HPI Hasso-Plattner-Institut

Wegen jüngster Cyber-Attacken: openHPI gibt aktuelle Schutzhinweise in Onlinekurs zur Internetsicherheit

Internetsicherheits-Kurs

Potsdam (ots) - Wegen akuter Gefährdungen hat das Hasso-Plattner-Institut (HPI) seinen seit Februar laufenden Onlinekurs zum Thema "Sicherheit im Sicherheit" aktualisiert: Institutsdirektor Prof. Christoph Meinel gibt in einem Zusatzvideo Tipps zum Schutz vor so genannten Erpressungs-Trojanern. Auch die Abwehr von Angriffen über verwundbare Server, die mit einem veralteten Sicherheitsprotokoll arbeiten, ist sein Thema. Ferner gibt der Internet-Wissenschaftler Hinweise zu aktuellen Sicherheitsproblemen bei Smartphones. Der kostenlose Onlinekurs ist nach wie vor für jeden offen, der sich auf der Bildungsplattform openHPI unter https://open.hpi.de/courses/intsec2016 anmeldet.

Die Hersteller von Antiviren-Software seien im Februar angesichts des "plötzlich, massiv und geschickt" verbreiteten Erpressungs-Trojaners "Locky" nicht in der Lage gewesen, ihre Datenbanken schnell genug anzupassen, berichtet Meinel. Mit Schadprogrammen wie Locky verschlüsseln Cyberkriminelle auf dem Rechner eines Internetnutzers dessen Daten und versprechen, sie gegen Geldzahlung wieder lesbar zu machen.

Da sich die betroffenen Nutzer des Microsoft-Betriebssystems Windows nicht auf Schutz durch Antiviren-Software verlassen konnten, habe sich die Schadsoftware in den vergangenen Wochen vor allem über E-Mail-Anhänge verbreitet, so Meinel. Der Potsdamer Informatiker warnte deshalb erneut davor, Anhänge an E-Mails zu öffnen, die unerwartet und aus unbekannter Quelle zugestellt würden. Vor allem Mail-Anhänge mit ausführbaren Dateien seien in diesem Zusammenhang gefährlich. Erkennbar sind diese an Datei-Endungen wie .exe, .com, .bat oder .js.

Einerseits sei von der Zahlung der geforderten Erpressungssummen abzuraten, damit das Geschäftsmodell der Cyberkriminellen nicht noch gefördert werde, sagte Meinel. Zudem sei nicht garantiert, dass nach Zahlung die Daten tatsächlich wieder zugänglich gemacht würden. Andererseits könne es sein, dass der tatsächliche Wert der Daten den erpressten Betrag übersteige. Ein Krankenhaus in Los Angeles habe es deshalb als wirtschaftlich sinnvoll angesehen, 17.000 US-Dollar an Cyberkriminelle zu zahlen und habe verschlüsselte Patientendaten dann wirklich wieder lesbar gemacht bekommen, berichtete der Sicherheitsforscher.

Meinel gibt in seinem aktuellen Lehr-Video des offenen Internetsicherheits-Kurses auch Hinweise zu den Anfang März entdeckten so genannten Drown-Attacken. Sie werden über verwundbare Server ausgeführt, die direkt oder indirekt mit der veralteten Version v2 des Sicherheitsprotokolls SSL arbeiten. Laut Meinel handelt es sich um etwa jeden dritten Server im https-Netz. Dies sei ein erstaunlich hoher Anteil, da die entsprechende Schwachstelle doch schon seit mehr als 15 Jahren bekannt sei.

Angesichts von Sicherheitslücken bei Smartphones kritisiert Meinel, dass es keine gesetzliche Verpflichtung der Hersteller gebe, die Funktionstüchtigkeit der Geräte für eine bestimmte Mindestnutzungsdauer zu garantieren. Besonders problematisch wirke sich das bei Android-Handys aus, deren Hersteller nicht das Original-Betriebssystem von Google verwenden, sondern ein modifiziertes. Diese Hersteller unterließen es bei Altgeräten mit modifizierten Betriebssystemen dann oft, diese anzugleichen, wenn Google Android aktualisiere. Bekannte Schwachstellen könnten dann aber von Cyberkriminellen nach wie vor ausgenutzt werden.

Im Zusammenhang mit der laut Meinel "spektakulären" Android-Schwachstelle Stagefright, welche bei rund einer Million Handys bis zur Betriebssystemversion 5.1 die Multimedia-Anzeige und -Verarbeitung betrifft, berichtete der Wissenschaftler davon, dass die Probleme seit etwa einem Dreivierteljahr bekannt und trotzdem noch nicht alle vollständig gelöst seien. Zum Abschluss gibt der Wissenschaftler vorsorgliche Tipps, die den Schutz erhöhen sollen.

Kurzprofil Hasso-Plattner-Institut

Das Hasso-Plattner-Institut für Softwaresystemtechnik GmbH (https://hpi.de) in Potsdam ist Deutschlands universitäres Exzellenz-Zentrum für IT-Systems Engineering. Als einziges Universitäts-Institut in Deutschland bietet es den Bachelor- und Master-Studiengang "IT-Systems Engineering" an - ein besonders praxisnahes und ingenieurwissenschaftliches Informatik-Studium, das von derzeit 480 Studenten genutzt wird. Die HPI School of Design Thinking, Europas erste Innovationsschule für Studenten nach dem Vorbild der Stanforder d.school, bietet jährlich 240 Plätze für ein Zusatzstudium an. Insgesamt zwölf HPI-Professoren und über 50 weitere Gastprofessoren, Lehrbeauftragte und Dozenten sind am Institut tätig. Es betreibt exzellente universitäre Forschung - in seinen elf IT-Fachgebieten, aber auch in der HPI Research School für Doktoranden mit ihren Forschungsaußenstellen in Kapstadt, Haifa und Nanjing. Schwerpunkt der HPI-Lehre und -Forschung sind die Grundlagen und Anwendungen großer, hoch komplexer und vernetzter IT-Systeme. Hinzu kommt das Entwickeln und Erforschen nutzerorientierter Innovationen für alle Lebensbereiche. Das HPI kommt bei den CHE-Hochschulrankings stets auf Spitzenplätze. Seit 2012 betreibt das HPI die interaktive Bildungsplattform www.open.HPI.de, deren kostenlose Onlinekurse zur Informationstechnologie jedem offenstehen.

Pressekontakt:

HPI-Pressestelle: presse@hpi.de; Felicia Flemming, Tel. +49 
(0)331-5509-274.

Weitere Meldungen: HPI Hasso-Plattner-Institut

Das könnte Sie auch interessieren: