Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 5 Min.

SICHERHEITSNEWS: Viele Homerouter sind nicht sicher


Chip - epaper ⋅ Ausgabe 9/2020 vom 07.08.2020

Fraunhofer-Institut testet 127 Router für Privatanwender und findet keinen einzigen ohne Schwachstellen


Artikelbild für den Artikel "SICHERHEITSNEWS: Viele Homerouter sind nicht sicher" aus der Ausgabe 9/2020 von Chip. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: Chip, Ausgabe 9/2020

Rühmliche Ausnahme bei den Fraunhofer- Tests: die Fritzbox-Router von AVM. Ganz fehlerfrei sind aber auch sie nicht


Das Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) schlägt Alarm, nachdem die beiden Mitarbeiter Peter Weidenbach und Johannes vom Dorp 127 verschiedene Router-Modelle für private Anwender mit automatisierten Tests auf Schwachstellen überprüft haben. Die Geräte stammen von sieben Herstellern, die mit ihren Produkten allesamt in Europa vertreten sind. ...

Weiterlesen
epaper-Einzelheft 3,99€
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Chip. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 9/2020 von MAILBOX: „Bei jedem Update bange ich darum, dass Windows nicht meine Daten löscht”. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
MAILBOX: „Bei jedem Update bange ich darum, dass Windows nicht meine Daten löscht”
Titelbild der Ausgabe 9/2020 von TECH-MONOPOLE: Die übermächtigen Tech-Riesen. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
TECH-MONOPOLE: Die übermächtigen Tech-Riesen
Titelbild der Ausgabe 9/2020 von NEWS: Telegram blockt Nazis. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
NEWS: Telegram blockt Nazis
Titelbild der Ausgabe 9/2020 von Ein Berg aus Elektroschrott. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Ein Berg aus Elektroschrott
Titelbild der Ausgabe 9/2020 von SMARTPHONE-KAMERAS: Das Handyfoto mit dem gewissen Extra. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
SMARTPHONE-KAMERAS: Das Handyfoto mit dem gewissen Extra
Titelbild der Ausgabe 9/2020 von TRACKINGMETHODEN: Auf Klick und Tipp getrackt. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
TRACKINGMETHODEN: Auf Klick und Tipp getrackt
Vorheriger Artikel
Ein Berg aus Elektroschrott
aus dieser Ausgabe
Nächster Artikel SMARTPHONE-KAMERAS: Das Handyfoto mit dem gewissen Extra
aus dieser Ausgabe

...

Nur mit den Fritzboxen von AVM waren die Experten weitgehend zufrieden. Die Router von Asus und Netgear schlugen sich etwas schlechter, aber immer noch besser als die ebenfalls getesteten Produkte von D-Link, Linksys, TP-Link sowie Zyxel, schreiben die Autoren in ihrer Studie „Home Router Security Report 2020”.

Alle Geräte wurden auf fünf sicherheitsrelevante Aspekte getestet. Geprüft wurde unter anderem, ob nicht veränderbare Admin-Accounts eingerichtet worden waren, wann zuletzt ein Update veröffentlicht wurde und wie viele bekannte kritische Bugs immer noch in den verwendeten Betriebssystemen zu finden waren. Rund 90 Prozent der Geräte nutzen Linux als Betriebssystem-Basis, teils allerdings immer noch mit dem veralteten Kernel 2.6, dessen Weiterentwicklung im Jahr 2011 endete.

In manchen Fällen fanden die Experten Hunderte von nicht geschlossenen Sicherheitslücken.

Rund 46 der getesteten Homerouter hatten seit mehr als einem Jahr gar keine Updates vom Hersteller mehr erhalten. Manche Modelle hatten zudem leicht knackbare oder öffentlich bekannte Passwörter, die sich nicht ändern lassen. Die Autoren der Studie fordern die Hersteller deswegen auf, mehr Aufwand in die Absicherung ihrer Produkte zu stecken. Das sei insbesondere in Anbetracht automatisierter Angriffsmöglichkeiten nötig.

Datenklau des Monats

Foodora: Mehr als 700.000 Datensätze gestohlen

Persönliche Daten von mehr als 700.000 Kunden des Lieferdienstes Foodora wurden von unbekannten Hackern im Internet veröffentlicht. Die Informationen sollen aus rund 14 Ländern stammen, unter ihnen auch Deutschland und Österreich. Enthalten sind etwa die Namen der Kunden, ihre Adressen und Telefonnummern sowie ihre per Hash gesicherten Passwörter.

Lunchtable: Kontaktdaten frei im Internet verfügbar

Viele Gaststätten im In- und Ausland notieren derzeit die Kontaktdaten ihrer Gäste, damit die Behörden mögliche Corona-Infektionsketten nachverfolgen können. Manche setzen dabei auf digitale Dienste wie forAtable der Schweizer Firma Lunchgate. Sicherheitsexperten von Modzero entdeckten nun jedoch, dass die dabei gesammelten Daten frei verfügbar im Internet standen.

MongoDB: Fast 23.000 Datenbanken geknackt

Mit einem automatisierten Skript soll ein unbekannter Hacker rund 22.900 nur mangelhaft gesicherte MongoDB-Datenbanken gefunden und die enthaltenen Daten geklaut haben. Anschließend seien die Daten gelöscht und durch eine Lösegeldforderung ersetzt worden, berichten verschiedene Medien. Der Angreifer verlangt nun 0,015 Bitcoins.

Emotet bremst Berliner Kammergericht aus

Die berüchtigte Malware Emotet hat im Herbst 2019 die ITSysteme des Berliner Kammergerichts infiziert. Laut einem Bericht des Tagesspiegels sind die meisten Richter des Kammergerichts seitdem nur noch eingeschränkt arbeitsfähig. Insbesondere soll es Probleme bei der Verfügbarkeit und Nutzung sicherer VPN-Datentunnel geben.

Tails bekommt wichtige Security- Updates

Das Anonymisierungs- Linux Tails wurde von seinen Entwicklern auf Version 4.8 aktualisiert. Den Nutzern empfehlen sie, möglichst schnell umzusteigen, da das Update zahlreiche Sicherheitslücken geschlossen hat. Neu ist außerdem, dass der sogenannte „Unsafe Browser”-Modus deaktiviert wurde, bei dem Tails die IP-Adresse nicht verbirgt.

Verteilung von Datendiebstählen

900 Millionen der im ersten Quartal 2020 geklauten Datensätze stammen aus sozialen Netzwerken, gefolgt von Tech-Firmen, Einzelhändlern, Reiseanbietern und dem Gesundheitswesen

QUELLE: FORGEROCK

Dropbox will neue Sicherheitslösung integrieren

Der Online-Dienst Dropbox, der auch hierzulande von vielen Menschen genutzt wird, investiert in neue Sicherheitsfunktionen. So will das Unternehmen künftig unter anderem eine Passwortverwaltung, neue automatische Backup-Möglichkeiten sowie einen verschlüsselten Speicherbereich für besonders wichtige Dokumente anbieten. Der Datensafe wird mit einer zusätzlichen sechsstelligen PIN gesichert. Die neuen Funktionen sollen aber zahlenden Kunden vorbehalten bleiben, kündigte Dropbox an.

Datenklau in Unternehmen

Der Anteil der Firmen, die in den jeweils vergangenen zwei Jahren einen Diebstahl von mindestens 1.000 vertraulichen Datensätzen meldete, ist leicht gesunken

QUELLE: IBM

Kritik an Videochat-Tools

Die Coronakrise hat zu einem Boom bei Videokonferenz-Software geführt, die sowohl beruflich als auch im privaten Umfeld mittlerweile intensiv genutzt wird. Die Berliner Datenschutzbeauftragte Maja Smoltczyk hat einen Großteil der verfügbaren Angebote einer „Kurzprüfung” unterzogen. Das Ergebnis ist aus Datenschutzsicht verheerend: „Leider erfüllen einige der Anbieter, die technisch ausgereifte Lösungen bereitstellen, die datenschutzrechtlichen Anforderungen bisher nicht.” Das betreffe insbesondere die Dienste Blizz, Webex, Google Meet, GoToMeeting, Microsoft Teams, Skype sowie Zoom. Sichere Alternativen seien dagegen etwa der Jitsi-Dienst von Netways, TixeoCloud sowie Wire.

Sie würden die datenschutzrechtlichen Anforderungen erfüllen. Vor allem Berufsgruppen, die mit besonders sensiblen Daten arbeiten, etwa im medizinischen Kontext oder bei psychologischen Beratungen, sollten auf die Einhaltung datenschutzrechtlicher Grundsätze achten, betonte Smoltczyk.

Schwere Lücken und Bugs in Nvidia-Treibern

Sowohl die Windowsals auch die Linux- Treiber für Nvidia- Grafikkarten enthalten teils gravierende Schwachstellen. Die Bugs können unter anderem zum Diebstahl von Daten und zum Erschleichen erweiterter Rechte genutzt werden. Das Unternehmen empfiehlt, ein Update durchzuführen. Windows- Nutzer sollten mindestens auf Version 451.48 und Linux- Nutzer auf Version 450.51 umsteigen. Welche Variante auf Ihrem PC installiert ist, erfahren Sie in der »Nvidia Systemsteuerung « unter »Systeminformationen «.

TLS-Zertifikate gelten maximal noch ein Jahr

Als Erstes handelte Apple: Der iPhone- Hersteller, von dem auch der Browser Safari stammt, kündigte an, SSL- und TLS-Zertifikate ab dem Herbst nur noch maximal etwas über ein Jahr lang zu akzeptieren. Danach weist der Browser sie automatisch zurück. Mittlerweile haben auch Google und die Mozilla Foundation nachgezogen. Der Stichtag für die Änderung ist der 1. September. Alle danach aktivierten Zertifikate verlieren nach etwas mehr als einem Jahr ihre Gültigkeit. Die Browser werden dann darauf hinweisen und vom Besuch einer Webseite abraten.

FOTOS: HERSTELLER

Reger Dark-Web-Handel mit geklauten Kreditkartendaten

Auch CHIP berichtet jeden Monat über außergewöhnliche Datendiebstähle.

Dabei stellt sich die Frage, was mit den gestohlenen Daten eigentlich geschieht. Oft landen sie auf einem Marktplatz im Dark Web und werden dort weiterverkauft.

Erst die Käufer setzen sie dann ein, um etwa mit gestohlenen Kreditkartendaten auf fremde Kosten einzukaufen. Eine Analyse von Privacy Affairs legt die Summen offen, die Cyber-Kriminelle für diese Daten haben wollen. So werden etwa für eine geklonte Mastercard inklusive PIN 15 US-Dollar verlangt. Eine Visa-Karte mit PIN kostet 25 Dollar, eine American-Express- Karte 35 Dollar. Der Zugang zu einem Konto bei einer Online- Bank mit nicht weniger als 2.000 Dollar an Guthaben wird mit 65 Dollar veranschlagt. Verkauft werden die Daten meist in Paketen, bei denen die Verkäufer garantieren, dass mindestens 80 Prozent der Informationen noch gültig sind.

Darüber hinaus bieten die Ganoven auch gefälschte Dokumente und Geldscheine, Malware, DDoSAttacken und die Zugangsdaten zu Social-Media-Accounts an.

Gefährliche Schwachstellen in LibreOffice

Nutzer der beliebten Büro-Suite LibreOffice sollten das neue Update auf mindestens die Version 6.4.4 zügig einspielen. Frühere Versionen enthalten mehrere Programmierfehler, über die Hacker unter anderem Daten auf dem PC des Nutzers aus der Ferne löschen können. Die Fehler wurden von Jens Müller, einem wissenschaftlichen Mitarbeiter des Lehrstuhls für Netz- und Datensicherheit an der Ruhr- Universität Bochum gefunden und an die LibreOffice-Entwickler gemeldet. Diese teilten jedoch nicht mit, welche Betriebssysteme genau betroffen sind.