Am Abstimmungssonntag vom 24.11. kam es zu einem bedeutsamen DDoS-Angriff in der Schweiz, der zu erheblichen Störungen führte: Zahlreiche Websites von Gemeinden sowie von zwei Kantonen waren zeitweise nicht erreichbar. Das primäre Ziel des Angriffs war die Website des Kantons Schwyz. Der Angriff beeinträchtigte jedoch auch viele weitere Kunden desselben IT-Dienstleisters, darunter 318 Gemeindewebsites sowie die Onlineauftritte der Kantone Schwyz und Glarus. Infolgedessen konnten einige Städte und Gemeinden die Abstimmungsergebnisse nur verzögert auf ihren eigenen Websites veröffentlichen. Die Übermittlung der Abstimmungsdaten selbst blieb jedoch unberührt.
Gemäss Bundesamt für Cybersicherheit BACS konnte kein Zusammenhang mit dem Abstimmungstermin festgestellt werden. Als Reaktion auf den DDoS-Angriff auf den Kanton Schwyz forderten einige Politiker:innen noch am Abstimmungssonntag, der Kanton müsse mehr für seine IT-Sicherheit tun. Der Regierungsrat solle eine vollständige Auslegeordnung vornehmen und konkrete Vorschläge und verbindliche Massnahmen unterbreiten.
Diese Vorfälle reihen sich in die Entwicklungen der letzten Jahre ein: Während es immer häufiger zu Angriffen kommt, wächst auch von politischer Seite der Druck, mehr für die IT-Security im eigenen Land zu tun. So hat laut Medien nun auch der Nationalrat die Motion «Durchführung dringend notwendiger Cybersicherheitsprüfungen» befürwortet, über welche das Security Briefing bereits im letzten Monat berichtete. Parallel hat das Kantonsparlament in Bern ebenfalls einem Cybergesetz zugestimmt. Dabei stehen insbesondere vereinheitlichte und klare Regeln für die digitale Sicherheit im Zentrum.
Cyberangriffe
Betrügerische öV-Angebote
Ende November hat das BACS vermehrt Berichte über betrügerische Anzeigen in den sozialen Medien erhalten, die angeblich von schweizerischen und liechtensteinischen Verkehrsbetrieben stammen. Diese Anzeigen locken Nutzer mit Gewinnspielen und kostengünstigen Abonnements, die sich als sogenannte «Abo-Fallen» entpuppen. Wer den gefälschten Posts folgt, landet auf betrügerischen Websites, welche persönliche Daten sammeln und häufig zu ungewollten und teuren Abos führen. Weitere Informationen und Empfehlungen teilt das BACS im Wochenrückblick.
Gemeinde Sennwald
Ende Oktober kam es bei der Gemeindeverwaltung von Sennwald (SG) zu einem Cyberangriff, bei dem eine Schwachstelle in der Firewall des Gemeinde-Servers ausgenutzt wurde. Dieser Angriff führte zu einem mehrtägigen Ausfall der IT-Infrastruktur, wodurch die Angestellten keinen Zugriff auf E-Mails und andere Systeme hatten. Es gingen keine Forderungen der Angreifer ein. Der Angriff konnte durch die richtige Reaktion der involvierten Stellen abgewehrt werden. Ebenso waren die Produktivsysteme laut Berichterstattung nicht betroffen gewesen, da diese extern gehostet werden.
Mehr dazu
Wifi-«Nearest Neighbour»-Angriff
Die Hackergruppe APT28 (Fancy Bear, vermutlich russischer Militärgeheimdienst) nutzte 2022 laut einem Sicherheitsforscher einen neuen Hacking-Ansatz zur Infiltration von Wifi-Netzwerken. Statt wie bei früheren Angriffen derselben Gruppe vor Ort mit Antennen und Laptops anzugreifen, übernahm die Gruppe zuvor die Infrastruktur von anderen Organisationen in physischer Nähe zum eigentlichen Ziel. Sind die «Nachbarn» des eigentlichen Ziels kompromittiert, nutzen die Angreifer deren Wifi-Antennen, um damit das Wifi-Netzwerk des eigentlichen Ziels anzugreifen. So gelang es der Gruppe, ohne physische Anwesenheit (und den entsprechenden Risiken) gezielte Angriffe auf Zielnetzwerke durchzuführen. Diese Methode wurde erstmals von einer Sicherheitsfirma entdeckt, als diese einen Vorfall in Washington, D.C. untersuchte.
Mehr dazu
QR-Code Angriffe
Bei Parkautomaten und E-Ladesäulen kam es laut Medienberichten vermehrt zu Quishing – dem Phishing mittels QR-Codes. Dabei werden die offiziellen QR-Codes bei den Bezahlsäulen mit gefälschten Codes überklebt. Statt eine App oder den AppStore zu öffnen, zeigen die gefälschten QR-Codes täuschend echt aussehende Scam-Webseiten. Geben Opfer ihre Angaben dort an, kann es zu hohen Abbuchungen durch die Angreifer kommen.
Data Breach / Datenschutz
Microsoft Recall: Nach wie vor fehlerhaft
Mit «Recall» hat Microsoft ein Feature entwickelt, welches bei Windows alle fünf Sekunden einen Screenshot erstellt und durchsuchbar indexiert. Damit sollen Nutzer:innen jederzeit frühere Informationen wiederfinden. Nachdem Microsoft «Recall» aufgrund von Sicherheitsbedenken zuerst zurückgerufen und nun erneut veröffentlicht hat, folgten bei einem Test von «Tom’s Hardware» ernüchternde Ergebnisse: Nach wie vor speichert «Recall» auch bei aktiviertem Privatsphäre-Filter in einigen Fällen sensitive Informationen wie Kreditkarten-Nummern oder die «Social Security»-Nummer. Das birgt für Nutzer:innen ein Datenschutz- und Sicherheitsrisiko. Microsoft verspricht Besserung über die Zeit, während Tech-Medien eher bezweifeln, dass dieses Problem effektiv gelöst werden kann.
Mehr dazu
DSGVO-Verstoss im Rahmen der Chatkontrolle
Ebenfalls um Werbung geht es bei einem Verweis durch den Datenschutzbeauftragten der EU: Laut Heise griff die alte EU-Kommission unter Ursula von der Leyen für eine PR-Kampagne für die umstrittene Chatkontrolle auf Daten über die politische Gesinnung von Nutzer:innen zurück. Diese Datenverarbeitung darf laut DSGVO jedoch nur unter klar definierten Bedingungen stattfinden, wozu unter anderem die ausdrückliche Zustimmung der betroffenen Personen gehört. Die Rechtfertigungsversuche der Kommission überzeugten nicht, wodurch es nun zu einem Verweis kam.
Mehr dazu
Databroker tracken US-Armee und Protestierende
Nachdem einige US-Datenbroker angeblich Daten von Personen in der Nähe sensibler Einrichtungen wie Schutzhäusern, US-Militärstützpunkten und Kirchen gesammelt und verkauft haben sollen, schreitet nun die amerikanische Behörde FTC ein. Laut Medienberichten sind die Daten nicht nur für Werbezwecke verwendet worden, sondern kamen auch für politische Kampagnen und staatliche Behörden zum Einsatz. Mit den Massnahmen möchte die FTC die Interessen der amerikanischen Bürger:innen und des Staates besser schützen und weitere Orte für das Tracking sperren. Von ähnlichen Risiken durch kommerzielle Databroker dürfen auch andere Staaten ausgehen.
