[Buerger-Cert-Newsletter] SICHER • INFORMIERT vom 06.02.2020

Print Friendly, PDF & Email

SICHER • INFORMIERT vom 06.02.2020

Ausgabe: 03/2020

 

Liebe LeserInnen,

künstliche Intelligenz (KI) gehört zu den meistgehörten Schlagwörtern der Digitalisierung.

Intelligente Kühlschränke, die für uns einkaufen, intelligente Autos, die für uns fahren, intelligente Bots, die uns in Behörden und Ämtern mit Formularen versorgen und unsere Anfragen

beantworten: Die Liste der Verheißungen von KI ist lang – und es wird noch länger dauern, bis die Versprechungen realisiert sein werden.

 

Aufpassen sollten wir trotzdem schon jetzt: Die wachsende Zahl vernetzter Geräte bedeutet immer auch ein höheres Sicherheitsrisiko. Die Anbieter schützen ihre Geräte, aber es schadet nicht, wenn wir alle auch selbst genau hinschauen. Aufmerksame LeserInnen dieses Newsletters wissen, wie das

geht: mit Vorsicht, einer gesunden Portion Misstrauen und ein paar nützlichen Tools. Wie immer bietet unser Newsletter Ihnen nützliche Tipps und Wissenswertes rund um Cyber-Sicherheit.

 

Viel Spaß beim Lesen wünscht Ihnen

 

Jan Lammertz / Team BSI-für-Bürger

Inhalt

 

In den Schlagzeilen—————–

  1. Buchbinder-Leak: Drei Millionen Kundendaten offen im Netz 2. Emotet-Epidemie im Kammergericht Berlin 3. Smart Meter Gateway: Die intelligenten Stromzähler kommen 4. Datenschutzskandal bei Avast Antivirus

 

 

Bleiben Sie up-to-date—————–

  1. Aktuelle Warnmeldungen des Bürger-CERT 6. Passwörter von 500.000 WLAN-Routern veröffentlicht 7. Xbox und Xbox Live: Spielend zu mehr Sicherheit

 

 

Gut zu wissen—————–

  1. Cyber-Sicherheit²: BSI-Videos über Smartphone-Sicherheit 9. FBI hat das iPhone 11 geknackt 10. FIDO2: Das Ende (des Passworts) naht 11. Deutlich mehr Sicherheitslücken bei WhatsApp 12. Sicherheitsprobleme auch beim Mutterschiff: Facebook missachtet die Privatsphäre seiner NutzerInnen

 

 

Kurz erklärt—————–

  1. So funktioniert ein Passwortmanager

 

 

Zahl der Woche—————–

  1. 1.600 Angriffsversuche aufs Regierungsnetz – pro Tag!

 

—————————————————-

In den Schlagzeilen

 

 

  1. Buchbinder-Leak: Drei Millionen Kundendaten offen im Netz

 

Für das Computermagazin c’t ist es „eines der größten Datenlecks in der Geschichte der Bundesrepublik“: Beim Autovermieter Buchbinder standen wochenlang persönliche Daten von mehr als drei Millionen KundInnen ungeschützt im Netz, darunter auch Adressen und Telefonnummern von Prominenten und PolitikerInnen wie Grünen-Chef Robert Habeck und BSI-Präsident Arne Schönbohm. Ursache des Lecks war laut c‘t „ein Konfigurationsfehler bei einem Backup-Server“. Buchbinder hat nach eigenen Angaben die Lücke inzwischen geschlossen. Informationen über mögliche Schäden und die missbräuchliche Verwendung von Daten machte das Unternehmen aber nicht. Wer wissen will, ob seine Informationen in der Datenbank gespeichert und betroffen sind, kann dies per E-Mail an erfragen, schreibt c’t und bietet dafür unter www.ct.de/ycyu auch ein Formular an.

 

Eckpunkte-Papier des BSI über die „Mindestanforderungen zur Informationssicherheit bei eCommerce-Anbietern“: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Mindestanforderungen-eCommerce-Anbieter.pdf

 

c’t über die Computerpanne bei Buchbinder: https://www.heise.de/ct/artikel/Daten-Leak-bei-Autovermietung-Buchbinder-3-Millionen-Kundendaten-offen-im-Netz-4643015.html

 

 

  1. Emotet-Epidemie im Kammergericht Berlin

 

Schwerer als erwartet ist offenbar der Emotet-Angriff auf das Berliner Kammergericht, berichtet unter anderem Heise Online und beruft sich auf ein Gutachten des „Cyber Emergency Response Teams“ von T-Systems, das die IT-Systeme des Gerichts untersucht hat. Demnach konnten die Trojaner Emotet und Trickbot „über mehrere Tage hinweg weitgehend ungehindert im Netz des Gerichts wüten und Daten abziehen“. Wie genau der Angriff erfolgte, ist bisher noch nicht klar. Da die ExpertInnen bei ihrer Analyse „gleich reihenweise Schwachpunkte der IT-Infrastruktur“ ausgemacht haben, raten sie dem Gericht angesichts dieses „Totalschadens“ zu einem kompletten Neuaufbau der IT-Infrastruktur.

 

Aktuelle Informationen des BSI zu Emotet: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html

 

Heise Online über den Emotet-Befall beim Berliner Kammergericht: https://www.heise.de/security/meldung/Emotet-IT-Totalschaden-beim-Kammergericht-Berlin-4646568.html

 

 

  1. Smart Meter Gateway: Die intelligenten Stromzähler kommen

 

Nach der Zertifizierung eines dritten Smart-Meter-Gateways durch das BSI greift nun die gesetzliche Verpflichtung zum Einbau der Gateways für intelligente Messsysteme in Haushalten mit einem Jahresstromverbrauch ab 6.000 kWh. Die Gateways ermöglichen die zuverlässige Erhebung, Verarbeitung, Übermittlung, Protokollierung, Speicherung, aber auch die Löschung von digitalen Messwerten der Stromzähler. Der Einbau von intelligenten Messsystemen ist ein wesentlicher Meilenstein auf dem Weg hin zur Energiewende.

 

Fragen und Antworten rund um das Smart-Meter-Gateway haben wir hier zusammengefasst: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/Energiewende/smart-meter-gateway_node.html

 

Der Artikel von Heise Online zum Thema: https://www.heise.de/newsticker/meldung/Intelligente-Stromzaehler-Startschuss-fuer-verpflichtenden-Smart-Meter-Einbau-4651422.html

 

 

  1. Datenschutzskandal bei Avast Antivirus

 

Über ein Tochterunternehmen hat der tschechische Anbieter von Antiviren-Tools Avast jahrelang Browserdaten an zahlende KundInnen verkauft, meldet t3n. In den Daten fanden sich „Google-Suchen, Ortssuchen, GPS-Koordinaten aus Google Maps, besuchte LinkedIn-Seiten, angesehene YouTube-Videos sowie besuchte Porno-Seiten, nebst der dort verwendeten Suchbegriffe und der Videos, die Nutzer auf den Porno-Seiten angeschaut haben“. Nach weltweiten Protesten gegen die auch rechtlich mehr als fragwürdige Datensammlung hat Avast in der Zwischenzeit die Datenweitergabe gestoppt und die Abwicklung seines Tochterunternehmens angekündigt.

 

BSI-Tipps für sichere Einstellungen Ihres Webbrowsers: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/EinrichtungBrowser/Sicherheitsmassnahmen/SicherheitsCheck/sicherheitscheck_node.html

 

t3n über den Datenskandal bei Avast: https://t3n.de/news/weltweiter-empoerung-avast-1247635/

 

 

—————————————————-

Bleiben Sie up-to-date

 

 

  1. Aktuelle Warnmeldungen des Bürger-CERT

 

Das „Computer Emergency Response Team“ des BSI („Bürger-CERT“) informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell sind diese Vorfälle bekannt: Mehrere Schwachstellen im D-LINK Router DIR-859 ermöglichen das Ausführen von beliebigem Programmcode mit den Rechten des Dienstes.

 

Auch in Apple-Betriebssystemen und -Anwendungen wurden Sicherheitslücken entdeckt: Betroffen sind unter anderem der Apple-Standard-Browser Safari (< 13.0.5), Apple iOS und Apple iPadOS (< 13.3.1) sowie Apple macOS (10.13.6; 10.14.6; < 10.15.3) und Apple iTunes (< 12.10.4). Die Schwachstellen können von Angreifern ausgenutzt werden, um unerlaubt Zugriff auf Geräte und Anwendungen zu erhalten. Schließlich meldet das Bürger-CERT auch mehrere Schwachstellen bei Bitdefender Antivirus for Mac < 8.0.0. Diese Schwachstellen könnten ausgenutzt werden, „um Anmeldeinformationen für die Bitdefender Cloud offenzulegen und um beliebigen Code auszuführen“. Die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates schließt die Lücken.

 

Weitere aktuelle Warnmeldungen des Bürger-CERT: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html

 

 

  1. Passwörter von 500.000 WLAN-Routern veröffentlicht

 

WLAN-Router und -Server werden von Hackern genutzt, um sogenannte Botnetze aufzubauen – Netzwerke von oft mehreren Tausend PCs, die per Fernsteuerung zusammengeschlossen und für kriminelle Aktionen missbraucht werden. Chip berichtet darüber, dass „IP-Adressen und Passwörter von über einer halben Million Geräten frei zugänglich im Internet veröffentlicht“ wurden.

 

BSI-Informationen über Botnetze und den Schutz vor unbefugtem Zugriff auf WLAN-Router: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/BotNetze/botnetze_node.html

 

Chip-Bericht über veröffentlichte WLAN-Daten: https://www.chip.de/news/Passwoerter-von-500.000-WLAN-Routern-oeffentlich-gemacht_179776444.html

 

 

  1. Xbox und Xbox Live: Spielend zu mehr Sicherheit

 

Mit dem Internet verbundene Spielekonsolen wie Microsofts Xbox und der Online-Dienst Xbox Live können ebenfalls Ziele von Angreifern werden. Microsoft hat daher ein sogenanntes Bug-Bounty-Programm gestartet, über das Meldungen von bisher unentdeckten und reproduzierbaren Fehlern und Schwachstellen mit bis zu 20.000 US-Dollar entlohnt werden. Die tatsächliche Höhe der Prämien richtet sich nach der Schwere, den möglichen Auswirkungen und der Qualität der Übermittlung, heißt es in einem Blogpost des Microsoft Security Response Centers (MSRC).

 

Heise Online über das Bug-Bounty-Programm von Microsoft: https://www.heise.de/newsticker/meldung/Microsoft-legt-Xbox-Bug-Bounty-Programm-auf-4650744.html

 

 

—————————————————-

Gut zu wissen

 

 

  1. Cyber-Sicherheit²: BSI-Videos über Smartphone-Sicherheit

 

Das BSI startet mit Cyber-Sicherheit² eine Reihe von Videos zum Thema Smartphone-Sicherheit. Im ersten Teil besprechen Peter Drescher vom BSI und Oliver Müller von der Verbraucherzentrale NRW, wie ein Smartphone sicher verwendet werden kann.

 

Zum ersten Teil der Reihe Cyber-Sicherheit² geht es hier entlang: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/smartphone-sicherheit.html

 

 

  1. FBI hat das iPhone 11 geknackt

 

Apple und die US-Bundespolizei FBI streiten sich seit Jahren darüber, ob der iPhone-Hersteller einen Zugriff auf beschlagnahmte Geräte ermöglichen muss. Zuletzt hatte sich Apple sogar einem Gerichtsbeschluss widersetzt, der das Unternehmen dazu verpflichtet hatte, beim Entsperren des iPhones zu helfen. Einem Bericht von Golem zufolge ist es dem FBI aber nun auch ohne Zutun von Apple gelungen, Zugriff auf die Daten eines gesperrten iPhone 11 zu bekommen. Mit Hilfe der forensischen Software Cellebrite seien die Textnachrichten eines Geräts ausgelesen worden, hieß es.

 

Golem über den FBI-Hack beim iPhone 11: https://www.golem.de/news/forensische-software-fbi-hat-das-iphone-11-geknackt-2001-146235.html

 

 

  1. FIDO2: Das Ende (des Passworts) naht

 

Google, Microsoft und „Dutzende weitere namhafte Tech-Unternehmen“ treiben wohl im Rahmen einer globalen Allianz den neuen Standard FIDO2 („Fast Identity Online“) voran. NutzerInnen müssen sich bei Geräten und Anwendungen, die diesen Standard einsetzen, keine Passwörter mehr merken, sondern lediglich ein physisches oder virtuelles Objekt mit sich führen, auf dem ein individueller Sicherheitsschlüssel abgelegt ist. „Dieser sogenannte Authenticator kann beispielsweise ein externes Gerät für den Schlüsselbund sein, das sich per USB, NFC oder Bluetooth mit dem PC oder Smartphone verbinden lässt“, beschreibt das Handelsblatt den neuen Standard. Bis zur endgültigen Umsetzung des Standards und der Einführung der Technologie werde es aber noch 18 bis 24 Monate dauern.

 

Auch c’t schreibt über das Thema: https://www.heise.de/ct/artikel/Sicherheitschips-staerken-oder-ersetzen-Passwoerter-4637602.html

 

 

  1. Deutlich mehr Sicherheitslücken bei WhatsApp

 

Der mehr als 1,6 Milliarden NutzerInnen zählende Instant Messenger WhatsApp musste im vergangenen Jahr einen deutlichen Anstieg von Sicherheitslücken verkraften, meldet t3n unter Berufung auf die Financial Times. WhatsApp meldete 2019 demnach zwölf Sicherheitslücken, von denen sieben das Label „kritisch“ trugen. Glaubt man dem WhatsApp-Betreiber Facebook, mussten die NutzerInnen nicht auf die Lücken reagieren: Die seien alle bereits vor der Meldung behoben gewesen.

 

t3n über den Anstieg von Sicherheitslücken bei WhatsApp: https://t3n.de/news/whatsapp-meldet-deutlich-mehr-1246847/

 

 

  1. Sicherheitsprobleme auch beim Mutterschiff: Facebook missachtet die Privatsphäre seiner NutzerInnen

 

Dass Facebook systematisch umfassende Daten seiner NutzerInnen sammelt und nutzt, ist bekannt. Die kürzlich freigeschaltete Funktion „Off-Facebook Activity“ (OFA) zeigt nun, wie weit dieses Sammeln tatsächlich geht. „Der Konzern schaut Milliarden Menschen beim Surfen über die Schulter, ohne dass sie es merken“, schreibt die Süddeutsche Zeitung über die Datensammelwut von Facebook und gibt gleichzeitig Tipps, wie man das – zumindest zum Teil – verhindern kann.

 

Süddeutsche Zeitung zum Umfang der Datensammlung bei Facebook: https://www.sueddeutsche.de/digital/off-facebook-activity-ofa-daten-1.4776368

 

 

—————————————————-

Kurz erklärt

 

 

  1. So funktioniert ein Passwortmanager

 

Solange FIDO2 Passwörter noch nicht flächendeckend überflüssig macht (siehe oben), müssen NutzerInnen notgedrungen noch mit ihnen leben. Dabei helfen ihnen sogenannte Passwortmanager. Das sind Programme, die Passwörter generieren, verschlüsselt speichern und automatisch in die Anmeldefelder von Online-Portalen eingeben. Gleichzeitig bieten die Passwortmanager größeren Schutz, denn sie generieren schwer zu knackende Passwörter. Stiftung Warentest hat 14 Passwortmanager getestet und bewertet (Test von 2017, aktualisiert im Januar 2020). Mit „gut“ haben gerade einmal drei abgeschnitten, ein Programm davon ist gratis erhältlich.

 

BSI-Empfehlungen für gute Passwörter: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html

 

Passwortmanager im Test: https://www.test.de/Passwort-Manager-im-Test-5231532-0/

 

 

—————————————————-

 

Zahl der Woche

 

 

  1. 1.600 Angriffsversuche aufs Regierungsnetz – pro Tag!

 

Die Cyberabwehr der Bundesregierung musste 2019 rund 1.600 Hacker-Attacken abwehren – pro Tag! Eine Sprecherin unseres Amtes nannte gegenüber Business Insider weitere Zahlen: Demnach werden im Regierungsnetz jeden Tag zum Beispiel durchschnittlich 1,2 Millionen Spam-E-Mails abgefangen, die Schadprogramme enthalten oder vertrauliche Daten abfischen könnten.

 

Business Insider zur Zahl der Angriffsversuche auf das Regierungsnetz in Deutschland: https://www.businessinsider.de/politik/deutschland/bundesregierung-unter-dauerfeuer-cyberabwehr-blockt-1600-hacker-attacken-pro-tag/

 

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.