Die native Version von Sysmon in Windows kommt. Microsoft hat Insider-Vorschau-Versionen von Windows veröffentlicht, in denen das Feature nun aktiviert werden kann.

In den aktuellen Windows-Insider-Vorschau-Versionen im Developer-Kanal (Build-Nummer 26300.7733, KB5074178) und im Beta-Kanal (Build 26220.7752, KB5074177) bringt das Betriebssystem Windows 11 die Sysmon-Funktion nativ zu Windows. „Mit der Sysmon-Funktion können Sie Systemereignisse erfassen, die bei der Erkennung von Bedrohungen helfen können, und Sie können benutzerdefinierte Konfigurationsdateien verwenden, um die Ereignisse zu filtern, die Sie überwachen möchten“, erklärt Microsoft in den Versionsankündigungen. „Die mitgeschnittenen Ereignisse werden in das Windows-Ereignisprotokoll geschrieben, sodass sie mit Sicherheitsanwendungen und einer Vielzahl von Anwendungsfällen verwendet werden können“, erörtern die Entwickler weiter.

Native Sysmon-Unterstützung aktivieren

Standardmäßig ist Sysmon deaktiviert und muss explizit angeschaltet werden. Das geht entweder über die „Einstellungen“ – „System“ – „Optionale Features“ und dort unter „Verwandte Einstellungen“ – „Mehr Windows-Funktionen“, was die Dialog-Box in altbekannter Optik mit dem Namen „Windows-Features aktivieren oder deaktivieren“ öffnet und dort dem Anhaken von „Sysmon“. In der Eingabeaufforderung oder in der PowerShell klappt das zudem durch den Aufruf von Dism /Online /Enable-Feature /FeatureName:Sysmon. Um die Installation abzuschließen, muss an PowerShell oder Eingabeaufforderung noch der Aufruf sysmon -i abgesetzt werden. Die Entwickler von Microsoft weisen explizit darauf hin, dass diejenigen, die Sysmon bereits von der Webseite geladen und installiert haben, diese Fassung zuvor deinstallieren müssen. Die Dokumentation ist jedoch noch nicht fertig, die „wird bald zu Windows hinzugefügt“.

Bei Sysmon („Systemmonitor“) handelt es sich um ein mächtiges Werkzeug, das bei der Diagnose von Problemen hilfreich ist. Sysmon protokolliert diverse Systemaktivitäten, etwa Prozesserstellung, das Laden von Treibern oder Bibliotheken sowie von Netzwerkverbindungen. „Auf diese Weise können Sie schädliche oder anomale Aktivitäten erkennen und verstehen, wie Angreifer und Schadsoftware in Ihrem Netzwerk agieren“, erklärt Microsoft auf der Sysmon-Webseite.

Die Windows-Vorschau-Version hat zudem noch Unterstützung für die Niederlande für den Sprachzugriff und minimale Fehlerkorrekturen für kleine Problemchen erhalten. Mark Russinovich, Entwickler von Sysmon und den anderen Sysinternals-Werkzeugen, hatte die Sysmon-Integration im vergangenen November bereits angekündigt.

(dmk)

Der jüngste Anlauf, eine Vorratsdatenspeicherung in Deutschland einzuführen, könnte womöglich gegen EU-Recht verstoßen. So lautet der Tenor aus vielen zivilgesellschaftlichen Organisationen, die in den letzten Wochen Stellung zum Gesetzentwurf bezogen haben.

Diesen hatte das Bundesjustizministerium (BMJV) im Dezember vorgestellt. Demnach sollen Netzbetreiber die IP-Adressen und Port-Nummern ihrer Nutzer:innen anlasslos drei Monate lang speichern. Außerdem sollen sich mit einer Sicherungsanordnung auch weitere Verkehrsdaten von Nutzer:innen einfrieren lassen, wenn ein Verdacht von Straftaten mit erheblicher Bedeutung vorliegt.

Die Tür für den erneuten Anlauf hat der Europäische Gerichtshof (EuGH) geöffnet. Im Jahr 2024 hatten die Richter:innen entschieden, die verdachtsunabhängige Speicherung von IP-Adressen unter bestimmten Bedingungen zuzulassen. Zuvor hatte sich der EuGH in mehreren Urteilen stets gegen diese Form anlassloser Massenüberwachung gestellt. Diese Kehrtwende hat in vielen EU-Ländern, aber auch auf EU-Ebene, neue Diskussionen um Vorratsdatenspeicherung ausgelöst.

EU-weite Lösung bevorzugt

Schon allein deshalb sei ein nationaler Alleingang fragwürdig, schreibt die Digital-NGO Digitale Gesellschaft in ihrer Stellungnahme. „Der Vorschlag läuft quer zu einem gerade angelaufenen Gesetzgebungsverfahren von der EU-Kommission zur Harmonisierung europäischer Regeln zur Vorratsdatenspeicherung“, so die Bürgerrechtler. Lieber sollte sich die Bundesregierung „auf europäischer Ebene für zielgerichtete Maßnahmen statt Massenüberwachung“ einsetzen, empfiehlt die NGO.