Mehr dazu
Hintergrund
In eigener Sache: Raphael Hauser wird neuer Abraxas CISO und Leiter CRS
Abraxas holt sich Verstärkung in einer Schlüsselposition: Seit Anfang Dezember 2024 ist Raphael Hauser neuer Chief Information Security Officer (CISO) und Leiter des Teams Compliance, Risk & Security (CRS). Der neue Abraxas-CISO stellt sicher, dass die Sicherheitsbedürfnisse der Abraxas-Kunden wie auch des eigenen Unternehmens weiterhin höchste Priorität geniessen. Mehr über Raphael Hauser kann in der Medienmitteilung gelesen werden.
Zur Medienmitteilung
Zero-Days sind hoch im Kurs
Laut einem neuen Bericht der Five-Eyes-Staaten sind 2023 Zero-Day-Lücken deutlich häufiger ausgenutzt worden als in den Vorjahren. Dies ermöglicht es den Hackern, höherrangige Ziele anzugreifen. Gleichzeitig hält der Bericht fest, dass neue Lücken insbesondere in den ersten zwei Lebensjahren attraktiv sind. Je schneller die Anwendercommunity die jeweiligen Lücken patched, desto unattraktiver werden diese für die Angreifer.
Mehr dazu
FBI empfiehlt E2EE – und neues zu Salt Typhoon-Hackern
Die Hackergruppe Salt Typhoon gibt erneut zu reden: Laut neusten Medienberichten ziele die Gruppe mit ihren jüngsten Hacks auf die Abhörung von Telefongesprächen hochrangiger amerikanischer Politiker ab. Laut der US-Regierung wurden dabei Telefonanrufe aufgezeichnet und Metadaten unzähliger Amerikaner gestohlen. Dennoch ist das vollständige Ausmass bisher nicht geklärt und wird weiter durch die Behörden untersucht. In der Konsequenz rät das FBI für alle Bürger, strikt auf Ende-zu-Ende-verschlüsselte Kommunikationsdienste zu setzen.
Mehr dazu
Sicherheitslücke bei EasyTax
Es wurde in einem Modul der Steuer-Deklarationssoftware «EasyTax 2023» sowie dem Vorjahresmodell eine Sicherheitslücke entdeckt. Das Software-Modul stammt von der Schweizerischen Steuerkonferenz SSK und wird von mehreren Kantonen und Deklarationslösungen vieler Steuersoftware-Anbieter eingesetzt. Einige Kantone empfehlen, die alten EasyTax-Versionen zu löschen, auch wenn das Sicherheitsrisiko von den Kantonen und Sicherheitsforschern als gering eingestuft wird und die Ausnutzung der Schwachstelle komplex wäre. Wer die Software für seinen Kanton benötigt, kann die gepatchte Version herunterladen.
Mehr dazu (Medienmitteilung Kanton Aargau)
Lange Erholungszeiten nach einem Cybervorfall
Laut einer Studie von Fastly benötigen die befragten Unternehmen im DACH-Raum beinahe neun Monate, um sich nach einem Cybervorfall vollständig zu erholen. Laut den Studienautoren ist diese Erholungsdauer länger als der globale Schnitt und auch ausgiebiger als erwartet. Befragt wurden rund 1’800 Unternehmen, wovon rund 200 aus der DACH-Region stammen.
Mehr dazu
KI, Demokratie und Wahlen
Mit einer ausserordentlichen Menge an Wahlen und den gleichzeitigen Fortschritten bei der KI-Entwicklung fragen sich einige, welchen Einfluss die künstliche Intelligenz auf die Demokratien haben wird. Bruce Schneider gibt in seinem Blog «Schneider on Security» einen Überblick über die positiven, neutralen und negativen Seiten von KI im vergangenen Wahljahr. Von verbesserter Kommunikation mit den Wähler:innen dank KI-Übersetzungen über Fundraising-Kampagnen-Unterstützung bis hin zu Deepfakes werden die wichtigsten Anwendungsfälle vorgestellt. Klar ist: KI wird auch in der Zukunft zum Einsatz kommen und einen Einfluss auf die demokratischen Prozesse haben.
Mehr dazu
#AbraxasIntelligence: Themendossier zu Chancen von KI bei Schweizer Verwaltungen
Temu-Analyse des Schweizer NTC
Eine Sicherheitsanalyse durch das Nationale Testinstitut für Cybersicherheit (NTC) über die chinesische App Temu kommt zu positiven Schlüssen mit Vorbehalt. Die Untersuchung identifizierte einige «Red Flags», fand jedoch keine kritischen Sicherheitsrisiken oder Beweise für unerlaubte Überwachung. Auffällig waren das dynamische Nachladen von Code in die Laufzeitumgebung und zusätzliche Verschlüsselungsschichten, die zwar den Datenschutz erhöhen, aber auch unerwünschte Datenübertragungen verschleiern könnten. Die App entspricht ansonsten weitgehend den Standards von E-Commerce-Anwendungen und verlangt weniger Berechtigungen als vergleichbare Apps. Das NTC empfiehlt, die App kritisch zu hinterfragen und nur notwendige Berechtigungen zu erteilen.
Mehr dazu
Schwachstellen
Zur verbesserten Sichtbarkeit von ausserordentlichen Schwachstellen werden Sicherheitslücken von Standardsoftware (z.B. Windows oder iOS) mit wöchentlichen bis monatlichen Updates gesammelt dargestellt.
Microsoft Authenticator
Der Microsoft Authenticator besass zeitweise einen Fehler, wodurch die Sicherheit des zweiten Faktors signifikant reduziert wurde. Die Lücke konnte mittlerweile durch Microsoft geschlossen werden. Angreifer hätten zuvor die verlängerte Lebensdauer des sechsstelligen Codes sowie eine weitere Lücke ausnutzen können, um potenziell den zweiten Faktor beim Log-in zu erraten.
Mehr dazu
WordPress
Das beliebte Wordpress-Plugin WPForms besass eine Sicherheitslücke, wodurch Angreifer Zahlungen sowie Abonnements auf der Webseite hätten erstatten und auflösen können. Der Fehler wurde mit der Version 1.9.2.2 behoben und betraf zuvor potenziell rund 6 Millionen Webseiten.
Mehr dazu
Drupal
Das beliebte CMS Drupal enthält in der Version 7 eine kritische Lücke. Dadurch hätten sich unter bestimmten Voraussetzungen gewisse Sicherheitsrisiken für Webseitenbesucher ergeben. Mit der Version 7.102 wurde dieser Fehler behoben. Weitere Sicherheitslücken betreffen auch höhere Versionsnummern von Drupal und wurden ebenfalls mit einem Patch versehen.
Mehr dazu
Ivanti
Auch in diesem Monat behebt Ivanti zahlreiche Lücken in ihren Produkten. Dazu gehört unter anderem eine Schwachstelle für Ivanti Cloud Services Application (CSA), welche ohne Anmeldung Zugriff auf die Adminkonsole ermöglicht und hierfür ein CVSS-Rating von 10.0 erhalten hat.
Mehr dazu
Betriebssysteme
Für alle grossen Betriebssysteme gab es im Dezember sicherheitsrelevante Updates. Eine Übersicht kann bei den verlinkten Security-Seiten der jeweiligen Hersteller gefunden werden:
![Martin Kupsky](/media/ygmjgv5b/martin-kupsky.jpg?width=140&height=140&mode=crop&quality=80 1x, /media/ygmjgv5b/martin-kupsky.jpg?width=306&height=306&mode=crop&quality=80 2x)
Über Martin Kupsky
Martin Kupsky ist freier Autor für das Abraxas Magazin und schreibt an der Schnittstelle zwischen Wirtschaft und Technik. Er besitzt einen Bachelor in Betriebswirtschaftslehre und studiert Business Innovation sowie digitale Kommunikation und Journalismus an der Universität St. Gallen.