![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Die Fastfood-Kette Subway ist wohl Opfer eines Sicherheitsvorfalls geworden, bei dem Daten abgezogen wurden. Die Volkshochschule Minden ist durch einen Cyberangriff beeintr\u00e4chtigt, und der Modeversand freddywear.de hat auch einen Cyberangriff erlitten. Danke an die Leser f\u00fcr die Hinweise. Und von Trello wurden per API Daten abgezogen. Ich fasse diese Meldungen mal in einem Sammelbeitrag zusammen.<\/p>\n
<\/p>\n
Blog-Leser Daniel hat mich heute per E-Mail kontaktiert, weil er vom Modeversand freddywear.de \u00fcber einen Sicherheitsvorfall informiert wurde (danke daf\u00fcr). Er hatte 2023 dort – allerdings ohne Kreditkarte – etwas bestellt. Vor zwei Tagen wurde er vom Modeversand \u00fcber einen Sicherheitsvorfall informiert.<\/p>\n
Deren IT-Systeme waren zwischen dem 6. Dezember 2023 und dem 15. Januar 2024 \"einem Sicherheitsvorfall ausgesetzt\". Meine Lesart: Dort war ein Infostealer installiert, denn w\u00e4hrend dieses Zeitraums war auf der Kassenseite von freddywear.de ein zus\u00e4tzliches Formular sichtbar, das Kreditkartendaten abgefragt hat.<\/p>\n
Kunden, die in diesem Zeitraum eine Bestellung aufgegeben und Ihre Kreditkarteninformationen eingegeben haben, m\u00fcssen davon ausgehen, dass diese bei diesem Vorgang abgezogen wurden. Den Betroffenen wird dringend empfohlen, sich an die eigene Bank zu wenden und die Situation zu erl\u00e4utern. Zudem sollen zuk\u00fcnftige Kreditkartenabrechnungen auf unberechtigte Transaktionen gepr\u00fcft werden. Der Modeversand schreibt: \"Es ist m\u00f6glich, dass Ihre
\nKreditkarteninformationen kompromittiert wurden.\" – wovon definitiv auszugehen ist.<\/p>\n
Der Modeversand weist zudem darauf hin, dass m\u00f6glicherweise auch die Telefonnummer, der Name und die Adresse von Kunden aus der eigenen Datenbank entwendet wurde. Es liegen derzeit zwar keine konkreten Hinweise darauf vor, aber als Vorsichtsma\u00dfnahme werden die Kunden informiert. Die IT des Modeh\u00e4ndlers hat sofort nach bekannt werden der Sicherheitsl\u00fccke die kompromittierten Dateien entfernt und den alten Onlinestore deaktiviert.<\/p>\n
Um sicherzustellen, dass keine unsicheren Dateien auf dem System sind, wurde zudem die Internetverbindung des Servers deaktiviert und ein komplett neuer Online-Shop auf einem neuen Server aufgesetzt. Der Modeversand geht davon aus, dass dieser neue Store nun wieder komplett sicher ist.<\/p>\n
Ein Blog-Leser hat mich in einer privaten Nachricht auf Facebook auf einen Cybervorfall bei der Volkshochschule Minden hingewiesen (danke daf\u00fcr). In einer Pressemitteilung vom 23. Januar 2023 teilt die Volkshochschule Minden – Bad Oeynhausen mit, dass man nachmittags, am 22. Januar 2024, durch einen Cyberangriff attackiert wurde. Dabei wurde die Serverstruktur der Volkshochschule angegriffen, so dass das bestehende Serversystem als eine erste Ma\u00dfnahme isoliert wurde. Die Verantwortlichen gehen davon aus, dass eine weitere Ausbreitung des Angriffs so unterbunden wurde.<\/p>\n
Die Volkshochschule hat sofort s\u00e4mtliche IT-Sicherheitsma\u00dfnahmen ergriffen, ein interner Krisenstab arbeitet mit externer Unterst\u00fctzung an dem Wiederaufbau der Systeme. Momentan arbeitet man den Vorfall mit der Hilfe von externen IT-Experten und in enger Abstimmung mit dem bestellten Datenschutzexperten von Ostwestfalen-Lippe-IT auf. Alle rechtlich notwendigen Schritte wurden eingeleitet. Ziel aller Ma\u00dfnahmen ist es nun, die Arbeitsf\u00e4higkeit so schnell wie m\u00f6glich unter sicheren Bedingungen wiederherzustellen.<\/p>\n
Als Folge des Angriffs ist die Volkshochschule in Teilen arbeitsunf\u00e4hig und nicht mehr per E-Mail erreichbar. Die Gesch\u00e4ftsstelle in Minden ist \u00fcber alle bekannten Telefonnummern erreichbar. Die Verwaltung des Ganztags erreicht man \u00fcber die Notfallnummer 0571 – 93419021. Die Gesch\u00e4ftsstelle Bad Oeynhausen \u00fcber die Notfallnummer: 0160 – 3888831.<\/p>\n
Der Internetauftritt der Volkshochschule ist weiterhin unter www.vhs-minden.de erreichbar. Online-Anmeldungen sind derzeit nicht m\u00f6glich. Zum aktuellen Zeitpunkt kann nicht genau eingesch\u00e4tzt werden, ab wann die Systeme wieder zur Verf\u00fcgung stehen werden. Die Verantwortlichen informieren fortlaufend auf der Website www.vhs-minden.de<\/a>. Die Volkshochschule wird im Notbetrieb das Programm (Kurse und Veranstaltungen) bestm\u00f6glich fortf\u00fchren. Wir bitten m\u00f6gliche Einschr\u00e4nkungen zu entschuldigen.<\/p>\n Die Tage wurde bekannt, dass die Ransomware as a Service (RaaS)-Gruppe Lockbit bei der Franchise-Kette Subway zugeschlagen hat. Ich hatte die Informationen \u00fcber nachfolgenden Tweet<\/a> mitbekommen.<\/p>\n Lockbit erpresst das Unternehmen mit den gestohlenen Daten (angeblich hunderte Gigabyte an Daten) und droht deren Ver\u00f6ffentlichung bis zum 02. Februar 202 an, wenn kein L\u00f6segeld bezahlt wird. Ich hatte es bisher nicht im Blog aufgegriffen, einige Informationen lassen sich z.B. bei heise<\/a> nachlesen.<\/p>\n Lockbit geh\u00f6rt laut Trend Micro zu den gef\u00e4hrlichsten RaaS-Gruppen, die aktuell existieren. Ihre Opfer sind prim\u00e4r in den USA und Europa zu finden. Sie bestehen zu etwa 70 Prozent aus kleinen und mittelst\u00e4ndischen Unternehmen (< 500 Mitarbeiter). Die T\u00e4ter breiten sich innerhalb des Opferunternehmens aus und verschl\u00fcsseln alle im Zugriff befindlichen Systeme. Anschlie\u00dfend wird das Opfer mit der Verf\u00fcgbarkeit der IT erpresst. Pro Halbjahr sind zwischen 500 und 800 einzelne Opfer identifizierbar.<\/p>\n Dabei ist allerdings zu bemerken, dass die \u00d6ffentlichkeit nur die Opfer kennt, die sich zun\u00e4chst weigern zu zahlen. Denn die Verschl\u00fcsselung der Dateien wirkt heutzutage nicht mehr ann\u00e4hernd so zuverl\u00e4ssig, wie sie das noch vor vier oder f\u00fcnf Jahren tat, schreibt Trend Micro. Die Opfer k\u00f6nnen heutzutage auf erfahrene Cyberverteidigungen zur\u00fcckgreifen. Verschiedene Erkennungstechnologien sorgen daf\u00fcr, dass die T\u00e4ter, wenn \u00fcberhaupt, nur noch Teilbereiche eines Unternehmens \u00fcbernehmen k\u00f6nnen, bevor sie auffliegen. Backup-Systeme stellen auch diese verschl\u00fcsselten Dateien wieder her.<\/p>\n Daher werden bei einem Ransomware-Angriff Daten vor dem verschl\u00fcsseln abgezogen. Das betroffene Unternehmen wird damit erpresst, diese Daten zu ver\u00f6ffentlichen. Sind Kundendaten betroffen oder sogar Gesch\u00e4ftsgeheimnisse, ist ein Anreiz geschaffen, zu zahlen. Die Namen der so bedrohten Opfer sind diejenigen, die wir, wie oben beschrieben, identifizieren und damit statistisch erfassen k\u00f6nnen. Genau das ist nun bei Subway passiert, wo Lockbit den Angriff \u00f6ffentlich gemacht hat.<\/p>\n Der Ratschlag von Trend Micro lautet \"Nicht zahlen\", denn gestohlene Daten k\u00f6nnen nicht zur\u00fcckgekauft werden. Die gestohlenen Daten verbleiben im Besitz der T\u00e4ter. Weltweit scheint laut TM nur etwa ein Siebtel der Unternehmen (~14 Prozent) aufgrund der zweifachen Erpressung zu zahlen. Zahlt man, um eine Ver\u00f6ffentlichung zu verhindern, beweist man damit lediglich, dass es sich hier um wertvolle, interessante Informationen handelt, nicht um irrelevanten Datenm\u00fcll. F\u00fcr das Opfer ist es sinnvoller festzustellen, welche Daten entwendet wurden und die Eigent\u00fcmer \u00fcber den Verlust zu informieren. Denn das muss ohnehin geschehen, will man nicht bis in alle Zukunft erpressbar bleiben oder sich den Klagen Gesch\u00e4digter gegen\u00fcbersehen.<\/p>\n Cyberkriminelle haben wohl die pers\u00f6nlichen Daten von 15 Millionen Nutzern vom popul\u00e4ren online Aufgabenverwaltungsdienst Trello per API abgezogen. Jetzt werden diese Daten in Untergrundforen zum Verkauf angeboten.<\/p>\n heise hat den Vorfall in diesem Beitrag<\/a> aufgegriffen. Have I been pwned (HIBP) ist es gelungen, die betreffenden Datens\u00e4tze zu bekommen<\/a> und hat diese in seine Datenbank eingef\u00fcgt. Trello-Nutzer k\u00f6nnen also hier<\/a> pr\u00fcfen, ob sie betroffen sind.<\/p>\n Die Zentralstelle Cybercrime Bayern hat eine Warnung vor einer neuen Phishing-Angriffswelle herausgegeben, die auf Debit-Karten abzielt. Zuerst werden Zugangsdaten von Bankkonten abgefischt. Dann kontaktieren die T\u00e4ter die Opfer und versuchen von diesen eine PushTAN zu ergattern. Im Anschluss richten die T\u00e4ter mit diesen Informationen virtuelle Debitkarten ein und aktivieren damit Zahlsysteme. Diese virtuelle Debitkarten besitzen kein Zahlungslimit und die T\u00e4ter r\u00e4umen ruckzuck das dieser Debitkarte zugeordnete Konto ab. Details lassen sich bei heise<\/a> nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":" Die Fastfood-Kette Subway ist wohl Opfer eines Sicherheitsvorfalls geworden, bei dem Daten abgezogen wurden. Die Volkshochschule Minden ist durch einen Cyberangriff beeintr\u00e4chtigt, und der Modeversand freddywear.de hat auch einen Cyberangriff erlitten. Danke an die Leser f\u00fcr die Hinweise. Und von … Weiterlesen Lockbit-Angriff auf Franchise-Kette Subway<\/h2>\n
![](\"https:\/\/i.postimg.cc\/xT6K38g0\/image.png\")
<\/a><\/p>\nDaten von Trello abgezogen<\/h2>\n
![](\"https:\/\/i.postimg.cc\/Fzphw7Hp\/image.png\")
<\/a><\/p>\nKonten in Phishing-Welle abger\u00e4umt<\/h2>\n