SICHER • INFORMIERT vom 02.10.2019
Ausgabe: 21/2019
Liebe Leserinnen, liebe Leser,
„Informationssicherheit ist die Voraussetzung der Digitalisierung“, sagte BSI-Präsident Arne Schönbohm auf dem 29. Cyber-Sicherheits-Tag am 26. September in Berlin. Die Veranstaltung war der Auftakt für den European Cyber Security Month (ECSM), der jedes Jahr im Oktober stattfindet. Unser Angebot für Privatpersonen steht in diesem Jahr unter dem Motto „Hilfe zur Selbsthilfe“: Wie können Sie sich, Ihre Daten und digitalen Geräte vor Angreifern und Schadsoftware schützen? Was können Sie tun, wenn Sie von Cyber-Kriminalität betroffen sind? Auf unserer Website stellen wir Ihnen jede Woche im Oktober praktische Hinweise und Empfehlungen für den Schadensfall vor. Es lohnt sich also regelmäßig auf der Seite vorbeizuschauen.
Dies und viele weitere Themen finden Sie diese Woche in unserem Newsletter.
Viel Spaß beim Lesen!
Jan Lammertz / Team BSI-für-Bürger
Inhalt
In den Schlagzeilen—————–
1. Emotet: Online-Banking im Visier
2. Wir wissen, wo Ihr E-Scooter steht!
3. Online-Shopping: Jeder dritte Einkauf findet im Internet statt 4. Google, Facebook und Co. wissen nicht nur, was du letzten Sommer getan hast
Bleiben Sie up-to-date—————–
5. Schließen Sie die Sicherheitslücke im Browser Chrome 6. Mozilla warnt vor Schwachstellen in Firefox 7. Attacken gegen Internet Explorer 8. VMWare: Virtuelle Systeme, echte Probleme 9. Verschiedene Schwachstellen bei Apple 10. Offene Türen bei Google Kalender
Gut zu wissen—————–
11. Wieder mehr Cyber-Angriffe durch Emotet registriert 12. Abschied vom Passwort 13. Hacker-Angriffe der etwas anderen Art
Was wichtig wird—————–
14. ECSM 2019: Im Oktober dreht sich alles um IT-Sicherheit
—————————————————-
In den Schlagzeilen
1. Emotet: Online-Banking im Visier
Das BSI hat in den letzten Tagen auffällig viele neue Meldungen über Emotet erhalten. In kürzester Zeit hat das Schadprogramm „für Produktionsausfälle, den Ausfall von Bürgerdiensten in Kommunalverwaltungen und zahlreiche infizierte Netzwerke gesorgt“, so BSI-Präsident Arne Schönbohm. Auch Privatpersonen sind im Visier der Angreifer: Das CERT-Bund, das Computer-Notfallteam des BSI, warnt davor, dass Emotet auf befallenen Rechnern einen sogenannten Trickbot nachlädt. Dieser fordert Anwenderinnen und Anwender beim Online-Banking dazu auf, eine angebliche Sicherheits-App zu installieren. Das sollten Sie auf keinen Fall tun!
So können Sie Schäden durch Emotet vermeiden: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html
Lesen Sie die aktuelle Pressemeldung des BSI zu den neuen Aktivitäten: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Emotet-Warnung_230919.html
Zur Emotet-Warnung speziell beim Online-Banking: https://twitter.com/certbund/status/1175052799488475136
2. Wir wissen, wo Ihr E-Scooter steht!
Seit Juni dürfen E-Scooter auf deutschen Radwegen und Straßen fahren. Nur einen Monat später gab es Statista zufolge allein in Berlin knapp 5.000 der neuen Gefährte. Was viele nicht wissen: E-Roller-Fahrten können mit erheblichen Eingriffen in die Privatsphäre der Nutzerinnen und Nutzer einhergehen. Der Hamburgische Datenschutzbeauftragte Johannes Caspar beklagt den mangelnden Schutz persönlicher Daten: „Jeder zurückgelegte Meter wird aufgezeichnet und kann zu Bewegungsprofilen zusammengefügt werden.“ Er rät dazu, die Datenschutzbestimmungen der Anbieter genau zu lesen und die Sinnhaftigkeit einer Fahrt angesichts der Erhebung sowie potentiellen Weiterverarbeitung der Daten zu hinterfragen. Bei Verdacht auf Datenschutzverletzungen empfiehlt er, eine Beschwerde bei der örtlichen oder der für den Anbieter zuständigen Datenschutzbehörde einzulegen.
Auf der Webseite vom BSI für Bürger finden Sie einen Ratgeber, wie Sie grundsätzlich mit Apps und dem Schutz Ihrer persönlichen Daten umgehen sollten: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/EinrichtungMobileApps/MobileApps_node.html
Zur Meldung von Heise Online: https://www.heise.de/newsticker/meldung/Datenschuetzer-Nutzer-von-E-Scootern-hinterlassen-lueckenlose-Bewegungsprofile-4525462.html
3. Online-Shopping: Jeder dritte Einkauf findet im Internet statt
Deutsche Verbraucherinnen und Verbraucher erledigen bereits knapp ein Drittel ihrer Einkäufe online – das zeigte die Postbank Digitalstudie 2019. Die Befragten wissen vor allem die größere Auswahl und die bessere Vergleichbarkeit von Produkten und Angeboten im Netz zu schätzen. Auch die bequeme Zustellung nach Hause, die günstigen Preise und die Unabhängigkeit von Ladenöffnungszeiten bewerten sie positiv.
Damit Ihr nächster Online-Einkauf nicht nur Spaß macht, sondern auch sicher ist:
https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/EinkaufenImInternet/OnlineShoppingbeachten/OnlineShoppingbeachten_node.html
Zur Meldung der Postbank Digitalstudie 2019: https://www.postbank.de/postbank/pr_presseinformation_2019_09_23_deutsche_erledigen_knapp_ein_drittel_ihrer_einkaeufe_im_netz.html
4. Google, Facebook und Co. wissen nicht nur, was du letzten Sommer getan hast
Archive wie die Wayback Machine fungieren wie ein Internet-Gedächtnis: Sie ermöglichen es, vergangene Versionen von existierenden Webseiten oder längst gelöschte Webauftritte zu besuchen. Eine spannende Zeitreise, die jedoch auch dazu führt, dass das Internet (fast) nichts vergisst. Wie DIE ZEIT berichtet, hat der Europäische Gerichtshof (EuGH) jetzt das „Recht auf Vergessen“ von EU-Bürgerinnen und -Bürgern gestärkt: Suchmaschinen wie Google oder Bing müssen demnach in der EU auf Wunsch von Betroffenen Informationen aus Ergebnislisten löschen. Sie müssen außerdem Maßnahmen ergreifen, damit Internetnutzerinnen und -nutzer nicht auf Links außerhalb der EU zugreifen können. Außerhalb der EU gilt dieses Urteil allerdings nicht.
Sie sollten sorgfältig abwägen, was Sie veröffentlichen und Ihre Accounts und Geräte ausreichend schützen, damit das Internet nicht vergessen muss. BSI für Bürger hat die wichtigsten Hinweise zum sicheren Umgang mit sozialen Netzwerken für Sie zusammengestellt: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/SozialeNetze/Zehn_Tipps/Zehn_Tipps_node.html
Zur Meldung von DIE ZEIT: https://www.zeit.de/digital/internet/2019-09/datenschutz-eugh-suchmaschinen-rechte-buerger-loeschung-suchergebnisse
—————————————————-
Bleiben Sie up-to-date
5. Schließen Sie die Sicherheitslücke im Browser Chrome
Der sehr verbreitete Internetbrowser Google Chrome weist mehrere Schwachstellen auf. Das BSI empfiehlt, zeitnah die vom Hersteller bereitgestellten Sicherheitsupdates zu installieren, um Ihre Geräte zu schützen. Lesen Sie die gesamte Meldung bei BSI für Bürger: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/09/warnmeldung_tw-t19-0131.html
6. Mozilla warnt vor Schwachstellen in Firefox
Gleich von mehreren Sicherheitslücken betroffen ist der Webbrowser Firefox der Mozilla-Foundation, wie der Anbieter selbst gemeldet hat. Auch die Updates zur Schließung der Schwachstellen stellt Mozilla direkt bereit. Lesen Sie die gesamte Meldung auf den Seiten des Bürger CERT: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/09/warnmeldung_tw-t19-0136.html?nn=9266440
Zur Meldung von Mozilla: https://www.mozilla.org/en-US/security/advisories/mfsa2019-31/
7. Attacken gegen Internet Explorer
Heise Online meldet Attacken gegen den Internet Explorer von Microsoft. „Ist eine Attacke erfolgreich, ist die Ausführung von Schadcode vorstellbar“, so das Nachrichtenportal. „Ein Sicherheitspatch ist verfügbar, aber noch nicht über Windows Update.“ Heise erklärt auch, wie Sie das Update für den Internet Explorer manuell einspielen können: https://www.heise.de/security/meldung/Notfallpatch-Attacken-gegen-Internet-Explorer-4537525.html
8. VMWare: Virtuelle Systeme, echte Probleme
Verschiedene VMWare-Systeme können von Angreifern ausgenutzt werden, um beliebigen Programmcode mit den Rechten des Dienstes auszuführen oder um einen Denial-of-Service-(DoS)-Zustand herbeizuführen. Dieser legt Rechner oder ganze Rechnersysteme lahm. Auch hier empfiehlt Bürger-CERT die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen. Lesen Sie die gesamte Meldung bei BSI für Bürger: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/09/warnmeldung_tw-t19-0132.html
9. Verschiedene Schwachstellen bei Apple
Das BSI meldet verschiedene Schwachstellen beim Betriebssystem von Apple-Tablets, iPadOS, und Apple-Smartphones, iOS, sowie dem Browser Safari. Das Bürger-CERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen. Lesen Sie alle Meldungen auf BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html
10. Offene Türen bei Google Kalender
Heise Online warnt davor, dass Tausende Google-Kalender offen zugänglich sind, weil sie falsch konfiguriert wurden. So ist es möglich, dass Suchmaschinen private Termine indexieren und damit öffentlich auffindbar machen. Zudem können Termine E-Mail-Adressen enthalten, die dann ebenfalls öffentlich zugänglich sind. Laut Google seien die Kalender standardmäßig auf privat gestellt. Die Einstellung „öffentlich“ macht jedoch alle Termine für sämtliche Google-Nutzer auch über die Google-Suche sichtbar. Erfahren Sie mehr zu den Einstellungen für Google-Kalender: https://support.google.com/a/answer/60765?hl=de
Zur Meldung von Heise: https://www.heise.de/newsticker/meldung/Falsch-konfiguriert-Tausende-Google-Kalender-offen-zugaenglich-4533025.html
—————————————————-
Gut zu wissen
11. Wieder mehr Cyber-Angriffe durch Emotet registriert
Was macht Emotet eigentlich so gefährlich? Das Schadprogramm wird über Spam-Mails verschickt, die sich als Nachrichten von bekannten Absendern tarnen. Emotet liest die Postfächer infizierter Rechner aus, um sich über diesen Weg schnell weiterzuverbreiten. Außerdem lädt Emotet unbemerkt weitere Schadsoftware nach, die beispielsweise für illegales Online-Banking oder als Ransomware für Erpressungen genutzt wird. Sind PCs verschlüsselt, fordern Erpresser Lösegeld von den Besitzern der PCs, meist in Form von Bitcoins, die nicht nachverfolgt werden können. Nur selten geben die Erpresser die Daten anschließend wieder frei. Das BSI warnt ausdrücklich davor, solchen Lösegeldforderungen nachzukommen.
Was Sie tun können, um sich zu schützen, erfahren Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html
12. Abschied vom Passwort
„123456“ war 2018 das beliebteste Passwort der Deutschen, gefolgt von „12345“ und „1234567“ – kreativ und vor allem sicher sind diese Passwörter keinesfalls. Mit FIDO2 („fast identity online“) steht eine Methode bereit, die auf der Verschlüsselung mit einem geheimen und einem öffentlichen Schlüssel basiert. Beim Anmelden kommuniziert der Service des Anbieters autonom mit einem Authenticator. Das kann ein besonders gesicherter Chip eines Smartphones oder Computers oder ein kleines Gerät mit USB-Stecker sein. Anwenderinnen und Anwender müssen die Anmeldung per PIN oder Fingerabdruck bestätigen, um die Nutzung durch Fremde zu verhindern.
Sie müssen aber nicht auf FIDO2 warten, um Ihre Rechner vor fremden Zugriffen zu schützen. Wie Sie die Zwei-Faktor-Authentifizierung dafür nutzen können, lesen Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/Zwei_Faktor_Authentisierung/Zwei-Faktor-Authentisierung_node.html
Zur Meldung von Süddeutsche Zeitung: https://www.sueddeutsche.de/digital/fido2-passwort-verschluesselung-it-sicherheit-1.4604102
13. Hacker-Angriffe der etwas anderen Art
Hacker finden immer neue Lücken, durch die sie in fremde Systeme eindringen können – dank Video-Konferenzen, Heizthermostaten, Netzwerkdruckern, Internet-TVs und Spielkonsolen. Die Computerwoche hat die unglaublichsten Sicherheitslücken der letzten Jahre zusammengestellt. Kleine Kostprobe? Im Jahr 2010 zerstörte die US-Handelskammer eine Reihe von PCs, da sie Opfer eines „besonders komplizierten Angriffs“ geworden war und eine Sanierung der befallenen Rechner aussichtslos schien. Letztendliche stellte sich heraus: Nicht die Rechner, sondern die Heizthermostate der Handelskammer kommunizierten mit chinesischen Servern.
Damit ihr Heizung nur die Temperatur reguliert, finden Sie hier eine Übersicht der Schutzprogramme für Ihre Geräte: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/IoT_smarte_Geraete_vernetzen.html
Alle unkonventionellen Sicherheitslücken können Sie bei der Computerwoche lesen: https://www.computerwoche.de/a/die-unglaublichsten-sicherheitsluecken-der-internet-geschichte,3546941
—————————————————-
Was wichtig wird
14. ECSM 2019: Im Oktober dreht sich alles um IT-Sicherheit
Gestern ist der European Cyber Security Month (ECSM) gestartet! Europaweit finden bis Ende Oktober zahlreiche Aktionen statt, bei denen sich Bürgerinnen und Bürger wie auch Unternehmen über das Thema IT-Sicherheit informieren können. Das BSI koordiniert alle nationalen ECSM-Aktivitäten der teilnehmenden Organisationen, darunter Behörden, Cyber-Sicherheits-Initiativen und Unternehmen, und ist auch mit eigenen Angeboten dabei. Auf bsi-fuer-buerger.de finden Sie in den nächsten Wochen hilfreiche Informationen, wie sie sich vor Cyber-Kriminalität schützen und im Ernstfall die Kontrolle über Ihre Daten, Accounts und Geräte zurückerlangen können.
Erfahren Sie mehr über den ECSM und die vielfältigen Aktionen: https://www.bsi.bund.de/DE/Service/Aktuell/Veranstaltungen/ECSM/UeberECSM/ueberECSM_node.html
Wie Sie sich im Schadensfall selbst helfen können, erfahren Sie im Oktober hier: https://www.bsi-fuer-buerger.de /BSIFB/DE/Service/Aktuell/Informationen/Artikel/hilfe-zur-selbsthilfe-der-ecsm-im-oktober.html
Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/bestellen/newsletter_bestellen_node.html
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn