Print Friendly, PDF & Email

SICHER • INFORMIERT vom 15.10.2020

Ausgabe: 21/2020

 

Liebe LeserInnen,

 

„Passwords are a thing of the past“ – Passwörter sollten der Vergangenheit angehören – lautet die Überschrift eines YouTube-Videos aus Belgien. Es fordert dazu auf, die Zwei-Faktor-Authentisierung zu nutzen, um Online-Konten besser zu schützen. Das unterhaltsame Filmchen wurde vor ein paar Tagen zum besten Kampagnen-Video des European Cyber Security Month (ECSM) gewählt. Der ECSM läuft noch den ganzen Oktober, nutzen Sie die vielfältigen Angebote! Und auch diese Ausgabe hält eine bunte Mischung aus wichtigen Meldungen und hilfreichen Hinweisen bereit. Wir berichten unter anderem über die kürzlich veröffentlichte Cyberfibel, eine neue Android-App zum Datencheck und weitere BSI-Inhalte rund um das Thema Deep Fakes.

 

Viel Spaß beim Lesen wünscht Ihnen

 

Jan Lammertz / Team BSI-für-Bürger

Inhalt

 

In den Schlagzeilen—————–

  1. Keinen Zoll den BetrügerInnen
  2. Kontenübernahme statt Date: Schwere Sicherheitslücke bei Grindr 3. 88 Monate Haft für 117 Millionen Logins

 

 

Bleiben Sie up-to-date—————–

  1. Aktuelle Warnmeldungen des Bürger-CERT 5. HP Device Manager anfällig für Wörterbuch-Attacken 6. Sicherheitslücken auch bei Microsoft Exchange Servern

 

 

Gut zu wissen—————–

  1. Das ABC der IT-Sicherheit: DsiN und BSI veröffentlichen Cyberfibel 8. Info-App zum Datencheck 9. Cyberkriminelle werden immer professioneller

 

 

Kurz erklärt—————–

  1. Was sind eigentlich Deep Fakes?
  2. Vernetztes Fahren: Die Zukunft des Automobils

 

 

Zahl der Woche—————–

  1. 312.000 neue Malware-Varianten pro Tag

 

 

Zeitlos wichtig—————–

  1. Die Top Ten der Phishing-Fallen

 

 

Was wichtig wird—————–

  1. Neuer Lagebericht des BSI

 

—————————————————-

In den Schlagzeilen

 

 

  1. Keinen Zoll den BetrügerInnen

 

Der Zoll und der Paketversender DHL warnen vor betrügerischen E-Mails, berichtet Heise Online. Demnach versuchen BetrügerInnen derzeit, vermeintliche EmpfängerInnen von Paketen zu verleiten, Zollgebühren dafür zu bezahlen. Die E-Mails kommen von Absendern wie „“ oder „“ und mit dem Betreff „Benachrichtigungen: Zoll-Kundendienst“. Der Zoll stellt klar: Solche Zahlungsaufforderungen werde es von ihm niemals ohne vorherige Anhörung der Betroffenen geben. Gemeinsam mit DHL rät er, die Links in solchen E-Mails auf keinen Fall anzuklicken.

 

Hilfreich für den Ernstfall ist die Checkliste zu Phishing von BSI für Bürger und ProPK: https://www.bsi-fuer-buerger.de/SharedDocs/Downloads/DE/BSIFB/BSI-ProPK-Checkliste-Phishing.pdf?__blob=publicationFile&v=2

 

Heise Online über die Betrugsversuche mit dem Zoll: https://www.heise.de/news/Benachrichtigungen-Zoll-Kundendienst-Betrugsmasche-greift-um-sich-4925117.html

 

 

  1. Kontenübernahme statt Date: Schwere Sicherheitslücke bei Grindr

 

Das Online-Portal Golem warnt vor einer Sicherheitslücke in der Smartphone-App von Grindr, einer Dating-Plattform für die LGBTQ+-Community. Über die Funktion zum Zurücksetzen des Passworts könnten AngreiferInnen Nutzerkonten komplett übernehmen. Wird über die Website des Portals das Zurücksetzen des Passworts ausgelöst, könnte mit entsprechenden Tools die Information für den Reset-Link ausgelesen werden. Wer die E-Mail-Adresse eines/r Nutzers/in kenne, könne so Kontrolle über den Account erlangen. Grindr reagierte dem Bericht zufolge erst nicht auf den Hinweis des französischen Sicherheitsforschers, der auf das Problem hingewiesen hatte. Inzwischen ist die Lücke aber geschlossen.

 

BSI-Empfehlungen zum sicheren Umgang mit Passwörtern: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang.html

 

Golem zur Lücke bei Grindr: https://www.golem.de/news/sicherheitsluecke-grindr-accounts-hacken-leicht-gemacht-2010-151280.html

 

 

  1. 88 Monate Haft für 117 Millionen Logins

 

2012 erbeutete ein russischer Hacker 117 Millionen Login-Daten, unter anderem für die Plattformen LinkedIn und Dropbox, wie die Süddeutsche Zeitung berichtet. Ein Klacks gegen moderne Datendiebstähle: Heute geht die Zahl erbeuteter Anmeldedaten bei größeren Datenlecks oder Hacks manchmal sogar in die Milliarden. Aber auch wenn sein Vergehen aus heutiger Sicht eher einer Kleinigkeit gleicht, verurteilte ein Bezirksgericht in San Francisco den russischen Hacker nun zu sieben Jahren und vier Monaten Gefängnisstrafe. Das vergleichsweise harte Urteil solle auch eine Botschaft der Abschreckung an internationale Cyberkriminelle sein, erklärte der Richter.

 

Übersicht von BSI für Bürger über Hacker und Hacking: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Hacker/hacker_node.html

 

Zur Meldung der Süddeutschen Zeitung zum Hackerurteil: https://www.sueddeutsche.de/digital/russland-hacker-usa-urteil-1.5052250

 

 

—————————————————-

Bleiben Sie up-to-date

 

 

  1. Aktuelle Warnmeldungen des Bürger-CERT

 

Das „Computer Emergency Response Team“ des BSI informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es Meldungen unter anderem zu Nvidia; Bitdefender Antivirus (< engine 7.85448, < 7.84897), Bitdefender Internet Security (< engine 7.85448, < 7.84897), und Bitdefender Total Security (< engine 7.85448, < 7.84897); Trend Micro AntiVirus (2019 mac, 2020 mac); Google Android (8.0, 8.1, 9, 10, 11); Google Chrome (< 86.0.4240.75); sowie Open Source phpMyAdmin (< 4.9.6, < 5.0.3).

Ausführliche Informationen, Tipps zum Umgang mit diesen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html

 

 

  1. HP Device Manager anfällig für Wörterbuch-Attacken

 

Der HP Device Manager, über den IT-AdministratorInnen mobile Geräte verwalten, ist anfällig für sogenannte Wörterbuch-Attacken. Dabei nutzen Cyberkriminelle sinntragende Buchstabenkombinationen, also Wörter, um Passwörter zu knacken. HP selbst bewertet die Gefahr dieser Lücke als „hoch“. Weil zudem noch zwei weitere Sicherheitslücken mit dem Bedrohungsgrad „hoch“ und „kritisch“ entdeckt wurden, rät HP dringend zum Update.

 

Heise Online zu den Sicherheitslücken bei HP: https://www.heise.de/news/Sicherheitsupdates-HP-Device-Manager-anfaellig-fuer-Woerterbuch-Attacken-4917165.html

 

 

  1. Sicherheitslücken auch bei Microsoft Exchange Servern

 

Das BSI erinnert an die schweren Sicherheitslücken in dem Groupware- und E-Mail-Server Exchange von Microsoft. Denn: Seit mehreren Monaten bereits stehen Sicherheitsupdates bereit, mit denen sich die kritischen Lücken beheben lassen. Trotzdem sind noch immer viele Exchange-Server öffentlich erreichbar und zudem mehrere Tausend Exchange-Server anfällig für eine der Schwachstellen. Das BSI rät nach wie vor dringend dazu, die Sicherheitslücken mithilfe der bereitgestellten Updates zu schließen.

 

Weitere Details erfahren Sie in der Meldung des BSI: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/CSW-MS-Exchange-Server_061020.html (07.10.)

 

 

—————————————————-

Gut zu wissen

 

 

  1. Das ABC der IT-Sicherheit: DsiN und BSI veröffentlichen Cyberfibel

 

Was müssen VerbraucherInnen wissen, um sich selbstbestimmt und sicher durch die digitale Welt bewegen zu können? Diese Frage beantwortet die neue Cyberfibel, die das BSI und der Verein Deutschland sicher im Netz (DsiN) kürzlich veröffentlichten. Das leicht verständliche Nachschlagewerk richtet sich vor allem an WissensvermittlerInnen, die in der Verbraucherberatung oder -aufklärung tätig sind. Auf über 200 Seiten geht es auf aktuelle Fragestellungen im digitalen Alltag ein – mit Erklärungen, Hintergründen, Übungen, Handlungsempfehlungen und weiterführenden Links. Es bildet so eine umfassende Grundlage, um Basiswissen und Digitalkompetenzen rund um digitale Technologien und Angebote an Menschen jeden Alters zu vermitteln.

 

Zur Cyberfibel: https://www.cyberfibel.de/

 

 

  1. Info-App zum Datencheck

 

Das Projekt „Daten-Check für Smartphone-Apps“ bewertet Android-Apps danach, wie sie mit den Daten ihrer NutzerInnen umgehen und an wen sie diese Daten schicken. Insgesamt liefert die Datenbank Testergebnisse für rund 30.000 Android-Apps. Der Daten-Check ist ein gemeinnütziges Kooperationsprojekt zweier Berliner Vereine. Finanziert wird es vom Bundesministerium der Justiz und für Verbraucherschutz.

 

Den App-Check können Sie hier durchführen: https://appcheck.mobilsicher.de/

 

 

  1. Cyberkriminelle werden immer professioneller

 

Microsoft stellt eine zunehmende Professionalisierung von Cyberkriminellen fest. In seinem Digital Defense Report 2020 warnt der Software-Konzern speziell vor Phishing-Attacken, bei denen die Angst vor COVID-19 ausgenutzt werde. Darüber war auch an dieser Stelle bereits häufiger zu lesen. Ebenfalls im Fokus des Berichts: Ransomware und Angriffe auf das Internet der Dinge (Internet of Things, IoT). Zudem hätten auch 16 staatliche Akteure aufgrund von COVID-19 ihre Angriffsziele angepasst. Sie hätten es in den vergangenen Monaten auf Microsoft-Kunden abgesehen, die sich gegen COVID-19 stark machen, also beispielsweise Impfstoffe gegen das Virus erforschen.

 

t3n über den Microsoft-Bericht: https://t3n.de/news/microsoft-cyberkriminelle-1325682/

 

 

—————————————————-

Kurz erklärt

 

 

  1. Was sind eigentlich Deep Fakes?

 

Noch den ganzen Oktober finden in Europa Veranstaltungen zum European Cyber Security Month (ECSM) statt. Dabei widmet sich das BSI unter anderem der Frage, was genau Deep Fakes sind, die immer häufiger zur Verbreitung von Falschnachrichten und Betrugsmaschen genutzt werden. Es handelt sich dabei um Videos oder Audioaufnahmen, die mit Hilfe künstlicher Intelligenz verfälscht oder komplett neu erschaffen werden. Die technischen Möglichkeiten sind mittlerweile so gut, dass solche Fälschungen nicht oder nur noch sehr schwer zu erkennen sind. Die erste Folge des neuen BSI-Podcasts „Update verfügbar“, drei Experten-Livestreams und ein neues Erklärvideo widmen sich diesem Thema.

 

BSI für Bürger hat alle Informationen, Veranstaltungshinweise und Links zu Deep Fakes für Sie zusammengefasst: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/ecsm-wahrheit-und-relevanz-im-netz.html

 

 

  1. Vernetztes Fahren: Die Zukunft des Automobils

 

„Fahrende Hochleistungsrechner“ – so nennt BSI-Präsident Arne Schönbohm moderne Autos und fordert, Sicherheitskonzepte auf die digitale Ausstattung von Fahrzeugen auszuweiten. Dafür ist das BSI eine Partnerschaft mit dem Kraftfahrt-Bundesamt (KBA) eingegangen. Autos sind zunehmend untereinander und permanent mit dem Internet vernetzt, um Daten über den laufenden Verkehr und etwaige Verkehrsbehinderungen auszutauschen. Der reibungslose und sichere Datenaustausch ist eine der wichtigsten Voraussetzungen für das autonome Fahren der Zukunft.

 

BSI für Bürger zu den Chancen und Risiken des vernetzten Fahrens: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/vernetztes_Fahren/vernetztes_Fahren_node.html

 

Zur aktuellen Meldung des BSI: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/KBA-BSI_autonomes-Fahren_121020.html

 

 

—————————————————-

Zahl der Woche

 

 

  1. 312.000 neue Malware-Varianten pro Tag

 

Das Bundeskriminalamt (BKA) hat sein Bundeslagebild Cybercrime 2019 veröffentlicht. Der sehr faktenreiche Report weist unter anderem eine riesige Menge sogenannter Malware-Familien aus, also Schadprogramme mit ähnlichen Merkmalen und Funktionen. Insgesamt, so das BKA, habe man bereits mehr als eine Milliarde Malware-Familien festgestellt. Pro Tag würden überdies rund 312.000 neue Varianten entdeckt. Aber selbst diese Zahlen, schreibt die Behörde, stellten nur einen Teil der insgesamt identifizierten Malware-Varianten dar. „Die genaue Zahl fällt aufgrund des erheblichen Dunkelfelds im Phänomenbereich Cybercrime weitaus höher aus.“

 

Mehr Zahlen und Fakten finden Sie im Bundeslagebild Cybercrime 2019: https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2019.html

 

 

—————————————————-

Zeitlos wichtig

 

 

  1. Die Top Ten der Phishing-Fallen

 

Phishing per E-Mail ist ein Dauerbrenner in der Cyberkriminalität. Security-Insider hat daher eine Top Ten der erfolgreichsten Phishing-Fallen erstellt. Die Liste reicht von E-Mails aus der IT oder Personalabteilung bis hin zu Hinweisen auf ein Paket am Empfang oder das brennende Licht am Auto. Als Faustregel gilt: Je vertrauter die AbsenderInnen und je alltagstauglicher die Anfragen klingen, desto größer ist die Gefahr, versehentlich auf einen Phishing-Link zu klicken. Das aber kann – als erfahrene/r LeserIn unseres Newsletters wissen Sie das – fatale Folgen haben.

 

Zur Meldung von Security-Insider über die Top Ten der Phishing-Fallen: https://www.security-insider.de/autolicht-an-co-die-top-ten-der-erfolgreichsten-phishing-fallen-a-966894

 

 

—————————————————-

Was wichtig wird

 

 

  1. Neuer Lagebericht des BSI

 

Gerne vormerken: Am 20. Oktober veröffentlicht das BSI seinen neuen Lagebericht zur IT-Sicherheit in Deutschland 2020. Mit dem Bericht gibt das BSI als die Cyber-Sicherheitsbehörde des Bundes einen umfassenden und fundierten Überblick über die Entwicklung der Bedrohungslage im Cyber-Raum. Zudem werden Gegenmaßnahmen des BSI und die gemeinsam mit Partnern gefundenen Lösungsansätze für die Akteure in Staat, Wirtschaft und Gesellschaft dargestellt.

 

Die bisherigen Lageberichte finden Sie hier: https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html

 

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Schreibe eine Antwort

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

Erforderlich

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.