermässig und präventiv ein, um die hohen Strafen zu vermeiden. Manche kleineren Seiten haben sich vollständig aus dem Gebiet zurückgezogen. Gleichzeitig sind auch Seiten wie Wikipedia besorgt, potenziell von der Verifikationspflicht erfasst zu werden.
In der Konsequenz verzeichnen VPN-Anbieter ein spürbares Kundenwachstum, da mit diesem einfachen Trick die Sperren umgangen werden können. Ebenso konnten Sicherheitsforscher in einem amüsanten Beispiel die Altersverifikation umgehen, indem sie das Rendering eines Videospielcharakters vor die Kamera gehalten haben.
Gutachten und Assessmentdaten auf SharePoint
Während rund zwei Monaten waren laut Medienberichten sensible Daten bei einer Schweizer Fluggesellschaft ungenügend gesichert. Sowohl interne Mitarbeitende als auch einige Personen von externen Firmen hätten dabei auf die Daten aus dem Rekrutierungsprozess zugreifen können. Grund dafür war laut dem Unternehmen eine Fehlkonfiguration bei SharePoint, basierend auf menschlichem Versagen. Während dieser Zeit hätten rund 70 Zugriffe auf die Daten stattgefunden. Entdeckt und gemeldet habe die Lücke ebenfalls ein Mitarbeitender, worauf der Fehler am selben Tag behoben wurde. Passagier- und Kundendaten seien indes nicht betroffen gewesen.
Datenbroker in der Kritik
Die Branche der Datenbroker agiert eher im Hintergrund. Hinter ihrem Geschäft stecken eine Vielzahl an Unternehmen, welche aktiv Daten von Nutzer:innen sammeln, bündeln, auswerten und weiterverkaufen. Die Daten, welche beispielsweise von Apps und Website-Trackern stammen, werden unter anderem von der Werbebranche sowie einigen Behörden genutzt. Nun stehen mindestens 35 von diesen Unternehmen in den USA im Fokus, da deren Opt-out-Seiten aktiv vor einer Indexierung durch Suchmaschinen versteckt wurden. Dadurch werde es Bürger:innen erschwert, ihre eigenen Rechte wahrzunehmen und die Nutzung der eigenen Daten zu kontrollieren.
Mehr dazu (Paywall)
Hintergrund
Die psychologischen Tricks hinter Betrügereien
Das BACS informiert in einem Zweiteiler über die gängigsten psychologischen Tricks, welche Betrüger:innen bei ihren Angriffen und Maschen verwenden. Viele davon lassen sich bei Spam-E-Mails, auf Betrugsseiten oder bei anderen Angriffserzählungen wiederfinden. Zu den klassischen Mustern gehören etwa das Erzeugen von Stress oder Angst, Anspielungen auf eine zeitliche Dringlichkeit oder «FOMO» (Fear-of-Missing-Out) sowie das Ausnutzen von menschlichen Emotionen wie Scham und Einsamkeit. Die zwei Beiträge erläutern dabei, wie die Maschen eingesetzt werden und warum sie für Betrüger:innen so attraktiv sind.
VÜPF-Reform stösst auf Widerstand
Die Anpassung der neuen Verordnung über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF) findet kaum Freunde: Die Änderungen, welche seitens Behörde als Verbesserung eingestuft werden, fallen bei der Vernehmlassung durch. Sämtliche Grossparteien, beinahe alle Verbände, Jurist:innen wie auch Unternehmer:innen stellen sich dagegen. Während bereits heute die Kompetenzausweitung der Verordnung regelmässig kritisiert wird, wurde die neue Version als «Frontalangriff auf die Grundrechte und Rechtsstaatlichkeit» oder wie «vom Kreml verfasst» bezeichnet. Schuld an diesen Vorwürfen sind die weitreichenden Kompetenzen in der Überwachung, welche als massiver Einschnitt in die Privatsphäre sowie Informationssicherheit von Bürger:innen und Unternehmen gewertet werden.
Bevor der eigentliche Entscheid über die geplante Revision gefällt wurde, haben einige Unternehmen bereits gehandelt. Eines der erfolgreichsten Digitalunternehmen der Schweiz, Proton, entfernt sich beispielsweise zunehmend aus der Schweiz. Der CEO nennt dabei die Verordnung als Grund. Während in der Schweiz Stellen reduziert und ein Rechenzentrum des Unternehmens bereits geschlossen wurde, plant das Unternehmen, in den nächsten zehn Jahren rund eine Milliarde in anderen europäischen Ländern zu investieren.
Der Kanton Zug investiert Millionen in Cybersicherheit
Der Regierungsrat in Zug möchte jährlich rund neun Millionen Franken in die kantonale Cybersicherheit investieren. Basierend auf dem Legislaturziel steht insbesondere ein kantonales Kompetenzzentrum für Cybersicherheit (KKC) im Fokus. Das KKC soll dabei primär Aufklärungs-, Koordinations- und Unterstützungsarbeiten im Bereich der Cybersicherheit liefern.
Sammelthema: Digitale Souveränität
Weiterhin beschäftigen sich Unternehmen und Behörden mit den Themen der digitalen Souveränität. Die wohl wichtigste Meldung ist die Aussage eines Microsoft-Managers. Dieser hat in Frankreich unter Eid ausgesagt, dass Microsoft den Schutz der Daten vor dem US-Cloud-Act in Europa nicht garantieren könne. Jedoch relativierte er die Aussage, indem er ausführte, wie das Unternehmen die Daten zu schützen versucht.
News gibt es auch aus der Schweiz: Laut Medienbericht prüft der Kanton Appenzell-Ausserrhoden eine Exit-Strategie aus der Microsoft-Welt. Dennoch stehe auch eine breite Einführung auf dem Tisch. Etwas weiter im Prozess ist das Bundesland Schleswig-Holstein: In einem Kurzbeitrag von Arte wird gezeigt, wie ein Open-Source-Ansatz funktionieren kann und welche Resultate dabei erzielt werden. Das Bundesland wird immer wieder als Vorzeigeprojekt genannt, da es früh auf die digitale Souveränität gesetzt hat und dank positivem Gesamtfazit an dem Projekt festhalten möchte.
Mehr zum US-Cloud-Act
Mehr zur Exit-Prüfung aus M365 (Paywall)
Arte «Digitale Souveränität»
Digitale Themen im Parlament
Das Magazin dnip.ch hat erneut eine Zusammenstellung erarbeitet, welche viele der im vergangenen Halbjahr behandelten Digitalthemen im Schweizer Parlament aufgreift. Nebst allgemeinen Vorstössen zur Cybersicherheit hat sich das Parlament vorwiegend mit KI- und Sicherheitsthemen beschäftigt: Transparenz, Fairness, die Strafverfolgung und Verantwortung auf Plattformen standen dabei mehrfach im Zentrum.
Urteil gegen Unterstützerin der nordkoreanischen Remote-Work-Hacker
In den USA wurde eine Frau zu einer mehrjährigen Haftstrafe verurteilt. Die Vorwürfe stehen im Kontext der nordkoreanischen Bemühungen, über Fulltime-Remote-Jobs Zugang zu US-Firmen zu erlangen. Dabei nutzen nordkoreanische Hacker gefälschte Identitäten, um für US-Unternehmen zu arbeiten. Dadurch sollen nebst potenziellen Datenabflüssen auch über 17 Millionen US-Dollar nach Nordkorea gelangt sein.
Project Zero ändert den Veröffentlichungsprozess
Das «Project Zero» von Google ist der Name eines Teams, welches Zero-Day-Sicherheitslücken in diversen relevanten Produkten, auch ausserhalb des eigenen Konzerns, sucht. Ziel ist es, wichtige Hardware- und Softwarekomponenten sicher zu halten und somit die Arbeit von bösartigen Angreifern zu erschweren. Gefundene Lücken werden den Hersteller:innen mitgeteilt und spätestens nach 90 Tagen (resp. 30 Tagen nach einem Patch) veröffentlicht. Neu publiziert das Team eine Woche nach der Mitteilung an den Hersteller limitierte Angaben bereits öffentlich, konkret das Vorhandensein einer Lücke in einem Produkt sowie dessen Hersteller. Dadurch können sich Anwender:innen darauf einstellen, zeitnahe Patches für das entsprechende Produkt einzuspielen. Dieser Schritt sollte die Adaption von Sicherheitsupdates stärken und den Druck auf Hersteller mit offenen Lücken erhöhen.
Schwachstellen
Update zur SharePoint-Lücke CVE-2025-53770
Für die im Juli publizierte Sicherheitslücke sind mittlerweile neue Details bekannt geworden. Demnach wurden auch Schweizer Systeme mittels dieser Schwachstelle angegriffen. Die Lücke wurde laut Berichten insbesondere von chinesischen Hackern ausgenutzt und bringe diverse Schwierigkeiten mit sich. Da laut Mitteilungen über diese Lücke auch in einigen Fällen Authentifizierungsdaten abgegriffen wurden, war resp. ist das Absichern der Systeme für Administrator:innen etwas komplexer. Die verlinkte Blogseite gibt eine kurze Übersicht und verweist auf diverse weitere Quellen zum Nachlesen von Details, Patch-Anleitungen und Hintergründen.
Lücke bei Foxit PDF
Bei den Reader- und Editor-Programmen von Foxit wurden mehrere Sicherheitslücken geschlossen. Mittels dieser hätten Angreifer:innen schlimmstenfalls das System (Windows und macOS) vollständig kompromittieren können. Aktive Angriffe über diese Lücke sind bisher nicht bekannt.
Hinweis zu Windows 10
Am 14. Oktober endet der offizielle Support für Windows 10. Im Anschluss gibt es, sofern man nicht proaktiv handelt, keine Updates und Fixes mehr für das Betriebssystem. Privat- wie auch Enterprisekund:innen können bei Bedarf eine Verlängerung um bis zu einem Jahr resp. drei Jahre kaufen. Wer bei Windows bleiben möchte und mit keinem der angebotenen Wege zufrieden ist, muss bis spätestens zum 14. Oktober auf Windows 11 wechseln oder riskiert, mit einem angreifbaren Betriebssystem zu arbeiten.
Betriebssysteme
Für alle grossen Betriebssysteme gab es im August sicherheitsrelevante Updates. Eine Übersicht kann bei den verlinkten Security-Seiten der jeweiligen Hersteller gefunden werden:
Über Martin Kupsky
Martin Kupsky ist freier Autor für das Abraxas Magazin und schreibt an der Schnittstelle zwischen Wirtschaft und Technik. Er besitzt einen Bachelor in Betriebswirtschaftslehre und studiert Business Innovation sowie digitale Kommunikation und Journalismus an der Universität St. Gallen.
