Auf Admins der Cloud-basierten Fernwartungssoftware ScreenConnect läuft eine Spear-Phishing-Kampagne. Das haben IT-Sicherheitsforscher herausgefunden. Den Angreifern geht es dabei um initialen Zugriff auf Netzwerke, um Ransomware zu platzieren.

In einer Analyse der Speer-Phishing-Kampagne erörtert Mimecast, dass die Kampagne in mehreren Läufen seit 2022 aktiv ist. Die Angreifer versendeten in den einzelnen Durchgängen stets vergleichsweise wenige E-Mails, bis zu 1000. Dadurch bleiben sie weitgehend unentdeckt. Für den Mail-Versand nutzen die kriminellen Drahtzieher Amazon Simple E-Mail-Service-Konten (SES) und zielen auf leitende ITler ab, etwa Leiter, Manager oder IT-Security-Mitarbeiter mit erhöhten Zugangsrechten in ScreenConnect-Umgebungen. Die Angreifer haben es insbesondere auf Super-Admin-Zugänge abgesehen, die weitreichende Kontrolle über die Fernzugriff-Struktur ganzer Organisationen erlauben.

Die Angreifer verwenden Logos und Optik von ScreenConnect respektive Hersteller Connectwise. In den Phishing-Mails thematisieren sie etwa einen Alarm wegen Zugriffen von neuen IP-Adressen. Die Schaltfläche „Review Security“ in der Mail führt dann auf die Phishing-Seiten – die ebenfalls an die Original-Optik angelehnt sind. Auch die URLs wirken auf den ersten Blick korrekt. Sie verwenden unter anderem Top-Level-Domains, die Connectwise tatsächlich nutzen könnte, wie connectwise[.]com.ar oder connectwise[.]com.be.

Fortschrittliche Angriffe

Für die Phishing-Seiten setzen die bösartigen Akteure auf das EvilGinx-Open-Source-Framework. Es sitzt in einer Man-in-the-Middle-Position und dient dem Abfangen von Zugangsdaten und Codes für die Multifaktorauthentifizierung. Damit können die Angreifer persistenten Zugriff auf kompromittierte Zugänge erhalten. Den nutzen sie für die laterale Fortbewegung in den Netzwerken der Opfer, um zusätzliche Zugriffstools oder Malware auf verwalteten Endpunkte zu installieren.

Indizien für Infektionen (Indicators of Compromise, IOCs) nennt Mimecast in der Analyse in Form bislang beobachteter missbrauchter Angriffs-Domains und Infrastruktur-Diensten. Einige Tipps sollen helfen, die Zugangssicherheit zu verbessern. So sollten Unternehmen etwa den ScreenConnect-Admin-Zugang lediglich von verwalteten Geräten in der Organisation aus erlauben. Die Umstellung auf FIDO2/WebAuthn für ScreenConnect-Zugänge schützt diese zudem vor Phishing. Die Analyse liefert noch weitere mögliche Optimierungen.

Die Fernwartungssoftware Connectwise ScreenConnect steht bei Angreifern weit oben auf der Liste. Etwa Anfang Juni warnte die US-amerikanische IT-Sicherheitsbehörde CISA vor laufenden Angriffen. Am gleichen Tag haben Angreifer jedoch nicht nur Sicherheitslücken in der Software attackiert, sondern Connectwise gab bekannt, dass staatlich gelenkte Angreifer in die Netze des Anbieters eingedrungen sind.

(dmk)

Der brandenburgische Polizeipräsident Oliver Stepien ist offen für den Einsatz von Künstlicher Intelligenz in der Polizeiarbeit – unter bestimmten Voraussetzungen. „Wir müssen KI mit Nachdruck betreiben, weil das der Beginn einer Entwicklung ist, glaube ich, deren Umfang und abschließende Wirkung überhaupt noch nicht absehbar ist. Dem müssen wir uns stellen“, sagte Stepien der Deutschen Presse-Agentur in Potsdam. „Wir müssen dafür offen sein.“

Innenminister: Polizei muss mehr Möglichkeiten bei KI bekommen

Per Polizeigesetz, das bis Ende 2027 reformiert werden soll, muss die Polizei aus Sicht von Innenminister René Wilke mehr Möglichkeiten auch in Sachen KI und bei der Verwertung von Daten bekommen. „Da ist, glaube ich, noch ein Stückchen Weg vor uns, wo wir uns auch modernisieren müssen“, sagte der parteilose Politiker vor Kurzem der dpa.

