SICHER • INFORMIERT vom 19.02.2020

Ausgabe: 04/2020

 

 

Helau, Alaaf und Rumskedi!

Ob Karneval, Fasching oder Fassenacht: Spätestens morgen erreicht mit Weiberfastnacht im Rheinland und anderen deutschen Karnevalshochburgen die fünfte Jahreszeit ihren verdienten Höhepunkt. In dieser Zeit bevölkern auffällig viele PiratInnen, Tiere und Märchenfiguren Deutschlands Straßen – das waren laut Statista 2019 die beliebtesten Verkleidungen. Wir sind für mehr Vielfalt – auch im Karneval. Falls Sie also noch nicht wissen, welches Kostüm es dieses Jahr werden soll: Wie wäre es zur Abwechslung mit Computervirus, Firewall oder Phishing-Mail?

Wo immer Sie ab morgen unterwegs sind: Passen Sie auf sich und Ihre Geräte auf, denn nicht alle Jecken führen hinter ihren lustigen Masken ausschließlich Gutes im Schilde. Insbesondere Taschendiebe nutzen die ausgelassene Stimmung nur allzu gern aus. Als erfahrene(r) LeserIn unseres Newsletters wissen Sie bereits, was Sie tun sollten: Machen Sie es Dieben so schwer wie möglich, auf Ihre Geräte und Daten zuzugreifen – durch eine gesunde Portion Skepsis, aktivierte Sicherheitsfunktionen an Ihrem Smartphone und gute Passwörter für Ihre Online-Konten. Das schützt Sie zwar nicht vor einem Diebstahl, begrenzt aber den Schaden im Fall der Fälle. Weitere nützliche Sicherheitstipps hält – wie gewohnt – dieser Newsletter für Sie parat.

Viel Spaß beim Lesen und eine narrensichere Woche wünscht Ihnen Jan Lammertz / Team BSI-für-Bürger

P.S.: Rumskedi, wer kennt es nicht, rufen sich übrigens die Närrinnen und Narren in Beckum zu, einer Karnevalshochburg in Westfalen!

Inhalt

 

In den Schlagzeilen—————–

1. Wenn Hacker sich bei Twitter als Facebook verkleiden 2. Schnelle Eingreiftruppe für Cyberangriffe?
2. Klarna = Klarname?

 

 

Bleiben Sie up-to-date—————–

4. Sicherheitslücken in Adobe-Programmen, Mozilla Firefox und Thunderbird 5. WhatsApp macht Probleme 6. Dell warnt vor Dell 7. Post von der Telekom 8. Bei Bluetooth wird Android schwach

 

 

Gut zu wissen—————–

9. S1E2: Cyber-Sicherheit2
10. Emotet hat Deutschland im Griff
11. Chrome blockiert demnächst unsichere Downloads

 

 

Kurz erklärt—————–

12. Neue Optionen für den E-Perso

 

 

Zahl der Woche—————–

13. 700

 

—————————————————-

In den Schlagzeilen

 

 

1. Wenn Hacker sich bei Twitter als Facebook verkleiden

 

Die Hacker der OurMine Security Group haben jüngst diverse Social-Media-Auftritte von Clubs der National Football League (NFL) bei Facebook, Instagram und Twitter gekapert. Betroffen waren unter anderem die Chicago Bears, Denver Broncos, New York Giants und Green Bay Packers. Zuletzt haben die Hacker sogar den Twitter-Zugang von Facebook gehackt. Von Schäden wird nichts berichtet; allerdings hinterließen OurMine Nachrichten wie „Wir sind hier, um den Leuten zu zeigen, dass alles gehackt werden kann.“ auf den betroffenen Accounts – wohl als Werbung für die eigene Arbeit. Unbekannt ist zudem, wie die Gruppe Zugriff auf die Konten erlangen konnten.

