Die Nachrichten der vergangenen Woche: Datendiebstahl bei eBay, Sicherheitslücke im Internet Explorer

eBay-Nutzer müssen Passwörter ändern, Internet Explorer wird von einer Zero-Day-Lücke geplagt, Samsung will Iris-Erkennung einführen und Chrome erhält wichtige Updates.

Nachrichten 23 Mai

In der vergangenen Woche ging es in den Sicherheitsnachrichten ziemlich rund. Die größten Schlagzeilen machte aber der Datendiebstahl beim Auktionsgiganten eBay, bei dem die Passwörter der Anwender gestohlen wurden. Auf dem zweiten Platz – in Bezug auf die Wichtigkeit der Nachricht – findet sich dann eine neu entdeckte Sicherheitslücke für den Internet Explorer. Aber es gab auch gute Nachrichten: Samsung will über Fingerabdrücke hinausgehen und neue Möglichkeiten der biometrischen Authentifizierung einführen. Und natürlich gab es auch wieder einige Updates und Patches.

Datendiebstahl bei eBay

Gegen Ende der vergangenen Woche hat eBay berichtet, dass Angreifer in eine Datenbank eindringen konnten, die Nutzernamen, verschlüsselte Passwörter, E-Mail-Adressen, Postadressen, Telefonnummern und Geburtsdaten enthält. Da auf dem kompromittierten Server auch verschlüsselte Passwörter gespeichert waren, wird eBay alle Anwender in den kommenden Tagen und Wochen dazu zwingen, ihr Passwort zu ändern. Wenn Sie das tun, sollten Sie auf jeden Fall direkt auf die eBay-Seite gehen und nicht auf einen Link in einer E-Mail oder in Sozialen Netzwerken klicken.

Der Grund dafür ist, dass die gestohlenen Informationen den Angreifern genug Möglichkeiten für Phishing-Attacken geben können. Denn dabei nutzen Cyberkriminelle gerne solche Informationen, um Phishing-E-Mails zu erstellen, die behaupten, von eBay (oder anderen legitimen Online-Firmen) zu kommen. Diese E-Mails enthalten meist Links, die den Anwender auf eine echt aussehende Seite führen, die allerdings in Wirklichkeit schädlich ist. Dort soll der Anwender dann dazu gebracht werden, seine Login-Daten preiszugeben.

Und wie immer auch der Hinweis: Wenn Sie Ihr eBay-Passwort auch für andere Online-Konten verwendet haben, sollten Sie auch dort das Passwort ändern.

Interessant ist, dass der eBay-Einbruch öffentlich gemacht wurde, nachdem Anfang der Woche über Händler und Firmen berichtet worden ist, die als Folge des Datendiebstahls bei der amerikanischen Supermarktkette Target Partnerschaften zum Austausch von Bedrohungsdaten eingehen wollen. Dabei möchten sich die teilnehmenden Firmen über Angriffe austauschen, denen sie gegenüberstehen, um sich gemeinsam besser schützen zu können.

Übrigens wurde Ende der Woche auch eine Studie veröffentlicht, in der dargestellt wird, dass Firmen beim Schutz vor Datendiebstählen besser werden. Man muss abwarten, ob das Ausmaß des eBay-Einbruchs, der durch kompromittierte Login-Daten von Mitarbeitern ermöglicht wurde, diese Behauptung stützen oder ihr widersprechen wird.

Zero-Day-Sicherheitslücke im Internet Explorer

Die gute Nachricht hier ist, dass die neu entdeckte Sicherheitslücke nur den Internet Explorer 8, eine alte Version des Browsers, betrifft. Die schlechte Nachricht ist jedoch, dass Microsoft nicht sicher ist, wann es ein Update geben wird, das die Sicherheitslücke schließt. Allerdings hat das Unternehmen den Ernst der Lücke erkannt und arbeitet an einer Lösung.

Ohne zu technisch zu werden, eine kurze Erklärung: Die neue Zero-Day-Lücke im Internet Explorer 8 könnte es einem Angreifer ermöglichen, schädlichen Code auf anfälligen Computern auszuführen. Dafür würde er einen so genannten „Drive-by-Download“ oder schädliche Anhänge in E-Mails nutzen. Bei einem Drive-by-Download fügt der Angreifer Schadprogramme auf einer Webseite ein. Kommt der Anwender mit einem anfälligen Browser auf diese Seite, wird der Computer mit dem Schadprogramm infiziert.

Doch was kann man gegen diese Gefahr tun, außer auf eine neuere Version des Internet Explorer zu wechseln? Leider nicht viel, doch es gibt drei Dinge: Seien Sie vorsichtig, wenn Sie mit dem Browser im Internet surfen, seien Sie vorsichtig bei E-Mail-Anhängen und installieren Sie auf jeden Fall die nächsten Sicherheits-Patches von Microsoft, wenn diese veröffentlicht werden (wenn Sie Ihre Updates automatisch erhalten, brauchen Sie sich um den letzten Punkt nicht zu kümmern). Diese Regeln sollten im Grunde von jedem Anwender befolgt werden.

Iris-Erkennung

Es gab aber nicht nur schlechte und alarmierende Nachrichten. Samsung hat angekündigt, biometrische Sensoren, etwa Augenscanner, in Zukunft in immer mehr Produkte integrieren zu wollen. Die Firma behauptet, dass diese Funktionen sogar in den günstigeren Geräten erhältlich sein werden.

Dadurch würde die Sicherheit von Samsung-Geräten gestärkt werden und die Technologie könnte Berichten zufolge sogar irgendwann in das Samsung-Sicherheitssystem Knox integriert werden.

Interessant wird sein, ob die Iris-Erkennung Angriffen gegenüber weniger anfällig sein wird, als die Fingerabdruck-Authentifizierung.

Aktuelle Sondermeldung

Während ich den Nachrichtenüberblick zusammenstelle, erscheinen aktuell Berichte, dass die Outlook-App für Android einen Verschlüsselungsfehler enthält, durch den E-Mails und darin enthaltene Anhänge für Angreifer offengelegt werden können. Mehr Informationen dazu finden Sie hier, aber wir werden darüber auch im monatlichen Podcast diskutieren.

Die üblichen Patches

Wie immer, gibt es auch einige Patches und Updates, die Sie installieren sollten. In der vergangenen Woche wurden zum Beispiel im Google-Browser Chrome 23 Sicherheitslücken geschlossen, drei davon sind sogar hochriskante Fehler. Wenn Sie also Chrome nutzen und Browser-Updates nicht automatisch installieren lassen, sollten Sie sich so bald wie möglich das aktuelle Update herunterladen und installieren.

Tipps