SICHER • INFORMIERT vom 23.07.2020

Ausgabe: 15/2020

 

Liebe LeserInnen,

 

in den vergangenen 14 Tagen gab es jede Menge News zu Cyber-Sicherheit, dir wir hier mit Ihnen teilen. So gibt es beispielsweise einen neuen Sicherheitsstandard für vernetzte Geräte, an dem auch das BSI mitgearbeitet hat. Erst vor zwei Wochen war in unserem Newsletter zu lesen, wie unsicher viele Geräte im Smart Home immer noch sind. Mit der neuen Norm können die Hersteller Sicherheitsaspekte bereits bei der Gerätentwicklung besser berücksichtigen. Neuigkeiten gibt es auch von der Ransomware Emotet, von der lange nichts zu hören war, die nun aber leider wieder verstärkt ihr Unwesen treibt.

 

Ab heute finden Sie eine neue Rubrik „Zeitlos wichtig“ in unserem Newsletter, in der wir nicht auf Neuigkeiten eingehen, sondern auf das, was zeitlos wichtig, also immer erwähnenswert und hilfreich ist. Schauen Sie doch mal rein!

 

Viel Spaß beim Lesen wünscht Ihnen

 

Jan Lammertz / Team BSI-für-Bürger

Inhalt

 

In den Schlagzeilen—————–

1. Täuschend echt: „Bundesamt für Krisenschutz und Wirtschaftshilfe“
2. Twitter-Accounts von Prominenten gehackt 3. Commerzbank: Kundenkonten gehackt 4. Emotet ist wieder da 5. Datenpanne: Live-Aufnahmen einer Klinik online abrufbar

 

 

Bleiben Sie up-to-date—————–

6. Aktuelle Warnmeldungen des Bürger-CERT 7. Microsoft Patchday: 123 Sicherheitslücken weniger 8. Zoom-Update für ältere Windows-Versionen

 

 

Gut zu wissen—————–

9. Mehr Sicherheit im Smart Home
10. Vorbehalte gegen Signal-PIN

 

 

Zahl der Woche—————–

11. 100.000

 

 

Neue Rubrik: Zeitlos wichtig—————– 12. Das kleine Einmaleineins der IT-Sicherheit

 

 

Was wichtig wird—————–

13. European Cyber Security Month (ECSM) im Oktober

 

—————————————————-

In den Schlagzeilen

 

 

1. Täuschend echt: „Bundesamt für Krisenschutz und Wirtschaftshilfe“

 

Falls Sie kürzlich Post oder E-Mails vom „Bundesamt für Krisenschutz und Wirtschaftshilfe“ oder gar vom „Bundesministerium zur Abwehr von Kriminalität im Cyberspace“ bekommen haben: Vergessen Sie‘s, es ist alles eine Fälschung! Das BSI geht davon aus, dass es sich um mögliche Vorbereitungshandlungen für Straftaten wie Betrug oder Phishing handelt. Die Betrüger haben sogar Webseiten für die vermeintlichen Behörden entwickelt. Diese wurden in der Zwischenzeit bereits abgeschaltet, sodass von ihnen keine potenzielle Gefahr mehr ausgeht.

 

BSI für Bürger über Schutzmaßnahmen in Zeiten von Corona: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/phishing-corona.html

 

t3n über erfundene Behörden: https://t3n.de/news/betrueger-erfinden-taeuschend-1298939/

 

 

2. Twitter-Accounts von Prominenten gehackt

 

Was haben Elon Musk, Joe Biden, Barack Obama, Kanye West und Bill Gates gemeinsam? Sie alle wurden jüngst beim Kurznachrichtendienst Twitter Opfer von Hackern. Betroffen waren auch Firmen-Accounts etwa von Apple oder Uber sowie insgesamt wahrscheinlich mehrere Tausend Twitter-Profile. Die AngreiferInnen forderten NutzerInnen vorgeblich im Namen der Prominenten auf, Geld in Form von Kryptowährungen zu überweisen, um vermeintlich die doppelte Summe zurückzuerhalten. So kassierten sie offenbar Bitcoins im Wert von über 100.000 US-Dollar. Wie die AngreiferInnen die Schutzmaßnahmen der Twitter-Konten aushebeln konnten, ist noch unklar. Erste Ermittlungen deuten aber darauf hin, dass Twitter-MitarbeiterInnen mit Zugriff auf die entsprechenden Daten gehackt wurden. Auf jeden Fall, so die Süddeutsche Zeitung, werfe der Hack „ernsthafte Fragen zu den Sicherheitsvorkehrungen von Twitter auf“.

 

BSI-Tipps zum sicheren Umgang mit sozialen Netzwerken: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/SozialeNetze/Zehn_Tipps/Zehn_Tipps_node.html

 

Zur Meldung der Süddeutschen Zeitung zum Twitter-Hack: https://www.sueddeutsche.de/digital/twitter-hack-obama-gates-biden-bezos-1.4968918

 

 

3. Commerzbank: Kundenkonten gehackt

 

Ein weiterer Angriff betrifft vor allem Banken in Deutschland: Hier wurden laut dem Tagesspiegel „Tausende deutsche Kreditkarten“ gehackt, darunter „einige Hundert“ bei der Commerzbank. Die Karten wurden allesamt vorsorglich gesperrt. Dennoch seien bei den gehackten Karten bereits Umsatzanfragen aufgefallen, die auf „eine missbräuchliche Nutzung“ hindeuteten, wie die Commerzbank an ihre KundInnen schrieb.

 

Worauf beim Bezahlen im Internet zu achten ist, erfahren Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/EinkaufenImInternet/BezahlenImInternet/bezahlen.html

 

Tagesspiegel zum Commerzbank-Hack: https://www.tagesspiegel.de/politik/commerzbank-kunden-betroffen-betrueger-hacken-tausende-deutsche-kreditkarten/26017074.html

 

 

4. Emotet ist wieder da

 

Verschiedene Medien berichten, dass es seit fünf Monaten keine Angriffe mehr mit Emotet gab. Die Ransomware verschlüsselt Rechner mit dem Ziel, Lösegeldzahlungen zu erpressen. Jetzt ist Emotet wieder aktiv und die aktuelle Angriffswelle umso heftiger, wie t3n schreibt: Aktuell würden weltweit riesige Mengen an Spam verschickt. Ist der Angriff erfolgreich, lädt Emotet nach einiger Zeit weitere Schadsoftware (wie z.B. Trickbot) nach, welche etwa Passwörter, Cookies oder SSH-Keys entwendet. Außerdem kann sich die Malware selbstständig weiter in Netzwerken verbreiten.

 

Informationen des BSI zu Emotet: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html

 

t3n über die neue Angriffswelle: https://t3n.de/news/emotet-trojaner-wuetet-weiter-1301310/

 

 

5. Datenpanne: Live-Aufnahmen einer Klinik online abrufbar

 

Die Kameras der Klinik am Isar Park im niederbayerischen Plattling waren kürzlich frei im Netz einsehbar. Sie waren per DynDNS-Dienst und Portfreigabe direkt aus dem Internet zu erreichen, berichtet Heise Online. Die Adressen und Login-Daten der Kameras waren ungeschützt auf dem Webserver eines mittelständischen Elektroinstallationsbetriebs gespeichert. Inzwischen wurde die Übersichtsseite aber abgeschaltet, und die Kameras haben neue Zugangsdaten bekommen.

 

BSI für Bürger informiert über die Sicherheitseinstellungen bei Überwachungskameras: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/ueberwachungskameras-ziel-von-hackern.html

 

Heise Online zur Datenpanne in Bayern: https://www.heise.de/news/Ungeschuetzte-Linksammlung-leakt-Ueberwachungsaufnahmen-4842862.html

 

 

—————————————————-

Bleiben Sie up-to-date

 

 

6. Aktuelle Warnmeldungen des Bürger-CERT

 

Das „Computer Emergency Response Team“ des BSI („Bürger-CERT“) informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es Meldungen unter anderem zu Browsern wie dem Mozilla Firefox (< 78.0.2), Apple Safari (< 13.1.2) sowie zum Microsoft Edge Chromium-based und zu den Apple-Betriebssystemen macOS (< 10.15.6) und iPadOS (< 13.6).

 

Ausführliche Informationen, Tipps zum Umgang mit diesen gefährlichen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html

 

 

7. Microsoft Patchday: 123 Sicherheitslücken weniger

 

Gleich 123 Sicherheitslücken unter anderem in Windows 10, Windows Server sowie SharePoint und Skype for Business hat Microsoft am Juli-Patchday geschlossen, darunter 18 kritische Lücken. Die Sicherheitsupdates werden normalerweise automatisch in die Windows-Rechner eingespielt.

 

BSI-Bericht über die Sicherheitseigenschaften von Windows 10: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/Studie_Win_10_20112018.html

 

Zur Meldung von Security-Insider zum Microsoft Patchday: https://www.security-insider.de/microsoft-schliesst-123-sicherheitsluecken-a-948957

 

 

8. Zoom-Update für ältere Windows-Versionen

 

Für die Videokonferenz-Software Zoom ist ein Update auf Version 5.1.3 verfügbar, das eine Lücke in älteren Versionen bis einschließlich Windows 7 schließt. Aktuelle Windows-10-Installationen sind davon nicht betroffen. AngreiferInnen könnten die Lücke ausnutzen, um beliebigen, auch schädlichen Programmcode auszuführen. Das Update gibt es im Zoom Download-Center: https://zoom.us/support/download.

 

Im April hat das BSI ein umfassendes Kompendium für Videokonferenzsysteme veröffentlicht: https://www.bsi-fuer-buerger.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Kompendium-Videokonferenzsysteme.html

 

Heise Online über die Zoom-Lücke: https://www.heise.de/security/meldung/Video-Konferenzsoftware-Zoom-Sicherheits-Fix-fuer-aeltere-Windows-Versionen-4843304.html

 

 

—————————————————-

Gut zu wissen

 

 

9. Mehr Sicherheit im Smart Home

 

Ein neuer, weltweit nutzbarer Standard soll vernetzte Geräte als Teil des täglich wachsenden Internets der Dinge (IoT) sicherer machen. Die Norm „EN 303 645“, an der auch das BSI mitgearbeitet hat, dient als Empfehlung für die sichere Entwicklung von IoT-Geräten („Security by Design“). Unzureichend geschützte Geräte im Smart Home sind ein Risiko für die Informationssicherheit und Privatsphäre der NutzerInnen und daher ein beliebtes Ziel von AngreiferInnen. Kompromittierte Geräte können missbraucht werden, um an persönliche Daten zu gelangen oder um großflächige Cyber-Angriffe durchzuführen.

 

Weitere Informationen des BSI dazu: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/SmartHome_130720.html;jsessionid=8E97AF43A2DB9EC676267C04498361AF.2_cid500

 

 

10. Vorbehalte gegen Signal-PIN

 

Der Open-Source-Messenger Signal wird von vielen SicherheitsexpertInnen empfohlen, wenn es um den sicheren Austausch von Nachrichten geht. Der Messenger setzt auf Ende-zu-Ende-Verschlüsselung, einen sparsamen Umgang mit persönlichen Daten und einen starken Fokus auf die Wahrung der Privatsphäre. Jetzt gerät der Messenger aber wegen der im Mai eingeführten PIN-Funktion in die Kritik, weil sie dem sicherheitsorientierten Konzept des Messengers zuwiderlaufe, wie SicherheitsexpertInnen kritisieren. Über die PIN-Funktion könnten Daten nun – möglicherweise unzureichend abgesichert – auf den Signal-Servern gespeichert werden, berichtet Heise Online. Zudem sei die PIN-Funktion nicht deaktivierbar. Die Diskussionen darüber halten an; zu einer vollständigen Abschaltung der PIN-Funktion wird es wohl nicht kommen. Die EntwicklerInnen haben aber eine Deaktivierungsmöglichkeit für das PIN-Feature angekündigt.

 

Heise Online über die umstrittene PIN-Funktion bei Signal: https://www.heise.de/news/Messenger-Signal-Experten-aeussern-Sicherheitsbedenken-gegen-PIN-Funktion-4842145.html

 

 

—————————————————-

Zahl der Woche

 

 

11. 100.000

 

Die Süddeutschen Zeitung hat eine Übersicht über die spektakulärsten Hackerangriffe der vergangenen Jahre veröffentlicht – „vom Milliarden-Hack in Bangladesch über den US-Wahlkampf bis zu Merkels Mails“. Darin berichtet das Blatt unter anderem von der nordkoreanischen Ransomware Wannacry, die 2017 mehr als 100.000 Computer in 150 Ländern befiel. Die Erpresser-Software verschlüsselte die Rechner, die Cyber-Kriminellen forderten anschließend Lösegeld. „In Krankenhäusern standen Computer und Kernspintomographen still, Herzoperationen mussten abgesagt werden. Autofabriken konnten nicht mehr produzieren“, so die Süddeutsche Zeitung zu den Folgen des Angriffs.

 

Mehr spektakuläre Hacks aus der Vergangenheit können Sie hier lesen: https://www.sueddeutsche.de/digital/it-sicherheit-das-waren-die-spektakulaersten-hackerangriffe-1.4960052

 

 

—————————————————-

Neue Rubrik: Zeitlos wichtig

 

 

12. Das kleine Einmaleineins der IT-Sicherheit

 

In unserer neuen Rubrik geben wir Ihnen künftig Tipps und Ratschläge, die immer gültig und nützlich, also „zeitlos wichtig“ sind. Wir starten mit unserem kleinen Einmaleins der IT-Sicherheit: sichere Passwörter, Zwei-Faktor-Authentisierung und regelmäßige Updates. Es hilft Ihnen, Ihre Online- und E-Mail-Konten, Ihre mobilen Geräte und Computer und Social-Media-Accounts zu sichern.

 

Empfehlungen für sichere Passwörter: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html

 

Ein zweiter Faktor sorgt für mehr Sicherheit bei der Anmeldung: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/Zwei_Faktor_Authentisierung/Zwei-Faktor-Authentisierung_node.html

 

Warum Updates Sie schützen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/updates-warum-sind-sie-wichtig.html

 

 

—————————————————-

Was wichtig wird

 

 

13. European Cyber Security Month (ECSM) im Oktober

 

Das BSI ruft Organisationen aus Politik, Wirtschaft und Gesellschaft zur Teilnahme am European Cyber Security Month (ECSM) im Oktober 2020 auf. Am ECSM können sich Organisationen beteiligen, die das Thema Cyber-Sicherheit in eigenen, insbesondere auch digitalen Formaten einem breiten Publikum vermitteln möchten. Auch das BSI gestaltet den ECSM aktiv mit, unter anderem mit einer virtuellen Auftaktveranstaltung für Multiplikatoren sowie interessierte BürgerInnen.

 

BSI-Informationen zum ECSM: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/ECSM_100720.html

 

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn