[Buerger-Cert-Newsletter] SICHER • INFORMIERT vom 09.01.2020

Print Friendly, PDF & Email

SICHER • INFORMIERT vom 09.01.2020

Ausgabe: 01/2020

 

Liebe LeserInnen,

 

wir hoffen, Sie sind gut ins neue Jahr gestartet! Für 2020 wünschen wir uns und Ihnen vor allem Gesundheit und (IT-)Sicherheit. Im vergangenen Jahr haben Cyberkriminelle uns immer wieder mit neuen Gefahren für unsere Geräte, Daten und IT-Infrastrukturen konfrontiert. SicherheitsexpertInnen gehen davon aus, dass sich dies 2020 nicht ändert: Leider gehen auch Hacker mit der Zeit und nutzen moderne Technologien wie etwa künstliche Intelligenz oder vernetzte Geräte im Internet of Things für neue und immer ausgeklügeltere Angriffe.

Die gute Nachricht: Wir sind diesen Angriffen nicht schutzlos ausgeliefert. Wenn wir IT-Sicherheit stärker in unserem Bewusstsein verankern und uns umsichtig im Internet bewegen, dann können wir uns durchaus schützen. Das Wissen um die vielfältigen Gefahren durch Cyberkriminelle ist die wichtigste Voraussetzung für die Sicherheit unserer Geräte und Daten. Das Team von BSI für Bürger unterstützt Sie dabei auch in diesem Jahr gern – mit spannenden Veranstaltungen, Handlungsempfehlungen, Videos, Podcasts und hilfreichen Serviceartikeln. Ein guter Vorsatz für dieses Jahr könnte es daher sein, regelmäßig auf unserer Webseite vorbeizuschauen – und natürlich diesen Newsletter zu lesen.

 

Viel Spaß beim Lesen wünscht Ihnen

 

Jan Lammertz / Team BSI-für-Bürger

Inhalt

 

In den Schlagzeilen—————–

  1. Facebook: 267 Millionen Nutzerprofile waren offen zugänglich 2. Mariah Carey im Schlaf gehackt 3. Kinderspiel für Hacker: Die elektronische Patientenakte 4. Menstruations-Apps: Facebook liest mit 5. Sicherheitslücken in Kraftwerken

 

 

Bleiben Sie up-to-date—————–

  1. Sicherheitshinweise des BSI
  2. WhatsApp stellt Support für Windows Phones und andere ältere Handys ein 8. Polizei warnt vor falschen Amazon-Bestellbestätigungen 9. Schwachstellen bei signierten und verschlüsselten PDF-Dokumenten

 

 

Gut zu wissen—————–

  1. Neues Jahr, neue Vorsätze für mehr IT-Sicherheit 11. Die psychologischen Tricks der Phishing-Angreifer

 

 

Kurz erklärt—————–

  1. Digitale Assistenten kurz erklärt

 

 

Zahl der Woche—————–

  1. 123456

 

 

Was wichtig wird—————–

  1. Support für Windows 7 endet am 14. Januar 2020 15. Das Sicherheitsjahr 2020: Social Engineering, Deep Fakes & Co.

 

—————————————————-

In den Schlagzeilen

 

 

  1. Facebook: 267 Millionen Nutzerprofile waren offen zugänglich

 

Heise Online berichtet, dass sich noch kurz vor Weihnachten „eine Datenbank mit Basisinformationen von mehr als 267 Millionen Facebook-Usern (…) auf einem ungesicherten Server im Internet“ befunden habe. Inzwischen ist der Server allerdings nicht mehr zu erreichen. Britische SicherheitsforscherInnen, die auf die illegale Datensammlung gestoßen waren, vermuten, dass die Daten über ein „massenhaftes Abgleichen von existierenden Telefonnummern“ mit zugehörigen Facebook-Profilen ermittelt wurden. Auch diese Möglichkeit gibt es aktuell nicht mehr.

 

Der ganze Bericht bei Heise Online: https://www.heise.de/newsticker/meldung/Daten-von-267-Millionen-Facebook-Nutzern-offen-im-Netz-4621213.html

 

 

  1. Mariah Carey im Schlaf gehackt

 

„Unbekannte haben an Silvester den Twitter-Account von Sängerin Mariah Carey gehackt und rund 50 Nachrichten abgesetzt“, meldet der Nachrichtensender n-tv. Dafür verantwortlich könnte eine Gruppe mit dem Namen „Chuckling Squad“ sein, die für das Hacken von Promi-Accounts bekannt ist. Carey hat rund 21,4 Millionen Follower bei Twitter, die Tweets der Hacker wurden allerdings bereits nach 20 Minuten gelöscht.

 

Wie Sie sich vor Identitätsdiebstahl schützen können: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/ID-Diebstahl/Schutzmassnahmen/id-dieb_schutz_node.html

 

 

  1. Kinderspiel für Hacker: Die elektronische Patientenakte

 

SicherheitsforscherInnen des Chaos Computer Clubs (CCC) haben sich „über die Identitäten Dritter“. Zugang zu digitalen Patientendaten verschafft, wie Golem berichtet. Die elektronische Patientenakte soll ab 2021 allen KassenpatientInnen auf Wunsch zur Verfügung stehen und sämtliche elektronische Patientendaten einer Person lebenslang online speichern. Das erleichtert den Austausch dieser Daten zwischen ÄrztInnen, Krankenhäusern und anderen Gesundheitseinrichtungen und -diensten. Ein Hack war für den Zugang nicht nötig: Weil die Hersteller des Praxisausweises auf eine persönliche Identifizierung der AntragstellerInnen oder Authentifizierung bei der Bestellung verzichten, gelang es dem CCC, über öffentlich zugängliche Praxisdaten eines Arztes einen solchen Ausweis zu bestellen.

 

Zur Meldung von Golem: https://www.golem.de/news/elektronische-patientenakte-zu-unsicher-um-gehackt-werden-zu-muessen-1912-145757.html

 

 

  1. Menstruations-Apps: Facebook liest mit

 

ForscherInnen der Datenschutzorganisation Privacy International haben Menstruations-Apps wie „Maya“ untersucht und festgestellt, dass sie die Daten ihrer Nutzerinnen oft an soziale Netzwerke weiterleiten. Facebook erfährt unter anderem, wer die Maya-App nutzt, sobald die Anwendung auf dem Smartphone geöffnet wird, berichtet Welt Online. „Ob die Nutzerinnen ein Facebook-Konto besitzen oder ob sie zu dem Zeitpunkt in dem sozialen Netzwerk angemeldet waren, spielte dabei keine Rolle.“ Dennoch raten die DatenschützerInnen nicht grundsätzlich davon ab, Menstruations-Apps zu nutzen. Sie fordern stattdessen von den AnbieterInnen und vom Gesetzgeber, die Daten der Nutzerinnen wirkungsvoll zu schützen.

 

Der Artikel bei Welt Online: https://www.welt.de/politik/article204650924/Sensible-Informationen-Wie-intimste-Daten-aus-Menstruations-Apps-bei-Facebook-landeten.html

 

 

  1. Sicherheitslücken in Kraftwerken

 

Mitte Dezember 2019 gab das BSI eine Warnmeldung an die Betreiber von Kraftwerken heraus, in der die Behörde vor Hackerangriffen warnt. Auch SicherheitsforscherInnen des russischen Antivirus-Anbieters Kaspersky meldeten Ende des Jahres, dass die Energiebranche verwundbar sei – auch in Deutschland. Die ExpertInnen haben unter anderem in der Industrie-Steuersoftware SPPA-T3000 für Kraftwerksturbinen von Siemens insgesamt 54 verschiedene Lücken entdeckt. Laut BSI sind allerdings bislang keine Vorfallsmeldungen von Betreibern bekannt, in denen die Schwachstellen aktiv ausgenutzt wurden.

 

Welt Online über unsichere Kraftwerke: https://www.welt.de/wirtschaft/article204763068/Sicherheitsluecke-ermoeglichte-Hackern-Angriff-auf-deutsche-Kraftwerke.html

 

 

—————————————————-

Bleiben Sie up-to-date

 

 

  1. Sicherheitshinweise des BSI

 

In den letzten zwei Wochen warnte das BSI vor Sicherheitslücken beim D-LINK Router sowie bei Google Android. Wie immer empfehlen wir, die vom Hersteller bereitgestellten Sicherheitsupdates zeitnah zu installieren. Eine Übersicht der Warnmeldungen des BSI gibt es hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html

 

 

  1. WhatsApp stellt Support für Windows Phones und andere ältere Handys ein

 

Seit Neujahr funktioniert der Messenger-Dienst WhatsApp nicht mehr auf Smartphones mit Windows Phone als Betriebssystem. Für Smartphones mit Android 2.3.7 und älter sowie iOS 8 und älter läuft der Support zum 01. Februar 2020 aus.Zur Meldung von Heise Online: https://www.heise.de/newsticker/meldung/WhatsApp-Support-Ende-fuer-Windows-Phones-und-andere-aeltere-Handys-4624941.html

 

 

  1. Polizei warnt vor falschen Amazon-Bestellbestätigungen

 

Derzeit werden verstärkt falsche Amazon-Bestellbestätigungen verschickt. „Die Mails seien zwar nicht besonders gut gemacht, aber die Nachricht, dass das eigene Amazon-Konto angeblich von einem fremden Gerät aus für einen Kauf verwendet wurde, dürfte die eine oder den anderen trotzdem verunsichern“, schreibt Heise Online mit Verweis auf die Warnung der Polizei Niedersachsen. Sollten Sie auf die Phishing-E-Mail reagiert haben, wird empfohlen, die Zugangsdaten zu ändern und den Amazon-Support zu kontaktieren. Bei Weitergabe von Bankdaten sollten Sie auch Ihre Bank informieren. Außerdem wird Betroffenen geraten, bei der Polizei Anzeige zu erstatten.

 

Bei BSI für Bürger erhalten Sie weitere Informationen darüber, wie Sie Phishing-E-Mails erkennen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/Phishing_E-Mails_erkennen/wie-erkenne-ich-phishing-e-mails_node.html

 

Zur Meldung auf Heise Online: https://www.heise.de/newsticker/meldung/Polizei-warnt-Falsche-Amazon-Bestellbestaetigungen-kursieren-4627750.html?wt_mc=nl.red.security.security-nl.2020-01-06.link.link

 

 

  1. Schwachstellen bei signierten und verschlüsselten PDF-Dokumenten

 

ForscherInnen der Ruhr-Universität Bonn und des IT-Sicherheitsunternehmens Hackmanit fanden heraus, dass Signaturen in PDF-Dokumenten nicht so sicher sind wie bisher angenommen. „In 21 von 22 PDF-Readern konnten sie Änderungen in einem Dokument vornehmen, ohne dass die Systeme das merkten“, berichtet Zeit Online. Das BSI hat die Forschungsergebnisse erhalten und die betroffenen Anbieter, im Rahmen eines Coordinated Vulnerability Disclosure Verfahrens, kontaktiert.

 

Zur Meldung auf Zeit Online: https://www.zeit.de/digital/datenschutz/2019-12/chaos-communication-congress-ccc-2019-pdf-verschluesselung-signatur-sicherheit

 

Zu den Ergebnissen: https://www.pdf-insecurity.org/download/paper-pdf-signatures-ccs2019.pdf

 

 

—————————————————-

 

Gut zu wissen

 

 

  1. Neues Jahr, neue Vorsätze für mehr IT-Sicherheit

 

Seit etwa 4.000 Jahren gibt es die Tradition der guten Vorsätze zum neuen Jahr. In Zeiten der Digitalisierung sollten dazu auch Vorsätze für mehr IT-Sicherheit gehören. Lassen Sie sich von den sieben Vorschlägen der Augsburger Zeitung inspirieren: Ein Klassiker, deswegen aber keineswegs weniger relevant, ist der Vorsatz, starke Passwörter zu erstellen und diese regelmäßig zu ändern. Auch den Vorsatz „Updates sofort ausspielen – am besten automatisch“ können Sie leicht und ohne großen Aufwand umsetzen.

 

Unsere IT-Sicherheitsvorsätze aus dem letzten Jahr passen auch für 2020: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Gute_Vorsaetze_IT-Sicherheit.html

 

Die sieben Vorschläge der Augsburger Zeitung finden Sie hier: https://www.augsburger-allgemeine.de/digital/Sieben-gute-Vorsaetze-fuer-mehr-Computer-Sicherheit-id56182321.html

 

 

  1. Die psychologischen Tricks der Phishing-Angreifer

 

Unser Gehirn basiert vereinfacht auf zwei Systemen, erklärt Linus Neumann, Diplompsychologe und Sprecher des Chaos Computer Clubs (CCC) in einem Artikel von Heise Online. Nach Neumann ist das eine System langsam, analytisch und dominiert von Vernunft, das andere dagegen schnell, intuitiv und funktioniere automatisch bei Standardabläufen. Das ist etwa bei Angst, Langeweile, Eile und Druck der Fall. Genau dieser Umstand wird bei Phishing und Online-Erpressung ausgenutzt. Theoretisch sind die IT-Gefahren bekannt und verstanden, nur reagieren viele Menschen im Angriffsfall doch meist schnell und intuitiv.

 

Mehr zum Thema Phishing lesen Sie auf unserer Website: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/Phishing_E-Mails_erkennen/wie-erkenne-ich-phishing-e-mails_node.html

 

Zur Meldung von Heise Online mit anschaulichen Beispielen: https://www.heise.de/newsticker/meldung/36C3-Wenn-der-Ransomware-Support-ploetzlich-Russisch-spricht-4624765.html

 

 

—————————————————-

Kurz erklärt

 

 

  1. Digitale Assistenten kurz erklärt

 

„Alexa, schalte das Licht im Wohnzimmer an!“ oder „Siri, welche Termine habe ich am Montag?“ sind typische Sprachbefehle, die wir digitalen Assistenten geben. Ob bei der Steuerung von Smart-Home-Systemen oder bei der Einkaufsplanung, die Geräte unterstützen uns im Alltag und machen digitale Dienste per Sprache nutzbar. So bequem und hilfreich digitale Assistenten auch sind, Datensicherheit ist auch hier sehr wichtig. Zwei neue Videos von BSI für Bürger erklären die Funktionsweise von Siri, Alexa & Co. und vermitteln wichtige Sicherheitshinweise.

 

YouTube-Video auf dem BSI-Kanal über digitale Assistenten: https://www.youtube.com/watch?v=oRA18JUyXGc

 

Facebook-Kurzvideo des BSI für Bürger über Sicherheitsrisiken von digitalen Assistenten: https://www.facebook.com/watch/?v=446407729624705

 

 

—————————————————-

Zahl der Woche

 

 

  1. 123456

 

„Einhundertdreiunzwanzigtausendvierhundertsechsundfünfzig“: Dieses komplexe Passwort hat immerhin 56 Stellen, was der unvorstellbar großen Zahl von 5600 Nonillionen Kombinationsmöglichkeiten entspricht. In der stark vereinfachten Schreibweise „123456“ gehört es allerdings leider noch immer zu den weltweit beliebtesten Passwörtern und lädt Cyberkriminelle regelrecht dazu ein, solche ungeschützten Konten anzugreifen. „Einen Schimpansen fünf Sekunden auf die Tastatur hacken zu lassen“ wäre sicherer, unkt die Süddeutsche Zeitung. Wir hoffen, dass auf Ihrer Liste der guten Vorsätze für 2020 das sichere Passwort ganz oben steht.

 

BSI-Empfehlungen für sichere Passwörter: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html

 

 

—————————————————-

Was wichtig wird

 

 

  1. Support für Windows 7 endet am 14. Januar 2020

 

Noch immer läuft auf rund jedem vierten Computer (27 Prozent) Windows 7, meldet ZDNet unter Berufung von NetApplications. Am 14. Januar 2020 beendet Microsoft den Support für dieses Betriebssystem und stellt keine Sicherheitsupdates mehr zur Verfügung. Hacker könnten in Zukunft Schwachstellen ausnutzen, um sich Zugang zu ungeschützten Rechnern zu verschaffen.

 

BSI für Bürger informiert über das Support-Ende von Windows 7: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/supportende-windows.html

 

Microsoft-Empfehlungen zum Umstieg auf moderne Betriebssysteme: https://www.microsoft.com/de-de/windows/windows-7-end-of-life-support-information

 

 

  1. Das Sicherheitsjahr 2020: Social Engineering, Deep Fakes & Co.

 

„Der Mensch bleibt auch 2020 das größte Cyber-Risiko für Unternehmen“, schreibt Security Insider mit Blick auf das neue Jahr. Das sogenannte Social Engineering für das Ausspähen persönlicher Kontakte sowie nicht gepatchte Software werden die Hauptursachen für erfolgreiche Cyberangriffe bleiben, so das Nachrichtenportal. Dazu werden neue Risiken über sogenannte Deep Fakes kommen, bei denen täuschend echt erscheinende, aber gefälschte Video- und Audiosequenzen für Betrugsversuche genutzt werden. Auch die starke Zunahme vernetzter Geräte, Anlagen und „Dinge“ in Heim- und Firmennetzwerken birgt Risiken für die IT-Sicherheit, da diese nicht immer aktuellen Sicherheitsanforderungen genügen.

 

Security Insider zu den Sicherheitsbedrohungen in 2020: https://www.security-insider.de/die-wichtigsten-trends-in-der-cybersecurity-a-892350

 

 

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.