Auch inhaltlich spart die Digitale Gesellschaft nicht mit Kritik. In Bezug auf ein älteres EuGH-Urteil würde die vorgeschlagene Speicherfrist von drei Monaten den Maßstäben des Gerichtshofs nicht entsprechen. In seinem letzten Urteil hatte der EuGH keine Zeitspanne benannt. Er führte aus, dass das nun erlaubte Vorhalten von IP-Adressen zeitlich auf das absolut Notwendige begrenzt werden müsse sowie keine detaillierten Einblicke in das Privatleben betroffener Personen erlauben dürfe.

Aufgeweichtes „Quick Freeze“

Dem Deutschen Anwaltverein (DAV) zufolge habe das BMJV die Öffnung für die Speicherung von IP-Adressen „in einem Maße überdehnt, die nicht mehr mit den grundrechtsschützenden Intentionen des Gerichtshofs in Einklang steht“. Da jegliche wirksame Begrenzung der Verwendungszwecke fehle, sei „jedenfalls die vorgeschlagene Vorratsdatenspeicherung europarechtswidrig“.

Neben der anlasslosen Speicherung von IP-Adressen, mit denen sich die Anschlussinhaber:innen herausfinden lassen, will das BMJV mit der Sicherungsanordnung eine Form von „Quick Freeze“ einführen. Hierbei werden nach einer Anordnung auch sogenannte Verkehrsdaten wie eine Liste abgehender Anrufe oder verschickter SMS-Nachrichten eingefroren. Betroffen wären auch Standortdaten, mit denen sich Bewegungsprofile erstellen lassen. Das entspricht grob dem gescheiterten Ansatz der Ampelregierung, die in der vergangenen Legislaturperiode eine grundrechtsschonendere Alternative zur Vorratsdatenspeicherung etablieren wollte.

Doch im aktuellen Entwurf schleift das nun SPD-geführte Justizministerium einige Schutzvorkehrungen. So soll für das Einfrieren der Daten eine simple Anordnung von Ermittlungsbehörden reichen. Erst beim zweiten Schritt, wenn es um das „Auftauen“ der Daten für weitere Ermittlungen geht, wäre eine unabhängige gerichtliche Prüfung notwendig.

Zudem plant das BMJV, die Eingriffsschwelle abzusenken, womit mehr einzufrierende Daten erfasst würden. Damit würde den Ermittlungsbehörden ermöglicht, schreibt der DAV, „genau wie bei der Vorratsdatenspeicherung, für einen Zeitraum von bis zu sechs Monaten retrograde Standortdaten zu erheben und detaillierte Bewegungsprofile zu erstellen“.

Andere Ansätze existieren

Aus Sicht der Gesellschaft für Informatik (GI) ist die flächendeckende, anlasslose Einführung einer IP-Adressenspeicherung vollständig auszuschließen, da sonst jede Person unter Generalverdacht gestellt würde. Zudem müsse grundsätzlich gefragt werden, ob „eine zusätzliche Form der staatlichen Überwachung durch eine Speicherung von Verkehrsdaten überhaupt erforderlich ist“. Aktivitäten ließen sich „bereits durch private Datenabflüsse im Alltag zum Teil rekonstruieren“, so die GI.

Für andere Ansätze plädiert der Digitalverband D64. Als „grundrechtsschonende und zielgerichtete Ermittlungsinstrumente“ schlägt der Verband eine sauber geregelte „Quick Freeze“-Lösung oder eine Login-Falle vor. Auch die Digital-NGO Digitalcourage verweist auf das Quick-Freeze-Verfahren, welches „rechtsstaatlich, verhältnismäßig und bereits heute möglich“ sei.

Kritik am Vorstoß des BMJV übt auch die Wirtschaft. So weist etwa eco, der Verband der Internetwirtschaft, auf potenzielle neue Speicherpflichten für bislang datensparsame Messenger wie Signal hin. „Mit dem geänderten § 100g der Strafprozessordnung (StPO) wird neben den bereits verpflichteten Anbietern bei der Erhebung von Verkehrsdaten klargestellt, dass dieser zusätzlich auch für Anbieter von nummernunabhängigen interpersonellen Kommunikationsdiensten (NI-ICS) gilt“, heißt es in der Stellungnahme des Verbands.

Dem Entwurf deutlich wohlgesonnener sind die von den Speicherpflichten besonders betroffenen Netzbetreiber. Allerdings warnt etwa VATM, der Verband der Anbieter von Telekommunikations- und Mehrwertdiensten, vor Unschärfen im derzeitigen Referentenentwurf. „Wird – wie im Entwurf vorgesehen – der Startpunkt einer Session gespeichert, ist eine Zuordnung einer IP-Adresse zu einem Endkunden nicht nur für drei Monate möglich, sondern faktisch für die gesetzliche Speicherfrist zuzüglich der Dauer der Session“, führt der Verband aus. Demnach könnten in der Praxis auch nach fünf oder sechs Monaten noch Zuordnungen vorgenommen werden. „Dies widerspricht dem Ziel einer strikt zeitlich begrenzten Speicherung.“

Für viele sind die E-Mails direkt im Spam-Ordner zu finden, jedoch umgehen sie gelegentlich die Klassifizierung und landen dann doch im Posteingang: Warnungen zu Cloud-Speichern bezüglich überlaufenden Speicherplatzes oder Fehlern bei Bezahlvorgängen. Nicht immer dienen sie den Drahtziehern zum Abzocken von Zugangsdaten. IT-Forscher haben als Ziel Webseiten mit Affiliate-Marketing beobachtet.

Das berichtet das IT-Sicherheitsunternehmen Malwarebytes in seinem Blog. Bei der Untersuchung einer Phishing-Mail bezüglich vermeintlicher Zahlungsprobleme mit einem Cloud-Speicher landeten die IT-Analytiker bei der Freecash-App. Die landete einem weiteren Blog-Beitrag von Malwarebytes zufolge etwa auf Platz zwei der Apple-iOS-Charts der kostenlosen Apps. Sie verspricht Nutzern und Nutzerinnen, Geld dafür zu erhalten, etwa auf Tiktok Videos anzuschauen. Jedoch platzt der Traum vom Gehaltscheck schnell, die App liefert den Usern lediglich zu Online-Spielen wie Monopoly Go oder Disney Solitaire und verspricht aber dort für das Absolvieren von zeitbegrenzten In-Game-Challenges Geld.

Die Drahtzieher hinter den Phishing-Mails, deren Links am Ende zur Installation der Freecash-App verleiten, lenken die User also nicht auf Webseiten zum Scrollen, um ihnen dafür Geld auszuzahlen, sondern zu Spielen, wofür sie möglicherweise Geld ausgeben oder bezahlte Werbung anschauen. Hinter Freecash steckt laut Malwarebytes die Berliner Firma Almedia, die die Plattform als Möglichkeit beschreibt, Handy-Spieleentwickler mit Usern zu verknüpfen, die das wahrscheinlich installieren und Geld ausgeben.

Großangelegte Cloud-Speicher-Abo-Betrugsmasche

Malwarebytes bezieht sich zudem auf Bleepingcomputer, die weitere Ziele ausgemacht haben mit dieser weltweit laufenden Betrugsmasche basierend auf vermeintlichen Cloud-Speicher-Mails mit „Warnung an Empfänger, ihre Fotos, Dateien und Konten würden geblockt oder gelöscht aufgrund angeblicher Zahlungsprobleme“. Die Links in den E-Mails verweisen etwa auf „https://storage.googleapis.com/[..]/redirect.html“ und erwecken durch den Verweis auf Googles Cloud Storage den Eindruck, seriös zu sein. Die Weiterleitung, die die IT-Forscher von Malwarebytes dort gefunden haben, führte zu einer bereits bekannten und in der Blocklist verzeichneten Webseite, auf der zuvor schon Phishing beobachtet wurde.

Mehrere Weiterleitungen weiter zeigt eine Webseite dann ein gefälschtes CAPTCHA an, das nach Lösung auf die Freecash-Domain umleitet. Bleepingcomputer hat demnach weitere Ziele beobachtet, darunter VPN-Angebote, kaum bekannte Sicherheitssoftware oder Abo-basierte Angebote ohne jede Verbindung zu Cloud-Speicher. Die Autoren schließen daraus: „Anstatt direkt Zugangsdaten zu stehlen, scheint die Kampagne darauf ausgerichtet zu sein, Traffic zu monetarisieren, indem sie Opfer zu Affiliate-Angeboten weiterleitet, bei denen die Betreiber für Anmeldungen oder Conversions bezahlt werden.“

Malwarebytes empfiehlt, die eigenen Zugänge über die offizielle Website und nicht durch Klicken auf Links in unaufgefordert zugesandten E-Mails zu besuchen. Außerdem sollten User ihre Passwörter nicht mit anderen teilen. Von der Interaktion mit Webseiten, die Besucher mit diesen Methoden anlocken, sollte unterbleiben. Die Frage bleibt offen, wie weit diese Masche erfolgreich ist. Es dürfte doch einige Menschen abschrecken, dass sie auf eine vermeintlich fehlerhafte Zahlung reagieren und am Ende eine App installieren sollen, die ihnen Geld für das Anschauen von Tiktok-Videos verspricht oder Spiele, VPN-Dienste und Ähnliches andient. Es reicht offenbar eine geringe Zahl an Opfern, um Geld damit zu verdienen, andernfalls würden diese Betrugsversuche abebben.

(dmk)