 

10 Tipps des BSI für Bürger zum sicheren Umgang mit Social Media: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/SozialeNetze/Zehn_Tipps/Zehn_Tipps_node.html

 

ZDNet über den Hackerangriff von OurMine: https://www.zdnet.de/88376361/hackergruppe-ourmine-kapert-social-media-konten-von-15-nfl-teams/

 

 

2. Schnelle Eingreiftruppe für Cyberangriffe?

 

An dieser Stelle berichten wir regelmäßig über Angriffe auf öffentliche Institutionen – Stadtverwaltungen, Behörden oder Hochschulen zum Beispiel. Was hier am Ende vor allem ärgerlich ist, könnte bei den sogenannten Kritischen Infrastrukturen (KRITIS) gefährliche Folgen haben, etwa bei Unternehmen, die uns mit Strom, Trinkwasser, Lebensmitteln oder Medikamenten versorgen. Die AG KRITIS, ein Zusammenschluss unabhängiger IT-SicherheitsexpertInnen, fordert nun die Gründung eines „Cyber-Hilfswerks“ (CHW). Es soll so ähnlich wie das Technische Hilfswerk (THW) als schnelle Einsatztruppe ausrücken bzw. eingreifen, um die Situation bei Cyber-Angriffen unter Kontrolle zu bringen. Nach Vorstellung der ExpertInnen soll das CHW eine „staatliche Truppe“ sein, die ausschließlich im behördlichen Auftrag arbeitet.

 

Für Bundesbehörden gibt es im BSI das CERT-Bund, das Computer Emergency Response Team (CERT), das präventiv aktiv wird, aber auch gemeinsam mit dem IT-Lage- und Analysezentrum einen 24-Stunden-Bereitschaftsdienst anbietet und bei IT-Sicherheitsvorfällen unterstützt. Für Privatpersonen stellt das Bürger-CERT umfangreiche Informationen über einen eigenen Warn- und Informationsdienst bereit, den Sie vor allem aus unserer Rubrik „Bleiben Sie up-to-date“ kennen.

 

Informationen des BSI über Kritische Infrastrukturen (KRITIS): https://www.bsi.bund.de/DE/Themen/KRITIS/kritis_node.html

 

Informationen zum CERT-Bund: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaeten/CERT-Bund/certbund_node.html

 

Heise Online über den Vorschlag für ein CHW: https://www.heise.de/security/meldung/Arbeitsgruppe-KRITIS-will-Cyber-Hilfswerk-fuer-IT-Katastrophenfaelle-gruenden-4656933.html

 

 

3. Klarna = Klarname?

 

Der schwedische Zahlungsanbieter Klarna will das Bezahlen im Internet einfacher machen. Offenbar gilt das aber auch für Hacker: Wie Der Spiegel meldet, konnten Dritte über das Autovervollständigen von Bestellformularen auf Telefonnummern von KundInnen zugreifen. Auf vielen Seiten, so das Nachrichtenmagazin, reiche schon die Eingabe von Postleitzahl und E-Mail-Adresse, damit sich das Bestellformular von allein mit weiteren Daten füllt, darunter die Anschrift, oder – allerdings in verschleierter Form – auch Geburtsdatum und Telefonnummer. Eigenen Angaben zufolge hat Klarna diese Funktion bei betroffenen Webseiten inzwischen deaktiviert.

 

BSI für Bürger über sicheres Einkaufen im Internet: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/EinkaufenImInternet/einkaufeniminternet_node.html

 

Der Spiegel über die Klarnamen bei Klarna: https://www.spiegel.de/netzwelt/web/klarna-telefonnummern-von-kunden-waren-fuer-dritte-abrufbar-a-a32cf8d5-04e6-4588-ba4f-46151a714523

 

 

—————————————————-

Bleiben Sie up-to-date

 

 

4. Sicherheitslücken in Adobe-Programmen, Mozilla Firefox und Thunderbird

 

Unser Bürger-CERT informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell sind unter anderem diese Vorfälle bekannt: Schwachstellen im Adobe Flash Player (< 32.0.0.330), Adobe Acrobat (< 2015.006.30510; < 2017.011.30158) und Reader (< 2015.006.30510; < 2017.011.30158; DC < 2020.006.2003) sowie Adobe Digital Editions (< 4.5.11) ermöglichen das Ausführen von Schadcode. Zudem gibt es auch Schwachstellen bei den Webbrowsern Mozilla Firefox (< 73; ESR < 68.5) und Thunderbird (< 68.5).

 

Weitere aktuelle Warnmeldungen des Bürger-CERT: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html

 

 

5. WhatsApp macht Probleme

 

Eine schwerwiegende Sicherheitslücke hat ein Sicherheitsforscher in der Desktop-App von WhatsApp gefunden, meldet t3n. AngreiferInnen können mithilfe einer manipulierten Nachricht auf das Dateisystem des Opfers zugreifen. Betroffen sind NutzerInnen, die den Desktop-Client von WhatsApp für Mac und Windows in der Version 0.3.9309 oder niedriger einsetzen. Die Lücke lässt sich über ein Update schließen

 

Link zum WhatsApp-Update: https://www.facebook.com/security/advisories/cve-2019-18426

 

t3n über die WhatsApp-Lücke: https://t3n.de/news/whatsapp-desktop-sicherheit-1249901/.

 

 

6. Dell warnt vor Dell

 

Der Computerhersteller warnt vor einem eigenen Programm, dem Dell Support Assist, das eigentlich notwendige und passende Treiber installieren und aktuell halten soll. Allerdings wurde in der Software eine Schwachstelle entdeckt, die AngreiferInnen aus der Ferne ausnutzen können, um etwa Schadcode auf dem Rechner auszuführen, meldet t3n. Dell rät betroffenen KundInnen, so schnell wie möglich auf eine sichere Software-Version zu aktualisieren.

 

t3n-Meldung zu Dell: https://t3n.de/news/unsichere-software-update-vielen-1251485/

 

 

7. Post von der Telekom

 

Oft tarnen sich Cyberkriminelle als Anbieter populärer Online-Dienste, um über Phishing-Mails Schadsoftware oder Trojaner auf fremde Rechner zu bringen. Wenn Sie in diesen Tagen Post von der Telekom bekommen, sollten Sie diese E-Mail gründlich lesen: „Ihre Daten wurden gestohlen und sind im Internet einsehbar“, lautet der Betreff dieser E-Mail. Darin werden KundInnen aufgefordert, ihr Passwort im Kundencenter zu ändern, heißt es in einem Bericht von t-online. Die Telekom rät dazu, keinen Link in dieser E-Mail anzuklicken, sondern stattdessen direkt über den Browser das Kundencenter aufzurufen und dort ein neues Passwort zu hinterlegen. Eine Passwortänderung wird auch für alle Plattformen empfohlen, auf denen die KundInnen mit einer Telekom-Adresse angemeldet sind.

 

Meldung bei t-online: https://www.t-online.de/digital/sicherheit/id_87319550/telekom-mail-daten-gestohlen-auf-diese-nachricht-sollten-sie-reagieren.html

 

 

8. Bei Bluetooth wird Android schwach

 

NutzerInnen von Smartphones mit den Android-Versionen 8 bis 9 könnten via Bluetooth Opfer von Cyberangriffen werden. AngreiferInnen können theoretisch drahtlos und ohne Wissen der Opfer Code auf dem Smartphone ausführen, meldet t3n und beruft sich auf das Heidelberger IT-Sicherheitsunternehmen ERNW. Bei Geräten mit Android 10 ist ein solcher Angriff zwar nicht möglich, allerdings könnte die Sicherheitslücke die Bluetooth-Software zum Absturz bringen. Inzwischen hat Google die Schwachstelle gepatcht. NutzerInnen wird dringend empfohlen, den neuesten verfügbaren Sicherheitspatch zu installieren, rät ERNW.

 

In einer Broschüre informiert das BSI über drahtlose Kommunikationssysteme und ihre Sicherheitsaspekte: https://www.bsi.bund.de/DE/Publikationen/Broschueren/Drahtloskom/drahtloskom.html

 

t3n über die Sicherheitslücke bei Bluetooth auf Android: https://t3n.de/news/android-sicherheitsluecke-ueber-1251087/

 

 

—————————————————-

Gut zu wissen

 

 

9. S1E2: Cyber-Sicherheit2

 

Wir haben die zweite Episode der ersten Staffel („S1E2“) unserer Videoreihe veröffentlicht: „Wie schütze ich mein Smartphone richtig?“. Darin besprechen Peter Drescher vom BSI und Oliver Müller von der Verbraucherzentrale NRW, wie ein Smartphone sicher verwendet werden kann. In der ersten Episode der Reihe geben die beiden Experten Tipps für den Fall des Verlusts eines Smartphones.

 

Zum zweiten Teil der Reihe Cyber-Sicherheit² geht es hier entlang: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/smartphone-sicherheit.html

 

 

10. Emotet hat Deutschland im Griff

 

Nicht nur die Maßnahmen und Angebote des BSI zum Schutz der BürgerInnen werden immer besser; auch Cyberkriminelle sind nicht untätig und arbeiten offenbar intensiv daran, ihre Schadprogramme weiterzuentwickeln. Zuletzt wurden unter anderem das Kammergericht Berlin, die Universität Gießen, das Klinikum Fürth sowie die Städte Frankfurt und Bad Homburg Opfer von Emotet, einem der gefährlichsten Schadprogramme überhaupt. Emotet tarne sich immer besser und lade zudem immer neuere und gefährlichere Software auf infizierte Rechner, zitiert Security Insider das Unternehmen Bromium, ein Anbieter für Endpoint-Security-Lösungen. Um Infektionen zu vermeiden, sei bei allen E-Mails mit Links oder Anhängen Vorsicht geboten. So sollten NutzerInnen keine Makros oder andere aktive Inhalte innerhalb eines Dokuments aktivieren – zumindest solange, bis sie sich beim Absender rückversichert haben, dass es sich um harmlose Inhalte handelt.

 

Aktuelle Informationen zu Emotet finden Sie bei BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html

 

Security Insider über Emotet: https://www.security-insider.de/emotet-hat-deutschland-weiterhin-im-griff-a-900565/

 

 

 

11. Chrome blockiert demnächst unsichere Downloads

 

Der Google-Webbrowser Chrome blockiert künftig unsichere Downloads, meldet Heise Online. Das gelte aber erst mit der Version 86, die im Herbst erscheinen soll. Downloads von einer HTTPS-Seite („Hypertext Transfer Protocol Secure)“ werden von allen neuen Versionen an nur noch dann zugelassen, wenn sie verschlüsselt sind. Google will dadurch vor Hackern und Phishing-Attacken schützen. Auf nicht speziell geschützten HTTP-Seiten ändert sich erst einmal nichts, so dass NutzerInnen auf Downloads von solchen Seiten ganz verzichten sollten.

 

BSI für Bürger rät zur Vorsicht beim Download von Software aus dem Internet: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Schadprogramme/schadprogramme_node.html

 

Heise Online über sichere Downloads bei Chrome: https://www.heise.de/newsticker/meldung/Nur-noch-HTTPS-Chrome-blockiert-unsichere-Downloads-4656085.html

 

 

—————————————————-

Kurz erklärt

 

 

12. Neue Optionen für den E-Perso

 

Bereits seit 2010 gibt es den elektronischen Personalausweis. Allerdings ließen sinnvolle Nutzungsszenarien für die sogenannte eID lange auf sich warten – auch weil nur wenige Menschen sich für 30 Euro einen zusätzlich nötigen Kartenleser anschaffen wollten. Da man aber statt des Lesegeräts inzwischen auch sein Smartphone einsetzen kann, sei der elektronische Personalausweis „endlich bequem nutzbar“, schreibt das Computermagazin c’t. Über die für den Bund entwickelte „AusweisApp2“ können zum Beispiel komfortabel und einfach Adressdaten an Webseiten übermittelt werden. Zudem findet sich in der App eine Liste von Behörden und Unternehmen, bei denen man sich online mit dem Ausweis identifizieren kann, darunter zum Beispiel die Rentenversicherung oder das Finanzamt („Elster Online“).

 

Das BSI über die eID-Infrastruktur: https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/ElektronischeIdentitaeten/Online-Ausweisfunktion/eID-Infrastruktur/eID-Infrastruktur_node.html

 

Website von AusweisApp2: https://www.ausweisapp.bund.de/ausweisapp2/

 

c‘t über neue Möglichkeiten des e-Persos: https://www.heise.de/ct/artikel/Was-man-mit-dem-E-Perso-im-Netz-anfangen-kann-4647067.html

 

 

—————————————————-

 

Zahl der Woche

 

 

13. 700

 

Von den 2.800 Stellen für IT-SicherheitsexpertInnen in Bundesministerien ist nach ZDF-Informationen jede vierte unbesetzt – insgesamt 700 Stück. Davon ist auch das BSI betroffen, das formal dem Bundesministerium des Innern, für Bau und Heimat unterstellt ist. „Hier ist sogar jede dritte Stelle offen“, meldet das ZDF. In diesem Sinne: Wir suchen neue KollegInnen! Mehr Informationen zum Arbeiten beim BSI und die offenen Stellen finden Sie hier: https://www.bsi.bund.de/DE/DasBSI/Jobs/jobs_node.html.

 

 

ZDF über unbesetzte Stellen für IT-Sicherheit: https://www.zdf.de/nachrichten/politik/cyberabwehr-bundesregierung-it-sicherheit-stellen-unbesetzt-100.html

 

 

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen:https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

SICHER • INFORMIERT vom 06.02.2020

Ausgabe: 03/2020

 

Liebe LeserInnen,

künstliche Intelligenz (KI) gehört zu den meistgehörten Schlagwörtern der Digitalisierung.

Intelligente Kühlschränke, die für uns einkaufen, intelligente Autos, die für uns fahren, intelligente Bots, die uns in Behörden und Ämtern mit Formularen versorgen und unsere Anfragen

beantworten: Die Liste der Verheißungen von KI ist lang – und es wird noch länger dauern, bis die Versprechungen realisiert sein werden.

 

Aufpassen sollten wir trotzdem schon jetzt: Die wachsende Zahl vernetzter Geräte bedeutet immer auch ein höheres Sicherheitsrisiko. Die Anbieter schützen ihre Geräte, aber es schadet nicht, wenn wir alle auch selbst genau hinschauen. Aufmerksame LeserInnen dieses Newsletters wissen, wie das

geht: mit Vorsicht, einer gesunden Portion Misstrauen und ein paar nützlichen Tools. Wie immer bietet unser Newsletter Ihnen nützliche Tipps und Wissenswertes rund um Cyber-Sicherheit.

 

Viel Spaß beim Lesen wünscht Ihnen

 

Jan Lammertz / Team BSI-für-Bürger

Inhalt

 

In den Schlagzeilen—————–

1. Buchbinder-Leak: Drei Millionen Kundendaten offen im Netz 2. Emotet-Epidemie im Kammergericht Berlin 3. Smart Meter Gateway: Die intelligenten Stromzähler kommen 4. Datenschutzskandal bei Avast Antivirus

 

 

Bleiben Sie up-to-date—————–

5. Aktuelle Warnmeldungen des Bürger-CERT 6. Passwörter von 500.000 WLAN-Routern veröffentlicht 7. Xbox und Xbox Live: Spielend zu mehr Sicherheit

 

 

Gut zu wissen—————–

8. Cyber-Sicherheit²: BSI-Videos über Smartphone-Sicherheit 9. FBI hat das iPhone 11 geknackt 10. FIDO2: Das Ende (des Passworts) naht 11. Deutlich mehr Sicherheitslücken bei WhatsApp 12. Sicherheitsprobleme auch beim Mutterschiff: Facebook missachtet die Privatsphäre seiner NutzerInnen

 

 

Kurz erklärt—————–

13. So funktioniert ein Passwortmanager

 

 

Zahl der Woche—————–

14. 1.600 Angriffsversuche aufs Regierungsnetz – pro Tag!

 

—————————————————-

In den Schlagzeilen

 

 

1. Buchbinder-Leak: Drei Millionen Kundendaten offen im Netz

 

Für das Computermagazin c’t ist es „eines der größten Datenlecks in der Geschichte der Bundesrepublik“: Beim Autovermieter Buchbinder standen wochenlang persönliche Daten von mehr als drei Millionen KundInnen ungeschützt im Netz, darunter auch Adressen und Telefonnummern von Prominenten und PolitikerInnen wie Grünen-Chef Robert Habeck und BSI-Präsident Arne Schönbohm. Ursache des Lecks war laut c‘t „ein Konfigurationsfehler bei einem Backup-Server“. Buchbinder hat nach eigenen Angaben die Lücke inzwischen geschlossen. Informationen über mögliche Schäden und die missbräuchliche Verwendung von Daten machte das Unternehmen aber nicht. Wer wissen will, ob seine Informationen in der Datenbank gespeichert und betroffen sind, kann dies per E-Mail an erfragen, schreibt c’t und bietet dafür unter www.ct.de/ycyu auch ein Formular an.

 

Eckpunkte-Papier des BSI über die „Mindestanforderungen zur Informationssicherheit bei eCommerce-Anbietern“: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Mindestanforderungen-eCommerce-Anbieter.pdf

 

c’t über die Computerpanne bei Buchbinder: https://www.heise.de/ct/artikel/Daten-Leak-bei-Autovermietung-Buchbinder-3-Millionen-Kundendaten-offen-im-Netz-4643015.html

 

 

2. Emotet-Epidemie im Kammergericht Berlin

 

Schwerer als erwartet ist offenbar der Emotet-Angriff auf das Berliner Kammergericht, berichtet unter anderem Heise Online und beruft sich auf ein Gutachten des „Cyber Emergency Response Teams“ von T-Systems, das die IT-Systeme des Gerichts untersucht hat. Demnach konnten die Trojaner Emotet und Trickbot „über mehrere Tage hinweg weitgehend ungehindert im Netz des Gerichts wüten und Daten abziehen“. Wie genau der Angriff erfolgte, ist bisher noch nicht klar. Da die ExpertInnen bei ihrer Analyse „gleich reihenweise Schwachpunkte der IT-Infrastruktur“ ausgemacht haben, raten sie dem Gericht angesichts dieses „Totalschadens“ zu einem kompletten Neuaufbau der IT-Infrastruktur.

 

Aktuelle Informationen des BSI zu Emotet: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html

 

Heise Online über den Emotet-Befall beim Berliner Kammergericht: https://www.heise.de/security/meldung/Emotet-IT-Totalschaden-beim-Kammergericht-Berlin-4646568.html

 

 

3. Smart Meter Gateway: Die intelligenten Stromzähler kommen

 

Nach der Zertifizierung eines dritten Smart-Meter-Gateways durch das BSI greift nun die gesetzliche Verpflichtung zum Einbau der Gateways für intelligente Messsysteme in Haushalten mit einem Jahresstromverbrauch ab 6.000 kWh. Die Gateways ermöglichen die zuverlässige Erhebung, Verarbeitung, Übermittlung, Protokollierung, Speicherung, aber auch die Löschung von digitalen Messwerten der Stromzähler. Der Einbau von intelligenten Messsystemen ist ein wesentlicher Meilenstein auf dem Weg hin zur Energiewende.

 

Fragen und Antworten rund um das Smart-Meter-Gateway haben wir hier zusammengefasst: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/Energiewende/smart-meter-gateway_node.html

 

Der Artikel von Heise Online zum Thema: https://www.heise.de/newsticker/meldung/Intelligente-Stromzaehler-Startschuss-fuer-verpflichtenden-Smart-Meter-Einbau-4651422.html

 

 

4. Datenschutzskandal bei Avast Antivirus

 

Über ein Tochterunternehmen hat der tschechische Anbieter von Antiviren-Tools Avast jahrelang Browserdaten an zahlende KundInnen verkauft, meldet t3n. In den Daten fanden sich „Google-Suchen, Ortssuchen, GPS-Koordinaten aus Google Maps, besuchte LinkedIn-Seiten, angesehene YouTube-Videos sowie besuchte Porno-Seiten, nebst der dort verwendeten Suchbegriffe und der Videos, die Nutzer auf den Porno-Seiten angeschaut haben“. Nach weltweiten Protesten gegen die auch rechtlich mehr als fragwürdige Datensammlung hat Avast in der Zwischenzeit die Datenweitergabe gestoppt und die Abwicklung seines Tochterunternehmens angekündigt.

 

BSI-Tipps für sichere Einstellungen Ihres Webbrowsers: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/EinrichtungBrowser/Sicherheitsmassnahmen/SicherheitsCheck/sicherheitscheck_node.html

 

t3n über den Datenskandal bei Avast: https://t3n.de/news/weltweiter-empoerung-avast-1247635/

 

 

—————————————————-

Bleiben Sie up-to-date

 

 

5. Aktuelle Warnmeldungen des Bürger-CERT

 

Das „Computer Emergency Response Team“ des BSI („Bürger-CERT“) informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell sind diese Vorfälle bekannt: Mehrere Schwachstellen im D-LINK Router DIR-859 ermöglichen das Ausführen von beliebigem Programmcode mit den Rechten des Dienstes.

 

Auch in Apple-Betriebssystemen und -Anwendungen wurden Sicherheitslücken entdeckt: Betroffen sind unter anderem der Apple-Standard-Browser Safari (< 13.0.5), Apple iOS und Apple iPadOS (< 13.3.1) sowie Apple macOS (10.13.6; 10.14.6; < 10.15.3) und Apple iTunes (< 12.10.4). Die Schwachstellen können von Angreifern ausgenutzt werden, um unerlaubt Zugriff auf Geräte und Anwendungen zu erhalten. Schließlich meldet das Bürger-CERT auch mehrere Schwachstellen bei Bitdefender Antivirus for Mac < 8.0.0. Diese Schwachstellen könnten ausgenutzt werden, „um Anmeldeinformationen für die Bitdefender Cloud offenzulegen und um beliebigen Code auszuführen“. Die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates schließt die Lücken.

 

Weitere aktuelle Warnmeldungen des Bürger-CERT: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html

 

 

6. Passwörter von 500.000 WLAN-Routern veröffentlicht

 

WLAN-Router und -Server werden von Hackern genutzt, um sogenannte Botnetze aufzubauen – Netzwerke von oft mehreren Tausend PCs, die per Fernsteuerung zusammengeschlossen und für kriminelle Aktionen missbraucht werden. Chip berichtet darüber, dass „IP-Adressen und Passwörter von über einer halben Million Geräten frei zugänglich im Internet veröffentlicht“ wurden.

 

BSI-Informationen über Botnetze und den Schutz vor unbefugtem Zugriff auf WLAN-Router: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/BotNetze/botnetze_node.html

 

Chip-Bericht über veröffentlichte WLAN-Daten: https://www.chip.de/news/Passwoerter-von-500.000-WLAN-Routern-oeffentlich-gemacht_179776444.html

 

 

7. Xbox und Xbox Live: Spielend zu mehr Sicherheit

 

Mit dem Internet verbundene Spielekonsolen wie Microsofts Xbox und der Online-Dienst Xbox Live können ebenfalls Ziele von Angreifern werden. Microsoft hat daher ein sogenanntes Bug-Bounty-Programm gestartet, über das Meldungen von bisher unentdeckten und reproduzierbaren Fehlern und Schwachstellen mit bis zu 20.000 US-Dollar entlohnt werden. Die tatsächliche Höhe der Prämien richtet sich nach der Schwere, den möglichen Auswirkungen und der Qualität der Übermittlung, heißt es in einem Blogpost des Microsoft Security Response Centers (MSRC).

 

Heise Online über das Bug-Bounty-Programm von Microsoft: https://www.heise.de/newsticker/meldung/Microsoft-legt-Xbox-Bug-Bounty-Programm-auf-4650744.html

 

 

—————————————————-

Gut zu wissen

 

 

8. Cyber-Sicherheit²: BSI-Videos über Smartphone-Sicherheit

 

Das BSI startet mit Cyber-Sicherheit² eine Reihe von Videos zum Thema Smartphone-Sicherheit. Im ersten Teil besprechen Peter Drescher vom BSI und Oliver Müller von der Verbraucherzentrale NRW, wie ein Smartphone sicher verwendet werden kann.

 

Zum ersten Teil der Reihe Cyber-Sicherheit² geht es hier entlang: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/smartphone-sicherheit.html

 

 

9. FBI hat das iPhone 11 geknackt

 

Apple und die US-Bundespolizei FBI streiten sich seit Jahren darüber, ob der iPhone-Hersteller einen Zugriff auf beschlagnahmte Geräte ermöglichen muss. Zuletzt hatte sich Apple sogar einem Gerichtsbeschluss widersetzt, der das Unternehmen dazu verpflichtet hatte, beim Entsperren des iPhones zu helfen. Einem Bericht von Golem zufolge ist es dem FBI aber nun auch ohne Zutun von Apple gelungen, Zugriff auf die Daten eines gesperrten iPhone 11 zu bekommen. Mit Hilfe der forensischen Software Cellebrite seien die Textnachrichten eines Geräts ausgelesen worden, hieß es.

 

Golem über den FBI-Hack beim iPhone 11: https://www.golem.de/news/forensische-software-fbi-hat-das-iphone-11-geknackt-2001-146235.html

 

 

10. FIDO2: Das Ende (des Passworts) naht

 

Google, Microsoft und „Dutzende weitere namhafte Tech-Unternehmen“ treiben wohl im Rahmen einer globalen Allianz den neuen Standard FIDO2 („Fast Identity Online“) voran. NutzerInnen müssen sich bei Geräten und Anwendungen, die diesen Standard einsetzen, keine Passwörter mehr merken, sondern lediglich ein physisches oder virtuelles Objekt mit sich führen, auf dem ein individueller Sicherheitsschlüssel abgelegt ist. „Dieser sogenannte Authenticator kann beispielsweise ein externes Gerät für den Schlüsselbund sein, das sich per USB, NFC oder Bluetooth mit dem PC oder Smartphone verbinden lässt“, beschreibt das Handelsblatt den neuen Standard. Bis zur endgültigen Umsetzung des Standards und der Einführung der Technologie werde es aber noch 18 bis 24 Monate dauern.

 

Auch c’t schreibt über das Thema: https://www.heise.de/ct/artikel/Sicherheitschips-staerken-oder-ersetzen-Passwoerter-4637602.html

 

 

11. Deutlich mehr Sicherheitslücken bei WhatsApp

 

Der mehr als 1,6 Milliarden NutzerInnen zählende Instant Messenger WhatsApp musste im vergangenen Jahr einen deutlichen Anstieg von Sicherheitslücken verkraften, meldet t3n unter Berufung auf die Financial Times. WhatsApp meldete 2019 demnach zwölf Sicherheitslücken, von denen sieben das Label „kritisch“ trugen. Glaubt man dem WhatsApp-Betreiber Facebook, mussten die NutzerInnen nicht auf die Lücken reagieren: Die seien alle bereits vor der Meldung behoben gewesen.

 

t3n über den Anstieg von Sicherheitslücken bei WhatsApp: https://t3n.de/news/whatsapp-meldet-deutlich-mehr-1246847/

 

 

12. Sicherheitsprobleme auch beim Mutterschiff: Facebook missachtet die Privatsphäre seiner NutzerInnen

 

Dass Facebook systematisch umfassende Daten seiner NutzerInnen sammelt und nutzt, ist bekannt. Die kürzlich freigeschaltete Funktion „Off-Facebook Activity“ (OFA) zeigt nun, wie weit dieses Sammeln tatsächlich geht. „Der Konzern schaut Milliarden Menschen beim Surfen über die Schulter, ohne dass sie es merken“, schreibt die Süddeutsche Zeitung über die Datensammelwut von Facebook und gibt gleichzeitig Tipps, wie man das – zumindest zum Teil – verhindern kann.

 

Süddeutsche Zeitung zum Umfang der Datensammlung bei Facebook: https://www.sueddeutsche.de/digital/off-facebook-activity-ofa-daten-1.4776368

 

 

—————————————————-

Kurz erklärt

 

 

13. So funktioniert ein Passwortmanager

 

Solange FIDO2 Passwörter noch nicht flächendeckend überflüssig macht (siehe oben), müssen NutzerInnen notgedrungen noch mit ihnen leben. Dabei helfen ihnen sogenannte Passwortmanager. Das sind Programme, die Passwörter generieren, verschlüsselt speichern und automatisch in die Anmeldefelder von Online-Portalen eingeben. Gleichzeitig bieten die Passwortmanager größeren Schutz, denn sie generieren schwer zu knackende Passwörter. Stiftung Warentest hat 14 Passwortmanager getestet und bewertet (Test von 2017, aktualisiert im Januar 2020). Mit „gut“ haben gerade einmal drei abgeschnitten, ein Programm davon ist gratis erhältlich.

 

BSI-Empfehlungen für gute Passwörter: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html

 

Passwortmanager im Test: https://www.test.de/Passwort-Manager-im-Test-5231532-0/

 

 

—————————————————-

 

Zahl der Woche

 

 

14. 1.600 Angriffsversuche aufs Regierungsnetz – pro Tag!

 

Die Cyberabwehr der Bundesregierung musste 2019 rund 1.600 Hacker-Attacken abwehren – pro Tag! Eine Sprecherin unseres Amtes nannte gegenüber Business Insider weitere Zahlen: Demnach werden im Regierungsnetz jeden Tag zum Beispiel durchschnittlich 1,2 Millionen Spam-E-Mails abgefangen, die Schadprogramme enthalten oder vertrauliche Daten abfischen könnten.

 

Business Insider zur Zahl der Angriffsversuche auf das Regierungsnetz in Deutschland: https://www.businessinsider.de/politik/deutschland/bundesregierung-unter-dauerfeuer-cyberabwehr-blockt-1600-hacker-attacken-pro-tag/

 

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn