Angriffe und Patches
Wie halten Sie es mit den Updates? Automatisiert, teilautomatisiert oder manuell? Oder spielen diese für Sie gar keine Rolle? Diese Fragen sind sicherlich nicht immer einfach zu beantworten. Gerade der März 2021 hat uns wieder auf unsere Abhängigkeit von den Herstellern und auf die Verletzbarkeit der eingesetzten Systeme aufmerksam gemacht:
- Hafnium, ein Exchange-Server-Hack: diese massive Angriffswelle wurde vom BSI mit der Alarmstufe ROT gekennzeichnet.
Inzwischen wurden von Microsoft Patches zur Verfügung gestellt, die Schwachstelle für zukünftige Angriffe nach dieser Methode somit geschlossen. Voraussetzung: Die Anwender haben diese aktuellen Patches inzwischen installiert.
Und was ist mit erfolgreichen Angriffen, die vor den Patches platziert werden konnten? Und zwar mit den möglicherweise übernommenen personenbezogenen Daten? Hierüber kann in der Regel kaum Auskunft gegeben werden. Was jedoch wichtig ist: Informieren Sie die für Sie zuständige Datenschutzaufsichtsbehörde! Dies verursacht ein wenig Arbeit, Sie sind aber auf der sicheren Seite, denn, was ich gestern gelesen habe, ist selbst mir neu gewesen: „Strafe nur bei Verstoß gegen Meldepflichten“ (Hamburger Landesdatenschutzbeauftragte Johannes Caspar). D.h.: Wird seitens des Verantwortlichen die Datenpanne gemeldet, kann kein Bußgeld verhängt werden. - QNAP, Schwachstellen ermöglichen Übernahme von NAS-Systemen über Backdoor
Mit der Ausnutzung dieser Schwachstelle erlangt der Angreifer Administrationsrechte auf das Gerät. Auch QNAP stellt Patches zur Verfügung, die sogar automatisch aufgespielt werden, aber Vorsicht, erst ab einer bestimmten Firmware-Version.
Das sind nur zwei von vielen Angriffen in dieser Zeit, aber diese sind fast allgemeiner Art und betreffen die meisten von uns. Das Trügerische und die Gemeinsamkeit dieser beiden Schwachstellen ist, dass diese bereits schon einige Monate bekannt waren und sehr spät hierauf reagiert wurde. Eine weitere Gemeinsamkeit ist die Verharmlosung dieser Schwachstellen in der Presse, sonst hätte durch frühzeitige Reaktion mehr Schaden verhindert werden können.