SICHER • INFORMIERT vom 08.11.2018
Ausgabe: 23/2018
Inhalt

Störenfriede—————–
1. Phishing: Nutzer von LinkedIn, Amazon und PayPal im Visier der Betrüger 2. Social Engineering: Abzocke mit gefälschten Facebook-Profilen

Schutzmaßnahmen—————–
3. SSDs: Produkte diverser Hersteller verwundbar 4. Mozilla Thunderbird: Schwachstellen im E-Mail-Client 5. Apple: Sicherheitsupdates für diverse Programme verfügbar 6. Google Android: Patch für mobiles Betriebssystem

Prisma—————–
7. Login: Anmeldeverfahren für Google-Kunden überarbeitet 8. ECSM-Abschluss: Quiz und Podcast 9. Zivile Helden 10. Smart Home: Sicherheitspakete im Test 11. Messenger: Signal ermöglicht Verbergen des Absenders 12. Sicherheitstest.bsi.de: Webseite wurde eingestellt 13. Cybercrime Podcast: Krankenhäuser als Zielobjekt von Cyberattacken

Liebe Leserinnen, liebe Leser,

mit dem Ende des Monats Oktober fand auch der European Cyber Security Month einen erfolgreichen Abschluss. Die letzte Woche des Aktionsmonats thematisierte Fragen rund um die Sicherheit im Internet der Dinge; weitere Themen waren zuvor der IT-Basisschutz, Digitales Leben – Sicherheit vermitteln sowie der Schutz vor Online-Betrug. Wer sein Wissen testen will, kann dies im BSI für Bürger Quiz „Basisschutz für Ihr digitales Zuhause“ tun oder sich mit dem BSI-Podcast zum Thema Grundlagen des IT-Basisschutz auf den neuesten Stand bringen.

Wir wünschen Ihnen eine spannende Lektüre.

Ihr Bürger-CERT-Team

—————————————————-
Störenfriede

1. Phishing: Nutzer von LinkedIn, Amazon und PayPal im Visier der Betrüger

Aktuell ahmen Internetbetrüger verstärkt E-Mails von PayPal oder der Sparkasse für Phishing-Angriffe nach, wie die Verbraucherzentrale.de berichtet. Dabei versenden die Betrüger E-Mails unter dem Namen und der Aufmachung des jeweiligen Unternehmens. Damit versuchen sie, die Kundinnen und Kunden zum Öffnen enthaltener Links beziehungsweise zur Eingabe persönlicher Daten zu bewegen. Mit Drohungen wie der Deaktivierung des Kontos oder anfallender Gebühren setzen sie ihre Opfer unter Druck. So sollten Kundinnen und Kunden des Online-Bezahldienstes Paypal keine E-Mails mit Betreffzeilen wie „Information zu Ihrem PayPal Konto“ und „Information zur DSGVO“ öffnen und die geforderten Daten eingeben. Im Namen der Sparkasse und mit Verweis auf die DSGVO fordern Kriminelle ebenfalls per E-Mail dazu auf, persönliche Daten auf einer verlinkten Webseite einzugeben. Wichtig: Dahinter stehen Betrüger, die die Webseiten sowie E-Mails geschickt nachgeahmt und gefälscht haben, um sensible Daten zu „phishen“.

Was „Phishing“ genau bedeutet und wie Bürgerinnen und Bürger sich dagegen schützen können, hat BSI für Bürger hier zusammengestellt: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/phishing_node.html

Zur Meldung von Verbraucherzentrale.de: Phishing-Radar: Aktuelle Warnungen: https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/phishingradar-aktuelle-warnungen-6059

2. Social Engineering: Abzocke mit gefälschten Facebook-Profilen

Derzeit bedienen sich Cyber-Kriminelle wieder einer speziellen Masche, dem sogenannten Social Engineering: Sie erstellen eine Kopie tatsächlich existierender Facebook-Profile und versenden unter dem Namen des Profilinhabers Freundschaftsanfragen an Facebook-Mitglieder aus der Freundesliste des gefälschten Accounts, wie Mimikama warnt. Die erneute Freundschaftsanfrage nehmen viele Opfer arglos an – schließlich sind Profilbild und Name des Versenders ihnen ja bekannt. Was folgt, ist eine Nachricht mit der Bitte, die Mobilnummer zu nennen. Wer darauf eingeht, erhält kurz danach einen Zahlencode, weil die Betrüger die Mobilnummer bei einem kostenpflichtigen Dienst angemeldet haben.Wenn der Aufforderung, den Zahlencode an die Betrüger zu übermitteln, gefolgt wird, können die Kriminellen den Code bei Zahlungsdienstleistern einlösen und damit die Handyrechnung ihrer Opfer belasten. Es empfiehlt sich, solche Arten von Nachrichten – auch wenn sie von vermeintlichen Freunden stammen – sorgfältig zu prüfen und im Zweifel persönlichen Kontakt zu dem angeblichen Versender der Nachricht aufzunehmen.

Nicht nur Schwachstellen bei Geräten oder Netzwerken gefährden die digitale Sicherheit. Gerade der Angriffspunkt Mensch wird von Betrügern als Einfallstor für kriminelle Aktivitäten genutzt. Diese Vorgehensweise bezeichnet man als „Social Engineering“. Wie Bürgerinnen und Bürger sie erkennen und wie Sie sich schützen können, hat BSI für Bürger hier zusammengefasst: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering_node.html

Zur Meldung von Mimikama: Wenn die eigenen „Facebook-Freunde“ dich abzocken…: https://www.mimikama.at/allgemein/die-eigenen-facebook-freunde/

—————————————————-
Schutzmaßnahmen

3. SSDs: Produkte diverser Hersteller verwundbar

Schwachstellen in SSDs unterschiedlicher Hersteller ermöglichen es, selbstverschlüsselnde Festplatten unberechtigt zu entschlüsseln. Dazu benötigt ein potenzieller Angreifer allerdings physischen Zugriff auf die betroffenen Modelle. Das Bürger-CERT empfiehlt, eingesetzte SSDs zusätzlich mit einer Verschlüsselungssoftware abzusichern. Weiterführende Links und Informationen finden Sie im Warnhinweis: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/11/warnmeldung_tw-t18-0165.html

4. Mozilla Thunderbird: Schwachstellen im E-Mail-Client

Bei dem Open Source E-Mail-Client Thunderbird ESR treten derzeit Schwachstellen auf, die es Angreifern ermöglichen, einen Denial-of-Service-Angriff oder beliebigen Programmcode mit Benutzerrechten auszuführen. Nutzerinnen und Nutzer sollten daher umgehend die vom Hersteller bereitgestellten Sicherheitsupdates installieren. Betroffen sind die Anwendungen vor Version 60.3. Lesen Sie die gesamte Warnmeldung hier: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/11/warnmeldung_tw-t18-0163.html

5. Apple: Sicherheitsupdates für diverse Programme verfügbar

Für Apple iOS, das Betriebssystem für iPhone, iPad und iPod Touch, steht ein Sicherheitsupdate bereit. Kundinnen und Kunden, die ein Betriebssystem vor Version 12.1 benutzen, empfiehlt sich das Herunterladen der Updates. Andernfalls können Kriminelle unter anderem vertrauliche Daten einsehen, Sicherheitsmechanismen umgehen oder Daten manipulieren. Auch beim Multimedia-Verwaltungsprogramm iTunes in den Varianten vor Version 12.9 treten Sicherheitslecks auf, die Angreifern beispielsweise erlauben, Cross-Site-Scripting-Angriffe auszuführen. Ein umgehender Download des verfügbaren Sicherheitsupdates ist dringend ratsam.

Nutzerinnen und Nutzer des Apple-Webbrowsers Safari älter als Version 12.0.1 sollten ebenfalls verfügbare Updates aufspielen. Andernfalls eröffnen sie Kriminellen unter anderem die Möglichkeit, Denial-of-Service-Angriffe auszuführen.
Das Betriebssystem für Apple-Rechner, Apple Mac OS, zeigt aktuell genauso Schwachstellen, die beispielsweise die Manipulation von Daten oder Denial-of-Service-Angriffe zulassen. Explizit betroffen sind die Versionen von Apple Mac OS, die älter oder gleich Version 10.12.6, älter oder gleich Version 10.13.6 sind sowie die Varianten älter als Apple Mac OS 10.14.1. Sicherheitsupdates stehen bereit, sie sollten möglichst schnell eingesetzt werden.

Weitere Informationen zu den einzelnen Sicherheitswarnungen gibt das Bürger-CERT an diesen Stellen:
Apple iOS: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/10/warnmeldung_tw-t18-0162.html
Apple iTunes: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/10/warnmeldung_tw-t18-0139_update_1.html
Apple Safari: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/10/warnmeldung_tw-t18-0159.html
Apple Mac OS: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/10/warnmeldung_tw-t18-0161.html

6. Google Android: Patch für mobiles Betriebssystem

Bei Googles Betriebssystem Android für mobile Geräte treten derzeit mehrere Schwachstellen auf, die es Angreifern unter anderem ermöglichen, Informationen offenzulegen und beliebigen Programmcode auszuführen. Betroffen sind die Versionen Google Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 sowie Google Android 9. Es steht ein Sicherheitsupdate bereit, das Nutzerinnen und Nutzer so bald wie möglich vornehmen sollten. Mehr dazu lässt sich dem Bürger-CERT-Sicherheitshinweis entnehmen: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/11/warnmeldung_tw-t18-0164.html

—————————————————-
Prisma

7. Login: Anmeldeverfahren für Google-Kunden überarbeitet

Mit einem neuen Anmeldeverfahren will Google seine Kundinnen und Kunden besser schützen. Schon im Moment der Anmeldung führt Google eine Risikobewertung durch und lässt einen Login nur zu, wenn keine verdächtigen Elemente auftreten. Dafür ist allerdings aktiviertes JavaScript erforderlich. Nur dann ist der Login in das Google-Konto künftig möglich. Darüber berichtet Heise Online. JavaScript ist allerdings bei fast allen Nutzerinnen und Nutzer ohnehin aktiviert. Bereits im letzten Jahr hatte Google seinen Sicherheitscheck überarbeitet und erweitert. So erteilt dieser nun explizite Handlungsempfehlungen, weist etwa auf „Probleme mit Geräten“ hin, zum Beispiel wenn einem Smartphone die Displaysperre fehlt. Wie Bürgerinnen und Bürger Ihre Konten mit einen sicheren Passwort schützen können, hat BSI für Bürger in einer Meldung zusammengefasst: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html

8. ECSM-Abschluss: Quiz und Podcast

Zum Abschluss des ECSM können Bürgerinnen und Bürger in einem Quiz testen, wie gut sie sich mit dem Thema Cybersicherheit auskennen. Für all diejenigen, die sich noch weiter informieren wollen, gibt eine BSI-Expertin in Folge drei des Podcasts „Ins Internet – mit Sicherheit“ einen spannenden Überblick zum Thema IT-Basisschutz. Diese und alle anderen Folgen der Podcast-Reihe können Bürgerinnen und Bürger hier anhören: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Mediathek/Audio/audio_node.html

Zum Quiz „Basisschutz für Ihr digitales Zuhause“ geht es hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Checklisten/Quiz_Basisschutz/quiz_Basisschutz_node.html

Alle Termine, Veranstaltungen und Themen rund um den ECSM lesen Sie hier nach: https://www.bsi.bund.de/DE/Service/Aktuell/Veranstaltungen/ECSM/ecsm_node.html

9. Zivile Helden

Weglaufen, Beobachten oder doch lieber den „Zivilen Helden“ in sich aktivieren und Courage zeigen gegen Hass, Gewalt und Radikalisierung ? Ein spannendes brandneues Projekt der Polizei, das vor allem junge Menschen im Netz adressiert, soll genau zu letzterem ermutigen. Dazu sind auf der Webseite der Initiative interaktive Videos zu sehen, die brenzlige Situationen darstellen und deren Ausgang man interaktiv am Bildschirm bestimmen kann. „Was würdest Du tun?“, ist die Frage, die dabei direkt an den Zuschauer gestellt wird und so Bewusstsein für die Wichtigkeit von Zivilcourage im Alltag geschaffen werden soll. Vorbeischauen und den zivilen Held in sich zu wecken lohnt sich: https://www.zivile-helden.de/

10. Smart Home: Sicherheitspakete im Test

Die letzte Woche des ECSM war dem Thema Sicherheit im vernetzen zuhause gewidmet. Wie Bürgerinnen und Bürger ihr smartes Heim am besten schützen können, davon handelte auch die letzte Ausgabe von ‚Sicher informiert‘. Passend dazu hat nun das AV TEST Institut 13 Sicherheitspakete zum Einbruchschutz überprüft. Das Ergebnis zeigt: die teuersten Produkte sind nicht immer die besten. So hielt beispielsweise das günstigste Produkt eines Discounters zahlreichen Testangriffen stand, während deutlich teurere Produkte durch Mängel, etwa im Sabotageschutz, auffielen. Ein genauer Blick lohnt sich also.

Zur Meldung von AV Test: Sicheres Gefühl statt gefühlter Sicherheit: 13 Security Starter Kits im Test: https://www.av-test.org/de/news/sicheres-gefuehl-statt-gefuehlter-sicherheit-13-security-starter-kits-im-test/

Tipps zum Basisschutz im vernetzten Zuhause gibt BSI für Bürger hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/basisschutz_fuer_iot_smarthome.html

11. Messenger: Signal ermöglicht Verbergen des Absenders

Signal, ein Messenger-Dienst der Nachrichten verschlüsselt versendet, unterstützt in einer Betaversion ein Feature, bei dem Nachrichten so verschickt werden, dass der Server nicht erkennt, wer die Nachricht verschickt hat. Darüber schreibt Golem.de. Wer der Absender ist, sieht nur der Empfänger. Die Entwickler des Signal-Messengers wollen die Metadaten reduzieren, auf die der Server bei der Nachrichtenübertragung Zugriff hat. Das Konzept ist vergleichbar mit einem Brief: Auch da ist die Nennung eines Absenders nicht zwingend nötig. Der Brief kann auch ohne Absender korrekt zugestellt werden.

Die meisten Bürgerinnen und Bürger versenden heute Nachrichten über Messenger-Dienste. BSI für Bürger hat 15 Tipps zusammengestellt, wie Sie die digitalen Nachrichtendienste sicher nutzen: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/KommunikationUeberInternet/Messenger/Tipps/tipps_node.html

12. Sicherheitstest.bsi.de: Webseite wurde eingestellt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 2014 mit der Webseite sicherheitstest.bsi.de ein Test-Tool ins Leben gerufen, mit dem Nutzerinnen und Nutzer ihre E-Mail-Accounts auf einen möglichen Identitätsdiebstahl hin überprüfen lassen konnten. Der zugrunde liegende Datensatz wurde dem BSI damals von Strafverfolgungsbehörden im Rahmen eines Ermittlungsverfahrens zur Verfügung gestellt. Da sich dieser Datensatz nicht mehr auf dem aktuellen Stand befindet, hat das BSI diese Webseite nun aus dem Netz genommen und verweist auf andere Alternativen, mit denen Nutzerinnen und Nutzer ihre Daten auf Identitätsdiebstahl hin überprüfen können.

Bürgerinnen und Bürger, die Opfer von Identitätsdiebstahl wurden, finden auf dieser Seite von BSI für Bürger nützliche Informationen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/ID-Diebstahl/Hilfe/Hilfe_Betroffene_node.html

13. Cybercrime Podcast: Krankenhäuser als Zielobjekt von Cyberattacken

Die hr-iNFO-Podcast-Reihe ‚Cybercrime‘ ging vor einigen Wochen mit einer zweiten Staffel an den Start. In fünf neuen Folgen ergründen die Autoren Oliver Günther und Henning Steiner, wie Internet-Kriminalität den sicheren Betrieb von Krankenhäusern gefährdet. Sie bearbeiten das Thema anhand eines echten Vorfalls aus dem Jahr 2016: Damals musste das Lukas-Krankenhaus im nordrhein-westfälischen Neuss nach einer Cyber-Attacke nahezu seinen gesamten IT-Betrieb abschalten. Der Podcast nimmt seine Hörerinnen und Hörer mit auf die Jagd nach den Tätern und gibt Einblick in die Ermittlungsarbeit des Landeskriminalamts NRW und des Bundesamtes für die Sicherheit in der Informationstechnik (BSI). So schildert Dr. Dirk Häger, Leiter des Fachbereichs „Operative Cyber-Sicherheit“ in Folge 4 seine Eindrücke und Erfahrungen bei diesem speziellen Angriff. Als Experte für die Abwehr von Angriffen beim BSI war er damals Teil des Ermittlerteams.
Die Folgen der zweiten Staffel des Podcasts ‚Cybercrime‘ gibt es auf der Webseite von hr-iNFO : https://www.hr-inforadio.de/podcast/cybercrime/index.html

Hintergrundinformationen und weiterführende Texte rund um das Thema Cyberattacken auf Krankenhäuser hat hr-iNFO hier zusammengefasst: https://www.hr-inforadio.de/programm/dossiers/cybercrime-2-wie-sicher-sind-kliniken-vor-hackerattacken,cybercrime-zweite-staffel-100.html
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
Tweets by BSI_Presse

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

SICHER • INFORMIERT vom 25.10.2018
Ausgabe: 22/2018
Inhalt

Störenfriede—————–
1. XSS-Schwachstelle in Diensten von Branch.io: Millionen Kunden weltweit potenziell betroffen 2. SMS-Betrug: Vorsicht bei externer Kontaktaufnahme außerhalb von eBay-Kleinanzeigen und Facebook Marketplace 3. Fakeshops: Keine Lieferung nach Bezahlung

Schutzmaßnahmen—————–
4. ClamAV: Wichtiges Update verfügbar
5. Oracle Java SE: Schwachstellen durch Aktualisierung schließen 6. F-Secure Linux Security: Sicherheitsupdate umgehend einspielen 7. Google Chrome: Zeitnah auf neue Version wechseln 8. VMware: Neues Update einspielen 9. Router von D-Link können komplett übernommen werden 10. Sicherheitslücke bei Enigmail geschlossen

Prisma—————–
11. BSI-Magazin: Neue Ausgabe mit Schwerpunkt E-Mail-Verschlüsselung erschienen 12. Smart Home: IoT-Sicherheit zu Hause 13. Nach dem Facebook-Hack: Nutzer können checken, ob sie betroffen sind

Liebe Leserinnen, liebe Leser,

weltweit vernetzen sich Bürgerinnen und Bürger in sozialen Medien. Dort tauschen sie Gedanken, Bilder und Informationen aus, die sie mit Freunden und Bekannten teilen wollen – sicher aber nicht mit Kriminellen. Genau das ist zuletzt Millionen Facebook-Nutzern passiert: das soziale Netzwerk wurde zum Ziel eines massiven Hacker-Angriffs. Beunruhigte Nutzerinnen und Nutzer haben nun die Möglichkeit, zu prüfen, ob sie ebenfalls Opfer der Attacke wurden. Weniger virtuell, aber mindestens genauso reell ist die IT-Gefahrenlage im Smart Home. Im Rahmen der letzten ECSM-Aktionswoche widmet sich BSI für Bürger genau diesem Thema und gibt Tipps zur Basissicherheit im intelligenten Zuhause.

Wir wünschen Ihnen eine spannende Lektüre.

Ihr Bürger-CERT-Team

—————————————————-
Störenfriede

1. XSS-Schwachstelle in Diensten von Branch.io: Millionen Kunden weltweit potenziell betroffen

Wie 360 Total Security Blog berichtet, existiert eine Schwachstelle bei Branch.io, das von Diensten wie Tinder, Shopify oder Yelp für Analysen, die Erstellung von Deep Links und ähnliche Funktionen genutzt wird. Das Sicherheitsleck ermöglicht Cross-Site-Scripting-Angriffe (CSS), von denen Millionen Nutzerinnen und Nutzer der genannten Plattformen betroffen sein könnten. So lässt die Lücke beispielsweise zu, dass Kriminelle auf deren Profile auf der Online-Dating-Plattform Tinder zugreifen können. In den meisten Fällen funktionieren CSS-Attacken allerdings nur, wenn das Opfer auf einen speziell erstellten Spam-Link klickt. Durch die große Verbreitung von Branch.io könnten insgesamt 685 Millionen Kunden weltweit betroffen sein. Die Sicherheitslecks sind laut 360 Total Security Blog mittlerweile geschlossen. Auch wenn es aktuell keine Hinweise für den Missbrauch von Nutzerprofilen gibt, sollten Nutzerinnen und Nutzer der betroffenen Plattformen vorsorglich ihr Passwort ändern.

Was es bei der Auswahl sicherer Passwörter zu beachten gilt, hat BSI für Bürger hier zusammengestellt: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Passwoerter-wechseln_01022017.html

Zur Meldung von 360 Total Security Blog: 685 million users may be affected by the Branch.io service XSS vulnerability: https://blog.360totalsecurity.com/en/685-million-users-may-be-affected-by-the-branch-io-service-xss-vulnerability/

2. SMS-Betrug: Vorsicht bei externer Kontaktaufnahme außerhalb von eBay-Kleinanzeigen und Facebook Marketplace

Nutzerinnen und Nutzer von Online-Kleinanzeigenmärkten wie eBay-Kleinanzeigen oder Facebook Marketplace sollten derzeit Vorsicht walten lassen: Immer häufiger versuchen Betrüger sie außerhalb der Plattformen zu kontaktieren. Letztlich wollen die Kriminellen hierüber den Verkäufer zum Versand der Ware ohne Bezahlung bewegen. Darauf weist Onlinewarnungen.de hin. So nehmen angebliche Kaufinteressenten per SMS oder WhatsApp Kontakt mit den Verkäufern auf. Aufmerksamkeit ist geboten, wenn die Nachrichten in fehlerhaftem Deutsch formuliert sind oder ein Käufer darauf drängt, außerhalb der Plattform zu kommunizieren. Die vermeintlichen Käufer geben dann vor – wie zuletzt bei einem Fall auf Facebook Marketplace – die Rechnung über PayPal bezahlen zu wollen. Dabei kommen auch gefälschte Zahlungsbestätigungen von PayPal oder ausländischen Banken zum Einsatz. Es empfiehlt sich, entsprechende Benachrichtigungen immer kritisch zu prüfen, ob sie echt sind. Oft werden darin Vorgehensweisen beschrieben, die der Zahlungsdienst überhaupt nicht anbietet. Beim Thema Cybersicherheit geht es nicht ausschließlich um Geräte. Auch der Faktor Mensch gilt als Einfallstor für IT-Attacken. Zum Beispiel mit Social Engineering: Dabei nutzen Kriminelle Charakterzüge wie Hilfsbereitschaft oder Vertrauen aus.

Was genau hinter diesem Begriff steckt, erklärt BSI für Bürger hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering_node.html

Zur Meldung von Onlinewarnungen.de: eBay-Kleinanzeigen und Facebook Marketplace Betrug: Kontakt per SMS mit E-Mail-Adresse (Update): https://www.onlinewarnungen.de/warnungsticker/ebay-kleinanzeigen-betrug-kontakt-per-sms-mit-e-mail-adresse/

3. Fakeshops: Keine Lieferung nach Bezahlung

Internetkriminelle eröffnen falsche Online-Shops, in denen sie die Ware des Sportbekleidungsherstellers Nike zu sehr günstigen Preisen anbieten. Auf dieses Vorgehen weist Onlinewarnungen.de hin. Aufmerksam sollten Käuferinnen und Käufer werden, wenn man ihnen Artikel beliebter Marken mit bis zu 90 Prozent Preisnachlass anbietet. Leider werden diese gefälschten Angebote oft in sozialen Netzwerken und auch auf seriösen Websites beworben. Überweisen Opfer einem Fakeshop die Kaufsumme, ist das Geld unwiederbringlich verloren – denn die Ware erhalten die Kundinnen und Kunden nicht. Noch kritischer ist das Problem übermittelter Daten, beispielsweise dann, wenn die Opfer mit Kreditkarte bezahlt haben. In diesem Fall empfiehlt es sich, die Karte umgehend sperren zu lassen. Persönliche Daten wie Name und Adresse können darüber hinaus an andere Cyberkriminelle weiter verkauft werden.

Einkaufen im Internet ist überaus praktisch. Allerdings birgt es auch Sicherheitsrisiken. Was es dabei zu beachten gilt, das zeigt BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/EinkaufenImInternet/einkaufeniminternet_node.html

Zur Meldung von Onlinewarnungen.de: Warnung vor Fakeshops: Hier sollten Sie keine Nike-Schuhe und -Bekleidung kaufen: https://www.onlinewarnungen.de/warnungsticker/warnung-vor-fakeshops-hier-sollten-sie-keine-nike-schuhe-und-bekleidung-kaufen/

—————————————————-
Schutzmaßnahmen

4. ClamAV: Wichtiges Update verfügbar

Bestimmte Versionen des Open-Source-Virenscanners ClamAV weisen derzeit Sicherheitslücken auf, die Kriminelle für einen Denial-of-Service-Angriff nutzen können. Nutzerinnen und Nutzer der betroffenen Versionen vor ClamAV 0.100.2 sollten zeitnah verfügbare Sicherheitsupdates ausführen.

Lesen Sie die gesamte Meldung hier: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/10/warnmeldung_tw-t18-0152.html?nn=9266440

5. Oracle Java SE: Schwachstellen durch Aktualisierung schließen

Cyberkriminelle können mehrere Schwachstellen in Oracle Java SE, Oracle Java SE Embedded und Oracle JRockit ausnutzen, um Integrität, Vertraulichkeit und Verfügbarkeit zu gefährden. Betroffen sind die Versionen Oracle Java SE 11, Oracle Java SE 6u201, Oracle Java SE 7u191 sowie Oracle Java SE 8u182. Da hier die drei wesentlichen Schutzziele von IT-Sicherheit betroffen sind, empfiehlt es sich für Nutzerinnen und Nutzer, möglichst schnell die neuesten Sicherheitsupdates zu installieren.

Weitere Informationen gibt Bürger-CERT an dieser Stelle: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/10/warnmeldung_tw-t18-0155.html?nn=9266440

6. F-Secure Linux Security: Sicherheitsupdate umgehend einspielen

Produkte von F-Secure, einem Hersteller von Antivirusprodukten weisen Sicherheitslücken auf. Konkret können Angreifer eine Schwachstelle bei F-Secure Linux Security 11 nutzen, um einen Denial-of-Service-Angriff auszuführen. Über Updates können Nutzerinnen und Nutzer die Lücken schließen.

Lesen Sie weitere Informationen dazu auf der Webpräsenz von Bürger-CERT: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/10/warnmeldung_tw-t18-0153.html?nn=9266440

7. Google Chrome: Zeitnah auf neue Version wechseln

Bei Googles Webbrowser Chrome treten im Augenblick mehrere Schwachstellen auf. Betroffen sind die Versionen vor Google Chrome 70.0.3538.67. Sie ermöglichen es Angreifern beispielsweise, Daten zu manipulieren oder Code mit den Privilegien des Opfers (zum Beispiel Admin-Rechte) auszuführen. Sicherheitsupdates sollten daher zeitnah aufgespielt werden.

Die gesamte Warnmeldung stellt das Bürger-CERT-Team hier zur Verfügung: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/10/warnmeldung_tw-t18-0154.html?nn=9266440

8. VMware: Neues Update einspielen

Schwachstellen bei der Virtualisierungssoftware VMware ESXi, VMware Workstation und VMware Fusion erlauben es, dass Angreifer beliebigen Programmcode auf den betroffenen Rechnern ausführen können. Betroffen sind die Systeme: VMware ESXi 6.0, VMware ESXi 6.5. VMware ESXi 6.7 sowie die Varianten von VMware Workstation vor Version 14.1.3. Bürger-CERT empfiehlt die zeitnahe Installation der Sicherheitsupdates des Herstellers.

Weitere Informationen können Sie auf den Seiten von Bürger-CERT nachlesen: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/10/warnmeldung_tw-t18-0156.html?nn=9266440

9. Router von D-Link können komplett übernommen werden

Einige Router-Modelle von D-Link weisen derzeit massive Sicherheitslücken auf: So können Cyberkriminelle mit einfachen Mitteln sensible Daten auslesen. Wie Golem.de berichtet, handelt es sich um drei Schwachstellen. Die erste Sicherheitslücke ermöglicht es Betrügern, Dateien aus dem Dateisystem des Routers auszulesen. Die zweite Schwachstelle lässt zu, dass die Zugangsdaten extrahiert werden. Zuletzt gibt es eine Sicherheitslücke, über die Kriminelle beliebigen Code ausführen können. Setzt ein Angreifer an allen drei Lücken an, kann er einen Router übernehmen. Zwar kündigte D-Link an, entsprechende Updates bereitzustellen – bisher wurden aber keine entsprechenden Patches bereitgestellt.

Der WLAN-Router ist das Herzstück des digitalen Lebens im eigenen Zuhause. Wie Sie diesen schon beim Einrichten schützen können, erklärt BSI für Bürger an dieser Stelle: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/basisschutz_fuer_den_router.html

Zur Meldung von Golem.de: Router von D-Link können komplett übernommen werden: https://www.golem.de/news/sicherheitsluecken-router-von-d-link-koennen-komplett-uebernommen-werden-1810-137175.html

10. Sicherheitslücke bei Enigmail geschlossen

Eine schwerwiegende Sicherheitslücke im sogenannten „Junior-Modus“ des Verschlüsselungs-Add-ons Enigmail für Windows ist nun geschlossen, wie Heise.de schreibt. BSI für Bürger hatte in Ausgabe 21/2018 darüber berichtet. Eine Kombination von Fehlern in der zugrundeliegenden pEp-Software führte offenbar dazu, dass Enigmail einen verschlüsselten E-Mail-Versand angab, obwohl die Nachricht unverschlüsselt gesendet wurde. Maximal 6.000 Nutzerinnen und Nutzer waren laut Unternehmen von dem Fehler betroffen. Seit dem 12.10. liefert Enigmail die Software nur noch fehlerbereinigt aus; entsprechend sollten Nutzerinnen und Nutzer mit Software vor diesem Datum die Aktualisierung der pEp-Distribution aufspielen.

Wie Bürgerinnen und Bürger sicher digital kommunizieren, indem sie ihre E-Mails verschlüsseln, erklärt BSI für Bürger hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Verschluesselung/Verschluesseltkommunizieren/verschluesselt_kommunizieren_node.html

Zur Meldung von Heise Online: pEp-Foundation hat Sicherheitslücke in Enigmail/pEp geschlossen: https://www.heise.de/security/meldung/pEp-Foundation-hat-Sicherheitsluecke-in-Enigmail-pEp-geschlossen-4191426.html

—————————————————-
Prisma

11. BSI-Magazin: Neue Ausgabe mit Schwerpunkt E-Mail-Verschlüsselung erschienen

Die neueste Ausgabe des BSI-Magazins „Mit Sicherheit“ ist erschienen: Schwerpunkt in dieser Ausgabe ist die verschlüsselte Kommunikation als Basis für sichere Digitalkommunikation in Staat, Wirtschaft und Gesellschaft. Doch für Bürgerinnen und Bürger ohne IT-Fachwissen erweist es sich oft als mühsam, einen Überblick über die verschiedenen Verschlüsselungstechniken und vor allem deren Umsetzung zu bekommen. Bei dieser Herausforderung setzt das BSI-Projekt easyGPG an. Es bietet eine vergleichsweise unkomplizierte Herangehensweise für E-Mail-Verschlüsselung. Neben verschiedenen Beiträgen zum Thema Verschlüsselung können sich Bürgerinnen und Bürger in dieser Ausgabe zu Inhalten wie der Sicherheit onlinebasierter Zahlungsdienste oder dem digitalen Verbraucherschutz informieren.

Das BSI-Magazin „Mit Sicherheit“ erscheint zweimal jährlich, jeweils zur Hannover Messe im April sowie aktuell anlässlich der IT-Security-Messe it-sa im Oktober. Das Magazin steht Bürgerinnen und Bürgern zum kostenlosen Download auf der Webpräsenz des BSI zur Verfügung; ebenso können Interessenten hier eine gedruckte Version der Publikation bestellen: https://www.bsi.bund.de/DE/Publikationen/BSI-Magazin/BSI-Magazin_node.html

12. Smart Home: IoT-Sicherheit zu Hause

Im Rahmen des European Cyber Security Month (ECSM) informiert BSI im Oktober mit vier Wochenthemen über die verschiedenen IT-Risiken im smarten Zuhause. Woche vier schließt nun mit der Sicherheit im Smart Home ab. Dazu gibt BSI für Bürger Tipps, was Sie vor dem Kauf und beim Umgang mit intelligenten Geräten beachten sollten. So gilt auch hier, eine verschlüsselte Verbindung zur Datenübertragung einzurichten oder auf regelmäßige und sichere Passwortwechsel zu achten.

Weitere Informationen finden Sie in der Meldung von BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/basisschutz_fuer_iot_smarthome.html

13. Nach dem Facebook-Hack: Nutzer können checken, ob sie betroffen sind

Bei einem massiven Hack-Angriff auf Facebook, der Anfang Oktober bekannt wurde, gelang es Cyberkriminellen, sich Zugang zu geschätzten rund 50 Millionen Nutzerkonten zu verschaffen. BSI für Bürger hatte dazu in Ausgabe 21/2018 von „Sicher informiert“ berichtet. Theoretisch konnten sich die Täter somit Zugang zu Chroniken, Freundeslisten oder Gruppenmitgliedschaften der Opfer verschaffen. Facebook kündigte nun an, schnellstmöglich individuelle Nachrichten an die 30 Millionen Betroffenen zu versenden. Wer selbst prüfen möchte, ob sein Konto gehackt wurde, findet im Artikel von Onlinewarnungen.de einen entsprechenden Link.

Über Neuigkeiten und Hintergründe zu dem Angriff hält Facebook auf dieser Website auf dem Laufenden: https://www.facebook.com/help/securitynotice

Zur Meldung von Onlinewarnungen.de: Facebook Hacker-Angriff: Ist mein Konto betroffen?: https://www.onlinewarnungen.de/news/facebook-hacker-angriff-ist-mein-konto-betroffen/
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
Tweets by BSI_Presse

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn