[Buerger-Cert-Newsletter] SICHER • INFORMIERT vom 26.11.2020

SICHER • INFORMIERT vom 26.11.2020

Ausgabe: 24/2020

 

Liebe LeserInnen,

 

haben Sie bereits die ersten Weihnachtsgeschenke ins Auge gefasst? Da wird sicher auch das ein oder andere dabei sein, was Sie online einkaufen, oder?

 

Onlineshopping und mobile Bezahlverfahren gewinnen gerade in Zeiten der Pandemie immer mehr an Bedeutung – und rufen leider auch Cyberkriminelle auf den Plan. Werfen Sie doch vor Ihrem virtuellen Einkaufsbummel einen Blick auf unseren Beitrag über sicheres Bezahlen unter „Gut zu wissen“. Auch in der neuesten Ausgabe unserer BSI-Podcasts „Update verfügbar“ geben wir nützliche Tipps für ein sicheres Online-Einkaufserlebnis.

 

Was sich neben Plätzchen backen, Geschenke kaufen und ruhigen Stunden mit den Lieben im Dezember außerdem lohnt: Zusammen mit Mirko Drotschmann, auf YouTube als MrWissen2go bekannt, haben wir für Sie einen Video-Adventskalender zusammengestellt. Mehr dazu erfahren Sie unter „Was wichtig wird“.

 

Viel Spaß beim Lesen wünscht Ihnen

 

Jan Lammertz / Team BSI-für-Bürger

Inhalt

 

In den Schlagzeilen—————–

  1. Impfstoff-Hersteller im Visier
  2. Fake-Profile bei Twitter
  3. Gefahr erkannt, doch nicht gebannt
  4. Cyberkriminelle greifen Kliniken an

 

 

Bleiben Sie up-to-date—————–

  1. Aktuelle Warnmeldungen des Bürger-CERT 6. Etwas mehr Privatsphäre 7. Das Ende des „Zoombombings“?

 

 

Gut zu wissen—————–

  1. „123456“ ist kein sicheres Passwort
  2. Kriminelle künstliche Intelligenz
  3. Sicher bezahlen beim Onlineshopping

 

 

Kurz erklärt—————–

  1. Videokonferenz im Ehrenamt – so klappt’s sicher

 

 

Zeitlos wichtig—————–

  1. Schutz vor Identitätsdiebstahl

 

 

Was wichtig wird—————–

  1. „Update verfügbar“: Die dritte Folge unseres Podcasts ist da!
  2. Sicher durch die Weihnachtszeit: Unser Video-Adventskalender mit MrWissen2go

 

—————————————————-

In den Schlagzeilen

 

 

  1. Impfstoff-Hersteller im Visier

 

Mindestens sieben Pharmaunternehmen waren in den vergangenen Wochen Ziel von Hackerangriffen. Das berichtet ZDNet und verweist auf eine entsprechende Analyse von Microsoft. Die unter anderem als Fancy Bear bekannte russische Hackertruppe kommt per Brute Force Angriffen an Anmeldedaten, also indem sie einfach eine Unmenge an Zeichenkombinationen sowie Standardpasswörter ausprobiert. Zwei nordkoreanischen Gruppen setzten auf eine andere Methode: Sie gaukelten E-Mail-EmpfängerInnen beispielsweise eine Stellenausschreibung vor und versuchten so, Daten abzugreifen.

 

Was ein Brute Force Angriff ist, erklärt BSI für Bürger in seinem Glossar: https://www.bsi-fuer-buerger.de/SharedDocs/Glossareintraege/DE/B/BruteForceAngriff.html

 

Bericht von ZDnet zur Microsoft-Analyse: https://www.zdnet.de/88389771/microsoft-warnt-vor-hackerangriffen-auf-hersteller-von-covid-19-impfstoffen/

 

 

  1. Fake-Profile bei Twitter

 

Auch das Mainzer Biotechnologie-Unternehmen Biontech hat in den vergangenen Tagen die Aufmerksamkeit von Kriminellen auf sich gelenkt. Betrüger legten Fake-Profile auf Twitter an und gaben sich als die MitgründerInnen des Unternehmens, Uğur Şahin und Özlem Türeci, aus. Das berichtet die Süddeutsche Zeitung und kritisiert Twitter, da das Technologieunternehmen immer wieder beim Aufspüren von Fake-Accounts versage. Betrieben wurden die falschen Biontech-Accounts mutmaßlich von den gelangweilten Cousins des türkischen Rockmusikers Haluk Levent. Er selbst teilte das zumindest seinen rund fünf Millionen Followern auf Twitter mit. Inzwischen hat der Kurznachrichtendienst laut der Süddeutschen Zeitung zwei der Fake-Profile gelöscht, ein drittes wurde umbenannt. Achten Sie am besten immer darauf, dass die Profile einen blauen Haken haben. Das ist ein Hinweis dafür, dass Twitter die Authentizität der Konten überprüft hat.

 

Verschiedene Spam-Beispiele hat BSI für Bürger in diesem Beitrag für Sie zusammengesellt: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Spam/Beispiele/beispiele_node.html

 

Zur Meldung der Süddeutschen Zeitung: https://www.sueddeutsche.de/digital/biontech-impfstoff-betrueger-twitter-fakes-1.5117492

 

 

  1. Gefahr erkannt, doch nicht gebannt

 

Bereits im vergangenen Jahr wurde die kritische Schwachstelle Bluekeep bei mehr als 950.000 Windows-Systemen bekannt. Microsoft veröffentlichte ein Update, doch behoben ist das Problem damit in vielen Fällen wohl noch nicht, wie t3n berichtet. Noch immer sollen nämlich mehr als 245.000 Windows-Systeme angreifbar sein, weil deren Betreiber das wichtige Sicherheitsupdate nicht installiert haben. Bluekeep ermöglicht es AngreiferInnen, ein System ohne Authentifizierung aus der Ferne zu kapern. Das BSI empfiehlt dringend, bereitgestellte Sicherheitsupdates zeitnah zu installieren, um derartige Schwachstellen zu schließen.

 

Das BSI warnte bereits im vergangenen Jahr vor der Schwachstelle: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/DejaBlue-Schwachstelle_140819.html

 

Bericht von t3n: https://t3n.de/news/sicherheitsluecke-bluekeep-windows-1338243/

 

 

  1. Cyberkriminelle greifen Kliniken an

 

Nicht nur Impfstoff-Hersteller, sondern auch Krankenhäuser sind offenbar immer öfter das Ziel von Cyberangriffen, das berichtet die Frankfurter Allgemeine Zeitung (FAZ). Demnach zählte die Bundesregierung allein bis November 43 erfolgreiche Angriffe auf Gesundheitsdienstleister. „Das ist fast jede Woche einer und schon jetzt mehr als doppelt so viel wie im gesamten vergangenen Jahr“, schreibt das Blatt. Doch nicht nur Krankenhäuser sind betroffen. Auch andere Betreiber von kritischen Infrastrukturen (KRITIS) sehen sich verstärkt Attacken ausgesetzt. Das Kalkül der Kriminellen könnte aus Sicht der FAZ sein, dass Kliniken in der Pandemie zu sehr mit anderen Aufgaben beschäftigt seien und sich nicht um die IT-Sicherheit kümmern könnten.

 

Mehr über kritische Infrastrukturen und die Rolle des BSI erfahren: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Das_BSI/dasBSI_node.html#faq6636750

 

Bericht der FAZ über die Hackerangriffe: https://www.faz.net/aktuell/wirtschaft/digitec/mehr-hacker-angriffe-auf-kliniken-und-kritische-infrastruktur-17062421.html

 

 

—————————————————-

Bleiben Sie up-to-date

 

 

  1. Aktuelle Warnmeldungen des Bürger-CERT

 

Das „Computer Emergency Response Team“ des BSI informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es Meldungen unter anderem zu Apple Safari (< 14.0.1) und Apple macOS (< 11.0.1); Opera Opera Browser (< Touch for iOS 2.4.5); Mozilla Firefox (< 83), Mozilla Firefox ESR (< 78.5) und Mozilla Thunderbird (< 78.5); Google Chrome (87.0.4280.66); Apple iTunes (< 12.10.9 Windows, 12.11 Windows); Trend Micro AntiVirus (< 2021 (version 17)), Trend Micro Internet Security (< 2021 (version 17)) und Trend Micro Maximum Security (< 2021 (version 17)); VMware ESXi (6.5, 6.7, 7.0), VMware Fusion (11.x) und VMware Workstation (15.x); Open Source Perl; sowie zu Opera Opera Browser (< Mini for Android 52.2).

Ausführliche Informationen, Tipps zum Umgang mit diesen gefährlichen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html

 

 

  1. Etwas mehr Privatsphäre

 

NutzerInnen von Googles E-Mail-Dienst Gmail dürfen sich über mehr Privatsphäre-Optionen freuen. Künftig stehe der sogenannte Privacy Checkup zur Verfügung, berichtet t3n. Dieser soll NutzerInnen dabei helfen, zu überprüfen, welche Daten Google sammelt und wie sie genutzt werden, um UserInnen „hilfreiche Erfahrungen zu vermitteln“, wie t3n den Suchmaschinenriesen zitiert.

 

Artikel über die sichere Einrichtung von E-Mail-Programmen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/E-Mail/E-Mail_node.html

 

t3n über die neuen Einstellungen: https://t3n.de/news/google-privatsphaere-gmail-privacy-1338264/

 

 

  1. Das Ende des „Zoombombings“?

 

Online-Meetings mit der Videokonferenzlösung Zoom haben seit Beginn der Corona-Pandemie Hochkonjunktur. Doch der Dienst ist auch durch ein besonderes Phänomen bekannt geworden: „Zoombombing“. Leute stören dabei fremde Meetings und konfrontieren die TeilnehmerInnen mit verstörenden Videos oder anderen Inhalten. Das soll künftig der Vergangenheit angehören. Wie t3n berichtet, soll die neue Funktion „Suspend Participant Activities“ ZoombomberInnen das Leben nun deutlich erschweren. Hosts und Co-Hosts können damit Meetings pausieren lassen, sämtliche Übertragungen stoppen und verdächtige TeilnehmerInnen melden.

 

Im April veröffentlichte das BSI ein umfassendes Kompendium zu Videokonferenzsystemen mit zahlreichen Sicherheitsempfehlungen: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Kompendium-Videokonferenzsysteme.html

 

Bericht von t3n über die neue Zoom-Funktion: https://t3n.de/news/zoom-neues-feature-zoombombing-1338150/

 

 

—————————————————-

Gut zu wissen

 

 

  1. „123456“ ist kein sicheres Passwort

 

Wir haben schon oft über die Bedeutung starker Passwörter geschrieben. Das Magazin Futurezone berichtet nun über eine Liste von Passwörtern, die als die schlechtesten Passwörter des aktuellen Jahres gelten. Auf Platz eins landet die Zahlenkombination „123456“. Der zweite Platz ist nicht sehr viel kreativer: „123456789“. Der Passwortmanager Nordpass wertete dafür 275.699.516 Passwörter aus. Als Basis dafür dienten 2020 veröffentlichte Datendiebstähle und Leaks. Wir raten an dieser Stelle einmal mehr: Machen Sie es Kriminellen mit komplexen Passwörtern schwer, Ihre Konten zu hacken.

 

Tipps von BSI für Bürger zum sicheren Umgang mit Passwörtern: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang_node.html

 

Zur Meldung von Futurezone: https://futurezone.at/digital-life/das-sind-die-schlechtesten-passwoerter-2020/401103654

 

 

  1. Kriminelle künstliche Intelligenz

 

Eine aktuelle Europol-Studie zeigt: Cyberkriminelle könnten in Zukunft bei ihren Taten immer öfter auf künstliche Intelligenz (KI). Demnach können sie die Technologie beispielsweise zum Knacken von Passwörtern oder Captcha-Codes nutzen, aber auch zum Auslesen von Daten aus Dokumenten im großen Stil, wie Heise Online berichtet. Außerdem nehmen bereits jetzt Deep Fakes stark zu, also realistisch wirkende Medieninhalte wie Foto, Audio und Video, die mithilfe von KI geändert und verfälscht werden. Sie erhöhen das Risiko von Desinformation, Erpressung sowie Bedrohungen.

 

Dieses BSI-Video erklärt Deep Fakes kurz und verständlich: https://www.youtube.com/watch?v=JEa4VPskOn0

 

Zur Meldung von Heise Online: https://www.heise.de/news/Cybercrime-Europol-beleuchtet-die-dunkle-Seite-der-Kuenstlichen-Intelligenz-4967674.html

 

 

  1. Sicher bezahlen beim Onlineshopping

 

Gerade in der kaufintensiven Vorweihnachtszeit ist sicheres Bezahlen ein wichtiges Thema: Worauf sollten KäuferInnen beim virtuellen Weihnachtsbummel besonders achten? Was gibt es über das Bezahlen im Internet zu wissen? In einer neuen Broschüre betrachtet das BSI die Sicherheitsaspekte verschiedener Zahlungsdienste im E-Commerce und gibt NutzerInnen die wichtigsten Informationen und Hinweise an die Hand, wie sie Einkäufe im Internet sicher bezahlen können.

 

Die neue BSI-Broschüre „Sicher bezahlen im E-Commerce“ finden Sie hier: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Sicher_zahlen_im_E_Commerce.pdf?__blob=publicationFile&v=7

 

Tipps von BSI für Bürger für sicheres Onlineshopping: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/online-shopping-und-bezahlen-zum-fest.html

 

 

—————————————————-

Kurz erklärt

 

 

  1. Videokonferenz im Ehrenamt – so klappt’s sicher

 

In vielfältiger Weise engagieren sich Menschen im Ehrenamt. Dabei spielen derzeit virtuelle Events eine wichtige Rolle. Wie sich Videokonferenz-Systeme im Ehrenamt sicher nutzen lassen, hat BSI für Bürger mit einem aktuellen Leitfaden zusammengestellt. Was sollte vor der digitalen Veranstaltung geklärt werden? Wie lassen sich die Dienste sicher nutzen? Wie gelingt ein professioneller Auftritt?

 

Antworten auf diese und weitere Fragen gibt es hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/leitfaden-virtuelle-events-und-videokonferenzen.html

 

 

—————————————————-

Zeitlos wichtig

 

 

  1. Schutz vor Identitätsdiebstahl

 

Beinahe ein Drittel der BundesbürgerInnen hat schon einmal erlebt, dass einer ihrer Online-Accounts gehackt wurde – das ist das erschreckende Ergebnis des Digitalbarometers 2020. Cyberkriminelle können dann unter fremdem Namen peinliche Nachrichten oder illegale Inhalte verbreiten und den gekaperten Account für andere illegale Aktivitäten nutzen. Was können Sie und Ihre Familie tun, damit Ihre Benutzerkonten gar nicht erst gehackt werden? Die EU-Initiative klicksafe hat die wichtigsten Tipps zusammengestellt.

 

Zur Meldung von klicksafe: https://www.klicksafe.de/service/aktuelles/news/detail/was-tun-gegen-identitaetsdiebstahl-in-online-diensten/

 

 

—————————————————-

Was wichtig wird

 

 

  1. „Update verfügbar“: Die dritte Folge unseres Podcasts ist da!

 

Spätestens Anfang Dezember beschäftigen sich viele von uns mit der Frage: Was schenke ich meinen Liebsten zu Weihnachten? In Zeiten von Corona verlagern viele ihren weihnachtlichen Einkaufsbummel ins World Wide Web. Aus diesem Grund widmen wir uns in der dritten Folge des neuen BSI-Podcasts „Update verfügbar“ dem Onlineshopping. Die Moderatoren Ute Lange und Michael Münz nehmen die Sicherheitsaspekte rund um digitale Einkaufserlebnisse in den Blick. Sie erklären, was es bei Preissuchmaschinen zu beachten gibt und wie Sie dubiose Onlineshops erkennen können. Außerdem erwarten Sie Berichte über spektakuläre Betrugsfälle und Hinweise zu betrügerischen Maschen zur Weihnachtszeit. Die dritte Folge ist ab dem 1. Dezember auf allen bekannten Podcast-Plattformen verfügbar. Wir freuen uns, wenn Sie reinhören!

 

Apple iTunes: https://podcasts.apple.com/de/podcast/update-verfügbar/id1533773235

Spotify: https://open.spotify.com/show/1g5qr33CFc2sgxLVvMlbBp

Deezer: https://www.deezer.com/de/show/1800802

BSI-YouTube-Kanal: https://www.youtube.com/playlist?list=PLUEPo9QCkRA6TlFI0IUbF8oXvqmORoq4q

Google Podcast: https://podcasts.google.com/feed/aHR0cHM6Ly91cGRhdGUtdmVyZnVlZ2Jhci5wb2RpZ2VlLmlvL2ZlZWQvbXAz?fbclid=IwAR22UTL8zBysgPNyb6emRPWKhT6xqYBJiaFseWSrT-wLtfDTvT5tNuVe_xM

 

 

  1. Sicher durch die Weihnachtszeit: Unser Video-Adventskalender mit MrWissen2go

 

Am Dienstag ist es endlich soweit: Wir starten mit unserem Video-Adventskalender gemeinsam mit dem YouTuber Mirko Drotschmann aka MrWissen2go. In 24 kurzen Videos beantworten wir jeden Tag Ihre Alltagsfragen zu IT-Sicherheit – von Passwortmanagern über Smart Home bis zu Onlinespielen und Deep Fakes. Sie finden die Videos auf unseren Kanälen auf Twitter, Facebook, Instagram und YouTube – also bleiben Sie gespannt und schauen Sie regelmäßig vorbei!

 

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.