SICHER • INFORMIERT vom 23.01.2020
Ausgabe: 02/2020
Liebe LeserInnen,
soziale Netzwerke verbinden Menschen aus aller Welt. Sie lassen Familien und Freunde, die weit voneinander entfernt leben, enger zusammenrücken. Soziale Netzwerke sind so gut, dass man sie erfinden müsste, wenn es sie nicht schon gäbe. Doch ihr Erfolg ist gleichzeitig auch ihr Fluch: Sie locken Cyberkriminelle an, die sich für die Daten der NutzerInnen interessieren und sie mit schmutzigen Tricks zu für sie schädlichen Handlungen verleiten. Erschwerend kommt hinzu, dass die Anbieter oft fahrlässig mit den Daten und dem Persönlichkeitsschutz ihrer NutzerInnen umgehen und ihre Netzwerke nicht so schützen, wie es möglich – und nötig – wäre.
Werden neue Sicherheitslücken oder Betrugsmethoden entdeckt, ist es an den Betreibern sozialer Netzwerke, diese zu beheben. Unsere Aufgabe als BSI ist es, Sie darüber zu informieren und Ihnen Tipps zu geben, wie Sie sich, Ihre Geräte und Daten schützen oder mögliche Schäden minimieren können.
Wir informieren Sie wie immer zuverlässig über die neuesten Vorfälle im Cyber-Universum und verraten Ihnen, wie Sie sich schützen können.
Viel Spaß beim Lesen wünscht Ihnen
Jan Lammertz / Team BSI-für-Bürger
Inhalt
In den Schlagzeilen—————–
- Vorsicht vor Nepp-Apps!
- Datenleak bei Buchbinder – 3 Millionen Kundendaten im Netz 3. Das Ende ist nah – oder doch nicht?
- „eSIM-Swapping“ in Bayern: Anklage wegen mTAN-Betrug erhoben 5. „New York Times“ deckt Datenbank zur Gesichtserkennung auf
Bleiben Sie up-to-date—————–
- Sicherheitslücken in Mozilla Thunderbird, Google Chrome und weiteren Anwendungen 7. Echt schwach, TikTok!
- Facebook deckt auf
- Kritische Sicherheitslücke in Windows 10
Gut zu wissen—————–
- Google gibt Patches mehr Zeit
- Sicherheitsupdates bei Smartphones: So ein Patch!
Kurz erklärt—————–
- Was sind eigentlich „Dark Patterns“?
Zahl der Woche—————–
- 25 Prozent der EU-BürgerInnen geben keine persönlichen Daten in sozialen Netzwerken preis
—————————————————-
In den Schlagzeilen
- Vorsicht vor Nepp-Apps!
SicherheitsexpertInnen von Trend Micro haben im Google Play Store drei Apps aufgespürt, die Nutzerdaten wie Aufenthaltsort, persönliche Dateien, Kamerainformationen und Screenshots von Account-Informationen an eigene Server übertragen haben, meldet t3n. Außerdem sollen gezielt Informationen aus Apps wie Twitter, Yahoo Mail, Facebook, Gmail oder Chrome abgefangen und an die Angreifer übertragen worden sein. Die drei Apps Camero, Filecryptmanager und Callcam wurden mittlerweile aus dem Play Store entfernt. Wer eine der Apps auf seinem Smartphone hat, soll sie umgehend löschen, empfehlen die Sicherheitsexperten.
BSI-Tipps zum sicheren Umgang mit Apps auf mobilen Geräten: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/EinrichtungMobileApps/MobileApps_node.html
t3n über die kriminellen Apps im Google Play Store: https://t3n.de/news/sicherheitsexperten-finden-erneut-1239470/
- Datenleak bei Buchbinder – 3 Millionen Kundendaten im Netz
Gelangen sensible Kundendaten wie Namen, Adressen, Telefonnummern und sogar Bankdaten ins Internet, so sind die Folgen kaum abschätzbar. Das jüngste Beispiel eines riesigen Datenleaks ist die Autovermietung Buchbinder. Neben einigen Prominenten und Politikern zählt unter anderem auch der Präsident des BSI, Arne Schönbohm zu den Betroffenen. Gegenüber den Kollegen von der ZEIT erklärte er: „Der Fall zeigt leider, dass auch sehr sensible personenbezogene Daten immer wieder nur unzureichend geschützt werden. Egal ob ich – wie in diesem Fall – persönlich betroffen bin oder nicht, solche Fälle ärgern mich sehr, weil sie vermeidbar wären.“
Noch Jahre nach einem solchen Datenleak können Spam- und Phishingwellen oder andere Formen von Identitätsdiebstahl die Folge sein. Auf unseren Seiten informieren wir Sie zum Thema Identitätsdiebstahl, wie Sie sich schützen und was Betroffene tun können: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/ID-Diebstahl/id-diebstahl_node.html
- Das Ende ist nah – oder doch nicht?
„Tobias Mathis“, „Ute Christoff“ oder „Moritz Häupl“: Wer Kontaktanfragen dieser Namen bekommt, solle höllisch aufpassen, warnt ein wiederholt über WhatsApp verbreiteter Kettenbrief. Es handele sich um einen Virus, „der die ganze Festplatte zerstört und sich die Daten runter zieht“ (sic!), zitiert heise.de aus der Nachricht und stellt klar: „Wie damals ist an den Behauptungen nichts dran. Der Angriff auf die Festplatte ist (…) erfunden.“ Wer eine solche Nachricht erhält, kann sie getrost ignorieren oder den Absender auf diesen sogenannten Hoax, also eine Falschmeldung, aufmerksam machen.
BSI: Wie erkenne ich einen Hoax? https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Hoax/Hoax_erkennen/wie-erkenne-ich-hoax_node.html
Heise Online über den Zombie-Kettenbrief: https://www.heise.de/newsticker/meldung/Kettenbrief-Untoter-Tobias-Mathis-wandelt-wieder-durch-Whatsapp-4635873.html
- „eSIM-Swapping“ in Bayern: Anklage wegen mTAN-Betrug erhoben
Die Zentralstelle Cybercrime Bayern hat Anklage gegen zwei Männer und eine Frau wegen diverser Internetstraftaten erhoben, meldet die Polizei Bayern. Den Angeklagten wird vorgeworfen, sich über eSIM-Swapping die Telefonnummer ihrer Opfer angeeignet zu haben. „Im nächsten Schritt loggten sie sich in die Bankkonten ein, deren Passwörter sie sich zuvor im Darknet verschafft hatten. Da die Täter die Handynummer übernommen hatten, kam der per SMS verschickte mTAN-Code direkt bei ihnen an“, schildert die bayerische Polizei das Vorgehen der Täter.
BSI zur Sicherheit beim Online-Banking: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/SoFunktioniertDasOnlineBanking/Sicherheit/PIN-TAN-Schutzverfahren.html
Pressemitteilung der Polizei Bayern: https://www.polizei.bayern.de/muenchen/news/presse/aktuell/index.html/308409
- „New York Times“ deckt Datenbank zur Gesichtserkennung auf
Die „New York Times“ hat Geschäftspraktiken des Start-ups „Clearview AI“ enthüllt, das „fragwürdige Gesichtserkennungstechnik an Behörden verkauft“, berichtet Der Spiegel. Für die Nutzung der Gesichtserkennung reicht es, ein einziges Bild in eine Datenbank hochzuladen. Dort wird es mit einer Sammlung aus drei Milliarden Fotos abgeglichen, die das Unternehmen ohne Erlaubnis von Facebook, Instagram, YouTube „und Millionen anderen Websites“ heruntergeladen haben soll.
BSI-Informationen über (biometrische) Gesichtserkennung: https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/Biometrie/BiometrischeVerfahren/Gesichtserkennung/gesichtserkennung_node.html
Der Spiegel über die rechtlich fragwürdige Nutzung privater Porträts: https://www.spiegel.de/netzwelt/netzpolitik/gesichtserkennung-clearview-ai-verkauft-fragwuerdige-technik-an-us-behoerden-a-54779c50-2237-451d-b7f9-018cc0c90114
—————————————————-
Bleiben Sie up-to-date
- Sicherheitslücken in Mozilla Thunderbird, Google Chrome und weiteren Anwendungen
Das BSI warnt wieder vor zahlreichen Sicherheitslücken und Schwachstellen in weit verbreiteten Programmen, darunter bei Mozilla Thunderbird, beim Foxit-PDF-Reader oder bei Google Chrome. Außerdem weist das BSI auf eine Schwachstelle in Chips von Intel hin, die Angriffe auf Rechner ermöglichen könnten. Wir empfehlen Ihnen, die von den Herstellern bereitgestellten Sicherheitsupdates schnellstmöglich zu installieren.
Die ständig aktualisierte Übersicht über die BSI-Warnmeldungen finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html
- Echt schwach, TikTok!
ExpertInnen der IT-Sicherheitsfirma Check Point haben Schwachstellen im Backend und in der Infrastruktur der beliebten Video-App TikTok entdeckt. „Versierte Angreifer“, so Heise Online, „hätten sie missbrauchen können, um sich Zugriff zu TikTok-Konten zu verschaffen und etwa Account-Daten auszulesen, Videos zu löschen oder hinzuzufügen oder den Video-Status von ‚privat‘ nach ‚öffentlich‘ zu ändern.“ Laut Check Point müssen die NutzerInnen der Video-App nicht aktiv werden; der Anbieter ByteDance habe die Sicherheitsprobleme bereits behoben.
Heise Online zu den zeitweiligen Sicherheitsproblemen bei TikTok: https://www.heise.de/security/meldung/TikTok-Serverseitige-Schwachstellen-ermoeglichten-Account-Manipulationen-4630295.html
- Facebook deckt auf
Durch einen Software-Fehler waren bei Facebook für kurze Zeit die Administratoren prominenter Facebook-Seiten erkennbar, die normalerweise anonym bleiben. Darunter war zum Beispiel die Seite des berühmten, persönlich aber unbekannten Street-Art-Künstlers Banksy sowie die Seiten des US-Präsidenten Donald Trump, des kanadischen Premierministers Trudeau und der schwedischen Klima-Aktivistin Greta Thunberg.
Auch das BSI warnt regelmäßig vor Bugs und Datenschutzlücken bei Facebook. Aktuelle Hinweise finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Home/home_node.html
Heise Online zum aktuellen Leck bei Facebook: https://www.heise.de/newsticker/meldung/Facebook-Bug-enthuellt-kurzzeitig-anonyme-Admins-prominenter-Seiten-4633795.html
- Kritische Sicherheitslücke in Windows 10
Das BSI warnt aktuell vor einer kritischen Schwachstelle im weit verbreiteten Betriebssystem Windows 10, die verhältnismäßig einfach auszunutzen sei. Das ist zwar bislang noch nicht geschehen, doch ist davon auszugehen, dass innerhalb kürzester Zeit entsprechende Angriffe durchgeführt werden. Das BSI empfiehlt NutzerInnen von Windows 10, umgehend das von Microsoft zur Verfügung gestellte Sicherheitsupdate zu installieren.
BSI-Meldung zur Sicherheitslücke bei Windows 10: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Windows_Schwachstelle_150120.html;jsessionid=B005673E4D2B68BE11464EA9DD5BC9D3.2_cid351
—————————————————-
Gut zu wissen
- Google gibt Patches mehr Zeit
Google hat angekündigt, im Rahmen seines „Project Zero“ die 90-Tage-Frist für Informationen über Sicherheitslücken künftig voll auszunutzen. Bisher hatten SicherheitsexpertInnen maximal 90 Tage Zeit, um Lücken zu schließen und Patches bereitzustellen. „Wurde die konkrete Lücke vor Ablauf der Frist behoben, hat Project Zero die Informationen mit dem Tag der Behebung publik gemacht“, meldet t3n. Mit dem unbedingten Einhalten der Frist möchte Google unter anderem erreichen, dass sich die Qualität der Patches aufgrund des geringeren Zeitdrucks verbessert. Zudem bleibt so mehr Zeit, um Patches einzuspielen, bevor eine Sicherheitslücke publik wird.
