Vorsicht beim Häkchen setzen!

Vorsicht beim Häkchen-Setzen: BSI warnt vor Captcha-Attacke

Captchas begegnen uns täglich im Netz. Eine neue Betrugsmasche nutzt ausgerechnet diese vertrauenswürdigen Sicherheitselemente für einen gefährlichen Angriff. Was Nutzer wissen müssen.

Eigentlich sollen sie uns schützen, indem sie Mensch von Maschine unterscheiden: Captchas, bei denen man Häkchen setzen oder Ampeln identifizieren muss. Doch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer neuen Betrugsmasche, bei der die bekannten Captcha-Checkboxen zum Einfallstor für Cyberkriminelle werden.

Auf den ersten Blick sieht alles normal aus: Wir setzen ein Häkchen bei „Ich bin kein Roboter“ und erwarten, dass sich die Webseite öffnet. Bei legitimen Captchas ist nach dem Häkchen-Setzen Schluss. Wenn jedoch ein zweites Fenster erscheint, das zur Eingabe bestimmter Tastenkombinationen auffordert, ist Vorsicht geboten.

So funktioniert der Angriff

Der Ablauf des Angriffs ist durchdacht. Bereits beim ersten Klick auf das Häkchen kopieren die Angreifer einen bösartigen Befehl in die Zwischenablage Ihres Computers. Anschließend fordert ein zweites Banner Sie auf, per Tastenkombinationen ein Windows-Eingabefeld zu öffnen – um dann den Inhalt der Zwischenablage einzufügen und auszuführen. Dadurch installieren arglose Nutzer unwissentlich Schadsoftware auf Ihrem Rechner, indem sie diese von einem Server der Angreifer herunterladen. Die Methode wurde erstmals Ende 2024 vom Schweizerischen Bundesamt für Cybersicherheit (BACS) dokumentiert und verbreitet sich seither weiter.

Die Folgen eines Klicks

Die Malware hat weitreichende Fähigkeiten. Sie sammelt systematisch Informationen aus dem Betriebssystem, speichert Passwörter aus Webbrowsern und durchsucht Messenger-Apps nach sensiblen Daten. Die Software kann zudem Kreditkartendaten abgreifen und Fernsteuerung über den Rechner erlangen. Da die Schadprogramme tiefgreifende Änderungen am System vornehmen, ist eine Neuinstallation des Betriebssystems oft die sicherste Option.

Was tun, wenn es schon passiert ist?

Falls Sie bereits auf ein manipuliertes Captcha hereingefallen sind, trennen Sie Ihren Computer vom Internet und ändern Sie alle Passwörter von einem anderen Gerät aus. Mit einem aktuellen Backup können Sie Windows neu installieren und Ihre Daten zurückspielen. Haben Sie kein Backup, sichern Sie wichtige Dateien extern, bevor Sie das System neu aufsetzen. Alternativ können Sie auch mit einer Antivirensoftware nach Malware suchen und diese entfernen, sollten aber trotzdem alle wichtigen Passwörter ändern.

So schützen Sie sich vor der Captcha-Falle

Schließen Sie sofort den Browser, wenn nach einem Captcha Tastenkombinationen verlangt werden. Halten Sie Ihren Browser stets aktuell und erstellen Sie regelmäßig Backups Ihrer Daten auf externen Speichermedien. Ein aktueller Virenschutz kann viele Angriffe abwehren. Besonders wichtig ist die Aktivierung der Zwei-Faktor-Authentifizierung bei allen wichtigen Online-Diensten. Seien Sie generell skeptisch bei unerwarteten Captchas – im Zweifelsfall lieber die Seite verlassen als ein Risiko eingehen.

Quelle: BR24.de

Kritische Lücke in VMware ESXi, Fusion und Workstation wird missbraucht

Broadcom warnt vor teils kritischen Sicherheitslecks in VMware ESXi, Fusion und Workstation. Angreifer missbrauchen sie bereits.

In VMware ESXi, Fusion und Workstation haben die Entwickler Sicherheitslücken ausfindig gemacht, durch die Angreifer etwa aus den virtuellen Maschinen ausbrechen können – und das bereits in freier Wildbahn machen. Aktualisierte Software steht bereit, um die Schwachstellen auszubessern. Admins sollten sie umgehend installieren.

In einer Sicherheitsmitteilung zu den VMware-Produkten erörtert Broadcom die Fehler in der Software. Am schwersten wiegt ein Schwachstelle der Art „Time of Check – Time of use“ (TOCTOU), die in Schreibzugriffen außerhalb vorgesehener Speichergrenzen münden kann; es handelt sich um einen Heap-Überlauf. Bösartige Akteure mit Admin-Rechten in einer virtuellen Maschine können das missbrauchen, um Code im VMX-Prozess auf dem Host auszuführen (CVE-2025-22224, CVSS 9.3, Risiko „kritisch„).

Zudem können Angreifer eine Sicherheitslücke ausnutzen, die beliebige Schreibzugriffe ermöglicht. Mit etwaigen Berechtigungen innerhalb des VMX-Prozesses können sie beliebige Kernel-Schreiboperation auslösen und damit aus der Sandbox ausbrechen (CVE-2025-22225, CVSS 8.2, Risiko „hoch„). Die dritte Schwachstelle ermöglicht das unbefugte Auslesen von Informationen aufgrund von möglichen Lesezugriffen außerhalb vorgesehener Speicherbereiche im Host-Guest-Filesystem (HGFS). Angreifer benötigen Admin-Rechte in einer VM und können dadurch Speicher aus dem VMX-Prozess auslesen (CVE-2025-22226, CVSS 7.1, Risiko „hoch„).

Broadcom weist darauf hin, dass dem Unternehmen Hinweise vorliegen, dass alle drei Schwachstellen derzeit bereits attackiert werden. Temporäre Gegenmaßnahmen nennen die Entwickler nicht, es hilft daher nur, die Aktualisierungen so rasch wie möglich herunterzuladen und zu installieren.

Sicherheitsupdates stehen bereit für VMware ESXi 7.0 (70U3s), 8.0 (80U2d & 80U3d), VMware Workstation 17.x (17.6.3), VMware Fusion 13.x (13.6.3), VMware Cloud Foundation 4.5.x (70U3s) und 5.x (80U3d) und schließlich für VMware Telco Cloud Platform 2.x, 3.x, 4.x und 5.x sowie VMware Telco Cloud Infrastructure 2.x und 3.x (KB389385). Konkrete Links finden sich in der Sicherheitsmitteilung.

 

Quelle: Heise Online

Sicherheitslücke in IBM Storage Virtualize

Sicherheitslücke in IBM Storage Virtualize ermöglicht Schadcode-Ausführung

In der Bedienoberfläche von IBM Storage-Virtualize-Produkten können Angreifer Sicherheitslecks zum Einschleusen von Schadcode missbrauchen.

Vor zwei Sicherheitslücken in der Bedienoberfläche zu IBM Storage-Virtualize-Produkten warnt der Hersteller derzeit. Angreifer aus dem Netz können dadurch Schadcode einschleusen und ausführen.

In einer Sicherheitsmitteilung erörtert IBM, dass bösartige Akteure die Authentifizierung umgehen und beliebigen Code zur Ausführung bringen könnten. Die gravierende Schwachstelle ermöglicht Angreifern aus dem Netz, mit sorgsam präparierten HTTP-Anfragen die RPCAdapter-Endpunkt-Authentifizierung zu umgehen (CVE-2025-0159, CVSS 9.1, Risiko „kritisch„).

Die zweite Sicherheitslücke hingegen ermöglicht Angreifern aus dem Netz mit Zugriff auf das System, beliebigen Javascript-Code auszuführen. Das geht auf unzureichende Einschränkungen im RPCAdapter-Dienst zurück (CVE-2025-0160, CVSS 8.1, Risiko „hoch„). In Kombination können Angreifer aus dem Netz daher die Authentifizierung umgehen, um dann beliebigen Code auf verwundbaren Systemen auszuführen.

IBM legt Wert auf die Feststellung, dass die GUI, also die Bedienoberfläche, betroffen ist. Die Kommandozeilenversion ist nicht verwundbar. Angreifbar sind die IBM Storage-Virtualize-Versionen 8.5.0.x, 8.5.1.0, 8.5.2.x, 8.5.3.x, 8.5.4.0, 8.6.0.x, 8.6.1.0, 8.6.2.x, 8.6.3.0, 8.7.0.x und 8.7.1.0 sowie 8.7.2.x. Die Sicherheitslücken haben die Entwickler hingegen in den derzeit jüngsten Versionen 8.5.0.14, 8.6.0.6, 8.7.0.3 und 8.7.2.2 geschlossen; die 8.5.1- bis 8.5.4er-Zweige sollen dabei auf 8.6 migrieren, die 8.6.1- bis 8.6.3-Fassungen auf 8.7. IBM nennt zudem konkret betroffene Appliances: IBM FlashSystem 5×00, 7×00, 9×00, IBM Spectrum Virtualize for Public Cloud, IBM Storwize V5000, V5000E, V7000 und SAN Volume Controller.

IBM macht keine Angaben dazu, ob das Unternehmen Kenntnisse dazu hat, ob die Lücken bereits angegriffen werden. Aufgrund des Schweregrads der Schwachstellen sollten IT-Verantwortliche die bereitstehenden Aktualisierungen jedoch zügig herunterladen und installieren.

 

Quelle: Heise Online

Strenge Regeln für die Nutzung von KI in Personalabteilungen

Human-Resources-Abteilungen nutzen zunehmend Künstliche Intelligenz – auch für Überwachungs- und Bewerbungsprozesse. Nun wollen das Bundesarbeits- und das Innenministerium mit einem Gesetz klären, in welchen Fällen Arbeitgebende mit KI die Daten ihrer Beschäftigten auswerten dürfen.

 

Bitte fragen Sie uns, wenn Sie den Einsatz von KI in Ihren Einstellungsprozessen planen!

Quelle (u.a.) die Zeit und Golem.

Phisching Welle mit Hosteurope

Warnung vor Phishing-Welle: Der Hosting-Anbieter Host Europe und das LKA Niedersachsen informieren darüber, dass eine massive Phishing-Kampagne die Host-Europe-Kundschaft im Visier hat.

Dabei sind die Mails die der Kunde der Kölner Firma bekommt täuschend echt. Es empfiehlt sich hier z.B. die Zahlungsmethoden auf „Einzug“ zu stellen, da die Betrüger sich in Ihrer Mail auf eine fehlende Zahlung beziehen. Dies ist bei „Einzug“ schon einmal auszuschließen.

Quelle: (u.a.) Heise und das Landeskriminalamt Niedersachsen.

Passkey gehört die Zukunft

Passkeys sind eine sichere Login-Methode. Sie lassen sich unkompliziert einrichten, einfach anwenden und stellen damit eine empfehlenswerte Alternative zu Nutzernamen-Passwort-Kombinationen und zur ergänzenden Zwei-Faktor-Authentisierung dar. Doch eine aktuelle Befragung des BSI zur Bekanntheit und Akzeptanz von Passkeys zeigt: Obwohl das Verfahren bei 72 Prozent der Nutzenden ein hohes Vertrauen genießt und insgesamt sehr positiv gesehen wird, verwendet lediglich ein Fünftel der Befragten die Login-Methode.

Zur Pressemitteilung des BSI

 

Quelle: „BSI“

Neue Betrugsmasche „Quisching“

Warnung vor Quishing: Die Polizei warnt aktuell vor dem sogenannten Quishing. Bei dieser Betrugsmasche kommen QR-Codes zum Einsatz, die beispielsweise per Briefpost versendet werden. Wer den QR-Code scannt, um zum Beispiel die persönlichen Daten zu aktualisieren, wird auf eine gefälschte Webseite geleitet. Die dort eingegebenen Daten fallen Cyberkriminellen in die Hände.

Quelle (u.a.) die Kölner Polizei

Folgen der Counterstrikepanne

Das BSI und der Digitalverband Bitkom haben in einer gemeinsamen Befragung von über 300 betroffenen Unternehmen die Folgen der Crowdstrike-Panne vom 19. Juli 2024 untersucht. Die Erhebung ist nicht repräsentativ, gibt aber ein Stimmungsbild: Knapp die Hälfte der direkt oder indirekt betroffenen Unternehmen musste vorübergehend den Betrieb einstellen. Im Schnitt dauerte es zwei Tage, bis die Störungen vollständig behoben waren. Ein Fünftel der direkt betroffenen Unternehmen litt aber drei Tage oder länger unter den Folgen. Zwei Drittel wollen angesichts der Crowdstrike-Panne einen IT-Notfallplan entwickeln bzw. den bestehenden nachbessern oder haben das bereits getan. BSI-Präsidentin Claudia Plattner unterstreicht die Relevanz solcher Maßnahmen: „Die vorliegenden Umfrageergebnisse zeigen, dass eingeübte IT-Notfallkonzepte wichtiger Bestandteil jeder Krisenvorsorge sein müssen!“

 

Quelle: „BSI“

Datenleck bei Lufthansa

Nutzende konnten im April 2024 via Website und App kurzzeitig auf die Buchungsdaten fremder Fluggäste zugreifen. Auch die Airlines Air Dolomiti und Swiss waren betroffen. Die Fehlkonfiguration wurde zwar rasch behoben – doch im Fall der Air Dolomiti wurden die Daten durch Apples KI-Assistent Siri fälschlicherweise in fremde Kalender-Apps importiert. Vereinzelt tauchten unbekannte Buchungen inklusive der damit verbundenen Daten auch Wochen später noch in den Kalendern von anderen Nutzenden auf, obwohl die Lufthansa das Datenleck längst geschlossen hatte.

 

Quelle: BSI

KI ermöglicht Phishing in nie dagewesener Qualität

Der Umfang, die Geschwindigkeit und Schlagkraft von Angriffen im digitalen Raum nehmen durch Künstliche Intelligenz (KI) zu: Mittels KI lassen sich spielend leicht hochwertige Phishing-Nachrichten erstellen. Sprachmodelle sind bereits heute in der Lage, einfache Schadprogramme zu schreiben. Und KI kann weitere Teile eines Cyberangriffs automatisieren. Doch auch die Cyberabwehr profitiert von der Technologie, etwa bei der Codegenerierung, bei der Analyse von Quellcode auf Schwachstellen, bei der Detektion von Malware oder bei der Erstellung von Lagebildern zur Abwehr von Cyberbedrohungen.

Einen Überblick über die Chancen und Risiken von KI in Sachen Cybersicherheit hat das BSI im Rahmen eines aktuellen Forschungsbeitrags untersucht.

Sie möchten mehr über den Einsatz, das Training und die Schwachstellen von KI erfahren?

Fragen Sie uns nach einem unverbindlichen Beratungstermin

Quelle: BSI

 

Cyberangriffe auf Gesundheitseinrichtungen

Kliniken, Arztpraxen und andere medizinische Einrichtungen geraten immer wieder ins Visier von Hackern. Aktuell sind die Universitätsmedizin Mainz, die Zentrale der Katholischen Jugendfürsorge der Diözese Augsburg (KJF Augsburg) sowie die Kassenärztliche Vereinigung Hessen (KVH) betroffen. Im Fall Mainz wurden E-Mail-Adressen von 280.000 Personen erbeutet und im Darknet veröffentlicht. In Augsburg sind nach einem illegalen Zugriff auf Teile der IT-Infrastruktur u.a. Personal-, Finanz-, Patienten- und Gesundheitsdaten von 18 zugehörigen und drei ehemals zur KJF gehörenden Einrichtungen und Kliniken abgegriffen worden.

Bei der KVH wurden Heise online zufolge im Rahmen eines Phishing-Angriffs die E-Mails eines Mitarbeitenden aus dem Beratungscenter entwendet.

Der Fall der Kassenärztlichen Vereinigung Hessen zeigt, wie Angreifende den „Faktor Mensch“ als schwächstes Glied der Sicherheitskette ausnutzen. Hier erfahrt ihr mehr zum sogenannten Social Engineering.

 

Quelle: BSI

Abschaffung von NetzDG und TMG

Abschaffung von NetzDG und TMG – Einführung des Digitale-Dienste-Gesetzes (DDG)

Das bislang geltende NetzDG und das Telemediengesetz werden abgeschafft und ersetzt durch das Gesetz über digitale Dienste (kurz DDG). Hiermit setzt die Bundesregierung eine Vorgabe der EU um, um mit dem neuen Gesetz ein einheitliches gemeinsames Regelwerk für die gesamte Europäische Union einzuführen. Das neue DDG tritt ab dem 17. Februar 2024 in allen EU-Staaten in Kraft.

Was soll durch das neue Digitale-Dienste-Gesetz (DDG) erreicht werden?

Durch ein neues Digitale-Dienste-Gesetz sollen die rechtlichen Vorgaben für Internetplattformen einheitlicher geregelt werden. Ziel ist es, Provider mehr in die Verantwortung zu nehmen, ein höheres Maß an Transparenz zu schaffen und die Rechte von Nutzern und Nutzerinnen zu stärken.

Für wen gilt das Digitale-Dienste-Gesetz (DDG)?

Das neue Digitale-Dienste-Gesetz (DDG) besteht aus 31 Paragrafen und gilt “für alle Anbieter digitaler Dienste“. Darunter versteht man “jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“. Hierunter fallen beispielsweise Hosting-Dienste wie Cloud- und Webhosting, Online-Marktplätze, App-Stores oder auch Social-Media-Plattformen.

Sonderregelungen gelten für “sehr große Online-Plattformen” oder “sehr große Online-Suchmaschinen“, da diese ein besonderes Risiko für die Verbreitung illegaler Inhalte und für Schäden in der Gesellschaft darstellen.

Der Umfang der Pflichten für den jeweiligen Diensteanbieter gestaltet sich demnach abhängig von der Größe, Rolle und den Auswirkungen im Online-Umfeld.  Die neuen Regelungen gelten ab Februar 2024.

Was sind die wichtigsten Änderungen im DDG?

Erweiterung des Kreises der Anspruchsadressaten

Gemäß DDS wird “der Kreis der Anspruchsadressaten auf sämtliche digitale Dienste erweitert, die von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz übermitteln oder den Zugang zu einem Kommunikationsnetz vermitteln”. Dies hat zur Folge, dass Netzsperren bei allen Access-Providern künftig möglich sein können.

Meldung von Rechtsverletzungen

Gemäß § 7 DDG kann bei Urheberrechtsverletzungen der Rechteinhaber vom Diensteanbieter “die Sperrung der Nutzung von Informationen verlangen, um die Wiederholung der Rechtsverletzung zu verhindern”.

Abmahngebühren werden nur dann fällig, wenn der Internetdienst bewusst mit den Personen zusammenarbeitet, die das Urheberrecht verletzt haben. Das soll sicherstellen, dass die Dienste nicht mit denjenigen zusammenarbeiten, die illegal Inhalte teilen.

Änderungen der zuständigen Behörde

Statt des Bundesamtes für Justiz (BfJ) übernimmt nun bei Meldungen zu Verstößen eine “Koordinierungsstelle für digitale Dienste in der Bundesnetzagentur” die Kontrolle der Einhaltung der gesetzlichen Vorgaben. Sollte es sich jedoch um Straftaten handeln, die eine Gefahr Leib oder Leben einer Person/Personen darstellen, ist die Zuständigkeit des Bundeskriminalamts (BKA) gegeben.

Keine Löschfrist mehr bei offensichtlich rechtswidrigen Inhalten

Anbieter eines Internetauftritts sind nun nur noch dazu verpflichtet, “zeitnah, sorgfältig, frei von Willkür und objektiv über die gemeldeten Informationen” zu entscheiden.

ChatGPT-Texte: Wer besitzt die Rechte und wie kann ChatGPT Ihnen helfen?

ChatGPT hat zweifellos die Art und Weise verändert, wie wir mit KI-Technologie interagieren. Doch wer besitzt eigentlich die Rechte an den von ChatGPT generierten Texten?

Chat GPT selbst gibt folgende Antwort auf diese Frage:

„Als Entwickler von ChatGPT und führender Anbieter von KI-Technologie ist es uns wichtig, klarzustellen, dass die Rechte an den von ChatGPT generierten Texten bei den Nutzern liegen, die den Text eingeben oder verwenden. Wir respektieren das geistige Eigentum unserer Nutzer und behandeln die von ihnen eingegebenen Texte entsprechend.

Wenn Sie jedoch spezielle Texte benötigen, die auf Ihre Bedürfnisse zugeschnitten sind, können wir Ihnen helfen. Unser Team von erfahrenen Autoren und KI-Experten kann maßgeschneiderte Texte für Ihre spezifischen Anforderungen erstellen. Von Marketinginhalten über Produktbeschreibungen bis hin zu Blogbeiträgen – wir können Ihnen hochwertige Texte liefern, die genau auf Ihr Unternehmen zugeschnitten sind.“

Doch auch diese zugeschnittenen Texte sind Fragmente von vorhandenen Dokumenten. Wie sieht hier also das Urheberrecht aus?

Hierzu sagt ChatGPT:

Die Urheberrechte an den Texten, die von ChatGPT generiert werden, gehören in der Regel demjenigen, der den Text eingegeben oder erstellt hat. Dies bedeutet, dass die Person oder das Unternehmen, das den Text eingibt oder die Eingabeaufforderung bereitstellt, die Urheberrechte an dem generierten Text besitzt.

Es ist wichtig zu beachten, dass dies nur für die spezifischen Texte gilt, die von Benutzern in ChatGPT eingegeben werden, und nicht für den zugrunde liegenden Algorithmus oder die Software selbst. Die Rechte an der ChatGPT-Software gehören in der Regel dem Unternehmen oder der Organisation, die die Software entwickelt hat.

Es ist ratsam, die Nutzungsbedingungen und Datenschutzrichtlinien der ChatGPT-Plattform zu überprüfen, um sicherzustellen, dass Sie die Rechte und Einschränkungen im Zusammenhang mit der Verwendung von generierten Texten verstehen. In vielen Fällen kann die Plattform bestimmte Nutzungsrechte an den generierten Texten beanspruchen, aber im Allgemeinen behalten die Benutzer die Urheberrechte an den von ihnen eingegebenen Inhalten.

Seiten gehen online

Willkommen bei Deine-Datenschützer.de Hier finden Sie in Zukunft die neuesten Informationen zur Beachtung von DSGVO-EU Themen, sowie Zertifizierungen, Infos rund um Sicherheitsthemen und natürlich unseren DSGVO-Podcast.