Antworten auf deine Fragen:
Neues Thema erstellen

Massive IT-Angriffe aus China - Cloud-Security

Am vorgestrigen Sonntag veröffentlichten zwei namenhafte Nachrichtenportale Informationen über einen IT-Angriff auf zwei große deutsche Unternehmen (Golem.de / Spiegel Online). Bei den geschädigten Unternehmen handelt es sich zum einen um EADS, ein Luft- und Raumfahrtkonzern, und zum anderen um das Stahl- und Technologieunternehmen ThyssenKrupp. Die Quelle der Angriffe ist vermutlich chinesischen Ursprungs.

  Nun möchte ich an dieser Stelle weniger auf den Angriff auf ThyssenKrupp und EADS eingehen, sondern eher eine Grundsatzdiskussion zur IT-Sicherheit anstoßen.

Vielen von euch dürften noch Nachrichten wie diese im Hinterkopf geblieben sein:

  • Sony PSN gehackt
  • Twitter gehackt – 250.000 Nutzer-Konten kompromittiert
  • Angriffe auf Facebook, Apple, Microsoft und andere große IT-Unternehmen
  • Sicherheitslücken in Java
  • Dropbox: Anmeldung ohne Passwort war möglich
  • Webseite der Sparkasse verteilt Malware
  • usw.
Worauf ich an dieser Stelle hinaus will, soll kein Geheimnis bleiben: Immer mehr Online-Services, Dienstleister und Storage-Anbieter werden Opfer von IT-Angriffen, gleichzeitig steigt aber die Nutzung der entsprechenden Dienste. Der Trend hin zu Daten in der Cloud statt auf der heimischen Festplatte ist ungebrochen.

  Auch private Webseiten werden immer öfter Ziele von automatisierten Attacken; ich muss immer wieder am Tagesende erschrocken feststellen, wie viele Brutforce-Scripte auf den Logins meiner Webseiten liegen, z.B. Webdesign-Podcast.de oder Pascal-Bajorat.com - und dabei handelt es sich vergleichsweise eher um kleine bis mittelgroße Webseiten.

  Auch Malware-Angriffe werden teilweise automatisiert auf kleinere Webseiten ausgeführt. In den vergangenen Wochen erreichten mich diverse Anfragen, auch hier aus der Community, wie entsprechend befallene Webseiten bereinigt werden können.

  Nun ist meine Frage an dieser Stelle: Wie geht ihr mit diesen Risiken um? Meidet ihr gar komplett entsprechende Online-Services, ist es euch schlichtweg egal, was passieren könnte, oder ladet ihr ausschließlich eher unkritische Inhalte in die Wolke?

  Ich würde mich über einen regen Meinungsaustausch sehr freuen, da ich denke, dass dieses Thema aktueller denn je ist. Zum guter Letzt möchte ich gerne noch meine persönlichen Maßnahmen zum sicheren Umgang mit Cloud-Diensten bzw. generell Internet-Diensten vorstellen:

  Der wohl wichtigste Punkt dürfte an dieser Stelle eine gesunde kritische Einstellung gegenüber Downloads und unbekannten Mails sein. Ebenso wichtig ist die Wahl eines sicheren Kennworts dieses sollte möglichst nicht bei jedem Online-Service dasselbe sein. Zur besseren Verwaltung sind Passwortlisten zwar sinnvoll, aber bitte nicht in unverschlüsselter Form. Eine Excel-Tabelle ist hier also eher weniger geeignet, dafür gibt es extra Tools, wie z.B. 1Password.

  Empfindliche Daten gehören nicht auf die Server irgendwelcher Cloud-Storage-Anbieter. Wenn es sich nicht umgehen lässt, sollten die Daten zumindest verschlüsselt abgelegt werden. Auch hier gibt es hilfreiche Tools wie z.B. BoxCryptor.

  Ebenso lassen sich bei den meisten modernen Computern gesamte Festplatten verschlüsseln. Das gilt sowohl für interne als auch für externe Laufwerke. Ich nutze hier bei meinem Mac die entsprechenden FileVault 2 Dienste (Systemeinstellungen > Sicherheit > FileVault).

Nun bist du gefragt: Was ist deine Meinung zu dem Thema und wie sorgst du ganz persönlich für einen sicheren Arbeitsalltag mit deinem Computer und Online-Diensten, oder hast du dein Vertrauen bereits gänzlich verloren?

  Wenn du selbst eine Webseite betreibst: Welche Maßnahmen greifst du hier auf, um sie entsprechend zu schützen, oder wurdest du sogar bereits einmal Opfer eines Angriffs?  

 
Zum Vergrößern anklicken....

Massive IT-Angriffe aus China - Cloud-Security

Meine Daten bleiben alle bei mir zu Hause. Ich besitze diverse ext. Festplatten, wo ich alles als Sicherheitskopie ablege, zum täglichen arbeiten habe ich ein NAS. Meine Daten irgendwo in eine "Wolke" zu legen, kommt für mich nicht in Frage.
 
Ich halte sehr wenig von Cloud-Storage-Anbietern. Speicherplatz ist mittlerweile so günstig zu erwerben, dass es kein Problem darstellt, die eigenen Daten auf dem heimischen Datenträgern abzulegen und dort zu archivieren. Und wie oft bin ich irgendwo in Indonesien unterwegs und bräuchte mal gaaaanz dringend Zugriff auf mein MP3-Archiv, weil ich einen Song unbedingt hören will, der in einer Cloud steckt?!?Mir ist einfach das Risiko zu groß, dass hier Unfug betrieben wird. Zum einen mit meinen Anmeldedaten & -konten zum anderen mit meinen hochgeladenen Daten an sich.Auch (Neu)Registrierungen reduziere ich auf ein Minimum.
 
Ich nutze an Cloud-Diensten iCloud, Dropbox und Stratos Hi-Drive. Dropbox und Hi-Drive allerdings nur für unkritische Daten, wie zB Bilder von der letzten Party/Feier etc die ich dann als verschlüsseltes Archiv für einen begrenzten Zeitraum an die entsprechenden Leute freigebe.Die iCloud habe ich mit gewissen Bauchschmerzen eingerichtet, mit dem Komfort bin ich zufrieden, was die Sicherheit meiner Daten (Adressbuch und Kalender) versuche ich mir nicht zu viele Gedanken zu machen. Nicht optimal, aber ich nehme es in Kauf.Ansonsten landen die Daten daheim auf einer NAS und zwei externen Datenträgern. So sind meines Erachtens meine Daten für meinen Anspruch gesichert genug.Grußnmd
 
Ich nutze die iCloud weil es einfach praktisch ist Kalender und Kontakte auf 3 Geräten synchron zu haben.Natürlich weiß ich nicht um die Sicherheit dieser Daten, aber das muss ich wohl in Kauf nehmen.Alle Daten außer Bilder bleiben bei mir lokal und werden nicht online abgespeichert. Passwörter wähle ich sorgfältig aus und werden auch auf keinem meiner Geräte gespeichert. Die muss ich im Kopf haben und zur Not gibt es noch eine handschriftliche Liste.Eine wirkliche Kontrolle über sein System hat man heute eigentlich nicht mehr, auch lokal bin ich mir nicht sicher. Denn wer weiß denn schon wirklich was irgendein Programmierer in welcher Software eingebaut hat um auf Daten zugreifen zu können.
 
Cloud habe ich noch nie benutzt. Aber Hackerangriffe hatte ich schon mehrere. Ich betreue 5 Joomla-Projekte, die allerdings noch immer auf J!1.5 basieren. Kurz vor Weihnachten waren diese 5 + 2 einfache HTML-Seiten mit Malware (iFrames) verseucht. Hunderte von Dateien waren mit Schadsoftware infiziert, die ich alle manuell gereinigt habe. Jetzt bin ich dabei, alle Sites auf J!2.5 umzustellen.Kann mir jemand sagen, auf welchem Wege die Hacker auf meine Seiten kommen können? Über die Passwörter oder über andere Wege? Was heißt das eigentlich, wenn gesagt wird, es ist eine Sicherheitslücke bei einer Joomla-Komponente (wie JCE z.B.) aufgetreten?Ciaogeolino
 
Ich halte gar nichts von den ganzen Cloud - Diensten (zu mindest im moment noch nicht).Wie schon gesagt, wer weiß was all mit den Daten so geschiet.Hat auch was mit Vertrauen zu tun.Außerdem, wenn man alles in einen Cloud - Dienst steckt haben es doch die Hacker leichter an Daten zu kommen. Aber man sorgt schon dafür das Daten ausgeschnüffelt werden...Das wichtigste ist bei mir an einem sicheren Ort untergebracht (keine Cloud), mache das schon über Jahre hinweg so und bin bis jetzt auch gut damit gefahren.
 
Das Problem mit den Scripten und auch anderen Angriffen ist mir sehr vertraut. Leider. Was Online-Speicher angeht, ich nutze ihn hin und wieder auf einem eigenen Server für den Abgleich und Austausch. Aber auch da bleiben Daten nur solange wie nötig. Wie oben schon gesagt: ein Blick in die Logfiles bringen Ernüchterung und die Füße auf den Boden. Absolute Sicherheit ist eine Illusion.Für mich spielt es keine Rolle, um welche Daten es sich handelt (Daten zur Person oder Bilder oder sonst irgend etwas), privat bleibt privat. Es sei denn, ich gebe es frei - bewusst, wie hier zum Beispiel, mit einem Risiko, das ich für mich verantworten und mit dem ich leben kann.Wer kann mir sagen, das meine Termine z.B. im iCal wirklich nur die sehen, die es dürfen? Ich plane Projekte zusammen mit anderen über diversen Online-Tools (natürlich nicht!) - die Verlockung ist groß - aber wer garantiert mir, das meine Gedanken auch wirklich meine bleiben? Was kann ich juristisch unternehmen wenn was in die Hose geht? Das Risiko wäre mir zu hoch.
 
Also ich wundere mich auch immer wieder über Leute, die bedenkenlos alle neuen Dienste nutzen und der Werbung solcher Anbieter und der angeblichen Sicherheit vertrauen. Es wird immer wieder Leute geben, die auch den größten IT-Profis voraus sind, und diese Sicherheiten umgehen können. Vorallem habe ich bei mehreren Firmen schon erlebt, daß sie hochsensible und vertrauliche Firmendaten in Clouds oder Dropboxes hochladen, meiner Meinung nach eine Einladung zur Firmenspionage. Ich denke, da ist auch viel Unwissenheit dabei. Wenn man eine Ahnung davon hat, was alles passieren kann, vertraut man seine Daten wohl keinem externen Dienst an. Und bei den kostenlosen von diesen Diensten muß man sich fragen: warum sind die wohl kostenlos???Ich bin mir neulich auch bewußt geworden, wie sorglos ich bisher beim Online-shopping und anderen Anmeldungen mit meinen Passwörtern umgegangen bin. Das muß ich unbedingt ändern. Und für die ordentliche Absicherung von Websiten habe ich bisher zuwenig Ahnung, um mich ausreichend schützen zu können. Das wäre auch nochmal ein Thema, mit dem man sich befassen kann. ;-)Übrigens finde ich das ein interessantes Diskussionsthema, danke dafür!
 
Aktuell nutze ich zwar einen Cloud-Dienst, würde diesem aber nie persönliche oder brisante Daten anvertrauen. Dabei geht es mir noch nicht mal so darum, dass die Daten gehackt werden könnten sondern vielmehr um die Angst vor Datenverlusten. Eigentlich nutze ich diesen Dienst nur zur Ablage spontaner Skizzen, die ich mir mal im Büro so nebenbei mache und die ich so von daheim aus wieder aufrufen kann, um sie umzusetzen oder weiter zu bearbeiten.Ich finde Cloud-Dienste schon allein aus datenschutzrechtlicher(mein berufliches Fachgebiet) Sicht bedenklich, bin mir aber sicher, dass der Trend doch eindeutig in diese Richtung gehen wird. Mit Passwörtern sollte man auf jeden Fall sorgfältig umgehen, man sollte auch genau bedenken, wo man welche Informationen preisgibt. Zu schnell kannn etwas in falsche Hände geraten. Bei mehreren Accounts die gleichen Login-Daten zu verwenden ist tatsächlich grob fahrlässig. Ich als Nutzer weiß nicht, wie meine Daten beim Gegenüber abgelegt werden, verschlüsselt oder unverschlüsselt?Persönlich vertraue ich aber noch nicht einmal solchen Tools wie 1Password. Mir ist alles zu heikel, was in irgendeiner Form digital irgendwo abgelegt wird, da ich nicht weiß, ob entsprechende Algorithmen nicht doch geknackt und somit ausgelesen werden können. Die Login-Daten, die ich nicht im Kopf habe(was sehr wenige sind), habe ich in einer handschriftlichen Liste zuhause abgelegt. Und selbst da trickse ich hin und wieder, damit nicht andere Haushaltsmitglieder leichtes Spiel haben, um an meine Daten zu kommen.
 
Hallo,ich arbeite mittlerweile für eine große Weltfirma. Dort sind "Cloud_Dienste" grundsätzlich untersagt. Es werden Zugriffe darauf, Zugriffe auf Webseiten mit entsprechenden Wörtern (eine Blacklist) schon im Vorfeld unterbunden. Und das ist gut so. Jeder Mitarbeiter ist verpflichtet den Kurs "IT-Sicherheit" erfolgreich zu absolvieren. Privat nutze ich ebenfalls grundsätzlich keine Cloud-Dienste. Wozu auch? Den einzigen "Vorteil" den ich davon hätte, wäre der Zugriff von irgendwo her auf meine Daten. Aber ich nutze selbst meine Fritzbox nicht dazu, dort einen Stick oder eine Festplatte anzuschließen, um auf meinen "eigenen" Cloud Dienst zu kommen. Meine privaten Daten sind zuhause auf meinen privaten Festplatten. Diese Daten gehen niemanden was an. Es ist schon schlimm genug, dass Browser Daten über mich sammeln, ohne meine vorherige Zustimmung eingeholt zu haben. Die Daten, die schon im Netz sind, weil es nicht anderst geht, genügen mir vollkommen. Durch Deinen Beitrag bestätigst Du mich wieder, dass ich mit meinem Verzicht auf Cloud Dienste, Twitter, Facebook. Google Drive, Sky Drive etc. richtig liege. Mir kommt es regelmäßig hoch, wenn ich Leute Datenschutz fordern, aber sich selbst über Facebook und Co sich komplett datentechnisch entblößen. Hierzu gehören daher auch Cloud Dienste, die bei aller von den Betreibern zugesicherter Datensicherheit eines nicht liefern: Datensicherheit!
 
Ich versuche im Netz sowenig wie möglich zu "deponieren". Ich habe eine Wordpress-Seite und habe mich bis jetzt noch nicht so tief in die Sicherheit eingearbeitet. Es ist eine Seite von einem Gemeinnützigen verein und ich muss sage das ich ja leider wichtige Daten, wie Bankverbindung, Kontaktdaten etc... auf der Seite habe.Privat gibt es nur 3 Photos von mir im Netz und das ist mehr als genug. Ich traue den ganzen Clouds und co nicht. "Was du ins Internet stellst, stellst du auf die Strasse"...
 
Ich benutze Cloud-Dienste nur bei unkritischen Dateien, bspw. um jemanden einen Videoclip zu zeigen. Falls dieser irgendwann mal allgemein zu sehen wäre wäre das auch kein Problem. Ansonsten "verstecke" ich gerne verschlüsselte Dateien in unverlinkten Unterseiten auf meinen Internetpräsenzen...
 
Moinsen,in der Auflistung der "erfolgreichen Hacks" fehlen mir persönlich Microsoft (vor wenigen Tagen), Steam, New York Times (Malware verteilt), Flash von Adobe (wie schon seit Jahrzehnten) und ich meine was von Amazon gehört zu haben (nein, nicht die Arbeitsbedingungen). Es soll ja in der Liste durchaus prominent bleiben und nicht mit "usw." geschönt werden ... :PSicherheit im Internet gibt es nicht - und eigentlich ist damit schon alles gesagt. Rudimentär betrachtet müssen die Daten irgendwo abgelegt werden, hierfür legen diese einen Weg zurück und schon stolpern wir mind. über "man-in-the-middle" (mitm).Klarer Fall: (Hoch-)Sensible Daten gehören nicht ins Internet! In Deinem System gehören diese via TrueCrypt verschlüsselt (habe noch nichts besseres gefunden) und liegen in einer eigenen, nicht les- oder sichtbaren Partition. Mit einer Art "Dongle" gibt es dann nur Zugriff und Sichtbarkeit. Bist Du am Netz, hat der Dongle nicht eingesteckt zu sein oder Du verriegelst eine lokal installierte, BRAUCHBARE Firewall (nein, nicht die des Routers oder Betriebssystems) ...Cloud, Share & Co.? Ich traue Google nicht ... den ganzen anderen Datenkra(n)ken (Fratzenbuch, Amazon etc.) sowieso nicht. Aber ich traue meinem paranoiden (Entwicklungs-)System - also VPN (Smartphone, Netbooks) gelegt und schon kann ich da auch von überall dran und habe meine Daten immer vor Ort. Das Problem des "mitm" ist damit zwar gar nicht behoben, aber die Anzahl der "Beteiligten", wo das Loch sein könnte, schrumpft rapide.Und nicht vergessen: Was im Netz ist, bleibt im Netz! (dank so merkwürdiger "Historie"-Server, die alte Versionen festhalten oder bspw. Google selbst - erst gestern mit "immer pudern" als Suchbegriff wieder was entdeckt)Zum Thema "Schutz im Alltag" (bei mir):Der Client, hinter Hardware-Firewall, ist via Regelungen einer installierten Software-Firewall "dicht". Programme müssen fragen, ob diese "raus" dürfen, Ziele (wo die Reise hingehen soll) werden gezeigt. JAVA ist deinstalliert (ganz miese Erfahrungen; Empfehlung kommt derzeit eh von allen Profis). Seit Installation des Test-Siegers im Bereich Malware & Co. (nein, nicht Avira, Norton, Kaspersky, BitDefender o. ä.) ist hier buchstäblich RUHE und es wird so ziemlich jede Heuristik erkannt. Alle Geräte sind VERKABELT - nix über WLan.Die Server (primär Logins) unterbinden BruteForce mit einer Zeitsperre nach x fehlgeschlagenen Logins; vollautomatisch. Da hilft kein Proxy o. ä. Session-Capturing ist über zwei Wege unterbunden: Speicherort und Verfall. Eine htaccess unterbindet Zugriffe aus besagten Aggressor-Ländern (ein Kampf gegen Windmühlen, jaja). Zugriffe auf Dateiebene erfolgt ausnahmslos via sFTP bzw. VPN.Kurz erwähnt: In meinen Augen wäre das Thema "Internet-Hacking" gar nicht mehr so überragend, wenn "offene Proxies" und artverwandte Techniken (bspw. "Tor") aus dem Netz fliegen. Aufgrund Erfahrung sollte es auch endlich möglich sein, die kleinen Scriptkiddies in den USA (primärer Provider ist irgendwie immer Verizon) an die Eier zu bekommen. Utopia, ich weiß ... denn unsere Rechtsprechung (Hack, Beleidigung usw.) scheitert bereits innerhalb der EU.Sicherheit erhöhen? Hierzu müsste das Internet "abgeschaltet" werden und ein neues, nicht "zustandsloses" Protokoll (also eben nicht http) für die Kommunikation geschaffen werden. Auch ist http einst nie dafür ausgelegt worden, dass wir Videos, Musik o. ä. darüber "konsumieren".Und immer dran denken: Um mir was "einzufangen", benötige ich keine EXE-Datei, die ich doppelt anklicke!! Ich verpacke sowas in Bilder, Videos und Audio.Wie war das noch mit der Software aus Google Play (einst "Android Market")? Im Handy problemlos, doch sobald das Handy mal den Weg an den PC gefunden hat, wurd die Schadsoftware auf diesem installiert ... herrlich, oder?Warum also nicht einfach mal eine Software installieren, die eigentlich ein Spiel ist und dann zeitgleich - dank Freigabe des Nutzers bei Installation - so ziemlich alle Hardwarenahen Eigenheiten mopsen und dann indirekt alles, was via Kontaktformular ins Internet geschickt wird, mitmeißeln, komprimieren, verschlüsseln und als "Highscore für alle im Web" (bspw. Facebook) (mit-)verschicken ... klingt umständlich - ist es nicht.Ah, ist schon wieder ein kleiner Roman ... sorry.Binäre Grüße vom Kaffeebecherrand.
 
Hi,auch bei mir werden die Joomla 1.5 Webs Opfer von Hackern. Es gibt einige Möglichkeiten die webs zu schützen. Schau Dir mal Admin Tools an, das hilft schon sehr weiter. Und natürlich sollte der JCE upgedatet, bzw. entfernt werden. Auch google webmastertools helfen beim aufspüren von Dateien die verändert wurden.Was ich mich ja auch frage: sollte man diese Idioten anzeigen? Es werden ja immer Signaturen hinterlassen...grüßeSöri
 
Hallo,berniecook hat es finde ich sehr treffend beschrieben.Wer seine Daten im öffentlichen Raum ablegt, dem muss klar sein das diese Daten auch öffentlich sind.Jeder Dienst, jedes Sozial-Network ist ein Unternehmen das Geld verdienen möchte. Jetzt bleibt es jedem selbst überlassen darüber nachzudenken, womit eigentlich. Ich selbst nutze Dropbox auch gelegentlich, vergesse aber nie meine Daten auch wieder zu entfernen, so gut ich es eben kann.
 
Hui, nochmal Prominenz: "Bis dato noch unbekannte Hacker haben am 21. Februar die Kontrolle über die Webserver von NBC erlangt. In den Quellcode mehrerer Internet-Seiten wurden bösartige iFrames eingebunden. Das darüber aufgerufene RedKit Exploit-Kit sucht auf dem Besucher-PC dann gezielt nach Schwachstellen in installierten Programmen. Über so eine Schwachstelle ("Exploit") erhält der Angreifer Zugriff auf das System und kann schließlich Schadsoftware installieren. In diesem Fall wurden einmal mehr der Adobe Reader sowie das Java Runtime Environment ins Visier genommen. An Malware kam dabei neben Citadel auch ZeroAccess zum Einsatz - zwei bekannte Bots, die dem Hacker volle Kontrolle über die infizierten PCs ermöglichen."
 
Ich schließe mich ebenfalls berniecook an - meine Daten gehören mir und haben in einer Cloud nichts verloren. Außerdem muss ich nicht von jedem Punkt auf dieser Welt an alle meine Daten herankommen. Daneben - sorry, aber ganz ehrlich - nervt mich diese Sucht vieler Webseiten, möglichst jede Aktion, jedes Angebot und was ihnen sonst noch so alles einfällt, mit Facebook zu verbinden, das ist auch nichts für mich. An dieser Stelle meinen Dank an PSD-Team & -Mitglieder, die sich da nicht hineinziehen lassen.
 
Soeben meldet die BBC, dass Evernote angegriffen wurde und der Betreiber 50 Mio. Passwörter zurücksetzte - hat PSD-Tutorials damit was zu tun? Kaum spricht man hier von sowas, passiert sowas ... uuuuh ... böse Auto-Suggestion!!
 
Nein, natürlich haben wir nicht's damit zu tun, aber es unterstreicht noch einmal wie problematisch die Nutzung entsprechender Cloud-Dienste aktuell ist. Zwar sind bei Evernote die Passwörter nur in gehashter Form gestohlen worden, aber zumindest einfache Passwörter wie "Hallo", "123", "Passwort", oder ähnliches, lassen sich selbst in gehashtem Format einfach wieder in den Klartext umwandeln (z.B. mittels Abgleich der Hashes mit bestehenden Datenbanken).
 
Bilder bitte hier hochladen und danach über das Bild-Icon (Direktlink vorher kopieren) platzieren.
Antworten auf deine Fragen:
Neues Thema erstellen

Willkommen auf PSD-Tutorials.de

In unseren Foren vernetzt du dich mit anderen Personen, um dich rund um die Themen Fotografie, Grafik, Gestaltung, Bildbearbeitung und 3D auszutauschen. Außerdem schalten wir für dich regelmäßig kostenlose Inhalte frei. Liebe Grüße senden dir die PSD-Gründer Stefan und Matthias Petri aus Waren an der Müritz. Hier erfährst du mehr über uns.

Stefan und Matthias Petri von PSD-Tutorials.de

Nächster neuer Gratisinhalt

03
Stunden
:
:
25
Minuten
:
:
19
Sekunden
Zu den Gratis-Inhalten

Neueste Themen & Antworten

Flatrate für Tutorials, Assets, Vorlagen

Zurzeit aktive Besucher

Gesamt: 2.011 (Mitglieder: 4, Gäste: 2.007)

Statistik des Forums

Themen
118.971
Beiträge
1.540.188
Mitglieder
68.173
Neuestes Mitglied
Renee
Oben