BSI für Bürger über Updates und Patches: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/UpdatePatchManagement/updatePatchManagement_node.html
t3n zur 90-Tage-Frist bei „Project Zero“: https://t3n.de/news/project-zero-google-gibt-mehr-1240008/
- Sicherheitsupdates bei Smartphones: So ein Patch!
HändlerInnen müssen bei günstigen Smartphones ihre KundInnen nicht auf Sicherheitslücken hinweisen, hat das Oberlandesgericht Köln (OLG Köln, 6 U 100/19) entschieden. Damit wies das Gericht eine Klage der Verbraucherzentrale Nordrhein-Westfalen gegen den Media Markt zurück. Der hatte in einer Kölner Filiale ein Android-Smartphone für 99 Euro angeboten. „Eine Prüfung durch das BSI hatte ergeben, dass das Gerät zahlreiche Sicherheitslücken aufwies und die Nutzung ein Sicherheitsrisiko darstellte“, schreibt die Macwelt. Das Gericht hielt den Verwaltungsaufwand für die Prüfung durch den Verkäufer allerdings nicht für zumutbar und sah auch die „Verkehrsfähigkeit“ des Geräts nicht gefährdet. Damit wandert die Verantwortung für das Aufspielen von Sicherheitsupdates und Patches in die Hände der KäuferInnen.
BSI-Leitfaden für sicheres Patch-Management: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/UpdatePatchManagement/LeitfadenUpdatemanagement/patchmgment_01.html
—————————————————-
Kurz erklärt
- Was sind eigentlich „Dark Patterns“?
Das Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag (TAB) hat Psycho-Tricks von EntwicklerInnen als unethisch und unlauter sowie tendenziell rechtswidrig kritisiert. Solche sogenannten Dark Patterns werden gezielt eingesetzt, um NutzerInnen zu Dingen zu verleiten, die sie normalerweise nicht tun würden: lange vor dem Bildschirm verweilen, Online-Käufe tätigen oder persönliche Informationen preisgeben. Zwar gäbe es aus juristischer Sicht Mittel, um gegen diese Dark Patterns vorzugehen, zum Beispiel das Gesetz gegen den unlauteren Wettbewerb (UWG) oder die Datenschutz-Grundverordnung (DSGVO), schreibt Heise Online. Allerdings sehen die AutorInnen einer Studie zu den Psycho-Tricks der Branche durchaus auch regulatorischen Handlungsbedarf im Bereich des Verbraucherschutzes.
Heise Online über Dark Patterns: https://www.heise.de/newsticker/meldung/Klebrige-Apps-Bundesstagsstudie-kritisiert-Psycho-Tricks-von-Entwicklern-4630680.html
Analyse des TAB zu Dark Patterns: https://www.tab-beim-bundestag.de/de/pdf/publikationen/themenprofile/Themenkurzprofil-030.pdf
—————————————————-
Zahl der Woche
- 25 Prozent der EU-BürgerInnen geben keine persönlichen Daten in sozialen Netzwerken preis
Im Jahr 2019 haben 44 Prozent der EU-BürgerInnen im Alter zwischen 16 und 74 Jahren angegeben, ihre privaten Internetaktivitäten in den vergangenen zwölf Monaten aufgrund von Sicherheitsbedenken eingeschränkt zu haben, hat Eurostat herausgefunden. Am häufigsten verweigerten die EU-BürgerInnen die Übermittlung personenbezogener Informationen an soziale oder berufliche Netzwerkdienste (25 Prozent). 19 Prozent der Menschen verzichteten auf die Nutzung von öffentlichem WLAN, 17 Prozent vermieden das Herunterladen von Software, Apps, Musik, Videodateien, Spielen oder anderen Dateien.
Eurostat über Sicherheitsbedenken der EU-BürgerInnen: https://ec.europa.eu/eurostat/documents/2995521/10335076/9-16012020-BP-DE.pdf/f972b94e-e78b-ac38-eabc-7029fde9a9cf
Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
https://www.twitter.com/BSI_Presse
Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn