SICHER • INFORMIERT vom 20.08.2020
Ausgabe: 17/2020
Liebe LeserInnen,
die Sommerferien neigen sich nun in den meisten Bundesländern dem Ende zu, wenn sie nicht schon vorbei sind. Der gemütliche Ferientrott weicht vielerorts den alltäglichen Routinen – soweit das in Zeiten der Pandemie möglich ist. Eine dieser Routinen haben Sie jedoch hoffentlich in Ihrem Urlaub
beibehalten: die regelmäßige Installation von Sicherheitsupdates! Immerhin machen viele Anbieter es ihren NutzerInnen zunehmend leichter, regemäßig daran zu denken – dank des sogenannten Patchdays.
Was es mit dem Begriff „Patch“ und den Patchdays auf sich hat, erfahren Sie in unserer Rubrik „Kurz erklärt“.
Mit den Schulferien endet in vielen Unternehmen auch die Haupturlaubszeit und viele von uns kehren – trotz Hitzewelle – an ihren Arbeitsplatz zurück. Falls Sie sich als LeserIn fragen, wie ein Arbeitstag im BSI aussieht, empfehle ich Ihnen einen Blick in unsere Rubrik „Gut zu wissen“. Und natürlich hält auch diese Ausgabe wieder viele nützliche Tipps und aktuelle Sicherheitshinweise für Sie bereit!
Viel Spaß beim Lesen wünscht Ihnen
Jan Lammertz / Team BSI-für-Bürger
Inhalt
In den Schlagzeilen—————–
- Cyber-Angriff auf Studienstiftung
- Küchenhelfer mit Sicherheitslücke
- Lauschgefahr bei LTE-Anrufen
- Fahrdienst des Bundestages gehackt
- Gravierende Sicherheitslücke beim digitalen Assistenten Alexa
Bleiben Sie up-to-date—————–
- Aktuelle Warnmeldungen des Bürger-CERT 7. Microsoft und Adobe schließen teilweise kritische Sicherheitslücken 8. Warnung vor Linux-Malware
Gut zu wissen—————–
- Leak-Datenbank „Have I Been Pwnd“ soll zum Open-Source-Dienst werden 10. Blick hinter die Kulissen: Ein Tag im BSI
Kurz erklärt—————–
- Was ist eigentlich ein Patch?
Zeitlos wichtig—————–
- Tipps für Eltern – Sicher digital lernen
—————————————————-
In den Schlagzeilen
- Cyber-Angriff auf Studienstiftung
Die Rechner der Studienstiftung des deutschen Volkes sind offenbar von einer Schadsoftware befallen worden. Der Spiegel berichtet, dass es sich wohl um den Trojaner Emotet handelt, der in der Vergangenheit bereits bei zahlreichen Unternehmen und Organisationen zu enormen Schäden geführt hat. Die Ursache und das Ausmaß des Angriffs auf die Stiftung werden zurzeit untersucht. Laut Spiegel sind in Folge des Angriffs gefälschte E-Mails mit der Stiftung als Absender im Umlauf. Dies ist für Emotet typisch da die Schadsoftware nicht nur das Adressbuch, sondern sogar Email-Inhalte und neuerdings Anhänge aus den Outlook-Postfächern der Opfersysteme ausliest. Diese werden von den Cyber-Kriminellen anschließend verwendet, um potenziellen Opfern möglichst authentisch wirkende Spam-Mails zu schicken und einen ihnen bekannten Kommunikationspartner im Absender und der Signatur der E-Mail vorzutäuschen.
