Newsletter SICHER • INFORMIERT vom 12.05.2021
Ausgabe: 10/2021
Liebe LeserInnen,
„Der Mai ist gekommen“ – und mit ihm ein bunter Blumenstrauß an Motto-, Aktions- und Feiertagen wie Pfingsten, Muttertag oder der Welt-Passwort-Tag zu Monatsbeginn. Unter „Zeitlos wichtig“ lesen Sie nochmal die wichtigsten Regeln für sichere Passwörter nach.
Heute, am 12. Mai, ist in Großbritannien übrigens der Tag der Gurke… okay, Spaß beiseite: Wichtiger ist da der internationale Tag der Pflege, der am heutigen Datum die Arbeit der Pflegekräfte würdigt. Und so vielfältig wie die Feiertage im Mai präsentiert sich auch die Themen dieses
Newsletters: Datenlecks bei Lieferdienst und Rollerhersteller, eine zwölf Jahre alte Sicherheitslücke sowie aktuelle BSI-Empfehlungen für Windows 10. Neuen Lesestoff für den Feiertag am Donnerstag liefern außerdem unsere neuen Informationsbroschüren „Wegweiser für den digitalen Alltag“ – mehr erfahren Sie in der Rubrik „Gut zu wissen“.
Viel Spaß beim Lesen wünscht Ihnen
Jan Lammertz / Team BSI-für-Bürger
Inhaltsverzeichnis
In den Schlagzeilen—————–
- Sicherheitslücken bei Gorillas-Lieferdienst 2. Cyberangriff auf TU Berlin 3. Tesla mit Drohne gehackt 4. „Ich weiß, wo dein Roller steht!“
Bleiben Sie up-to-date—————–
- Aktuelle Warnmeldungen des BSI
- Windows 10: BSI veröffentlicht Tipps zur sicheren Konfiguration
Gut zu wissen—————–
- Neue BSI-Broschüren: Wegweiser für den digitalen Alltag 8. Was für die Ohren: „Der Mann in Merkels Rechner“
Kurz erklärt—————–
- Was verbirgt sich hinter Credential Stuffing?
Zahl der Woche—————–
- Zwölf Jahre alte Sicherheitslücke
Zeitlos wichtig—————–
- Wann ist ein Passwort eigentlich sicher?
—————————————————-
In den Schlagzeilen
- Sicherheitslücken bei Gorillas-Lieferdienst
Der Lieferdienst Gorillas beliefert in zwölf deutschen Großstädten wie Berlin, München, Hamburg und Köln Haushalte mit Lebensmitteln innerhalb weniger Minuten nach der Online-Bestellung. Als unerwünschte Beilage lieferte das Startup nun auch eine Sicherheitslücke mit: Mehr als eine Millionen Bestelldaten von über 200.000 KundInnen waren offenbar zeitweilig im Netz abrufbar, berichtet die Tagesschau – darunter Namen, Telefonnummern, E-Mail- und Wohnadressen. „Die Mitglieder des IT-Kollektivs Zerforschung, einer Gruppe von Programmierern und Informatikern, entdeckten die Sicherheitslücken“, heißt es in dem Artikel weiter. Gorillas habe die Lücke, die mittlerweile geschlossen sei, bestätigt und betroffene KundInnen per E-Mail benachrichtigt.
Bericht der Tagesschau: https://www.tagesschau.de/investigativ/ndr/lieferservice-gorillas-kundendaten-101.html
- Cyberangriff auf TU Berlin
Die IT-Dienste der Technischen Universität (TU) Berlin sind nach einem Angriff nur noch eingeschränkt verfügbar, meldet Heise Online. Betroffen seien unter anderem Dienste wie WLAN, das Senden und Empfangen von E-Mails sowie VPN-Clients. Über die Art des Angriffs gebe es bislang ebenso wenig gesicherte Erkenntnisse wie über die voraussichtliche Dauer der Störung. Ein Notfallstab und externe IT-SicherheitsexpertInnen würden aber intensiv an einer Lösung arbeiten.
Zur Meldung von Heise Online: https://www.heise.de/news/IT-Dienste-der-TU-Berlin-angegriffen-6034861.html
- Tesla mit Drohne gehackt
E-Autos des US-amerikanischen Herstellers Tesla nutzen ein WLAN-Netzwerk, um das Betriebssystem der Fahrzeuge auf dem neusten Stand zu halten. Vor Kurzem haben es zwei Sicherheitsforscher geschafft, mithilfe einer Drohne über das WLAN in das Kontrollsystem eines Tesla einzudringen; schreibt die News-Plattform Golem. So seien sie zum Beispiel in der Lage gewesen, nach etwas weniger als einer Minute die Türen automatisch zu öffnen. Eine Steuerung des Autos sei aber nicht möglich gewesen, berichtet Golem. Dafür sei ein anderes System zuständig. Die Lücke wurde in der Zwischenzeit geschlossen.
BSI-Informationen zu Chancen und Risiken des vernetzten Fahrens: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Internet-der-Dinge-Smart-leben/Vernetztes-Fahren/vernetztes-fahren_node.html
Bericht bei Golem: https://www.golem.de/news/tbone-tesla-mit-drohne-gehackt-2104-156156.html
- „Ich weiß, wo dein Roller steht!“
Die Standortdaten der batteriegetriebenen Motorroller und -räder von Supersoco lassen sich über eine „schwere Sicherheitslücke“ ausspähen, meldet Heise Online. Dabei spiele es keine Rolle, ob die betroffenen EigentümerInnen ihre Fahrzeuge beim australischen Hersteller registriert hätten. Die Daten würden ungeachtet dessen an den Herstellerserver gefunkt und dort gespeichert. Laut des Berichts hätten weder der Supersoco-Importeur für Österreich und Deutschland noch der Hersteller selbst bisher angemessen auf die Sicherheitslücke reagiert. BesitzerInnen der Zweiräder haben momentan nur die Möglichkeit, den GPS-Tracker in einer Werkstatt entfernen und durch eine selbst ausgewählte, sichere Tracking-Hardware ersetzen zu lassen.
Empfehlungen des BSI für den Schutz mobiler Geräte – auch mit GPS: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Basisschutz-fuer-Computer-Mobilgeraete/Schutz-fuer-Mobilgeraete/schutz-fuer-mobilgeraete_node.html
Heise Online über die Sicherheitslücke in E-Rollern: https://www.heise.de/hintergrund/Schwere-Sicherheitsluecke-verraet-tausende-E-Roller-Standorte-und-Telefonnummern-6032820.html
—————————————————-
Bleiben Sie up-to-date
- Aktuelle Warnmeldungen des BSI
Das „Computer Emergency Response Team“ des BSI informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es Meldungen unter anderem zu: Google Chrome (< 90.0.4430.212) und Google Android (8,1, 9, 10, 11); Apple macOS (< 11.3.1), Apple iOS (< 12.5.3, < 14.5.1) und Apple iPadOS (< 14.5.1); Microsoft Windows (< Raw_image_extension 10.0.20236.1001); Dell Computer; Apple Safari (< 14.1); Mozilla Firefox ESR (< 78.10.1), Mozilla Firefox (< 88.0.1), Mozilla Firefox for Android (< 88.1) und Mozilla Thunderbird (< 78.10.1); sowie Foxit Phantom PDF Suite (< 10.1.4).
Informationen und Tipps zum Umgang mit diesen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT finden Sie hier: https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Buerger-CERT-Abos/Buerger-CERT-Sicherheitshinweise/buerger-cert-sicherheitshinweise_node.html
- Windows 10: BSI veröffentlicht Tipps zur sicheren Konfiguration
Viele Angriffe auf das Microsoft-Betriebssystem Windows 10 lassen sich bereits mit Bordmitteln und regelmäßigen Updates verhindern. Wie sich Windows 10 am besten dafür konfigurieren lässt, erklärt das BSI in seinen kürzlich veröffentlichten Handlungsempfehlungen in deutscher und englischer Sprache. Der Fokus liegt dabei auf der einfachen Umsetzung und praktischen Anwendung. Für Unternehmen sind die empfohlenen Konfigurationseinstellungen auch als direkt in Windows importierbare Gruppenrichtlinienobjekte (GPO) verfügbar.
Pressemeldung des BSI: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/210503_SiSyPHuS.html
Zum Download der Gruppenrichtlinien: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/SiSyPHuS_Win10/AP12/SiSyPHuS_AP12_node.html
—————————————————-
Gut zu wissen
- Neue BSI-Broschüren: Wegweiser für den digitalen Alltag
„Alles neu macht der Mai“ lautet ein altbekanntes Sprichwort. In neuem Gewand und mit aktualisierten Inhalten informieren die fünf Broschüren über den sicheren Umgang beim Surfen im Internet, bei Cloud-Diensten, sozialen Netzwerken, Smartphones und Tablets sowie mit dem Internet der Dinge. Sie enthalten Erklärungen zu den jeweiligen Themen und geben Ihnen ausführliche Tipps und Sicherheitshinweise an die Hand. Für einen schnellen Überblick enthält jede Broschüre außerdem eine kompakte Checkliste der wichtigsten Punkte. Sie können sich die Broschüren auf unserer BSI-Webseite online ansehen, als PDF downloaden oder als Printversion bestellen.
Die neuen Bürger-Broschüren gibt es hier: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Broschueren/broschueren_node.html
Ausführliche BSI-Informationen zum digitalen Verbraucherschutz finden Sie hier: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Leistungen-und-Kooperationen/Digitaler-Verbraucherschutz/digitaler-verbraucherschutz_node.html
- Was für die Ohren: „Der Mann in Merkels Rechner“
Vor sechs Jahren, im Frühjahr 2015, gab es einen großen Cyberangriff auf den Deutschen Bundestag. Die Hacker drangen dabei in die Computer von Abgeordneten ein. Einer der mutmaßlich russischen Täter schaffte es sogar bis in den Rechner von Bundeskanzlerin Angela Merkel. „Bis heute“, heißt es in einem Hörstück von Bayern 2 über den Angriff, „weiß die Öffentlichkeit nicht, welche Daten gestohlen wurden und was der Hacker damit gemacht hat.“ Das fünfteilige Hörstück rollt den Fall auf und beantwortet die Frage, wer für den Angriff verantwortlich war.
Zum Hörstück von Bayern 2: https://www.ardaudiothek.de/der-mann-in-merkels-rechner-jagd-auf-putins-hacker/88043970
—————————————————-
Kurz erklärt
- Was verbirgt sich hinter Credential Stuffing?
In unserem Newsletter berichten wir regelmäßig darüber, dass Zugangsdaten gestohlen und illegal im Internet zum Verkauf angeboten werden. Beim Credential Stuffing nutzen Cyberkriminelle solche Datensätze oder generierte Kombinationen aus Benutzernamen und Passwörtern für Login-Versuche bei anderen Onlinediensten. Die Kriminellen hoffen darauf, dass viele NutzerInnen ihre Logindaten aus Bequemlichkeit mehrfach verwenden, und haben mithilfe intelligenter Angriffsmethoden auch Erfolg damit. Unterschiedliche Passwörter für verschiedene Dienste, aber auch eine Mehrfachauthentifizierung können dagegen helfen.
Das BSI weist in seinen Lageberichten 2020 und 2019 auf Credential Stuffing hin: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html
Zum ausführlichen Artikel von Security Insider: https://www.security-insider.de/credential-stuffing-als-neuer-trend-im-cybercrime-a-1021338/
—————————————————-
Zahl der Woche
- Zwölf Jahre alte Sicherheitslücke
Geschlagene zwölf Jahre hat der US-Computerhersteller Dell gebraucht, um eine Sicherheitslücke in potenziell Hunderten Millionen von Dell produzierten Computern zu schließen. Die Schwachstelle in einem Treiberprogramm für Firmware-Updates betrifft rund 400 Modelle der Baujahre 2009 bis 2021, so der Spiegel. Cyberkriminelle könnten die Lücke ausnutzen, um erweiterte Rechte auf dem angegriffenen Computer zu bekommen und um in der Folge die Kontrolle über den Rechner erlangen. Laut Informationen des Spiegels sei die Schwachstelle bisher nicht ausgenutzt worden. Das BSI empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Sicherheitslücke zu schließen.
Zur Spiegel-Meldung: https://www.spiegel.de/netzwelt/gadgets/dell-schliesst-zwoelf-jahre-alte-sicherheitsluecke-a-9cf002c0-64c6-4d51-8d66-01376a7147dd
Dell selbst gibt auf seiner Webseite Tipps zur Installation: https://www.dell.com/support/kbdoc/de-de/000186019/dsa-2021-088-dell-client-platform-security-update-for-dell-driver-insufficient-access-control-vulnerability
—————————————————-
Zeitlos wichtig
- Wann ist ein Passwort eigentlich sicher?
Der Welt-Passwort-Tag ist zwar schon fast zwei Wochen her, aber wir lassen es uns trotzdem nicht nehmen, an dieser Stelle nochmals auf die wichtigsten Regeln für sichere Passwörter hinzuweisen. Wichtig sind sie schließlich immer! Sie als regelmäßige LeserInnen dieses Newsletters gehören wahrscheinlich nicht zu denen, die ihre Geräte und Benutzerkonten mit unsicheren Passwörtern wie „123456“ oder „passwort“ sichern. Teilen Sie gern in Ihrem Umfeld unsere Hinweise für sichere Passwörter – und vielleicht ist ja auch noch ein Tipp für Sie dabei.
Für die Lesefaulen haben wir die sechs wichtigsten Tipps für gute Passwörter in einer Grafik zusammengefasst:
https://www.facebook.com/bsi.fuer.buerger/photos/a.257621217613645/5470264206349294/
Wer etwas mehr Zeit für die Lektüre hat, findet hier ausführliche Informationen zu Passwort-Sicherheit: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html
Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Buerger-CERT-Abos/Abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.facebook.com/bsi.fuer.buerger
https://www.twitter.com/BSI_Bund
https://www.instagram.com/bsi_bund
https://social.bund.de/@bsi
Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn