SICHER • INFORMIERT vom 18.04.2019
Ausgabe: 08/2019
Inhalt
In den Schlagzeilen—————–
- Datenleck: Fremde hatten Zugriff auf Informationen in Outlook und Hotmail 2. Emotet: Ende nicht in Sicht
Bleiben Sie up-to-date—————–
- VPN: Sicherheitslücken in mehreren Clients identifiziert 4. VMware: Schwachstellen schließen 5. Microsoft: Die Patches vom April im Überblick 6. Adobe: Zahlreiche Updates stehen bereit
Gut zu wissen—————–
- Sprachassistenten: Nicht nur Alexa hört zu 8. Elektronischer Personalausweis: Einfach praktisch oder riskant?
- Blick zurück: Verschlüsselung prägt unsere Geschichte 10. Kryptografie: Alltäglich und überall im Einsatz
Liebe Leserinnen, liebe Leser,
die freie Zeit rund um Ostern lässt sich nicht nur zum Schlemmen und Genießen nutzen. Sie lädt auch dazu ein, Gewohntes zu überdenken und anzupassen. Eine Möglichkeit wäre beispielsweise, sich über die Online-Ausweisfunktion zu informieren, mit der Bürgerinnen und Bürger Behördengänge unkompliziert und sicher online erledigen können – auch Dank der eingesetzten Verschlüsselung. Welchen Nutzen Verschlüsselung bereits historisch und gerade heute in unserem immer digitaler werdenden Alltag hat, erfahren Sie in diesem Newsletter ebenfalls.
Eine spannende Lektüre und Frohe Ostern wünscht Ihnen
Ihr Bürger-CERT-Team
—————————————————-
In den Schlagzeilen
- Datenleck: Fremde hatten Zugriff auf Informationen in Outlook und Hotmail
Internetkriminelle hatten offenbar Zugang zu Benutzerkonten von Microsofts Outlook und Hotmail wie Heise Online berichtet. Laut Microsoft sind die Inhalte der Nachrichten nicht einsehbar gewesen, wohl aber Informationen wie E-Mail-Adressen, mit denen die Betroffenen kommunizierten – ebenso die Überschriften von Mails sowie Ordnernamen. Microsoft hat die Betroffenen informiert und rät zum Ändern des Passwortes.
Zur Meldung von Heise Online: Angreifer konnte einige Daten bei Microsofts Web-Mail einsehen: https://www.heise.de/newsticker/meldung/Angreifer-konnte-einige-Daten-bei-Microsofts-Web-Mail-einsehen-4399200.html
Gehackte E-Mail-Konten sind Einfallstore für Phishing-Attacken. Wie Nutzerinnen und Nutzer Phishing erkennen und sich gegen Angriffe schützen können, erklärt BSI für Bürger im Video: https://www.youtube.com/watch?v=XgF42Jb8jxo
- Emotet: Ende nicht in Sicht
CERT-Bund warnt via Twitter erneut vor der Schadsoftware Emotet: Seit 2018 späht Emotet in Outlook-Postfächern nicht nur die Kontaktbeziehungen, sondern auch die ersten 16kB jeder E-Mail aus. Nun hat die Emotet ein neues Level erreicht: Die ausgespähten E-Mails werden verwendet, um mit vermeintlichen Antworten die Schadsoftware weiter zu verbreiten.
Zum Tweet von CERT-Bund: https://twitter.com/certbund/status/1116259956934602752
Lesen Sie hier alle Infos zu Emotet und den Warnungen des CERT-Bund auf einen Blick: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html
—————————————————-
Bleiben Sie up-to-date
- VPN: Sicherheitslücken in mehreren Clients identifiziert
Über ein Virtuelles Privates Netzwerk (VPN) kann eine verschlüsselte Internetverbindung aufgebaut werden. Sie gilt als besonders sicher. Wie Deutschland sicher im Netz (DsiN) nun schreibt, wurden aber ausgerechnet bei Programmen für VPN-Clients schwerwiegende Sicherheitslücken entdeckt. Betroffen sind die entsprechenden Angebote von Palo Alto Networks, Pulse Secure, F5 Networks sowie das Programm Cisco AnyConnect. Sie speichern Anmeldeinformationen der VPN-Verbindung unverschlüsselt auf der Festplatte oder im Arbeitsspeicher – ein Angreifer kann sich dann theoretisch auch Zugang zum VPN verschaffen. Sobald ein Update verfügbar ist, sollte es umgehend installiert werden.
Wie VPN funkionieren und welches Schutzniveau sie bieten, hat BSI für Bürger hier zusammengestellt: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/VPN/VPN_Virtual_Private_Network.html
Zur Meldung von Deutschland sicher im Netz: https://www.sicher-im-netz.de/sicherheitsl%C3%BCcken-bei-verschiedenen-vpn-clients
- VMware: Schwachstellen schließen
Mehrere Schwachstellen in VMware ESXi, VMware Workstation und Vmware Fusion erlauben es Angreifern, einen Denial of Service Angriff (DoS) durchzuführen und Informationen offenzulegen. Betroffen sind die Systeme VMware ESXi 6.0, VMware ESXi 6.5, VMware ESXi 6.7, VMware Workstation 14.x sowie VMware Workstation 15.x. Anwenderinnen und Anwender sollten verfügbare Updates umgehend herunterladen und installieren.
Lesen Sie die gesamte Warnung auf den Seiten des Bürger-CERT: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/04/warnmeldung_tw-t19-0054.html
- Microsoft: Die Patches vom April im Überblick
Zu seinem monatlichen Patchday im April hat Microsoft 65 Schwachstellen geschlossen und stellt entsprechende Updates bereit. Betroffen sind die Systeme Microsoft ChakraCore, die Browser Edge und Internet Explorer sowie Microsoft Office und das Betriebssystem Windows. Diese Lücken beziehen sich unter anderem auf interne Fehler beim Öffnen speziell manipulierter Dateien oder Webseiten. Für Nutzerinnen und Nutzer empfiehlt es sich, die bereitgestellten Updates baldmöglichst aufzuspielen, um beispielsweise Systemausfälle oder das Offenlegen von Informationen zu verhindern.
Zur Meldung von Bürger-CERT: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/04/warnmeldung_tw-t19-0053.html
- Adobe: Zahlreiche Updates stehen bereit
Adobe schließt mehrere Sicherheitslücken in verschiedenen Produkten. Betroffen sind Adobe Flash Player und Adobe Flash Player for Chrome sowie Adobe Flash Player for Linux. Auch beim Adobe Shockwave Player können Angreifer verschiedene Schwachstellen ausnutzen, um beliebigen Programmcode auszuführen. Zudem ermöglichen Schwachstellen bei Adobe InDesign vor Version 14.0.2. das Ausführen beliebigen Programmcodes mit Benutzerrechten. Adobe Reader vor Ausführung 2015.006.30493, Adobe Acrobat Reader DC älter 2017.011.30138 sowie Adobe Acrobat Reader DC in den Varianten 2019.010.20099 weisen ebenfalls Sicherheitslücken auf.
Die Links zu den einzelnen Warnmeldungen auf den Seiten des Bürger-CERT: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Buerger-CERT/Sicherheitshinweise/Sicherheitshinweise_node.html
—————————————————-
Gut zu wissen
- Sprachassistenten: Nicht nur Alexa hört zu
Diese Meldung sorgte für Aufregung: Amazon-Mitarbeiter hören Sprachbefehle der Nutzerinnen und Nutzer von Amazons Sprachassistent Alexa mit. An sich ein übliches Vorgehen, um die Leistung der KI zu verbessern, wie SZ.de mit Verweis auf den US-Nachrichtendienst Bloomberg berichtet. Demnach bearbeiten verschiedene Teams weltweit ausgewählte Nachrichten und fertigen für die KI Transkripte, damit sie besser versteht, was Nutzerinnen und Nutzer wollen. Laut Amazon würden für die beschriebenen Trainings nur wenige Kundenanfragen verwendet und anonymisiert behandelt. Bloomberg äußert Zweifel daran, dass wirklich sorgfältig mit der Nutzer-Privatsphäre umgegangen wird.
Zur Meldung von SZ.de: Amazon-Mitarbeiter hören Alexa-Sprachbefehlen zu: https://www.sueddeutsche.de/digital/amazon-alexa-mitarbeiter-mithoerer-1.4406164
Smarte Geräte erleichtern den Alltag. BSI für Bürger hat das Wichtigste hier zusammengestellt: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/willkommen_im_sicheren_smart_home.html
- Elektronischer Personalausweis: Einfach praktisch oder riskant?
Die Online-Ausweisfunktion identifiziert Besitzerinnen und Besitzer eines elektronischen Personalausweises oder eines elektronischen Aufenthaltstitels im Internet auf eindeutige Weise. Das schafft Flexibiliät: Behördengänge oder Vertragsabschlüsse, für die eine Authentifizierung der Person notwendig ist, können Nutzerinnen und Nutzer somit komfortabel online und sicher erledigen. Da manche jedoch vor dem Einsatz zögern, erläutert BSI für Bürger in einem Beitrag die Sicherheitsmaßnahmen und Vorteile.
Die wichtigsten Details zum elektronischen Ausweis lesen Sie auf den Seiten von BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/DerStaatOnline/Personalausweis/Funktionen/FAQ/online_ausweisfunktion_faq_node.html
- Blick zurück: Verschlüsselung prägt unsere Geschichte
Nicht erst seit dem Aufkommen des Internets überlegen Menschen, wie sie Nachrichten so verschicken können, dass kein Unbefugter mitlesen kann. So hat sich ein eigener Wissenschaftszweig entwickelt: die Kryptografie. Deren Anfänge reichen zurück bis in die Antike.
Lesen Sie bei BSI für Bürger die spannende Geschichte der Kryptografie und lernen Sie mehr über typische Verschlüsselungsverfahren: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/geschichte-der-kryptografie.html
- Kryptografie: Alltäglich und überall im Einsatz
Die Verschlüsselung von Daten begleitet uns, egal ob zuhause, unterwegs oder beruflich quasi täglich. So verschlüsseln kryptographische Verfahren viele IT-Strukturen, ohne dass es Menschen direkt bewusst ist.
An welchen Stellen Kryptografie im Alltag zum Einsatz kommt, erklärt BSI für Bürger hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/kryptografie-im-alltag.html
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
https://www.twitter.com/BSI_Presse
Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn