:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Update: Mangelnde App-Sicherheit So stiehlt man einen Tesla
Teslas Smartphone-App lässt sich von Cyberkriminellen hacken, die so die Kontrolle über das Fahrzeug erlangen können. Damit sind sie in der Lage, das Auto ausfindig zu machen, aufzuschließen und ungehindert wegzufahren. Das zeigt ein Test des norwegischen Sicherheitsunternehmens Promon.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Der von Promon durchgeführte Test zeigt, dass Cyberkriminelle durch Ausnutzen fehlender Sicherheit in Teslas Smartphone-App die Kontrolle über die Fahrzeuge des Unternehmens erlangen können.
Experten des auf Anwendungssicherheit spezialisierten Unternehmens zeigen in einem Video, wie sie vollständige Kontrolle über das Tesla-Auto erlangen konnten. Sie konnten ausfindig machen, wo das Auto geparkt war, konnten die Tür öffnen und die Keyless-Drive-Funktion aktivieren. Der entscheidende Punkt dabei ist, dass all dies durch den Angriff und die Übernahme der Kontrolle der Tesla-App möglich war. Das macht deutlich, wie wichtig hieb- und stichfeste App-Sicherheit ist und wie weitreichend die Folgen für IoT-verbundene Geräte im Allgemeinen sein können.
Tom Lysemose Hansen, Gründer und CTO von Promon, kommentiert: „Im Rahmen des jüngsten Tests nutzte ‘Keen Security Labs’ Fehler im CAN-Bussystem der Tesla-Autos aus und übernahmen die Kontrolle über eine begrenzte Anzahl an Funktionen. Unser Test ist der erste, bei dem die Tesla-App als Einstiegspunkt verwendet wird. Und er geht einen Schritt weiter, denn er zeigt, dass eine kompromittierte App direkt zum Diebstahl eines Autos führen kann.“
Smartphone-Schwachstelle als Angriffspunkt
Eine Methode, mit der Cyberkriminelle dafür sorgen können, dass der Hack funktioniert, ist die Einrichtung eines Wi-Fi-Hotspots, am besten in der Nähe einer öffentlichen Tesla-Ladestation. Wenn Tesla-Nutzer sich einloggen und eine Seite besuchen, erscheint eine an die Fahrzeugbesitzer gerichtete Werbeanzeige, die ein Incentive, wie ein kostenloses Essen, anbietet. Klickt man diesen Link an und lädt die dazugehörige App herunter, können Hacker Root-Zugriff auf das Mobilgerät des Nutzers erlangen, was ihnen dann möglich macht, die Tesla App zu übernehmen. Den Angriff ermöglicht natürlich eine Schwachstelle in der Smartphone-Sicherheit, über die sich theoretisch jede unsichere App ausnutzen lässt. Die aus der Ferne kontrollierten und gestohlenen Tesla-Autos sind ein besonders gefährliches Beispiel dafür, was möglich ist. Theoretisch könnte aber jede App, die nicht über die erforderlichen Sicherheitsvorkehrungen verfügt, betroffen sein.
Laut Hansen ist die Leichtigkeit, mit der technisch versierte Kriminelle auf diese Weise ein Tesla-Auto stehlen können, bezeichnend für die Notwendigkeit, bei allen IoT-verbundenen Geräten und Anwendungen den Fokus stärker auf App-interne Sicherheit zu richten. Und er ergänzt: „Auf Mobilgeräte ausgerichtete Kriminelle sind qualifizierter denn je und nutzen die fehlende Sicherheit in mobilen Apps als zunehmend lukrative Einkommensquelle.
„Die Umsetzung dieser App-Sicherheit sollte für jedes Unternehmen mit einer App eine Priorität darstellen, die sensible Nutzerdaten enthält. Ein Weg dorthin ist die Einführung sich selbst verteidigender App-Software, welche die App von innen nach außen schützt und die Wahrscheinlichkeit eines Cyberangriffs erheblich verringert.
„Tesla hat sich von den physischen Geräten (von einem ‚physikalischen‘ Schlüssel zu einem ‚mobilen Schlüssel‘) zur Türöffnung verabschiedet und geht damit im Wesentlichen den gleichen Weg wie Banken und die Finanzbranche, in der physische Tokens durch ‚mobile Tokens‘ ersetzt wurden. Deshalb sind wir überzeugt, dass Tesla und die Automobil-Industrie auch ein vergleichbares Sicherheitsniveau bieten müssen (wie bei den für die Authentifizierung verwendeten ‘mobilen Tokens’), was heute sicherlich noch nicht der Fall ist.“
Promon arbeitet bei der Bewältigung dieser Sicherheitsprobleme mit den Apps eng mit Tesla zusammen, um sie zu beheben.
Abschließend fügt Hansen an: „Tesla ist ein leuchtendes Beispiel dafür, wie technologische Fortschritte ein beispielloses Niveau an Innovation und Nutzerfreundlichkeit liefern können. Die zunehmend App-orientierte Welt muss jedoch dringend gesichert werden, um zu verhindern, dass Kriminelle ihre Möglichkeiten in großem Maßstab nutzen können.“
Update 28.11.16: Promon konkretisiert Vorwürfe
In Medien und Kommentaren wurde Promon, das die Sicherheitsprobleme aufgedeckt hatte, vorgeworfen, Smartphone- bzw. Android-Sicherheitslücken Tesla anzulasten. Der Tenor ist: Der Angriff hätte auf jede App erfolgen können. Das stimmt grundsätzlich, wie Promon in einer Konkretisierung des ursprünglichen Blogposts bestätigt, aber auch darauf hinweist, dass Tesla es mit der App Angreifern aber eben auch nicht wirklich schwer mache.
Tom Lysemose Hansen, Gründer und CTO von Promon betont dazu: „Durch das Grundrisiko bei Android benötigt ein Cyberkrimineller derzeit nur gering ausgebildete technische Fähigkeiten und muss außerdem nur wenig Aufwand betreiben, um einen Angriff, wie wir ihn vorgeführt haben, durchzuführen. Wenn Tesla sich an die Best Practise-Erfahrungen der IT-Sicherheit gehalten hätte, darunter Schutzmaßnahmen in der App, hätte es wesentlich höherer technischer Fähigkeiten und deutlich mehr Aufwand erfordert, um einen solchen Angriff durchzuführen.“
(ID:44398583)
:quality(80)/images.vogel.de/vogelonline/bdb/1932300/1932310/original.jpg "Cyberkriminelle erweitern ihren Aktionsradius drastisch und fügen ihrem Angriffswerkzeugkasten Malware hinzu, die auf Linux-basierte Betriebssysteme abzielt. (Alexander Limbach - adobe.stock.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1934100/1934195/original.jpg "Immer mehr Systeme erfassen biometrische Daten aller Art, aber diese Informationen haben ein enormes Potenzial, missbraucht zu werden. (DedMityay - stock.adobe.com)")