SICHER • INFORMIERT vom 09.07.2020

Ausgabe: 14/2020

 

Liebe LeserInnen,

 

immer mehr Geräte sind mit dem Internet verbunden – laut einer Prognose von Statista sollen es in diesem Jahr weltweit mehr als 20 Milliarden werden. Doch längst nicht alle davon sind sicher. Im aktuellen Newsletter berichten wir zum Beispiel von TV-Geräten und Routern, die nicht nur unsere Daten weitergeben, sondern es auch mit der IT-Sicherheit nicht so genau nehmen. Das gilt leider auch für harmlos erscheinende Anwendungen wie die Video-App TikTok: Hier wird Datenschutz allen Regeln zum Trotz leider oft klein geschrieben. Damit Sie Bescheid wissen, informieren wir Sie an dieser Stelle regelmäßig über passende Tipps für mehr Sicherheit.

 

Unter „Zahl der Woche“ erfahren Sie in dieser Ausgabe, wie Sie mit der Zwei-Faktor-Authentisierung Ihre Geräte und Online-Konten besser schützen können. Und mit Blick auf den Beitrag zu Social Engineering in unserer Rubrik „Kurz erklärt“ ist mein Rat – wie schon in der Vergangenheit – an

Sie: Bleiben Sie wachsam!

 

Viel Spaß beim Lesen wünscht Ihnen

 

Jan Lammertz / Team BSI-für-Bürger

Inhalt

 

In den Schlagzeilen—————–

1. Fraunhofer-Studie: Home-Router sind unsicher 2. Laptops werden im Kammergericht wieder zu Schreibmaschinen 3. Ransomeware EvilQuest: Der Name ist Programm 4. Hack bei Foodora 5. Mangelhafte IT-Sicherheit auch bei Fernsehgeräten 6. TikTok: Video-App mit Sicherheitslücken

 

 

Bleiben Sie up-to-date—————–

7. Aktuelle Warnmeldungen des Bürger-CERT 8. Update: Mindeststandards des BSI für Web-Browser

 

 

Gut zu wissen—————–

9. Wo rohe Kräfte sinnlos walten: Brute-Force-Angriffe 10. EIDI: Schnelle Informationen nach digitalem Identitätsdiebstahl

 

 

Kurz erklärt—————–

11. Was ist eigentlich Social Engineering?

 

 

Zahl der Woche—————–

12. Zwei Faktoren – mehr Sicherheit

 

—————————————————-

In den Schlagzeilen

 

 

1. Fraunhofer-Studie: Home-Router sind unsicher

 

Das Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) hat die Firmware von 127 aktuell erhältlichen Home-Routern untersucht. Das Ergebnis: In jeder Basis-Software fanden die ExpertInnen „das eine oder andere Problem“, wie Heise Online meldet. Zudem ließen viele Hersteller wichtige Sicherheitsupdates schleifen und lieferten Router mit schwachen voreingestellten und oft nicht änderbaren Passwörtern aus, kritisiert das FKIE. Getestet wurden Geräte von Asus, AVM, D-Link, Linksys, Netgear, TP-Link und Zyxel.

 

Das BSI veröffentlichte kürzlich eine technische Richtlinie mit den Anforderungen an IT-Sicherheit für Router im Endkundenbereich: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Sicherheit_Smart-Home_030720.html

 

Heise Online über unsichere Router: https://www.heise.de/news/Keine-Ueberraschung-nach-Frauenhofer-Test-Viele-Home-Router-unsicher-4798342.html

 

 

2. Laptops werden im Kammergericht wieder zu Schreibmaschinen

 

Noch immer behindert die Schadsoftware Emotet die Arbeit des Berliner Kammergerichts, berichtet der Tagesspiegel. Ganze neun Monate nach der Virus-Attacke auf das Computersystem des Gerichts ist ein Großteil der rund 150 RichterInnen weiterhin nur eingeschränkt arbeitsfähig. Besonders das in Corona-Zeiten so wichtige Arbeiten aus dem Homeoffice sei aufgrund fehlender sicherer Verbindungen (VPN) nur sehr eingeschränkt möglich. So könnten die modernen Notebooks der RichterInnen im Moment nur als bessere Schreibmaschinen eingesetzt werden. Wann die sicheren Verbindungen stehen, ist derzeit noch nicht absehbar.

 

Informationen von BSI für Bürger über Emotet: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html

 

Zur Meldung vom Tagesspiegel: https://www.tagesspiegel.de/berlin/die-folgen-der-emotet-attacke-wie-ein-computervirus-das-berliner-kammergericht-seit-monaten-im-griff-hat/25959200.html

 

 

3. Ransomeware EvilQuest: Der Name ist Programm

 

Es passiert eher selten, dass Ransomware ausfindig gemacht wird, die explizit Apple-Computer zum Ziel hat. Nun haben IT-SicherheitsexpertInnen eine solche Schadsoftware für das Apple-Betriebssystem OSX entdeckt. „EvilQuest“ verschlüsselt die Festplatte eines befallenen Rechners mit dem Ziel, Lösegeld für die Entschlüsselung zu erpressen. Das Schadprogramm wird offensichtlich über Raubkopien kommerzieller Software verteilt, die NutzerInnen über russische Webseiten und Foren beziehen. In Gefahr schwebt also vor allem, „wer sich aus dubiosen Quellen mit nicht lizenzierter Software“ versorgt, schreibt der Spiegel.

 

Das BSI rät davon ab, auf Erpressungen mit Lösegeldzahlungen einzugehen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Schadprogramme/Ransomware/ransomware_node.html

 

Der Spiegel über Ransomware auf Apple-Computern: https://www.spiegel.de/netzwelt/evilquest-neue-erpressersoftware-bedroht-apple-nutzer-a-57fd233c-bdb0-48b3-a55f-f6cf9d68abfe

 

 

4. Hack bei Foodora

 

Beim mittlerweile von Takeaway aufgekauften Lieferdienst Foodora sind offenbar bereits 2016 die Daten von rund 200.000 deutschen NutzerInnen gehackt worden. Insgesamt wurden weltweit sogar rund 480.000 KundInnen ausgespäht. Aber erst jetzt sind diese Daten mit Namen, Telefonnummern, Adressen und Passwörtern im Darknet aufgetaucht, meldet die Süddeutsche Zeitung. Da Foodora in Deutschland mittlerweile nicht mehr existiert, können die NutzerInnen Ihr Passwort bei dem Lieferdienst nicht ändern, auf https://haveibeenpwned.com/ aber prüfen, ob sie betroffen sind.

 

Bewährte Tipps des BSI für sichere Passwörter: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang.html

 

Süddeutsche Zeitung zum Hack bei Foodora: https://www.sueddeutsche.de/digital/foodora-datenleck-hacker-1.4955183

 

 

5. Mangelhafte IT-Sicherheit auch bei Fernsehgeräten

 

Moderne TV-Geräte sind fast so selbstverständlich mit dem Internet verbunden wie PCs und Smartphones. Allerdings sammeln vernetzte Fernsehgeräte nicht nur massenhaft Daten ohne das Wissen ihrer NutzerInnen, wie das Bundeskartellamt feststellt. Auch mit der IT-Sicherheit der Geräte beispielsweise über regelmäßige Updates und Patches nehmen es die Anbieter offensichtlich nicht so genau. Die Wettbewerbsbehörde fordert daher von den Herstellern, eine größere Transparenz über die datenschutzkonforme Nutzung von Daten zu gewährleisten. Beim Gesetzgeber mahnt die Behörde einen klar geregelten Anspruch auf Updates an.

 

Lesen Sie bei BSI für Bürger mehr über die sichere Nutzung von Smart-TVs: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IoT/SmartTV/SmartTV_node.html

 

Heise Online über Mängel bei Datenschutz und IT-Sicherheit von TV-Geräten: https://www.heise.de/news/Bundeskartellamt-Smart-TV-Hersteller-verstossen-massiv-gegen-die-DSGVO-4801949.html

 

 

6. TikTok: Video-App mit Sicherheitslücken

 

Weltweit mehr als 800 Millionen Menschen nutzen derzeit die Video-App TikTok für kurze Videos und lippensynchrone Musikdarbietungen. Die App steht allerdings unter anderem aufgrund ihres Umgangs mit Daten- und Jugendschutz sowie wegen der Zensur politischer und religiöser Themen in der Kritik. Nun hat es ein Webentwickler geschafft, fremde Profile in TikTok komplett zu übernehmen – über Informationen, die die Video-App selbst herausgab. Danach konnte der Entwickler in fremden Profilen zum Beispiel Videos veröffentlichen oder löschen, wie Netzpolitik.org berichtet. TikTok bestätigte die Lücke und gibt an, sie in der Zwischenzeit geschlossen zu haben. Zudem gebe es keine Hinweise darauf, dass der Fehler ausgenutzt worden sei.

 

Zehn Tipps des BSI zum sicheren Umgang mit sozialen Netzwerken: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/SozialeNetze/Zehn_Tipps/Zehn_Tipps_node.html

 

Netzpolitik.org über die TikTok-Lücke: https://netzpolitik.org/2020/video-app-sicherheitsluecke-bei-tiktok-erlaubte-uebernahme-von-accounts/

 

 

—————————————————-

Bleiben Sie up-to-date

 

 

7. Aktuelle Warnmeldungen des Bürger-CERT

 

Das „Computer Emergency Response Team“ des BSI („Bürger-CERT“) informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es Meldungen unter anderem zu Mozilla Firefox for iOS (< 27); Avast Antivirus (< free 20.4), AVG Technologies Anti-Virus (< free 20.4); Mozilla Firefox (< 78.0), Mozilla Firefox for Android (< 68.10.0); Check Point Zone Alarm (< 15.8.109.18436); sowie zum Android/Pixel Patchday im Juli (Google Android 10, 9, 8.0, 8.1).

 

Informationen und Tipps zum Umgang mit diesen gefährlichen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html

 

 

8. Update: Mindeststandards des BSI für Web-Browser

 

Das BSI hat die Mindeststandards für Web-Browser aktualisiert. Sie sind nach wie vor das wichtigste Tool für das Surfen im Internet, doch können darüber auch Daten aus nicht vertrauenswürdigen Quellen geladen werden. Solche Daten können schädlichen Code (Viren, Trojaner, Spyware) enthalten und den Computer unbemerkt infizieren. Um das zu verhindern, fordert das BSI zum Beispiel von den Anbietern die vertrauenswürdige Kommunikation über Zertifikate sowie die Beachtung aktueller Sicherheitsstandards.

 

Weitere BSI-Informationen zu den Mindeststandards für Web-Browser: https://www.bsi.bund.de/DE/Presse/Kurzmeldungen/Meldungen/Webbrowser_300620.html

 

 

—————————————————-

Gut zu wissen

 

 

9. Wo rohe Kräfte sinnlos walten: Brute-Force-Angriffe

 

Um Login-Daten oder Passwörter für Accounts abzugreifen, nutzen viele Hacker sogenannte Brute-Force-Attacken. Im Grunde genommen versuchen sie dabei schlicht durch die wiederholte und systematische Eingabe aller möglichen Zeichenkombinationen, Usernamen und Passwörter zu erraten. Diese Methode ist sehr zeit- und ressourcenaufwändig: Laut dem Security-Anbieter „Cloudflare“ müssen 15 Millionen Versuche pro Sekunde (!) gestartet werden, um ein siebenstelliges Passwort in rund neun Minuten zu knacken. Ein Passwort mit 13 Zeichen zu ermitteln, bräuchte 350.000 Jahre, so die Computerwoche. Dennoch versuchen Hacker über Automatisierungs-Tools, Skripte oder Bots, Zugang zu geschützten Systemen zu bekommen. Der beste Schutz vor solchen Attacken sind unter anderem lange Passwörter.

 

Im Glossar auf BSI für Bürger erklären wir nicht nur, was hinter einem Brute-Force-Angriff steckt, sondern viele weitere Begriffe rund um IT-Sicherheit: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Glossar/Functions/glossar.html?cms_lv2=6658206

 

Computerwoche über Brute-Force-Attacken: https://www.computerwoche.de/a/was-sie-ueber-hacker-gewaltakte-wissen-muessen,3549299

 

 

10. EIDI: Schnelle Informationen nach digitalem Identitätsdiebstahl

 

Cyberkriminelle sammeln im großen Maßstab Kundendaten, die sie illegal bei Webportalen, in Onlineshops oder über soziale Netzwerke abgreifen. Das Projekt EIDI (Effektive Information von Betroffenen nach digitalem Identitätsdiebstahl) an der Universität Bonn verfolgt das Ziel, die Opfer solcher Datendiebstähle automatisch und proaktiv zu informieren.

 

Lesen Sie im Security-Insider ein Interview über den Stand bei EIDI: https://www.security-insider.de/betroffene-korrekt-ueber-einen-identitaetsdiebstahl-informieren-a-942933/

 

 

—————————————————-

Kurz erklärt

 

 

11. Was ist eigentlich Social Engineering?

 

Beim Social Engineering nutzen Cyber-Kriminelle den „Faktor Mensch“ als vermeintlich schwächstes Glied der Sicherheitskette aus. BSI-Experte Stefan Becker erklärt in unserem Video, wie Cyber-Kriminelle persönliche Kontakte zu Menschen nutzen, um sie dazu zu verleiten, eigenständig Daten preiszugeben, Schutzmaßnahmen zu umgehen oder selbstständig Schadprogramme auf ihren Systemen zu installieren.

 

Sehen Sie sich hier das gesamte BSI-Video „Social Engineering – der Mensch als Schwachstelle“ an: https://www.youtube.com/watch?v=Rz9X9nCoAC0

 

 

—————————————————-

Zahl der Woche

 

 

12. Zwei Faktoren – mehr Sicherheit

 

Lange Passwörter sind, wie wir oben geschrieben haben, sehr viel schwerer zu knacken als kurze. Nach aktuellen Sicherheitsstandards bietet ein Passwort allein dennoch nicht mehr den bestmöglichen Schutz. Deswegen gibt es die Zwei-Faktor-Authentisierung: Dabei wird neben einem Passwort ein zweiter Faktor für die Anmeldung benötigt– etwa der Fingerabdruck auf dem Smartphone, ein Iris-Scan oder eine einmalig gültige Transaktionsnummer (TAN) wie etwa beim Onlinebanking. Für Hacker und Kriminelle ist die Zwei-Faktor-Authentisierung eine weitere Hürde, die es ihnen erheblich erschwert, Zugang zu fremden Accounts zu erlangen. Fast alle modernen mobilen Geräte sowie nahezu allen großen Onlinedienste bieten die Zwei-Faktor-Authentisierung an. Beim Onlinebanking ist sie bereits verpflichtend. Also, worauf warten Sie?

 

Bei BSI für Bürger finden Sie ein Erklärvideo und weitere Informationen zu der Zwei-Faktor-Authentisierung: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/zwei-faktor-authentisierung-datensicherheit.html

 

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

SICHER • INFORMIERT vom 25.06.2020

Ausgabe: 13/2020

 

Liebe LeserInnen,

 

wir informieren und warnen Sie an dieser Stelle regelmäßig vor Malware, Hackern oder dem unvorsichtigen Gebrauch mobiler Geräte. Die Warnung vor dem Corona-Virus hingegen überlassen wir einer App: Seit gut einer Woche ist die kostenlose Corona-Warn-App des Bundes verfügbar, deren Entwicklung das BSI begleitet hat. Sie soll helfen, das Virus weiter einzudämmen, indem Infektionsketten nachverfolgt und möglichst unterbrochen werden. Dazu müssen jedoch möglichst viele AnwenderInnen die App installieren. Weitere Informationen zur Kompatibilität und zu der Beteiligung des BSI erhalten Sie in diesem Newsletter.

 

Die App kommt rechtzeitig zur Ferienzeit. Wir hoffen, dass sich viele von Ihnen trotz COVID-19 auf einen unbeschwerten Urlaub freuen können. In dieser Ausgabe finden Sie unter anderem Tipps, wie Sie in den Ferien sicher und sorgenfrei mit Ihren Mobilgeräten im Gepäck verreisen. Unter „Gut zu wissen“ erklären wir, warum Updates wichtig, aber nicht der einzige Schutz für die IT-Sicherheit sind.

 

Viel Spaß beim Lesen wünscht Ihnen

 

Jan Lammertz / Team BSI-für-Bürger

Inhalt

 

In den Schlagzeilen—————–

1. Sicherheitslücken gefährden Geräte in Haushalten, Krankenhäusern und Industrieanlagen 2. 845 GB Dating-Daten waren offen einsehbar 3. Datenpanne mit Milliarden Einträgen beim Online-Vermarkter BlueKai 4. Supercomputer ohne Netz

 

 

Bleiben Sie up-to-date—————–

5. Aktuelle Warnmeldungen des Bürger-CERT 6. D-Link patcht – ein bisschen 7. Sicherheitsupdate für Netgear Heim-Router 8. Endlich geschützt: Zoom führt Ende-zu-Ende-Verschlüsselung ein

 

 

Gut zu wissen—————–

9. Corona-Warn-App: Sicher gestartet
10. Updates sind wichtig, aber nicht der einzige Schutz für die IT-Sicherheit 11. Hinter den Kulissen: So schützt sich die Bundeswehr vor Cyber-Attacken

 

 

Zahl der Woche—————–

12. 10 Jahre

 

 

Was wichtig wird—————–

13. Beginn der Sommerferien

 

—————————————————-

In den Schlagzeilen

 

 

1. Sicherheitslücken gefährden Geräte in Haushalten, Krankenhäusern und Industrieanlagen

 

Vielen Geräte aus dem Internet der Dinge (Internet of Things – IoT) sind von kritischen Schwachstellen betroffen: Zwei Experten der israelischen Sicherheitsfirma JSOF haben gleich 19 Sicherheitslücken in der Implementierung des TCP/IP-Stacks der Firma Treck gefunden, die sie unter dem Titel „Ripple20“ zusammenfassten. Die betroffene Software kommt in einer Vielzahl von Geräten wie Routern, Druckern oder Smarthome-Systemen von Herstellern wie HP, Intel, Schneider Electric und vielen anderen zum Einsatz. Die Lücken können von Angreifern missbraucht werden, um Schadcode in die Geräte einzuschleusen und auszuführen oder um kritische Daten auszulesen, berichtet Heise Online.

 

Tipps und Sicherheitshinweise finden Sie in unserer Broschüre „Internet der Dinge, aber sicher!“: https://www.bsi-fuer-buerger.de/SharedDocs/Downloads/DE/BSIFB/Broschueren/Brosch_A6_Internet_der_Dinge.pdf

 

Heise Online zu Sicherheitslücken bei IoT-Geräten: https://www.heise.de/security/meldung/Ripple20-erschuettert-das-Internet-der-Dinge-4786249.html

 

 

2. 845 GB Dating-Daten waren offen einsehbar

 

Sicherheitsforscher der Affiliate-Webseite vpnmentor haben im Netz eine große Menge ungeschützter Daten ausfindig gemacht. Die insgesamt rund 20 Millionen Dateien stammen von mindestens acht Dating-Apps, „die sich teils an Menschen mit bestimmten sexuellen Vorlieben […] wenden“, berichtet das Online-Portal Golem. Auch wenn die zeitweilig offen einsehbaren Daten keine E-Mail-Adressen und Namen der NutzerInnen enthielten, hätten sie über „persönliche und intime Details“ dennoch identifiziert werden können. Die Fundstellen der Daten sind in der Zwischenzeit abgesichert worden. Ob jemand die Daten missbräuchlich verwendet hat, ist nicht bekannt.

 

BSI für Bürger über Daten und Doxing – „Wie Cyber-Kriminelle an sensible Daten kommen“: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/wie_cyberkriminelle_an_sensible_daten_kommen.html

 

Golem über offene Daten in Dating-Apps: https://www.golem.de/news/datenleck-845-gbyte-dating-daten-ungeschuetzt-im-netz-2006-149111.html

 

 

3. Datenpanne mit Milliarden Einträgen beim Online-Vermarkter BlueKai

 

Auch die Oracle-Tochter BlueKai, eine Cloud-basierte Big-Data-Plattform für personalisierte Werbung, war jüngst von einer Datenpanne betroffen: Mehrere Milliarden Datensätze standen zeitweilig offen im Netz. Dazu gehörten Namen, Anschriften, E-Mail-Adressen und andere personenbezogene Daten, aber auch sensible Browserverläufe. „Fein abgestufte Aufzeichnungen über die Surfgewohnheiten von Menschen im Web könnten Hobbys, politische Vorlieben, Einkommensklassen, den Gesundheitszustand, sexuelle Präferenzen und andere persönliche Details offenbaren“, kritisierte die US-Bürgerrechtsorganisation Electronic Frontier Foundation. BlueKai hat die Lücke inzwischen geschlossen.

 

BSI für Bürger hat zehn Maßnahmen zur Absicherung gegen Angriffe aus dem Internet für Sie zusammengestellt: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Checklisten/Massnahmen_gegen_Internetangriffe.html

 

Heise Online über die Datenlücke bei BlueKai: https://www.heise.de/news/Oracle-Datenpanne-mit-Milliarden-Eintraegen-enthuellt-riesiges-Tracking-Netz-4790339.html

 

 

4. Supercomputer ohne Netz

 

Mitte Mai dieses Jahres mussten mehrere der leistungsfähigsten Supercomputer Deutschlands auf Grund eines IT-Sicherheitsvorfalls vorübergehend vom Netz genommen werden. Betroffen waren unter anderem Hochleistungsrechner des Leibniz-Rechenzentrums (LRZ) in Garching, des Jülich Supercomputing Centre (JSC) und des Höchstleistungsrechenzentrums Stuttgart (HLRS). Wenngleich viele Systeme inzwischen wieder (eingeschränkt) laufen, ist der Schaden beträchtlich: Viele WissenschaftlerInnen, die umfangreiche und komplexe Berechnungen auf den Systemen durchführen, konnten ausstehende Aufgaben nicht wie geplant durchführen oder auf die bereits berechneten Ergebnisse nicht mehr zugreifen. Betroffen, so das Wissenschaftsmagazin Spektrum, waren auch Forschungen zum Corona-Virus.

 

Um Super- und Quantencomputer geht es auch im aktuellen BSI-Magazin ab Seite 15: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Magazin/BSI-Magazin_2020_01.pdf?__blob=publicationFile&v=9

 

Spektrum zum Einbruch in Supercomputer: https://www.spektrum.de/news/hackerangriff-bremst-forschung-aus/1743150

 

 

—————————————————-

Bleiben Sie up-to-date

 

 

5. Aktuelle Warnmeldungen des Bürger-CERT

 

Das „Computer Emergency Response Team“ für Bürger des BSI („Bürger-CERT“) informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es Meldungen zu Google Chrome (< 83.0.4103.116); Open Source ClamAV (< 0.102.4, < 0.103); Windows 10; und Dell Computern.

 

Informationen und Tipps zum Umgang mit diesen gefährlichen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html

 

 

6. D-Link patcht – ein bisschen

 

Gleich mehrere Sicherheitslücken hat D-Link in seinem WLAN-Router DIR865L geschlossen. Eine als „kritisch“ eingestufte Schwachstelle und zwei mit dem Angriffsrisiko „hoch“ eingestufte Lücken bleiben aber offen, meldet Heise Online. Wer den Router aus dem Jahr 2012 nutzt, sollte die aktuelle Beta-Firmware v1.20B01Beta01 05-26-2020 installieren.

 

Lesen Sie bei BSI für Bürger mehr zum Thema Router-Sicherheit: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/basisschutz_fuer_den_router.html

 

Zur Meldung von Heise Online: https://www.heise.de/security/meldung/D-Link-patcht-aelteren-WLAN-Router-DIR-865L-aber-nur-ein-bisschen-4783566.html

 

 

7. Sicherheitsupdate für Netgear Heim-Router

 

Sicherheitsforscher haben in dem Web-Server von Netgear Heim-Routern zur Darstellung der Verwaltungsoberfläche eine Sicherheitslücke entdeckt, die den unberechtigten Zugriff auf den Router erlaubt. Gefahr besteht insbesondere, wenn die Weboberfläche aus dem Internet erreichbar ist, z. B. zur Fernadministration (keine Standardeinstellung). Netgear hat inzwischen Sicherheitsupdates bereitgestellt. Wer eines der betroffenen Netgear Router-Modelle nutzt, sollte das Update zeitnah installieren.

 

Lesen Sie bei BSI für Bürger mehr zum Thema Router-Sicherheit: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/basisschutz_fuer_den_router.html

 

Zur Meldung von Heise Online: https://www.heise.de/security/meldung/Kritische-0day-Luecke-in-79-Netgear-Router-Modellen-4789814.html

 

 

8. Endlich geschützt: Zoom führt Ende-zu-Ende-Verschlüsselung ein

 

In Zeiten von COVID-19 erfreut sich das Videokonferenz-Programm Zoom großer Beliebtheit und zunehmender Verbreitung. Allerdings steht die Anwendung aufgrund ihres nachlässigen Umgangs mit den Daten seiner KundInnen in der Kritik. Jetzt hat der Videokonferenz-Anbieter angekündigt, alle Gesprächsdaten mit einer Ende-zu-Ende-Verschlüsselung vor Missbrauch zu schützen. Die neue Funktion bleibt ein „optionales Feature“, wie Golem berichtet. Die Beta-Version soll Anfang Juli 2020 veröffentlicht werden.

 

BSI-Informationen zu verschlüsselter Kommunikation: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Verschluesselung/Verschluesseltkommunizieren/verschluesselt_kommunizieren_node.html

 

Golem zur Ende-zu-Ende-Verschlüsselung bei Zoom: https://www.golem.de/news/videochat-ende-zu-ende-verschluesselung-bei-zoom-kostenlos-und-optional-2006-149160.html

 

 

—————————————————-

Gut zu wissen

 

 

9. Corona-Warn-App: Sicher gestartet

 

Seit Mitte Juni ist die Corona-Warn-App des Bundes ist kostenlos verfügbar. Auch das BSI war an der Entwicklung der Anwendung beteiligt, um ein Höchstmaß an IT-Sicherheit für die BürgerInnen zu gewährleisten. Im Zuge der Penetrationstests entdeckte kritische Schwachstellen wurden transparent gemacht und gemeinsam mit den Entwicklern behoben. Auch im Wirkbetrieb wird das BSI die weitere Entwicklung der Corona-Warn-App eng begleiten. DatenschützerInnen und ExpertenInnen lobten die deutsche Corona-Warn-App: Sie mache „insgesamt einen soliden Eindruck“, sagte zum Beispiel der Bundesdatenschutzbeauftragte Ulrich Kelber. Vom Chaos Computer Club (CCC) gibt es so ein Lob nicht. Immerhin: Er würde wohl vor der App warnen, sollte er Bedenken haben, sagt sein Sprecher Linus Neumann laut ZDF. Bis heute ist jedoch keine Warnung ausgesprochen. Für Apple-Smartphones und -Tablets, die vor dem Herbst 2015 erworben wurden, funktioniert die App bedauernswerterweise momentan nicht. Falls es hier ein Update geben wird, erfahren Sie es von uns!

 

Weitere Informationen zur App finden Sie hier: https://www.coronawarn.app/de/faq/

 

BSI zum Start der Corona-Warn-App: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Corona_Warn_App_160620.html

 

 

10. Updates sind wichtig, aber nicht der einzige Schutz für die IT-Sicherheit

 

Cyber-Kriminelle sind systematisch auf der Suche nach Lücken in Soft- und Hardware, die sie zum Angriff auf IT-Infrastrukturen nutzen können. Regelmäßige Updates und Sicherheits-Patches sind daher eine sehr wichtige Maßnahme, um Computer, Smartphone & Co. vor solchen Angriffen zu schützen. Wenn Sie dazu noch starke Passwörter und aktuelle Virenschutzprogramme einsetzen und sich vorsichtig verhalten, tun Sie das Menschenmögliche, um Ihre Geräte optimal zu schützen.

 

BSI für Bürger über das kleine 1×1 der Cyber-Sicherheit: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/updates-warum-sind-sie-wichtig.html

 

 

11. Hinter den Kulissen: So schützt sich die Bundeswehr vor Cyber-Attacken

 

Im Informationszeitalter werden Kriege immer häufiger als „Cyber-War“ ausgetragen. Auch die Bundeswehr als Landesverteidigung steht daher im Fokus vieler Cyber-Angriffe und muss sich besonders schützen. Security Insider wirft in einem Bericht einen genauen Blick darauf, wie die IT-Sicherheit der Bundeswehr gewährleistet wird.

 

Zum Hintergrundartikel von Security Insider: https://www.security-insider.de/netzwerksicherheit-bei-der-bundeswehr-a-939286

 

 

—————————————————-

Zahl der Woche

 

 

12. 10 Jahre

 

Zum Thema „Cyber-War“ passt auch unsere Zahl der Woche: Vor genau zehn Jahren wurde mit dem Computerwurm „Stuxnet“ die erste Cyber-Waffe der Geschichte enttarnt – von einer kleinen weißrussischen Antivirus-Firma. Die Schadsoftware sollte nicht wie sonst möglichst viele Rechner befallen, sondern nur ganz bestimmte – die Rechner der iranischen Urananreicherungsanlage bei Natanz. Ziel der Aktion war die Sabotage der Zentrifugen und damit die Behinderung des iranischen Atomprogramms. Die Enttarnung des Programms beendete die Sabotage-Aktion.

 

Der Spiegel über Stuxnet: https://www.spiegel.de/netzwelt/web/die-erste-cyberwaffe-und-ihre-folgen-a-a0ed08c9-5080-4ac2-8518-ed69347dc147

 

 

—————————————————-

Was wichtig wird

 

 

13. Beginn der Sommerferien

 

Die Sommerferien stehen vor der Tür, und viele Menschen haben trotz Corona die Koffer gepackt. Haben Sie an die Ladegeräte für Smartphone und Tablet gedacht? Woran Sie für einen IT-sicheren Urlaub noch denken sollten, lesen Sie in den BSI-Tipps zum Verreisen.

 

Wie Sie Ihre mobilen Geräte auf Reisen schützen: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/Reisen/reisen_node.html

 

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn