Aktuelle Sicherheitsvorfälle
800 geheime Kreditkartendaten abgefangen
19.08.2010 - Der Zeitschrift "Computerbild" sind 800 Kreditkartendaten zugespielt worden, die Hacker im Internet austauschten. Besonders brisant ist, dass die Liste neben den Namen, Kreditkartennummern und Ablaufdaten auch Adressen, Telefonnummern, E-Mail-Adressen sowie die geheime drei- oder vierstellige Prüfnummer (CVV) der Karten enthält. Eines der 339 deutschen Opfer berichtete, dass mit seiner Karte für mehrere Tausend Euro eingekauft worden sei. Alle Betroffenen des Betrugs waren Kunden großer Unternehmen mit Internet-Bestellsystem. Unklar ist, ob in einem dieser Systeme ein Datenleck besteht oder die Daten direkt bei der Eingabe per Schadsoftware abgefangen wurden. Das LKA Niedersachsen ließ alle betroffenen Kreditkarten sofort sperren.
Quelle: computerbild.de (externer Link)Versehentlich 380 Spione enttarnt
05.08.2010 - Auf der Homepage eines tschechischen Instituts, das sich mit der Aufarbeitung der kommunistischen Vergangenheit beschäftigt, standen wochenlang die Namen von Agenten des Militär-Geheimdienstes inklusive Tarnnamen, Passfoto und Lebenslauf. Die Liste umfasste rund 1000 Namen von Personen, die bis 1989 unter kommunistischer Herrschaft für die Auslandsspionage tätig waren. Laut der tschechischen Zeitung Mlada Fronta Dnes waren versehentlich 380 Personen darunter, die bis heute aktiv sind. Diese Behauptung wies das Verteidigungsministerium zurück. Es räumte jedoch ein, dass die Veröffentlichung bei Ex-Spionen, die heute im diplomatischen Dienst oder in der Wirtschaft arbeiteten, "zu Unannehmlichkeiten geführt haben könnte". Die Namen der Spione wurden kurz nach der Veröffentlichung von der Website entfernt.
Quelle: Frankfurter Rundschau (externer Link)Kreisverwaltung spionierte jahrelang Mitarbeiter aus
29.07.2010 - Zwei Mitarbeiter der Kreisverwaltung Waldeck-Frankenberg sollen zugegeben haben, im Auftrag leitender Beamte jahrelang Daten des E-Mail-Verkehrs und der Internetzugänge aller dienstlichen Computer erfasst und dokumentiert zu haben. Landrat Reinhard Kubat hat sich an das Hessische Datenschutzamt gewandt und empfohlen, die Staatsanwaltschaft einzuschalten, "da dies ein größerer Fall" sei. Unklar sei bisher der Zweck, der Umfang und in wessen Auftrag die Daten gesammelt wurden.
Quelle: Frankfurter Rundschau (externer Link)Spanner beobachtet Schülerinnen per Webcam
21.07.2010 - Ein 43jähriger aus dem Raum Aachen soll heimlich über 150 Mädchen über deren Webcams beobachtet haben. Zugriff zu den Computern der Kinder habe der Täter über das gehackte Konto eines Gymnasiasten bei dem Internetdienst "ICQ" erhalten. Von dort aus sendete er in dessen Namen E-Mails mit Anhängen, die Schadcode enthielten. Viele Mädchen öffneten die Anhänge und so konnte der Computerkriminelle deren Rechner einfach fernsteuern. Die ganze Sache kam ans Licht, als sich zwei Mädchen im Zuge eines Datenschutz-Schulprojekts an Thomas Floß, Mitglied im Berufsverband der Datenschutzbeauftragten (BvD), wandten. Thomas Floß schaute sich daraufhin die Computer an und entdeckte den Schädling. Der Wohnsitz des Spanners wurde über die IP-Adresse festgestellt. Als die Polizei dort zugriff, sollen auf seinem Bildschirm gerade Live-Videos aus über 100 Kinderzimmern gelaufen sein.
Quelle: Westfalen-Blatt (externer Link)Datenleck bei Werder Bremen
07.07.2010 - Die gespeicherten Daten von 34.700 Mitgliedern und Kunden von Werder Bremen waren am 28.06.2010 über einen Link im Vereinsnewsletter einsehbar. Dazu gehörten nicht nur Namen und Adressen, sondern auch Bankdaten. Alle vom Datenleck Betroffenen wurden vom Verein informiert und gebeten, auf ungewöhnliche Kontobewegungen zu achten. Die Landesbeauftragte für Datenschutz in Bremen will den Vorfall umfassend prüfen.
Quelle: Weser-Kurier (externer Link)Facebook verbreitet Wurm
17.06.2010 - Facebook-Mitglieder werden derzeit mit Meldungen zu Webseiten mit den angeblich "101 heißesten Frauen der Welt" zum Klicken verführt. Nach dem Klick landet man auf einer neutralen Webseite, auf der nichts weiter zu passieren scheint. Im Hintergrund wird jedoch ein unsichtbarer Rahmen erzeugt, der unter dem Mauszeiger des Anwenders einen Facebook-Teilen-Button erzeugt. Klickt der Anwender jetzt irgendwo auf dieser Seite, erscheint der Link auch bei all seinen Facebook-Freunden, die dann ebenfalls neugierig gemacht werden. Diese Angriffe werden als Clickjacking bezeichnet. Schützen kann man sich zum Beispiel bei Firefox mit der Erweiterung NoScript, die sowohl schadhaftes JavaScript ausfiltern kann als auch vor einem möglichen Clickjacking-Angriff warnt.
Quelle: heise.de (externer Link)Betrüger betrügen Betrüger
09.06.2010 - Beim Skimming manipulieren Kriminelle die Kartenlesegeräte an Geldautomaten und kopieren so die EC-Kartendaten auf dem Magnetstreifen. Durch Minikameras oder Tastaturaufsätze spähen sie anschließend die PIN-Nummer aus. So geschehen in Braunschweig, wo Betrüger mindestens 155.000 Euro erbeuteten. Neu ist, dass die unlauter eingebauten Vorsätze die geklauten Daten immer häufiger per SMS an die Täter senden und diese dann ganz bequem von zuhause aus darauf zugreifen können. Außerdem berichten Experten, dass solche Skimming-Sets jetzt für nur 1.800 US-Dollar von Betrügern im Internet feilgeboten würden und damit andere Kriminelle betrogen werden. Denn nach Expertenmeinung sind diese Sets zu nichts zu gebrauchen, da für funktionsfähige Soft- und Hardware mindestens das vier- bis fünffache gezahlt werden müsse.
Quellen: newsclick.de, heise.de (externe Links)Google schneidet private E-Mails mit
19.05.2010 - Wie Google jetzt zugab, sammelten die schon seit längerem in der Kritik stehenden Google Streetview Kamera-Autos auch persönliche Daten aus ungesicherten drahtlosen Netzwerken. Noch vor kurzem hatte Google versichert, dass keine weiteren WLAN-Daten als der Name und die individuelle Adresse gesammelt worden seien. Jetzt hat das Unternehmen zugegeben, dass z.B. auch Teile von E-Mails oder Inhalte von aufgerufenen Webseiten gespeichert wurden. Dies sei versehentlich geschehen, weil eine Software ungeprüft eingesetzt wurde. Wie glaubwürdig eine solche Erklärung aus dem Munde des Weltmarktführers im Internetbereich ist, wird vielleicht bald vor Gericht entschieden. Ein Rechtsanwalt erstattete gegen Google Strafanzeige woraufhin die Hamburger Staatsanwaltschaft heute ein Ermittlungsverfahren eingeleitet hat.
Quellen: heise.de, heise.de (externe Links)Phishing-Bande ergaunert 780.000 Euro
12.05.2010 - Die rumänische Polizei hat eine 70 Mitglieder umfassende Bande von Phishing-Betrügern gefasst. Diese hatte sich über Monate hinweg illegal Zugang zu Bankkonten beschafft und diese ausgeräumt. Die Betrüger sollen seit Oktober 2009 über Phishing-Angriffe sensible Daten, wie Benutzernamen und Passwörter für das Online-Banking sowie Kreditkarteninformationen vor allem von Kunden der Bank of Amerika ausgespäht haben. Die Täter nahmen Banküberweisungen über Western Union vor und hoben das Geld u. a. in Wien, München, Prag sowie in Rumänien ab. Nach Angaben der rumänischen "Direktion zur Bekämpfung des Organisierten Verbrechens und Terrorismus" (DIICOT) beläuft sich der Schaden auf rund eine Million US-Dollar (rund 780 000 Euro).
Quelle: heise.de (externer Link)SchülerVZ: Neue Datenpanne
04.05.2010 - Trotz aller Datenschutzbemühungen ist die VZ-Gruppe erneut Opfer eines Hackers geworden: Der Student Florian Strankowski entwickelte einen Crawler, der innerhalb kürzester Zeit mehr als 1,6 Millionen Daten von minderjährigen Schülern aus dem sozialen Netzwerk auslas. Das sind ca. 30 Prozent. Nach eigenen Angaben bestand seine Motivation darin, "nach den zig Interviews und Statements von Seiten VZ zu zeigen, dass im Endeffekt nichts unternommen worden ist, um die Daten der Nutzer effektiv zu schützen." Auch wollte er aufzeigen, "dass der TÜV in diesem Fall ein Zertifikat ausgestellt hat, das zwar schön aussieht, aber im Endeffekt etwas bestätigt, was so nicht der Fall ist." Laut Angaben im VZ-Blog wurden Maßnahmen ergriffen, um den Sicherheitsstandard auf diesen Aspekt hin zu optimieren.
Quellen: heise.de (externer Link), netzpolitik.org (externer Link) und blog.studivz.de (externer Link)Unerlaubte Organentnahme wegen Datenpanne
19.04.2010 - Wegen einer Datenpanne im zentralen elektronischen Spendenregister wurden etwa 20 Toten in Großbritannien ohne deren vorherige Willenserklärung Organe entnommen. Nur etwa die Hälfte aller 800.000 von der IT-Panne betroffenen Datensätze konnten korrigiert werden. Die anderen 400.000 möglichen Organspender werden nun schriftlich um Richtigstellung gebeten, ob und wenn ja, welche Organe entnommen werden dürfen. Die Fehler in der Datenbank resultieren bereits aus dem Jahr 1999, als Daten der englischen Straßenverkehrsbehörde in die zentrale Spenderdatenbank transferiert wurden. Denn bei der Beantragung eines Führerscheins konnte von den betroffenen Personen bis dahin eine Willenserklärung zur Organentnahme abgegeben werden.
Quellen: telegraph.co.uk (externer Link) und heise.de (externer Link)Journalistenvereinigung in China gehackt
07.04.2010 - Die Webseite des "Clubs ausländischer Korrespondenten in China" (FCCC) wurde zwei Tage lang so massiv attackiert, dass die Vereinigung ihren Internetauftritt vom Netz nehmen musste. Die Journalistenvereinigung berichtete, dass die Angriffe von Servern in China und den USA stammten, doch könnten daraus keine Rückschlüsse auf die Hintermänner gezogen werden. Der Auslandskorrespondentenclub wurde angegriffen, nachdem er letzte Woche bestätigt hatte, dass sich Hacker Zugang zu E-Mail-Konten von mehreren ausländischen Journalisten in China und Taiwan verschafft hätten. Der Club vertritt die Interessen ausländischer Korrespondenten und setzt sich für eine freie Berichterstattung aus China ein.
Quelle: heise.de (externer Link)Kreditkartenbetrug nach Besuch in Pizzeria
29.03.2010 - In Sonoma, USA, wurden mehr als 50 Kreditkartendaten in einer Filiale von "Mary's Pizza Shack" gestohlen. Die Terminals an den Kassen waren mit einem Virus infiziert, der es - vermutlich russischen - Hackern ermöglichte, die Kreditkartennummern von mindestens 50 Restaurantgästen zu stehlen. Bemerkt wurde der Datenklau erst, als Freunde eines Restaurant-Mitarbeiters über unautorisierte Abbuchungen klagten. Eine von den Kreditkartendiensten empfohlene Sicherheitsfirma identifizierte den Virus und machte ihn unschädlich. Laut Angaben des Restaurantleiters, Vince Albano, war der Virus so neu, dass er noch nicht einmal in der Virusdatenbank der Sicherheitsfirma existierte. Weiterhin teilte Albano mit, dass die notwendigen Dienste des Sicherheitsspezialisten das Unternehmen 20.000 US-Dollar gekostet haben.
Quelle: sonomanews.com (externer Link)Datenleck bei Telekom-Konkurrenten
19.03.2010 - Wie Capital berichtet, sollen rund 200.000 vertrauliche Kundendaten von Arcor und weiteren Telekommunikations- und Kabelnetzanbietern über dubiose Callcenter-Betreiber in Umlauf gekommen sein. Vodafone räumte ein, dass ca. 5.000 Daten von seiner Festnetztochter Arcor darunter seien. Die Datensätze stammen aus dem Jahr 2000. Den Vorfall aufgedeckt hat jedoch die Deutsche Telekom und nicht die Bonner Staatsanwaltschaft. Diese beschlagnahmte 20 Millionen Datensätze von Telekom-Kunden bei illegalen Datenhändlern und gab stichprobenartig Datensätze an die Telekom zur Überprüfung weiter. Dabei stellte das Unternehmen fest, dass sich auch Arcor-Kunden darunter befanden. Des Weiteren sollen Kundendaten des Kölner Kabelnetz-Betreibers Unity Media betroffen sein.
Quellen: capital.de (externer Link) und RP online (externer Link)Stromausfall: ZDF fiel komplett aus
11.03.2010 - Das komplette Programm vom ZDF und seinen angeschlossenen Sendern, wie z.B. 3sat oder ZDFneo, fiel am Dienstagmorgen für eine gute halbe Stunde aus. Die Bildschirme waren schwarz. Auch die Webangebote von zdf.de und heute.de waren davon betroffen. Grund war nach Angaben des ZDF ein Stromausfall, der von den Notversorgungseinrichtungen nicht mehr aufgefangen werden konnte. So brachen die Computersysteme zusammen, die im Sendezentrum die Ausstrahlung der Programme steuern. Die Webangebote funktionierten sogar erst mittags wieder reibungslos.
Quelle: heute.de (externer Link)Gigantisches Netz mit 13 Millionen infizierten Rechnern enttarnt
04.03.2010 - Spanische Polizei und US-Ermittler enttarnen eines der weltweit größten Netze von gekaperten Computern, darunter PCs in Schulen, Regierungsinstitutionen und hunderten Unternehmen. Seit Ende 2008 brachten Hacker über 13 Millionen Computer in 190 Ländern unter ihre Kontrolle. Die Behörden beschlagnahmten u. a. Zugangsdaten zu Unternehmensnetzen, Online-Banking-Accounts und E-Mail-Konten von mehr als 800.000 Menschen. Vermutet wird, dass das "Mariposa" genannte Netz auch an andere Interessengruppen weiter vermietet wurde. Aufgebaut wurde es durch einen sogenannten Trojaner, der über Internet-Dienste in Umlauf gebracht wurde, die Millionen von Menschen in aller Welt nutzen. Der Server, der die verseuchten Computer kontrollierte, soll bereits am 23.12.2009 vom Netz genommen worden sein.
Quelle: Spiegel Online (externer Link)Sensible Daten von 40 Firmen öffentlich im Netz
25.02.2010 - Die Bewerbungsbögen von rund 40 Firmen für den Wirtschaftspreis Teltow-Fläming 2009 waren im Original durch ein Sicherheitsleck auf der Internetseite wirtschaftstag-tf.de frei zugänglich. Die Bögen mit Unterschriften und Firmenstempel enthielten z.B. Angaben zu Umsatz- und Mitarbeiterzahlen, zu Ausbildungsplätzen, zum Altersdurchschnitt der Belegschaft sowie zu Investitionen und Produkten. Die offensichtliche Sicherheitslücke der Webseite konnte entstehen, weil der beauftragte Internet-Dienstleister einerseits die Aggressivität der Suchmaschinen unterschätzt hatte, die gezielt bestimmte Datenformate suchen. Andererseits fehlte eine automatische Abmeldung, um einmal geöffnete Dokumente wieder zu schließen. Die Daten wurden mittlerweile aus dem Netz genommen.
Quelle: märkischeallgemeine.de (externer Link)Datenleck und Erpressung bei BKK Gesundheitskasse
16.02.2010 - Die mit 1,5 Millionen Versicherten größte deutsche Betriebskrankenkasse BKK Gesundheit ist erpresst worden. Laut einem Bericht des ARD-Magazins "Kontraste" wurden der Krankenkasse Versichertendaten gestohlen und ihr zum Rückkauf angeboten. Hilfskräfte eines Subunternehmers hatten offenbar Zugriff auf die hochsensiblen medizinischen Daten und drohen, die Informationen zu veröffentlichen. Die BKK Gesundheit hat mittlerweile Mängel bei der Datensicherheit eingestanden und die Zugänge des Subunternehmens abgeschaltet. Wegen eines Erpressungsversuchs hat sie Strafanzeige gegen Unbekannt erstattet.
Quelle: Spiegel.de (externer Link)Angriffe auf Besucher von Handelsblatt.de und Zeit.de
04.02.2010 - Durch ein Werbebanner wurde Besuchern der Webseiten handelsblatt.de und zeit.de am Dienstag vereinzelt Schadcode untergeschoben. Die so genannte Scareware installierte auf den Rechnern der Besucher Schadcode, der eine Infektion mit Viren und Trojanern vortäuschte. Die Nutzer sollten damit zum Kauf von Antivirenprogrammen verleitet werden. Möglicherweise drang die Scareware durch bekannte, aber vom Anwender nicht beseitigte Browserlücken in das System ein. Nach Angaben des IT-Nachrichtendienstes "Golem" wurden die Werbebanner auf den betroffenen Seiten inzwischen deaktiviert.
Quelle: Golem.de (externer Link)Datenleck: Tausende Jugendliche betroffen
27.01.2010 - Bei der Online Community von Ruf-Jugendreisen.de wurden die personenbezogenen Daten der Mitglieder ausgelesen und manipuliert. Die Communityseite wurde deshalb vom Netz genommen. Zwei Tage später wurde bekannt, dass auch das Buchungssystem des Reiseveranstalters Sicherheitslücken aufweist: Mittels einer einfachen URL mit einer gültigen System-ID war es laut heise.de für jeden möglich, ohne Login die Buchungsreservierungen einzusehen. Neben persönlichen Daten, wie Namen, Anschrift, Telefonnummer, Mail-Adresse, gebuchtem Reiseziel, Dauer und Unterkunft enthielten die Reservierungen auch Angaben über Sonderwünsche. Unmittelbar nach Bekanntwerden wurde dieses Leck geschlossen.
Quelle: Netzpolitik.org (externer Link)
Quelle: heise.de (externer Link)Gezielter Angriff mit PDF-Dokument auf US-Unternehmen
19.01.2010 - Letzte Woche wurde gezielt ein US-Unternehmen angegriffen, das beim US-Verteidigungsministerium unter Vertrag steht. Wie in dem Weblog der amerikanischen Firma F-Secure zu lesen ist, hatten vermutlich taiwanesische Angreifer ein täuschend echtes PDF-Dokument verschickt. Dieses Dokument sah aus, als käme es direkt vom US-Verteidigungsministerium und nutzte eine seit mehreren Wochen bekannte Lücke im Adobe Reader aus. Es installierte auf einem Windows-PC eine sogenannte Backdoor, welche mit einer taiwanesischen IP-Adresse verknüpft ist. Derjenige, der diese IP-Adresse kontrolliert, hat auch Zugang zu dem infizierten Computer und damit zum Unternehmensnetzwerk. Adobe hat ein Update von seinem kostenlosen Reader veröffentlicht, das diese Lücke schließt.
Quelle: heise online (externer Link)Kanzlei von Cyberkriminellen um 100.000 Euro erpresst
07.01.2010 - Bei der IsSec 2009 in Berlin wurde bekannt, dass eine hessische Steuerberatungskanzlei - vermutlich von Südamerikanern - erpresst wurde. Cyberkriminelle hatten zuvor mittels eines Trojaners Zugang zu insgesamt zwölf Computern der Kanzlei erhalten. Sie protokollierten Tastatureingaben und übertrugen Bildschirmkopien, E-Mails und digitale Bürodokumente aller Art auf Server in Russland. So wurden sensible Mandantendaten gestohlen und damit gedroht, diese im Internet zu veröffentlichen.
Quelle: stern.de (externer Link)Intime Daten tausender Kinder im Netz
14.12.2009 - Die privaten Daten von tausenden Kindern und Jugendlichen waren auf dem Kinderportal haefft.de für jeden Interessierten frei zugänglich. In dem sozialen Netzwerk tauschen Schüler persönliche Informationen, wie Fotos, Adressen, Freunde, Hobbies, Vorlieben und private Nachrichten, untereinander aus. Wie der Chaos Computer Club (CCC) berichtete, konnten ohne Kenntnis des Zugangs-Passwortes mühelos alle hinterlegten Daten der Schüler sowie die ungesicherten Administrationskonten eingesehen werden. Nach Aufforderung des CCC hat haefft.de das Angebot vorerst vom Netz genommen.
Quelle: heise online (externer Link)Sensible Patientendaten von AOK Niedersachsen verschickt
01.12.2009 - Per Post wurden einem Apotheker in Uslar aus Versehen sensible Patientendaten vom AOK Servicecenter in Niedersachsen geschickt. Dem Apotheker liegen nicht nur Name, Geburtsdatum, vollständige Anschrift und der Name der behandelnden Ärzte vor, sondern auch die Diagnose und die verschriebenen Medikamente im Wert von 20.000 Euro. Die 30 Irrläufer mit Rezeptkopien sollten vermutlich die Online-Apotheke Doc Morris erreichen. Offenbar seien die Daten wahllos und ohne sorgsame Prüfung verschickt worden. Der Apotheker hat Strafanzeige gestellt.
Quelle: HNA.de (externer Link)Datenskandal bei britischer Telekom-Tochter
17.11.2009 - Angestellte von T-Mobile, der britischen Tochter der Deutschen Telekom, haben Millionen von sensiblen Kundendaten an Zwischenhändler weiterverkauft. Die Daten beinhalten z.B. Namen, Adressen, Telefonnummern und zentrale Vertragsinformationen. Wie ein Sprecher mitteilte, habe es sich vor allem um Kunden gehandelt, deren Vertrag bald auslief. T-Mobile habe umgehend die Telekommunikationsbehörde ICO über den Verstoß gegen das Datenschutzgesetz benachrichtigt. Nach Angaben der Behörde verkauften die Zwischenhändler die Daten an die Wettbewerber der Telekom-Tochter weiter. Es gehe um erhebliche Summen.
Quelle: Handelsblatt (externer Link)Benutzer konnten 350.000 Rechnungen im Sparkassen-Shop einsehen
04.11.2009 - Mitarbeiter des Blogs netzpolitik.org nutzten eine Datenschutzlücke im System des Online-Shops vom Deutschen Sparkassen-Verlag und konnten so 350.000 Rechnungen anderer Käufer einsehen. Die Rechnungen enthielten Name, Anschrift, gekauftes Produkt, Liefer- und Rechnungsadresse, Einkaufszeit und Zahlungsweise. Außerdem Zahlungsart und - sofern Bankeinzug - Angaben über Kontoinhaber, Bankleitzahl und Name der Bank. Kontonummern waren bis auf die letzten vier Zahlen geschwärzt. Der DSV verkauft nicht nur Bücher und Software, sondern erbringt auch IT-Dienstleistungen innerhalb der Sparkassenverbände. Zudem betreibt er im Rahmen von S-TRUST eine Zertifizierungsstelle nach deutschem Signaturgesetz.
Quelle: heise online (externer Link)Schweizer Außenministerium von Hackern angegriffen
29.10.2009 - Unbekannte Hacker sind in das Computersystem des "Eidgenössischen Departements für auswärtige Angelegenheiten (EDA)" in der Schweiz eingedrungen. Sie installierten die Software zum Ausspähen von geheimen Informationen so gut, dass diese nur zufällig von eigenenTechnikern in Zusammenarbeit mit Microsoft entdeckt wurde. Ob und welche Daten entwendet wurden, wird zurzeit noch untersucht. Das EDA hat sein IT-Netz gegenüber dem Internet abgeschottet, so dass Mitarbeiter nun auch keine E-Mails mehr senden oder empfangen können.
Quelle: Pressemitteilung der Schweizerischen Eidgenossenschaft (externer Link)Datenleck bei AWD: Finanz- und Versicherungsdaten von Kunden im Umlauf
21.10.2009 - Laut NDR sind dem NDR-Inforadio 27.000 Datensätze des Finanzdienstleisters AWD aus Hannover zugespielt worden: Namen, Adressen, Geburtstage und Berufsbezeichnungen von Kunden mit insgesamt über 60.000 Vertragsangaben. Z.B. wann der Vertrag abgeschlossen wurde, wie lange er läuft und wie viel der Kunde zahlt - von der einfachen Hausratversicherung bis hin zu Details über Geldanlagen. AWD hat bestätigt, dass es sich um Daten seiner Kunden handelt und Anzeige gegen unbekannt gestellt.
Quelle: ndr.de (externer Link)Konto mit geklauter mTAN abgeräumt: 50.000 Euro erbeutet
15.10.2009 - Betrüger portierten die Mobilnummer eines Australiers einfach zu einem anderen Betreiber. So erhielten sie die von der Bank zur Bestätigung von Aufträgen versandten mTANS per SMS. Die für den Betreiberwechsel notwendigen persönlichen Daten wurden per Phishing-Mail ergaunert. Insgesamt wurde das Konto um mehr als 50.000 Euro erleichtert. Auch in Deutschland wird das mTAN-Verfahren von vielen Banken genutzt.
Passwörter von 10.000 Hotmail-Konten frei im Internet verfügbar
06.10.2009 - Hacker haben die Zugangsdaten von mehr als 10.000 E-Mail-Konten europäischer Hotmail-Nutzer ausgespäht und die Daten im Internet veröffentlicht. Laut Microsoft, zu dem Hotmail gehört, stammen die Daten nicht durch einen Einbruch in die EDV-Systeme sondern sind durch eine Phishing-Attacke in die Hände der Angreifer gelangt. Dabei wird eine Webseite täuschend echt nachgebaut, um Benutzern ihre Zugangsdaten zu Online-Anwendungen zu stehlen. Durch Mehrfachnutzung eines Passwortes für verschiedene Anwendungen kann einem Nutzer so erheblicher - auch finanzieller - Schaden zugefügt werden.
Virus bedroht Stromversorgung
01.10.2009 - Einem Bericht des "Sydney Morning Herald" zufolge hat ein Computervirus das Netzwerk des australischen Energie-Anbieters "Integral Energy" vorübergehend lahmgelegt. Das Unternehmen, das Down Under ca. 800.000 Privat- und Firmenkunden mit Strom versorgt, habe sich nach der erfolgreichen Attacke des "W32.Virut.CF"-Virus gezwungen gesehen, sämtliche seiner 1.000 Rechner neu zu installieren. Laut Zeitungsbericht habe nämlich die Gefahr bestanden, dass das Virus auch auf die Steuerungssysteme für die Energieversorgung übergreift. Das Virus installiert einen Trojaner, der Unbefugten u.U. die vollständige Kontrolle über die befallenen Computer ermöglicht.
Grundbuchdaten verschwunden
10.08.2009 - Ein für Wartungsarbeiten bestimmter USB-Stick mit behördlichen Grundbuchdaten ist in Mecklenburg-Vorpommern verloren gegangen. Der Datenträger enthält Informationen über Flurstücks- und Lagebezeichnungen, Eigentümerdaten und Belastungen von Immobilien in den Orten Demmin und Ribnitz-Damgarten. Trotz intensiver Sofortmaßnahmen habe der Hergang des Verlustes nicht rekonstruiert werden können, erklärten das Landes-Justizministerium und der Landesbeauftragte für Datenschutz in einer gemeinsamen Pressemitteilung.
Vermeintliches Upgrade schnüffelt
27.07.2009 - Anstatt die Leistung der Smartphones zu optimieren, hat ein vermeintliches Software-Upgrade die Geräte von etwa 100.000 Blackberry-Nutzern manipuliert. Wie heise online berichtet, soll die kostenlos vom arabischen Mobilfunkanbieter Etisalat verteilte Software ein Spionageprogramm auf den Geräten installiert haben, das es dem Provider erlaubt, sämtliche über die Geräte versandten E-Mails mitzuschneiden.
Britische Prominenz ausspioniert
13.07.2009 - Boulevard-Reporter in England haben die Mobiltelefone zahleicher bekannter Politiker, Schauspieler und Sportler ausspionieren lassen. Um an die privaten Daten der Prominenz zu gelangen, sollen sie Medienberichten zufolge Hacker beauftragt haben, hunderte Handys abzuhören und systematisch nach privaten Inhalten zu durchforsten.
Hacker attackieren US-Flugaufsicht
11.05.2009 - Gleich mehrfach ist es Hackern in den vergangenen Jahren gelungen, in die Systeme der US-amerikanischen Flugaufsichtsbehörde FAA einzudringen. Dabei seien nicht nur die persönlichen Daten von Mitarbeitern ausgespäht, sondern in einem Falle auch Teile der Flugkontrolle beeinträchtigt worden, wie Online-Dienst heise unter Berufung auf einen FAA-Bericht meldet.
Geheime Militärdaten geklaut
21.04.2009 - Wie das "Wall Street Journal" meldet, sind die geheimen Pläne für einen neuen US-Kampfjet dem Angriff von Hackern zum Opfer gefallen. Laut Bericht konnten im Zuge der Attacke einige Terabytes von Konstruktions- und Systemdaten des in Entwicklung befindlichen Flugzeugs "F-35 Lightning II" entwendet werden. Wer hinter dem Diebstahl steckt, ist bislang noch völlig unklar.
Chinesische Spy-Software attackiert Tibetische Rechner
31.03.2009 - Einem Bericht des Online-Dienstes heise zufolge haben kanadische Wissenschaftler im Rechnersystem der tibetischen Exil-Regierung des Dalai Lama das bislang größte computergesteuerte Spionage-Netzwerk entdeckt. Das als "Ghostnet" bezeichnete Netzwerk werde von überwiegend chinesischen Rechnern kontrolliert und habe bereits knapp 1.300 Rechner in 103 Ländern befallen, berichten die Wissenschaftler. Es könne auf dem befallenen Rechnern nicht nur den E-Mailverkehr überwachen, sondern den PC auch fernsteuern und dabei unter anderem installierte Kameras und Mikrophone zur Raumüberwachung aktivieren.
Wurmbefall bei der Bundeswehr
16.02.2009 - Medienberichten zufolge sind mehrere Hundert Rechner der Bundeswehr vom weltweit grassierenden Computerwurm "Conficker" befallen. Die Rechner seien zwischenzeitlich vom Netzwerk getrennt worden und würden derzeit aufwendig von der Schadsoftware befreit. Conficker dringt über eine Sicherheitslücke im Windows-Betriebssystem in Rechner ein und lädt u.a. Schadsoftware aus dem Internet nach, mit dem Computer ausspioniert werden können.
Persönliche Daten von Arbeitslosen veröffentlicht
08.02.2009 - Ein Programmierfehler war offensichtlich die Ursache dafür, dass über Tage hinweg die persönlichen Daten von rund 1.700 Arbeitslosen in Ostbayern auf einer Homepage der Kolping Berufshilfe für jedermann einsehbar waren. Wie der Online-Dienst heise berichtet, seien dabei auch streng vertrauliche Informationen, wie etwa die Erkrankungen der Jobsuchenden, veröffentlicht worden.
Kriminelle erbeuten 9 Mio. US-Dollar bei RBS World Pay
06.02.2009 - Nachdem sie die Debit-Karten des Finanzdienstleisters RBS World Pay geklont hatten, hoben Kriminelle in einer konzertierten Aktion rund neun Millionen US-Dollar von insgesamt 130 weltweit verteilten Geldautomaten ab. Entsprechenden Medienberichten zufolge waren die Daten zur Kartenerstellung Ende Dezember bei einem Hacker-Angriff ausspioniert worden.
Hamburger Abendblatt: Website mit Schadsoftware infiziert
03.02.2009 - Das Internetangebot des Hamburger Abendblatts ist einer Untersuchung von heise Security zufolge offensichtlich einer Hacker-Attacke zum Opfer gefallen. Demnach sei die Website mit einem verschleierten HTML-Code versehen worden, der versucht habe, Seitenbesucher mit Schadsoftware zu infizieren.
Ausspioniert und bestohlen
21.01.2009 - Medienberichten zufolge ist mit Heartland Payment Systems (HPS) einer der größten US-amerikanischen Kreditkarten-Transaktionsdienstleister ausspioniert worden. Eine bislang unbekannte Schnüffelsoftware habe über einen längeren Zeitraum hinweg Kreditkartendaten ausgespäht, was vom Anbieter selbst unbemerkt geblieben sei.
Zehntausende Kreditkartendaten verloren gegangen
15.12.2008 - Die auf Mikrofilm gespeicherten Kreditkartendaten zehntausender Berliner Landesbank-Kunden werden anonym der Frankfurter Rundschau zugespielt. Dabei handelt es ich nicht nur um genaue Kartenabrechnungen inklusive Namen und Adressen von Kunden, sondern auch um Briefe, in denen Geheimnummern (PIN) der Kreditkaten enthalten sind.
Hacker attackieren Telekom Kundenservice
01.12.2008 - Nachdem sie mit Hilfe von Phishing-Programmen und Trojanern zahlreiche Daten von Telekom-Kunden ausspioniert hatten, wählten sich Hacker in den Online-Kundenbereich des ehemailgen Monopolisten ein und aktivierten dort kostspielige Rufumleitungen für die gestohlenen Telefonnummern.
Gläserne Telekom-Kunden
26.11.2008 - Einem aktuellen Bericht des Magazins "Stern" zufolge befinden sich derzeit mehrere Zehntausend streng vertrauliche Datensätze von Telekom-Kunden im Umlauf. Die Daten würden bereits auf dem Schwarzmarkt gehandelt und enthielten sowohl Namen, Adressen und Geburtsdaten, als auch die Kontoverbindungen von Kunden. Es soll bereits zu illegalen Abbuchungen gekommen sein.
Krankenhaus-Netzwerke lahmgelegt
20.11.2008 - Ein Virus des Typs Mytob hat Mitte November gleich drei Londoner Kliniken dazu gezwungen, sämtliche Computer und Netzwerke abzuschalten. Vorübergehend hätten die zusammen gehörenden Krankenhäuser auf Notbetrieb umstellen und einen Teil der Patienten zu anderen Kliniken weiterleiten müssen, berichtet BBC.
Offene Medion Kundendaten
19.11.2008 - Aufgrund einer massiven Sicherheitslücke im Online-Shop hatten registrierte Kunden der Firma Medion etwa eine Woche lang die Möglichkeit, fremde Kundendaten einzusehen. Die Änderung der Bestellnummer in der URL reichte demnach aus, Lieferadressen, Bestellungen und Rechnunssummen einzusehen.
Infizierte USB-Sticks
18.11.2008 - Eine böse Überraschung dürfte der ein oder andere Empfänger eines USB-Sticks der Allianz ProzessFinanz erlebt haben. Teile der insgesamt 20.000 verbreiteten Sticks, mit denen das Unternehmen über aktuelle Gesetze hatte informieren wollen, waren von einem Wurm des Typs Viking befallen.
300.000 Kontodaten gestohlen
03.11.2008 - Aktuellen Berichten zufolge soll es dem Banking-Trojaner "Sinowal" in den vergangenen drei Jahren gelungen sein, die Login-Daten von mehr als 300.000 Bankkonten auszuspähen und an eine Datenbank weiterzuversenden.
Kunden- und Kontodaten freizugänglich
20.10.2008 - Einige tausend Kunden- und Kontodaten von Anzeigenkunden des WBV Wochenblatt Verlags, ein Axel Springer-Unternehmen, waren Ende September im Internet frei zugänglich. Die Löschung der Daten aus dem Google Cache dauerte mehrere Wochen.
Tele 2: Voicemailboxen ohne Schutz
10.10.2008 - Bis vor kurzem konnte jeder, der eine Voicemalbox eines Tele 2-Kunden anrief, diese abhören oder umkonfigurieren. Auch Voicemalbox, deren Fernabfrage deaktiviert war, waren betroffen. Weder die Ursache, noch wie viele Kunden betroffen waren, sind bisher nicht bekannt. Tele 2 hat den Fehler inzwischen behoben.
PWC: Email-Adressen und Passwörter von Bewerbern gestohlen
08.09.2008 - Aus dem Computersystem, das die Online-Bewerbungen verwaltet, haben Unbekannte die Email-Adressen und Zugangspasswörter von Bewerbern entwendet. Der Diebstahl wurde u.a. möglich, weil die Passwörter unverschlüsselt abgelegt waren. Eine grobe Fahrlässigkeit.
Bis zu 8 Mio. Kundendaten von Best Western gestohlen
26.08.2008 - Ein Angreifer hat Datensätze u.a. mit Kreditkarteninformationen von bis zu 8 Mio. Kunden der Hotelkette entwendet. Betroffen sind Kunden, die 2007 in einem der 4.000 Best Western-Hotels übernachtet haben.
17.000 Kontodaten im Umlauf
12.08.2008 - CDs mit Namen, Anschrift und Kontonummer von 17.000 Personen sind im Umlauf. Woher die Datensätze stammen, ist momentan noch nicht bekannt. Sie könnten aber illegal beschafft worden sein. Fakt ist, die Daten werden nun verkauft. Einige Betroffene berichten bereits von unrechtmäßigen Abbuchungen auf ihren Konten.
O2 Großbritannien: MMS freizugänglich
23.07.2008 - Ein Sicherheitsleck in der Webanwendung zum Ansehen von MMS zeigt fremde MMS an. Die notwendigen Parameter liefert diese Googleabfrage (externer link). Die Webanwendung erlaubt Nutzern MMS zu betrachten, auch wenn ihr Gerät (z.B. iPhone) diese nicht darstellen kann. Die Sicherheitslücke ist bisher nicht geschlossen. Kunden von O2 UK sollten deshalb ihre gespeicherten MMS löschen.
Google Kalender petzt
17.07.2008 - Der zu einer Google Mailadresse gehörende vollständige Namen lässt sich mit Hilfe von Google Kalender einfach ermitteln. Damit können anonyme Postings aufgedeckt oder auch Phising-Angriffe vorbereitet werden. Jeder Nutzer von Google Mail ist betroffen.
40.000 Kundenprofile ungeschützt
04.07.2008 - Auf einer Website von TNS Infratest waren 40.000 Datensätze (z.B. mit Monatseinkommen) von Testkäufern von jedem Account aus abrufbar. Lediglich die Kunden-ID in der URL musste geändert werden.
Einwohnerdaten ungeschützt im Internet
24.06.2008 - HSH Soft- und Hardware Vertriebs GmbH stellt Software für Einwohnermeldeämter her. Bei einer Demo-Version der Software waren die werksseitig gesetzten Zugangsdaten für Jeden im Internet erkennbar. Einige Einwohnermeldeämter, die die Software einsetzen, haben die werksmäßig gesetzten Passwörter nicht geändert. In der Folge haben Unbefugte Bürgerdaten inkl. Passbilder bei bei mindestens vier Einwohnermeldeämter abgerufen.
Passwortklau bei Online-Spielen
23.06.2008 - Computerschädlinge klauen nicht nur Zugangsdaten von Konten und ebay sondern auch von kostenpflichtigen Onlinespielen. Nach Angaben von Microsoft entfernte das Unternehmen an einem Tag 700.000 Schädlinge der Gattung Taterf und Frethog von privaten Computern.
Geheime Akten in U-Bahn vergessen
15.06.2008 - Geheime Akten mit Informationen über britische Maßnahmen zur Bekämpfung der Terrorfinanzierung, des Drogenhandels und der Geldwäsche wurden in der Londoner U-Bahn vergessen.
Kreditkartendaten gestohlen
04.10.2007 - Kreditkartennummern und Rechnungsanschriften von 66.000 Kunden, die Tickets ber die Webseite Kartenhaus.de mit Kreditkarten gekauft haben, wurden gestohlen.
Unbefugter Zugriff auf E-Mails
21.09.2007 - Wegen einer Fehlkonfiguration bei Versatel waren Teile der Mailserverinfrastruktur und der abgelegten E-Mails öffentlich zugänglich.
Betrug durch Datenleck
13.09.2007 - Eine Lücke bei PayPal erlaubt das missbräuchliche Auslesen von eBay-Kundendaten. Betrüger nutzten die so erlangten Kundendaten, um gezielt eBay-Kunden zu betrügen. Rechtliche Konsequenzen sind bisher unklar, da eBay eine Banklizenz besitzt.
Virus ab Werk
12.09.2007 - Aldi verkauft Notebooks mit dem Virus Stoned.Angelina, der zuletzt 1994 aktiv war.
Spionieren mit Anonymisierungsnetz Tor
10.09.2007 - Das Anonymisierungsnetz Tor wird auch von Geheimdiensten und Kriminellen genutzt um den durch das Netzwerk gehenden Datenverkehr inkl. Zugangsdaten, Passworte und geheime Daten mitzulesen.
Sicherheitslücken von Bank-Webseiten veröffentlicht
23.08.2007 - Heise Security veröffentlicht eine detaillierte Sicherheitsanalyse der Webseiten von der SEB-Bank. Der Bericht listet zahlreiche Sicherheitslücken auf, obwohl die Webseiten u.a. für ihre Sicherheit ausgezeichnet worden waren.
Trojaner stiehlt Daten von Arbeitssuchenden
20.08.2007 - Ein über E-Mail, Werbung und präparierten Webseiten verbreiteter Trojaner nutzt die Arbeitgeberzugänge von Monster.com, um die Daten von Arbeitssuchenden zu sammeln. Mind. 1,6 Mio. Datensätze sind betroffen.
Geheime Unterlagen öffentlich zugänglich
13.07.2007 - Geheime Dokumente der US-Armee lagen auf öffentlich zugänglichen FTP-Servern. Sie waren mehrere Wochen frei zugänglich.
Kreditkartennummern über 18 Monate gestohlen
05.07.2007 - 47 Mio. Kredit- und Debitkreditkartendaten von Transaktionen seit 2002 wurden in UK und USA durch einen Einbruch in das Computersystem des US-Handelskonzerns TJX Companies entwendet. Die Diebe hatten 18 Monate lang Zugriff.
Zwei Mitarbeiter der Kreisverwaltung Waldeck-Frankenberg sollen zugegeben haben, im Auftrag leitender Beamte jahrelang Daten des E-Mail-Verkehrs und der Internetzugänge aller dienstlichen Computer erfasst und dokumentiert zu haben. Landrat Reinhard Kubat (SPD) hat sich an das Hessische Datenschutzamt gewandt und empfohlen, die Staatsanwaltschaft einzuschalten, "da dies eingrößerer Fall" sei. Unklar sei bisher der Zweck, der Umfang und in wessen Auftrag die Daten gesammelt wurden.
Quelle: Frankfurter Rundschau (externer Link)
