Print Friendly, PDF & Email

Newsletter SICHER • INFORMIERT vom 18.03.2021

Ausgabe: 06/2021

 

Liebe LeserInnen,

 

ein altes Sprichwort aus der IT-Sicherheit besagt: „Was du heute kannst aktualisieren, das verschiebe nicht auf morgen!“ – oder so ähnlich… Die Schaltfläche Updates „Später installieren“

oder an diese „später erinnern“ wird oftmals reflexartig gedrückt, wenn man gerade keine Zeit hat.

Dabei gilt grundsätzlich: Updates, Patches oder Aktualisierungen sind enorm wichtig und so schnell wie möglich zu installieren, da sie Softwarefehler beseitigen oder Sicherheitslücken schließen können. Am komfortabelsten ist es, wenn man in den Einstellungen seines Geräts die automatische Updateinstallation aktiviert.

 

Wie gefährlich Sicherheitslücken sind, zeigen die Angriffe auf die Server-Software Microsoft Exchange. Unzählige Organisationen und Unternehmen haben gerade damit zu kämpfen. In der Rubrik „In den Schlagzeilen“ informieren wir Sie über den aktuellen Stand und zum „Weltverbrauchertag“ unter weitere Infos rund um das Thema Updates.

 

Viel Spaß beim Lesen wünscht Ihnen

 

Jan Lammertz / BSI

Inhaltsverzeichnis

In den Schlagzeilen—————–

  1. Anhaltende Gefahr durch Microsoft-Sicherheitslücke 2. Corona-Selbsttest: Ärger mit Online-Negativ-Zertifikaten 3. Sicherheitslücke macht Schülerdaten für jeden zugänglich 4. Nicht zum Lächeln: Hackergruppe kapert 150.000 Überwachungskameras 5. Sicherheitsprüfung ausgetrickst: Apps mit Banking-Trojaner

 

 

Bleiben Sie up-to-date—————–

  1. Aktuelle Warnmeldungen des Bürger-CERT 7. Adobe legt bei Sicherheitsupdates für Photoshop nach

 

 

Gut zu wissen—————–

  1. Computerspiel-Nostalgie: Softwarepiraterie in den 1980er-Jahren 9. Polizei testet mobiles IT-Labor im Einsatz gegen Cyberkriminalität

 

 

Kurz erklärt—————–

  1. Mehr Sicherheit beim Onlineshopping: Neue Regeln für Kreditkarten-Einsatz

 

 

Zeitlos wichtig—————–

  1. Updates: Warum sie so wichtig sind

 

 

Zahl der Woche—————–

  1. 400.000 BesucherInnen des Berliner Zoos und 1,35 Millionen KundInnen der Lufthansa von Datendiebstahl betroffen

 

—————————————————-

In den Schlagzeilen

 

 

  1. Anhaltende Gefahr durch Microsoft-Sicherheitslücke

 

Über die Schwachstellen in Microsoft Exchange wird momentan nahezu täglich in den Medien berichtet. Microsoft Exchange ist eine Server-Software, mit der Organisationen digital zusammenarbeiten, Dateien zentral ablegen und E-Mails, Termine sowie Kontakte für mehrere BenutzerInnen verwalten können. Sicherheitslücken in Microsoft Exchange haben aktuell dazu geführt, dass zehntausende Exchange Server in Deutschland nach Informationen des IT-Dienstleisters Shodan über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert sind. Das betrifft Unternehmen und Organisationen jeder Größe. Neben dem Zugriff auf die E-Mail-Kommunikation der jeweiligen Unternehmen können AngreiferInnen über solche verwundbaren Server-Systeme oftmals auch auf das komplette Unternehmensnetzwerk gelangen. Microsoft stellte Anfang März kurzfristig neue Sicherheitsupdates zur Verfügung, welche aufgrund des hohen Angriffsrisikos umgehend eingespielt werden sollten. Das BSI-Lagezentrum arbeitet rund um die Uhr, um die Betroffenen zu unterstützen. Erschwerend kommt hinzu, dass tausende Systeme noch Schwachstellen aufweisen, die seit über einem Jahr bekannt sind und bis jetzt nicht gepatched wurden.

 

Die BSI-Übersichtsseite zu den kritischen Schwachstellen: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Server/Microsoft-Exchange_Schwachstelle/schwachstelle_exchange_server_node.html

 

Aufzeichnung des Livestreams „BSI-Update: MS-Exchange-Schwachstellen – Infos und Hilfestellungen“: https://www.youtube.com/watch?v=QcqRRc-VoB0

 

 

  1. Corona-Selbsttest: Ärger mit Online-Negativ-Zertifikaten

 

Auf den bei Discountern und Apotheken verfügbaren Corona-Schnelltests ruhen große Hoffnungen im Kampf gegen die Pandemie. Die Tests könnten bisher unbemerkte Infektionen aufdecken und eine wichtige Rolle bei einer möglichen Öffnungsstrategie spielen. Wie Heise Online berichtet, gibt es jedoch Schwachstellen bei der Erstellung von Online-Zertifikaten, die sich VerbraucherInnen nach einem negativen Test des Anbieters Aesku herunterladen können. Aesku-Tests werden vor allem vom Discounter Aldi vertrieben. Die auf den Verpackungen aufgedruckten QR-Codes seien zum Beispiel mehrfach nutzbar. Es würde reichen, Bilder von der Verpackung aus dem Internet zu suchen und diese einzuscannen, um ein Zertifikat für einen Negativ-Test zu erhalten, schreibt Heise Online. Außerdem seien persönliche Daten wie die Ausweisnummer nicht ausreichend gesichert. Das Magazin habe Aesku über die Schwachstellen informiert; teilweise seien die Schwachstellen bereits ausgebessert worden (Stand 15.03.).

 

Heise Online über die fehlerhafte Online-Strategie bei Corona-Schnelltests: https://www.heise.de/news/Corona-Selbsttests-bei-Aldi-Negativ-Zertifikate-von-Aesku-faktisch-wertlos-5987246.html

 

 

  1. Sicherheitslücke macht Schülerdaten für jeden zugänglich

 

Wie gut SchülerInnen im Unterricht sind, geht nur die Kinder und Jugendlichen selbst sowie LehrerInnen und Eltern etwas an. Dennoch wären Dritte im Fall der Lern-App Anton wohl in der Lage gewesen, auf entsprechende Daten zuzugreifen, berichtet der Bayerische Rundfunk (BR). Demnach sollen die Vor- und Nachnamen der SchülerInnen, Informationen zu ihren Lernfortschritten sowie Daten zur Klassen- und Schulzugehörigkeit ungeschützt mit wenigen Klicks einsehbar gewesen sein. Betroffen seien SchülerInnen in Deutschland sowie weiteren Ländern. Hinweise auf einen Abfluss der Daten gibt es laut BR nicht. Wie der Sender unter Berufung auf den Anbieter der App berichtet, wurde die Sicherheitslücke inzwischen geschlossen. Worin die Sicherheitslücke genau bestand, teilte der BR nicht mit.

 

Um Cybergefahren und IT-Sicherheit im digitalen Lernalltag geht es auch in der fünften Folge des BSI-Podcasts „Update verfügbar“: https://youtu.be/zfT6wMlreL8

 

Die Meldung des Bayrischen Rundfunks zur Sicherheitslücke: https://www.br.de/nachrichten/netzwelt/lern-app-anton-gravierende-sicherheitsluecke-bei-beliebter-schul-app,SRBg79Y

 

 

  1. Nicht zum Lächeln: Hackergruppe kapert 150.000 Überwachungskameras

 

Eine Gruppe internationaler Hacker soll zeitweilig rund 150.000 Überwachungskameras des US-Start-ups Verkada angezapft haben. Das berichtet unter anderem die Zeit und beruft sich dabei auf den Wirtschaftsnachrichtendienst Bloomberg. Kameras in Krankenhäusern, Gefängnissen, Schulen, Bars und Geschäften in den USA und Kanada und auch beim Elektroautohersteller Tesla sollen betroffen gewesen sein. Die Hacker sollen dem Bericht zufolge die Zugangsdaten für einen Administrator-Account frei zugänglich im Internet gefunden und damit auch Zugriff auf das Aufnahmenarchiv von Verkada gehabt haben. Was den Fall besonders heikel macht: Verkada soll speziell mit mehr Sicherheit durch Gesichtserkennung geworben haben. Inzwischen habe das Unternehmen den Cyberkriminellen den Zugriff wieder entzogen.

 

Die Zeit über den Hack: https://www.zeit.de/digital/2021-03/cyberkriminalitaet-hacker-verdaka-tesla-sicherheitskameras-gefaengnisse

 

 

  1. Sicherheitsprüfung ausgetrickst: Apps mit Banking-Trojaner

 

Apps, die Sie im Google Play Store herunterladen können, durchlaufen zuvor eine Sicherheitsprüfung. Nun sollen Cyberkriminelle dort allerdings acht Apps mit Schadsoftware eingeschleust haben, die die Sicherheitsprüfung austricksen: Cake VPN, BeatPlayer, QRecorder, Pacific VPN, eVPN, QR/Bacode Scanner Max, Music Player und tooltipnatorlibrary. Das berichtet das Portal Netzwelt. Die Schadsoftware werde erst aktiv, wenn sämtliche Sicherheitsprüfungen bereits durchlaufen seien. Dann lade sie im Hintergrund Banking-Trojaner herunter, um Kontodaten auszuspionieren. Laut des Berichts hat Google die entsprechenden Apps inzwischen entfernt.

 

BSI-Empfehlungen zum sicheren Umgang mit Apps auf mobilen Geräten: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Basisschutz-fuer-Computer-Mobilgeraete/Schutz-fuer-Mobilgeraete/Sicherheit-bei-Apps/sicherheit-bei-apps_node.html

 

Netzwelt über die schadhaften Apps: https://www.netzwelt.de/news/187090-sofort-deinstallieren-9-android-apps-spionieren-bankdaten.html

 

 

—————————————————-

Bleiben Sie up-to-date

 

 

  1. Aktuelle Warnmeldungen des Bürger-CERT

 

Das „Computer Emergency Response Team“ des BSI informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es unter anderem Meldungen zu Apple Safari (< 14.0.3), Apple iOS (< 14.4.1), Apple iPadOS (< 14.4.1) und Apple macOS Big Sur (< 11.2.3); Microsoft Edge, Microsoft Internet Explorer, Microsoft Office und Microsoft Windows; D-LINK Router DIR-3060 und D-LINK Router DIR-841; sowie zu Google Chrome (< 89.0.4389.90).

 

Ausführliche Informationen, Tipps zum Umgang mit diesen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT finden Sie hier: https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Buerger-CERT-Abos/Buerger-CERT-Sicherheitshinweise/buerger-cert-sicherheitshinweise_node.html

 

 

  1. Adobe legt bei Sicherheitsupdates für Photoshop nach

 

AngreiferInnen können aktuell eine Sicherheitslücke in Photoshop ausnutzen und bei den betroffenen Computern einen Speicherfehler auslösen. So soll es im Anschluss möglich sein, einen Schadcode zu installieren und diesen auszuführen. Das berichtet Heise Online und verweist auf einen vergessenen Patch, den Adobe erst im Nachgang schließen konnte. Das BSI empfiehlt, das bereitgestellte Sicherheitsupdate zeitnah zu installieren.

 

Zur Meldung von Heise Online: https://www.heise.de/news/Adobe-legt-nach-Kritische-Sicherheitsluecken-in-Photoshop-geschlossen-5077045.html

 

 

—————————————————-

Gut zu wissen

 

 

  1. Computerspiel-Nostalgie: Softwarepiraterie in den 1980er-Jahren

 

Während das illegale Kopieren von Computerspielen oder anderer Software in der heutigen Zeit hohe Strafen nach sich zieht, war in den 1980er-Jahren nicht geklärt, inwieweit Computerspiele unter das Urheberrecht fallen. In einem Interview mit dem Historiker Gleb Albert spricht der Spiegel über die Zeit der C64- und Amiga-Computer und sogenannte Cracker (aus dem Englischen „crack“ für „knacken“) – zumeist jugendliche Männer, die die Spielerszene in West- und Ostdeutschland mit Raubkopien versorgten. Albert erzählt, dass die CrackerInnen die Spielkopien entweder per Post verschickten, direkt tauschten oder später per Modem und Telefonleitung versendeten. Laut des Spiegels folgte die Szene erst zu Beginn der 1990er-Jahre einem kommerzielleren Gedanken: Deals mit professionellen SoftwarepiratInnen brachten das Geld, um sich zum Beispiel Hardware leisten zu können. Der Historiker berichtet, von da an vor allem AbmahnanwältInnen verstärkt tätig wurden und versuchten, die RaubkopiererInnen aufzuspüren. Im Vergleich zu heute seien die verhängten Strafen aber wohl milde ausgefallen.

 

Zum Interview des Spiegels: https://www.spiegel.de/geschichte/computerspiel-raubkopien-fuer-c64-oder-amiga-die-cracker-szene-der-80er-a-0cfdedb2-40e9-436c-9c9b-8c16e35820af

 

 

  1. Polizei testet mobiles IT-Labor im Einsatz gegen Cyberkriminalität

 

Die oberfränkische Polizei setzt ab sofort auf ein mobiles IT-Labor, um bei Cyberangriffen gegen Unternehmen direkt vor Ort Daten sichern und digitale Spuren auswerten zu können, berichtet der Bayerische Rundfunk (BR). Es ist das erste dieser Art in Deutschland. Das 300.000 Euro teure Fahrzeug ist mit drei mobilen Arbeitsplätzen für SpezialistInnen der digitalen Forensik ausgestattet. Grund für dieses Pilotprojekt ist die stetig steigende Zahl von Cyberattacken, die allein in Oberfranken im vergangenen Jahr um 40 Prozent gestiegen sind.

 

Der BR über das erste mobile IT-Labor der Polizei in Deutschland: https://www.spiegel.de/geschichte/computerspiel-raubkopien-fuer-c64-oder-amiga-die-cracker-szene-der-80er-a-0cfdedb2-40e9-436c-9c9b-8c16e35820af

 

 

—————————————————-

Kurz erklärt

 

 

  1. Mehr Sicherheit beim Onlineshopping: Neue Regeln für Kreditkarten-Einsatz

 

Seit dem 15. März gelten in Deutschland verschärfte Regeln für den Bezahlvorgang bei Onlinehändlern. Grund dafür ist der Wunsch der EU-Kommission nach mehr Sicherheit beim Zahlungsverkehr. Wer künftig per Kreditkarte einen Betrag von mehr als 30 Euro zahlen möchte, muss die Zwei-Faktor-Authentisierung nutzen. Zusätzlich zur Eingabe der Kartennummer sowie der Prüfziffer ist es fortan notwendig, beispielweise ein weiteres Passwort und eine TAN einzugeben – die Umsetzung hängt von der kartenausgebenden Bank ab. Eigentlich gilt die Regelung zur starken Kundenauthentifizierung bereits seit September 2019. Doch die Bundesanstalt für Finanzdienstleistungsaufsicht hatte die Frist mehrfach verschoben, da manche Onlinehändler Probleme hatten, die technischen Systeme für die Zwei-Faktor-Authentisierung zu implementieren.

 

Die Zwei-Faktor-Authentisierung im Detail erklärt: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Zwei-Faktor-Authentisierung/zwei-faktor-authentisierung_node.html

 

BSI-Empfehlungen für mehr Sicherheit beim Onlineshopping: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Online-Banking-Online-Shopping-und-mobil-bezahlen/Online-Shopping/online-shopping_node.html

 

 

—————————————————-

Zeitlos wichtig

 

 

  1. Updates: Warum sie so wichtig sind

 

Am 15. März war Weltverbrauchertag, der auf die Belange von KonsumentInnen aufmerksam macht. Ein Thema dabei: Noch längst nicht alle Hersteller bieten ausreichend lange Sicherheitsupdates für digitale Produkte an. Wenn es jedoch eine Aktualisierung für das Gerät gibt, dann sollten Sie diese umgehend installieren. Wir haben anlässlich des Weltverbrauchertages fünf gute Gründe für die zeitnahe Installation von Updates zusammengestellt und unsere Website dazu neu aufgesetzt, die neben Text und Grafiken auch ein kurzes Video für die Lesefaulen bereithält.

 

Die hilfreichen BSI-Informationen zur Durchführung regelmäßiger Updates finden Sie hier: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Updates-Browser-Open-Source-Software/Wichtige-Softwareupdates/wichtige-softwareupdates_node.html

 

 

—————————————————-

Zahl der Woche

 

 

  1. 400.000 BesucherInnen des Berliner Zoos und 1,35 Millionen KundInnen der Lufthansa von Datendiebstahl betroffen

 

BesucherInnen des Zoos in Berlin sollen Opfer eines Datenabgriffs geworden sein. Wie Heise Online berichtet, hat es bei dem niederländischen Zahlungsdienst Ticketcounter eine Panne gegeben, bei der rund 400.000 Datensätze gestohlen wurden. Dabei handele es sich um Namen, E-Mail-Adressen sowie Details zu im Internet gebuchten Produkten. Das Leck ist laut der Zoo-Betreiber inzwischen geschlossen. Einen ähnlichen Vorfall hat es bei der Lufthansa gegeben. Dort sind nach Informationen des Spiegels 1,35 Millionen Daten von KundInnen des Vielfliegerprogramms Miles & More in die Hände von AngreiferInnen geraten. E-Mail-Adressen oder Passwörter seien nicht dabei gewesen. Den Berichten zufolge informierten der Berliner Zoo und die Lufthansa die Betroffenen. Auch wenn in beiden Fällen keine Passwörter gestohlen wurden, empfehlen wir, diese vorsorglich zu ändern.

 

Heise Online über den Datenleck beim Berliner Zoo: https://www.heise.de/news/Berliner-Zoos-Massives-Datenleck-ueber-Online-Dienst-Ticketcounter-5073557.html

 

Zur Lufthansa-Meldung des Spiegels: https://www.spiegel.de/netzwelt/web/lufthansa-dienstleister-gehackt-angreifer-erbeuten-kundendaten-a-26aa1b3f-f8fd-40f5-aede-7e0ce005b5f9

 

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, FreundInnen oder KollegInnen unter: https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Buerger-CERT-Abos/buerger-cert-abos_node.html

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Newsletter-abbestellen/newsletter-abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Bund

https://www.instagram.com/bsi_bund

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Schreibe eine Antwort

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

Erforderlich

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.