Newsletter

Newsletter Dezember 2024

Thema: 30.000 BadBox-Drohnen lahmgelegt

Was ist BadBox?
BADBOX ist eine Android Schadsoftware, die mit der Firmware des Geräts ausgeliefert wird. Infizierte Geräte verbinden sich unverzüglich mit einem Command-and-Control (C2) Server und ermöglichen den Angreifern Zweifaktor Schlüssel abzufangen, weitere Schadsoftware zu installieren sowie Zugriff auf das Netzwerk, in dem sich das infizierte Gerät befindet (Proxy), zu erhalten.

Was ist eine Badbox – Drohne?

Ein Gerät, dass die BadBox Schadsoftware enthält.
Beispiel: TV-Boxen bzw. Mediaplayer, digitale Bilderrahmen, Mobiltelefone, Smartphones, Tablets

Was kann bei einer Infektion konkret passieren?

  • Konten für E-Mail- und Messanger-Dienste erstellen
  • Werbebetrug: Im Hintergrund werden Webseiten angesurft
  • Einsatz als Residential Proxy
  • Verbreitung illegaler Inhalte, Cyberangriffe,..

Wie hat das BSI reagiert?
Als erstes wurde die Kommunikation zwischen infizierten Geräten und dem Commandservern abgeschnitten und auf eigene Server umgelenkt.
Danach wurden die Internetprovider bei denen die Geräte angemeldet waren informiert.
Die Internetprovider übernehmen die Information ihrer Kunden über den BadBox Befall. Der Kunde kann dann die Geräte aus dem Netz nehmen.
Achtung: Nehmen Sie Nachrichten Ihres Providers sehr ernst!
Auf der einen Seite klingt das toll, wie so ein Befall gefunden und die Folgen auch unterbunden wurden.
Auf der anderen Seite lässt es einen trotzdem hilflos zurück, denn

  • Die Namen der betroffenen Produkte will das BSI nicht veröffentlichen
  • Verbraucher sollen alle ihre Geräte überprüfen.
  • Das BSI sagt leider nicht, wie man so eine Überprüfung vornehmen kann
  • Es gibt kein Tool zur Feststellung des Befalls. Indizien für eine Infektion gibt das BSI auch nicht heraus.
  • Die zur Zeit einzige Empfehlung des BSI:
    • Geräte nach dem Kauf sofort prüfen (WIE????)
    • Auf seriöse Händler achten
    • Immer aktuelle Versionen des Betriebssystems verwenden
    • Es sollte ein offizieller Hersteller Support existieren

Author: UBI

Quellen:

Heise online, BSI legt Kommunikation... Dirk Knop, abgerufen am 13.12.24
https://www.heise.de/news/BSI-legt-Kommunikation-von-30-000-BadBox-Drohnen-lahm-10197321.html

BSI, Badbox, abgerufen am 13.12.24
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Botnetze/Steckbriefe-aktueller-Botnetze/Steckbriefe/BADBOX/badbox_node.html

Thema: Cyber Resilience Act

Die Produkthaftungsrichtlinie, die die EU-Gesetzgebungsgremien voriges Jahr vorgelegt haben, tritt Anfang Dezember in Kraft. Damit ergibt sich die Möglichkeit für Schadenersatzansprüche bei fehlerhaften Produkten.
Sie gilt für alle Waren, auch für Hard- und Softwareprodukte. Hersteller müssen jetzt einen Wirtschaftsbeteiligten in der EU benennen, von dem Geschädigte Schadenersatz (Personen- und Sachschäden, Datenverlusten) verlangen können. Sie gilt auch für online vertriebene Produkte.

Das passt nahtlos zum Cyber Resilience Act, der ebenfalls Anfang Dezember in Kraft tritt.
Hier wird festgelegt, welche Mindestanforderungen an Cybersicherheit Produkte einhalten müssen, die ‚digitale Komponenten‘ enthalten.
Hersteller haben jetzt Zeit bis Ende 2027, um ihre Produkte anzupassen.
Sie sind verpflichtet

  • 5 Jahre lang für Sicherheitsupdates sorgen
  • Die Verantwortung für die Cyber-Sicherheit zu übernehmen (siehe Produkthaftung)
  • Mit dem CE-Siegel gekennzeichnete Produkte gegen IT-Angriffe sichern.
  • aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle den Behörden melden. (Im Falle Deutschland dem BSI)

Das gilt auch für Importeure und den Handel.

Die Mindestanforderungen sind bereits vom BSI in der Richtlinie TR-03183 definiert worden.

Produkte mit digitalen Komponenten können zum Beispiel sein:

  • Computer
  • Handys
  • Smart Meters
  • Baby-Phones
  • Router
  • Türklingeln
  • Betriebssysteme
  • Apps
  • Video-Spiele

Beispiele für IT-Angriffe

  • Pegasus spyware
  • WannaCry ransomware
  • Kaseya VSA supply chain attack

Der Cyber Resilience Act gilt ab sofort. Die Produkthaftungsrichtlinie muss binnen 2 Jahren in nationales Recht umgesetzt werden.

Author: UBI

Quellen:

Heise online,‘Cyber Resilience..‘, Stefan Krempl, abgerufen am 15.12.24
https://www.heise.de/news/Cyber-Resilience-Act-Vernetzte-Produkte-muessen-bald-besser-abgesichert-sein-10197273.html

Heise online,‘Frist zu..‘. Stefan Krempl, abgerufen am 17.12.24
https://www.heise.de/news/Neue-EU-Richtlinie-Hersteller-von-Software-und-KI-haften-bald-fuer-ihre-Produkte-10191819.html

Thema: Windows im Kindermodus

Der Jugendmedienschutz-Staatsvertrags (JMStV) wurde als Teil der Änderung des Medienstaatsvertrags reformiert.
Aus dem §12 Kennzeichnungspflicht ergibt sich nun die Einführung einer ‚Jugendschutzvorrichtung‘ für Anbieter von Betriebssystemen (denn nur so können Filter implementiert werden, die bestimmte Inhalte generell aussortieren. Z.B. Pornos)
Gedacht ist das so, dass Eltern und andere Berechtigte den Filter auf eine Altersgruppe einstellen können. (Wie man ‚Eltern und andere Berechtigte‘ identifiziert steht nicht da.)

Die Hersteller von Betriebssystemen sollen garantieren, dass

  • nur noch Apps laufen oder installiert werden können, die die entsprechende Altersfreigabe haben.
  • nur noch Suchmaschinen verwendet werden können, die ebenfalls einen Filter unterstützen.

Das Ganze kann nur funktionieren, wenn alle Anbieter von Apps, Webseiten etc. eine von allen Betriebssystemen lesbare Altersfreigabe verwenden. Das steht im §5 des JMStV.
Es gibt für Anbieter keine Pflicht, ihre Inhalte zu klassifizieren, aber natürlich besteht das Risiko, dass sie ohne entsprechende Labels nicht mehr in Suchlisten... auftauchen.

Ob sich der Aufwand lohnt, wird die Zukunft zeigen.

Bisher gab es auch die Möglichkeit zur Einsetzung von Filtern. Die wurden aber von Erziehungsberechtigten entweder nicht angewendet (fehlende Kenntnisse/ Informationen), oder von den Kindern/Jugendlichen (sehr große Kenntnisse/ hohe Motivation) umgangen.

Author: UBI

Quellen:

Heise Online, ‘Bundesländer beschließen...‘, Stefan Krempl, abgerufen am 15.12.24
https://www.heise.de/news/Jugendschutz-Ministerpraesidenten-beschliessen-Zwangsfilter-fuer-Betriebssysteme-10199425.html

Heise online, ‘Alterskennzeichen…‘, Stefan Krempl, abgerufen am 15.12.24
https://www.heise.de/news/Alterskennzeichen-Neue-Regeln-zum-Jugendmedienschutz-sind-in-Kraft-3340642.html

» Zurück zur Newsletter-Übersicht