Wegen jüngster Cyber-Attacken: openHPI gibt aktuelle Schutzhinweise in Onlinekurs zur Internetsicherheit

--------------------------------------------------------------
Internetsicherheits-Kurs
http://ots.de/Ivfh0
--------------------------------------------------------------

Potsdam (ots) - Wegen akuter Gefährdungen hat das
Hasso-Plattner-Institut (HPI) seinen seit Februar laufenden
Onlinekurs zum Thema "Sicherheit im Sicherheit" aktualisiert:
Institutsdirektor Prof. Christoph Meinel gibt in einem Zusatzvideo
Tipps zum Schutz vor so genannten Erpressungs-Trojanern. Auch die
Abwehr von Angriffen über verwundbare Server, die mit einem
veralteten Sicherheitsprotokoll arbeiten, ist sein Thema. Ferner gibt
der Internet-Wissenschaftler Hinweise zu aktuellen
Sicherheitsproblemen bei Smartphones. Der kostenlose Onlinekurs ist
nach wie vor für jeden offen, der sich auf der Bildungsplattform
openHPI unter https://open.hpi.de/courses/intsec2016 anmeldet.

Die Hersteller von Antiviren-Software seien im Februar angesichts
des "plötzlich, massiv und geschickt" verbreiteten
Erpressungs-Trojaners "Locky" nicht in der Lage gewesen, ihre
Datenbanken schnell genug anzupassen, berichtet Meinel. Mit
Schadprogrammen wie Locky verschlüsseln Cyberkriminelle auf dem
Rechner eines Internetnutzers dessen Daten und versprechen, sie gegen
Geldzahlung wieder lesbar zu machen.

Da sich die betroffenen Nutzer des Microsoft-Betriebssystems
Windows nicht auf Schutz durch Antiviren-Software verlassen konnten,
habe sich die Schadsoftware in den vergangenen Wochen vor allem über
E-Mail-Anhänge verbreitet, so Meinel. Der Potsdamer Informatiker
warnte deshalb erneut davor, Anhänge an E-Mails zu öffnen, die
unerwartet und aus unbekannter Quelle zugestellt würden. Vor allem
Mail-Anhänge mit ausführbaren Dateien seien in diesem Zusammenhang
gefährlich. Erkennbar sind diese an Datei-Endungen wie .exe, .com,
.bat oder .js.

Einerseits sei von der Zahlung der geforderten Erpressungssummen
abzuraten, damit das Geschäftsmodell der Cyberkriminellen nicht noch
gefördert werde, sagte Meinel. Zudem sei nicht garantiert, dass nach
Zahlung die Daten tatsächlich wieder zugänglich gemacht würden.
Andererseits könne es sein, dass der tatsächliche Wert der Daten den
erpressten Betrag übersteige. Ein Krankenhaus in Los Angeles habe es
deshalb als wirtschaftlich sinnvoll angesehen, 17.000 US-Dollar an
Cyberkriminelle zu zahlen und habe verschlüsselte Patientendaten dann
wirklich wieder lesbar gemacht bekommen, berichtete der
Sicherheitsforscher.

Meinel gibt in seinem aktuellen Lehr-Video des offenen
Internetsicherheits-Kurses auch Hinweise zu den Anfang März
entdeckten so genannten Drown-Attacken. Sie werden über verwundbare
Server ausgeführt, die direkt oder indirekt mit der veralteten
Version v2 des Sicherheitsprotokolls SSL arbeiten. Laut Meinel
handelt es sich um etwa jeden dritten Server im https-Netz. Dies sei
ein erstaunlich hoher Anteil, da die entsprechende Schwachstelle doch
schon seit mehr als 15 Jahren bekannt sei.

Angesichts von Sicherheitslücken bei Smartphones kritisiert
Meinel, dass es keine gesetzliche Verpflichtung der Hersteller gebe,
die Funktionstüchtigkeit der Geräte für eine bestimmte
Mindestnutzungsdauer zu garantieren. Besonders problematisch wirke
sich das bei Android-Handys aus, deren Hersteller nicht das
Original-Betriebssystem von Google verwenden, sondern ein
modifiziertes. Diese Hersteller unterließen es bei Altgeräten mit
modifizierten Betriebssystemen dann oft, diese anzugleichen, wenn
Google Android aktualisiere. Bekannte Schwachstellen könnten dann
aber von Cyberkriminellen nach wie vor ausgenutzt werden.

Im Zusammenhang mit der laut Meinel "spektakulären"
Android-Schwachstelle Stagefright, welche bei rund einer Million
Handys bis zur Betriebssystemversion 5.1 die Multimedia-Anzeige und
-Verarbeitung betrifft, berichtete der Wissenschaftler davon, dass
die Probleme seit etwa einem Dreivierteljahr bekannt und trotzdem
noch nicht alle vollständig gelöst seien. Zum Abschluss gibt der
Wissenschaftler vorsorgliche Tipps, die den Schutz erhöhen sollen.

Kurzprofil Hasso-Plattner-Institut

Das Hasso-Plattner-Institut für Softwaresystemtechnik GmbH
(https://hpi.de) in Potsdam ist Deutschlands universitäres
Exzellenz-Zentrum für IT-Systems Engineering. Als einziges
Universitäts-Institut in Deutschland bietet es den Bachelor- und
Master-Studiengang "IT-Systems Engineering" an - ein besonders
praxisnahes und ingenieurwissenschaftliches Informatik-Studium, das
von derzeit 480 Studenten genutzt wird. Die HPI School of Design
Thinking, Europas erste Innovationsschule für Studenten nach dem
Vorbild der Stanforder d.school, bietet jährlich 240 Plätze für ein
Zusatzstudium an. Insgesamt zwölf HPI-Professoren und über 50 weitere
Gastprofessoren, Lehrbeauftragte und Dozenten sind am Institut tätig.
Es betreibt exzellente universitäre Forschung - in seinen elf
IT-Fachgebieten, aber auch in der HPI Research School für Doktoranden
mit ihren Forschungsaußenstellen in Kapstadt, Haifa und Nanjing.
Schwerpunkt der HPI-Lehre und -Forschung sind die Grundlagen und
Anwendungen großer, hoch komplexer und vernetzter IT-Systeme. Hinzu
kommt das Entwickeln und Erforschen nutzerorientierter Innovationen
für alle Lebensbereiche. Das HPI kommt bei den CHE-Hochschulrankings
stets auf Spitzenplätze. Seit 2012 betreibt das HPI die interaktive
Bildungsplattform www.open.HPI.de, deren kostenlose Onlinekurse zur
Informationstechnologie jedem offenstehen.

Pressekontakt:
HPI-Pressestelle: presse@hpi.de; Felicia Flemming, Tel. +49
(0)331-5509-274.