[Buerger-Cert-Newsletter] SICHER • INFORMIERT vom 31.10.2019

Print Friendly, PDF & Email

SICHER • INFORMIERT vom 31.10.2019
Ausgabe: 23/2019

Liebe LeserInnen,

heute endet der Oktober – mit dem „schrecklichsten“ aller Tage, Halloween. Sie werden heute vermutlich viele Geister, Hexen und Fledermäuse sehen – hoffentlich aber niemanden, der sich als Ihr Chef verkleidet und Geld von Ihnen verlangt. Leider ist so etwas kein Halloween-Gag, sondern ein so genannter Deep Fake, der Sie das ganze Jahr über heimsuchen kann. Um täuschend echt wirkende Bild-, Video- und Audio-Dateien zu erzeugen, die in Wahrheit gefälscht sind, wird oftmals künstliche Intelligenz verwendet. In den Händen von Cyber-Kriminellen mitunter eine gruselige Waffe. Lesen Sie mehr dazu in dieser Ausgabe des Newsletters.

Der 31. Oktober markiert zugleich das Ende des „European Cyber Security Month“ (ECSM). Im Oktober haben Organisationen und Privatpersonen daran erinnert, wie wichtig der Schutz von Geräten und IT-Infrastrukturen ist. Auch wir haben unsere ECSM-Serie zum Thema „Hilfe zur Selbsthilfe“ mit dem vierten Teil abgeschlossen – schauen Sie doch mal rein.

Damit Sie auch in den nächsten Monaten sicher sein können, präsentieren wir Ihnen heute die aktuellsten Infos sowie Tipps und Tricks für mehr IT-Sicherheit – garantiert ohne Fakes.

Viel Spaß beim Lesen wünscht Ihnen

Jan Lammertz / Team BSI-für-Bürger
Inhalt

In den Schlagzeilen—————–
1. Wenn der Chef plötzlich Geld braucht
2. Emotet legt Berliner Kammergericht lahm 3. Intelligente Spione in den eigenen vier Wänden 4. Wenn Ihr Office verschnupft ist

Bleiben Sie up-to-date—————–
5. BSI warnt vor akuten Schwachstellen in Chrome, Firefox, Mware ESXi, Foxit Phantom PDF Suite und Mozilla Thunderbird 6. Kritische Sicherheitslücken in Mozilla Firefox 7. Samsung Galaxy: Folie statt Fingerabdruck

Gut zu wissen—————–
8. Basisschutz für Ihre Geräte: nicht perfekt, aber wirksam 9. Vorsicht vor Heidi Klum und Emilia Clarke!
10. TOTP: Passwörter zum Wegwerfen
11. BSI und Polizei geben Phishing-Checkliste für den Ernstfall heraus

Was wichtig wird—————–
12. „Deepfake Detection Challenge“ von Facebook und Microsoft

—————————————————-
In den Schlagzeilen

1. Wenn der Chef plötzlich Geld braucht

Die Wirtschaftswoche warnt vor Cyber-Attacken, bei denen sich Betrüger als Vorgesetzte ausgeben und so millionenschwere Überweisungen auf falsche Konten veranlassen. Die Angreifer nutzen sogar Stimmimitation, um MitarbeiterInnen am Telefon zu täuschen. Die internationale Polizeibehörde Interpol nennt diese Art von Deep Fakes „Business Email Compromise“ (BEC). Um diese Form von Cyberkriminalität zu stoppen, hat Interpol eine Informationskampagne gestartet: Mit dem Slogan #BECareful – „Sei vorsichtig“ möchte die Polizeibehörde über das Vorgehen der Betrüger aufklären und Beschäftigte sensibilisieren.

So rät die Wirtschaftswoche zu „Vorsicht vor den falschen Chefs“: https://www.wiwo.de/technologie/digitale-welt/cybersecurity-vorsicht-vor-den-falschen-chefs-/25128068.html

Auf BSI für Bürger finden Sie wichtige Informationen zum Thema Social Engineering: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering_node.html

2. Emotet legt Berliner Kammergericht lahm

Über Emotet haben wir an dieser Stelle bereits mehrfach berichtet. Der Virus, der Rechner verschlüsselt, um seine Besitzer zu erpressen oder Schadsoftware aufspielt, um Daten abzugreifen, ist weiterhin aktiv. Zum Beispiel in der IT-Anlage des Berliner Kammergerichts: Seit Wochen hat das Gericht keinen Internetzugang mehr und kann seine Rechner nur noch als Schreibmaschine nutzen. Per E-Mail ist das Gericht momentan und auf absehbare Zeit nicht zu erreichen.

Lesen Sie hier den F.A.Z.-Artikel zum Thema: https://www.faz.net/aktuell/wirtschaft/diginomics/emotet-wie-ein-trojaner-das-hoechste-gericht-berlins-lahmlegte-16442702.html

Das BSI rät zu diesen Maßnahmen zum Schutz vor Emotet und gefährlichen E-Mails im Allgemeinen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html

3. Intelligente Spione in den eigenen vier Wänden

Es war „nur“ ein Forschungsprojekt: Hacker des Berliner Security Research Labs (SRLabs) haben Apps für die Smart Speaker-Sprachassistenten Alexa und Google Home entwickelt, mit denen sie die NutzerInnen unbemerkt abhören können. Die „smart spies“ (intelligenten Spione) gaben sich zum Beispiel als Horoskop-App aus und blieben auch dann aktiv, wenn sie mit einem Stopp-Befehl eigentlich beendet wurden. Wer das nicht bemerkte, konnte von dem Forschungsteam abgehört werden. Amazon und Google haben darauf reagiert und Abhilfe angekündigt. Die Apps der SRLabs wurden inzwischen gelöscht.

Wie die „Spione“ bei Alexa und Google Home funktionieren, beschreibt unter anderem Der Spiegel ausführlich: https://www.spiegel.de/netzwelt/gadgets/amazon-echo-und-google-home-apps-machen-smart-speaker-zu-wanzen-a-1292367.html

Informationen und Tipps für den Umgang mit digitalen Assistenten finden Sie auch hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IoT/Digitale_Assistenten/Digitale_Assistenten_node.html

4. Wenn Ihr Office verschnupft ist

Die meisten Viren gelangen per E-Mail auf Computer – oft als verseuchter Anhang in Form von Office-Dokumenten. Um den Schutz der BürgerInnen vor Angriffen solcher Viren zu verbessern, hat das BSI die besten Einstellungen für Sicherheit, Datenschutz und Funktionalität in Office herausgearbeitet. Privatpersonen können diese Einstellungen in ihrer Office-Version selbst vornehmen. In Unternehmen werden die Parameter am besten von den IT-Beauftragten über so genannte Gruppenrichtlinien eingerichtet, die für alle Beschäftigten gelten.

Über die Vorschläge des BSI berichtet unter anderem die PC WELT: https://www.pcwelt.de/ratgeber/Office-vor-Viren-schuetzen-Das-empfiehlt-das-BSI-10677218.html

Die Empfehlungen des BSI zur sicheren Konfiguration von Microsoft Office-Produkten finden Sie hier: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Empfehlungen_Microsoft_190619.html

—————————————————-
Bleiben Sie up-to-date

5. BSI warnt vor akuten Schwachstellen in Chrome, Firefox, Mware ESXi, Foxit Phantom PDF Suite und Mozilla Thunderbird

Auch in den vergangenen Tagen wurden wieder zahlreiche Sicherheitslücken in gängiger Software bekannt, die genutzt werden können, um Ihre Geräte anzugreifen. Das BSI empfiehlt die zeitnahe Installation der bereitgestellten Sicherheitsupdates. Eine Übersicht der aktuellen Warnmeldungen finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html

6. Kritische Sicherheitslücken in Mozilla Firefox

Heise berichtet über mehrere Schwachstellen im Browser Firefox: Angreifer können so „Computer direkt über das Internet attackieren und nach einer erfolgreichen Attacke die Browser abstürzen lassen oder sogar Schadcode ausführen“. Das Schadprogramm tarnt sich in diesem Fall als Video und nutzt Speicherfehler aus, um sich zu aktivieren und zu verbreiten. 13 Lücken hat Mozilla geschlossen: https://www.mozilla.org/en-US/security/advisories/mfsa2019-34/

Zum Artikel von Heise: https://www.heise.de/security/meldung/Sicherheitsupdate-Praepariertes-Video-koennte-Firefox-zum-Absturz-bringen-4567059.html

Über welche Einfallstore Schadprogramme in Rechner gelangen können, lesen Sie bei BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Infektionswege/infektionswege_node.html

7. Samsung Galaxy: Folie statt Fingerabdruck

Auf den Samsung-Smartphones Galaxy S10 und Note 10 ist es laut Heise möglich, den Fingerprintscanner mit bestimmten Display-Folien auszutricksen, sodass Unbefugte auf das Gerät zugreifen könnten. Das Problem tritt aber nur dann auf, wenn der Fingerabdruck bereits mit der aufgeklebten Folie erfasst wurde. Samsung kennt den Fehler und hat einen Patch dafür angekündigt, der in Kürze auch in Europa erhältlich sein soll.

Lesen Sie mehr dazu bei Heise: https://www.heise.de/newsticker/meldung/Fingerabdruckscanner-von-S10-Samsung-verteilt-Sicherheitsupdate-4567117.html

—————————————————-
Gut zu wissen

8. Basisschutz für Ihre Geräte: nicht perfekt, aber wirksam

Einen perfekten Schutz für Geräte und NutzerInnen kann es nicht geben, denn Hacker und Cyberkriminelle arbeiten täglich daran, aktuelle Schutzmechanismen auszuhebeln. Trotzdem sollten Sie Ihre Geräte optimal schützen – das senkt auch ohne endgültige Garantie das Risiko, Opfer von Cyber-Angriffen zu werden. Wertvolle Tipps für den wirksamen Basisschutz Ihres Computers, Tablets und Smartphones hat BSI für Bürger:

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/BasisschutzGeraet/BasisschutzGeraet_node.html

9. Vorsicht vor Heidi Klum und Emilia Clarke!

Nein, das Sicherheitsunternehmen McAffee warnt nicht vor der nächsten Staffel von „Germany‘s next Topmodel“ oder „Game of Thrones“. Einer Untersuchung von McAffee zufolge führen Internetsuchen nach diesen beiden Prominenten besonders oft zu Seiten mit Schadsoftware. Die Wahrscheinlichkeit, auf eine infizierte Seite zu stoßen, beträgt immerhin 5,2 Prozent. Rund jede 20. Suche stellt also eine potenzielle Gefährdung dar. Nicht viel besser sieht es übrigens bei Justin Bieber, Ed Sheeran und Lady Gaga aus, die auf den Plätzen zwei bis fünf folgen.

Lesen Sie den ausführlichen Artikel bei PC Welt: https://www.pcwelt.de/news/Vorsicht-Heidi-Klum-und-Emilia-Clarke-bringen-Viren-auf-PC-10688305.html

Wie Sie Ihre Geräte mit Virenschutzprogrammen schützen können, verrät Ihnen BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Schutzprogramme/Virenschutzprogramme/virenschutzprogramme_node.html

10. TOTP: Passwörter zum Wegwerfen

Ein starkes Passwort kann Geräte und Online-Accounts gut schützen. Allerdings kann sich kaum jemand eine sichere Phrase wie „jt@TS#MKg7#ZK~QD“ merken. Daher nutzen die meisten Menschen immer noch einfach zu knackende Passwörter wie „123456“ oder „passwort“ – und das für viele Konten und Geräte gleichzeitig. Unter dem Begriff „Time-based One-time Password“ (TOTP) hat die Initiative For Open Authentication (OATH) eine Technologie entwickelt, über die zeitlich begrenzt gültige, nur einmal nutzbare Passwörter zur Anmeldung an einem System generiert werden. Selbst wenn solche Passwörter in fremde Hände gelangen, sind sie unbrauchbar, denn sie verlieren bereits nach wenigen Sekunden ihre Gültigkeit. Die Wegwerf-Passwörter werden vor allem im Zusammenhang mit der Zwei-Faktor-Authentisierung genutzt.

„Was ist TOTP?“, fragt Security Insider – und beantwortet die Frage auch gleich: https://www.security-insider.de/was-ist-totp-a-875708

Tipps von BSI für Bürger für den richtigen Umgang mit Passwörtern finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html

11. BSI und Polizei geben Phishing-Checkliste für den Ernstfall heraus

Haben Sie auch schon einmal eine E-Mail von einem Prinzen erhalten, der Ihnen fünf Millionen Euro in Aussicht stellt? Es klingt zu verlockend: Sie müssen nur einen Link klicken und Ihre Kreditkartendaten eintragen. Zu schön, um wahr zu sein: Dahinter steckt natürlich keine Nächstenliebe, sondern ein Cyber-Krimineller. Beim so genannten Phishing verschicken Angreifer betrügerische Nachrichten per E-Mail, über Messenger oder soziale Netzwerke. Darin fordern sie NutzerInnen auf, vertrauliche Informationen wie Passwörter, Zugangsdaten oder Kreditkartennummern preiszugeben. Doch was können Sie tun, wenn Sie Opfer eines solchen Betrugs geworden sind? Gestern wurde die neue „Phishing: Checkliste für den Ernstfall“ veröffentlicht, die über Sofortmaßnahmen informiert, wenn Sie Zahlungsdaten oder Zugangsdaten zu Ihrem E-Mail-Konto oder anderen Accounts weitergegeben haben oder auf einen Link geklickt haben und Geldforderungen bekommen oder den Verdacht haben, dass Ihre Daten abgeschöpft wurden.

Außerdem gibt Ihnen diese Checkliste Tipps, wie Sie sich in Zukunft vor Phishing schützen können: https://www.bsi.bund.de/DE/Presse/Kurzmeldungen/Meldungen/phishing-checkliste-ernstfall-301019.html

—————————————————-
Was wichtig wird

12. „Deepfake Detection Challenge“ von Facebook und Microsoft

Künstliche Intelligenz (KI) ist eine tolle Sache, weil sie zum Beispiel bei der Früherkennung von Krebs oder beim Bekämpfen von Hunger in der Welt helfen kann. Aber in Form von sogenannten Deep Fakes kann KI auch beträchtlichen Schaden anrichten, wie wir im Artikel „Wenn der Chef plötzlich Geld braucht“ bereits beschrieben haben. Um den Missbrauch von KI für Deep Fakes zu verhindern, lädt die „Deepfake Detection Challenge“ Menschen in der ganzen Welt ein, Technologien zu entwickeln, die beim Aufspüren solcher Deep Fakes helfen. Neben Unternehmen und Institutionen wie Microsoft, Facebook, der New York Times und der University of Oxford hat sich jetzt auch Amazon dieser Herausforderung angeschlossen.

Wenn Sie bei diesem Kampf mitmachen möchten, besuchen Sie die Webseite der „Deepfake Detection Challenge“: https://deepfakedetectionchallenge.ai/

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.