Kunden mit Online-Konto bei der Parfümeriekette müssen sich insbesondere vor möglichem Phishing in Acht nehmen. Der Anbieter informiert derzeit Kunden in E-Mails über einen IT-Vorfall, bei dem Unbefugte Mitgliederdaten heruntergeladen haben.

Rituals stellt auf der Webseite aber auch eine FAQ mit einigen Informationen bereit. Demnach sind personenbezogene Daten davon betroffen: Vollständiger Name, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Geschlecht und Wohnanschrift nennt das Unternehmen. Nicht betroffen seien hingegen Passwörter oder Zahlungsinformationen.

Einbruch im April

Der Vorfall ereignete sich „im April“, genauere Informationen liefert Rituals nicht. Zwar hat das Unternehmen Untersuchungen eingeleitet, um anhand der Ursachen zu ergreifende Maßnahmen zu bestimmen und die zuständigen Behörden informiert. Details, etwa durch welche Sicherheitslücke sich Cyberkriminelle Zugang zu den Daten verschafft haben, nennt Rituals jedoch nicht.

Immerhin hat Rituals eigenen Angaben zufolge keine Kenntnis davon, dass die kopierten Daten veröffentlicht wurden. Das will das Unternehmen jedoch weiterhin „genau beobachten“. Auf den üblichen Darknet-Leakseiten findet sich zum Meldungszeitpunkt kein Hinweis auf dieses Datenleck und dessen Verursacher.

Kunden können und müssen nichts machen, erklärt der Anbieter. Sie sollten jedoch wachsam gegenüber Phishing sein. Zudem lässt sich mit den Daten unter Umständen auch Identitätsdiebstahl betreiben. Wer das eigene Konto nun löschen wolle, könne das Kontaktformular nutzen und dort den Punkt „Recht auf Löschung meiner personenbezogenen Daten“ auswählen.

Auch die Modekette Zara ist jüngst Opfer eines IT-Vorfalls mit Datenleck geworden. Dort hat die kriminelle Vereinigung ShinyHunters Daten kopiert und am heutigen Mittwoch im Darknet veröffentlicht.

(dmk)

Im Februar hatte der Verfassungsschutz (BfV) gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vor Phishing-Attacken auf hochrangige Persönlichkeiten wie Politiker, Militärs und Diplomaten sowie Investigativjournalisten gewarnt. Zum Wochenende haben die Behörden ihre Warnung aktualisiert.

Der aktualisierte Sicherheitshinweis beim Verfassungsschutz führt weiter aus, dass die Angriffe „wahrscheinlich durch einen staatlich gesteuerten Cyberakteur durchgeführt“ würden. Ziel ist etwa das Ausspähen der Kommunikation über den Signal-Messenger. Nun warnen die Behörden jedoch, dass die Kampagne weiterhin aktiv sei und zudem an Dynamik gewinne.

Leitfaden mit Hilfestellung

Die beiden Behörden haben inzwischen einen Leitfaden erstellt, der helfen soll herauszufinden, ob man bereits Opfer der Phishing-Welle wurde und welche Gegenmaßnahmen darauf basierend zu ergreifen sind. Dazu zeigt der Leitfaden beispielhafte Phishing-Nachrichten, die die Angreifer versenden. Sofern Empfänger auf die Nachrichten reagiert haben, erklärt das Dokument, wie Opfer nun richtig reagieren. Sofern noch Zugriff auf das Konto möglich ist, sollen Opfer ihre Signal-PIN ändern. Im Anschluss daran sollen sie ihr Konto löschen – nicht die App – und ein neues mit neuer PIN anlegen. Darin ist dann idealerweise die Registrierungssperre zu aktivieren. Die Behörden empfehlen zudem, wann immer möglich, auf selbstlöschende Nachrichten zu setzen.

Sofern kein Zugriff auf das Konto mehr möglich ist, haben es die Angreifer bereits übernommen. Der Leitfaden ist hier noch nicht ganz rund, denn auch in dem Fall sollen Opfer ihre PIN ändern, was ohne Zugriff jedoch schwierig sein dürfte. Zudem sollen Betroffene ihre Kontakte über den Vorfall informieren, etwa per Telefon oder E-Mail. Die sollten das geknackte Konto in ihren Kontakten blockieren. Chat-Gruppen, an denen der geknackte Kontakt teilgenommen hat, sollten gelöscht und neu angelegt werden. Zudem sollten Opfer den Signal-Support kontaktieren und das alte, übernommene Konto löschen lassen.

Im März hatten der niederländische MIVD und AIVD vor einer großangelegten, weltweiten Spionagekampagne durch russisch-staatliche Akteure gewarnt, worauf Signal reagierte und bekräftigte, dass die Infrastruktur nicht kompromittiert sei; es handele sich um Sicherheitsprobleme durch ausgeklügeltes Phishing. Die aktualisierte Warnung bezieht sich jedoch explizit nicht nur auf Signal, sondern auf alle Messengerdienste, also auch WhatsApp & Co.

(dmk)

Die Bundesregierung hat heute den Gesetzentwurf zur Vorratsdatenspeicherung beschlossen. Damit geht das Gesetz in den Bundestag.

Das Gesetz verpflichtet Internet-Zugangs-Anbieter, IP-Adressen und Port-Nummern sämtlicher Nutzer drei Monate lang zu speichern, ohne Anlass und ohne Verdacht auf eine Straftat.

Auf Anordnung müssen auch Internet-Dienste wie E-Mail-Anbieter und Messenger Verkehrsdaten speichern und herausgeben.

Das ist bereits das dritte Gesetz zur Vorratsdatenspeicherung in Deutschland. Sowohl das erste Gesetz von 2007 als auch das zweite Gesetz von 2015 wurden von höchsten Gerichten gekippt.

Die verfassungswidrigen Vorgänger-Gesetze wurden mit Terrorismus begründet. Die Bundesregierung begründet das neue Gesetz mit Fake-Shops und digitaler Gewalt.

Mehr Behörden, mehr Fälle

Im Dezember hatte SPD-Justizministerin Stefanie Hubig einen ersten Gesetzentwurf vorgestellt. In den Verhandlungen mit Innen- und Digitalministerium wurden noch ein paar Dinge verändert.

Ursprünglich sollten nur Strafverfolgungs- und Polizeibehörden die Vorratsdaten abfragen. Jetzt dürfen auch „andere berechtigte Stellen“ die Daten nutzen, darunter Geheimdienste wie Verfassungsschutz, Finanzbehörden und Zoll.

Die Behörden sollen Verkehrsdaten nicht mehr nur abfragen dürfen, wenn eine Ermittlung „auf andere Weise aussichtslos wäre“, sondern breits, wenn sie sonst „wesentlich erschwert wäre“.

Der neue Entwurf stellt klar, dass lokale WLANs nicht unter die Speicherpflicht fallen, neben Hotels auch Freifunk. Daten sollen nicht länger als drei Monate gespeichert werden, auch wenn eine Internet-Verbindung länger besteht. Das war im ersten Entwurf noch vorgesehen.

Berufsgeheimnisträger sollen nicht geschützt werden, das hatten unter anderem Medien-Vereinigungen vergeblich gefordert.

Hunderttausende Abfragen

Grundrechtseingriffe müssen notwendig und verhältnismäßig sein. Andere Länder wie die USA haben keine Vorratsdatenspeicherung, dort ist sie nicht notwendig. Deutschland hatte schon mal eine Vorratsdatenspeicherung. Damals hat das Max-Planck-Institut für Strafrecht wissenschaftlich untersucht: Es gibt ohne Vorratsdatenspeicherung keine Schutzlücken in der Strafverfolgung.

Im Gesetzentwurf versucht die Bundesregierung abzuschätzen, wie oft die Polizei Vorratsdaten abfragen wird. Sie kommen auf 143.000 pro Jahr – 86.000 Abfragen durch das Bundeskriminalamt und 57.000 Abfragen durch die Länder.

Diese Schätzung widerspricht den Daten der Telekom. Ganz ohne Vorratsdatenspeicherung hat die Telekom in einem Jahr fast 290.000 Abfragen zu IP-Adressen bekommen – wegen mutmaßlicher Urheberrechtsverletzungen im Internet.

Tausende Anbieter betroffen

Die Speicherpflicht betrifft „unterschiedslos alle Anbieter von Internetzugangsdiensten“, in Deutschland etwa 700. Verbände rechnen mit Kosten von ein bis zwei Millionen Euro für große und 80.000 Euro für kleine Internet-Anbieter.

Die Abfrage von Verkehrsdaten betrifft „alle Anbieter von Telekommunikationsdiensten“, also auch Anbieter für E-Mail und Messenger. Die Bundesnetzagentur rechnet mit „rund 3.000 Verpflichteten“. Nicht alle Anbieter sind auch kommerzielle Unternehmen, es gibt auch ehrenamtliche und gemeinnützige Anbieter.

Die Bundesregierung schafft also mehr Regulierung und Belastungen für Internet-Dienste, gegen deren Willen.

„Rechtswidrig, fehlgeleitet, gefährlich“

Vor 20 Jahren haben zehntausende Menschen gegen die Vorratsdatenspeicherung demonstriert. Auch heute ist der Widerstand breit.

Der Deutsche Anwaltverein kritisierte bereits den Entwurf mit deutlichen Worten: Die Regierung „setzt sich über die europarechtlichen Maßgaben hinweg“ und steht „nicht mit den grundrechtsschützenden Intentionen des Gerichtshofs in Einklang“. Eine „wirksame Begrenzung der Verwendungszwecke“ fehlt, deshalb ist „die vorgeschlagene Vorratsdatenspeicherung europarechtswidrig“.

Die Digitale Gesellschaft kritisiert:

Die Vorratsdatenspeicherung ist immer noch ein fehlgeleiteter Ansatz. Es gibt keine Evidenz für die Verhältnismäßigkeit dieser radikalen Massenüberwachung. Tatsächlich wären in erheblichem Ausmaß unbescholtene Bürger*innen betroffen.

Das Zentrum für Digitalrechte und Demokratie fragt:

In einer Zeit, in der neue Technologien immer stärker in die Privatsphäre eindringen und zugleich autoritäre Kräfte an Macht und Einfluss gewinnen, stellt sich noch die Frage: Was passiert, wenn Regierungen ihre Polizeibehörden dazu anweisen oder ermuntern, ihre Zugriffsmöglichkeiten auf IP-Adressen und Portnummern zu nutzen, um gegen politische Gegner vorzugehen?

Update: Die Linke im Bundestag kritisiert das Gesetz als Massenüberwachung durch die Hintertür:

Dieser Entwurf wird erneut vor den Gerichten krachend scheitern. Ich fordere die Bundesregierung auf, diese Täuschung zu beenden und den Entwurf zurückzuziehen. Als Linke lehnen wir jegliche Vorratsdatenspeicherung ab.