SICHER • INFORMIERT vom 17.05.2019

Ausgabe: 11/2019

Inhalt

 

In den Schlagzeilen—————–

1. Smart Home: Wer das Passwort hat, ist Herr im Haus 2. Google Maps: Inkognitomodus schützt Nutzerdaten 3. Microsoft: Verbesserung beim Datenschutz von Windows 10 und Office 365 4. Ransomware: Gandcrab lässt Personalern keine Ruhe 5. WhatsApp: kritische Sicherheitslücke

 

 

Bleiben Sie Up-to-date—————–

6. LibreOffice: Schwachstelle öffnet Tür für Schadcode 7. Kaspersky Anti-Virus: Sicherheitsupdate empfohlen 8. Android: Sicherheitslecks im Betriebssystem

 

 

Gut zu wissen—————–

9. Der Browser – Risiken und Sicherheitsmaßnahmen 10. E-Mail-Verschlüsselung: Die Privatsphäre zu schützen ist keine Wissenschaft 11. Social Bots: Mensch oder Maschine am anderen Ende des Netzes?

 

Liebe Leserinnen, liebe Leser,

 

Ob im smarten Zuhause, den sozialen Netzwerken oder in der E-Mail-Kommunikation: Persönliche Daten und Informationen sind ein wertvolles Gut, das es zu schützen gilt. Das zeigt auch die aktuelle Sicherheitslücke beim beliebten Messenger-Dienst WhatsApp. Google kündigt derweil einen Inkognitomodus für seinen Kartendienst „Maps“ an, was in puncto Datensparsamkeit ein großer Fortschritt ist. Daneben empfiehlt sich auch eine verschlüsselte Kommunikation der Daten, um eben diese zu schützen – so gibt es beispielsweise für E-Mails eine Verschlüsselungsmethode, die auch Laien einfach durchführen können.

 

Viel Spaß bei der Newsletter-Lektüre

 

Ihr Bürger CERT-Team

 

 

—————————————————-

In den Schlagzeilen

 

 

1. Smart Home: Wer das Passwort hat, ist Herr im Haus

 

Digitale Technik, beispielsweise im Smart Home, kann bei Paaren, die sich getrennt haben, auch missbraucht werden. Der entscheidende Punkt ist hier die Verwaltung der Passwörter fürs Smart Home. Oft sind es die Männer, die die Technik einrichten – und dann auch nach einer Trennung noch immer Zugang haben. Wie Spiegel Online schreibt, gibt es schon jetzt Fälle, in denen Ex-Partner diese als Streit- und Drohmittel oder zur Belästigung einsetzten, etwa, indem sie unvermittelt die Musik im Haus einschalteten.

 

Wie Nutzerinnen und Nutzer umsichtig mit den vernetzten Geräten im smarten Zuhause umgehen, schreibt BSI für Bürger hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/basisschutz_fuer_iot_smarthome.html

 

Zur Meldung von Spiegel Online: Er hat das Passwort – und damit die Macht: https://www.spiegel.de/netzwelt/web/smart-home-ex-partner-uebernehmen-die-digitale-kontrolle-a-1266844.html

 

 

2. Google Maps: Inkognitomodus schützt Nutzerdaten

 

Auf seiner Entwicklerkonferenz Google I/O hat Google angekündigt, einen Inkognitomodus für den Kartendienst Maps einzuführen. Wer ihn aktiviert, surft auf Maps, ohne dass die Daten aufgezeichnet werden: Ziel, Weg und Standortverlauf sollen dann nicht mehr gespeichert werden.

 

Zur Meldung von Golem.de: Google Maps bekommt Inkognito-Modus: https://www.golem.de/news/datenschutz-google-maps-bekommt-inkognito-modus-1905-141107.html

 

 

3. Microsoft: Verbesserung beim Datenschutz von Windows 10 und Office 365

 

Nach deutlicher Kritik will Microsoft die Telemetriedatenerfassung bei Windows 10 und Office 365 ändern, um Nutzerinnen und Nutzern mehr Transparenz sowie Kontrolle über die erhobenen Daten zu geben. Denn bisher werden bei Office 365 große Mengen – auch persönlicher – Daten übertragen, wie Heise Online meldet. Auch verweist das Unternehmen auf Konfigurations- und Privatsphäreeinstellungen.

 

Ein grundlegender Schutz vernetzter Geräte ist die Basis für sicheres Surfen. Auf BSI für Bürger gibt es für die jeweiligen Betriebssysteme konkrete Hilfestellungen, wie es funktioniert: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/BasisschutzGeraet/EinrichtungComputer/EinrichtungComputer_node.html

 

Zur Meldung von Heise Online: : https://www.heise.de/newsticker/meldung/Windows-10-und-Office-365-Microsoft-verspricht-Verbesserungen-beim-Datenschutz-4415238.html

 

 

4. Ransomware: Gandcrab lässt Personalern keine Ruhe

 

Im Augenblick kursiert wieder eine Welle von Fake-Bewerbungen im Netz. Ziel der Urheber ist es, den Verschlüsselungstrojaner Gandcrab einzuschleusen. Beim Öffnen des Dokuments erscheint die Aufforderung, Makros zu aktivieren – wer das tut, öffnet dem Trojaner die Tür zur Installation auf dem Rechner, sodass er die Daten verschlüsseln kann und eine Lösegeldaufforderung erscheint.

 

Wie Nutzerinnen und Nutzer sich wappnen können, erklärt BSI für Bürger hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Datensicherung_Ransomware_19052017.html

 

Zur Meldung von Heise Online: Fake-Bewerbungsmails: Trojaner versteckt sich erfolgreich vor Antiviren-Software: https://www.heise.de/security/meldung/Fake-Bewerbungsmails-Trojaner-versteckt-sich-erfolgreich-vor-Antiviren-Software-4419591.html

 

 

5. WhatsApp: kritische Sicherheitslücke

 

Facebooks Messenger-Dienst WhatsApp weist derzeit eine Sicherheitslücke (CVE-2019-3568) auf, über die sich Unbefugte per Fernzugriff Zugang auf das Gerät verschaffen können. Der Angreifer kann mit einem WhatsApp-Anruf Schadsoftware einschleusen. Dazu muss der Angerufene nicht einmal abheben. Abgesicherte Versionen von WhatsApp sind verfügbar. Nutzerinnen und Nutzer sollten diese schnellstmöglich installieren. Selbst bei voreingestellter automatischer Aktualisierung sollten Nutzer sich stets versichern, ob die Programme wirklich auf dem neuesten Stand sind.

 

Zur Meldung von Heise Online: WhatsApp gehackt, bitte Update einspielen: https://www.heise.de/security/meldung/Whatsapp-gehackt-bitte-Update-einspielen-4421379.html

 

 

—————————————————-

Bleiben Sie Up-to-date

 

 

6. LibreOffice: Schwachstelle öffnet Tür für Schadcode

 

Die Office Suite LibreOffice weist derzeit eine Schwachstelle auf. In den Versionen vor Open Source LibreOffice 6.1.6 sowie vor Version 6.2.3 können Angreifer Schadcode ausführen. Ein Sicherheitsupdate ist verfügbar, die Software sollte schnellstmöglich aktualisiert werden.

 

Lesen Sie die gesamte Warnmeldung auf den Seiten des Bürger-CERT: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/05/warnmeldung_tw-t19-0062.html

 

 

7. Kaspersky Anti-Virus: Sicherheitsupdate empfohlen

 

In Kaspersky Anti-Virus besteht eine Schwachstelle im Zusammenhang mit der Antiviren-Datenbank, wenn diese vor dem 4. April 2019 erstellt wurde. Kriminelle können hierüber unter anderem die Kontrolle über den Rechner übernehmen. Für Nutzerinnen und Nutzer ist es ratsam, das neueste Update zeitnah zu installieren.

 

Mehr zu dieser Meldung bei Bürger-CERT: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/05/warnmeldung_tw-t19-0061.html

 

 

8. Android: Sicherheitslecks im Betriebssystem

 

Googles Betriebssystem Android hat zurzeit mehrere Schwachstellen. Betroffen sind die Systeme Google Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 sowie Google Android 9. Es wird empfohlen, zeitnah Updates zu installieren.

 

Weitere Details zu dieser Warnmeldung erfahren Sie an dieser Stelle: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/05/warnmeldung_tw-t19-0060.html

 

 

—————————————————-

Gut zu wissen

 

 

9. Der Browser – Risiken und Sicherheitsmaßnahmen

 

Im überarbeitenen Bereich zur Browsersicherheit auf bsi-fuer-buerger.de erfahren Sie alles rund um das Thema Browser, Aktive Inhalte und Co. Neben den Risiken gibt bsi-fuer-buerger unter anderem Tipps, welche Einstellungen in welchem Browser für Nutzerinnen und Nutzer am besten geeignet sind.

 

Alle Informationen unter: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/browser-beliebtes-ziel-von-angriffen.html

 

 

10. E-Mail-Verschlüsselung: Die Privatsphäre zu schützen ist keine Wissenschaft

 

Ob Restaurantbesuch oder Arzttermin: Den Alltag per E-Mail zu organisieren ist heute selbstverständlich. Doch auf dem Weg vom Sender zum Empfänger kann die E-Mail mitgelesen werden – sofern man sie nicht verschlüsselt. Wie Verschlüsselung funktioniert, zeigt das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Video.

 

Zum Video des BSI auf YouTube: E-Mails verschlüsseln: https://www.youtube.com/watch?v=E1GfQVK42MQ&feature=youtu.be

 

 

11. Social Bots: Mensch oder Maschine am anderen Ende des Netzes?

 

Ob im Online-Shop, Social Media oder im Kundenservice: Sogenannte Bots plaudern sich munter durchs Netz. Gerade im Umfeld der Europawahl gewinnen sie wieder an Bedeutung: Einige Akteure befürchten mit Bots verbreitete gezielte Desinformationskampagnen in Sozialen Medien. Doch was steckt eigentlich hinter den programmierten Chatpartnern? Und wie können Nutzerinnen und Nutzer die Guten von den Schlechten unterscheiden? Mehr zu diesem Thema findet sich bei BSI für Bürger.

 

Zur Meldung von BSI für Bürger: Wer antwortet mir? Wissenswertes rund um das Thema Bots: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Bots_20092017.html

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

SICHER • INFORMIERT vom 10.05.2019

Ausgabe: 10/2019

Inhalt

 

Zur Europawahl sicher online informieren Webadressen von Politikern überprüfen Abfragen zu persönlichen Daten abwägen Unbekannte E-Mail-Anhänge nicht öffnen Sicherheitseinstellungen überprüfen und Updates aktuell halten Authentische Social-Media-Profile erkennen

 

Liebe Leserinnen, liebe Leser,

 

die Europawahl am 26.05.2019 steht an. Gerade bei großen, öffentlichkeitswirksamen Ereignissen wie einer Wahl könnten Kriminelle das Interesse und Vertrauen von Wählerinnen und Wählern für ihre Zwecke ausnutzen. Wir zeigen Ihnen, worauf Sie bei der Nutzung von Informationsangeboten im Internet achten sollten und wie Sie Ihre Daten vor Verlust schützen können.

 

Wir wünschen viel Spaß bei diesem Sondernewsletter!

 

Ihr Bürger-Team

Zur Europawahl sicher online informieren

 

Als Wählerinnen und Wählerhaben Sie heutzutage vielfältige Möglichkeiten, sich im Internet zu wichtigen Themen und Ereignissen zuinformieren. Für die kommende Europawahl stellen sich Parteien und Kandidaten überWebseiten, Social Media Profile sowie Wahlwerbung vor. Das BSI rät Bürgerinnen und Bürgern bei der Informationssuche folgende Aspekte im Blick zu behalten, um mit gesundem Menschenverstand mögliche Sicherheitsrisiken frühzeitig zu erkennen oder zu vermeiden:

Webadressen von Politikern überprüfen

 

Sie möchten die Webseite eines Kandidaten besuchen, sind sich aber nicht sicher, ob Sie die richtige URL aufrufen? Im Optimalfall nutzen Sie in diesem Fall für die Recherche der Webseite mehrere Quellen wie z.B. eine Webseite, einen verifizierten Social Media Account und einen Flyer. Enthält eine URL Rechtschreibfehler, wie Buchstabendopplungen oder ähnlich aussehende Buchstaben („l“ statt „i“), verbirgt sich dahinter eventuell ein Betrüger. In diesem Fall versucht er Sie auf eine gefälschte Webseite zu locken, um dort u.a. an Ihre persönlichen Daten zu gelangen.

 

Tipp: Tragen Sie die gewünschte Internetadresse manuell in die Adresszeile Ihres Browsers ein. Nutzen Sie immer mehrere Quellen, um die richtige Webadresse zu finden.

Abfragen zu persönlichen Daten abwägen

 

Stellen Sie sich vor, Sie erhalten eine E-Mail von einer Partei oder von einem Kandidaten, zum Beispiel mit der Aufforderung, unter einem bestimmten Link das Wahlprogramm herunterladen zu können. Auf den ersten Blick scheint alles ganz normal und die Internetadresse scheint von der betreffenden Partei zu stammen, zudem sehen Layout und Logo authentisch aus. Sie klicken schließlich auf den angegebenen Link. Nun werden über ein Eingabeformular aufgefordert, für den Download des Wahlprogramms bestimmte persönliche Angaben einzugeben, u.a. Ihre E-Mail- und Wohnadresse, Ihr Passwort etc.

 

Spätestens an dieser Stelle sollten Sie misstrauisch werden. Denn die Eingabe Ihrer persönlichen Daten ist für den Download eines Wahlprogramms nicht notwendig. Falls es sich tatsächlich um eine gefälschte Webseite handelt, freuen sich Betrüger über Ihre Daten, die sie dann für weitere kriminelle Aktionen im Internet missbrauchen können. Dies könnte eine Phishing-Falle sein. Mehr Infos hierzu unter: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/phishing_node.html

 

Zudem wissen Sie meist nicht, ob Ihre Daten sicher abgelegt werden. Bedenken Sie: Wird die Datenbank der Webseite Opfer eines Hackerangriffs, könnten Ihre dort enthaltenen Daten missbräuchlich verwendet werden. Kriminelle könnten die gesammelten Datensätze für weitere, auch personenbezogene Angriffe, nutzen.

 

Tipp: Hinterfragen Sie immer, welche Daten für ein Angebot wirklich notwendig sind. Verzichten Sie im Zweifel auf die Angabe bestimmter persönlicher Informationen. Versuchen Sie die gewünschten Informationen über einen anderen Weg zu erhalten.

Unbekannte E-Mail-Anhänge nicht öffnen

 

Gerade bei großen, öffentlichkeitswirksamen Ereignissen wie einer Wahl könnten Kriminelle das Interesse und Vertrauen von Wählerinnen und Wählern für ihre Zwecke ausnutzen. Es könnte sein, dass Sie eine E-Mail mit einem auf den ersten Blick seriösen Anhang erhalten, z.B. mit dem Versprechen auf eine Einladung oder ein Wahlprogramm und der Aufforderung den entsprechenden Anhang zu öffnen. Erwarten Sie keine Nachricht von diesem Absender oder wundern Sie sich über den Erhalt der E-Mail, sollten Sie misstrauisch werden. Kriminelle verstecken in E-Mail-Anhängen oft Schadprogramme und geben sich im E-Mail-Text gerne als eine öffentlich bekannte Institution, Unternehmen oder Person aus. So versuchen Kriminelle Vertrauen zu Ihnen aufzubauen.

 

Die Schadprogramme könnten z.B. Ihre privaten Daten verschlüsseln und für eine Entschlüsselung Lösegeld von Ihnen einfordern (sog. „Ransomware“). Andere Schadprogramme bleiben längere Zeit oft unbemerkt. Hierzu zählen z.B. Banking-Trojaner, die zahlungsrelevante Informationen wie PIN oder TAN abgreifen und Online-Transaktionen manipulieren. Der Schaden kann für den Betroffenen immens sein.

 

Tipp: Öffnen Sie keine Anhänge in Werbe-E-Mails und löschen Sie die E-Mail. Im Zweifel fragen Sie direkt bei der jeweiligen Partei nach und lassen sich die Informationen auf einem alternativen Weg zusenden. Mit dem drei Sekunden E-Mail-Check können Sie die E-Mail zudem prüfen. Zum E-Mail-Check: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Menschenverstand/E-Mail/E-Mail_node.html

Sicherheitseinstellungen überprüfen und Updates aktuell halten

 

Angreifer könnten Sicherheitslücken auf einer Webseite beispielsweise ausnutzen, um unbemerkt ein Schadprogramm über diese Webseite oder über verlinkte Drittseiten auf Ihrem Endgerät zu installieren. In diesem Fall genügt es dann, um im Hintergrund den Download und die Ausführung des Schadprogramms auszulösen. In der Vergangenheit sind von diesen Sicherheitslücken mehrere namhafte Webseiten betroffen gewesen.

 

Die Schwachstellen der Webseite können nur die Herausgeber selbst beheben. Dennoch gibt es Möglichkeiten, wie Sie den Schutz Ihrer Systeme erhöhen können. Halten Sie die Software und das Betriebssystem Ihres Endgerätes immer auf dem neuesten Stand. Achten Sie auf entsprechende Browsereinstellung, um vor unsicheren Webseiten gewarnt zu werden. Weitere Infos unter: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/EinrichtungBrowser/Sicherheitsmassnahmen/sicherheitsmassnahmen_node.html

 

Tipp: Aktivieren Sie Schutzeinstellungen für Ihr Gerät sowie den Browser. Setzen Sie einen aktuellen Virenscanner ein und installieren Sie alle verfügbaren Sicherheitsupdates.

Authentische Social-Media-Profile erkennen

 

Social-Media-Kanäle von Politikerinnen und Politikern werden gerne genutzt, um sich zusätzlich über die Äußerungen der jeweiligen Kandidatinnen und Kandidaten zu informieren oder direkt in den Dialog zu treten. Dieses Interesse nutzen Betrüger aus und fälschen Social-Media-Profile bekannter Personen. Denn jedermann kann auf einer Social-Media-Plattform mit einem Foto und dem richtigen Namen ein gefälschtes Profil erstellen. Die Betrüger senden dann Nachrichten im Namen einer bekannten Person, meistens um dieser Person zu schaden. Doch auch private Personen könnten im Fokus der Betrüger stehen, die über private Nachrichten Vertrauen zu Ihnen aufbauen und Ihnen so ggf. persönliche Daten entlocken wollen.

 

Personen des öffentlichen Interesses können diesem Betrugsversuch entgegenwirken, indem sie ihre Profile vom jeweiligen Anbieter verifizieren lassen. Diese Bestätigung zum Beispiel mit einer gekennzeichneten Zusatzinformation („Account verifiziert“, Häkchen-Symbol) im jeweiligen Social-Media-Profil angezeigt. Als Besucher des Social-Media-Kanals können Sie auf diese Weise erkennen, ob es sich um einen offiziellen und authentischen Kanal einer öffentlichen Person oder Partei handelt. Genaue Informationen, wie eine erfolgreiche Account-Verifizierung angezeigt wird, finden Sie bei den Social-Media-Plattformen selbst.

 

Tipp: Achten Sie beim Besuch von Social-Media-Profilen bekannter Personen auf das Zeichen für eine erfolgreiche Verifizierung. Geben Sie im Dialog keine sensiblen Daten preis. Mehr Tipps gibt es unter „Tipps zum sicheren Umgang mit sozialen Netzwerken“ unter: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/SozialeNetze/Zehn_Tipps/Zehn_Tipps_node.html

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn