Newsletter SICHER • INFORMIERT vom 21.10.2021

Ausgabe: 19/2021

 

Liebe Leserinnen und Leser,

 

„Wie ist die Lage?“ Diese gern verwendete Begrüßungsfloskel steht als Ausgangsfrage auch über dem Bericht zur Lage der IT-Sicherheit in Deutschland 2021, den das BSI heute veröffentlicht hat.

Privat antwortet man ja gerne mit „passt“ oder vielleicht sogar mit „gut“, aber das gilt für die Lage der IT-Sicherheit in Deutschland leider nicht.

Das BSI bewertet die Sicherheitslage in seinem aktuellen Bericht nämlich als „kritisch“, weil die vielen Angriffe „zum Teil erhebliche wirtschaftliche Schäden“ verursachten, die mitunter sogar „existenzgefährdend“ seien. Außerdem seien die Attacken eine echte Gefahr für eines der wichtigsten Zukunftsprojekte unseres Landes, die erfolgreiche Digitalisierung. Ich bin sehr beruhigt, dass Sie als aufmerksame Leserinnen und Leser unseres Newsletters mit solchen Gefahren umzugehen wissen. Wie immer, erfahren Sie bei uns im Detail, wie.

Viel Spaß beim Lesen wünscht Ihnen

 

Jan Lammertz / Team BSI

Inhaltsverzeichnis

In den Schlagzeilen—————–

1. Es ruckelt bei Twitch
2. Schwerin in Schwierigkeiten
3. Smishing-Alarm des BSI
4. Datenskandal bei Mobilfunk-Providern
5. TU Berlin leidet noch immer unter den Folgen einer Cyberattacke im April

 

 

Bleiben Sie up-to-date—————–

6. Aktuelle Warnmeldungen des BSI
7. Google aktiviert automatisch

 

 

Gut zu wissen—————–

8. Neuer Lagebericht des BSI
9. Über die Psychologie von Passwörtern

 

 

Kurz erklärt—————–

10. Sandkastenspiele für sichere Browser

 

 

Zeitlos wichtig—————–

11. Die größten Irrtümer der E-Mail-Sicherheit

 

 

Zahl der Woche—————–

12. 500 Millionen US-Dollar

 

—————————————————-

In den Schlagzeilen

 

 

1. Es ruckelt bei Twitch

 

Cyberkriminelle haben offenbar relevante Daten der Videoplattform Twitch (auf Deutsch „Ruck“) geklaut und in einem 4chan-Forum, eine Plattform zum anonymen Austausch von Bildern und Texten, veröffentlicht, wie Twitch selbst berichtet. Der Leak soll das gesamte System inklusive Quellcodes und Auszahlungsinformationen der Twitch-Publisher umfassen. Hinweise, dass auf Passwörter zugegriffen wurde, hat Twitch nicht bestätigt. Als Reaktion auf den Hack hat Twitch die Prämien für gefundene Fehler erhöht. Für korrekt gemeldete Sicherheitslücken zahlt die Plattform nun bis zu 5.000 statt wie bisher maximal 3.000 US-Dollar, schreibt Heise Online.

 

Statement von Twitch: https://blog.twitch.tv/en/2021/10/15/updates-on-the-twitch-security-incident/

 

Heise Online zur Erhöhung der Fehlerprämien: https://www.heise.de/news/Nach-Datenleck-Twitch-erhoeht-Bug-Bounty-Praemien-6217308.html

 

 

2. Schwerin in Schwierigkeiten

 

Viele Verwaltungsdienstleistungen der mecklenburg-vorpommerischen Landeshauptstadt Schwerin sind derzeit nicht zu erreichen, alle Bürgerämter sind geschlossen. Der Grund ist eine Ransomware-Attacke, bei der die IT-Systeme verschlüsselt wurden. Betroffen ist auch der benachbarte Landkreis Ludwigslust-Parchim, wie Heise Online berichtet. Ob es Lösegeldforderungen gibt und ob Daten abgeflossen sind, ist derzeit noch unklar (Stand 15.10.).

 

Detaillierter Bericht des BSI über die allgemeine Bedrohungslage durch Ransomware sowie über Möglichkeiten der Prävention und Reaktion: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.pdf

 

Heise Online zum Angriff auf Schwerin: https://www.heise.de/news/Ransomware-legt-Verwaltung-von-Schwerin-und-benachbartem-Landkreis-lahm-6219590.html

 

 

3. Smishing-Alarm des BSI

 

Das BSI warnt aktuell vor sogenanntem Smishing. Damit ist das Phishing über SMS-Nachrichten gemeint. Das BSI hat drei neue Smishing-Methoden identifiziert: In SMS werden Nutzerinnen und Nutzer auf eine Sprachnachricht (Voicemail) hingewiesen, die sie über einen Link erreichen. Andere Kurznachrichten täuschen eine Infektion des Gerätes vor – ebenfalls kombiniert mit einem Link. Bei der dritten Variante wird den Empfängerinnen und Empfängern vorgetäuscht, dass ihre privaten Fotos veröffentlicht wurden („geleakt“). Das BSI warnt davor, auf diese Links zu klicken. Die Installation der verknüpften Programme aus Drittquellen führt zur Infektion des Smartphones. Stattdessen ist die Nachricht umgehend zu löschen.

 

Pressemitteilung des BSI: https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Smishing_SMS-Phishing_141021.html

4. Datenskandal bei Mobilfunk-Providern

 

Unterdessen ist das US-Unternehmen Syniverse Opfer eines „gigantischen Datenlecks“ geworden, so Computer Bild. Die Firma verarbeitet SMS-Nachrichten und Anrufe für 300 Mobilfunkanbieter auf der ganzen Welt, darunter auch Telefónica, Vodafone und T-Mobile. Im Mai 2021 räumte Syniverse das Datenleck ein, das bereits seit Mai 2016 (!) bestand. Die Schwachstelle habe das Unternehmen zwar mittlerweile ausgeräumt, berichtet das Technikportal. Aber es sei wahrscheinlich, dass die Cyberkriminellen in den fünf Jahren relativ unbemerkt auf viele Milliarden SMS und Anrufe zugreifen konnten. Welchen Schaden das konkret verursacht hat, sei noch unklar (Stand 06.10.).

 

Bericht der Computer Bild: https://www.computerbild.de/artikel/cb-News-Sicherheit-Datenskandal-Hacker-jahrelang-Zugriff-SMS-Anrufe-Syniverse-30878449.html

 

 

5. TU Berlin leidet noch immer unter den Folgen einer Cyberattacke im April

 

Auch sechs Monate nach der Cyberattacke auf die zentralen IT-Systeme der Technischen Universität (TU) Berlin sind die Folgen des Angriffs noch spürbar, berichtet der rbb. Das bekommen zu Vorlesungsbeginn vor allem die Studienanfängerinnen und -anfänger zu spüren, die Probleme mit der Immatrikulation und der Nutzung spezieller Erstsemester-Angebote haben. Der Zugang zur Lernplattform und die Teilnahme an digitalen und in Präsenz stattfinden Lehrveranstaltungen seien aber wieder möglich, zitiert rbb eine Sprecherin der TU. Auch andere Anwendungen funktionierten wieder, darunter das kostenlose WLAN-Netz der TU und die digitale Beantragung des Studierendenausweises inklusive Semesterticket.

 

rbb zu den anhaltenden Folgen des Hackerangriffs auf die TU Berlin: https://www.rbb24.de/panorama/beitrag/2021/10/berlin-tu-cyberangriff-folgen-studienanfaenger-immatrikulation.html

 

 

—————————————————-

Bleiben Sie up-to-date

 

 

6. Aktuelle Warnmeldungen des BSI

 

Das „Computer Emergency Response Team“ des BSI informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es eine Vielzahl aktueller Meldungen, unter anderem zu F-Secure Anti-Virus, F-Secure Linux Security und F-Secure Internet Security; Apache OpenOffice (<= 4.1.10 und 4.1.11); Mozilla Firefox (< 93) und Mozilla Firefox ESR (< 78.15 und < 91.2); Google Chrome (< 94.0.4606.81 und < 94.0.4606.81); Microsoft Edge chromium-based (< 94.0.992.47); Apple iOS (< 15.0.2) und Apple iPadOS (< 15.0.2); Foxit Phantom PDF Suite (< 11.1), Adobe Acrobat Reader (< Mobile 21.9.0), Adobe Acrobat 2017 (< 17.011.30204), Adobe Acrobat 2020 (< 20.004.30017) und Adobe Acrobat Reader DC (< 21.007.20099); Intel Prozessor; sowie Microsoft 365 Apps, Microsoft Office und Microsoft Windows.

 

Informationen und Tipps zum Umgang mit diesen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT finden Sie hier: https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Buerger-CERT-Abos/Buerger-CERT-Sicherheitshinweise/buerger-cert-sicherheitshinweise_node.html

7. Google aktiviert automatisch

 

Alle Google- und YouTube-Accounts sollen bis Ende des Jahres standardmäßig über einen zweiten Faktor abgesichert sein, meldet Heise Online. Dann benötigen Nutzerinnen und Nutzer für die Anmeldung bei ihren Konten neben dem Passwort noch einen zweiten Faktor. Das kann zum Beispiel ein per Authenticator-App erzeugter Code auf dem Smartphone sein oder ein biometrisches Merkmal wie ein Fingerabdruck oder ein Iris-Scan. „Durch die Kombination aus etwas, das nur man selbst kennt (Kennwort) und etwas, das man besitzt (Smartphone) kann man Angreifer, die nur das Passwort kennen, effektiv aussperren“, fasst das Online-Magazin zusammen.

 

Was es genau mit der Zwei-Faktor-Authentisierung auf sich hat, erklärt das BSI in diesem kurzen Video: https://youtu.be/xCCni1Sxe80

 

Zur Meldung von Heise Online: https://www.heise.de/news/Google-aktiviert-Zwei-Faktor-Authentifizierung-fuer-Accounts-automatisch-6210805.html

Gut zu wissen

 

 

8. Neuer Lagebericht des BSI

 

Das BSI hat heute, am 21. Oktober, seinen neuen Lagebericht 2021 vorgelegt, in dem das Bundesamt insgesamt eine kritische Bedrohungslage feststellt: Cyberangriffe führten zu schwerwiegenden IT-Ausfällen in Kommunen, Krankenhäusern und Unternehmen. Sie verursachten zum Teil erhebliche wirtschaftliche Schäden und bedrohten existenzgefährdend Produktionsprozesse, Dienstleistungsangebote und ihre Kundschaft. Der neue Lagebericht macht auch deutlich, dass die erfolgreiche Digitalisierung unseres Landes zunehmend gefährdet ist.

 

Als Konsequenz aus der Bedrohungslage fordert das BSI, der Informationssicherheit einen höheren Stellenwert beizumessen. Im Rahmen von Digitalisierungsprojekten sollte die Cyber-Sicherheit fest verankert werden sowie die gesamte Lieferkette umfassen.

 

Pressemitteilung des BSI zum Lagebericht: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211021_Lagebericht.html

 

Bericht zur Lage der IT-Sicherheit in Deutschland 2021: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

9. Über die Psychologie von Passwörtern

 

Die meisten Menschen wissen, wie ein gutes Passwort aussehen muss, aber nur die wenigsten nutzen dieses Wissen auch, um ihre Online-Konten wirksam abzusichern. Was es mit der Psychologie der Passwörter auf sich hat, untersucht ein Bericht des Softwareunternehmens LogMeIn. So würden die meisten Benutzerinnen und Benutzer Passwörter verwenden, die persönliche Informationen enthalten, beispielsweise Namen der Kinder oder Geburts- und Adressdaten. Zwar wissen die meisten, dass diese Vorgehensweise fahrlässig ist; dennoch nutzen sie solche Codes – vor allem deshalb, weil sie sich einfache Passwörter leichter merken können, fasst Security Insider die Erkenntnisse des Berichts zusammen.

 

BSI-Tipps für sichere Passwörtern: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/Umgang-mit-Passwoertern/umgang-mit-passwoertern_node.html

 

Bericht über die Psychologie der Passwörter: https://www.security-insider.de/unsichere-passwortpraktiken-trotz-erhoehter-nutzung-des-internets-a-1061013/

Kurz erklärt

10. Sandkastenspiele für sichere Browser

 

Um sicher im Internet surfen zu können, rät das BSI dazu, einen Browser mit Sandbox-Technologie und einer guten Versorgung mit Sicherheitsupdates zu verwenden. Eine Sandbox ist ein isolierter Bereich innerhalb einer Anwendung oder eines Betriebssystems. Selbst bei einer Infektion dieses Bereichs haben Angreiferinnen und Angreifer keinen Zugriff auf den Rest des Systems. Zudem empfehlen die Expertinnen und Experten des BSI, auf die Nutzung aktiver Inhalte zu verzichten, die über zusätzliche Programme, sogenannte Plug-Ins, zur Verfügung gestellt werden. Zudem sollten die in allen gängigen Browsern integrierten Mechanismen zum Schutz vor Phishing und Malware aktiviert sein. Wie das geht, beschreibt das BSI auf seiner Webseite:

 

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Updates-Browser-Open-Source-Software/Der-Browser/Browser-sicher-einstellen/browser-sicher-einstellen.html

Zeitlos wichtig

11. Die größten Irrtümer der E-Mail-Sicherheit

 

Im vierten Teil seiner Reihe „Sicherheits-Irrtümer im Internet“ beschäftigt sich das BSI mit zahlreichen Irrtümern rund um die E-Mail-Sicherheit: Können Anhänge auch dann Schaden anrichten, wenn Sie sie nicht öffnen? Sollten Sie auf Spam-E-Mails antworten? Kommt die E-Mail von der Adresse, die angezeigt wird? Sind Phishing-E-Mails leicht zu erkennen? Die Antworten auf all diese Fragen finden Sie hier: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Sicherheitsirrtuemer/irrtuemer-e-mail-sicherheit.html

Zahl der Woche

12. 500 Millionen US-Dollar

 

„Mehr als eine halbe Milliarde Euro haben US-Firmen allein im ersten Halbjahr 2021 nach Angriffen mit Erpressungstrojanern gezahlt“, berichtet Zeit Online. Einem Bericht des US-Finanzministeriums zufolge sind das 42 Prozent mehr als im gesamten Jahr 2020. Das BSI rät übrigens von der Zahlung von Lösegeldern ab und stattdessen zur Vorsorge mit regelmäßigen Backups. Jede Lösegeldzahlung zeige den Erfolg eines Angriffs und motiviere die Täterinnen und Täter zu weiteren Attacken. Zudem finanziere die Lösegeldzahlung die Weiterentwicklung der Schadsoftware und fördere deren Verbreitung.

 

Zur Meldung über den Erfolg von Ransomware-Erpressungen: https://www.zeit.de/amp/digital/2021-10/cyber-attacken-usa-loesegeld-ransomware-zahlungen-millionen-dollar

 

Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/verbraucherinnen-und-verbraucher_node.html

 

Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten: https://www.bsi.bund.de/DE/Service-Navi/Kontakt/kontakt_node.html

 

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freundinnen und Freunden oder Kolleginnen und Kollegen: https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Buerger-CERT-Abos/Abonnieren/abonnieren_node.html

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Buerger-CERT-Abos/Abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Bund

https://www.instagram.com/bsi_bund

https://social.bund.de/@bsi

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn