[Buerger-Cert-Newsletter] SICHER • INFORMIERT vom 05.03.2020

Print Friendly, PDF & Email

SICHER • INFORMIERT vom 05.03.2020

Ausgabe: 05/2020

 

Liebe LeserInnen,

 

94 Prozent der Deutschen gehen davon aus, dass die Bedrohungen durch Cyber-Angriffe zunehmen – fünf Prozent mehr als noch im letzten Jahr. Das hat eine aktuelle Studie des Branchenverbandes Bitkom herausgefunden. Sie zeigt auch, dass die Mehrheit der Befragten noch nicht weiß, wie sie die eigenen Geräte und Daten vor Cyber-Kriminellen schützen können. Wie viele es genau sind, erfahren Sie in unserer „Zahl der Woche“. Für uns sind diese Erkenntnisse ein Ansporn, Ihnen in diesem Newsletter und natürlich auch allen weiteren Angeboten von BSI für Bürger weiterhin mit Rat und Tat zur Seite zu stehen.

 

Um Ihnen in Zukunft noch besser helfen zu können, führen wir gerade zusammen mit dem Bundesministerium des Innern, für Bau und Heimat (BMI) eine Online-Umfrage durch. Die ersten Ergebnisse zeigen, dass sich über 70 Prozent der 20.000 TeilnehmerInnen mehr Informationen über Risiken im Netz im Bereich der digitalen Sicherheit wünschen. Nutzen Sie die Gelegenheit und lassen Sie uns wissen, welche Sicherheitsthemen Sie am meisten bewegen und klicken Sie in die Online-Umfrage rein.

 

In diesem Sinne wünsche ich Ihnen viele neue Erkenntnisse und viel Spaß beim Lesen!

 

Jan Lammertz / Team BSI-für-Bürger

Inhalt

 

In den Schlagzeilen—————–

  1. WhatsApp: Gesucht, gefunden
  2. Unberechtigte Abbuchungen über PayPal 3. AngreiferInnen nutzen Angst vor Corona-Virus für Phishing-Attacken 4. WLAN-Lücke Kr00k betrifft fast alle mobilen Geräte 5. LTE-Lücke: ForscherInnen geben sich als Smartphone aus

 

 

Bleiben Sie up-to-date—————–

  1. Schwachstellen in Dell-PCs, Google Chrome, D-Link-Routern und Apple-Geräten 7. Android Patchday März 8. Emotet: Sicherheitsrisiko auch bei Microsoft Office 365

 

 

Gut zu wissen—————–

  1. Cyber-Sicherheit²: Neue Folgen
  2. Vorsicht bei der Entsorgung von Elektroschrott

 

 

Kurz erklärt—————–

  1. Ransomware: Wenn der Trojaner dreimal klingelt

 

 

Zahl der Woche—————–

  1. 31 Prozent

 

 

Was wichtig wird—————–

  1. Digitale Sicherheit: Welche Themen treiben Sie persönlich um?

 

—————————————————-

In den Schlagzeilen

 

 

  1. WhatsApp: Gesucht, gefunden

 

Der Journalist Jordan Wildon hat vor Kurzem zufällig entdeckt, dass Suchmaschinen wie Google und Bing die Einladungslinks für mehrere Hunderttausend WhatsApp-Gruppen indexiert haben. Damit waren diese Chats über die Suchmaschinen auch auffindbar – so meldet es unter anderem die Süddeutsche Zeitung. Google und Bing haben diese Option in der Zwischenzeit abgeschaltet, andere Suchmaschinen aber noch nicht. NutzerInnen bleibe derzeit nur, so die Süddeutsche, „ihre Einladungslinks zu widerrufen, damit sie nicht mehr über die Listen funktionieren.“

 

Tipps zur Auswahl und Nutzung von Instant Messengern finden Sie bei BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/KommunikationUeberInternet/Messenger/Tipps/tipps_node.html

 

Die Süddeutsche über die geleakten WhatsApp-Chats: https://www.sueddeutsche.de/digital/whatsapp-gruppen-oeffentlich-1.4821814

 

 

  1. Unberechtigte Abbuchungen über PayPal

 

NutzerInnen aus Deutschland haben unberechtigte Abbuchungen von ihren PayPal-Konten aus den USA beobachtet. Betroffen sind Konten, die PayPal mit dem Bezahldienst Google Pay verknüpft haben. Die Lücke ist bei PayPal bereits seit rund einem Jahr bekannt, allerdings noch immer nicht geschlossen. Heise Online schätzt den Schaden als „schlimmer als befürchtet“ ein: Der Sicherheitsforscher Markus Fenske, der die Lücke entdeckt und PayPal gemeldet hatte, wies darauf hin, dass es ihm in nur rund 100 Versuchen gelungen sei, eine gültige Kreditkartennummer zu generieren. Mit der könne man beliebig Geld von einem zufälligen PayPal-Account einziehen. Da PayPal wohl noch immer nicht auf die Lücke reagiert hat, rät der Experte dazu, die von PayPal bei der Verknüpfung mit Google Pay erzeugte virtuelle Kreditkarte zu deaktivieren beziehungsweise die Abbuchungsvereinbarung mit Google Pay zu beenden.

 

Wie Sie sicher online bezahlen können, erfahren Sie bei BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/sicher_online_bezahlen_05102016.html

 

Heise Online über die PayPal-Lücke: https://www.heise.de/security/meldung/Google-Pay-Luecke-in-virtuellen-Kreditkarten-erlaubt-unberechtigte-Abbuchungen-4667527.html, https://www.heise.de/security/meldung/PayPal-ueber-Google-Pay-Luecke-noch-immer-nicht-behoben-und-wohl-schlimmer-als-befuerchtet-4668350.html

 

 

  1. AngreiferInnen nutzen Angst vor Corona-Virus für Phishing-Attacken

 

Die WirtschaftsWoche weist auf gefälschte E-Mails mit dem Betreff „Corona-Sicherheitsmaßnahmen“ hin, die vermeintlich von der Weltgesundheitsorganisation (WHO) stammen. Tatsächlich handelt es sich aber „mit hoher Wahrscheinlichkeit“ um Phishing-Mails mit dem Ziel, Nutzerdaten auszuspähen oder über Dateianhänge Schadsoftware auf fremden Rechnern zu installieren. Wie bei anderen Phishing-Mails gilt auch hier: Öffnen Sie keine E-Mails, die hohe Dringlichkeit vorgeben, zu großer Eile mahnen oder Gefahrenlagen über Gebühr dramatisieren. Auf keinen Fall sollten Sie auf Dateien klicken, die mit solchen Mails verschickt werden.

 

BSI-Tipps zum Schutz vor Phishing: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/Schutzmassnamen/schutzmassnamen_node.html

 

 

  1. WLAN-Lücke Kr00k betrifft fast alle mobilen Geräte

 

SicherheitsforscherInnen haben eine Schwachstelle mit dem Namen Kr00k in WLAN-Chips der Firmen Broadcom und Cypress gefunden. Damit seien Milliarden Geräte weltweit betroffen, meldet unter anderem Computerbild, darunter Produkte von Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus), Samsung (Galaxy), Raspberry (Pi 3) und Xiaomi (Redmi) sowie WLAN-Router von Asus and Huawei. Die gute Nachricht: Der Fehler lässt sich durch Software-Updates beheben. Wenn das nicht automatisch passiert, sollten Sie ihre Geräte umgehend manuell aktualisieren.

 

BSI für Bürger hat Empfehlungen zum Schutz mobiler Geräte für Sie zusammengefasst: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/BasisschutzGeraet/EinrichtungMobileGeraete/EinrichtungMobileGeraete_node.html

 

Computerbild über Kr00k: https://www.computerbild.de/artikel/cb-News-Sicherheit-Kr00k-neue-Sicherheitsluecke-WLAN-Verschluesselung-25210907.html

 

 

  1. LTE-Lücke: ForscherInnen geben sich als Smartphone aus

 

WissenschaftlerInnen der Ruhr-Universität Bochum haben es nach eigenen Angaben geschafft, sich über eine Lücke im Mobilfunkstandard LTE als ein fremdes Smartphone auszugeben. „In dieser Position hätten sie beispielsweise ein kostenpflichtiges Abo unter fremden Namen abschließen können, welches das Opfer bezahlen muss“, meldet Heise Online. Allerdings seien solche Attacken mit hohem Aufwand verbunden. Damit das funktioniert, müssen sich AngreiferInnen zudem in der unmittelbaren Nähe eines Smartphones und einer Basisstation befinden. Daher sei es „eher unwahrscheinlich“, dass Privatpersonen davon betroffen sein könnten.

 

Hintergrundinformationen des BSI über „Öffentliche Mobilfunknetze und ihre Sicherheitsaspekte“ (PDF): https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Oeffentl-Mobilfunknetze.pdf?__blob=publicationFile&v=1

 

Heise Online zum LTE-Leak: https://www.heise.de/security/meldung/LTE-Luecke-Forscher-nehmen-Identitaet-von-beliebigen-Handy-Besitzern-an-4666786.html

 

 

—————————————————-

Bleiben Sie up-to-date

 

 

  1. Schwachstellen in Dell-PCs, Google Chrome, D-Link-Routern und Apple-Geräten

 

Das „Computer Emergency Response Team“ des BSI („Bürger-CERT“) informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell sind unter anderem diese Geräte und Anwendungen betroffen: Dell-Computer, Google Chrome, D-Link-Router sowie WPA2-Chipsätze in Apple-Geräten mit iOS (< 13.2), iPadOS (< 13.2) und Apple macOS (< 10.15.1 2019-006).

 

Informationen und Tipps zum Umgang mit diesen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html

 

 

  1. Android Patchday März

 

Wie immer empfiehlt das BürgerCERT die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen.

https://www.bsi.bund.de/SharedDocs/Warnmeldungen/DE/TW/2020/03/warnmeldung_tw-t20-0037.html

 

 

  1. Emotet: Sicherheitsrisiko auch bei Microsoft Office 365

 

Die berüchtigte Schadsoftware Emotet wird meistens über Makros in Office-Dateien verbreitet. Daher empfiehlt das BSI in seinem Maßnahmen-Katalog zum Schutz vor Emotet für Firmen, die generelle Ausführung von Makros zentral und per Gruppenrichtlinie zu deaktivieren. Genau diese Deaktivierung ignorierten aber viele Versionen von Office 365, meldet Heise Online: „Damit können dann vorher gut geschützte Anwender plötzlich ihren Rechner wieder mit wenigen Mausklicks mit Emotet infizieren. Und die Admins bekommen das mit etwas Pech erst mit, wenn es zu spät ist.“ Office-NutzerInnen selbst können die Lücke nicht schließen. Wie System-AdministratorInnen die automatische Ausführung von Makros deaktivieren können, beschreibt Heise Online ebenfalls in diesem Artikel: https://www.heise.de/security/artikel/Microsoft-und-Emotet-Makroschutz-in-Office-365-nur-fuer-Konzerne-4664218.html

 

 

—————————————————-

Gut zu wissen

 

 

  1. Cyber-Sicherheit²: Neue Folgen

 

BSI für Bürger hat neue Folgen seiner Video-Serie Cyber-Sicherheit² veröffentlicht: Die dritte Folge der ersten Staffel (S1E3) beschäftigt sich mit dem Thema Datensicherung und Backups, die vierte Folge (S1E4) beleuchtet die Sicherheit der Authentifizierung über Fingerabdrücke und Gesichtserkennung. In der fünften (S1E5) geht es um die Sicherheit beim Mobile Banking.

 

Zur Pressemitteilung: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Smartphone_Sicherheit_040320.html

 

Zu den Videos: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/smartphone-sicherheit.html

 

 

  1. Vorsicht bei der Entsorgung von Elektroschrott

 

Auf ein Sicherheitsproblem der ganz anderen Art weist die Weilheimer Lokalausgabe des Merkurs hin: Allein bei den Wertstoffhöfen der Erbenschwanger Verwertungs- und Abfallentsorgungsgesellschaft (EVA) seien im vergangenen Jahr 1.317 Tonnen an Elektroaltgeräten angeliefert worden. Viele diese Geräte – Computer, Laptops, Speicherkarten, USB-Sticks und Smartphones – seien „prall gefüllt mit persönlichen Daten“ und sorgten damit für „eine Sicherheitslücke ohne Grenzen“, so der Merkur. Laut Elektro- und Elektronikgerätegesetz (ElektroG) sind die BürgerInnen selbst zur Löschung ihrer Daten verpflichtet, nicht die Annahmestellen. BSI für Bürger rät dazu, Festplatten und andere Speichermedien physisch zu beschädigen oder zu zerstören. Hier gilt ausnahmsweise: Richten Sie am Objekt möglichst maximalen Schaden an.

 

BSI für Bürger erklärt, was zu tun ist, bevor Sie Ihre Geräte an Dritte oder zum Elektroschrottrecycling weitergeben: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/RichtigLoeschen/richtigloeschen_node.html

 

Merkur zu Datenproblemen bei Elektroschrott: https://www.merkur.de/lokales/weilheim/weilheim-ort29677/landkreis-weilheim-schongau-vorsicht-bei-entsorgung-von-elektroschrott-zerstoerung-geraete-kann-helfen-13555372.html

 

 

—————————————————-

Kurz erklärt

 

 

  1. Ransomware: Wenn der Trojaner dreimal klingelt

 

Wussten Sie eigentlich, dass die erste Ransomware im Jahr 1991 noch auf Diskette und per Post verschickt wurde? Ein Biologe hat den Trojaner damals mit QuickBasic programmiert und in Umlauf gebracht. Betroffen waren AIDS-ForscherInnen, die ihre Daten nach Aktivierung des Datenträgers verschlüsselt vorfanden und aufgefordert wurden, die „Jahreslizenz“ für die Benutzung ihres Rechners in Höhe von 189 Dollar zu erneuern – zu zahlen per Verrechnungscheck an ein Postfach in Panama.

 

Mehr interessante Details über Ransomware in Geschichte und Gegenwart lesen Sie in einem Artikel der Computerwoche: https://www.computerwoche.de/a/5-cryptolocker-zum-verlieben,3548480

 

 

—————————————————-

Zahl der Woche

 

 

  1. 31 Prozent

 

Gerade einmal eine(r) von drei Internet-NutzerInnen (31 Prozent) fühlt sich selbst in der Lage, Geräte wie Smartphone oder Computer ausreichend vor Angriffen durch Internetkriminelle zu schützen. Zwei Drittel (66 Prozent) sagen gar, dass sie es nicht merken würden, wenn Fremde ihren Computer oder das Smartphone über das Internet ausspionieren würden. Das ist das Ergebnis einer repräsentativen Umfrage des Branchenverbands Bitkom.

 

Wer seine Unwissenheit überwinden möchte, findet alles Wissenswertes zum Smartphone-Schutz in der bereits erwähnten Video-Serie Cyber-Sicherheit²: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/smartphone-sicherheit.html

 

Weitere Ergebnisse der Bitkom-Umfrage: https://www.bitkom-research.de/de/pressemitteilung/nur-jeder-dritte-internetnutzer-weiss-die-eigenen-geraete-zu-sichern

 

 

—————————————————-

Was wichtig wird

 

 

  1. Digitale Sicherheit: Welche Themen treiben Sie persönlich um?

 

Sie haben diesen Newsletter wahrscheinlich abonniert, weil Sie zum Thema Cyber-Sicherheit auf dem Laufenden bleiben möchten. Um unsere Informationsangebote noch besser auf Ihre Bedürfnisse zuschneiden zu können, führen das Bundesministerium des Innern, für Bau und Heimat (BMI) und das BSI gerade eine gemeinsame Online-Befragung durch. Ihre Antworten helfen uns, noch besser zu verstehen, welche Aspekte von IT-Sicherheit für Sie besonders hilfreich sind. Ihre Themenwünsche können Sie ganz einfach und ohne weitere persönliche Angaben an uns senden:

 

https://indivsurvey.de/Themenumfrage/1211440/mLFINp-e3c1b5b4fbdc260c2d75a7a4c1c72487

 

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.