SICHER • INFORMIERT vom 17.09.2020

Ausgabe: 19/2020

Liebe LeserInnen,

auch Cyberkriminelle gehen mit der Zeit und setzen auf moderne Technologien, um ihre Angriffe noch effizienter zu gestalten. In unserem aktuellen Newsletter berichten wir daher zum Beispiel über eine Studie aus England. Sie enthüllt, wie Kriminelle künstliche Intelligenz (KI) nutzen, um Raubzüge, Betrügereien oder sogar Anschläge mit Autos planen zu können.

Allerdings bauen viele Cyberkriminelle auch schlicht auf menschliche Schwächen und die Gutmütigkeit ihrer potenziellen Opfer, die sie erst ausspionieren und dann bei Gelegenheit gnadenlos ausnutzen.

Die gute Nachricht ist: Vor beiden Szenarien können Sie sich schützen. Oft reicht dafür schon der gesunde Menschenverstand – und die Informationen, die Sie von uns an dieser Stelle bekommen.

Viel Spaß beim Lesen wünscht Ihnen

Jan Lammertz / Team BSI-für-Bürger

Inhalt

 

In den Schlagzeilen—————–

1. Datenpanne bei darfichrein.de
2. Datenklau bei Warner Music
3. Besser weghören!
4. Windows 10: Gestohlene Passwörter statt frischer Optik 5. Angriff bei E-Mail-Versand

 

 

Bleiben Sie up-to-date—————–

6. Aktuelle Warnmeldungen des Bürger-CERT 7. Adobe schließt kritische Lücken in InDesign & Co.

 

 

Gut zu wissen—————–

8. Vorsicht vor Social Engineering: „Jeder hat eine Schwachstelle“ 9. Autos als Waffe

 

 

Zahl der Woche—————–

10. 12 Monate

 

 

Zeitlos wichtig—————–

11. So schützen Sie sich vor Datenverlusten

 

 

Was wichtig wird—————–

12. Netzwerke stärken Netzwerke: The New Work – Digital und Sicher 13. Call for Papers

 

—————————————————-

In den Schlagzeilen

 

 

1. Datenpanne bei darfichrein.de

 

Schon im vergangenen Newsletter hatten wir darüber berichtet, dass der Chaos Computer Club (CCC) im Internet große Mengen von Adressdaten aus Restaurants gefunden hat, darunter mehr als 87.000 Einträge, die speziell der Kontaktverfolgung im Falle einer Corona-Infektion dienen sollen. Jetzt hat der CCC „erneut Sicherheitslücken in einer digitalen Kontaktliste zur Bekämpfung der Coronavirus-Epidemie entdeckt“, wie Heise Online meldet. Der CCC hätte demnach über die Plattform darfichrein.de „die Daten von über 400.000 Eintragungen aus mehr als 1000 Einrichtungen auslesen können“. Allerdings waren die Einträge verschlüsselt, so dass es im Falle eines Angriffs zu keiner größeren Datenpanne gekommen wäre. Der Betreiber der Plattform hat laut CCC „überraschend schnell“ reagiert und die Lücke innerhalb von nur 24 Stunden geschlossen.

 

Heise Online über erneute Schwachstellen in Corona-Listen: https://www.heise.de/news/CCC-deckt-erneut-Schwachstellen-in-Corona-Listen-auf-4885738.html

 

 

2. Datenklau bei Warner Music

 

Beim Musikproduzenten Warner Music Group sind „in einigen der Onlineshops des Unternehmens“ Kreditkartendetails gestohlen worden. Das gab das US-Unternehmen selbst bekannt. Zwischen dem 25. April und dem 05. August dieses Jahres hätten HackerInnen demnach „eine Reihe von E-Commerce-Aktivitäten“ kompromittiert, meldet ZDNet. Der Hack betraf „alle persönlichen Daten“, die in dieser Zeit auf betroffenen Webseiten eingegeben wurden. Dazu gehörten Name, E-Mail-Adresse, Telefonnummer, Rechnungsadresse, Lieferadresse sowie Zahlungskartendetails. Welches Ausmaß der Datenklau hat, und welche Seiten konkret infiziert waren, gab das Unternehmen nicht bekannt, sicherte aber zu, die Vorfälle detailliert zu untersuchen.

 

BSI-Tipps zum sicheren Onlineshopping: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/EinkaufenImInternet/einkaufeniminternet_node.html

 

Zur ZDNet-Meldung über den Hack bei Warner Music: https://www.zdnet.de/88382474/warner-music-opfer-einer-cyberattacke/

 

 

3. Besser weghören!

 

Das Landeskriminalamt Niedersachsen berichtet Anfang September von E-Mails mit Bombendrohungen, die besonders in Unternehmen und Behörden eingingen. Die ErpresserInnen forderten „Bitcoins in Höhe von mehreren tausend Euro, die innerhalb von 80 Stunden bezahlt werden müssen.“ Es habe „sogar schon Evakuierungen gegeben“, heißt es bei Heise Online. Gefunden wurde jedoch nichts. Die E-Mails sind mit dem Betreff „Hör mir besser zu!!!“ versehen, aber die Polizeiinspektion Heidekreis empfiehlt das genaue Gegenteil: Sie rät, nicht zu zahlen und auch keinen Kontakt zu den AbsenderInnen aufzunehmen.

 

BSI für Bürger gibt Hinweise für erste Hilfe bei IT-Sicherheitsvorfällen: https://www.bsi-fuer-buerger.de/BSIFB/DE/IT-Sicherheitsvorfall/buerger.html?cms_pos=1

 

Heise Online über die E-Mails mit Bombendrohungen: https://www.heise.de/newsticker/meldung/Hoer-mir-besser-zu-Bitcoin-Erpressermails-mit-Bombendrohungen-4885685.html

 

Hinweis der Polizeiinspektion Heidekreis: https://www.presseportal.de/blaulicht/pm/59460/4696919

 

 

4. Windows 10: Gestohlene Passwörter statt frischer Optik

 

Wer die Optik seines Windows-10-Rechners auffrischen möchte, kann das über sogenannte Themes tun. Mit ihnen können Sie die Benutzeroberfläche mit Wallpapern, Akzentfarben oder Sounds anpassen. Das Magazin futurezone warnt aber, dass bei der Installation solcher Themes Passwörter von NutzerInnen ausgespäht werden könnten. Dafür würden Konfigurationsdateien für Themes so programmiert, dass ein Hintergrundbild erst von einem externen Server heruntergeladen werden müsse. Bei der Installation poppe ein Fenster auf, das den Anschein erwecke, dass man seine Microsoft-Kontodaten eingeben müsse. Microsoft kenne das Problem, erklärte aber, nichts dagegen tun zu können. Das Magazin rät daher zu einer sicheren Zwei-Faktor-Authentisierung, die wenigstens einen gewissen Schutz gegen diese Form des Ausspähens biete.

 

BSI-Tipps zur Nutzung von Zwei-Faktor-Authentisierung bei wichtigen Accounts: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/Zwei_Faktor_Authentisierung/Zwei-Faktor-Authentisierung_node.html

 

futurezone zum Themes-Hack: https://futurezone.at/digital-life/warnung-windows-10-themes-stehlen-passwoerter/401025518

 

 

5. Angriff bei E-Mail-Versand

 

Viele Webseiten bieten ihren BesucherInnen die Möglichkeit, per E-Mail direkt Kontakt zu den BetreiberInnen aufzunehmen: Ein Klick auf eine E-Mail-Adresse genügt, um das eigene E-Mail-Programm und eine neue E-Mail zu öffnen. Jetzt haben ForscherInnen des Labors für IT-Sicherheit der FH Münster allerdings Schwachstellen in diesen sogenannten Mailto-Links entdeckt. Diese Lücke könnte es HackerInnen unter Umständen ermöglichen, eine Datei anzuhängen. Da der explizite Dateipfad angegeben werden muss, betrifft dies z.B. einen privaten Schlüssel für OpenPGP oder S/MIME. Über solche Dateien könnten die AngreiferInnen dann theoretisch Zugriff auf entsprechend verschlüsselte E-Mails erhalten. Welche E-Mail-Programme von dieser Lücke betroffen sind, teilten die ForscherInnen nicht mit. Allerdings hätten die Anbieter der Programme Updates angekündigt, die diese Lücke beheben.

 

Eine Anleitung zur Prüfung einer E-Mail auf mögliche Schadsoftware bietet das BSI unter: https://www.bsi.bund.de/SharedDocs/Videos/DE/BSIFB/E-Mail_Sicherheitscheck.html

 

Security-Insider über die Mailto-Lücke: https://www.security-insider.de/it-sicherheitsexperten-entdecken-schwachstellen-in-mailto-links-a-961518/

 

 

—————————————————-

Bleiben Sie up-to-date

 

 

6. Aktuelle Warnmeldungen des Bürger-CERT

 

Das „Computer Emergency Response Team“ des BSI informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es Meldungen zu Google Android (10, 8.0, 8.1 und 9), Google Chrome für Desktop-Rechner (< 85.0.4183.102) sowie VMware Fusion (11.x) und VMware Workstation (15.x).

 

Ausführliche Informationen, Tipps zum Umgang mit diesen gefährlichen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html

 

 

7. Adobe schließt kritische Lücken in InDesign & Co.

 

Adobe hat wichtige Sicherheitsupdates für Experience Manager, Framemaker und InDesign veröffentlicht. Welche Angriffsszenarien es bei den Anwendungen gibt, gab Adobe nicht bekannt, stuft die Lücken aber teilweise als „kritisch“ ein.

 

Weitere Sicherheitsbulletins und -hinweise von Adobe: https://helpx.adobe.com/de/security.html

 

 

—————————————————-

Gut zu wissen

 

 

8. Vorsicht vor Social Engineering: „Jeder hat eine Schwachstelle“

 

Die Sicherheitstrainerin Christina Lekati erklärt im Interview mit der Tageszeitung taz, wie das sogenannte Social Engineering funktioniert. Dabei sammelten Kriminelle zunächst Informationen über ein mögliches Opfer und bauten dann Vertrauen auf, „um es anschließend auszubeuten.“ Oft käme es über Phishing-Mails oder Anrufe zu ersten Kontakten, bei denen die AngreiferInnen persönliche Informationen oder Lockangebote einsetzen. Der wichtigste Rat der Expertin: „Bleiben Sie standhaft.“ Niemand sollte fremden Personen persönliche Informationen weitergeben.

 

Auch BSI für Bürger behandelt das Thema Social Engineering: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering_node.html

 

taz-Interview zu Social Engineering: https://taz.de/Sicherheitsexpertin-ueber-Social-Engineering/!5711020/

 

 

9. Autos als Waffe

 

Künstliche Intelligenz (KI) gehört zu den vielversprechendsten Technologien der Gegenwart. Das haben offensichtlich auch Cyberkrimielle erkannt. Sie nutzten KI, berichtet das Handelsblatt, um „mithilfe smarter Computerprogramme“ Raub, Betrug und Anschläge zu planen. Die Zeitung beruft sich dabei auf eine britische Studie, in der „mögliche Tatfelder nach Gefährlichkeit und Lukrativität sortiert“ werden. Als „besonders gefährlich“ bewerten die AutorInnen der Studie „skalierbare Cyberangriffe“, die aufgrund ihrer einfachen Wiederholbarkeit hohe Schäden an Infrastruktur oder hohe Opferzahlen nach sich ziehen könnten. Dazu zählen etwa Angriffe auf Strom- oder Wasserversorgung oder Krankenhäuser. Auch selbstfahrende Autos könnten mit KI zu „preisgünstigen und risikolosen Waffen für Terroristen“ werden, wenn sie „mit Sprengstoff gefüllt und ohne Fahrer auf ihr Ziel zusteuern“.

 

Eine Einführung zu künstlicher Intelligenz hat das BSI für Sie parat: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/kuenstliche-intelligenz/kuenstliche_intelligenz_node.html

 

Das Handelsblatt über den Einsatz von KI in der Cyberkriminalität: https://www.handelsblatt.com/technik/sicherheit-im-netz/studie-autos-als-terrorwaffe-enkeltrick-per-roboter-so-koennten-kriminelle-ki-nutzen/26179336.html

 

 

—————————————————-

Zahl der Woche

 

 

10. 12 Monate

 

Wir berichten an dieser Stelle immer wieder über Hackerangriffe auf Unternehmen und öffentliche Institutionen. Auch der Angriff auf das Berliner Kammergericht mit der Emotet-Schadsoftware war hier bereits Thema – vor 12 Monaten. „Die Auswirkungen der am 25. September 2019 entdeckten Attacke waren erheblich“, berichtet Heise Online. „Monatelang wurde die Arbeit dort in einem Notbetrieb verrichtet. 500 Computer mussten ausgetauscht werden.“ Jetzt machen der Behörde schon wieder schwerwiegende Computerprobleme zu schaffen. Allerdings gebe es (noch) keine Hinweise auf einen erneuten Hackerangriff.

 

Heise Online zu erneuten Problemen bei Berliner Gerichten: https://www.heise.de/news/Schwerwiegende-Computerprobleme-an-Berliner-Gerichten-4889475.html

 

 

—————————————————-

Zeitlos wichtig

 

 

11. So schützen Sie sich vor Datenverlusten

 

Ein Hackerangriff auf Ihren Computer kann mit der Verschlüsselung des Rechners enden. Dann haben Sie keine Chance mehr, an die Daten auf dem Gerät zu gelangen. Datenverluste können aber auch „aus Versehen“ oder aufgrund von Schäden an Hard- und Software entstehen. Schutz bieten – neben dem pfleglichen Umgang mit den Geräten – vor allem Kopien der wichtigsten Daten, so genannte Backups. Dafür sollten Sie Ihre Daten regelmäßig auf externe Speichermedien, zum Beispiel mobile Festplatten, kopieren, die Sie leicht vom Rechner trennen können.

 

Weitere BSI-Tipps zum aktiven Datenschutz gibt es hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Datensicherung/Datenverlust/datenverlust_node.html

 

 

—————————————————-

Was wichtig wird

 

 

12. Netzwerke stärken Netzwerke: The New Work – Digital und Sicher

 

Im Oktober findet wieder der Europäische Monat der Cyber-Sicherheit (ECSM) statt. Im Rahmen der Allianz für Cyber-Sicherheit beteiligt sich auch das BSI daran – unter anderem mit einer virtuellen Veranstaltung zum Thema „Netzwerke stärken Netzwerke – The New Work: Digital und Sicher“ am 01. Oktober 2020. Im Mittelpunkt der Veranstaltung steht das virtuelle Arbeiten, das in Zeiten von Corona für viele ArbeitnehmerInnen zur „neuen Normalität“ geworden ist, aber auch neue Anforderungen an die Sicherheit des IT-Arbeitsplatzes in den eigenen vier Wänden stellt.

 

Weitere Informationen zur Veranstaltung: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Angebote/NewWork/newwork_node.html

 

BSI-Portal zum ECSM: https://www.bsi.bund.de/DE/Service/Aktuell/Veranstaltungen/ECSM/ecsm_node.html

 

 

13. Call for Papers

 

Für den IT-Sicherheitskongress 2021 sucht das BSI bis zum 08. Oktober 2020 kreative, praxisnahe und verständliche Beiträge, die sich mit den Sicherheitsaspekten verschiedener Themengebiete auseinandersetzen. Wir freuen uns über Einreichungen! Der 17. Deutschen IT-Sicherheitskongress findet vom 02. bis 03. Februar 2021 digital statt. Alle Interessierten sind herzlich eingeladen. Weitere Informationen und den Call for Papers selbst finden Sie auf unserer Webseite unter www.bsi.bund.de/IT-Sicherheitskongress.

 

Ihnen gefällt dieser Newsletter? https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html

 

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

 

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

 

Besuchen Sie uns auch auf:

 

https://www.bsi-fuer-buerger.de

 

https://www.facebook.com/bsi.fuer.buerger

 

https://www.twitter.com/BSI_Presse

 

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn ____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

SICHER • INFORMIERT vom 03.09.2020

Ausgabe: 18/2020

 

Liebe LeserInnen,

 

wir informieren Sie regelmäßig über Cyberkriminelle, die versuchen, Daten von Computer, Tablets oder Smartphones zu stehlen, Geräte zu verschlüsseln oder Lösegeld zu erpressen. Aber die Welt ist nicht so schwarz-weiß, wie es manchmal wirkt: Es gibt auch HackerInnen, die dabei helfen, Schwachstellen aufzuspüren und zu schließen, wie wir weiter unten berichten.

 

In dieser Ausgabe geht es außerdem um Cyberkriminelle, die Spieleprofile aus dem populären Videospiel „Fortnite“ stehlen, um sie gewinnbringend weiterzuverkaufen. Auch beim Spielen ist also Vorsicht angesagt! Nicht zuletzt war das BSI dieses Jahr zum ersten Mal auf der virtuell stattfindenden Spielemesse Gamescom vertreten. Sie finden all unsere Tipps zum sicheren Onlinespielen noch bis Ende September online, einen kurzen Überblick geben wir in unserer Rubrik „Gut zu wissen“.

 

Viel Spaß beim Lesen wünscht Ihnen

 

Jan Lammertz / Team BSI-für-Bürger

Inhalt

 

In den Schlagzeilen—————–

1. Neue Ransomware der Trickbot-Bande
2. Facebook: Vorsicht vor Küsschen und Umarmungen 3. Visa-Kreditkarten: Zahlungen höherer Beträge auch ohne PIN möglich 4. Gute HackerInnen aus Bayern

 

 

Bleiben Sie up-to-date—————–

5. Aktuelle Warnmeldungen des Bürger-CERT 6. Fauler Apfel: Lücke im Safari Browser

 

 

Gut zu wissen—————–

7. Kein Spiel mehr: Fortnite-HackerInnen erbeuten eine Million US-Dollar pro Jahr 8. Daten im Darknet: Mehr als jeder zweite Mittelständler betroffen 9. Das BSI auf der Gamescom 2020 10. Mitmachen beim Aktionsmonat ECSM

 

 

Kurz erklärt—————–

11. Sicherheit in Onlinespielen

 

 

Zahl der Woche—————–

12. 87.000 Einträge

 

 

Zeitlos wichtig—————–

13. Smartphone-Daten löschen – aber richtig!

 

—————————————————-

In den Schlagzeilen

 

 

1. Neue Ransomware der Trickbot-Bande

 

Unter dem Namen „Conti“ ist eine neue Ransomware aufgetaucht. Vom Vorgänger „Ryuk“ unterscheidet sich die Schadsoftware durch höhere Geschwindigkeit und größere Wirksamkeit, berichtet Heise Online. Wahrscheinlich stammt die Ransomware von der selben Cybercrime-Bande, die auch Trickbot hergestellt hat, wie ExpertInnen aus dem Code schließen. Anders als bisher werden nicht nur die Daten der befallenen Rechner verschlüsselt, um Lösegeld zu erpressen. Jetzt droht die Bande auch, von infizierten Computern kopierte Daten auf einem extra eingerichteten „Leak-Portal“ zu veröffentlichen.

 

BSI-Informationen über Ransomware: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/Ransomware/Ransomware_node.html

 

Heise Online über die Ransomware „Conti“: https://www.heise.de/news/Cybercrime-Trickbot-droht-nun-ebenfalls-mit-Veroeffentlichung-4879948.html

 

 

2. Facebook: Vorsicht vor Küsschen und Umarmungen

 

Über sogenannte XOXO-Adressen versuchen BetrügerInnen derzeit auf Facebook, Log-In-Daten von NutzerInnen abzugreifen und so vollen Zugriff auf ihre Konten zu erhalten, berichtet Computer Bild. Das X steht im Internet für einen Kuss, das O für eine Umarmung. Durch die X- und O-Kombinationen am Anfang der Internet-Adressen, wird die eigentliche URL nicht sichtbar, was eine automatische Blockierung solcher zwielichtigen Links durch Facebook erschwert. Die Link-Beschreibungen werben mit vermeintlich spektakulären Informationen. Werden die Adressen angeklickt, landen die Nutzerinnen stattdessen jedoch auf der Seite „InstaFace“. Dort wird eine vermeintliche Sicherheitsprüfung gestartet, die tatsächlich aber BetrügerInnen Zugriff auf die Nutzerdaten von Facebook und – falls verknüpft – auch von Instagram ermöglicht. NutzerInnen von Facebook sollten diese angebliche Sicherheitsprüfung daher auf keinen Fall ausführen, rät das Magazin.

 

Tipps zur sicheren Nutzung von Facebook finden Sie bei BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/SozialeNetze/Basisschutz/Einstellungen/SichereEinstellung_node.html

 

Computer Bild über den Facebook-Betrug: https://www.computerbild.de/artikel/cb-News-Sicherheit-Facebook-Betrugs-XOXO-Adressen-Script-27423243.html

 

 

3. Visa-Kreditkarten: Zahlungen höherer Beträge auch ohne PIN möglich

 

ForscherInnen der ETH Zürich haben es geschafft, die PIN-Abfrage beim kontaktlosen Bezahlen mit Visa-Karten zu umgehen. Normalerweise, so Heise Online, funktioniert das nur bis zu Beträgen von 50 Euro ohne PIN. Für das Umgehen der Nummer haben die WissenschaftlerInnen Smartphones mit einer selbst entwickelten App zwischen Bezahlterminal und Karte geschaltet. So manipulieren sie die Transaktionen der höheren Beträge und verhindern die PIN-Abfrage. Die ForscherInnen selbst haben einen Bugfix für das Problem vorgeschlagen; ob Visa darauf reagiert hat, ist dem Artikel nicht zu entnehmen.

 

BSI-Informationen zum kontaktlosen Bezahlen via NFC: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/MobilePayment/KontaktlosesBezahlen-NFC/kontaktloses_Bezahlen_NFC_node.html

 

Heise Online über den Visa-Hack: https://www.heise.de/security/meldung/Zahlen-ohne-PIN-Forscher-knacken-Visas-NFC-Bezahlfunktion-4881555.html

 

 

4. Gute HackerInnen aus Bayern

 

HackerInnen – das sind im Fernsehen fast immer Kriminelle, die Computer ausspähen, um Daten zu stehlen oder ihre NutzerInnen zu erpressen. Aber eben nur fast: Jetzt hat die Nürnberger Gruppe „0x90.space“ die bayerischen Staatsregierung auf eine Sicherheitslücke in der digitalen Lernplattform Mebis aufmerksam gemacht, die daraufhin geschlossen wurde, berichtet die Augsburger Allgemeine. Cyberkriminelle hätten eine Lücke im Code der Website nutzen können, um Passwörter zu stehlen. Mebis wird vom bayerischen Kultusministerium betrieben und steht allen Schulen des Freistaats zur Verfügung. Die Plattform hat nach eigenen Angaben eine Million NutzerInnen an rund 5500 Schulen.

 

Von Ethical Hacker bis Hacktivist – die verschiedenen „Hackertypen“ im Überblick: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Hacker/hacker_node.html

 

Augsburger Allgemeine über die gute Hacker-Gruppe aus Nürnberg: https://www.augsburger-allgemeine.de/bayern/Lernplattform-Mebis-So-halfen-Hacker-Sicherheitsluecken-zu-schliessen-id57980086.html

 

 

—————————————————-

Bleiben Sie up-to-date

 

 

5. Aktuelle Warnmeldungen des Bürger-CERT

 

Das „Computer Emergency Response Team“ des BSI („Bürger-CERT“) informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es Meldungen unter anderem zu VMWare (ESXi 6.5, ESXi 6.7, ESXi 7.0), zu Google Android 11 (< Patchlevel 2020-09-01) sowie zu den Internet-Browsern Mozilla Firefox (< 80), Mozilla Firefox ESR (< 68.12, < 78.2), Google Chrome (< 85.0.4183.83) und Mozilla Thunderbird (< 68.12, < 78.2).

 

Ausführliche Informationen, Tipps zum Umgang mit diesen gefährlichen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html

 

 

6. Fauler Apfel: Lücke im Safari Browser

 

Ein Fehler im Safari Browser von Apple kann dazu führen, dass NutzerInnen ungewollt persönliche Dateien teilen. „Der Sicherheitsforscher Pawel Wylecial hatte die Sicherheitslücke entdeckt und vor vier Monaten gemeldet“, schreibt Golem. Apple habe es versäumt, die Lücke zu schließen, und versucht, die Veröffentlichung bis ins Frühjahr 2021 hinauszuzögern, so die IT-News-Seite. Erst daraufhin habe sich der Forscher entschlossen, über die Schwachstelle zu berichten. Eine Reaktion von Apple auf die Veröffentlichung steht noch aus. Der Forscher schränkte einlenkend ein, dass das Problem nicht so ernst sei, da es eine Benutzerinteraktion bedürfe und das Opfer selbst die EmpfängerInnen auswähle.

 

Die Details der Sicherheitslücke im Safari-Browser erfahren Sie bei Golem: https://www.golem.de/news/ios-macos-apple-will-sicherheitsluecke-erst-nach-einem-jahr-schliessen-2008-150462.html

 

 

—————————————————-

Gut zu wissen

 

 

7. Kein Spiel mehr: Fortnite-HackerInnen erbeuten eine Million US-Dollar pro Jahr

 

Das Videospiel Fortnite lockt offenbar auch Cyberkriminelle an, die pro Jahr aus dem Verkauf gestohlener Konten jährlich mehr als eine Million US-Dollar (rund 835.000 Euro) erlösen. Die Zugangsdaten für die Fortnite-KundInnen werden im Dark Web gehandelt, wo kürzlich mehr als 15 Milliarden gestohlene Logins verfügbar waren, berichtet das US-amerikanische Magazin Forbes. Je nach Qualität der mit den Konten verknüpften Spielfortschritte lassen sich 10.000 US-Dollar und mehr mit dem Verkauf der Nutzerdaten erzielen. Der Schutz vor solchen Diebstählen ist dem Bericht zufolge relativ einfach: Nutzen Sie für jeden Online-Dienst sichere und eindeutige Passwörter und verwenden Sie keine Passwörter mehrfach.

 

Tipps zu sicheren Passwörtern hat BSI für Bürger in diesem Video für Sie zusammengefasst: https://youtu.be/cqE1djdxipc

 

Forbes über den Verkauf von Fortnite-Konten (ENG): https://www.forbes.com/sites/daveywinder/2020/08/27/heres-how-fortnite-hackers-make-1-million-a-year-epic-games-passwords/

 

 

8. Daten im Darknet: Mehr als jeder zweite Mittelständler betroffen

 

Von mehr als jedem zweiten mittelständischen Unternehmen kursieren Daten im Darknet, zitiert das Sicherheitsmagazin <kes> eine Untersuchung des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV). In den meisten Fällen handele es sich dabei um Kombinationen aus E-Mail-Adresse und Passwörtern. Die Untersuchung zeigt auch, dass die Daten teilweise von gehackten Seiten stammten, auf denen sich MitarbeiterInnen zu privaten Zwecken angemeldet hatten, darunter Online-Shops, soziale Netzwerke oder Gaming-Portale. Der GDV rät aus diesem Grunde, beruflich und privat genutzte Passwörter strikt voneinander zu trennen.

 

<kes> über die GDV-Studie: https://www.kes.info/archiv/schlaglichter/schlaglicht/?tx_ttnews%5Byear%5D=2020&tx_ttnews%5Bmonth%5D=08&tx_ttnews%5Bday%5D=18&tx_ttnews%5Btt_news%5D=184&cHash=fa36e97d9e2288acdf51e02814e75eb2

 

 

9. Das BSI auf der Gamescom 2020

 

Zum ersten Mal fand in diesem Jahr die Gamescom, die größte Spielemesse der Welt, Corona-bedingt ausschließlich online statt. Und zum ersten Mal war auch das BSI vertreten. Auf dem digitalen Stand auf der virtuellen Messe präsentierte das BSI jede Menge Wissenswertes rund ums Zocken und über den besten Schutz gegen Cyberkriminalität. Der Messeauftritt umfasst Videos, Interviews, praktische Empfehlungen und ein Phishing-Spiel, in dem die BesucherInnen der virtuellen Messe direkt testen können, wie gut sie digitale Betrugsmaschen erkennen. Sämtliche Inhalte des BSI für die Gamescom sind noch bis Ende September abrufbar.

 

BSI auf der Gamescom: https://now.gamescom.de/partner/bsi/

 

 

10. Mitmachen beim Aktionsmonat ECSM

 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft auch in diesem Jahr wieder Institutionen aus Staat, Wirtschaft und Gesellschaft zur Teilnahme zum European Cyber Security Month (ECSM) auf. Als nationale Koordinierungsstelle möchte das BSI Partner gewinnen, die sich am europäischen Aktionsmonat im Oktober 2020 beteiligen.

 

Schon viele Aktionen sind mit dabei, weitere Infos und das Anmeldeformular unter: https://www.bsi.bund.de/DE/Service/Aktuell/Veranstaltungen/ECSM/ecsm_node.html

 

 

—————————————————-

Kurz erklärt

 

 

11. Sicherheit in Onlinespielen

 

Passend zur virtuellen Gamescom setzt das BSI mit der Episode „Sicherheit in Onlinespielen“ seine Videoreihe „IT-Sicherheit verständlich erklärt“ fort. In der neuen Folge gibt BSI-Experte Florian Bierhoff Tipps, wie GamerInnen bei Onlinespielen ihre persönlichen Daten wie Kreditkartennummern oder Anschrift am besten schützen.

 

BSI-Video „Sicherheit in Onlinespielen“: https://www.youtube.com/watch?v=cOf2-3-VnT8

 

Außerdem gibt Florian Bierhoff in einem Audio-Interview weitere Empfehlungen für einen unbeschwerten Spielealltag: https://www.youtube.com/watch?v=Hj3R3t9wyyc&t=19s

 

 

—————————————————-

Zahl der Woche

 

 

12. 87.000 Einträge

 

Wer im Moment Restaurants, Clubs oder Kneipen besucht, muss seine persönlichen Daten hinterlegen. So lassen sich im Falle einer Corona-Infektion Übertragungswege und gefährdete Personen schnell ermitteln. Allerdings fand der Chaos Computer Club (CCC) nun im Internet insgesamt mehr als vier Millionen Adress- und Reservierungseinträge aus den vergangenen neun Jahren vor. Darunter sind mehr als 87.000 Einträge, die speziell der Kontaktverfolgung im Falle einer Corona-Infektion dienen sollen. Ulrich Kelber, Bundesbeauftragter für Datenschutz, spricht von einem „großen Datenschutzproblem“ und forderte die Löschung dieser Daten.

 

Tagesschau zum Datenleck in der Gastronomie: https://www.tagesschau.de/investigativ/ndr/datenleck-restaurants-101.html

 

 

—————————————————-

Zeitlos wichtig

 

 

13. Smartphone-Daten löschen – aber richtig!

 

Apropos Löschen: Wer sein altes Smartphone weiterverkaufen oder verschenken möchte, sollte unbedingt alle persönlichen Daten auf dem Gerät nachhaltig löschen. Das aber ist gar nicht so einfach: Das normale Zurücksetzen auf die Werkeinstellungen jedenfalls reicht nicht aus. Erschwerend kommt hinzu, dass es für das richtige Löschen keine einheitlichen Standards gibt, sondern von Gerät zu Gerät unterschiedliche Vorgehensweisen. Daher informiert BSI für Bürger ausführlich auf seiner Webseite darüber, wie sich Smartphone-Daten nachhaltig entfernen lassen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/RichtigLoeschen/Smartphone/Smartphone_Daten_loeschen_node.html

 

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn