:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/f7/90f77fbb7d45ab622971a24ea53da577/0111572690.jpeg "Kritische Informationen können über Schwachstellen in der Open Time Series Database abfließen. (Bild: <a href=https://pixabay.com/de/users/moritz320-1260270/>moritz320</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/42/f8/42f892d7d2c6dd755e4c5b0cfdb7fa7c/0111847725.jpeg "Die Methoden und die Ausführung haben sich bei Ransomware in den letzten Jahren deutlich weiterentwickelt. Früher ging es um Profit, heute geht es um viel mehr als das. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Drittanbieter speichern umfassende Datensätze auf AWS S3 Facebook verliert Kontrolle über Daten
Über 146 Gbyte an Informationen von Facebooknutzern standen per Amazon S3 offenbar jedem frei zum Download verfügbar, darunter auch unverschlüsselte Passwörter – das berichtet Sicherheitsanbieter UpGuard in einem Blogbeitrag vom 3. April.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Mit den zwei jetzt gefundenen Datensätzen verdeutlicht das UpGuard Cyber Risk Team eindringlich die Gefahren massenhaft durchgeführter Datensammlungen. Die von Drittanbietern stammenden Datensätze waren unabhängig voneinander in Amazon S3 Buckets gespeichert. Über die hätte jeder Internetanwender hunderte Millionen Einträge zum Nutzerverhalten einzelner Facebookanwender herunterladen können – ohne dass das Social Network noch etwas dagegen hätte tun können.
Die Daten stammen einerseits von der in Facebook integrierten App „At the Pool“, die offenbar bereits 2014 eingestellt wurde. Enthalten waren hier Details von 22.000 Nutzern. Neben Vorlieben, Fotos und Freunden enthielt der Datensatz auch unverschlüsselte Passwörter. UpGuard vermutet allerdings, dass es sich dabei um Zugangsdaten zur App handelt – und nicht solche zu Facebook selbst. Ein akutes Sicherheitsrisiko wäre damit nur für Anwender konstruierbar, die identische Passwörter bei verschiedenen Diensten genutzt und schon seit längerer Zeit nicht mehr geändert haben.
:quality(80)/images.vogel.de/vogelonline/bdb/1403800/1403835/original.jpg "Facebook ist in den Standardeinstellungen sehr unsicher. Hacker nutzen das aus, um Profile zu kopieren und Daten zu stehlen. (mast3r - adobe.stock.com)")
Soziale Netzwerke absichern
Wichtige Sicherheitseinstellungen für Facebook
Im zweiten Datensatz fanden die Forscher andererseits über 540 Millionen Datensätze mit einem Umfang von 146 GByte, die vom mexikanischen Medienunternehmen Cultura Colectiva stammen. Wenngleich UpGuard hier nicht auf gespeicherte Passwörter verweist, biete die Dichte der gesammelten Informationen zu Nutzern, Kommentaren oder Likes an sich einiges Missbrauchspotential.
Träge Reaktionen und Beschwichtigungen
UpGuard will Cultura Colectiva wiederholt per Mail am 10. Januar und 14. Januar auf die öffentlich zugänglichen Daten hingewiesen, darauf aber keine Reaktion erhalten haben. Eine Mitteilung vom 28. Januar an Amazon Web Services (AWS) wurde offenbar beantwortet, die Daten im Bucket seien jedoch weiterhin frei zugänglich geblieben. Erst nach einer Nachfrage des Medienunternehmens Bloomberg an Facebook am 3. April sei der „cc-datalake“ genannte Bucket schließlich gesichert worden.
Laut Nachrichtensender CNBC beschwichtigt Cultura Colectiva: Privatsphäre und Sicherheit von Nutzern seien nicht gefährdet gewesen, denn private Daten wie Passwörter oder E-Mails waren nicht zugänglich. Nichtsdestotrotz habe man die eigenen Sicherheitsmaßnahmen verstärkt.
:quality(80)/images.vogel.de/vogelonline/bdb/1516000/1516099/original.jpg "Das Bundeskartellamt steht in Kontakt mit Datenschützern. (Bundeskartellamt)")
Diskussion um Datenverknüpfung, DSGVO und Marktmacht
Bundeskartellamt maßregelt Facebook
Mit Facebook selbst hat UpGuard in der Angelegenheit offenbar nicht kommuniziert. Ein von CNBC nicht namentlich von genannter Unternehmenssprecher will zumindest keine Kenntnis von einer Kontaktaufnahme haben. Dafür verwies Facebook gegenüber dem Sender auf die eigenen Policies; denen zufolge dürften Dritte von Facebook stammende Informationen nicht an ungesichteren Orten ablegen.
Bei „At the Pool“ seien die Daten derweil noch offline gegangen, bevor UpGuard eine Mitteilung hatte verschicken können. Über die Gründe hierfür lässt sich freilich nur spekulieren.
Nur halbe Entwarnung
Die gute Nachricht: Beide Lecks enthalten offenbar keine Passwörter zu Facebook-Konten. Nichtsdestotrotz zeigen die Datansätze laut UpGuard, wie leicht das Soziale Netzwerk die Kontrolle über einmal gesammelte Daten verliert. Auch wenn Facebook den Zugriff Dritter auf Daten künftig beschränke: Eine Fülle bereits in freie Wildbahn gelangte Informationen ließen sich nicht mehr zurückholen oder kontrollieren.
:quality(80)/images.vogel.de/vogelonline/bdb/1493900/1493935/original.jpg "Wie eine gestopfte Sicherheitslücke bei Facebook das nächste Datenleck bedingte. (Pixabay)")
Risiko Security-Patches
Trotz Patch ein mögliches Datenleck bei Facebook
(ID:45845534)
:quality(80)/images.vogel.de/vogelonline/bdb/1916700/1916720/original.jpg "Deutsche Internetnutzer ändern ihre Gewohnheiten nur langsam: Die beliebtesten deutschen Passwörter 2021 sind noch immer unsicher. (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934612/original.jpg "Kurioses, Tierisches, Nachdenkliches oder einfach nur unnützes Wissen – die Rand-Notiz zum Wochenende. (© koldunova - stock.adobe.com)")