Zuletzt war eine Debatte um eine umstrittene Analyse-Software des US-Unternehmens Palantir zur Verbrechensbekämpfung entbrannt. Datenschützer warnen, dass sensible Daten abgezweigt werden könnten. Die Polizei in einigen Bundesländern nutzt die Software – Brandenburg nicht.

Innenminister Wilke äußerte sich zuletzt skeptisch dazu. Mit der Software namens Gotham, die in Bundesländern als angepasste Version unter den Namen Hessendata, DAR und VeRA läuft, kann die Polizei große Mengen an Daten auswerten und Verbindungen herstellen.

KI bislang bei Vernehmungen in Brandenburg im Einsatz

Die Polizei in Brandenburg nutze bislang KI beispielsweise zur Transkription von audiovisuellen Vernehmungen, aber noch keine Systeme, die etwa eigenständig Straftaten oder Straftäter an deren Verhalten erkennen könnten, so Stepien. „Für eine abschließende Strategie brauchen wir zuerst ein einheitliches Begriffsverständnis von KI, klare Rechtsgrundlagen und bestimmte Eingriffsbefugnisse.“ Es müssten immer auch ethische Fragen geklärt werden.

„Bislang wurde eine Zeugenvernehmung abgetippt und ausgedruckt. Aber je mehr wir solche Dinge vereinfachen und erleichtern, desto mehr Zeit ist ja für die eigentliche Kriminalitätsbekämpfung da“, sagte Innenminister Wilke der dpa.

Debatte um Gesichtserkennungs-Software

Er wie auch Polizeipräsident Stepien halten eine Gesichtserkennungs-Software zur Strafverfolgung für hilfreich. „Aber dann steckt der Teufel auch im Detail“, meinte der Polizeipräsident. „Also nicht alles, was geht, dürfen wir.“

Der Innenminister befürwortet ein System zur automatisierten Gesichtserkennung (PerlS) zur Unterstützung der Ermittlungsarbeit etwa, wenn Täter auf der Flucht sind. „Es darf kein Freifahrtschein sein, aber die Fähigkeiten müssen wir uns für spezielle Fälle geben“, so Wilke.

(dmk)

Die Bundesdatenschutzbeauftragte will im Streit um Facebook-Seiten der Bundesregierung nicht nachgeben. Daher legt sie Berufung gegen ein Urteil des Verwaltungsgerichts Köln ein, wie die Behörde am Freitag in einer Pressemitteilung mitteilte. Ziel sei eine Klärung der Frage, ob und unter welchen Bedingungen staatliche Stellen offizielle Profile in Sozialen Medien betreiben dürfen.

Im Juli hatte das Kölner Gericht entschieden, dass keine gemeinsame datenschutzrechtliche Verantwortung zwischen Meta und dem Bundespresseamt (BPA) für die Datensammlungen des Social-Media-Betreibers bestehe. Entsprechend sei allein Meta für die rechtssichere Verarbeitung und Einholung der Einwilligung von Betroffenen verantwortlich. Das BPA dürfe deshalb weiter die Facebook-Seite der Bundesregierung mit derzeit etwa einer Million Follower:innen betreiben.

„Selbstverständlich sehen wir, wie wichtig es für den Staat geworden ist, auf sozialen Netzwerken zu kommunizieren“, heißt es von der amtierenden Bundesdatenschutzbeauftragten Louisa Specht-Riemenschneider zu der Berufung. „Welche Bedingungen dafür gelten, ist aber bislang völlig unklar und kann nur entweder durch den Gesetzgeber oder durch ein letztinstanzliches Urteil festgelegt werden.“

Fast 15 Jahre Rechtsunsicherheit

Das Gerichtsverfahren geht zurück auf eine Entscheidung von Specht-Riemenschneiders Amtsvorgänger Ulrich Kelber. Dieser hatte nach langem Mahnen und Warnen im Jahr 2022 dem Bundespresseamt den Betrieb der Facebook-Seite der Bundesregierung untersagt. Dagegen sind sowohl das BPA als auch Meta gerichtlich vorgegangen.

Hintergrund sind die umfangreichen Datensammlungen des Meta-Konzerns, der das Verhalten seiner Nutzer:innen auf den eigenen Plattformen und darüber hinaus auswertet. Mit den gewonnenen Informationen betreibt der Konzern unter anderem seine hyperpersonalisierten Empfehlungsalgorithmen, bietet zielgerichtete Werbung an und entwickelt KI-Dienste.

Seit langem gibt es zahlreiche Rechtsstreits darum, ob Metas Verhalten datenschutzkonform ist. Insgesamt wurde der Konzern wegen Verstößen gegen die Datenschutzgrundverordnung bereits zu mehreren Milliarden Euro Bußgeld verdonnert. Im Zentrum der aktuellen Auseinandersetzung steht die Frage: Inwiefern tragen die Betreiber offizieller Facebook-Seiten, die früher „Fanpages“ hießen, eine Mitverantwortung für Datenschutzverstöße?

Bereits Anfang der 2010er-Jahre hatte die Datenschutzbehörde von Schleswig-Holstein die Schließung einer Facebook-Fanpage angeordnet, weil die Seitenbetreiber nicht sicherstellen konnten, dass Facebook sich an den Datenschutz hält. Der Fall ging bis vor den Europäischen Gerichtshof, der eine gemeinsame Verantwortung 2018 weitgehend bejahte.

Praktische Konsequenzen hatte das allerdings kaum. Meta stellte Seitenbetreibern 2019 ein „Addendum“ zur gemeinsamen Verantwortung zur Verfügung. Nach Auffassung der Datenschutzbehörden löste dies die Probleme allerdings nicht. Auch dass das BPA die Bereitstellung von Statistiken durch Facebook abstellte, hielt Kelber für unzureichend, wie er 2021 an die Bundesregierung schrieb.

Handreichung: Social Media immer nur als Parallelmedien

Für öffentliche Stellen ist das ein Dilemma, weil sie nicht nur ein Eigeninteresse haben, mit Bürger:innen zu kommunizieren, sondern dazu auch verfassungsrechtlich angehalten sind. Specht-Riemenschneider betont deshalb, dass sie Behörden nicht für die Nutzung von Sozialen Medien abstrafen wolle. Vielmehr sei es das Anliegen der BfDI, „die bislang weder gesetzlich noch höchstrichterlich geklärten Bedingungen für rechtskonforme Nutzung abschließend und unmissverständlich zu klären und dabei digitale Kommunikation mit Bürgerinnen und Bürgern zu ermöglichen“.

Um vor einer endgültigen Klärung der Frage nach der gemeinsamen Verantwortung eine möglichst datenschutzkonforme Nutzung sozialer Medien durch öffentliche Stellen zu ermöglichen, veröffentlichte die Datenschutzbeauftragte mit der Berufungsankündigung eine eher allgemein gehaltene Handreichung für Behörden.

So sollen Behörden in Sozialen Medien beispielsweise Transparenz über die eigene Verarbeitung von Daten herstellen und eine Datenschutzfolgenabschätzung vornehmen, sofern die Voraussetzungen dafür erfüllt sind. Außerdem sollten Behörden, soweit es ihnen möglich ist, für Privacy by default sorgen. Dazu könnten Maßnahmen wie die Abschaltung der Statistik-Funktion und falls möglich eine Deaktivierung der Datennutzung für KI-Training gehören. Verarbeitungsintensive Zusatzfunktionen wie Gewinnspiele, Direktwerbung und Widgets sollten gar nicht genutzt werden.

Und: „Soziale Medien dürfen von öffentlichen Stellen des Bundes nur als Parallelmedium genutzt werden.“ Bürger:innen müssten immer die Möglichkeit haben, Informationen auch über andere Kanäle zu erhalten. Das gelte ebenfalls für Stellenanzeigen und Veranstaltungsankündigungen.