- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Doxing: Was Nutzer aus dem "Hackerangriff" lernen


Sicherheitstipps gegen Doxing: Die Veröffentlichung privater Daten von Politikern, Satirikern und anderen Prominenten sorgte de für viel Aufregung
Doxing von Politikerinformationen ist kein klassischer Hackerangriff - Missbrauchspotenzial der veröffentlichten Daten ist hoch

- Anzeigen -





Ein Youtuber mit dem Pseudonym 0rbit hat private Daten von Politikern, Prominenten und auch anderen Youtube-Bekanntheiten über Wochen ins Netz gestellt. Unklar ist bislang, wie genau der Täter an die Daten gekommen ist, und aus welchem Grund sie überhaupt veröffentlicht wurden. Betroffen sind neben Politikern aus fast allen Bundestagsfraktionen die Bundeskanzlerin, Satiriker wie Jan Böhmermann und Youtube-Stars wie Unge.

Die bislang bekannten Informationen deuten allerdings daraufhin, dass es sich nicht um einen klassischen "Hackerangriff" eines staatlichen Akteurs handelt. Für eine gezielte Kampagne wirkt nach Einschätzung von G Data insbesondere die Verbreitung der Informationen über einen gekaperten Twitter-Account wenig wahrscheinlich - tatsächlich fielen die veröffentlichten Informationen ja zum Teil einen Monat lang kaum jemandem auf. Mittlerweile hat die Polizei einen dringend tatverdächtigen 20-Jährigen festgenommen. Er soll noch bei seinen Eltern wohnen und die Tat bereits gestanden haben.

Es handelt sich also um gezieltes Doxing der betroffenen Personen. Doxing bezeichnet die Veröffentlichung privater Informationen gegen den Willen der betroffenen Personen. Das können neben der Postadresse Telefonnummern sein oder Informationen über Kinder, Kreditkartennummern oder Kopien des Ausweises. Das Missbrauchspotenzial dieser Informationen ist hoch.

Nach bisherigem Kenntnisstand ist davon auszugehen, dass ein politisch rechtsorientierter Youtuber die Daten gesammelt und ins Netz gestellt hat. Dabei wurden zum Teil Daten wie Telefonnummern und E-Mail-Adressen aus bereits bekannten Leaks zusammengestellt. Bei anderen Informationen konnte der oder die Täterin vermutlich über unsichere oder mehrfach verwendete Passwörter auf E-Mail- oder Social Media-Accounts zugreifen und so Daten abfischen. Auffällig ist, dass die AfD nach bisherigen Informationen die einzige im Bundestag vertretene Partei ist, die von den Veröffentlichungen nicht betroffen ist. Klar ist, dass es sich nicht um einen erneuten erfolgreichen Hackerangriff auf das Netz des Bundestages selbst handelt.

Viele der veröffentlichten Informationen dürften sich über eine detaillierte Recherche herausfinden lassen, ohne dass es dazu eines gezielten Angriffs bedürfte. In anderen Fällen könnte es gelungen sein, sich mit Hilfe bekannt gewordener Passwörter in Accounts bei anderen Diensten einzuloggen – denn noch immer nutzen viele Anwender fahrlässigerweise nur ein Passwort bei vielen verschiedenen Diensten.

Tipps gegen Doxing
Zwei-Faktor-Authentifizierung:
Die Anmeldung nur mit einem Passwort ist heute nicht mehr zeitgemäß. Denn immer wieder kommen die vermeintlich geheimen Passwörter bei unvorsichtigen oder schlecht gesicherten Anbietern abhanden. Noch immer kursieren zum Beispiel Millionen Passwörter aus dem Dropbox-Hack im Jahr 2012 frei im Internet. Wer sein Passwort mehrfach verwendet oder seitdem nicht geändert hat, ist gefährdet. Bei der Zwei-Faktor-Authentifizierung muss zusätzlich zum Passwort ein nur kurz gültiger Code aus einer Smartphone-App eingegeben, oder ein spezieller Schlüssel mit dem Computer verbunden werden.

Nach verlorenen Passwörtern suchen: Verschiedene Dienste helfen dabei, Datenlecks zu finden. Anbieter wie HaveIBeenPwned oder der Identity Leak Checker zeigen an, ob ein Account in der Vergangenheit von Sicherheitsproblemen betroffen war. Wer den Firefox-Browser verwendet, kann sich neuerdings ebenfalls über Probleme informieren lassen

Regelmäßig eine Google-Recherche auf den eigenen Namen durchführen: Damit können folgende Fragen beantwortet werden: Welche Informationen finden sich zu meiner Person im Netz? Sind diese Informationen korrekt? Sind Informationen einsehbar, die eigentlich privat sein sollten?

DSGVO-Rechte nutzen: Falls Anbieter falsche oder veraltete Informationen veröffentlichen, besteht unter bestimmten Umständen ein Recht, die Daten löschen zu lassen oder eine Korrektur zu veranlassen. Die Rechte leiten sich aus der EU-Datenschutzgrundverordnung ab.

Drittanbieter-Cookies deaktivieren: Cookies sind ein hilfreiches Instrument im Netz, um zum Beispiel Einstellungen auf einer Webseite, wie die verwendete Schriftgröße, zu speichern. Das erhöht den Komfort. Doch Drittanbieter-Cookies, zum Beispiel von Werbenetzwerken, können zahlreiche Informationen über den Nutzer sammeln – etwa über besuchte Webseiten oder bestimmte Interessen. Viele Webseiten bieten mittlerweile an, die Cookie-Bestimmungen detailliert anzupassen. Alternativ können Cookies auch regelmäßig gelöscht werden – dazu bieten alle Browser entsprechende Funktionen an.

App-Berechtigungen überprüfen: Apps auf dem Smartphone wollen häufig sehr weitreichende Rechte haben. Auch hier ist es oft praktisch, diese einfach zu gewähren. Wer sein Adressbuch bei Whatsapp hochlädt, der kann einfach alle Bekannten identifizieren, die dort ebenfalls sind. Datenschutzrechtlich ist diese Praxis aber zumindest umstritten.Es lohnt sich also, beim Einrichten neuer Apps genauer hinzuschauen. Braucht die Taschenlampen-App wirklich Zugriff auf meinen Standort? Und sollte ich wirklich mein Adressbuch bei der Nahverkehrs-App hochladen, nur um einfacher Adressen eingeben zu können? Bei der Verwaltung von App-Berechtigungen und dem Schutz vor bösartiger Software hilft die mobile Lösung von G DATA: Internet Security Android. Auf dem PC sorgt die G DATA Antivirenlösung für Sicherheit und verhindert ungewollten Datenabfluss.

Vorsicht bei E-Mails: Dass keine Anhänge von unbekannten Absendern geöffnet werden sollten, haben viele Nutzer mittlerweile verinnerlicht. Doch in den Mails lauern noch weitere Gefahren: In HTML E-Mails können Angreifer zum Beispiel Schadcode oder Tracking-Pixel verstecken. Mit beiden lassen sich Rückschlüsse auf Nutzer ziehen. Gleiches gilt für eingebettete Bilder. Die beste Einstellung ist es daher, E-Mails nur im Textformat zu senden und zu empfangen und das automatische Nachladen von Bildern zu deaktivieren.

eingetragen: 08.01.19
Newsletterlauf: 20.02.19

G Data Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Gefahr für jedes Sicherheitssystem

    Auch wenn die Methoden von Cyber-Angreifern immer raffinierter werden, die Hauptangriffswege bleiben gleich: gefälschte E-Mails und bösartige Downloads. Nur eine vollständige Isolierung dieser Gefahrenherde garantiert ein sicheres Surfen und Downloaden von Dokumenten, meint Sicherheitssoftware-Anbieter Bromium. Cyber-Angreifer nehmen Unternehmen und Behörden nach wie vor unter Nutzung der Angriffswege E-Mail und Download ins Visier. So vergeht kaum ein Tag, an dem nicht neue Phishing-Mails mit gefährlicher Schadsoftware auftauchen. Auch Social Engineering, das vor allem in Form von Spear-Phishing-Mails auftritt, liegt im Trend und stellt eine große Gefahr für jedes Sicherheitssystem dar. Zudem stellen bösartige Downloads, also Downloads mit unbekanntem Schadcode, die IT immer noch vor vermeintlich unlösbare Probleme. Bei Downloads von Dateien aus externen Quellen besteht immer die Gefahr, Opfer von Malware zu werden: sei es durch die Installation von Programmen oder das Starten von FTP-Filetransfers. Die Angriffsvarianten der Hacker sind dabei äußerst vielfältig: Sie reichen von Fake-Updates über URL-Weiterleitungen und DNS-Manipulationen bis hin zu fingierten Treibern und System-Tools.

  • Sicherheits-Tipps für das Arbeiten von unterwegs

    Immer mehr Menschen arbeiten bei schweißtreibenden Temperaturen nicht nur im Büro, sondern auf dem Balkon, im Schwimmbad, an Urlaubsorten oder wo auch immer Abkühlung geboten wird. Einige verwandeln ihren gesamten Arbeitsplatz in eine Weltreise: Die Zahl der digitalen Nomaden beläuft sich laut Schätzungen auf eine halbe Million Menschen. Das Arbeiten von unterwegs bietet zwar eine willkommene Ablenkung, aber auch ein erhöhtes Sicherheitsrisiko. Deshalb hat die OTRS AG folgende Tipps zusammengestellt, wie das Sicherheitsrisiko beim Arbeiten außerhalb des Büros möglichst gering gehalten werden kann.

  • KRITIS-Unternehmen sind attraktive Ziele

    Der Schutz Kritischer Infrastrukturen (KRITIS) vor Cyberangriffen ist eine besonders heikle Aufgabe, da bei erfolgreichen Cyberangriffen darauf nicht nur die öffentliche Ordnung bedroht ist und gravierende Störungen von vielen Lebensbereichen eintreten werden, sondern auch ganz konkret Menschenleben in Gefahr sind. Wenn Strom plötzlich nicht mehr so fließt, wie es die Menschen und Unternehmen gewohnt sind, funktionieren beispielsweise schlagartig keine Ampeln mehr. Verkehrsunfälle sind vorprogrammiert. Umso länger der Strom wegbleibt, umso schlimmer werden die Folgen: Produktion, Transport und Verkauf von Wasser, Lebensmitteln, Arzneimitteln und vielem mehr kommen fast vollständig zum Erliegen. Der breiten Öffentlichkeit wurde ein solches Horrorszenario - ein länger andauernder europaweiter Stromausfall - erstmals durch den Roman Blackout von Marc Elsberg veranschaulicht.

  • Verwendung von PGP und Keyservern

    In letzter Zeit traten gehäuft Probleme bei der Verwendung von PGP und Keyservern auf: Bereits Angriffe mit einfachsten Methoden auf SKS Keyserver führten zu Überlastungen und dazu, dass Schlüssel unbrauchbar wurden. Darauf machen die IT-Sicherheitsexperten der PSW Group aufmerksam. Die E-Mail-Verschlüsselung per PGP ist attraktiv: Kostenfrei und mit wenig Aufwand können Anwender ihren Mail-Verkehr verschlüsseln. Dieses Verfahren hat jedoch deutliche Schwächen, die dazu führen, dass das vermeintliche Gefühl von Sicherheit tatsächlich beeinträchtigt wird. "Mittels eines PGP Key Servers kann jeder Nutzer auf einfache Art ein Schlüsselpaar erstellen. Das allerdings ist das erste Problem: Jeder kann für jeden x-beliebigen anderen Menschen eine Nutzerkennung anlegen, die aus Vor- und Zunamen sowie der E-Mail-Adresse besteht. Eine Identitätsprüfung findet dabei nicht statt", so Christian Heutger, CTO der PSW Group. Stattdessen verifizieren und bestätigen andere Nutzer die Identität nach dem Ansatz des Web of Trust: Durch eine PGP-Signatur bekunden PGP-Nutzer ihr Vertrauen am öffentlichen Schlüssel.

  • Laterales Phishing: Die wachsende Bedrohung

    Der Missbrauch gehackter E-Mail-Konten durch Cyberkriminelle ist nach wie vor eine der größten Bedrohungen für die E-Mail-Sicherheit. Dabei entwickeln Angreifer ihre Taktiken kontinuierlich weiter: In Zusammenarbeit mit Forschern der UC Berkeley und der UC San Diego entdeckten Sicherheitsforscher von Barracuda eine neue und wachsende Art des Kontoübernahme-Angriffs: das laterale Phishing. Bei lateralen Phishing-Angriffen missbrauchen Cyberkriminelle kompromittierte Konten, um Phishing-Mails an eine Reihe von Empfängern zu senden, von engen Kontakten innerhalb des Unternehmens bis hin zu Geschäftspartnern anderer Unternehmen. Die Studie ergab, dass eines von sieben Unternehmen in den letzten sieben Monaten laterale Phishing-Angriffe erlebt hat.