Ich suche nach

Posts mit dem Label sicherheit werden angezeigt. Alle Posts anzeigen
Posts mit dem Label sicherheit werden angezeigt. Alle Posts anzeigen

Donnerstag, 9. September 2021

Der Umgang mit der Idenditätskarte im Netz

Die Identität im Netz

Manch einer fürchtet sich vor Betrug im Internet. Trotzdem gehen viele davon ziemlich sorglos mit ihren wertvollen Daten um. Als Beispiel dient etwa die gespeicherten Information auf der Identitätskarte. Der neue Ausweis enthält neben den sichtbaren Daten auch ein Speicher- und Verarbeitungsmedium, unter anderem für den Identitätsnachweis über elektronische Geräte.

Das Ausweisgesetz soll die sensiblen Daten und die neuen Funktionen vor Missbrauch schützen.

Das Hotel erstellt beim Einchecken eine Kopie, das Fitnessstudio verlangt ein Pfand als Sicherheit. So kommt es, dass es für viele Menschen nichts Aussergewöhnliches mehr ist, ihren Personalausweis an Fremde auszuhändigen.

Doch Unternehmen dürfen ihre Kunden gar nicht dazu auffordern.

Schon seit 2010 ist es Dritten grundsätzlich nicht mehr erlaubt, den Personalausweis zu fotokopieren, zu scannen oder als Pfand nehmen zu wollen. Die Ausnahme gilt nur in wenigen einzelnen Fällen, wie etwa für einige Behörden, für Banken und seit dem BÜPF auch Telekommunikationsanbieter.

Der Expertenrat besagt:

Das Dokument oder den Ausweis behalten und das Weitergeben ablehnen. Auch Unternehmen müssen sich damit zufrieden geben, sich den Ausweis zeigen zu lassen, um beispielsweise jemanden zu identifizieren oder Angaben über Alter und Anschrift zu überprüfen.

Neu sind sichere Signaturen möglich, um Verträge, Urkunden oder Anträge digital zu “unterschreiben”. Doch auch der gute alte Ausweis beinhaltet persönliche Informationen, die nicht in fremde Hände gelangen sollten. Dann gilt; Sind die Daten einmal in Umlauf, lässt sich ihre Verbreitung nur schwer unterbinden. Das Ausweisgesetz soll die Gefahr des Missbrauchs eindämmen.

Weitere Tipps:

  • Ausweis möglichst nie an Dritte abgeben. Eine Sonderregelung gilt für einige Behörden, beispielsweise die Polizei.
  • Von Fremden keine Kopien des Ausweises anfertigen lassen. Ausnahmen: Banken sind aufgrund des Geldwäschegesetzes sogar dazu verpflichtet, die Daten aufzunehmen und zu speichern. Auch Telekommunikationsanbieter dürfen im Rahmen eines Vertragsabschlusses Kopien anfertigen.
  • Wer es für notwendig hält, eine Kopie des Ausweises an Dritte weiterzugeben, sollte dort möglichst alle nicht erforderlichen Daten schwärzen.
  • Private Sicherungskopien des Ausweises sind weiterhin erlaubt.

Quellen

Quelle: ruv.de

Freitag, 30. Juli 2021

Wurde ich pwnd? Was es heisst und was zu tun ist, wenn Du pwned bist

LinkedIn, Comparis, Facebook, Adobe. Yahoo! Die New York Times und auch die RUAG.
 
All diese Namen haben etwas gemeinsam. Das ist, dass sie alle seit dem Jahre 2013 mindestens ein Sicherheitsleck erlebt haben. Das Jahr, als Angreifer begannen, Unternehmen aus allen Branchen ins Visier zu nehmen, um entweder Firmendaten zu ergattern, um Profildaten inklusive Passwörter zu stehlen oder sie durchsickern zu lassen. Dabei ging es auch darum „Unternehmen eine Lektion über Cybersicherheit zu erteilen“. Die Mehrzahl der betroffenen Daten sind Anmeldeinformationen wie Benutzernamen und Passwörter, wobei erstere normalerweise eine E-Mail-Adresse idz. Einige persönlich identifizierbare Informationen (PII) und andere sensible organisationsbezogene Daten wurden ebenfalls in den Mix aufgenommen. Bei so vielen Sicherheitsverletzungen in diesem Jahr und der beobachteten Zunahme solcher Angriffe einige Jahre zuvor könnte man denken: Wie können die Leute mit der Überprüfung Schritt halten, ob sie von diesen Sicherheitsverletzungen betroffen sind oder nicht? Wissen sie überhaupt, dass sie verletzt wurden? Diese Verbreitung von Datenschutzverletzungen in Verbindung mit seiner Analyse des Adobe-Angriffs hat Troy Hunt, einen australischen Cybersicherheitsexperten, Blogger und Redner, dazu veranlasst, Have I Been Pwned (HIBP) zu erstellen. Eine Website, die es Internetnutzern ermöglicht, zu überprüfen, ob ihre persönlichen Daten kompromittiert wurden oder Teil einer Fundgrube von durchgesickerten Daten mit im Zusammenhang mit der Cyberattacke auf Unternehmen.

Wie kann ich mich dagegen schützen?

Gar nicht, denn eigentlich ist es im Sinne der Firmen, dass so etwas gar nie passiert. Die einzige Möglichkeit wäre mit unterschiedlichen E-Mail Profilen unterwegs zu sein oder dann regelmässig das Passwort zu ändern. Je nach Anzahl Profile kann das durchaus in übermässiger Arbeit enden.

Eine Alternative wäre mit HIBP eine Schadensanalyse zu machen und die betroffenen Profile mit einer Änderung des Passworts wieder abzusichern.

Hier kann herausgefunden werden, ob eine E-Mail pwned wurde oder ob alles noch im grünen Bereich ist.

Mittwoch, 5. Februar 2020

Betrügerisches SMS von DHL: Lieferung gestoppt und Nachzahlung der Versandkosten erforderlich

Mir ging heute morgen ein SMS ein, in welchem ich darauf aufmerksam gemacht wurde, dass eine Lieferung nicht zugestellt werden könne. Mittels mitgeliefertem Link könne ich die Sendung einsehen und das Problem lösen.

Tatsächlich hatte ich vor zwei Wochen ein paar Sachen bestellt und war also unsicher.

Die Folgeseite schien zwar minimalistisch, doch sie war funktional. Was mich störte, war die URL, welche keinen Hinweis auf einen offiziellen Server enthielt. Es hätte wenigstens DHL in der Zeichenkette enthalten müssen. Dazu kommt, dass ich meine private Handynummer erst kürzlich bei search.ch eingetragen hatte und diese nie, nimmer, niemals zum Bestellen oder sonstwie angeben. Für diese Zwecke benütze ich ein Prepaid.


Egal, neugierig und zunehmend wütend liess ich die URL in der SMS und den Folgelink auf der DHL Phishing Seite auf www.virustotal.com überprüfen, welche die Seiten als sauber meldete.

Soweit so gut. Nun wollte ich wissen, um welches Paket es sich handelt, da mir die Tracking Nummer nie gegeben wurde.


Nachdem Check gelangte ich zu dieser Seite. Der Link schien ebenfalls sauber, aber nicht mehr funktional - oder der Server hatte zu lange zum Antworten. Also ab hier gab es nicht mehr Informationen über den Urheber dieses Theaters, noch gab es Informationen, was ich hier überhaupt bezahle.

Erst eine Google Suche gab Aufschluss und brachte mich zum offiziellen Statement von DHL auf ihrer Seite für Betrugsbekämpfung.
Am Ende der Seite wird genau dieser Fall aufgezeigt und noch weitere.

Fazit: Link nicht öffnen und schon gar nicht erst bezahlen. Wenn es genug nervt, um es zu melden, so hat DHL eine Anlaufstelle über [email protected] eingerichtet.

Das war's. Stay safe, stay tuned!