SICHER o INFORMIERT
——————-
Der Newsletter des Bürger-CERT
Ausgabe vom 05.01.2017
Nummer: NL-T17/0001

Die Themen dieses Newsletters:
1. Gefälschte Amazon- und PayPal-Mails verstärkt im Umlauf: Phishing
2. Sicherheitslücke in PHPMailer betrifft viele Anwendungen: PHP
3. Manipulierte vCard legt iMessage lahm: Apple
4. Ransomware dominiert weiterhin die Security-Agenda: Ransomware
5. Ransomware für Android-Gerät aufgetaucht: Smart TV
6. Sicherheitsupdate für Thunderbird: Mozilla
7. Sicherheitsupdate: Google Android
8. Potenzielles Einfallstor für Hacker: Gegensprechanlagen
9. Eklatante Sicherheitsmängel: Flugbuchungssysteme
10. Weniger essen, mehr Sport, höhere IT-Sicherheit: 2017

EDITORIAL
Liebe Leserin, lieber Leser,
auch 2017 werden wir uns gemeinsam mit den Risiken des Internets und den
Gefahren von Schadsoftware und Sicherheitslücken in Anwendungen
auseinandersetzen müssen. Einen wesentlichen Beitrag zum Schutz Ihrer
IT-Geräte und Daten können Sie selbst leisten. Nutzen Sie Ihren gesunden
Menschenverstand und klicken nicht sorglos auf beliebige Links oder
Empfehlungen, die Sie in E-Mails erhalten. Der gleiche gesunde
Menschenverstand hilft übrigens auch bei der Erkennung und Einordnung von
so genannten Fake News. Eventuell haben Sie sich ja auch noch weitere
gute IT-Sicherheitsvorsätze für das neue Jahr vorgenommen. Mit diesem
Newsletter erfahren Sie jede Woche aktuell, welche neuen Risiken lauern
sowie Maßnahmen und Tipps, um sich davor zu schützen.
Wir wünschen Ihnen eine spannende Lektüre.
Ihr Bürger-CERT-Team

STÖRENFRIEDE
1. Gefälschte Amazon- und PayPal-Mails verstärkt im Umlauf: Phishing

Die Welle an Phishing-Mails ebbt nicht ab, im Gegenteil. Besonders die
bekannten Namen Amazon und PayPal wurden rund um den Jahreswechsel erneut
missbraucht, um Daten von Kunden abzugreifen, warnt die
Verbraucherzentrale [https://www.verbraucherzentrale.de/phishing-radar].
Als Lockmittel dienen einmal mehr Aufforderungen, das Kundenkonto zu
verifizieren, die „eigene Identität zu überprüfen“ oder „Kenntnis zu
nehmen von einer verlängerten Umtauschfrist“. Dabei sind die E-Mails
immer besser dem Original nachempfunden. Wie Sie Phishing-Mails
identifizieren können und sich richtig verhalten, erfahren Sie auf der
Website des
BSI [https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/phishing_node.html].

2. Sicherheitslücke in PHPMailer betrifft viele Anwendungen: PHP

heise [https://www.heise.de/security/meldung/Luecke-in-PHPMailer-erlaubt-die-Ausfuehrung-fremden-Codes-3582072.html]
zufolge hat die Gruppe Legal Hackers eine Sicherheitslücke in der weit
verbreiteten PHP-Bibliothek PHPMailer entdeckt. Diese Bibliothek wird von
vielen Content-Management-Systemen für Formulare wie beispielsweise zur
Anmeldung oder für Feedback genutzt. Die Sicherheitslücke, durch die die
Daten ungeprüft an den auf dem Web-Server konfigurierten Mail-Server
weitergereicht werden und Code eingeschleust werden kann, betrifft somit
potenziell viele Anwendungen wie beispielsweise Joomla, Drupal oder
WordPress. Nutzer sollten deshalb ihre Systeme auf die gepatchten
Versionen aktualisieren.

3. Manipulierte vCard legt iMessage lahm: Apple

Einen kompletten Absturz der Nachrichten-App iMessage auf iPhone und iPad
verursacht eine manipulierte vCard, die derzeit per MMS oder iMessage
versandt wird, wie
heise [https://www.heise.de/security/meldung/Apples-iMessage-anfaellig-fuer-manipulierte-Kontaktdateien-3582980.html]
berichtet. Sie enthält einen präparierten Text, der von der
Apple-Anwendung nicht verarbeitet werden kann, was zum Absturz führt und
iMessage lahmlegt. Der Entwickler der manipulierten vCard nutzt einen
Fehler in den iOS-Versionen bis 10.2 sowie der Beta von 10.2.1 aus.
Solche Fehler können Angreifern auch die Möglichkeit eröffnen, schädliche
Programme auf die betroffenen Geräte einzuschleusen. Die manipulierte
Kontaktdatei lässt sich nicht ohne Weiteres erkennen, da sie einen
beliebigen Namen tragen kann. Anwender, die keine Kontaktdatei erwarten,
sollten sie bei Empfang sicherheitshalber ungelesen löschen.

4. Ransomware dominiert weiterhin die Security-Agenda: Ransomware

In seinem für das vierte Quartal 2016 vorgelegten McAfee
Labs Threats Report
(PDF-Dokument) [http://www.mcafee.com/us/resources/reports/rp-quarterly-threats-dec-2016.pdf]
teilt das IT-Sicherheitsunternehmen seine Einschätzung mit, dass 2016 als
das „Jahr der Ransomware“ in die Geschichte eingehen wird. So stieg die
Anzahl der Ransomware-Angriffe von Jahresbeginn bis Ende des dritten
Quartals 2016 um 80 Prozent an. Dabei hat nicht nur die Menge, sondern
auch die technische Raffinesse zugenommen, beispielsweise die Fähigkeit
der Schadcodes, Verfahren wie Sandboxing zu umgehen. Außerdem stellt der
Bericht Trojaner vor, die sich tief in regulärem Code verbergen, um
möglichst lange unentdeckt ihr Unwesen zu treiben. Ebenfalls im dritten
Quartal legten Mac OS-Schädlinge um 637 Prozent zu – dafür zeichnete vor
allem die Adware-Familie Bundlore verantwortlich. Zudem wurden im
gleichen Zeitraum zwei Millionen neue mobile Malware-Varianten entdeckt.

5. Ransomware für Android-Gerät aufgetaucht: Smart TV

Nachdem bereits im Sommer eine Schadsoftware mit dem Namen „Flocker“ für
TV-Geräte mit dem Betriebssystem Android entdeckt wurde – betroffen waren
Geräte von Philips, Sharp und Sony – ist nun ein ebenfalls auf Android
basierendes Gerät des Herstellers LG von Ransomware befallen worden,
berichtet
ZDNet [http://www.zdnet.de/88285448/erstmals-android-smart-tv-mit-ransomware-infiziert/].
Eingeschleust wurde der Schadcode vermutlich über eine infizierte App.
Entfernen lässt sich der Code über eine Tastenkombination auf der
Fernbedienung, mit der das System zurückgesetzt werden kann. Da das
spezifische Gerät auf der inzwischen nicht mehr genutzten Plattform
Google TV und einer älteren Android-Version läuft, besteht für aktuelle
LG-Geräte mit dem Betriebssystem WebOS keine Gefahr durch den entdeckten
Schadcode. Für ungetrübten Smart-TV-Spaß können Sie einige
Vorsichtsmaßnahmen [https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/SmartTV/SmartTV.html]
ergreifen.

SCHUTZMASSNAHMEN
6. Sicherheitsupdate für Thunderbird: Mozilla

Ein Sicherheitsupdate für den Open-Source E-Mail Client
Thunderbird [https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/warnmeldung_tw-t16-0151.html]
auf die neueste Version 45.6.0 wird dringend empfohlen. Es schließt
mehrere kritische Sicherheitslücken, durch die das Programm durch
Angriffe aus dem Internet zum Absturz gebracht werden kann. Außerdem
lässt sich beliebiger Programmcode auf dem System ausführen, wodurch es
geschädigt werden kann.

7. Sicherheitsupdate: Google Android

Google schließt für Smartphones und ähnliche Geräte mit
Google
Android [https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/warnmeldung_tw-t17-0001_update_1.html]
insgesamt 90 Sicherheitslücken, von denen 29 vom Hersteller als kritisch
eingestuft werden. Bisher wurden Informationen zu Sicherheitsupdates für
Google Nexus-Geräte, Google Android One, Google Pixel, verschiedene
Smartphones von LG Mobile sowie für Smartphones mit dem Betriebssystem
‚BlackBerry powered by Android‘ veröffentlicht. Die Informationen zu
Sicherheitsupdates von Samsung Mobile stehen noch aus.

PRISMA
8. Potenzielles Einfallstor für Hacker: Gegensprechanlagen

Wie unter anderem
heise [https://www.heise.de/security/meldung/33C3-Tuersprechanlagen-sind-des-Hackers-fette-Beute-3582807.html]
und
golem [http://www.golem.de/news/gegensprechanlagen-wenn-die-vordertuer-zur-hintertuer-wird-1612-125299.html]
berichteten, geraten Gegensprechanlagen, auch Intercoms genannt, immer
mehr ins Visier von Hackern. Ein Experte des IT-Sicherheitsunternehmens
Synacktiv demonstrierte, dass Geräte, die anstatt kabelgebunden über
Mobilfunk kommunizieren, zum Öffnen der Haustür oder für Anrufe von
Premiumnummern durch Unberechtigte missbraucht werden können. Dies
gelingt Hackern, indem sie durch technisches Equipment im Wert von rund
400 Euro die eigene Handynummer einer Gegenstelle im Haus zuordnen und
auf diese Weise die Anlage, etwa zum Türöffnen, steuern.

9. Eklatante Sicherheitsmängel: Flugbuchungssysteme

In globalen Reisebuchungssystemen wie Amadeus, Sabre und Travelport, die
sowohl von Reisedienstleistern als auch von Passagieren zur Buchung
genutzt werden, klaffen eklatante Sicherheitslücken. Durch
vergleichsweise einfache Verfahren können Reisebuchungen durch Dritte
manipuliert und beispielsweise Flüge umgebucht oder Bonusmeilen Dritter
unberechtigt gutgeschrieben werden, berichtet unter anderem die
Süddeutsche
Zeitung [http://www.sueddeutsche.de/digital/flugreisen-schwere-sicherheitsluecke-erlaubt-hackern-freifluege-1.3309771].
Das Buchungssystem sei veraltet, an IT-Sicherheitsmaßnahmen mangele es.
So benötigen Passagiere nicht einmal ein Passwort, um auf ihre Buchungen
zuzugreifen, sondern nur ihren Namen und den sechsstelligen Buchungscode.
Einige beteiligte Unternehmen haben inzwischen Sicherheitsverfahren wie
Captcha-Abfragen und IP-Filter eingeführt, um die zuvor möglichen
Brute-Force-Abfragen der Codes durch wiederholtes, automatisiertes
Ausprobieren zu unterbinden.

10. Weniger essen, mehr Sport, höhere IT-Sicherheit: 2017

Bei den beliebtesten Neujahrsvorsätzen geht es zumeist um die eigene
Gesundheit und Fitness – schlechte Angewohnheiten wie ungesundes Essen
oder Rauchen abzulegen und dafür bessere wie Sport und bewusste Ernährung
anzunehmen. Diesen Rahmen sollten alle Besitzer von PC, Smartphone & Co.
sinnvoll erweitern, indem sie sich mehr um die Sicherheit bei der Nutzung
ihrer mit dem Internet verbundenen Geräte kümmern. Der Aufwand dafür ist
viel geringer als für die meisten anderen Vorsätze. Vier leicht
umzusetzende
Aspekte [https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/IT-Vorsaetze_02012017.html]
helfen Ihnen,um Geräte und Daten wirksamer zu schützen.

———————————————————————–
Dieser Newsletter „SICHER o INFORMIERT“ ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: =

SICHER o INFORMIERT
——————-
Der Newsletter des Bürger-CERT
Ausgabe vom 22.12.2016
Nummer: NL-T16/0027

Die Themen dieses Newsletters:
1. Vorsicht vor Betrugsmail mit Sparkasse als vermeintlichem Absender: Phishing
2. Datendiebstahl betrifft eine Milliarde Nutzer: Yahoo
3. Vorinstalliertes Schadprogramm entdeckt: Android
4. Gefälschte E-Mail im Umlauf: THW
5. Verbreitung über Schadprogramm-Spam mit vermeintlichen Lizenz-Rechnungen im Namen von Unternehmen: Ransomware
6. Sicherheitsupdates für iOS, Safari, iCloud, iTunes, Mac OSX und macOS Sierra: Apple
7. Aktualisierung von Adobe Digital Editions und Flash Player: Adobe
8. Patchday im Dezember: Microsoft
9. Neue Version von Browser Firefox: Mozilla
10. Sicherheitsupdate verfügbar: Android
11. Sicherheitslücken in Routern: Netgear
12. Sicherheitslücken im Content-Management System: Joomla!
13. Sicherheit bei Bankgeschäften: Online-Banking
14. Digitale Seite von 180 Experten für Cyber-Sicherheit gesucht: Karriere im BSI
15. Warum internetfähige Puppen und Co. nicht ins Kinderzimmer gehören: WLAN
16. Zugang zu Daten auf Geräten erschweren: Smartphones

EDITORIAL
Liebe Leserin, lieber Leser,
Weihnachten steht vor der Tür und in vielen Wohnzimmern werden am 24.
Dezember 2016 wieder zahlreiche internetfähige Spielzeuge und Geräte
verschenkt werden. Die Digitalisierung reicht immer weiter ins
Kinderzimmer. Bei all der Freude über das Geschenk sollten Sie immer auch
an die damit einhergehenden Risiken denken und Ihre Geräte und Netzwerke
entsprechend schützen. Denn sonst könnte die „schöne Bescherung“ zu einer
unangenehmen Überraschung werden, etwa wenn die digitalen Spielgefährten
beim Kinderspiel mithören.
Weitere Informationen zu aktuellen Cyber-Bedrohungen und wie Sie sich
davor schützen können, erfahren Sie in dieser Ausgabe unseres
Newsletters. Zudem finden Sie wie immer weitere Themen rund um die
Sicherheit im WWW.

Wir wünschen Ihnen ein fröhliches Weihnachtsfest und einen guten Start
ins Jahr 2017.

Ihr Bürger-CERT-Team

STÖRENFRIEDE
1. Vorsicht vor Betrugsmail mit Sparkasse als vermeintlichem Absender:
Phishing

Wie in einer Meldung von
Mimikama [http://www.mimikama.at/allgemein/sparkasse-kunden-irritiert/]
zu lesen ist, ist aktuell eine Phishing-Mail im Umlauf, die vorgibt, von
der Sparkasse zu sein. Sie sieht täuschend echt aus, ist frei von
größeren Rechtschreibfehlern und hat das Ziel, die persönlichen Daten von
Sparkassenkunden auszuspähen. Die Betrüger versuchen Empfänger der E-Mail
dazu zu bringen, einen Link anzuklicken, der diese auf eine gefälschte
Sparkassen-Webseite weiterleitet. Dort sollen Nutzer sensible Daten
eingeben.
Anwender sollten auf keinen Fall den Link in der E-Mail anklicken und
auch keine persönlichen Daten eingeben. Wir geben Tipps, woran Sie
Phishing-Mails und -Webseiten
[https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/phishing_node.html]
erkennen und wie Sie sich schützen können.
Welche Gefahren Botnetze, Phishing und Trojaner auf Ihren Systemen
anrichten können, erläutert ein BSI-Experte in der
aktuellen
Folge [https://www.youtube.com/watch?v=bmSvAgujUE4] der
„Netzgeschichten“ der Deutschen Telekom.

2. Datendiebstahl betrifft eine Milliarde Nutzer: Yahoo

Yahoo ist zum wiederholten Male Opfer eines groß angelegten
Datendiebstahls geworden. Über eine Milliarde Datensätze des
Internetdienstes mit Informationen wie E-Mail-Adressen, Geburtstage und
Sicherheitsfragen zur Identitätsverifizierung sind abgeflossen. Anwender,
die einen Yahoo-Account haben oder in der Vergangenheit hatten, sollten
das dort genutzte Passwort sowie auch die angegebenen persönlichen
Sicherheitsfragen und Antworten umgehend ändern. Das BSI hat eine
Stellungnahme [https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Datendiebstahl_bei_Yahoo_15122016.html]
zu dem Vorfall herausgegeben. Arne Schönbohm, Präsident des BSI, weist
darin darauf hin, dass die Sicherheit von Kundendaten bei allen Anbietern
höchste Priorität haben sollte und sie in der Verantwortung seien, sich
gegen Cyber-Angriffe zu schützen und die Kundendaten nach dem Stand der
Technik abzusichern. Auch die Anwender sollten genau hinschauen, welche
Dienste sie künftig verwenden wollen. Machen Sie die Sicherheit der
angebotenen Dienste zu einem Entscheidungskriterium!

3. Vorinstalliertes Schadprogramm entdeckt: Android

Der russische Antivirenhersteller Dr.
Web [https://news.drweb.com/show/?i=10345&lng=en] hat eine Liste mit
Smartphone-Modellen veröffentlicht, auf denen Malware vorinstalliert ist.
„Android.DownLoader.473.origin“ und „Android.Sprovider.7“ laden
automatisch Programme herunter, installieren diese und führen sie aus.
Darüber hinaus sind die Schadprogramme in der Lage, Installationsdateien
für Android Apps, sogenannte APK-Dateien herunterzuladen und diese zu
installieren sowie auszuführen. Die Malware Android-Sprovider.7 kann
zudem Anrufe an beliebige Telefonnummern tätigen und Links im Browser
öffnen.
Generell sind Smartphones und die auf ihnen gespeicherten Daten den
gleichen Gefahren ausgesetzt wie der mit dem Internet verbundene
heimische PC . Es gibt aber einiges, was Sie zum Schutz
Ihres
Mobilgeräts [https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/BasisschutzGeraet/EinrichtungMobileGeraete/EinrichtungMobileGeraete_node.html]
tun können.

4. Gefälschte E-Mail im Umlauf: THW

Wie die Bundesanstalt Technisches
Hilfswerk [https://www.thw.de/SharedDocs/Meldungen/DE/Meldungen/national/2016/12/meldung_003_warnung_schadmail.html]
berichtet, versenden Cyber-Kriminelle aktuell gefälschte Rechnungen des
THW. Die E-Mails erhalten eine PDF-Datei mit dem Link „Rechnung
herunterladen“. Wer den Link anklickt, startet automatisch das Laden von
Schadsoftware.
Was Nutzer tun können, um sich vor solchen E-Mails zu schützen, erfahren
Sie in der Rubrik Spam, Phishing &
Co [https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/spamPhishingCo_node.html]
auf der BSI-Webseite.

5. Verbreitung über Schadprogramm-Spam mit vermeintlichen
Lizenz-Rechnungen im Namen von Unternehmen: Ransomware

Spam-Versender nutzen vermeintliche Rechnungen über Software-Lizenzen im
Namen von tatsächlich existierenden Unternehmen. Zudem ist die
vollständige postalische Adresse des Empfängers in der E-Mail angegeben.
Die E-Mail im HTML-Format enthält keinen Anhang, sondern einen
verschleierten Link, der auf ein Schadprogramm verweist. Es
wurde z. B. die Ransomware „Maktub Locker“
nachgeladen [https://twitter.com/certbund/status/809405136590225409].
Die als Absender genannten Unternehmen schalteten teilweise Warnhinweise
auf ihren Webseiten, um Empfänger der E-Mails mit dem gefälschten
Absender vor dem Täuschungsversuch zu warnen. Empfehlungen zum Schutz vor
Ransomware im Allgemeinen bietet das Dokument Ransomware:
Bedrohungslage, Prävention &
Reaktion [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.pdf].

SCHUTZMASSNAHMEN
6. Sicherheitsupdates für iOS, Safari, iCloud, iTunes, Mac OSX und macOS
Sierra: Apple

Apple veröffentlicht Sicherheitsupdates für iOS
10.2 [https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/warnmeldung_tw-t16-0142.html],
Safari [https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/warnmeldung_tw-t16-0146.html?nn=6775642],
iCloud für Windows
6.1 [https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/warnmeldung_tw-t16-0148.html]
und iTunes 12.5.4 für
Windows [https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/warnmeldung_tw-t16-0147.html]
sowie Mac OSX und macOS
Sierra [https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/warnmeldung_tw-t16-0150.html].
Aufgrund der Gefährdungen, die von den Schwachstellen in den einzelnen
Programmen ausgehen, sollten Sie die Aktualisierung auf die jeweils neue
Version umgehend vornehmen. Sie finden alle Sicherheitsupdates auf der
Apple-Download-Seite [https://support.apple.com/downloads/].

7. Aktualisierung von Adobe Digital Editions und Flash Player: Adobe

Adobe schließt zwei Sicherheitslücken in Adobe Digital
Editions [https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/warnmeldung_tw-t16-0149.html],
die es ermöglichen, Informationen auf einem System auszuspähen. Darüber
hinaus veröffentlicht das Unternehmen ein
Sicherheitsupdate [https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/warnmeldung_tw-t16-0143_update_1.html]
für den Adobe Flash Player und schließt damit mehrere Schwachstellen, die
Unbefugte ausnutzen können, um Befehle oder Programme auszuführen und so
die Kontrolle eines Systems zu übernehmen.
Nutzer sollten die Updates umgehend durchführen, sofern Sie nicht die
automatische Update-Funktion innerhalb der Produkte nutzen.

8. Patchday im Dezember: Microsoft

Microsoft stellt mit dem Dezember 2016 Patchday
[https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/warnmeldung_tw-t16-0144.html]
Sicherheitsupdates für mehrere Produkte zur Verfügung. Darunter befinden
sich alle derzeit unterstützten Versionen des Internet Explorers, des
Browsers Edge, verschiedene Office-Pakete, das .NET Framework und alle
aktuellen Windows-Versionen. Microsoft aktualisiert zudem den Adobe Flash
Player und behebt damit zusätzliche schwerwiegende
Sicherheitsanfälligkeiten.
Installieren Sie das Sicherheitsupdate zeitnah über die
Windows-Update-Funktion. Alternativ können die Sicherheitsupdates auch
von der
Microsoft-Webseite [http://www.update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=de&&thankspage=5]
heruntergeladen werden.

9. Neue Version von Browser Firefox: Mozilla

Mozilla stellt die Version Firefox 50.1 bereit. Diese schließt einige
schwerwiegende
Sicherheitslücken [https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/warnmeldung_tw-t16-0145.html].
Das Sicherheitsupdate [
https://www.mozilla.org/de/firefox/new/] sollte so bald wie möglich
installiert werden.

10. Sicherheitsupdate verfügbar: Android

Google schließt für mobile Geräte mit Google Android insgesamt
74
Schwachstellen [https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/warnmeldung_tw-t16-0139_update_1.html].
Elf von diesen werden als kritisch eingestuft. Bisher wurden
Informationen zu Sicherheitsupdates für Google Nexus-Geräte, Google
Android One, Google Pixel, verschiedene Smartphones von LG Mobile sowie
für Smartphones mit dem Betriebssystem „BlackBerry powered by Android“
und Samsung Mobile veröffentlicht.
Nutzer sollten Google Android 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 und 7.0 auf
die Version 2016-12-05 über die automatische Update-Funktion
aktualisieren.

11. Sicherheitslücken in Routern: Netgear

In verschiedenen WLAN-Routern der Firma Netgear existiert eine
kritische
Sicherheitslücke [https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/warnmeldung_tw-t16-0141_update_2.html].
Der Hersteller hat die Verwundbarkeit der WLAN-Router mit den
Modellnummern R6250, R6400, R6700, R6900, R7000, R7100LG, R7300DST, R7900
und R8000 sowie der DSL-Router mit den Modellnummern D6220 und D6400
bestätigt und stellt erste Sicherheitsupdates für den Produktivbetrieb
bereit. Für einzelne Router-Modelle gibt es bislang nur eine
Beta-Firmware. Den aktuellen Firmware-Stand zur Behebung der
Sicherheitslücke können Sie auf der
Netgear-Webseite [http://kb.netgear.com/000036386/CVE-2016-582384]
einsehen.

12. Sicherheitslücken im Content-Management System: Joomla!

Im Joomla! Content Management System der Versionen 3.4.4 bis
einschließlich 3.6.4
existiert eine
Sicherheitslücke [https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/warnmeldung_tw-t16-0140_update_1.html].
Sie ermöglicht es einem Angreifer beliebigen Programmcode auszuführen und
so Schaden auf einem betroffenen System anzurichten. Für Joomla! steht
die Version 3.6.5 [https://downloads.joomla.org/] als
Sicherheitsupdate zur Verfügung. Sie behebt sowohl die bereits gemeldete
kritische Sicherheitslücke als auch weitere Schwachstellen.

PRISMA
13. Sicherheit bei Bankgeschäften: Online-Banking

Via Online-Banking und Banking-Apps tätigen viele Nutzer von zu Hause
ihre Bankgeschäfte. Allerdings steht Online-Banking auch immer wieder im
Fokus von Kriminellen, die darauf abzielen, sensible Daten abzufangen und
die Konten der Nutzer zu leeren. Aus Sicherheitsgründen lösen Verfahren
mit der sogenannten Zwei-Faktor-Authentifizierung zunehmend das
inzwischen als unsicher geltende papierbasierte TAN-Verfahren ab. Unsere
Themenseite klärt auf über die Stärken und Schwächen verschiedener
TAN-Verfahren [https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Online_Banking_21122016.html].

14. Digitale Seite von 180 Experten für Cyber-Sicherheit gesucht:
Karriere im BSI

Im Zuge der Digitalisierung wachsen die Anforderungen an
Informationstechnologie. Die Cyber-Sicherheit ist hierbei eine
wesentliche Voraussetzung für das Gelingen der Digitalisierung in
Deutschland. Als nationale Cyber-Sicherheitsbehörde stellt das BSI
weitere Fachkräfte ein, um den sicheren Einsatz von Informations- und
Kommunikationstechnik in Gesellschaft, Staat und Wirtschaft weiter
voranzutreiben. Insgesamt 180 Spezialisten werden hierfür im Jahr 2017
gebraucht. Gesucht werden sowohl Hochschulabsolventen wie auch Fachkräfte
mit Berufserfahrung aus allen MINT-Bereichen
(Mathematik-Informatik-Naturwissenschaft-Technik). Zeitgleich mit den
ersten Stellenausschreibungen startet die Kampagne „Deine Digitale Seite“
auf dem neuen Karriereportal des
BSI [http://www.bsi.bund.de/karriere].

15. Warum internetfähige Puppen und Co. nicht ins Kinderzimmer gehören:
WLAN

Während im letzten Jahr „Hello Barbie“ für Aufregung in Kinderzimmern
sorgte, warnt Medienberichten wie dem des
BR [http://www.br.de/nachrichten/puppen-internetzugang-warnung-verbraucherschutz-100.html]
zufolge der Europäische Verbraucherschutz dieses Jahr vor der iPuppe „My
Friend Cayla“. Denn solches internetfähige Spielzeug ist in der Lage,
sensible Daten zu sammeln. So berichtet der
Gdata-Blog [https://blog.gdata.de/2016/12/29382-datenschutz-und-kinderspielzeug]
davon, dass das Spielzeug des Herstellers Genesis Toys Informationen wie
Namen, GPS-Daten und auch Stimmaufzeichnungen speichert.
Um Ihr privates WLAN und damit alle internetfähigen Geräte und Spielzeuge
zu schützen, sollten Sie folgende
Sicherheitstipps [https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungWLAN-LAN/WLAN/Sicherheitstipps/sicherheitstipps_node.html]
berücksichtigen.

16. Zugang zu Daten auf Geräten erschweren: Smartphones

Dort, wo viele Menschen unterwegs sind, wittern oftmals Taschendiebe
Beute. Neben dem Portemonnaie haben sie es auch auf Smartphones
abgesehen. Sollte Ihnen das Smartphone gestohlen werden, dann können Sie
vorher wenigstens präventiv sicherstellen, dass die Diebe nicht auf die
Daten des gestohlenen Smartphones zugreifen können. Was dafür zu tun ist,
können Sie auf
www.bsi-fuer-buerger.de [https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Smartphone_Diebstahl_14122016.html]
nachlesen.

———————————————————————–
Dieser Newsletter „SICHER o INFORMIERT“ ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: