Die EU-Kommission hat angekündigt, sie werde „unverzüglich“ die Finanzierung von Einzelpersonen oder Organisationen stoppen, die in „schwerwiegendes berufliches Fehlverhalten“ verwickelt sind. Hintergrund ist eine Recherche von Follow the Money (FtM), wonach in den vergangenen Jahren EU-Gelder in Millionenhöhe direkt an kommerzielle Spyware-Firmen geflossen sind.

Das Portal FtM deckte im September in Zusammenarbeit mit anderen Medienpartnern auf, dass die Spyware-Industrie hohe Subventionen von der EU kassiert und gleichzeitig deren Bürger überwacht. Demnach hat etwa die Intellexa-Gruppe, die den Staatstrojaner Predator entwickelt, über mit ihr verbundene Firmen öffentliche Finanzspritzen insbesondere über Innovationsprogramme eingesackt. Cognyte, CyGate und Verint sollen als weitere Produzenten von Überwachungstechnologien wie Spyware ebenfalls finanzielle Unterstützung aus EU-Quellen erhalten haben. Deren Lösungen werden häufig im Kontext von Menschenrechtsverletzungen genannt.

39 EU-Abgeordnete aus vier Fraktionen forderten daraufhin in einem gemeinsamen Brief von der Kommission konkrete Antworten. Die Volksvertreter monierten, die EU finanziere – offenbar ungewollt – Instrumente, die in Mitgliedstaaten wie Polen, Griechenland, Ungarn sowie autoritären Drittländern für Repressionszwecke eingesetzt wurden beziehungsweise werden. Dies untergrabe die Grundrechte und die Demokratie.

Die Kommission hat es laut dem Schreiben offensichtlich versäumt, die Vertrauenswürdigkeit, Eigentümerstruktur und Menschenrechtskonformität der Unternehmen zu prüfen. Die geforderten Endnutzer-Klauseln oder Dual-Use-Kontrollen, ob ein Produkt sowohl zivil als auch militärisch und polizeilich missbraucht werden könne, würden anscheinend nicht wirksam durchgesetzt. Die Enthüllungen zeigten, dass die Brüsseler Regierungsinstitution Empfehlungen aus dem parlamentarischen Untersuchungsausschuss zu den Spyware-Skandalen in dem hochsensiblen Bereich nicht ausreichend befolge.

Kommission legt die Hände in den Schoß

In ihrer Stellungnahme erläutert die Kommission laut einem Newsletter von FtM, dass Strafverfolgungsbehörden und Geheimdienste Spyware „rechtmäßig für legitime Zwecke einsetzen“ dürften. Sie versäume es jedoch, alle EU-Programme aufzulisten, von denen Überwachungsunternehmen profitiert haben. Es fehlten insbesondere Angaben zu Zuschüssen aus dem Europäischen Sozialfonds und einem weiteren Finanztopf, die an die italienische Überwachungsfirma Area vergeben worden seien.

Auch Geldflüsse an den berüchtigten Spyware-Hersteller Hacking Team erwähne die Exekutivinstanz nicht, heißt es weiter. Selbst die jüngsten Überweisungen aus dem Europäischen Investitionsfonds (EIF) an die israelische Spyware-Firma Paragon Solutions, die derzeit im Zentrum eines Skandals in Italien steht, blieben unerwähnt. Anstatt neue Schutzmaßnahmen vorzuschlagen, verweise die Kommission nur auf den bestehenden Rechtsrahmen zum Schutz vor dem illegalen Einsatz von Spyware.

Die EU-Exekutive „versteckt sich hinter vagen Verweisen auf ‚EU-Werte“, kritisiert Aljosa Ajanovic Andelic von der Initiative European Digital Rights (EDRi) die Antwort gegenüber FtM. Dabei gebe sie offen zu, „dass europäische Gelder Unternehmen finanziert haben, deren Technologien zur Spionage gegen Journalisten und Menschenrechtsverteidiger eingesetzt werden“. Das belege das völlige Fehlen effektiver Kontrollmechanismen. Die Grünen-Abgeordnete Hannah Neumann rügt, dass die Kommission dem Ausschussbericht in den vergangenen zwei Jahren kaum Taten habe folgen lassen.

(akn)

Eine Zero-Day-Lücke bei der Anzeige von LNK-Dateien in Windows wurde Ende August dieses Jahres bekannt. Microsoft plant bislang keine Korrektur und stuft sie anders als die Zero Day Initiative (ZDI) von Trend Micro nicht als hochriskant ein. Das IT-Sicherheitsunternehmen Arctic Wolf hat Angriffe gegen europäische Diplomaten unter Missbrauch dieser Schwachstelle beobachtet.

In einer Analyse von Arctic Wolf schreiben die IT-Forscher, dass die mit China in Verbindung stehende Cybergruppierung UNC6384 eine aktive Spionagekampagne gegen europäische Diplomaten und diplomatische Einrichtungen etwa in Belgien, Italien, den Niederlanden, Serbien und Ungarn sowie die weitere europäische diplomatische Gemeinschaft ausgeführt hat. Die Kampagne nutzt die LNK-Anzeigeschwachstelle in Windows aus und lief im September und Oktober dieses Jahres. Zudem setzen die Angreifer auf angepasstes Social Engineering.

Die Angriffskette fängt mit Spearphishing-E-Mails an, die eine URL enthalten, die die erste von mehreren Stufen darstellt. Am Ende münden die in der Auslieferung einer bösartigen LNK-Datei, die sich namentlich um Themen von Treffen der EU-Kommission, Workshops mit NATO-Bezug und multilateralen diplomatischen Koordinierungs-Events drehen.

LNK-Dateien führen zu Malware-Installation

„Diese Dateien nutzen die kürzlich bekannt gewordene Windows-Sicherheitslücke aus, um verschleierte PowerShell-Befehle auszuführen. Die entpacken und verteilen eine mehrstufige Malware-Kette, was schließlich zur Verteilung des PlugX-Remote-Access-Trojaners (RAT) durch DLL-Side-Loading legitimer, signierter Canon-Druckerassistenzprogramme führt“, erklären die IT-Forscher von Arctic Wolf.

Die von Microsoft nicht als behebenswert eingestufte Schwachstelle wird also aktiv in Angriffen von Kriminellen missbraucht. Als Gegenmaßnahme steht daher kein Patch von Microsoft zur Verfügung. Arctic Wolf empfiehlt unter anderem, die Nutzung von .lnk-Dateien aus fragwürdigen Quellen zu blockieren und zu beschränken. Dazu sei die Deaktivierung der automatischen Auflösung im Windows Explorer geeignet. Das sollte auf allen Windows-Endpoints umgesetzt werden. Wie das am einfachsten gelingt, ob es etwa eine Gruppenrichtlinie dafür gibt, erörtert Arctic Wolf hingegen nicht konkreter.

Die IT-Forscher nennen noch einige Indizien für Infektionen (Indicators of Compromise, IOCs), nach denen Admins suchen können. Dazu gehören einige URLs der Command-and-Control-Infrastruktur. Außerdem könne die Suche nach Canon-Drucker-Assistent-Utilities, im Speziellen der Datei „cnmpaui.exe“, an ungewöhnlichen Orten wie den AppData-Verzeichnissen der User Hinweise liefern.

Möglicherweise führt der Missbrauch der Schwachstelle im Internet dazu, dass Microsoft seine erste Einordnung korrigiert. Dann könnte das Unternehmen die Sicherheitslücke schließen und dem gegebenen Versprechen entsprechen, IT-Sicherheit als oberste Priorität zu setzen. Derzeit sieht das jedoch eher nach „Security-Theater“ aus.

(dmk)

Das Landgericht Bielefeld hat in einem Betrugsfall einer Bankkundin, die per SMS auf eine gefälschte Website gelockt wurde, die engen Grenzen des Versicherungsschutzes bei digitalen Betrugsmaschen verdeutlicht. Im Kern geht es darum, dass eine Hausratversicherung mit „Internetzschutz“, die explizit das Phishing durch gefälschte E-Mails abdeckt, keine Schäden reguliert, die durch SMS-Phishing entstehen. Das geht aus einem Hinweisbeschluss der Bielefelder Richter vom 25. September hervor (Az.: 22 S 81/25), über den der IT-Rechtler Jens Ferner und Beck Aktuell berichten.

Die Volksbank-Kundin hatte eine täuschend echte SMS erhalten, die sie zur Verlängerung der Registrierung ihrer App fürs Online-Banking, der Anwendung VR-SecureGO Plus, aufforderte und sie auf eine gefälschte Login-Seite weiterleitete. Dort gab die Betroffene ihre Zugangsdaten ein und autorisierte so über ihre Legitimations-App unwissentlich die Erstellung einer digitalen Girocard durch die Betrüger, die diese anschließend für Einkäufe in Höhe von fast 5000 Euro nutzten.

Nachdem die Bank eine Erstattung wegen grober Fahrlässigkeit abgelehnt hatte, scheiterte die Klage gegen die Versicherung nicht nur vor dem Amtsgericht Halle/Westfalen. Auch die Berufung vor dem Landgericht ist laut dessen Beschluss aussichtslos, da sie „offensichtlich keine Aussicht auf Erfolg“ habe.

Eine SMS ist keine E-Mail

Den Bielefelder Richtern zufolge differenzieren die Allgemeinen Versicherungsbedingungen (AVB) der Police, die den Schutz regeln, klar zwischen SMS und E-Mail. Demnach ist eine mobile Kurznachricht „keinesfalls gleichartig“ zu einer E-Mail. Das Landgericht betont, dass SMS im Gegensatz zu E-Mails durch ihren Textumfang begrenzt seien und vor allem die Absenderadresse bei einer E-Post Rückschlüsse auf den Absender zulasse. Eine Rufnummer biete diese Möglichkeit bei der SMS nicht.

Die Argumentation der Kundin, „E-Mail“ sei als Oberbegriff für elektronische Nachrichten zu verstehen, wies die höhere Instanz zurück. Vielmehr fungiere „elektronische Nachricht“ als Oberbegriff für E-Mails, SMS und Messenger-Nachrichten. Damit habe der klare Wortlaut der Bedingungen einen Phishing-Angriff, der per SMS begann, vom Versicherungsschutz ausgeschlossen.

Zudem scheiterte die Klägerin mit dem Versuch, den Vorfall unter den versicherten Begriff des Pharming zu fassen. Eine solche Manipulation der DNS-Anfragen von Webbrowsern setzt laut der 22. Zivilkammer des Landgerichts voraus, dass die Kundin oder der Kunde im Glauben an die Echtheit einer gefälschten Bank-Webseite einen unmittelbaren Zahlungsvorgang ausführen. Die klagende Kundin hatte aber lediglich das Erstellen einer digitalen Girocard autorisiert. Die späteren Schäden seien so nur mittelbar entstanden.

Das Kleingedruckte ist entscheidend

Auch technisch liegt dem Beschluss nach kein Pharming vor, da dabei der korrekte Aufruf einer Website etwa durch Beeinflussung der Hosts-Datei oder des DNS-Servers umgeleitet werde. Die Kundin sei hier aber durch einen verfälschten Link zur Weitergabe ihrer Daten verleitet worden, was technisch als Phishing zu werten sei.

Die Entscheidung des Landgerichts zeigt, wie eng die Versicherungsbedingungen ausgelegt werden und dass die Versicherer ihre Haftung durch präzise Definitionen der Betrugsmaschen begrenzen. Der Jurist Ferner sieht darin einen wichtigen Hinweis an Verbraucher: Mit dem Fall werde erneut deutlich, „wie wichtig es ist, die Versicherungsbedingungen genau zu lesen“. Viele Kunden gingen angesichts allgemeiner Beschreibungen wie „Internet-Schutz“ davon aus, dass ihre Police sie umfassend vor Betrug im digitalen Zahlungsverkehr schütze. Doch bereits kleine Unterschiede in der Art des Angriffs könnten darüber entscheiden, ob ein Schaden erstattet wird oder nicht.

Ferner zeigt sich damit ein großes Dilemma: Versicherte schließen einen einschlägigen Vertrag ab, um im Schadensfall eine Leistung zu erhalten. Die andere Seite lebe davon, nicht zu zahlen. Die Konsequenz sei, dass Versicherungsnehmer ihre Policen kritisch auf alle relevanten Angriffsvektoren prüfen und nicht nur auf deren Preis achten müssten. Ansonsten bestehe im Schadensfall möglicherweise keine Deckung. Generell fasste der Bundesgerichtshof die Möglichkeiten für Schadenersatz für Phishing-Opfer schon 2012 sehr eng.

(afl)