SICHER • INFORMIERT vom 08.08.2019
Ausgabe: 17/2019
Inhalt
In den Schlagzeilen—————–
- Datenleck: Spielemesse E3 macht Besucherdaten öffentlich zugänglich 2. Ransomware: GermanWiper zerstört Daten dauerhaft 3. Sprachassistenten: Genauigkeit auf Kosten der Sicherheit von Daten?
- Phishing: Warnung zu Speicher-Begrenzung verunsichert 1&1-Kunden 5. Drahtlose Kommunikation: AirDrop – bei Nicht-Gebrauch deaktivieren
Bleiben Sie up-to-date
- VMware: Mehrere Schwachstellen entdeckt—————– 7. Google Chrome Browser: Sicherheitsupdate verfügbar 8. VLC: Denial of Service möglich
Gut zu wissen—————–
- Digitaler Verbraucherschutz
- Kontaktloses Bezahlen: Unbemerkt über das Limit hinaus 11. Videoserie: Praxistauglicher IT-Grundschutz 12. Künstliche Intelligenz Teil 2: Verwechslung nicht ausgeschlossen 13. Immer neue Botnetze treiben ihr Unwesen
Liebe Leserinnen, liebe Leser,
so normal die Online-Kommunikation heute geworden ist, so alltäglich begegnen Bürgerinnen und Bürgern Spam-Attacken wie Phishing und Ransomware, wie beispielsweise 1&1-Kunden und Betroffene von „GermanWiper“ aktuell feststellen müssen. Für eine grundlegende Sicherheit bedarf es sowohl dem Einsatz der Anbieter digitaler Geräte auf der einen Seite sowie den Endverbrauchern selbst auf der anderen Seite. Vor diesem Hintergrund bringt das BSI den digitalen Verbraucherschutz auf den Weg, der beide Gruppen adressieren soll. Dies und mehr erfahren Sie in der aktuellen Ausgabe des Newsletters.
Ihr Bürger-CERT-Team
—————————————————-
In den Schlagzeilen
- Datenleck: Spielemesse E3 macht Besucherdaten öffentlich zugänglich
Im Umfeld der Spielemesse Electronic Entertainment Expo (E3) kam es zu einem Datenleck: Laut Heise Online waren die persönlichen Daten von mehr als 2.000 Fachbesucherinnen und Fachbesuchern öffentlich auf der E3-Website zugänglich. Solche frei zugänglichen Informationen öffnen Tür und Tor für Phishing-Attacken durch Cyber-Kriminelle. Betroffene sollten daher besonders aufmerksam ihren E-Mail-Posteingang prüfen.
Wie Bürgerinnen und Bürger sich vor Spam-Mails und speziell vor Phishing-Attacken schützen können, schreibt BSI für Bürger hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Spam/spam.html
Zur Meldung von Heise Online: Persönliche Daten von mehr als 2.000 Journalisten und Bloggern der E3 online: https://www.heise.de/newsticker/meldung/Persoenliche-Daten-von-mehr-als-2000-Journalisten-und-Bloggern-der-E3-online-4488246.html
- Ransomware: GermanWiper zerstört Daten dauerhaft
Mit einer als Bewerbung getarnten E-Mail versuchen Hacker derzeit, die Ransomware GermanWiper auf Rechnern einzuschleusen. Eine angehängte ZIP-Datei enthält die Malware. Dabei versuchen die Täter Lösegeld zu erpressen, indem sie vorgeben, die auf dem Gerät gespeicherten Daten seien verschlüsselt worden. Tatsächlich zerstört die Malware aber alle Daten dauerhaft. Unabhängig davon sollten Ransomware-Opfer niemals auf Lösegeldforderungen eingehen.
Was es mit Erpresser-Software auf sich hat, wie Sie sich präventiv schützen können und welche Maßnahmen im Angriffsfall helfen, schreibt BSI für Bürger hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Datensicherung_Ransomware_19052017.html
Zur Meldung von ZDnet: Ransomware: GermanWiper löscht Daten: https://www.zdnet.de/88365875/ransomware-germanwiper-loescht-daten/
- Sprachassistenten: Genauigkeit auf Kosten der Sicherheit von Daten?
Um die Leistung von Amazons Sprachassistenten Alexa zu verbessern, hören Mitarbeiterinnen und Mitarbeiter offenbar entsprechende Sprachmitschnitte mit und analysieren diese. Amazon verweist nun in den Datenschutzbestimmungen auf dieses menschliche Einwirken. Ein entsprechendes Opt-out ist verfügbar, allerdings mit möglicherweise eingeschränkten Funktionen.
Smart-Home-Geräte sind komfortabel, bergen aber auch Sicherheitsrisiken. Wie Nutzerinnen und Nutzer sie verantwortungsbewusst einsetzen, erklärt BSI für Bürger in diesem Text: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/willkommen_im_sicheren_smart_home.html
Zur Meldung von Golem.de: Amazon-Mitarbeiter hören Alexa-Mitschnitte von daheim: https://www.golem.de/news/digitale-assistenten-amazon-mitarbeiter-hoeren-alexa-mitschnitte-von-daheim-1908-142974.html
- Phishing: Warnung zu Speicher-Begrenzung verunsichert 1&1-Kunden
Derzeit häufen sich Spam-Mails unter dem angeblichen Absender des Telekommunikationsdienstleisters 1&1 IONOS. Ob als Link im Text oder im Anhang – die Nachrichten verbergen Malware oder leiten auf Phishing-Websites weiter. Aktuell suggerieren die Kriminellen beispielsweise, dass der E-Mail-Speicherplatz aufgebraucht sei.
Wie man Spam-Mails und im Speziellen Phishing erkennt, hat BSI an dieser Stelle zusammengefasst: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/phishing_node.html
Zur Meldung von Onlinewarnungen.de: Phishing-Nachrichten im Namen von 1&1 IONOS – Vorsicht Spam „Ihr E-Mail Speicher ist aufgebraucht“: https://www.onlinewarnungen.de/warnungsticker/phishing-nachrichten-im-namen-von-11-internet-se-vorsicht-spam-der-letzte-lastschrifteinzug-ist-leider%d6%ba-fehlgeschlagen/
- Drahtlose Kommunikation: AirDrop – bei Nicht-Gebrauch deaktivieren
Über die AirDrop-Funktion lassen sich umfangreichere Datenmengen zwischen zwei iPhones austauschen. Dabei werden allerdings auch Telefonnummer, E-Mail-Adresse und AppleID mitgesendet und sind so potenziell für Hacker einsehbar. Das gilt offenbar für Geräte ab OS-Version 10.3.1. Die Nummer wird zwar verschlüsselt, könnte sich aber recht leicht entschlüsseln lassen.
Zum Thema IT-Sicherheit kursieren eine Vielzahl von Missverständnissen. BSI für Bürger räumt mit vier davon auf – unter anderem auch bei dem Thema mobile Sicherheit: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Sicherheitsirrtuemer/Sicherheitsirrtuemer.html
Zur Meldung von Futurezone.de: iPhone-User, aufgepasst: Hacker kommen mit AirDrop an deine Handynummer: https://www.futurezone.de/digital-life/article226661029/iPhone-User-aufgepasst-Hacker-kommen-mit-AirDrop-an-deine-Handynummer.html
—————————————————-
Bleiben Sie up-to-date
—————————————————-
- VMware: Mehrere Schwachstellen entdeckt
Die Software VMware weist derzeit Schwachstellen auf. Für Nutzerinnen und Nutzer empfiehlt es sich, verfügbare Updates möglichst bald zu installieren.
Lesen Sie die gesamte Meldung auf den Seiten des Bürger-CERT: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/08/warnmeldung_tw-t19-0111.html
- Google Chrome Browser: Sicherheitsupdate verfügbar
Googles Browser Chrome weist derzeit Schwachstellen auf. Für Nutzerinnen und Nutzer empfiehlt es sich, verfügbare Updates möglichst bald zu installieren.
Lesen Sie die gesamte Meldung auf den Seiten des Bürger-CERT: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/07/warnmeldung_tw-t19-0109.html
- VLC: Denial of Service möglich
Die Software VLC weist derzeit eine Schwachstelle auf. Für Nutzerinnen und Nutzer empfiehlt es sich, verfügbare Updates möglichst bald zu installieren.
Lesen Sie die gesamte Meldung auf den Seiten des Bürger-CERT: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/07/warnmeldung_tw-t19-0110.html
—————————————————-
Gut zu wissen
- Digitaler Verbraucherschutz
Die Digitalisierung ist aus dem Leben vieler Bürgerinnen und Bürger nicht mehr wegzudenken: Nahezu alles lässt sich heute online erledigen – auch per Smartphone. Das ist zwar praktisch, bringt aber auch Risiken mit sich. Das BSI verfolgt mit seinem Konzept des Digitalen Verbraucherschutzes daher einen ganzheitlichen Ansatz: Hersteller von digitalen Produkten werden dazu angehalten, Produkte bereits sicher zu gestalten. Gleichzeitig will das BSI Verbraucherinnen und Verbraucher für Risiken sensibilisieren.
Mehr zu diesem Thema schreibt BSI für Bürger an dieser Stelle – und gibt weitere Informationen im Video: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/digitaler-verbraucherschutz.html
- Kontaktloses Bezahlen: Unbemerkt über das Limit hinaus
Das einfache Vorhalten von EC-oder Kreditkarte, auch kontaktloses Bezahlen genannt, wird immer beliebter. Die Datenübertragung läut via NFC (Near Field Communication); die Eingabe einer PIN oder eine Unterschrift entfällt bei kleinen Summen. Der Maximalbetrag hierfür liegt in Deutschland bei 25 bis 50 Euro. Offenbar weist der Kredikartenanbieter VISA hier eine Sicherheitslücke auf: Mithilfe eines Manipulationsgeräts kann der Betrag überschritten und ohne Kontrolle abgebucht werden.
NFC-Schnittstellen auf Smartphones sind praktisch. Sie sind aber auch mit Sicherheitsrisiken verbunden. An welchen Stellen Vorsicht geboten ist, lässt sich bei BSI für Bürger nachlesen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Smartphone_sicher_mobil_28102016.html
- Videoserie: Praxistauglicher IT-Grundschutz
Im Rahmen der Allianz für Cyber-Sicherheit und des IT-Grundschutzes unterstützt das BSI Dach- und Fachverbände dabei, Grundschutzprofile speziell für ihre Branche zu erstellen. Eigens hierfür wurde ein Workshopkonzept entwickelt, bei dem Führungskräfte und IT-Experten gemeinsam an den Profilen arbeiten.
Was die Teilnehmerinnen und Teilnehmer erreicht haben und welche Erfahrungen sie in den Workshops gemacht haben, können sich Interessierte in diesen beiden Videos ansehen und im Begleittext nachlesen: https://www.bsi.bund.de/DE/Presse/Kurzmeldungen/Meldungen/Video-GS-Profil-Workshops_300719.html
- Künstliche Intelligenz Teil 2: Verwechslung nicht ausgeschlossen
Künstliche Intelligenz kann uns den Alltag erleichtern, birgt aber auch Gefahren. In einem Fallbeispiel zum Thema Künstliche Intelligenz (KI) veranschaulicht BSI für Bürger die potenziellen Risiken, die mit KI einhergehen können. Die mittels KI erhobenen und ausgewerteten biometrischen Daten wie Fingerabruck oder Gesicht stehen dabei besonders im Fokus.
Lesen Sie das gesamte Fallbeispiel an dieser Stelle: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/KI-Biometrie-Sicherheit-Fallbeispiel.html
- Immer neue Botnetze treiben ihr Unwesen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält Informationen zu identifizierten Botnetzinfektionen aus verschiedenen Quellen, die überwiegend aus Sinkholesystemen stammen. Was Sinkholesysteme sowie die häufigsten Schadsoftware-Familien sind und was man tun kann, wenn man betroffen ist, ist auf bsi-fuer-buerger.de zu finden: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/BotNetze/WeitereBotNetze/weiterebotnetze_node.html
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
https://www.twitter.com/BSI_Presse
Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn