SICHER • INFORMIERT vom 16.08.2018

Ausgabe: 17/2018

Inhalt

 

Störenfriede—————–

1. Crestron-Schwachstelle: System zur Gebäudeautomatisierung lässt Überwachung zu 2. Phishing: Aufmerksamkeit für Kunden der Landesbank Berlin und DHL geboten 3. WPA2-Schwachstelle: Router zuhause einfach schützen 4. Chat-Manipulation: Gruppenchats in WhatsApp lassen Verfälschung zu

 

 

Schutzmaßnahmen—————–

5. Thunderbird: Update auf neue Version empfohlen 6. Android: Sicherheitsupdates schließen Schwachstellen 7. Linux-Kernel: Patch schließt Lücken für Denial-of-Service-Angriffe 8. HP OfficeJet und DeskJet: Sicherheitslücken erlauben Codeausführung

 

 

Prisma—————–

9. Fakeshops: Vorsicht beim Kauf von Sonnenbrillen 10. WLAN: Sichere Datenübertragung unterwegs 11. IT-Grundschutz: Online-Kurs für mehr Informationssicherheit

 

Liebe Leserinnen, liebe Leser,

 

mit dem Ende der Sommerferien kehrt für Familien der Alltag wieder ein. Die großen Urlaubsreisen sind vorbei oder neigen sich dem Ende zu. Mit der Ankunft Zuhause gilt es nicht nur, aufgelaufene Post zu sichten oder zu prüfen, ob die Grünpflanzen Ihre Abwesenheit überstanden haben. Es empfiehlt sich auch, bei Ihrer IT nach dem Rechten zu sehen. Dazu gehört es, etwaige Sicherheitseinschränkungen, etwa beim WLAN, wieder rückgängig zu machen und Updates, die in der Zwischenzeit nicht installiert werden konnten, nachzuholen. Falls Sie für Ihren Urlaub wichtige Daten und Dokumente wie Ausweise für alle Fälle auf Laptop, Smartphone oder Cloud gespeichert haben, sollten Sie diese nun wieder löschen. Lassen Sie sich bei Ihren Urlaubsnachbereitungen nicht aus der Ruhe bringen – auch nicht von einem vielleicht überlaufendem E-Mail-Fach, in dem angeblich dringende Vorgänge warten. Prüfen Sie die E-Mails in Ruhe und kritisch, denn zur Zeit setzen Cyber-Kriminelle auf eine neue Welle von Phishing-Attacken.

 

Worauf Sie sonst achten sollten und wo Updates besonders wichtig sind, erfahren Sie in unserem Newsletter.

 

Wir wünschen Ihnen eine spannende Lektüre.

 

Ihr Bürger-CERT-Team

 

 

—————————————————-

Störenfriede

 

 

1. Crestron-Schwachstelle: System zur Gebäudeautomatisierung lässt Überwachung zu

 

Wie heise.de berichtet, weisen die Produkte von Crestron Sicherheitslücken auf. Das Unternehmen stellt Steuerungs- und Automatisierungssysteme her, die in Wohnungen, Büros, Krankenhäusern oder Hotels genutzt werden. So können Fernseher, Präsentationssysteme oder Geräte digital gesteuert werden. Nun ist bekannt, dass beispielsweise die Controller aus der Serie 3 oder die zur Steuerung verwendeten Touchscreens TSW-760-B-S ab Werk bei Zugriffen über einen bestimmten Port ohne Authentifizierung verwendet werden können. Viele Anwender und Anwenderinnen ändern die Werkseinstellungen nicht. Deswegen sind mehr als 20.000 Crestron-Komponenten frei vom Internet aus zugänglich. Über die Touchscreens können Kriminelle dann beispielsweise Audio- und Videodateien abspielen oder beliebige Websites anzeigen lassen. Mittels des im Gerät enthaltenen Mikrofons und der Webcam lassen sich auch Ton- und Videoaufzeichnungen starten. Damit wird die Smart-Home-Technologie zur Wanze. Crestron stellt mittlerweile Updates zur Verfügung, die zumindest einen Teil der Sicherheitslücken schließen.

 

Im IoT-Spezial https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IoT/IoT_node.html erklärt BSI für Bürger, was Internet of Things (IoT) bedeutet, welche Anwendungen und Geräte es umfasst sowie welche Sicherheitsaspekte Bürgerinnen und Bürger beachten sollten.

 

Zur Meldung von heise.de: Gebäudeautomatisierung wird zur Wanze: Bugs in Crestron-Systemen: https://www.heise.de/newsticker/meldung/Gebaeudeautomatisierung-wird-zur-Wanze-Bugs-in-Crestron-Systemen-4133763.html

 

 

2. Phishing: Aufmerksamkeit für Kunden der Landesbank Berlin und DHL geboten

 

Unter den Namen der Landesbank Berlin (LBB) sowie DHL starten Internetkriminelle derzeit Phishing-Attacken, um Kreditkartendaten zu erbeuten oder Schadsoftware einzuschleusen. Das berichten mimikama.at und Netzwelt.de. Die Methodik ist ähnlich: Nutzerinnen und Nutzer erhalten beispielsweise E-Mails mit dem Hinweis, auf ihr Konto sei von einem nicht autorisierten PC zugegriffen worden. Angeblicher Absender ist die LBB. Es folgt die Aufforderung, auf den Button „Daten bestätigen“ zu klicken. Hier verbirgt sich ein Phishing-Link. Wer klickt, wird zunächst auf eine Website weitergeleitet, die der Optik der LBB ähnelt. Dort sollen Nutzerinnen und Nutzer ihre Kreditkartendaten samt Passwort eintragen.

 

Netzwelt.de berichtet über eine weitere Variante von Phishing-Mails unter dem Namen des Logistikunternehmens DHL. Mit Betreffzeilen wie „Ihr Paket liegt am vereinbarten Ablageort“ oder Mails über angebliche Zustellversuche suggerieren die Kriminellen, der Postbote hätte die Empfängerin oder den Empfänger nicht angetroffen. DHL warnt davor, auf in diesen Nachrichten enthaltene Links, Anhänge oder ZIP-Ordner zu klicken und Dateien herunterzuladen. Sie enthalten Phishing-Links oder Schadsoftware wie Viren und Trojaner. Die Echtheit dieser Nachrichten können Empfängerinnen und Empfänger überprüfen, indem sie eine angegebene Sendungsnummer über die offizielle DHL Sendungsverfolgung überprüfen: https://www.dhl.de/de/privatkunden/dhl-sendungsverfolgung.html. Generell sollten Nutzerinnen und Nutzer keine PDF-Dateien in E-Mails von DHL öffnen – Das Unternehmen verschickt keine PDF-Dateien. Kriminelle variieren ihre Angriffe mit unterschiedlichen Betreffzeilen, visuellen Aufmachungen und Texten.

 

Wie Sie Phishing-Mails und Phishing-Websites erkennen können, erklärt BSI für Bürger hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/phishing_node.html

 

Zur Meldung von mimikama.at: Vorsicht! Kreditkartendaten-Phishing mit gestohlenem Logo der Landesbank Berlin: https://www.mimikama.at/allgemein/kreditkartendaten-phishing-landesbank-berlin/

 

Zur Meldung von Netzwelt.de: DHL: „Ihr DHL Paket liegt am vereinbarten Ablageort“ ist Phishing: https://www.netzwelt.de/betrugswarnungen/151379-dhl–dhl-paket-liegt-vereinbarten-ablageort-phishing.html

 

 

3. WPA2-Schwachstelle: Router zuhause einfach schützen

 

Entwickler haben einen neuen Weg entdeckt, mit dem Hacker Passwörter von Routern und WLAN-Geräten relativ einfach knacken können. Dabei handelt es sich um WPA/WPA2 PSK-Passwörter – die Standardmethode bei den meisten WLAN-Routern. Das schreibt der botfrei-Blog. Noch ist nicht bekannt, welche Hersteller oder Geräte betroffen sind. Internet-Nutzerinnen und Nutzer sollten deshalb Sicherheitsmaßnahmen ergreifen. Die Schwachstelle betrifft Geräte, bei denen die Funktion Pairwise Master Key Identifiers aktiviert ist. Das betrifft wahrscheinlich alle modernen Router. Cyber-Kriminelle kommunizieren direkt mit dem Zugriffspunkt und können das Passwort auch stehlen, wenn kein Benutzer angemeldet ist. Anwenderinnen und Anwender sollten ihre WLAN-Passwörter so gut wie möglich schützen. Das beginnt schon bei der Vergabe des Passworts: Empfehlenswert ist eine Kombination aus Zahlen, Kleinbuchstaben, Großbuchstaben und Sonderzeichen. Je komplexer das Passwort, umso länger benötigt ein Angreifer bei dieser Art des Angriffs zur Erlangung desselben. Weitere Tipps zur WLAN-Sicherung, wie die Vergabe eines eigenen Netzwerknamens oder die sichere Konfiguration des Zugriffspunktes, gibt BSI für Bürger an dieser Stelle: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungWLAN-LAN/WLAN/Sicherheitstipps/sicherheitstipps_node.html

 

Zur Meldung von botfrei.de: Maßnahmen erforderlich – Fehler im WPA2 gefährdet Router und WLANS: https://blog.botfrei.de/2018/08/massnahmen-erforderlich-fehler-in-wpa2-gefaehrdet-router-und-wlans/

 

 

4. Chat-Manipulation: Gruppenchats in WhatsApp lassen Verfälschung zu

 

Sicherheitsforscher haben Spiegel Online zufolge eine Schwachstelle bei der Chat-Plattform WhatsApp entdeckt, die drei Arten von Manipulationen zulässt: Hacker können via Zitatfunktion bereits gesendete Nachrichten verändern, Nachrichten unter anderen Namen veröffentlichen oder einen als Gruppennachricht getarnten Text an eine einzelne Person schicken. Die Antwort darauf sei dann trotzdem für alle Gruppenmitglieder sichtbar. Die Schwachstelle befindet sich in der Kommunikation zwischen der Desktop- und der Android-Version von WhatsApp. Gruppenmitglieder sollten Nachrichten aufmerksam lesen, dann lassen sich Dopplungen oder gruppenfremde Personen unter Umständen erkennen. WhatsApp selbst sehe keinen Handlungsbedarf und werde kein Update zur Verfügung stellen. Das Unternehmen habe verschiedene Maßnahmen gegen solche Arten von Falschinformationen getroffen, so ein Sprecher. Zudem sperre es Konten, die versuchten, WhatsApp für die Verbreitung von Spam zu verändern. Aus manipulierbaren Chatverläufen ergeben sich verschiedene Gefahren – von der Verbreitung von Fake News bis hin zu Mobbing. Umso wichtiger ist es für Nutzerinnen und Nutzer, zu wissen, wie sie sich gegen Cyber-Mobbing schützen können. Tipps dazu und Informationen, wo Opfer Hilfe finden, bietet BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Mobbing/mobbing.html

 

Zur Meldung von spiegel.de: Manipulation im Messenger: So können WhatsApp-Chats verfälscht werden: http://www.spiegel.de/netzwelt/apps/whatsapp-so-koennen-whatsapp-chats-verfaelscht-werden-a-1221906.html

 

 

—————————————————-

Schutzmaßnahmen

 

 

5. Thunderbird: Update auf neue Version empfohlen

 

Wer den E-Mail-Dienst Thunderbird nutzt, sollte auf Version 60 umsteigen. Im Update enthalten ist nicht nur ein verbessertes Anhang-Management und eine erweiterte Kalender-Funktion: Die neue Version schließt insgesamt 15 Sicherheitslücken. Unter Thunderbird-Entwicklern gelten fünf davon als kritisch. Angreifer können über sie Programmabstürze verursachen oder willkürlichen Code ausführen. Mozilla Thunderbird 60 steht auf https://www.thunderbird.net/en-US/thunderbird/all/ zum Download bereit. Das Update erhöht die Sicherheit von Nutzerinnen und Nutzern bei der Kommunikation mit E-Mails. Welche Arten unerwünschter E-Mails im Netz kursieren und was für Folgen sie haben können, hat BSI für Bürger aufgelistet: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/spamPhishingCo_node.html

 

Zur Meldung von heise.de: Manueller Umstieg nötig: Mozilla Thunderbird 60 mit wichtigen Sicherheitsupdates: https://www.heise.de/security/meldung/Manueller-Umstieg-noetig-Mozilla-Thunderbird-60-mit-wichtigen-Security-Updates-4131114.html

 

 

6. Android: Sicherheitsupdates schließen Schwachstellen

 

Google schließt mit Sicherheitsupdates mehrere Schwachstellen. Betroffen sind Smartphones mit dem Betriebssystem Android ab Version 6 bis Version 8.1 sowie die Geräte Google Pixel und Google Nexus. Angreifer können durch die Schwachstellen beliebigen Programmcode mit erhöhten Rechten ausführen. So können sie sich Privilegien erhöhen, Zugriff auf Daten erhalten oder einen Denial-of-Service Zustand auslösen. Das BürgerCERT empfiehlt im entsprechenden Sicherheitshinweis die zeitnahe Installation der Sicherheitsupdates, um die Schwachstellen zu schließen: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/08/warnmeldung_tw-t18-0111.html

 

 

7. Linux-Kernel: Patch schließt Lücken für Denial-of-Service-Angriffe

 

Der Linux-Kernel weist eine Sicherheitslücke auf, über die für Cyber-Kriminelle Denial-of-Service-Angriffe möglich sind. Über die Schwachstelle lässt sich das System zu rechenintensiven Funktionen zwingen, die es letztlich lahmlegen. Das berichtet heise.de. Betroffen sind die Kernel-Versionen ab 4.9, möglicherweise auch ältere Versionen. Da der Fehler im Kernel steckt, betrifft er alle Distributionen, darunter SUSE, Debian und Ubuntu. Linux-Nutzer sollten ihre Systeme deshalb sobald wie möglich updaten.

 

Zur Meldung von heise.de: Jetzt patchen: Linux-Kernel anfällig für Denial-of-Service-Angriffe: https://www.heise.de/security/meldung/Jetzt-patchen-Linux-Kernel-anfaellig-fuer-Denial-of-Service-Angriffe-4130697.html

 

 

8. HP OfficeJet und DeskJet: Sicherheitslücken erlauben Codeausführung

 

Updates für die Drucker-Produktreihen HP OfficeJet und DeskJet von Hewlett Packard schließen Schwachstellen, durch die Angreifer beliebigen Programmcode ausführen können. Die Sicherheitslücke lässt sich sogar darüber nutzen, dass die Fax-Funktion des All-in-One-Geräts des Opfers angesprochen wird. Dazu reicht die Faxnummer aus. Das Bürger-CERT empfiehlt, die Sicherheitsupdates des Herstellers zeitnah zu installieren. Details finden Sie im zugehörigen Sicherheitshinweis https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/08/warnmeldung_tw-t18-0112.html.

 

 

—————————————————-

Prisma

 

 

9. Fakeshops: Vorsicht beim Kauf von Sonnenbrillen

 

Betrüger nutzen das Sommerwetter und die Beliebtheit der Sonnenbrillenmarke Ray-Ban, um mit gefälschten Online-Shops Verbraucherinnen und Verbraucher zu täuschen, wie onlinewarnungen.de berichtet. Doch auch für andere Produkte bedienen sich Betrüger dieser Masche: Online-Fakeshops bieten Waren zu vermeintlichen Schnäppchenpreisen an. Bestellen Kundinnen und Kunden hier, geben sie ihre Zahlungsdaten in fremde Hände und der Betrag wird abgebucht, manchmal ist er sogar höher als angekündigt. Jedoch erhalten sie nie die Ware. Auch die eingegebenen Adressdaten verkaufen Fakeshops mitunter weiter. Wer sich schützen will, findet auf onlinewarnungen.de eine Liste bekannter Fakeshops.

Welche Sicherheitsregeln – etwa zu Bezahlung oder Gütesiegeln – beim Einkauf im Internet zu beachten sind, hat BSI für Bürger zusammengestellt: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/EinkaufenImInternet/einkaufen.html

 

Zur Meldung von onlinewarnungen.de: Warnung vor Onlineshops: Hier sollten Sie keine Ray-Ban-Brillen kaufen: https://www.onlinewarnungen.de/warnungsticker/warnung-vor-onlineshops-hier-sollten-sie-keine-ray-ban-brillen-kaufen/

 

 

10. WLAN: Sichere Datenübertragung unterwegs

 

Ob am See, im Schwimmbad oder im Urlaub an der Strandbar: Viele Menschen haben ihr Smartphone im Sommer meist dabei. Oft wählen sie sich dann über öffentliche WLAN-Verbindungen ins Internet ein. Das ist praktisch – birgt aber Risiken. Denn oft werden die Daten unverschlüsselt übertragen. Ein leichtes Einfallstor für Cyber-Kriminelle, die auf diese Weise Daten abgreifen oder Schadsoftware ins Gerät schleusen können. Damit Anwenderinnen und Anwender auch mobil sicher surfen, hat BSI für Bürger folgende Empfehlungen zusammengestellt: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/WLANs_unterwegs_sicher_nutzen.html

 

 

11. IT-Grundschutz: Online-Kurs für mehr Informationssicherheit

 

Sie wollen mehr darüber wissen, wie Informationssicherheit funktioniert und welche Grundlagen für die Sicherheit von Systemen zu beachten sind? Dann könnte der Online-Kurs IT-Grundschutz das Richtige für Sie sein. In neun Lektionen vermittelt er die IT-Grundschutz-Methodik, ihre Ziele und ihre Bestandteile. Er basiert auf dem IT-Grundschutz-Kompendium und den BSI-Standards 200-1, -2 und -3. Besonders empfehlenswert ist das Lernangebot für neue Anwenderinnen und Anwender aus Wirtschaft und Verwaltung. Er ist aber ebenso für Studierende und andere Interessierte geeignet. Ein zweiter Kurs dient der Vertiefung und behandelt die wichtigsten Aspekte des Notfallmanagements. Mehr Informationen zum Angebot stellt das BSI auf seiner Webseite zur Verfügung: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzSchulung/itgrundschutzschulung_node.html

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

SICHER • INFORMIERT vom 02.08.2018

Ausgabe: 16/2018

Inhalt

 

Störenfriede—————–

1. Malware: Massiver Anstieg gefälschter Rechnungen per E-Mail 2. Trojaner: macOS-Schadcode verbirgt sich hinter gefälschter Software 3. Identitätsdiebstahl: Vorsicht vor Videochats bei Bewerbungen 4. Support-Betrug: Alte Scam-Masche wieder verbreitet

 

 

Schutzmaßnahmen—————–

5. Chrome: Mehrere Schwachstellen geschlossen 6. Bluetooth: Sicherheitsvorkehrungen umgehbar 7. VMware: Informationen können ausgespäht werden

 

 

Prisma—————–

8. ECSM 2018: Anmeldung für die Aktionstage gestartet 9. Quiz: Urlaub, aber sicher 10. Social Engineering: Wenn der Mensch die Schwachstelle ist

 

Liebe Leserin, lieber Leser,

 

Verantwortungsbewusstsein, Respekt und Hilfsbereitschaft zählen zu den Eigenschaften, die jeder Vorgesetzte an seinen Mitarbeitern und Mitarbeiterinnen schätzt. Mit Social Engineering nutzen Cyber-Kriminelle aber genau diese positiven Charakterzüge aus, um Menschen zu manipulieren. Beim CEO-Fraud etwa imitieren sie E-Mails aus der Chefetage, um Banküberweisungen zu erzwingen oder vertrauliche Informationen preiszugeben. Eine Befragung des BSI von Arbeitnehmern und Arbeitnehmerinnen ergab, dass jeder sechste Mitarbeiter auf eine gefälschte E-Mail vom Chef antworten oder enthaltene Aufträge erfüllen würde. 42 Prozent der Befragten gaben an, sich selbst nicht aktiv über Schutzmaßnahmen zu informieren. Es besteht also dringender Handlungsbedarf von Unternehmensseite, aber auch von der Arbeitnehmerseite, sich aktiv mit IT-Sicherheit am Arbeitsplatz auseinanderzusetzen.

 

Internetkriminelle nutzen die Schwachstelle Mensch auf unterschiedlichsten Wegen – auch im privaten Bereich – geschickt aus, um an ihre Beute wie sensible Datensätze sowie hohe Geldsummen zu kommen. Mit welchen Maschen sie derzeit häufig auftreten, und wie Sie sich schützen können, lesen Sie in unserem aktuellen Newsletter.

 

Wir wünschen Ihnen eine spannende Lektüre.

 

Ihr Bürger-CERT-Team

 

 

—————————————————-

Störenfriede

 

 

1. Malware: Massiver Anstieg gefälschter Rechnungen per E-Mail

 

Laut Ratgeber Internetkriminalität der Polizei Niedersachsen gibt es einen massiven Anstieg von gefälschten Rechnungen, die per E-Mail im Umlauf sind. Die Vorgehensweise ist seit Jahren die gleiche: Die Empfänger und Empfängerinnen werden persönlich mit dem Namen angesprochen. Es folgt die Behauptung, dass eine Rechnung nicht korrekt verbucht worden sei, dann die Drohung, bei Nichtzahlung Rechtswege einzuleiten. Die Betrüger schreiben, in einem der E-Mail angehängten ZIP-Ordner sei die komplette Kostenaufstellung enthalten. In Wahrheit enthält diese Datei aber Schadsoftware, die in der Regel auf Windowsnutzer ausgelegt ist. Trotzdem sollte man – unabhängig vom verwendeten Betriebssystem – diese E-Mails grundsätzlich nicht öffnen, zumal verschiedene Varianten der Nachricht im Umlauf sind. Auch gängige Antivirussoftware bietet keinen vollständigen Schutz. Wie Betrugsopfer einen Virus erkennen und ihren Rechner wieder bereinigen können, hat das BSI hier https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Infektionsbeseitigung/Infektionsbeseitigung.html zusammengestellt.

 

Zur Meldung von Ratgeber Internetkriminalität der Polizei Niedersachsen: Massive Welle von gefälschten Rechnungen: https://www.polizei-praevention.de/aktuelles/massive-welle-von-gefaelschten-rechnungen.html

 

 

2. Trojaner: macOS-Schadcode verbirgt sich hinter gefälschter Software

 

Wie heise.de berichtet, ist aktuell wieder eine Variante eines zwei Jahre alten Mac-Trojaners im Umlauf. Die Malware namens Calisto verbreitet sich in Form manipulierter Software-Produkte. Die Schadsoftware könnte eine Vorgängerversion des Trojaners Proton sein, der im vergangenen Jahr sogar in Apps bekannter Hersteller vordringen konnte. Die Malware zieht Daten, wie sie auf dem macOS-Schlüsselbund liegen, mitsamt Passwörtern und Token. Sie greift zudem die Historie, Bookmarks sowie Cookies aus dem Browser Google Chrome ab und verschafft sich Informationen zu den Netzwerkverbindungen. Nutzerinnen und Nutzer sollten deswegen die in macOS verbauten Sicherheitstechnologien, wie etwa die System Integrity Protection (SIP), immer aktiviert halten, damit zumindest einige der Malware-Funktionen blockiert werden. Weshalb Trojaner eine besonders tückische Schadprogramm-Art sind, wird auf der BSI für Bürger Themenseite „Trojanische Pferde“ erläutert: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Schadprogramme/TrojanischePferde/trojanischepferde_node.html

 

Zur Meldung von heise.de: Zwei Jahre alter Mac-Trojaner kursiert wieder: https://www.heise.de/mac-and-i/meldung/Zwei-Jahre-alter-Mac-Trojaner-kursiert-wieder-4120597.html

 

 

3. Identitätsdiebstahl: Vorsicht vor Videochats bei Bewerbungen

 

Wer sich gerade nach einer neuen Stelle umsieht, sollte bei Online-Bewerbungen vorsichtig sein – denn Identitätsdiebe nutzen derzeit den Mechanismus des Video-Ident-Verfahrens für ihre Zwecke aus. Wie die Polizei Niedersachsen in ihrem Ratgeber Internetkriminalität warnt, schalten Internetkriminelle gefälschte Stellenausschreibungen in bekannten Portalen, oft unter dem Namen großer und bekannter Firmen. Wer sich bewirbt, den fordern die Täter dazu auf, sensible Daten wie ein Foto des Personalausweises, sowie auch die Bankdaten zu übermitteln. Um den Betrug möglichst glaubwürdig aussehen zu lassen, leiten die Betrüger oft auf die Originalwebsite des Unternehmens weiter und treten mit passender E-Mail-Adresse auf. Im nächsten Schritt fordern sie den Bewerbenden zu einem Video-Ident-Verfahren vor dem Rechner auf – unter dem Vorwand, es ersetze das Vorstellungsgespräch. Auf diese Weise können die Kriminellen ein Konto im Namen des Opfers einrichten, ohne dass es dem Bewerbenden klar ist. Deswegen empfiehlt es sich immer, die Art und Fülle geforderter Informationen kritisch zu überprüfen. Wie es zu einem Identitätsdiebstahl kommen kann und welche Folgen dieser für Opfer hat, erklärt Ihnen BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/ID-Diebstahl/id-diebstahl_node.html

 

Zur Meldung der Polizei Niedersachsen im Ratgeber Internetkriminalität: Vorsicht bei Online-Jobsuche mit Video-Ident-Verfahren: https://www.polizei-praevention.de/aktuelles/vorsicht-bei-online-jobsuche-mit-video-ident-verfahren.html

 

 

4. Support-Betrug: Alte Scam-Masche wieder verbreitet

 

Die Verbraucherzentrale rät zur Vorsicht bei Anrufen von angeblichen Microsoft-Mitarbeiter oder Mitarbeiterinnen. Diese behaupten, der Rechner sei von Viren befallen und bieten an, den Schaden zu beheben. Laut eigenen Angaben bietet Microsoft jedoch Support nie unaufgefordert an. Auch treten immer wieder gefälschte Warnhinweise im Netz auf, mit der Aufforderung, sich an den angeblichen telefonischen Microsoft-Support zu wenden. Erfolgt ein Anruf seitens der Anwenderinnen oder Anwender, werden diese durch den Betrüger dazu verleitet, angebliche Hilfsprogramme zu installieren. Diese enthalten dann einen Trojaner oder andere Malware. So können die Angreifer mit Hilfe des Opfers selbst, Zugriff auf persönliche Informationen, wie etwa Bankdaten, erhalten. Andere Malware-Varianten verschlüsseln alle Daten auf dem Computer und fordern vom Opfer Lösegeld für die Entschlüsselung. Die Masche ist unter dem Namen „Tech Support Scam“ bekannt. Betrugsopfer sollten umgehend das betroffene Gerät vom Internet trennen, die Infektion beseitigen und vorhandene Backups einspielen. Wenn das Geräte wieder sauber ist sollten alle Passwörter geändert werden. Generell sollten Sie niemals private Daten an Unbekannte herausgeben oder unbekannte Software auf Geräten installieren.

 

Microsoft selbst bietet Unterstützung für Betroffene unter https://answers.microsoft.com/de-de/windows/forum/windows_7-ecoms/betrugsversuch-angeblicher-anruf-vom-microsoft/f542c80c-5455-4b18-bc70-24fac870f1a9?auth=1 sowie ein Formular zum Melden der Betrugsfälle an https://www.microsoft.com/de-DE/reportascam/

 

Hilfe zur Infektionsbeseitigung: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Infektionsbeseitigung/InfektionsbeseitigungPC/infektionsbeseitigung_PC_node.html

 

Zur Meldung von verbraucherzentrale.de: Warnung: Abzocke durch angebliche Microsoft-Mitarbeiter: https://www.verbraucherzentrale.de/aktuelle-meldungen/digitale-welt/warnung-abzocke-durch-angebliche-microsoftmitarbeiter-24641

 

 

—————————————————-

Schutzmaßnahmen

 

 

5. Chrome: Mehrere Schwachstellen geschlossen

 

Wer Google Chrome als Browser benutzt, sollte zeitnah die vom Hersteller bereitgestellten Sicherheitsupdates installieren. Schwachstellen ermöglichen, dass Angreifer Informationen einsehen, Sicherheitsmechanismen umgehen, Daten manipulieren, einen Denial of Service herbeiführen oder Code mit den Rechten der Opfer ausführen können. Betroffen sind die Systeme vor Version 68.0.3440.75. Darüber informiert das Bürger-CERT im Sicherheitshinweis: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0110.html

 

 

6. Bluetooth: Sicherheitsvorkehrungen umgehbar

 

Angreifer können bei der Bluetooth-Implementierung verschiedener Hersteller Sicherheitsvorkehrungen umgehen. Betroffen sind die WLAN-Netzwerkkarte Broadcom Wireless Network Controller, das Apple-Betriebssystem Apple Mac OS sowie Intel Desktop Board Products BIOS, das mit Intel Motherboards ausgeliefert wird. Weitere Informationen gibt das Bürger-CERT hier: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0108html.

 

 

7. VMware: Informationen können ausgespäht werden

 

Schwachstellen bei den Produkten von VMware, einem US-amerikanischen Unternehmen, das unter anderem Cloud-Infrastrukturen zur Verfügung stellt, erlauben, dass Angreifer Zugang zu sensiblen Informationen erhalten sowie einen Denial of Service durchführen können. Betroffen sind die Systeme VMware ESXi, Version 5.5, 6.0, 6.5 und Version 6.7 sowie die VMware Workstation, vor Version 14.1.2. sowie WMware Fusion. Details hat das Bürger-CERT zusammengestellt: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0106.html

 

 

—————————————————-

Prisma

 

 

8. ECSM 2018: Anmeldung für die Aktionstage gestartet

 

Jedes Jahr im Oktober findet der European Cyber Security Month (ECSM) statt. Seit 2012 sensibilisiert die Initiative zum verantwortungsbewussten Umgang im Cyber-Raum. Die Mitgliedsstaaten der Europäischen Union bieten während des Aktionsmonats verschiedene Veranstaltungen und Informationen zu Cyber-Sicherheit an. In Deutschland übernimmt das BSI die Koordination. Themen sind in diesem Jahr unter anderem IT-Basisschutz, digitales Leben, Schutz vor Online-Betrug sowie Sicherheit im Umgang mit IoT und smarten Geräten. Interessenten können sich auf der Seite nach Aktionen für Anwender und Anwenderinnen umschauen und sich anmelden. Organisationen, Unternehmen sowie Institute sind eingeladen, eigene Angebote auf der Seite des BSI einzustellen. Informationen zu Anmeldung finden Sie auf der BSI-Website zum ECSM: https://www.bsi.bund.de/ecsm

 

 

9. Quiz: Urlaub, aber sicher

 

Für die meisten Reisenden gehört das Smartphone heute ganz selbstverständlich mit ins Reisegepäck. Viele wollen ihre schönsten Erinnerungen in sozialen Netzwerken teilen, mit Freunden und Familie zuhause in Kontakt bleiben oder sicher per GPS durchs Urlaubsland navigieren. Das ist sehr praktisch, aber auch mit Sicherheitsrisiken verbunden. Da es sich spielerisch am besten lernt, lädt BSI für Bürger Sie zum Quiz „Auf in den Urlaub, aber sicher!“ ein: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Checklisten/Quiz_Urlaub/quiz_urlaub_node.html

 

 

10. Social Engineering: Wenn der Mensch die Schwachstelle ist

 

Ein großes IT-Sicherheitsrisiko für Unternehmen ist neben Schadprogrammen und Hackerangriffen auch der Mensch, der den Computer, Laptop oder das Smartphone in seiner täglichen Arbeit nutzt. Unter dem Namen „Social Engineering“ werden speziell solche Manipulationsversuche bezeichnet, die es darauf abgesehen haben, vertrauliche Informationen von Mitarbeitern und Mitarbeiterinnen im Unternehmen zu erschleichen. Menschliche Charakterzüge wie Hilfsbereitschaft, Respekt vor Autoritäten oder Vertrauen werden dabei ausgenutzt, um sensible Unternehmensdaten zu stehlen oder Banküberweisungen zu tätigen. Beim sogenannten „CEO-Fraud“ geben sich Täter meist in einer E-Mail als Geschäftsführer oder Vorstand aus und bitten um die schnellstmögliche Überweisung eines Geldbeitrags. Oft gelingt ihnen eine nahezu perfekte Täuschung, da sie zuvor Ansprechpartner, Gepflogenheiten und Zuständigkeiten per Social Engineering ausgespäht haben. Wie Sie sich vor Social Engineering schützen können, erfahren Sie im neuen Fachbereich auf BSI für Bürger. An gleicher Stelle erklärt ein BSI-Experte in der Videoreihe „IT-Sicherheit verständlich erklärt“ die Risiken für Privatpersonen und Unternehmen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Social_Engineering.html

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

SICHER • INFORMIERT vom 19.07.2018

Ausgabe: 15/2018

Inhalt

 

Störenfriede—————–

1. Digitale Erpressung: Persönliche Ansprache soll Opfer zur Zahlung bewegen
2. Daten-Leak: Kunden von Hosting-Dienst betroffen
3. Online-Betrug: Gefälschte Hilferufe aus dem Urlaub

 

 

Schutzmaßnahmen—————–

4. Oracle Java SE: Wichtige Sicherheitsupdates verfügbar
5. CUPS: Updates stehen bereit
6. Microsoft: Patchday im Juli
7. VLC: Schwachstelle ermöglicht Ausführen von Programmcode
8. Adobe: Sicherheitslücken in verschiedenen Lösungen geschlossen
9. Apple: Neue Versionen für Betriebssysteme und Browser verfügbar

 

 

Prisma—————–

10. Gaming: Ein Archiv für alle Spiele
11. IT-Sicherheit am Arbeitsplatz: Sicher in die Ausbildung starten
12. App-Sicherheit: Fitness auf Kosten der Datensicherheit

 

Liebe Leserin, lieber Leser,

 

Passwörter auf Post-its zu kritzeln, das sollte man schon im Privatleben besser sein lassen. Wer aber im Berufsleben auf die kleinen, gelben Erinnerungsstützen setzt, bringt nicht nur das Unternehmen, sondern auch sich selbst in eine brenzlige Situation. Schließlich macht derjenige oder diejenige so sensible Unternehmensdaten für jeden zugänglich. Dieses immer noch sehr weit verbreitete Beispiel stellt nur die Spitze des Eisbergs an potenziellen Schwachstellen in der IT-Sicherheit am Arbeitsplatz dar. Gerade zum Start des neuen Ausbildungsjahres ist es wichtig, die jungen neuen Mitarbeiterinnen und Mitarbeiter an einen sicheren Umgang mit der Arbeitsplatz-IT zu gewöhnen.

 

BSI für Bürger hat daher eine Checkliste für Azubis zusammengestellt. Aber auch erfahrene Arbeitnehmer und Arbeitnehmerinnen können sich an der Liste gut orientieren und ihr Wissen nochmals prüfen. In einer neuen Folge der Podcast-Reihe „Ins Internet – mit Sicherheit“ erklären zwei BSI-Experten, warum IT-Security am Arbeitsplatz so entscheidend ist.

 

IT-Sicherheit ist ein Thema, das jeder am besten bereits in seinem eigenen digitalen Alltag lebt. Wie gewohnt geben wir Ihnen in dieser Ausgabe des Newsletters dafür wieder Tipps an die Hand.

 

Wir wünschen Ihnen eine spannende Lektüre.

 

Ihr Bürger-CERT-Team

 

 

—————————————————-

Störenfriede

 

 

1. Digitale Erpressung: Persönliche Ansprache soll Opfer zur Zahlung bewegen

 

In den vergangenen Monaten häuften sich die Fälle einer speziellen Form von Erpresser-E-Mails: Internetkriminelle behaupteten, die Empfänger beim Besuch pornografischer Seiten gefilmt zu haben. Einzig die Zahlung von Lösegeld mit Bitcoins würde verhindern, dass diese Informationen an die Öffentlichkeit gelangen, so die Erpresserschreiben. Laut Ratgeber Internetkriminalität der Polizei Niedersachen bedienen sich die Betrüger jetzt einer abgewandelten Methode: Sie sprechen ihre Opfer mit deren Namen an, um den Druck auf die Adressaten zu erhöhen. Auch seien E-Mails aufgetaucht, die ein Passwort der Opfer angeben. Die Passwörter stammen offenbar aus früheren Hacker-Angriffen. Nutzen Betroffene dieses Passwort, sollten sie auf jeden Fall die Zugangsdaten zu den jeweiligen Online-Kontenändern.

 

Welche Qualitätskriterien ein sicheres Passwort erfüllen sollte, erklärt BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html

 

Zur Meldung der Polizei Niedersachen: Neue Welle von Erpressungsmails nach angeblichem Pornokonsum: https://www.polizei-praevention.de/aktuelles/neue-welle-von-erpressungsmails-nach-angeblichem-pornokonsum.html

 

 

2. Daten-Leak: Kunden von Hosting-Dienst betroffen

 

Internetbetrüger haben die Systeme des Hosting-Dienstes Domainfactory gehackt und sich Zugang zu Kundendaten verschafft. Das berichtet heise.de. Laut Anbieter seien nun alle bekannten Sicherheitslecks geschlossen. Explizit haben sich die Täter Zugang zu Informationen wie Vor- und Nachname, Firmennamen, E-Mail-Adressen, Anschrift, Geburtsdatum, Telefonnummer, Telefonpasswort sowie Kontoverbindungsdaten und dem Schufa-Score verschafft. Die Passwörter für das Kundenkonto gelten ebenfalls als betroffen. Domainfactory empfiehlt Nutzerinnen und Nutzern, sofort alle Passwörter für die Plattform sowie die mit dem Dienst verbundenen Konten zu ändern. Alle Bewegungen auf dem Konto sollten zudem im Blick behalten werden. Bei Verdacht auf einen Betrugsversuch, sollte bei der Polizei eine Strafanzeige aufgegeben werden. Es ist nicht auszuschließen, dass die Angreifer nun außerdem die Kontrolle über die Server und Webpräsenzen der Domainfactory-Kunden haben. Kundinnen und Kunden sollten deshalb ihre gehosteten Seiten auf Schadcode prüfen.

 

Oftmals ziehen Datenlecks eine erhöhte Anzahl an Spam-E-Mails nach sich. Wie man sich dagegen schützen kann und was im Schadensfall zu tun ist, hat BSI für Bürger zusammengefasst: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Spam/Hilfe_fuer_Betroffene/hilfe.html

 

Zur Meldung von heise.de: Nach Kundendaten-Hack: Was Domainfactory-Kunden jetzt tun können: https://www.heise.de/newsticker/meldung/Nach-Kundendaten-Hack-Was-Domainfactory-Kunden-jetzt-tun-koennen-4108830.html

 

 

3. Online-Betrug: Gefälschte Hilferufe aus dem Urlaub

 

Passend zur Ferienzeit häufen sich zurzeit Betrugsfälle mit angeblichen Hilferufen aus dem Urlaub – informiert mimikama.at. Die Empfänger und Empfängerinnen erhalten E-Mails oder Facebook-Nachrichten von echt scheinenden Bekannten, die sich angeblich im Ausland befinden und dringend Hilfe benötigen. Meist enthält der Text eine Zahlungsaufforderung via Western Union. Wer hier überweist, verliert sein Geld. Damit das nicht passiert, gilt es, ein paar einfache Regeln zu beachten: Die Schreiben sind in der Regel fehlerhaft formuliert und sprechen die Adressaten nicht direkt an. Oft beginnt der Text mit einem einfachen „Hallo,“. Wer solche Nachrichten erhält, sollte im ersten Schritt die Bekannten darüber informieren, dass ihr E-Mail- oder Social-Media-Konto womöglich gehackt wurde. Zahlungsaufforderungen sollte man grundsätzlich mit Argwohn begegnen und sich überlegen, wie realistisch es ist, von Freunden auf diese Weise angesprochen zu werden. Beim Surfen genauso kritisch und vernünftig zu handeln wie im echten Leben – dazu rät BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Menschenverstand/menschenverstand.html

 

Zur Meldung von mimikama.at: Watchlist Internet warnt vor betrügerischen Urlaubsnachrichten: https://www.mimikama.at/allgemein/urlaubsnachrichten-betrug/

 

 

—————————————————-

Schutzmaßnahmen

 

 

4. Oracle Java SE: Wichtige Sicherheitsupdates verfügbar

 

Für die Java Platform (Standard Edition) von Oracle hat der Hersteller Sicherheitsupdates zur Behebung von vorhandenen Schwachstellen bereitgestellt. Das BSI empfiehlt die zeitnahe Installation der Updates, um das System gegen mögliche Angriffe zu schützen. Mehr dazu findet sich im Bürger-CERT Warnhinweis: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0105.html

 

 

5. CUPS: Updates stehen bereit

 

Anwenderinnen und Anwender des Apple Mac OS X-Betriebssystems sollten verfügbare Sicherheitsupdates jetzt durchführen. Angreifer können andernfalls mehrere Schwachstellen im Common Unix Printing System (CUPS) – Apples Drucksystem – ausnutzen, um Programmcodes auszuführen und die Rechte der Anwendung zu erweitern. Darüber informiert das Bürger-CERT im Sicherheitshinweis: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0104.html

 

 

6. Microsoft: Patchday im Juli

 

Am Patchday schließt Microsoft einmal pro Monat verschiedene Sicherheitslücken. Die bereit gestellten Updates für den Juli sollten Microsoft-Nutzende so bald wie möglich herunterladen. Angreifer können andernfalls bei den Windows-Versionen 7, 8.1, 10 und RT sowie den Server-Diensten 2008 R2 einen Denial of Service-Angriff durchführen, um erweiterte Rechte zu erlangen und Sicherheitsmechanismen zu umgehen. Sicherheitslecks bei Internet Explorer 9 bis 11 lässt zu, dass Täter Programmcodes mit Benutzerrechten durchführen und Sicherheitsmechanismen umgehen können, während Windows Mail in der Version 8.1. ein Einfallstor für Datendiebstähle aufweist. Schwachstellen bei Excel Viewer, Office, Office Compatibility Pack, Office Mac 2016, Powerpoint Viewer, Share Point Server 2013, Word und Word Viewer eröffnen Angreifern die Möglichkeit, Programmcodes mit Benutzerrechten auszuführen, Rechte zu erweitern oder Sicherheitsrestriktionen zu umgehen. Eine ähnliche Problemlage findet sich beim Browser Microsoft Edge: Hier können Kriminelle Programmcode mit Benutzerrechten ausführen, Informationen offenlegen, Sicherheitsmechanismen umgehen und den Benutzer und Benutzerinnen täuschen. Das Bürger-CERT rät zu dazu, sobald wie möglich auf die neuesten Versionen upzudaten. Weitere Informationen und einen Leitfaden von Microsoft zu den einzelnen Updates stellt das Bürger-CERT hier bereit:

Microsoft Windows: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0100.html

Microsoft Internet Explorer: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0097.html

Microsoft Windows Mail: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0098.html

Microsoft Office: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0101.html

Microsoft Edge: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0099.html

 

 

7. VLC: Schwachstelle ermöglicht Ausführen von Programmcode

 

Nutzerinnen und Nutzer von VLC sollten das neueste Update des Multimedia-Players installieren. Über eine Sicherheitslücke können Cyber-Kriminelle andernfalls Programmcodes mit Nutzerrechten ausführen. Betroffen ist die Version Open Source VLC bis einschließlich 2.2.8. Weitere Infos zu diesem Warnhinweis gibt das Bürger-CERT hier: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0102.html

 

 

8. Adobe: Sicherheitslücken in verschiedenen Lösungen geschlossen

 

Adobe schließt Schwachstellen in Adobe Acrobat DC. Betroffen sind die Versionen 2015 bis 2018, über die Hacker Programmcodes mit Benutzerrechten ausführen, Informationen offenlegen oder Sicherheitsrestriktionen umgehen können. Weitere Schwachstellen identifizierte das Unternehmen im Flash Player. Den Download-Link finden Sie im jeweiligen Warnhinweis des Büger-CERT:

Adobe Acrobat DC: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0103.html

Adobe Flash Player: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0096.html

 

 

9. Apple: Neue Versionen für Betriebssysteme und Browser verfügbar

 

Mit verschiedenen Updates geht Apple Security-Themen beim Browser Safari, dem mobilen Betriebssystem iOS sowie dem Mac Betriebssystem Mac OS X an. Bei Safari sind die Versionen vor 11.1.2 betroffen, in denen Angreifer durch die Schwachstellen einen beliebigen Programmcode mit Benutzerrechten ausführen, Daten manipulieren, vertrauliche Informationen einsehen oder einen Denial of Service Angriff durchführen könnten. Zudem schließt Appel die Schwachstellen für die in iPhone, iPad und iPod Touch verbauten System iOS Version 11.4.1 und der Versionen darunter: Dort könnten Täter beliebigen Code zur Ausführung bringen, Privilegien erhöhen, Sicherheitsvorkehrungen umgehen, Daten offenlegen, dem Benutzer und Benutzerinnen falsche Informationen darstellen oder einen Denial of Service verursachen. Apple Macs mit einem Betriebssystem vor Version 10.13.6 sollten ebenfalls upgedatet werden, andernfalls könnten Codes mit Systemprivilegien ausgeführt, vertrauliche Daten eingesehen, Sicherheitsmechanismen umgangen oder ein Denial-of-Service-Angriff durchgeführt werden. Die kompletten Warnhinweise und Risikoszenarien zu den einzelnen Updates und Produkten hat das Bürger-CERT aufgelistet:

Apple Safari: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0093.html

Apple iOS: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0094.html

Apple Mac OS: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0095.html

 

 

—————————————————-

Prisma

 

 

10. Gaming: Ein Archiv für alle Spiele

 

Mit der „Internationalen Computerspielesammlung“ soll das größte öffentliche Game-Archiv entstehen. Im Auftrag der Stiftung Digitale Spielkultur wird eine Datenbank mit insgesamt rund 60.000 Videospielen zusammengestellt, wie Spiegel Online schreibt. Die Datenbank soll bis voraussichtlich Ende März nächsten Jahres die Games-Archiv von mehreren Institutionen bündeln und übersichtlich darstellen. Geplant ist nicht nur ein virtueller Raum, sondern mit einem „House of Games““ auch ein ganz realer Ort, an dem Organisationen und Institutionen aus der Szene zusammenkommen. Die Sammlung will lückenlos alle Spiele listen, die seit 1994 auf den Markt kamen. Das Projekt kommt gerade richtig zur Gamescom: Denn schon bald wird, vom 22. bis 25. August 2018, die Messe für digitale Spielekultur in Köln wieder ihre Tore öffnen.

 

Videospiele laufen heute über Online-Anwendungen. Insofern sollten Gamer sich einige Sicherheitsfragen zum sicheren Umgang mit Spielen stellen: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/Computerspiele/Sicherheitsfragen/sicherheitsfragen_node.html

 

Zu Meldung von Spiegel Online: Der Traum von 60.000 Games unter einem Dach: http://www.spiegel.de/netzwelt/games/internationale-computerspielsammlung-unsere-vision-ist-ein-house-of-games-a-1217074.html

 

 

11. IT-Sicherheit am Arbeitsplatz: Sicher in die Ausbildung starten

 

In den nächsten Monaten treten Hunderttausende von Auszubildenden ihren ersten, richtigen Job an – viele von ihnen an PC oder Laptop. Die meisten Unternehmen stellen IT-Nutzungsrichtlinien bereit, die sich in der Regel auf Software oder E-Mail beziehen. Doch gerade der Faktor Mensch spielt eine entscheidende Rolle, wenn Unternehmensnetze und geschäftliche Daten geschützt werden sollen. Das BSI hat deshalb eigens für Auszubildende eine Checkliste mit Tipps und Tricks zum Thema IT-Security zusammengestellt – die selbstverständlich für erfahrene Mitarbeiter und Mitarbeiterinnen genauso interessant ist. Die Liste fasst die relevanten Themen – vom sicheren Umgang mit Passwörtern über den Schutz sensibler Unternehmensdaten auf allen Endgeräten bis hin zu verantwortungsvoller Internetnutzung – übersichtlich zusammen: Checkliste für Azubis: „IT-Sicherheit am Arbeitsplatz“: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/IT_Sicherheit_am_Arbeitsplatz.html

 

Für mehr Sicherheit am Arbeitsplatz setzt sich das BSI übrigens auch im Rahmen der Allianz für Cyber-Sicherheit ein. 2012 vom BSI und verschiedenen Institutionen und Unternehmen gegründet, haben sich die Mitglieder das Ziel gesetzt, den Standort Deutschland gemeinsam gegen Cyber-Angriffe widerstandsfähig zu machen: https://www.allianz-fuer-cybersicherheit.de

 

 

12. App-Sicherheit: Fitness auf Kosten der Datensicherheit

 

Fitness-Apps messen die Leistung von Sportlerinnen und Sportlern – oft tracken sie dazu auch deren Standort. Erst vor kurzem gelang es, über Positionsdaten aus der Fitness-App Polar Flow zum Teil geheime militärische Standorte zu enthüllen, wie mobilsicher.de berichtet. Laut dem finnischen Unternehmen Polar Global, das die App anbietet, wären diese Daten nur dann auf der öffentlichen Karte zu sehen, wenn die Benutzerinnen oder Benutzer dem per Opt-in zugestimmt hätten. Allein mit den Kartendaten aus Polar Flow, angereichert durch einfache Netzrecherche, konnte das Team etwa 6.500 Personen und 200 politisch kritische Standorte ausmachen. Der Fall Polar Flow ist nicht ungewöhnlich. Zahlreiche Wearables und Fitness-Apps nutzen für ihre Auswertungen Standortdaten.

 

Tipps zum verantwortungsvollen Umgang mit Wearables als Privatnutzer oder Privatnutzerin finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/IoT_Wearables_sicher_nutzen.html

 

Zur Meldung von Mobilsicher.de: Wenn Fitness-Tracker-Apps zu viel verraten: https://mobilsicher.de/aktuelles/wenn-fitness-tracker-apps-zu-viel-verraten

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn