SICHER • INFORMIERT vom 26.11.2020
Ausgabe: 24/2020
Liebe LeserInnen,
haben Sie bereits die ersten Weihnachtsgeschenke ins Auge gefasst? Da wird sicher auch das ein oder andere dabei sein, was Sie online einkaufen, oder?
Onlineshopping und mobile Bezahlverfahren gewinnen gerade in Zeiten der Pandemie immer mehr an Bedeutung – und rufen leider auch Cyberkriminelle auf den Plan. Werfen Sie doch vor Ihrem virtuellen Einkaufsbummel einen Blick auf unseren Beitrag über sicheres Bezahlen unter „Gut zu wissen“. Auch in der neuesten Ausgabe unserer BSI-Podcasts „Update verfügbar“ geben wir nützliche Tipps für ein sicheres Online-Einkaufserlebnis.
Was sich neben Plätzchen backen, Geschenke kaufen und ruhigen Stunden mit den Lieben im Dezember außerdem lohnt: Zusammen mit Mirko Drotschmann, auf YouTube als MrWissen2go bekannt, haben wir für Sie einen Video-Adventskalender zusammengestellt. Mehr dazu erfahren Sie unter „Was wichtig wird“.
Viel Spaß beim Lesen wünscht Ihnen
Jan Lammertz / Team BSI-für-Bürger
Inhalt
In den Schlagzeilen—————–
- Impfstoff-Hersteller im Visier
- Fake-Profile bei Twitter
- Gefahr erkannt, doch nicht gebannt
- Cyberkriminelle greifen Kliniken an
Bleiben Sie up-to-date—————–
- Aktuelle Warnmeldungen des Bürger-CERT 6. Etwas mehr Privatsphäre 7. Das Ende des „Zoombombings“?
Gut zu wissen—————–
- „123456“ ist kein sicheres Passwort
- Kriminelle künstliche Intelligenz
- Sicher bezahlen beim Onlineshopping
Kurz erklärt—————–
- Videokonferenz im Ehrenamt – so klappt’s sicher
Zeitlos wichtig—————–
- Schutz vor Identitätsdiebstahl
Was wichtig wird—————–
- „Update verfügbar“: Die dritte Folge unseres Podcasts ist da!
- Sicher durch die Weihnachtszeit: Unser Video-Adventskalender mit MrWissen2go
—————————————————-
In den Schlagzeilen
- Impfstoff-Hersteller im Visier
Mindestens sieben Pharmaunternehmen waren in den vergangenen Wochen Ziel von Hackerangriffen. Das berichtet ZDNet und verweist auf eine entsprechende Analyse von Microsoft. Die unter anderem als Fancy Bear bekannte russische Hackertruppe kommt per Brute Force Angriffen an Anmeldedaten, also indem sie einfach eine Unmenge an Zeichenkombinationen sowie Standardpasswörter ausprobiert. Zwei nordkoreanischen Gruppen setzten auf eine andere Methode: Sie gaukelten E-Mail-EmpfängerInnen beispielsweise eine Stellenausschreibung vor und versuchten so, Daten abzugreifen.
Was ein Brute Force Angriff ist, erklärt BSI für Bürger in seinem Glossar: https://www.bsi-fuer-buerger.de/SharedDocs/Glossareintraege/DE/B/BruteForceAngriff.html
Bericht von ZDnet zur Microsoft-Analyse: https://www.zdnet.de/88389771/microsoft-warnt-vor-hackerangriffen-auf-hersteller-von-covid-19-impfstoffen/
- Fake-Profile bei Twitter
Auch das Mainzer Biotechnologie-Unternehmen Biontech hat in den vergangenen Tagen die Aufmerksamkeit von Kriminellen auf sich gelenkt. Betrüger legten Fake-Profile auf Twitter an und gaben sich als die MitgründerInnen des Unternehmens, Uğur Şahin und Özlem Türeci, aus. Das berichtet die Süddeutsche Zeitung und kritisiert Twitter, da das Technologieunternehmen immer wieder beim Aufspüren von Fake-Accounts versage. Betrieben wurden die falschen Biontech-Accounts mutmaßlich von den gelangweilten Cousins des türkischen Rockmusikers Haluk Levent. Er selbst teilte das zumindest seinen rund fünf Millionen Followern auf Twitter mit. Inzwischen hat der Kurznachrichtendienst laut der Süddeutschen Zeitung zwei der Fake-Profile gelöscht, ein drittes wurde umbenannt. Achten Sie am besten immer darauf, dass die Profile einen blauen Haken haben. Das ist ein Hinweis dafür, dass Twitter die Authentizität der Konten überprüft hat.
Verschiedene Spam-Beispiele hat BSI für Bürger in diesem Beitrag für Sie zusammengesellt: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Spam/Beispiele/beispiele_node.html
Zur Meldung der Süddeutschen Zeitung: https://www.sueddeutsche.de/digital/biontech-impfstoff-betrueger-twitter-fakes-1.5117492
- Gefahr erkannt, doch nicht gebannt
Bereits im vergangenen Jahr wurde die kritische Schwachstelle Bluekeep bei mehr als 950.000 Windows-Systemen bekannt. Microsoft veröffentlichte ein Update, doch behoben ist das Problem damit in vielen Fällen wohl noch nicht, wie t3n berichtet. Noch immer sollen nämlich mehr als 245.000 Windows-Systeme angreifbar sein, weil deren Betreiber das wichtige Sicherheitsupdate nicht installiert haben. Bluekeep ermöglicht es AngreiferInnen, ein System ohne Authentifizierung aus der Ferne zu kapern. Das BSI empfiehlt dringend, bereitgestellte Sicherheitsupdates zeitnah zu installieren, um derartige Schwachstellen zu schließen.
Das BSI warnte bereits im vergangenen Jahr vor der Schwachstelle: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/DejaBlue-Schwachstelle_140819.html
Bericht von t3n: https://t3n.de/news/sicherheitsluecke-bluekeep-windows-1338243/
- Cyberkriminelle greifen Kliniken an
Nicht nur Impfstoff-Hersteller, sondern auch Krankenhäuser sind offenbar immer öfter das Ziel von Cyberangriffen, das berichtet die Frankfurter Allgemeine Zeitung (FAZ). Demnach zählte die Bundesregierung allein bis November 43 erfolgreiche Angriffe auf Gesundheitsdienstleister. „Das ist fast jede Woche einer und schon jetzt mehr als doppelt so viel wie im gesamten vergangenen Jahr“, schreibt das Blatt. Doch nicht nur Krankenhäuser sind betroffen. Auch andere Betreiber von kritischen Infrastrukturen (KRITIS) sehen sich verstärkt Attacken ausgesetzt. Das Kalkül der Kriminellen könnte aus Sicht der FAZ sein, dass Kliniken in der Pandemie zu sehr mit anderen Aufgaben beschäftigt seien und sich nicht um die IT-Sicherheit kümmern könnten.
Mehr über kritische Infrastrukturen und die Rolle des BSI erfahren: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Das_BSI/dasBSI_node.html#faq6636750
Bericht der FAZ über die Hackerangriffe: https://www.faz.net/aktuell/wirtschaft/digitec/mehr-hacker-angriffe-auf-kliniken-und-kritische-infrastruktur-17062421.html
—————————————————-
Bleiben Sie up-to-date
- Aktuelle Warnmeldungen des Bürger-CERT
Das „Computer Emergency Response Team“ des BSI informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es Meldungen unter anderem zu Apple Safari (< 14.0.1) und Apple macOS (< 11.0.1); Opera Opera Browser (< Touch for iOS 2.4.5); Mozilla Firefox (< 83), Mozilla Firefox ESR (< 78.5) und Mozilla Thunderbird (< 78.5); Google Chrome (87.0.4280.66); Apple iTunes (< 12.10.9 Windows, 12.11 Windows); Trend Micro AntiVirus (< 2021 (version 17)), Trend Micro Internet Security (< 2021 (version 17)) und Trend Micro Maximum Security (< 2021 (version 17)); VMware ESXi (6.5, 6.7, 7.0), VMware Fusion (11.x) und VMware Workstation (15.x); Open Source Perl; sowie zu Opera Opera Browser (< Mini for Android 52.2).
Ausführliche Informationen, Tipps zum Umgang mit diesen gefährlichen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html
- Etwas mehr Privatsphäre
NutzerInnen von Googles E-Mail-Dienst Gmail dürfen sich über mehr Privatsphäre-Optionen freuen. Künftig stehe der sogenannte Privacy Checkup zur Verfügung, berichtet t3n. Dieser soll NutzerInnen dabei helfen, zu überprüfen, welche Daten Google sammelt und wie sie genutzt werden, um UserInnen „hilfreiche Erfahrungen zu vermitteln“, wie t3n den Suchmaschinenriesen zitiert.
Artikel über die sichere Einrichtung von E-Mail-Programmen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/E-Mail/E-Mail_node.html
t3n über die neuen Einstellungen: https://t3n.de/news/google-privatsphaere-gmail-privacy-1338264/
- Das Ende des „Zoombombings“?
Online-Meetings mit der Videokonferenzlösung Zoom haben seit Beginn der Corona-Pandemie Hochkonjunktur. Doch der Dienst ist auch durch ein besonderes Phänomen bekannt geworden: „Zoombombing“. Leute stören dabei fremde Meetings und konfrontieren die TeilnehmerInnen mit verstörenden Videos oder anderen Inhalten. Das soll künftig der Vergangenheit angehören. Wie t3n berichtet, soll die neue Funktion „Suspend Participant Activities“ ZoombomberInnen das Leben nun deutlich erschweren. Hosts und Co-Hosts können damit Meetings pausieren lassen, sämtliche Übertragungen stoppen und verdächtige TeilnehmerInnen melden.
Im April veröffentlichte das BSI ein umfassendes Kompendium zu Videokonferenzsystemen mit zahlreichen Sicherheitsempfehlungen: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Kompendium-Videokonferenzsysteme.html
Bericht von t3n über die neue Zoom-Funktion: https://t3n.de/news/zoom-neues-feature-zoombombing-1338150/
—————————————————-
Gut zu wissen
- „123456“ ist kein sicheres Passwort
Wir haben schon oft über die Bedeutung starker Passwörter geschrieben. Das Magazin Futurezone berichtet nun über eine Liste von Passwörtern, die als die schlechtesten Passwörter des aktuellen Jahres gelten. Auf Platz eins landet die Zahlenkombination „123456“. Der zweite Platz ist nicht sehr viel kreativer: „123456789“. Der Passwortmanager Nordpass wertete dafür 275.699.516 Passwörter aus. Als Basis dafür dienten 2020 veröffentlichte Datendiebstähle und Leaks. Wir raten an dieser Stelle einmal mehr: Machen Sie es Kriminellen mit komplexen Passwörtern schwer, Ihre Konten zu hacken.
Tipps von BSI für Bürger zum sicheren Umgang mit Passwörtern: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang_node.html
Zur Meldung von Futurezone: https://futurezone.at/digital-life/das-sind-die-schlechtesten-passwoerter-2020/401103654
- Kriminelle künstliche Intelligenz
Eine aktuelle Europol-Studie zeigt: Cyberkriminelle könnten in Zukunft bei ihren Taten immer öfter auf künstliche Intelligenz (KI). Demnach können sie die Technologie beispielsweise zum Knacken von Passwörtern oder Captcha-Codes nutzen, aber auch zum Auslesen von Daten aus Dokumenten im großen Stil, wie Heise Online berichtet. Außerdem nehmen bereits jetzt Deep Fakes stark zu, also realistisch wirkende Medieninhalte wie Foto, Audio und Video, die mithilfe von KI geändert und verfälscht werden. Sie erhöhen das Risiko von Desinformation, Erpressung sowie Bedrohungen.
Dieses BSI-Video erklärt Deep Fakes kurz und verständlich: https://www.youtube.com/watch?v=JEa4VPskOn0
Zur Meldung von Heise Online: https://www.heise.de/news/Cybercrime-Europol-beleuchtet-die-dunkle-Seite-der-Kuenstlichen-Intelligenz-4967674.html
- Sicher bezahlen beim Onlineshopping
Gerade in der kaufintensiven Vorweihnachtszeit ist sicheres Bezahlen ein wichtiges Thema: Worauf sollten KäuferInnen beim virtuellen Weihnachtsbummel besonders achten? Was gibt es über das Bezahlen im Internet zu wissen? In einer neuen Broschüre betrachtet das BSI die Sicherheitsaspekte verschiedener Zahlungsdienste im E-Commerce und gibt NutzerInnen die wichtigsten Informationen und Hinweise an die Hand, wie sie Einkäufe im Internet sicher bezahlen können.
Die neue BSI-Broschüre „Sicher bezahlen im E-Commerce“ finden Sie hier: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Sicher_zahlen_im_E_Commerce.pdf?__blob=publicationFile&v=7
Tipps von BSI für Bürger für sicheres Onlineshopping: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/online-shopping-und-bezahlen-zum-fest.html
—————————————————-
Kurz erklärt
- Videokonferenz im Ehrenamt – so klappt’s sicher
In vielfältiger Weise engagieren sich Menschen im Ehrenamt. Dabei spielen derzeit virtuelle Events eine wichtige Rolle. Wie sich Videokonferenz-Systeme im Ehrenamt sicher nutzen lassen, hat BSI für Bürger mit einem aktuellen Leitfaden zusammengestellt. Was sollte vor der digitalen Veranstaltung geklärt werden? Wie lassen sich die Dienste sicher nutzen? Wie gelingt ein professioneller Auftritt?
Antworten auf diese und weitere Fragen gibt es hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/leitfaden-virtuelle-events-und-videokonferenzen.html
—————————————————-
Zeitlos wichtig
- Schutz vor Identitätsdiebstahl
Beinahe ein Drittel der BundesbürgerInnen hat schon einmal erlebt, dass einer ihrer Online-Accounts gehackt wurde – das ist das erschreckende Ergebnis des Digitalbarometers 2020. Cyberkriminelle können dann unter fremdem Namen peinliche Nachrichten oder illegale Inhalte verbreiten und den gekaperten Account für andere illegale Aktivitäten nutzen. Was können Sie und Ihre Familie tun, damit Ihre Benutzerkonten gar nicht erst gehackt werden? Die EU-Initiative klicksafe hat die wichtigsten Tipps zusammengestellt.
Zur Meldung von klicksafe: https://www.klicksafe.de/service/aktuelles/news/detail/was-tun-gegen-identitaetsdiebstahl-in-online-diensten/
—————————————————-
Was wichtig wird
- „Update verfügbar“: Die dritte Folge unseres Podcasts ist da!
Spätestens Anfang Dezember beschäftigen sich viele von uns mit der Frage: Was schenke ich meinen Liebsten zu Weihnachten? In Zeiten von Corona verlagern viele ihren weihnachtlichen Einkaufsbummel ins World Wide Web. Aus diesem Grund widmen wir uns in der dritten Folge des neuen BSI-Podcasts „Update verfügbar“ dem Onlineshopping. Die Moderatoren Ute Lange und Michael Münz nehmen die Sicherheitsaspekte rund um digitale Einkaufserlebnisse in den Blick. Sie erklären, was es bei Preissuchmaschinen zu beachten gibt und wie Sie dubiose Onlineshops erkennen können. Außerdem erwarten Sie Berichte über spektakuläre Betrugsfälle und Hinweise zu betrügerischen Maschen zur Weihnachtszeit. Die dritte Folge ist ab dem 1. Dezember auf allen bekannten Podcast-Plattformen verfügbar. Wir freuen uns, wenn Sie reinhören!
Apple iTunes: https://podcasts.apple.com/de/podcast/update-verfügbar/id1533773235
Spotify: https://open.spotify.com/show/1g5qr33CFc2sgxLVvMlbBp
Deezer: https://www.deezer.com/de/show/1800802
BSI-YouTube-Kanal: https://www.youtube.com/playlist?list=PLUEPo9QCkRA6TlFI0IUbF8oXvqmORoq4q
- Sicher durch die Weihnachtszeit: Unser Video-Adventskalender mit MrWissen2go
Am Dienstag ist es endlich soweit: Wir starten mit unserem Video-Adventskalender gemeinsam mit dem YouTuber Mirko Drotschmann aka MrWissen2go. In 24 kurzen Videos beantworten wir jeden Tag Ihre Alltagsfragen zu IT-Sicherheit – von Passwortmanagern über Smart Home bis zu Onlinespielen und Deep Fakes. Sie finden die Videos auf unseren Kanälen auf Twitter, Facebook, Instagram und YouTube – also bleiben Sie gespannt und schauen Sie regelmäßig vorbei!
Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
https://www.twitter.com/BSI_Presse
Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn