Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in Oracle Java SE ausnutzen, um die Verfügbarkeit, Vertraulichkeit und Integrität zu gefährden.
Google meldet mehrere Schwachstellen in seinem Chrome Browser. Ein Angreifer kann diese ausnutzen, um Schadcode auszuführen, vertrauliche Daten einzusehen oder einen Denial of Service Angriff durchzuführen. Zur erfolgreichen Ausnutzung genügt es, eine bösartige Webseite bzw. einen Link dorthin zu öffnen.
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Mozilla Firefox und Mozilla Firefox ESR ausnutzen, um Schadcode auszuführen, einen Absturz zu verursachen, vertrauliche Informationen auszuspähen oder Sicherheitsvorkehrungen zu umgehen. Zur Ausnutzung genügt es, eine bösartige E-Mail, Webseite oder einen Link dorthin zu öffnen.
„Passwords are a thing of the past“ – Passwörter sollten der Vergangenheit angehören – lautet die Überschrift eines YouTube-Videos aus Belgien. Es fordert dazu auf, die Zwei-Faktor-Authentisierung zu nutzen, um Online-Konten besser zu schützen. Das unterhaltsame Filmchen wurde vor ein paar Tagen zum besten Kampagnen-Video des European Cyber Security Month (ECSM) gewählt. Der ECSM läuft noch den ganzen Oktober, nutzen Sie die vielfältigen Angebote! Und auch diese Ausgabe hält eine bunte Mischung aus wichtigen Meldungen und hilfreichen Hinweisen bereit. Wir berichten unter anderem über die kürzlich veröffentlichte Cyberfibel, eine neue Android-App zum Datencheck und weitere BSI-Inhalte rund um das Thema Deep Fakes.
Viel Spaß beim Lesen wünscht Ihnen
Jan Lammertz / Team BSI-für-Bürger
Inhalt
In den Schlagzeilen—————–
Keinen Zoll den BetrügerInnen
Kontenübernahme statt Date: Schwere Sicherheitslücke bei Grindr 3. 88 Monate Haft für 117 Millionen Logins
Bleiben Sie up-to-date—————–
Aktuelle Warnmeldungen des Bürger-CERT 5. HP Device Manager anfällig für Wörterbuch-Attacken 6. Sicherheitslücken auch bei Microsoft Exchange Servern
Gut zu wissen—————–
Das ABC der IT-Sicherheit: DsiN und BSI veröffentlichen Cyberfibel 8. Info-App zum Datencheck 9. Cyberkriminelle werden immer professioneller
Kurz erklärt—————–
Was sind eigentlich Deep Fakes?
Vernetztes Fahren: Die Zukunft des Automobils
Zahl der Woche—————–
312.000 neue Malware-Varianten pro Tag
Zeitlos wichtig—————–
Die Top Ten der Phishing-Fallen
Was wichtig wird—————–
Neuer Lagebericht des BSI
—————————————————-
In den Schlagzeilen
Keinen Zoll den BetrügerInnen
Der Zoll und der Paketversender DHL warnen vor betrügerischen E-Mails, berichtet Heise Online. Demnach versuchen BetrügerInnen derzeit, vermeintliche EmpfängerInnen von Paketen zu verleiten, Zollgebühren dafür zu bezahlen. Die E-Mails kommen von Absendern wie „“ oder „“ und mit dem Betreff „Benachrichtigungen: Zoll-Kundendienst“. Der Zoll stellt klar: Solche Zahlungsaufforderungen werde es von ihm niemals ohne vorherige Anhörung der Betroffenen geben. Gemeinsam mit DHL rät er, die Links in solchen E-Mails auf keinen Fall anzuklicken.
Kontenübernahme statt Date: Schwere Sicherheitslücke bei Grindr
Das Online-Portal Golem warnt vor einer Sicherheitslücke in der Smartphone-App von Grindr, einer Dating-Plattform für die LGBTQ+-Community. Über die Funktion zum Zurücksetzen des Passworts könnten AngreiferInnen Nutzerkonten komplett übernehmen. Wird über die Website des Portals das Zurücksetzen des Passworts ausgelöst, könnte mit entsprechenden Tools die Information für den Reset-Link ausgelesen werden. Wer die E-Mail-Adresse eines/r Nutzers/in kenne, könne so Kontrolle über den Account erlangen. Grindr reagierte dem Bericht zufolge erst nicht auf den Hinweis des französischen Sicherheitsforschers, der auf das Problem hingewiesen hatte. Inzwischen ist die Lücke aber geschlossen.
2012 erbeutete ein russischer Hacker 117 Millionen Login-Daten, unter anderem für die Plattformen LinkedIn und Dropbox, wie die Süddeutsche Zeitung berichtet. Ein Klacks gegen moderne Datendiebstähle: Heute geht die Zahl erbeuteter Anmeldedaten bei größeren Datenlecks oder Hacks manchmal sogar in die Milliarden. Aber auch wenn sein Vergehen aus heutiger Sicht eher einer Kleinigkeit gleicht, verurteilte ein Bezirksgericht in San Francisco den russischen Hacker nun zu sieben Jahren und vier Monaten Gefängnisstrafe. Das vergleichsweise harte Urteil solle auch eine Botschaft der Abschreckung an internationale Cyberkriminelle sein, erklärte der Richter.
Das „Computer Emergency Response Team“ des BSI informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es Meldungen unter anderem zu Nvidia; Bitdefender Antivirus (< engine 7.85448, < 7.84897), Bitdefender Internet Security (< engine 7.85448, < 7.84897), und Bitdefender Total Security (< engine 7.85448, < 7.84897); Trend Micro AntiVirus (2019 mac, 2020 mac); Google Android (8.0, 8.1, 9, 10, 11); Google Chrome (< 86.0.4240.75); sowie Open Source phpMyAdmin (< 4.9.6, < 5.0.3).
HP Device Manager anfällig für Wörterbuch-Attacken
Der HP Device Manager, über den IT-AdministratorInnen mobile Geräte verwalten, ist anfällig für sogenannte Wörterbuch-Attacken. Dabei nutzen Cyberkriminelle sinntragende Buchstabenkombinationen, also Wörter, um Passwörter zu knacken. HP selbst bewertet die Gefahr dieser Lücke als „hoch“. Weil zudem noch zwei weitere Sicherheitslücken mit dem Bedrohungsgrad „hoch“ und „kritisch“ entdeckt wurden, rät HP dringend zum Update.
Sicherheitslücken auch bei Microsoft Exchange Servern
Das BSI erinnert an die schweren Sicherheitslücken in dem Groupware- und E-Mail-Server Exchange von Microsoft. Denn: Seit mehreren Monaten bereits stehen Sicherheitsupdates bereit, mit denen sich die kritischen Lücken beheben lassen. Trotzdem sind noch immer viele Exchange-Server öffentlich erreichbar und zudem mehrere Tausend Exchange-Server anfällig für eine der Schwachstellen. Das BSI rät nach wie vor dringend dazu, die Sicherheitslücken mithilfe der bereitgestellten Updates zu schließen.
Das ABC der IT-Sicherheit: DsiN und BSI veröffentlichen Cyberfibel
Was müssen VerbraucherInnen wissen, um sich selbstbestimmt und sicher durch die digitale Welt bewegen zu können? Diese Frage beantwortet die neue Cyberfibel, die das BSI und der Verein Deutschland sicher im Netz (DsiN) kürzlich veröffentlichten. Das leicht verständliche Nachschlagewerk richtet sich vor allem an WissensvermittlerInnen, die in der Verbraucherberatung oder -aufklärung tätig sind. Auf über 200 Seiten geht es auf aktuelle Fragestellungen im digitalen Alltag ein – mit Erklärungen, Hintergründen, Übungen, Handlungsempfehlungen und weiterführenden Links. Es bildet so eine umfassende Grundlage, um Basiswissen und Digitalkompetenzen rund um digitale Technologien und Angebote an Menschen jeden Alters zu vermitteln.
Das Projekt „Daten-Check für Smartphone-Apps“ bewertet Android-Apps danach, wie sie mit den Daten ihrer NutzerInnen umgehen und an wen sie diese Daten schicken. Insgesamt liefert die Datenbank Testergebnisse für rund 30.000 Android-Apps. Der Daten-Check ist ein gemeinnütziges Kooperationsprojekt zweier Berliner Vereine. Finanziert wird es vom Bundesministerium der Justiz und für Verbraucherschutz.
Microsoft stellt eine zunehmende Professionalisierung von Cyberkriminellen fest. In seinem Digital Defense Report 2020 warnt der Software-Konzern speziell vor Phishing-Attacken, bei denen die Angst vor COVID-19 ausgenutzt werde. Darüber war auch an dieser Stelle bereits häufiger zu lesen. Ebenfalls im Fokus des Berichts: Ransomware und Angriffe auf das Internet der Dinge (Internet of Things, IoT). Zudem hätten auch 16 staatliche Akteure aufgrund von COVID-19 ihre Angriffsziele angepasst. Sie hätten es in den vergangenen Monaten auf Microsoft-Kunden abgesehen, die sich gegen COVID-19 stark machen, also beispielsweise Impfstoffe gegen das Virus erforschen.
Noch den ganzen Oktober finden in Europa Veranstaltungen zum European Cyber Security Month (ECSM) statt. Dabei widmet sich das BSI unter anderem der Frage, was genau Deep Fakes sind, die immer häufiger zur Verbreitung von Falschnachrichten und Betrugsmaschen genutzt werden. Es handelt sich dabei um Videos oder Audioaufnahmen, die mit Hilfe künstlicher Intelligenz verfälscht oder komplett neu erschaffen werden. Die technischen Möglichkeiten sind mittlerweile so gut, dass solche Fälschungen nicht oder nur noch sehr schwer zu erkennen sind. Die erste Folge des neuen BSI-Podcasts „Update verfügbar“, drei Experten-Livestreams und ein neues Erklärvideo widmen sich diesem Thema.
„Fahrende Hochleistungsrechner“ – so nennt BSI-Präsident Arne Schönbohm moderne Autos und fordert, Sicherheitskonzepte auf die digitale Ausstattung von Fahrzeugen auszuweiten. Dafür ist das BSI eine Partnerschaft mit dem Kraftfahrt-Bundesamt (KBA) eingegangen. Autos sind zunehmend untereinander und permanent mit dem Internet vernetzt, um Daten über den laufenden Verkehr und etwaige Verkehrsbehinderungen auszutauschen. Der reibungslose und sichere Datenaustausch ist eine der wichtigsten Voraussetzungen für das autonome Fahren der Zukunft.
Das Bundeskriminalamt (BKA) hat sein Bundeslagebild Cybercrime 2019 veröffentlicht. Der sehr faktenreiche Report weist unter anderem eine riesige Menge sogenannter Malware-Familien aus, also Schadprogramme mit ähnlichen Merkmalen und Funktionen. Insgesamt, so das BKA, habe man bereits mehr als eine Milliarde Malware-Familien festgestellt. Pro Tag würden überdies rund 312.000 neue Varianten entdeckt. Aber selbst diese Zahlen, schreibt die Behörde, stellten nur einen Teil der insgesamt identifizierten Malware-Varianten dar. „Die genaue Zahl fällt aufgrund des erheblichen Dunkelfelds im Phänomenbereich Cybercrime weitaus höher aus.“
Phishing per E-Mail ist ein Dauerbrenner in der Cyberkriminalität. Security-Insider hat daher eine Top Ten der erfolgreichsten Phishing-Fallen erstellt. Die Liste reicht von E-Mails aus der IT oder Personalabteilung bis hin zu Hinweisen auf ein Paket am Empfang oder das brennende Licht am Auto. Als Faustregel gilt: Je vertrauter die AbsenderInnen und je alltagstauglicher die Anfragen klingen, desto größer ist die Gefahr, versehentlich auf einen Phishing-Link zu klicken. Das aber kann – als erfahrene/r LeserIn unseres Newsletters wissen Sie das – fatale Folgen haben.
Gerne vormerken: Am 20. Oktober veröffentlicht das BSI seinen neuen Lagebericht zur IT-Sicherheit in Deutschland 2020. Mit dem Bericht gibt das BSI als die Cyber-Sicherheitsbehörde des Bundes einen umfassenden und fundierten Überblick über die Entwicklung der Bedrohungslage im Cyber-Raum. Zudem werden Gegenmaßnahmen des BSI und die gemeinsam mit Partnern gefundenen Lösungsansätze für die Akteure in Staat, Wirtschaft und Gesellschaft dargestellt.
Ein lokaler Angreifer kann mehrere Schwachstellen in VMware ESXi, VMware Workstation, VMware Fusion und VMware vCenter Server ausnutzen, um Informationen offenzulegen, Daten zu manipulieren, einen Denial of Service zu verursachen oder Code zur Ausführung zu bringen.
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Microsoft Windows 10 ausnutzen, um beliebigen Programmcode mit Benutzerrechten auszuführen.
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in phpMyAdmin ausnutzen, um einen Cross-Site Scripting oder SQL Injection Angriff durchzuführen.
In Google Chrome bestehen mehrere Schwachstellen. Diese können ausgenutzt werden, um vertrauliche Informationen einzusehen, Sicherheitsmechanismen zu umgehen, Daten zu manipulieren, den Browser zum Absturz zu bringen oder um beliebige Programme auszuführen. Zur Ausnutzung genügt es, eine Webseite zu öffnen, die bösartigen Code enthält (z. B. durch Anklicken eines Links).
Ein entfernter, anonymer oder lokaler Angreifer kann mehrere Schwachstellen in Google Android ausnutzen, um die Kontrolle über das Gerät zu übernehmen, einen Absturz des Gerätes oder zentraler Funktionen zu verursachen oder vertrauliche Informationen auszuspähen. Zur erfolgreichen Ausnutzung genügt es, eine bösartige Anwendung zu starten oder eine bösartige Datei aufzurufen.
Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn
Cookie-Zustimmung verwalten
Wir verwenden Cookies, um unsere Website und unseren Service zu optimieren.
Funktionale Cookies
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.