SICHER • INFORMIERT vom 30.04.2020
Ausgabe: 09/2020
Liebe LeserInnen,
der Frühling ist da – und wieder heißt es: „Zeit für den Frühjahrsputz! Nicht nur in Ihren eigenen vier Wänden, sondern auch auf Ihren Geräten und Programmen“. Unser „Digitaler Frühjahrsputz“ hält sieben Tipps zur Verbesserung Ihrer IT-Sicherheit parat. Sie sind schon aktiv geworden? Dann unterstützen Sie Ihre Liebsten dabei – verschenken Sie Ihre Zeit und Ihr Know-how, um andere vor Cyber-Kriminalität zu bewahren. Im Mai gibt es einen guten Anlass dazu. Mehr dazu erfahren Sie unter „Was wichtig wird“.
Auch ganz abgesehen vom Corona-Virus sollte Cyber-Sicherheit so selbstverständlich sein „wie das Verriegeln der Tür oder das Ausschalten des Herdes“, wie BSI-Präsident Arne Schönbohm fordert. Die aktuellen Meldungen über gestohlene Nutzerdaten unterstreichen die Wichtigkeit, IT-Sicherheit kontinuierlich mitzudenken. Wie Sie sich gut schützen können, verraten wir Ihnen natürlich auch in dieser Newsletter-Ausgabe.
Viel Spaß beim Lesen wünscht Ihnen
Jan Lammertz / Team BSI-für-Bürger
Inhalt
In den Schlagzeilen—————–
- Datenleck im alternativen App-Store
- 500 Pfund für 267 Millionen
- Datenklau beim Fitness-Training
- Fake-Videos bei TikTok durch fehlende Verschlüsselung?
- Schrecken mit Ende im Krypto-Store
Bleiben Sie up-to-date—————–
- Aktuelle Warnmeldungen des Bürger-CERT 7. BSI warnt vor Einsatz von Apple Mail 8. Kein Spiel: Nintendo rät zur Zwei-Faktor-Authentisierung
Kurz erklärt—————–
- (Dis)Tanz in den Mai mit Videokonferenzen? Aber sicher!
Zahl der Woche—————–
- 18 Millionen
Was wichtig wird—————–
- Liebe & IT-Sicherheit – Geschenkidee zum Muttertag 12. Vormerken: 25. Deutscher Präventionstag am 28. und 29. September 2020
—————————————————-
In den Schlagzeilen
- Datenleck im alternativen App-Store
Aptoide ist ein alternativer Marktplatz für Android-Apps, der anders als der Google Playstore dezentral von den Anbietern der Apps betrieben wird. Im April haben AngreiferInnen Daten von über 20 Millionen Store-NutzerInnen kopiert und wohl auch in einem einschlägigen (Hacker-)Forum veröffentlicht, berichtet Heise Online. Betroffen sind ausschließlich registrierte KundInnen, Passwörter wurden bei dem Hack nicht im Klartext geleakt. Der Betreiber rät dennoch dazu, die Passwörter zügig zu ändern. Neuanmeldungen werden erst wieder möglich sein, wenn das Leck gestopft ist – für einen Einkauf sind sie allerdings gar nicht nötig.
Tipps von BSI für Bürger für den sicheren Umgang mit Passwörtern: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang.html
Heise Online über das Datenleck bei Aptoide: https://www.heise.de/security/meldung/Play-Store-Alternative-Aptoide-leakt-Daten-zu-ueber-20-Millionen-Nutzeraccounts-4706424.html
- 500 Pfund für 267 Millionen
Was nach einem Schnäppchen klingt, ist in Wirklichkeit ein krimineller Handel mit Nutzerdaten: Hacker haben 267 Millionen Facebook-Profile im sogenannten Dark Web angeboten – inklusive Namen, Telefonnummern und Facebook-IDs, manchmal auch E-Mail-Adressen und Geburtsdaten. Der Preis für die Daten beträgt laut ZDNet 500 britische Pfund (rund 570 Euro). Auch wenn sich die Daten nicht direkt für Angriffe auf die Nutzerkonten eignen, könnten sie doch für SMS-Angriffe und das sogenannte Spear-Phishing genutzt werden, bei dem NutzerInnen gezielt angegriffen werden.
Allgemeine Tipps zum sicheren Umgang mit sozialen Netzwerken hat BSI für Bürger für Sie zusammengestellt: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/SozialeNetze/Zehn_Tipps/Zehn_Tipps_node.html
Mehr zum Thema Spear-Phishing erfahren Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/phishing_node.html
Zur Meldung von ZDNet über den Diebstahl von Nutzerdaten bei Facebook: https://www.zdnet.de/88378985/hacker-verkaufen-267-millionen-facebook-profile-im-dark-web/
- Datenklau beim Fitness-Training
Gerade in Corona-Zeiten ist das virtuelle Fitness-Studio für viele Menschen die einzige Möglichkeit, sich unter Anleitung fit zu halten. Umso bedauerlicher ist es, dass die Trainings-App Kinomap ein gravierendes Datenleck aufwies. Die von Forschern gefundene Sicherheitslücke betraf rund 42 Millionen Datensätze, die laut Security Insider eine Zeit lang öffentlich einsehbar waren. Eine unmittelbare Gefahr besteht nicht mehr, das Datenleck wurde nach Meldung der Lücke an der Hersteller umgehend behoben.
Zehn Maßnahmen zur Absicherung gegen Angriffe aus dem Internet: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Checklisten/Massnahmen_gegen_Internetangriffe.html
Security Insider über das Datenleck bei Kinomap: https://www.security-insider.de/datenleck-in-beliebter-trainings-app-kinomap-a-925895
- Fake-Videos bei TikTok durch fehlende Verschlüsselung?
Die Video-Sharing-App TikTok hat ein Sicherheitsproblem, meldet Heise Online. Große Teile des Datenverkehrs zwischen TikTok-AnwenderInnen und den Servern der App finden offenbar unverschlüsselt statt. AngreiferInnen könnten das ausnutzen, um zum Beispiel echte Videos gegen gefälschte auszutauschen. „Besonders in Ländern mit weniger ausgeprägtem Rechtsstaat könnte eine solche Schwachstelle von Geheimdiensten oder anderen Regierungsorganisationen genutzt werden, um Propaganda zu verbreiten.“ Unternommen haben die TikTok-Betreiber dagegen bislang noch nichts.
Zur Meldung von Heise Online: https://www.heise.de/security/meldung/Keine-Verschluesselung-Man-kann-TikTok-Nutzern-Fake-Videos-unterschieben-4706488.html
- Schrecken mit Ende im Krypto-Store
Der Spiegel berichtet, dass ein anonymer Angreifer eine Beute von umgerechnet rund 23 Millionen Euro zurückgegeben hat, die er zuvor bei Lendf.me, einer Börse für Kryptowährungen, gestohlen hatte. Dazu ließ sich der Angreifer wohl durch den dringenden Appell eines Betroffenen bewegen: Er schrieb: „Ohne diese Einlagen verliere ich meine Frau und meine Kinder.“ Auch ein schwerwiegender „Anfängerfehler“ könnte den Angreifer zur Rückgabe bewogen haben, über den möglicherweise seine Identität hätte ermittelt werden können. Trotz der Rückgabe der Beute hat die Polizei von Singapur Ermittlungen aufgenommen.
Mehr über die Sicherheit sogenannter Kryptowährungen erfahren Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/kryptowaehrung_blockchain.html
Der Spiegel über die Rückgabe des erbeuteten Geldes: https://www.spiegel.de/netzwelt/web/lendf-me-hack-hacker-gibt-23-millionen-euro-beute-zurueck-a-e83e5692-4c47-4b37-9f41-bc1367897f8d
—————————————————-
Bleiben Sie up-to-date
- Aktuelle Warnmeldungen des Bürger-CERT
Das „Computer Emergency Response Team“ des BSI („Bürger-CERT“) informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es Meldungen unter anderem zu diesen Geräten und Anwendungen: Foxit Phantom PDF Suite (<= 9.7.1.29511); Bitdefender Antivirus (< free 2020 1.0.17); Google Chrome (< 81.0.4044.122); Google Chrome for Linux (< 81.0.4044.122); Google Chrome for Mac (< 81.0.4044.122); Avira AntiVirus (< 5.0.2003.1821); Google Chrome (< 81.0.4044.129), Google Chrome for Linux (< 81.0.4044.129), Google Chrome for Mac (< 81.0.4044.129) sowie Eset NOD32 Antivirus.
Informationen und Tipps zum Umgang mit diesen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html
- BSI warnt vor Einsatz von Apple Mail
In einer Pressemitteilung warnt das BSI davor, Apple Mail auf Geräten mit iOS rückwirkend bis iOS 6 (iPhone und iPad) weiter zu nutzen. Die App sei von „zwei schwerwiegenden Sicherheitslücken betroffen“, die es AngreiferInnen ermöglichten, durch das Senden einer E-Mail das Gerät zu kompromittieren. Das BSI empfiehlt dringend, die App zu löschen oder die Synchronisation verknüpfter Mail-Konten zu unterbinden. Zum Abrufen und Lesen von E-Mails könne auf andere Apps oder auf Webmail zurückgegriffen werden. Apple selbst erklärte, man habe den Bericht gründlich untersucht, sei aber zu dem Schluss gekommen, „dass diese Probleme keine unmittelbare Gefahr für unsere Benutzer darstellen“. Dennoch sei für iOS 13.4.5 und iPadOS 13.4.5 bereits ein Patch dafür unterwegs.
Aktuelle Hinweise von BSI für Bürger zum Umgang mit Mails auf Apple-Geräten: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/ios-mailapp-synchronisation-schwachstelle.html
Pressemitteilung des BSI zu den Sicherheitslücken bei Apple Mail: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Warnung_iOS-Mail_230420.html
PC Welt über die Apple-Widerrede: https://www.pcwelt.de/news/BSI-warnt-vor-Sicherheitsluecke-in-iOS-Mail-Apple-beschwichtigt-10798621.html
- Kein Spiel: Nintendo rät zur Zwei-Faktor-Authentisierung
Der japanische Spielekonsolen-Hersteller Nintendo hat den unbefugten Zugang zu rund 160.000 Nintendo-Accounts bestätigt. Demnach ist es möglich, die gekaperten Accounts zum Kauf von Items im Nintendo eShop zu missbrauchen. Als Reaktion auf den Hack hat Nintendo die Möglichkeit deaktiviert, sich mit der „Nintendo Network ID“ (NNID) einzuloggen, berichtet Heise Online. Außerdem empfiehlt das Spiele-Unternehmen, das Passwort für den Account zu ändern und Konten zusätzlich mit einer Zwei-Faktor-Authentisierung zu schützen. Kreditkarteninformationen und verknüpfte PayPal-Konten sollen aus dem Account entfernt werden.
Kennen Sie schon unsere Spielregeln für digitale Sicherheit beim Gaming? https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/Computerspiele/computerspiele.html
Heise Online über Angriffe auf Nintendo-Accounts: https://www.heise.de/security/meldung/Nintendo-bestaetigt-unbefugte-Zugriffe-auf-160-000-Nutzerkonten-4709474.html
—————————————————-
Kurz erklärt
- (Dis)Tanz in den Mai mit Videokonferenzen? Aber sicher!
Videokonferenzen boomen, weil sie helfen, trotz Kontaktverbot und physischer Distanz den persönlichen Kontakt zu FreundInnen und Familie sowie KollegInnen zu halten. Die Computerwoche hat die wichtigsten Tipps und Ratschläge zusammengefasst, die für die notwendige Sicherheit mit Zoom, Skype, Teams & Co. sorgen. Das BSI bietet zum selben Thema das „Kompendium Videokonferenzsysteme“ (Stand: April 2020) an, das sich an alle richtet, die über Videokonferenzen Inhalte bzw. Informationen mit normalem und erhöhtem Schutzbedarf austauschen.
BSI-Kompendium zu Videokonferenzsysteme: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Kompendium-Videokonferenzsysteme.pdf
Computerwoche-Tipps für sichere Videokonferenzen: https://www.computerwoche.de/a/so-machen-sie-ihre-videokonferenz-apps-sicher,3548801
—————————————————-
Zahl der Woche
- 18 Millionen
Nach wie vor nutzen Hacker die COVID-19-Pandemie für Phishing- und Malware-Attacken. Google meldete vor kurzem, dass seine Systeme täglich rund 18 Millionen Phishing- und Malware-Nachrichten registrieren, die einen direkten Bezug zu Corona enthalten. Zwar werden von diesen Mails mehr als 99,9 Prozent blockiert, teilte Google mit. Allerdings bedeutet selbst diese Quote, dass immerhin noch rund 18.000 solcher E-Mails jeden Tag zugestellt werden und bei den EmpfängerInnen Schaden verursachen können.
BSI-Tipps zum Schutz vor Phishing: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/Schutzmassnamen/schutzmassnamen_node.html
Zur Meldung von ZDNet: https://www.zdnet.de/88379045/google-hacker-nutzen-covid-19-pandemie-fuer-phishing-und-malware-attacken/
—————————————————-
Was wichtig wird
- Liebe & IT-Sicherheit – Geschenkidee zum Muttertag
Am 10. Mai ist Muttertag. Verschenken Sie in diesem Jahr statt Blumen und Schokolade doch mal Zeit – Zeit für den IT-Frühjahrsputz! Das macht gemeinsam eh viel mehr Spaß. Unsere sieben Tipps zeigen Ihnen, wie Sie Ihre Geräte und Programme und die Ihrer Mutter sauber und sicher halten können. Übrigens: Die Tipps funktionieren auch an den 364 anderen Tagen des Jahres.
Mit dem BSI zum digitalen Frühjahrsputz: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/digitaler-fruehjahrsputz.html
- Vormerken: 25. Deutscher Präventionstag am 28. und 29. September 2020
Statt wie geplant im April findet der 25. Deutsche Präventionstag nun voraussichtlich am 28. und 29. September dieses Jahres in Kassel statt. Das Schwerpunktthema lautet „SMART PREVENTION – Prävention in der digitalen Welt“. Für ein digitales Gutachten zum Kongress hat der Deutsche Präventionstag 17 ExpertInnen zur digitalen Kriminalität und digitalen Kriminalprävention befragt, darunter auch BSI-Präsident Arne Schönbohm. Er fordert in seinem Statement unter anderem, dass Cyber-Sicherheit genauso selbstverständlich mitgedacht werden müsse, „wie das Verriegeln der Tür oder das Ausschalten des Herdes“. Cyber-Sicherheit sei kein Kann, so der BSI-Präsident, sondern „ein Muss für eine erfolgreiche Digitalisierung“.
Website zum 25. Deutschen Präventionstag: https://www.smart-prevention.de/
Kurzvideo zum Kongress: https://www.youtube.com/watch?v=cZ6kmBq3Wp0&feature=youtu.be
Pressemitteilung der Veranstalter zum digitalen Gutachten: https://www.praeventionstag.de/nano.cms/pressemitteilungen-dpt?xa=details&dpt=25&id=274
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
https://www.twitter.com/BSI_Presse
Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn