Europol: Finanzinstitute sollten rasch auf quantensichere Kryptografie umsatteln - Related to nutzerkonten, erhöht, finanzinstitute, von, million

Bitwarden erhöht Zugangssicherheit von Nutzerkonten

Der Passwort-Manager Bitwarden soll besser geschützte Zugänge erhalten. Nutzerinnen und Nutzer, die bislang keine Zwei-Faktor-Authentifizierung aktiviert haben, müssen bei Nutzung auf neuen, bislang unbekannten Geräten dann einen Bestätigungscode aus einer E-Mail angeben. Es handelt sich somit um eine Art erzwungene Zwei-Faktor-Authentifizierung "light". Der Mechanismus soll jetzt im Februar aktiviert werden.

Das hat Bitwarden kürzlich in einem Blog-Beitrag angekündigt. Passwort-Vaults seien ein wertvolles Ziel für Angreifer, schreibt das Projekt. Daher sei es wichtig, sicherzustellen, dass sie stark gesichert sind. "Bitwarden führt eine neue Verifikationsmaßnahme für Anmeldungen von unbekannten Geräten ein, um den Schutz von Konten ohne die Sicherheitsmaßnahme des 2FA-Log-ins erheblich zu verbessern", schreiben die Autoren, "dies stellt sicher. Dass die sensiblen Informationen der Nutzerinnen und Nutzer in privater Hand und außerhalb der Reichweite von Angreifern bleiben."

Der beste Schutz für einen Bitwarden-Passwort-Vault sei demnach ein starkes Passwort, das niemals an anderer Stelle genutzt wurde. Die nächstbeste Variante sei der zweistufige Log-in mit Zwei-Faktor-Authentifizierung, um die Zugangssicherheit zu schützen. "Viele Nutzerinnen und Nutzer folgen diesen Empfehlungen, aber einige tun das nicht, was ihr Risiko erhöht, ein Opfer eines Cyberangriffs zu werden wie Credential Stuffing (dem automatischen Ausprobieren von Passwörtern) oder von Phishing", schreibt Bitwarden.

Der Mechanismus selbst ist relativ einfach: Kurz nach Eingabe der E-Mail-Adresse und des Passworts des Bitwarden-Kontos schickt Bitwarden einen Verifizierungscode an die hinterlegte E-Mail-Adresse. Sofern der Server das Gerät nicht erkennt, 2FA nicht aktiviert ist und auch kein Single-Sign-On (SSO) genutzt wird. Betroffene benötigen dann Zugriff auf ihre E-Mails, um auf den Code zuzugreifen und ihn der Bitwarden-App zu übergeben.

Bitwarden weist darauf hin, dass es problematisch sein kann. Wenn Betroffene ihre E-Mail-Zugangsdaten in Bitwarden ablegen und kein 2FA aktiviert haben. Der Zugriff auf das Mail-Konto könnte dann nicht mehr möglich sein, und in der Folge auch der Zugang zum Passwort-Vault. Wer kein 2FA aktiviert habe, solle daher sicherstellen, anderweitig auf die E-Mails zugreifen zu können. Am besten sei jedoch, direkt den zweistufigen Log-in zu aktivieren.

Der von Sicherheitsexperten, Bürgerrechtlern und Apple selbst kritisierte Investigatory Powers Act (IPA), den die britische Regierung überarbeitet hat...

Software vendor Trimble is warning that hackers are exploiting a Cityworks deserialization vulnerability to remotely execute commands on IIS servers a...

Cybersecurity requires creativity and. Thinking outside the box. It’s why more organizations are looking at people with soft skills and coming from out...

Eine Million deutsche Nutzer betroffen: Datenleck bei Thermomix

Bei Vorwerk gab es ein Datenleck, wie der Anbieter für Haushaltsgeräte mitteilte. Die Lücke betraf das Forum "" des Thermomix-Herstellers und führte dazu, dass Unbekannte massenhaft Nutzerdaten erbeuten konnten. Die Daten stehen im Darknet zum Verkauf. Alle Betroffenen sind informiert, die Lücke ist geschlossen. Dennoch rät Vorwerk Rezeptwelt-Mitgliedern, vorsichtig zu sein: Es drohen weitere Angriffe.

Aus dem Thermomix-Rezeptforum wurden millionenfach Mitgliederdaten abgezogen und stehen nun im Darknet zum Verkauf. Im Datensatz sind die persönlichen Daten von über drei Millionen Rezeptwelt-Mitglieder enthalten, darunter E-Mail-Adressen, Telefonnummern, Adressen und Kochkenntnisse. Laut Vorwerk-Stellungnahme bestand die Lücke nur drei Tage – vom 30. Januar bis zum 3. Februar 2025. Der Zugriff habe zudem nicht auf Vorwerk-eigene Server stattgefunden, sondern bei einem externen Dienstleister.

Neben einer guten Million deutscher Opfer sind jeweils zwischen drei- und vierhunderttausend englisch-, spanisch-. Französisch-, italienisch- und polnisch- sowie gut portugiesischsprachige Nutzer betroffen. Das Rezeptwelt-Forum richtet sich an eine weltweite Nutzerschaft – auch Thermomix-Anwender aus Australien und Tschechien tummeln sich dort.

Vorwerk hat unmittelbar nach dem Vorfall reagiert und konnte ihn schnell eingrenzen. In Zusammenarbeit mit Sicherheitsexperten und Datenschützern hat das Unternehmen ausschließen können, dass weitere Systeme oder etwa der Online-Shop betroffen sind. Das Unternehmen mahnt zur Vorsicht: Mit den gestohlenen Daten könnten Kriminelle nun glaubwürdige Phishingangriffe gegen Rezeptwelt-Mitglieder starten. Die Aufsichtsbehörden hat Vorwerk ebenso informiert wie alle betroffenen Nutzer.

Unklar ist jedoch noch die konkrete Sicherheitslücke. Einige Hinweise im Testdatensatz deuten nach Ansicht des Autors darauf hin, dass die Angreifer mit Nutzerprivilegien in ein Staging-System eingedrungen sind und dort Daten, etwa über ein offenes API. Abgezogen haben. Gegen einen Zugriff auf die Forumsdatenbank oder gar einen Servereinbruch spricht, dass in den Datensätzen keine Passwort-Hashes enthalten sind. Da diese den Verkaufswert erheblich steigern würden, scheint es unwahrscheinlich, dass der oder die Angreifer sie zurückhalten.

Ein Vorwerk-Sprecher erläuterte uns auf Nachfrage die Ursache des Lecks folgendermaßen: "Ursache für das "Leak war eine Security Misconfiguration im Kontext eines ungesicherten nachgeordneten Servers in Kombination mit einer Fehlkonfiguration der Firewall bei unserem externen Dienstleister für das Forum ."

Der oder die Angreifer bieten die Daten in einem einschlägigen Darknet-Forum für US-Dollar zum Verkauf an. Zeigen sich beim Preis aber verhandlungsbereit. Vermutlich vor allem, weil die Kronjuwelen eines Datenlecks – gehashte oder Klartextpasswörter – nicht Teil des Angebots sind. Wie für derlei Offerten üblich, stehen einige Demo-Datensätze zur Verfügung, die beim ersten Überfliegen authentisch aussehen.

Ein Unbekannter bietet drei Millionen Datensätze aus dem Thermomix-Rezepteforum im Darknet zum Verkauf an. (Bild: heise security / cku).

Auch bei "Have I been pwned" (HIBP) sind die Daten zwischenzeitlich gelandet. Auf der Website können Internetnutzer anhand ihrer E-Mail-Adresse überprüfen, ob sie von Datenlecks betroffen sind – nun also auch Rezeptewelt-Mitglieder. Wie die Betreiber von HIBP in einer Notiz schreiben, hat ihnen eine Quelle namens "ayame" die Datensätze zur Verfügung gestellt. Dieses Pseudonym gab auch der Forumsnutzer an, der die Daten im Darknet zum Verkauf anbot. Die Beschreibung des bei HIBP hinterlegten Datensatzes deckt sich zudem mit dem Darknet-Posting des Diebes. Da die Betreiber von HIBP stichprobenartig prüfen, ob ihnen überlassene Datensätze echt sind. Dürfte es sich um reale Rezeptwelt-Nutzerdaten handeln.

Brisante Datenlecks sind in letzter Zeit massenhaft vorgekommen. Alleine in der letzten Januar- und ersten Februarwoche 2025 berichteten wir über Sicherheitsprobleme bei Reha-Kliniken und Legaltechs; Beteiligte sprechen sogar von einem "Gewöhnungseffekt". Der sie abstumpfen lasse. Auch in der 127. Folge des heise-Datenschutzpodcasts "Auslegungssache" geht es um Datenlecks und deren Behandlung durch Unternehmen und Aufsichtsbehörden.

As ransomware attacks continue to escalate, their toll is often measured in data loss and. Financial strain. But what about the loss of human life? Now...

Cybersecurity researchers have uncovered two malicious machine learning (ML) models on Hugging Face that leveraged an unusual technique of "broken" pi...

Wired reported this week that a 19-year-old working for Elon Musk‘s so-called Department of Government Efficiency (DOGE) was given access to sensitive...

Europol: Finanzinstitute sollten rasch auf quantensichere Kryptografie umsatteln

Europol hat Finanzinstitute und politische Entscheidungsträger weltweit aufgefordert, dem Übergang zur quantensicheren Verschlüsselung Priorität einzuräumen und Lösungen einzusetzen. Mit der rasanten Weiterentwicklung des Quantencomputings sei der Finanzsektor einer "unmittelbaren Bedrohung seiner kryptografischen Sicherheit ausgesetzt". Betonte die Polizeibehörde am Freitag im Rahmen eines von ihr veranstalteten Quantum Safe Financial Forum (QSFF). Teilnehmer der Konferenz warnten laut Europol vor allem vor dem wachsenden Risiko der Angriffsstrategie eines "jetzt speichern – später entschlüsseln" ("Store now – decrypt later"): Böswillige Akteure könnten heute verschlüsselte Daten sammeln, um sie später mithilfe von Quantencomputern zu entschlüsseln.

Als Grund für seinen globalen Handlungsaufruf gibt das QSFF an. Dass leistungsfähige Quantenrechner gängige Verschlüsselungsverfahren im Handstreich überwinden könnten ("Kryptokalypse"). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht hier – ohne unerwartete technologische Durchbrüche – von einem Zeithorizont von zehn bis 20 Jahren aus. Bei Europol ist von zehn bis 15 Jahren die Rede. Die Suche nach einem Ersatz für aktuell genutzte Algorithmen für die Public-Key-Kryptografie läuft daher generell auf Hochtouren, um weiterhin etwa E-Mails, Online-Banking. Medizinische Daten, den Zugang zu Kontrollsystemen und nationale Sicherheitsaufgaben absichern zu können.

Gerade im Finanzbereich sei der Handlungsdruck hoch, unterstreicht Europol. Ein erfolgreicher Übergang zur quantensicheren Verschlüsselung erfordere die Zusammenarbeit zwischen Banken und anderen Finanzinstituten, Technologieanbietern, politischen Entscheidungsträgern und Regulierungsbehörden. Die Koordination zwischen den verschiedenen Interessengruppen sei von entscheidender Bedeutung. Die Branche müsse zusammen mit Akteuren des privaten und öffentlichen Sektors Experimente, Projekte. Kontaktstellen und anderen Initiativen auf den Weg bringen.

Viele Finanzinstitute fühlen sich schlecht vorbereitet.

Bedarf an zusätzlichen Gesetzen sieht das QSFF nicht. Ein freiwilliger Rahmen zwischen Regulierungsbehörden und dem privaten Sektor dürfte ihm zufolge ausreichen. Um Richtlinien für quantensichere Kryptografie festzulegen und die Standardisierung zwischen den Institutionen zu fördern. Europol verweist zudem darauf, dass der angestrebte Wechsel die Möglichkeit biete, Verschlüsselungspraktiken und die IT-Sicherheit generell zu verbessern. Es sei ein zukunftsorientierter Rahmen für die Handhabe von Kryptografie erforderlich.

Eine Umfrage unter 200 Führungskräften des Finanzsektors ergab 2023. Dass sich 86 Prozent der vertretenen Organisationen auf die Cybersicherheit nach möglichen Durchbrüchen beim Quantencomputing nicht vorbereitet fühlten. 84 Prozent gingen davon aus, dass innerhalb der nächsten zwei bis fünf Jahre quantensichere Lösungen eingeführt werden müssten. Das QSFF hebt hervor, dass unverzüglich Maßnahmen ergriffen werden sollten, um die Branche "vor erheblichen "Risiken, finanziellen Verlusten und Reputationsschäden zu schützen." Zu technischen Details wie den Ansätzen für Post-Quanten-Kryptografie (PQK) oder der Quantenschlüsselverteilung (Quantum Key Distribution – QKD) äußert sich das Forum nicht.

Im vergangenen Jahr sind die Lösegeldzahlungen nach Angriffen mit Ransomware wieder deutlich zurückgegangen. Das hat Chainalysis ermittelt und sieht M...

Der Passwort-Manager Bitwarden soll besser geschützte Zugänge erhalten. Nutzerinnen und Nutzer, die bislang keine Zwei-Faktor-Authentifizierung aktivi...

Human communication is multimodal. We receive information in many different ways, allowing our brains to see the world from various angles and turn th...