Der australische Storage-Spezialist Arcitecta hat mit Mediaflux Pocket eine App für iOS und Android vorgestellt. Sie soll den sicheren Zugang zu mit Mediaflux verwalteten Speicherbeständen gewährleisten. Zu den verwendeten Techniken gehören neben PINs und MFA-Passwörtern auch biometrische Verfahren. Die Autorisierung von Zugriffen soll selbst Phishing- und Brute-Force-Angriffen einen Riegel vorschieben.

Die seit 28. Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) gilt europaweit für alle Unternehmen gleichermaßen. Dennoch haben erst 25 Prozent der deutschen Firmen die neuen Vorgaben vollständig umgesetzt. 67 Prozent erfüllen die Anforderungen zu großen Teilen. Das ergab eine Befragung von rund 500 Unternehmen durch den Bitkom.

Deutsche Vorstände werden sich zusehends der Gefahren durch Cyberkriminalität bewusst. Der internationale Vergleich zeigt allerdings, dass deutsche Unternehmensleitungen dem Risikobewusstsein und der Investitionsbereitschaft der meisten ihrer internationalen Kollegen hinterherhinken. So halten es fast drei Viertel (73 Prozent) der deutschen Vorstände für wahrscheinlich, von einem schwerwiegenden Cyberangriff getroffen zu werden.

Hacker lassen sich immer perfidere Social Engineering-Varianten einfallen, um Passwörter abzufischen und sich in Unternehmen und Netzwerke einzuschleusen. Eine aktuelle Studie zeigt: Arbeitnehmer wissen oft zu wenig über diese neuen Fraud-Methoden.

Log4Shell ist die Bezeichnung für eine Ende 2021 bekannt gewordene Zero-Day-Sicherheitslücke. Sie basiert auf einer Injektionsschwachstelle in dem für viele Services und Produkte verwendeten Java-Logging-Framework Log4j. Das BSI stufte das durch die Sicherheitslücke verursachte Risiko mit dem höchstmöglichen Wert ein. Angreifer können über die Injektionsschwachstelle fast beliebigen Code auf den betroffenen Systemen ausführen.

Online-Händler sind heute einem größeren Betrugsrisiko ausgesetzt als je zuvor. Fast zwei Drittel der Führungskräfte gaben in einer Umfrage für den neuen Fraud-Report von Stripe an, dass es immer schwieriger werde, Online-Betrug zu bekämpfen. Der gleiche Anteil rechnet für dieses Jahr mit mehr betrugsbedingten Verlusten als im Vorjahr. In Anbetracht der wirtschaftlich angespannten Lage ist dies zumindest besorgniserregend.

In einem Bericht der Sicherheitsforscher von Check Point Research (CPR) im Dezember wurde mit ChatGPT ein kompletter Infektionsablauf durchgeführt, von der Erstellung einer überzeugenden Spear-Phishing-E-Mail bis hin zur Ausführung einer Reverse Shell, die Befehle in englischer Sprache annehmen kann. Es stellte sich damals die Frage, ob es sich hierbei nur um eine hypothetische Bedrohung handelt oder ob es bereits Bedrohungsakteure gibt, die OpenAI-Technologien für bösartige Zwecke einsetzen.

Passwortverfahren gelten schon lange als überholt und veraltet – aus gutem Grund. Das Gros der erfolgreichen Cyberangriffe der vergangenen Jahre, es lässt sich zu einem erheblichen Teil auf den Missbrauch unrechtmäßig erworbener Anmeldedaten – in der Regel von Nutzername und Passwort – zurückführen. Dennoch wird die Authentifizierungs­landschaft nach wie vor von Passwortverfahren dominiert – auch in Deutschland.

Hacker optimieren ihre Angriffe heute ständig weiter. Ein Blick auf die von ihnen entwickelten Konzepte ist nötig, weil auch Unternehmen und Anbieter kritischer Infrastrukturen potenzielle Opfer von komplexen Attacken sind, wenn diese erst einmal Serienreife erlangen. Die DownEx-Malware-Kampagne ist ein Beispiel, wie anspruchsvoll Hacker ihre Malware-Tools entwickeln und gezielte Angriffe durchführen.

Für erfolgreiche Hackerangriffe werden von CEOs und Führungskräften häufig die eigenen Arbeitnehmer verantwortlich gemacht, da sie oft diejenigen sind, die auf Phishing Mails oder betrügerische Links reinfallen, und damit den Hackern Zutritt in das Unternehmensnetzwerk ermöglichen. Dabei sollte das Ziel eher sein, aus den Mitarbeitern Security-Experten zu machen, die solche Tricks erkennen können.