Bereits vor dem Jahresende war klar, dass 2024 zu den ereignisreichsten Jahren in der Cyber-Security-Geschichte zählen würde. Zunehmend mehr Angriffe, neue und kreative Methoden und unzählige, grosse Datenleaks hielten viele IT-Verantwortliche auf Trab. Dabei fanden einige der Geschichten erst in den letzten Tagen des Dezembers den Weg in die Öffentlichkeit: Bei dem alljährlichen Chaos Communication Congress des CCC (Chaos Computer Club) trafen sich über 14'000 Hacker:innen, IT-Interessierte und Kunstschaffende und sprachen über alles, was in einem Cyberspace Platz finden kann. Dabei gab es nebst Workshops und Hobbyprojekten auch zahlreiche Vorträge über Sicherheitslücken, Datenleaks und Cyberangriffe, wovon einige im Security Briefing aufgenommen werden.
Parallel dazu hat das BACS Zahlen zum vergangenen Jahr (2024) veröffentlicht. Dabei gingen bei der Behörde 63'000 Meldungen ein, was einem Anstieg von rund 13'000 Meldungen entspricht. Dieses lässt sich insbesondere auf die Kategorie «Drohanrufe im Namen von Fake Behörden» zurückführen. Zudem werden mittlerweile Phishing-Kampagnen über alle erdenklichen Kanäle beobachtet: Von der klassischen E-Mail über physische Briefe hin zu überklebten QR-Codes.
Ebenso wurde der Anti-Phishing-Bericht veröffentlicht, welcher spezifisch auf den Daten von antiphishing.ch basiert. Untersucht werden dabei sowohl gemeldete Webseiten als auch E-Mails, welche die Bevölkerung und Unternehmen melden. So konnten dieses Jahr mehr als doppelt so viele Seiten erkannt und diverse Trends, unter anderem Verschiebungen bei den beliebtesten imitierten Marken, festgestellt werden. Der vollständige Bericht enthält wie gewohnt nebst Fakten und Analysen auch weitere Tipps zur Phishing-Prävention.
Mit Blick auf die Zukunft werden zumeist ähnlich hohe Zahlen oder sogar ein Wachstum der Cyberangriffe erwartet. Wer sich im neuen Jahr dagegen schützen möchte, ist dazu eingeladen, sich von den «Neujahresvorsätzen» des BACS inspirieren zu lassen. Von der Updatekultur über Passwort-Manager hin zur Mehrfaktoren-Authentifizierung behandelt der Beitrag die wichtigsten Grundlagen, welche man für 2025 im Blick behalten sollte.
Cyberangriffe
Angriffe auf die interne E-Mail-Kommunikation
Der Zugriff auf ein geschäftliches E-Mail-Konto bildet für Hacker ein besonders attraktives Einfallstor für weitreichende Angriffe. Wie das BACS exemplarisch an einem Beispiel aufzeigt, betreiben einige Angreifer einen grossen Aufwand, um an Rechnungen, Zahlungsinformationen, technischen Details oder Kundenbeziehungen zu gelangen. Im vorliegenden Fall haben die Betrüger die Kommunikation zwischen der Firma und den Kunden manipuliert. Sie registrierten ähnliche Domains wie «firma-x.cam» (statt .com) und gaben sich als Firma oder Kunde aus, um Informationen abzuschöpfen oder Zahlungen umzuleiten. Solche «Business Email Compromise»-Angriffe können erheblichen finanziellen Schaden verursachen. Details zum Angriff sowie Präventionsstrategien teilt das BACS in seinem Wochenrückblick. Mehr dazu
Der CEO-Betrug ist zurück
Zum Jahresende mehrten sich in der Schweiz erneut Meldungen über Variationen des CEO-Betrugs. Dabei werden Mitarbeitende über geschickt ausgewählte Outlook-Adressen, angeblich von einem Vorgesetzten, kontaktiert und um einen Gefallen gebeten. Zudem wird häufig vorgegaukelt, über andere Kommunikationskanäle nicht erreichbar zu sein. Fällt die Imitation nicht auf, folgt in der Regel die Bitte um den Kauf von Gutscheinkarten oder andere monetäre Dienste.
Angriff auf den Bund
Am 10. Januar wurde die Bundesverwaltung mittels Distributed-Denial-of-Service-Angriff (DDoS) kurzzeitig gestört. Während rund 45 Minuten waren einige Dienste, u.a. die Telefonie, E-Mail sowie Webseiten und Fachanwendungen, nicht erreichbar. Dank Gegenmassnahmen konnte der Angriff schnell abgewehrt werden, Daten flossen dabei keine ab. Weitere Abklärungen sind nun im Gang. Mehr dazu
Data Breach / Datenschutz
VW-Datenskandal
Einer der grössten Fälle am 38C3 (Chaos Computer Congress 2024) waren die VW-Leaks. Aufgrund einer mangelhaften Konfiguration konnten die ethischen Hacker problemlos auf diverse Daten von über 800'000 Fahrzeugen zugreifen. Bei mehr als der Hälfte dieser Fahrzeuge inkludierten diese Standortdaten, welche eine Präzision auf 10 cm Genauigkeit aufwiesen und somit Rückschlüsse auf das Leben der Fahrzeughalter ermöglichten. Von regelmässigen Besuchen bei Behörden-, Militär- und Geheimdienstgebäuden über Besuche beim Bordell: Das Profiling von interessanten Personen erscheint leicht. Böswillige Akteure hätten mit diesem Datensatz viel Schaden anrichten können. Während die Untersuchungen noch laufen, sind bisher keine Zugriffe ausserhalb der CCC-Recherchen entdeckt worden. Mehr dazu
Gravy Analytics und Databroker Files
Gleich zweimal machten zudem Databroker-Leaks im vergangenen Monat Schlagzeilen. Alles begann mit der Meldung, dass Hacker Zugriff auf den Datensatz von Gravy Analytics erhalten hätten, welche die Standortdaten von Millionen von Menschen sammeln und weiterverkaufen. Ein erster veröffentlichter Ausschnitt wurde dabei als authentisch eingestuft. Wenig später folgte ein neuer Datensatz, welcher rund 380 Millionen Standortdaten von einem einzigen Tag beinhaltet und als Datenquelle rund 40'000 verschiedene Apps beinhaltet. Dazu gehören unter anderem Wetter Online, Dating- und Gebetsapps sowie Handyspiele. Die Aufarbeitung diverser europäischer Medien hilft dabei zu verstehen, wie die globalen Databroker funktionieren und wie viele Daten Smartphonenutzer täglich – häufig unbewusst – von sich preisgeben. Mehr dazu
Apple Intelligence und Siri
Apple stimmte einem Vergleich zu, nachdem eine Gruppe von Nutzer:innen dem Unternehmen vorgeworfen hatte, Gesprächsaufnahmen nach dem versehentlichen Aktivieren von Siri («Hey Siri») zu speichern und an Werbetreibende zu weiterzugeben. Während Apple jegliche Schuld von sich weist, hat das Unternehmen sich dennoch dazu bereiterklärt, 95 Millionen USD an die betroffenen Nutzerinnen und Nutzer auszuzahlen. Mehr dazu
Die elektronische Patientenakte (ePA) in Deutschland
Ebenfalls im Rahmen des 38C3 wurden weitere Sicherheitsmängel in der elektronischen Patientenakte (ePA) in Deutschland aufgedeckt. Die ePA sollte demnächst für alle via Opt-Out-Prinzip verfügbar sein. Wie einige Hacker am 38C3 demonstrieren konnten, stecken in der aktuellen Version noch diverse schwerwiegende Sicherheitslücken. Diese gilt es nun noch vor der Veröffentlichung zu schliessen. Im grösseren Kontext reiht sich dieser Vorfall in die andauernde Diskussion über den Schutz und die Sicherheit hochsensitiver Daten und digitaler Systeme ein. Mehr dazu
Kennzeichenausleser leaken Daten in den USA
In den USA bereiten indes erneut automatisierte Kennzeichenausleser Probleme. Einige der Kameras, welche nur für bestimmte Behörden zugänglich sein sollten, sind wegen eines Konfigurationsfehlers ohne Eingabe von Nutzernamen oder Passwörtern zugänglich. So können nicht nur die Kamera-Livestreams mitgeschaut werden, sondern auch die Fülle an Daten mitgeschnitten werden, welche solche Systeme sammeln. Die automatisierten Systeme werden regelmässig wegen Datenschutzbedenken diskutiert. Mehr dazu
Hintergrund
Besserer Schutz für drahtlose, digitale Geräte
Das Bundesamt für Kommunikation (BAKOM) verstärkt sein Engagement im Bereich Netz- und Cybersicherheit. Drahtlose Geräte wie Smartphones, Smartwatches und Babyphones, die mit dem Internet verbunden sind, müssen bessere Garantien in Bezug auf die Cybersicherheit bieten. Diese Anforderungen durchsetzen wird die Sektion «Marktzugang und Cybersicherheit». Die neue Sektion «Sicherheit Netze und Dienste» hat zum Ziel, die Sicherheit und Verfügbarkeit der Fernmeldenetze und -dienste aufrechtzuerhalten und zu stärken. Mehr dazu
ChatGPT, Claude oder doch llama?
Es ist kein Geheimnis mehr, dass künstliche Intelligenzen in einer gewissen Form bleiben und längerfristig relevant sein werden. Im Zuge der rasanten Entwicklungen ist es jedoch schwer, nicht den Überblick zu verlieren. Wem dies passiert ist, dem kann der das verlinkte Write-Up «What we learned about LLMs in 2024» helfen. Mehr dazu
Operation «Power-off» – DDoS
Der Europol gelang in Zusammenarbeit mit diversen Polizeibehörden ein Schlag gegen 27 DDoS-Anbieter. Im Rahmen der seit 2022 laufenden Operation «Power-Off» konnten rund 300 Nutzer identifiziert und drei Admins verhaftet werden. Somit konnten kurz vor Weihnachten diverse «Stresser», wie die DDoS-Dienste auch genannt werden, aus dem Verkehr gezogen werden. Mehr dazu
UK will Lösegeldverbot einführen
Das Vereinigte Königreich möchte nun einer Forderung nachkommen, welche einige Security-Expert:innen schon lange fordern: das Verbot von Ransom-Zahlungen. Kombiniert wird dies mit einer Meldepflicht für Behörden, Unternehmen sowie Privatpersonen. Die Idee dahinter ist, dass durch das Verbot von Zahlungen das ganze Land unattraktiver für Angriffe wird und gleichzeitig Betroffene vom Staat unterstützt resp. Angriffe frühzeitig erkannt werden können. Noch befinden sich die Vorschläge in der Vernehmlassung. Mehr dazu
Rückblick auf 20 Jahre MELANI
Die Schweizer Melde- und Analysestelle MELANI wird 20 Jahre alt. Anlässlich dieses Jubiläums hat die Branchenzeitung Inside-IT die grössten Fälle gesammelt und deren Erfolge nachgezeichnet. Vom ersten E-Banking-Trojaner hin zu den neusten DDoS-Angriffen werden im Beitrag die wichtigsten Ereignisse beschrieben. Mehr dazu
Schwachstellen
Zur verbesserten Sichtbarkeit von ausserordentlichen Schwachstellen werden Sicherheitslücken von Standardsoftware (z. B. Windows oder iOS) mit wöchentlichen bis monatlichen Updates gesammelt dargestellt.
Adobe
Wie gewohnt behebt Adobe Sicherheitslücken in seinen Produkten. Dazu gehören unter anderem Lücken in populären Anwendungen wie Photoshop, über welche Angreifer schlimmstenfalls Schadcode ausführen oder Geräte übernehmen könnten. Mehr dazu
Zoom
Auch für die Workplace-Anwendungen von Zoom stehen Updates bereit, welche eingespielt werden sollten. Während die schlimmste Lücke lediglich Linux-Betriebssysteme betrifft, ermöglichen andere Schwachstellen auch Angriffe auf Windowsgeräte mit veralteten Zoom-Anwendungen. Die Updates können regulär eingespielt werden. Mehr dazu
Foxit PDF
Für den Reader sowie Editor von Foxit sind mehrere Schwachstellen bekannt geworden. Unter anderem sind Angriffe mittels manipulierter PDFs und Rechteausweitungen möglich. Weitere Informationen zum Patchen sind unten verlinkt. Mehr dazu
Betriebssysteme
Für alle grossen Betriebssysteme gab es im Januar sicherheitsrelevante Updates. Eine Übersicht kann bei den verlinkten Security-Seiten der jeweiligen Hersteller gefunden werden:

Über Martin Kupsky
Martin Kupsky ist freier Autor für das Abraxas Magazin und schreibt an der Schnittstelle zwischen Wirtschaft und Technik. Er besitzt einen Bachelor in Betriebswirtschaftslehre und studiert Business Innovation sowie digitale Kommunikation und Journalismus an der Universität St. Gallen.