BSI für Bürger informiert über Emotet, und wie sie sich vor dem Trojaner schützen können: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html
Der Spiegel zum Angriff auf die Studienstiftung: https://www.spiegel.de/netzwelt/web/emotet-studienstiftung-des-deutschen-volkes-offenbar-von-trojaner-befallen-a-c6beb5f8-c4c9-4b85-b766-b2bfaefdd5c5
- Küchenhelfer mit Sicherheitslücke
ForscherInnen der Fachhochschule Oberösterreich ist es gelungen, eine Küchenmaschine mit WLAN-Funktion zu hacken, die bei Aldi unter den Eigenmarken Quigg oder Ambiano vertrieben wird. Das Gerät lässt sich per Smartphone mithilfe einer App fernsteuern, doch offenbar können auch Fremde diese Verbindung übernehmen und ausnutzen, berichtet Golem. Das funktioniere allerdings nur in der Reichweite des WLANs, und nur, wenn dieses aktiviert sei. Wird die Verbindung übernommen, könne aus der Ferne beispielsweise die Maschine erhitzt oder die Drehrichtung bei voller Drehzahl alle 1,5 Sekunden gewechselt werden. Das kann zu einer Beschädigung des Gerätes führen; durch Überhitzung könnten auch Schwelbrände ausgelöst werden. Bisher wurde die Sicherheitslücke nicht geschlossen (Stand: 07.08.). Es wird empfohlen, die WLAN-Funktion nicht zu aktivieren und auf die Fernsteuerung zu verzichten.
BSI-Informationen über das Internet der Dinge (IoT): https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IoT/IoT_node.html
Golem über die Sicherheitslücke des Küchengeräts: https://www.golem.de/news/thermomix-klon-kuechenmaschine-von-hofer-und-aldi-mit-sicherheitsluecke-2008-150134.html
- Lauschgefahr bei LTE-Anrufen
Wie Gespräche über den Mobilfunkstandard LTE abgehört werden können, haben ForscherInnen der Ruhr-Universität Bochum herausgefunden. Der Mobilfunkstandard galt bislang als sicher, weil die Gespräche verschlüsselt werden. Das Problem sei eine Fehlkonfiguration der LTE-Basisstationen. Die ForscherInnen wandten sich an die weltweite Industrievereinigung der GSM-Mobilfunkanbieter, die die Mobilfunkprovider um eine Umkonfiguration der Basisstationen bat. Mit Erfolge – anschließend wurde der Angriff von den ForscherInnen in mehreren Funkzellen verteilt über ganz Deutschlang erneut stichprobenartig getestet. Dabei wurden keine Probleme mehr festgestellt. Es sei aber möglich, dass nicht alle Basisstationen auf der Welt aktualisiert wurden, zitiert Golem ein Mitglied der Forschungsgruppe.
Golem über die Sicherheitslücke des Mobilfunkstandards LTE: https://www.golem.de/news/mobilfunk-lte-anrufe-liessen-sich-trotz-verschluesselung-abhoeren-2008-150221.html
- Fahrdienst des Bundestages gehackt
Cyberkriminelle haben einen Angriff auf die Servicegesellschaft für den Fahrdienst des Bundestages sowie den Fuhrpark der Bundeswehr verübt. Die Servicegesellschaft verfügt aufgrund der Fahrtanmeldungen über sensible Daten, wie beispielsweise Privatadressen von Abgeordneten. Der Sicherheitsvorfall sei dem Verteidigungsministerium am 13. August gemeldet worden und werde seither untersucht. Alle Netzverbindungen nach außen und in Richtung der Kunden – Verteidigungsministerium, Bundeswehr, Bundestag – seien unmittelbar gekappt worden, zitiert das Handelsblatt das Ministerium. Ein Schaden sei bisher nicht festgestellt worden (Stand: 16.08.). Auch bei diesem Angriff kam allem Anschein nach die Schadsoftware Emotet zum Einsatz.
Das Handelsblatt über die Cyberattacke: https://www.handelsblatt.com/technik/it-internet/it-hackerangriff-auf-bundeswehr-fuhrpark-und-bundestagsfahrdienst/26098924.html
- Gravierende Sicherheitslücke beim digitalen Assistenten Alexa
SicherheitsforscherInnen entdeckten Schwachstellen in der Online-Infrastruktur für Amazons Sprachassistenten Alexa, die ermöglichten, auf Alexa-Benutzerkonten Programme zu entfernen oder neu zu installieren. Möglich seien auch der Zugriff auf die Historie von Sprachaufzeichnungen und der Diebstahl persönlicher Informationen gewesen, so Computerbild. Amazon habe diese Sicherheitslücke umgehend behoben, nachdem das Unternehmen benachrichtigt wurde. Es seien keine Fälle bekannt, in denen die Schwachstellen ausgenutzt wurden, zitiert Computerbild einen Unternehmenssprecher.
Mehr über die Funktionsweise und die Sicherheitseinstellungen von digitalen Assistenten erfahren Sie bei BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IoT/Digitale_Assistenten/Digitale_Assistenten.html
Computerbild über die gefährliche Sicherheitslücke in Alexa: https://www.computerbild.de/artikel/cb-News-Smart-Home-Amazon-Sicherheitsluecken-Alexa-Echo-Lautsprecher-27005107.html
—————————————————-
Bleiben Sie up-to-date
- Aktuelle Warnmeldungen des Bürger-CERT
Das „Computer Emergency Response Team“ des BSI („Bürger-CERT“) informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es Meldungen unter anderem zu Google Chrome (< 84.0.4147.125); Adobe Acrobat (< 2015.006.30527, < 2017.011.30175 und < 2020.001.30005); Adobe Acrobat Reader (< 2015.006.30527, < 2017.011.30175 und < 2020.001.30005); Adobe Acrobat Reader DC (< 2020.012.20041); und Zoom Video Communications Zoom (< 5.0.4).
Informationen und Tipps zum Umgang mit diesen gefährlichen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html
- Microsoft und Adobe schließen teilweise kritische Sicherheitslücken
Microsoft hat jüngst insgesamt 120 Sicherheitslücken in seinen Diensten geschlossen. Von den 17 kritischen Schwachstellen wurden zwei bereits für Angriffe ausgenutzt.
Auch Adobe hat mit aktuellen Software-Updates Schwachstellen in den Programmen Acrobat und Acrobat Reader sowie beim Foto-Editor Lightroom behoben. Elf der 26 Sicherheitslücken werden vom Hersteller als kritisch bewertet. NutzerInnen wird empfohlen, die Sicherheitsupdates umgehend zu installieren.
Heise Online über die Microsoft-Sicherheitsupdates: https://www.heise.de/news/Patchday-Microsoft-schliesst-aktiv-ausgenutzte-Windows-und-Browser-Luecken-4868224.html
Heise Online über die Updates von Adobe: https://www.heise.de/news/Patchday-Adobe-Wichtige-Updates-fuer-Acrobat-Reader-und-Lightroom-4868254.html
- Warnung vor Linux-Malware
US-amerikanische Sicherheitsbehörden berichten von einer bisher unentdeckten Linux-Malware, die derzeit vom russischen Militärgeheimdienst GRU eingesetzt werde, schreibt Heise Online. Die Malware mit dem Namen „Drovorub“ sei ein Tool, das nach einem erfolgreichen Eindringen in ein Computersystem unter anderem sensible Daten extrahieren oder weitere Schadcodes nachladen kann. Die Erkennung der im Kontext gezielter Angriffe verwendete Malware erfordert umfangreiches Know-How und sei für Admins herausfordernd.
Heise Online über die Linux-Malware „Drovorub“: https://www.heise.de/news/FBI-und-NSA-warnen-vor-Linux-Malware-Drovorub-russischer-Staatshacker-4871143.html
—————————————————-
Gut zu wissen
- Leak-Datenbank „Have I Been Pwnd“ soll zum Open-Source-Dienst werden
Bereits seit 2013 können NutzerInnen auf der Internetseite „Have I Been Pwnd“ mit der Eingabe ihrer E-Mail-Adresse überprüfen, ob ihre Daten in einem der zahlreichen Datendiebstähle in den vergangenen Jahren kompromittiert wurde. Nun soll der Dienst, laut Heise Online, als Open-Source-Projekt weitergeführt werden, nachdem ein Verkauf durch den früheren Microsoft-Mitarbeiter und Gründer von „Have I Been Pwnd“, Troy Hunt, im März 2020 scheiterte. Hunt wolle so die Verantwortung für die Website auf mehrere Schultern verteilen und hoffe, mehr Vertrauen in den Service zu schaffen. Bisher müssen NutzerInnen vertrauen, dass die Seite die eingegebenen Mailadressen nicht speichert. Sobald der Code öffentlich einsehbar sei, könne jeder sehen, wie die Seite arbeite.
Heise Online über die Veränderung von „Have I Been Pwnd“: https://www.heise.de/news/Have-I-Been-Pwned-Software-Basis-der-Passwort-Leak-Website-wird-Open-Source-4866019.html
Mehr zum sicheren Umgang mit Passörtern und wie Sie den möglichen Schaden durch den Datendiebstahl bei einem Onlinedienst klein halten können erfahren Sie unter: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang_node.html
- Blick hinter die Kulissen: Ein Tag im BSI
Kennen Sie schon unsere Artikelserie „Ein Tag im BSI“? Zehn KollegInnen schildern darin ihre Tagesabläufe und berichten von ihren spannenden Aufgaben und Herausforderungen. Die Artikel zeigen, wie unterschiedlich die Arbeitstage und Bereiche aussehen: Während etwa BSI-Mitarbeiter Andreas Kirchgässer IT-Sicherheitsprodukte evaluiert und Herstellernachweise einholt, bewertet Ayse Schirwon-Yenigün Cyber-Sicherheitsvorfälle, leitet Maßnahmen ein und dokumentiert die Vorfälle im nationalen IT-Lagezentrum.
Mehr über die Tagesabläufe unserer zehn KollegInnen erfahren Sie hier: https://www.bsi.bund.de/DE/DasBSI/Jobs/EinTagimBSI/EinTagimBSI_node.html
—————————————————-
Kurz erklärt
- Was ist eigentlich ein Patch?
Das englische Wort „Patch“, zu Deutsch „Flicken“, meint ein Softwarepaket, mit dem Softwarehersteller Sicherheitslücken in ihren Programmen schließen oder andere Verbesserungen integrieren. Viele Programme erleichtern die Einspielung dieser Updates durch automatische Update-Funktionen. Patch-Management meint dabei Prozesse und Verfahren, die helfen, verfügbare Patches für die IT-Umgebung möglichst rasch erhalten, verwalten und einspielen zu können. Immer mehr Unternehmen liefern Sicherheitsupdates regelmäßig zu festen Terminen aus, den sogenannten Patchdays. So stellen etwa Microsoft und Adobe Sicherheitsupdates für Windows, Office, Flash und Acrobat an jedem zweiten Dienstag eines Monats bereit.
Mehr zu Sicherheitsupdates erfahren Sie in diesem Video auf unserem YouTube-Kanal: https://youtu.be/2AbOiCkbKiM
—————————————————-
Zeitlos wichtig
- Tipps für Eltern – Sicher digital lernen
Das neue Schuljahr ist ein guter Anlass (erneut) einen Blick auf unsere zahlreichen Tipps zu werfen, mit denen Eltern für die Sicherheit ihrer Kinder beim Lernen mit digitalen Diensten sorgen können. Schließlich lernen viele SchülerInnen zuhause nicht nur mit den Materialen aus der Schule, sondern auch mit digitalen Diensten wie Wissens-Apps, Lernvideos und Onlinespielen. Erstmalig veröffentlichten wir die Tipps, als zahlreiche Schulen und Kitas im vergangenen März aufgrund von COVID-19 schließen mussten. Sie bleiben aber auch nach der Wiedereröffnung der Bildungseinrichtungen relevant und beantworten unter anderem die folgenden zentralen Fragen: Wie lassen sich Geräte kindergerecht einstellen? Wie sichere ich die Geräte vor den Gefahren von Cyberkriminellen? Und wie komme ich mit meinen Kindern in ein Gespräch über den altersgerechten Umgang mit dem Internet?
Die Sicherheitstipps für Eltern für Digitales Lernen haben wir in diesem Artikel zusammengestellt: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/tipps-fuer-eltern-sicher-digital-lernen.html
Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
https://www.twitter.com/BSI_Presse
Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn