SICHER • INFORMIERT vom 09.05.2018
Ausgabe: 10/2018
Inhalt
Störenfriede—————–
1. Verschlüsselungsfehler: Twitter-Nutzerinnen und -Nutzer sollten Passwörter ändern
2. Online-Betrug: Redirects aus Google Maps auf infizierte Seiten
Schutzmaßnahmen—————–
3. Google: Android, Pixel und Nexus von Sicherheitslücken betroffen
4. OpenSource: Packprogramm 7-Zip ist für Speicherfehler anfällig
5. Chrome: Sicherheitsanfälligkeiten im Browser
6. Apple: Patches für Betriebssysteme
Prisma—————–
7. Phishing: Wenn die E-Mail für Diebstahl missbraucht wird
8. Digitale Seite: Nachwuchs für IT gesucht
9. Messenger: Kommunikationsmittel über alle Generationen hinweg
10. Online-Dating: Digitale Partnerbörse mit Umsicht nutzen
11. Chrome: Google setzt auf Certificate Transparency
12. Hack: Unberechtigter Zugang zu vernetzten Autos
Editorial
Liebe Leserin, lieber Leser,
Online-Dating erfreut sich einer immer größeren Beliebtheit, jeder fünfte Deutsche setzt mittlerweile auf ein Dating-Portal oder eine entsprechende App, um einen Partner zu finden. Wenn es in naher Zukunft auch eine Dating-Funktion auf Facebook geben wird, wie Mark Zuckerberg gerade verkündete, dürften es sogar noch mehr werden. Ganz ungefährlich ist Online-Dating jedoch nicht, denn immer wieder haben die „Liebes-Applikationen“ Sicherheitslücken oder Nutzer gehen nicht achtsam genug mit ihren sensiblen Daten um. Worauf Sie achten sollten, wenn Sie persönliche Informationen im Internet preisgeben, und welche Gefahren aktuell im WWW lauern, erfahren Sie in dieser Ausgabe unseres Newsletters.
Wir wünschen Ihnen eine spannende Lektüre!
Ihr Bürger-CERT-Team
—————————————————-
Störenfriede
1. Verschlüsselungsfehler: Twitter-Nutzerinnen und -Nutzer sollten Passwörter ändern
Ein Software-Fehler hat dazu geführt, dass die Passwörter von Twitter-Nutzerinnen und -Nutzern im Klartext gespeichert wurden und so für Angehörige des Unternehmens sichtbar waren. Das schreibt der Konzernverantwortliche Parag Agrawal in seinem Twitter-Blog. Mittlerweile sei die Sicherheitslücke geschlossen und alle Dateien mit den unverschlüsselten Passwörtern gelöscht. Dennoch rief Twitter Ende letzter Woche alle 330 Millionen Nutzerinnen und Nutzer auf, ihre Passwörter vorsorglich umgehend zu ändern. Das sollten Sie auf jeden Fall tun, wenn Sie dort ein Nutzerkonto besitzen. Wenn Sie neue Passwörter vergeben, empfiehlt es sich, starke Kennwörter zu nutzen. Wie Sie diese erstellen, erfahren Sie in unseren Tipps für ein gutes Passwort auf der BSI für Bürger-Webseite: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html
Zum Twitter-Blog: Keeping your account secure: https://blog.twitter.com/official/en_us/topics/company/2018/keeping-your-account-secure.html
2. Online-Betrug: Redirects aus Google Maps auf infizierte Seiten
Sicherheitslücke beim beliebten Kartendienst: Bis vor kurzem waren bei Google Maps offene Redirects auf (Google-)externe Webseiten möglich. Weil der Kartendienst Ziel-URLs nicht überprüft hat, konnten Internetbetrüger potenzielle Opfer auf beliebige Webseiten führen, wie auf heise.de zu lesen ist. Mit diesen Redirects ist es möglich, Nutzerinnen und Nutzer auf Phishing- oder Malware-Seiten zu locken, ohne dass sie davon etwas merken. Google wusste anscheinend schon seit September 2017 von der Schwachstelle, hat aber jetzt erst darauf reagiert. Mittlerweile hat das Unternehmen dafür gesorgt, dass die Redirects auf externe Webseiten nicht mehr funktionieren. Cyber-Kriminelle setzen mittlerweile bereits seit 40 Jahren Spam-E-Mails ein, um ihre potenziellen Opfer mit immer wieder neuen Tricks und Maschen in die Falle zu locken. Welche verschiedenen Formen von Spam, Phishing & Co. es gibt und wie Sie sich davor schützen können: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/spamPhishingCo_node.html
Zur Meldung von heise.de: Spammer missbrauchen ungefilterte Redirects in Google Maps: https://www.heise.de/security/meldung/Spammer-missbrauchen-ungefilterte-Redirects-in-Google-Maps-4038998.html
—————————————————-
Schutzmaßnahmen
3. Google: Android, Pixel und Nexus von Sicherheitslücken betroffen
In verschiedenen Versionen des mobilen Betriebssystems Android bestehen Sicherheitslücken, für deren Schließung Google einen Patch (2018-05-05) bereitgestellt hat. Nutzerinnen und Nutzer von Android-basierten Mobilgeräten, darunter auch Pixel und Nexus von Google, sollten das Update zeitnah vornehmen. Betroffen sind Google Android-Versionen ab 6.0 bis einschließlich 8.1. Genaue Hinweise zu den Update-Möglichkeiten können Sie dem Bürger-CERT Sicherheitshinweis entnehmen: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/05/warnmeldung_tw-t18-0055.html
4. OpenSource: Packprogramm 7-Zip ist für Speicherfehler anfällig
7-Zip, ein Open-Source-Programm, mit dem Nutzerinnen und Nutzer Dateien packen und somit verkleinern können, enthält eine schwerwiegende Schwachstelle. Über diese ist es einem Angreifer möglich, beliebigen Programmcode mit Benutzerrechten auszuführen. Ab der Version 18.05 ist die Sicherheitslücke geschlossen. Um sich zu schützen, sollten Sie das Sicherheitsupdate möglichst zeitnah einspielen. Weitere Informationen finden Sie im Warnhinweis des CERT-Bund: https://www.bsi.bund.de/SharedDocs/Warnmeldungen/DE/CB/2018/05/warnmeldung_cb-k18-0647.html
5. Chrome: Sicherheitsanfälligkeiten im Browser
Über das Internet kann eine Schwachstelle in Google Chrome, Google Chrome für Linux und Google Chrome für Mac missbraucht werden, um beliebigen Programmcode mit Benutzerrechten für das System auszuführen oder einen Denial of Service Angriff durchzuführen. Betroffen ist Chrome unter allen üblichen Plattformen, nämlich Linux, Mac OS X, UNIX und Windows. Chrome-Anwenderinnen und Anwender steht mit Version 66.0.3359.139 ein Update bereit, mit dem die Schwachstelle geschlossen wurde. Weitere Informationen zum Nachlesen sind zusammengefasst in der CERT Bund-Warnmeldung: https://www.bsi.bund.de/SharedDocs/Warnmeldungen/DE/CB/2018/05/warnmeldung_cb-k18-0645_update_1.html
6. Apple: Patches für Betriebssysteme
Im stationären Betriebssystem Apple Mac OS wurde eine Schwachstelle mit Version 10.13.4 geschlossen. Nutzerinnen und Nutzer mit früheren Versionen, sollten ihr System auf den neuesten Stand bringen. Auch für das mobile Betriebssystem iOS wurde ein Update veröffentlicht, weil eine Schwachstelle unter anderem einen Denial of Service Angriff ermöglicht. Besitzer eines iPhones oder iPads wird empfohlen, iOS auf Version 11.3.1 zu aktualisieren.
Apple Mac OS: https://www.bsi.bund.de/SharedDocs/Warnmeldungen/DE/CB/2018/05/warnmeldung_cb-k18-0630_update_1.html
Apple MacOS X: https://www.bsi.bund.de/SharedDocs/Warnmeldungen/DE/CB/2018/05/warnmeldung_cb-k18-0559_update_1.html
Apple iOS: https://www.bsi.bund.de/SharedDocs/Warnmeldungen/DE/CB/2018/05/warnmeldung_cb-k18-0626_update_1.html
—————————————————-
Prisma
7. Phishing: Wenn die E-Mail für Diebstahl missbraucht wird
Immer wieder versuchen Betrüger, mit Hilfe sogenannter Phishing-E-Mails Passwörter und andere persönliche Daten von Nutzerinnen und Nutzern abzugreifen, um daraus Kapital zu schlagen. Wie Cyber-Kriminelle dabei konkret vorgehen und worauf Sie achten sollten, um nicht selbst Opfer eines solchen Phishing-Angriffs zu werden, erfahren Sie auf BSI für Bürger und im neuen Erklärvideo „Phishing-E-Mails enttarnen“. https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Phishing_Datenklau.html
8. Digitale Seite: Nachwuchs für IT gesucht
Am 17. Mai 2018 stellt sich das BSI als Arbeitgeber für IT-Talente auf der Campus-Messe Next der Universität des Saarlandes vor. Auch über unsere Karriere-Plattform suchen wir kontinuierlich nach neuen Mitarbeiterinnen und Mitarbeitern mit digitaler Seite. Auf der Karriereseite des BSI finden Sie, welche Stellen aktuell zu besetzen sind: https://www.bsi.bund.de/DE/DasBSI/Jobs/Stellenangebote/stellenangebote_node.html
Weiterführende Informationen zur Next finden Sie auf Seite der Universität des Saarlandes: https://www.uni-saarland.de/einrichtung/career-center/next-die-campus-messe.html
9. Messenger: Kommunikationsmittel über alle Generationen hinweg
Messenger-Dienste sind aus unserem Alltag nicht mehr wegzudenken – quer durch die Altersgruppen. Einer Studie des Branchenverbands Bitkom zufolge nutzen mittlerweile neun von zehn Internetnutzern (89 Prozent) einen Messenger-Dienst wie WhatsApp, Facebook Messenger oder iMessage. Bei der Altersgruppe der 14- bis 29-Jährigen sind es derzeit sogar 98 Prozent, bei den 30- bis 49-Jährigen 94 Prozent. Und auch bei den Älteren liegen Messenger hoch im Kurs: Vier von fünf der Nutzerinnen und Nutzer zwischen 50 und 64 Jahren verwenden diese Dienste. Bei den über 65-Jährigen sind es 70 Prozent. Wenn so häufig über Messenger kommuniziert wird, sollten Sicherheit und Schutz bei ihrer Nutzung eine wichtige Rolle spielen. Worauf Sie bei der Verwendung eines Messenger-Dienstes achten sollten, haben wir Ihnen in unseren Tipps zusammengestellt. https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/KommunikationUeberInternet/Messenger/Tipps/tipps_node.html
Zur Meldung der Bitkom e.V.: Neun von zehn Internetnutzer verwenden Messenger: https://www.bitkom.org/Presse/Presseinformation/Neun-von-zehn-Internetnutzern-verwenden-Messenger.html
10. Online-Dating: Digitale Partnerbörse mit Umsicht nutzen
Im Lauf dieses Jahres soll Facebook eine Dating-Funktion erhalten und damit als Partnerbörse aktiv werden. Das verkündete CEO Mark Zuckerberg gemäß einem Bericht auf zeit.de auf der Entwicklerkonferenz F8. Das dürfte Online-Dating weiter Schwung verleihen. Bereits jetzt ist eine von drei Ehen in den USA auf eine Online-Dating-Plattform zurückzuführen. Nutzerinnen und Nutzer, die Facebook als Dating-App nutzen wollen, müssen künftig ein Partnersuche-Profil anlegen, das getrennt vom eigentlichen Profil verwaltet wird. So groß die Sehnsucht nach der großen Liebe auch sein mag: Vor der Veröffentlichung von sensiblen, persönlichen im Internet sollten die möglichen Risiken abgewogen werden. Wie Sie Ihre Daten hierbei schützen können, lesen Sie auf BSI für Bürger https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/IT_Sicherheit_beim_Online_Dating.html
Zum Artikel auf zeit.de: Jetzt will Mark uns verkuppeln: https://www.zeit.de/digital/internet/2018-05/facebook-f8-dating-mark-zuckerberg-tinder/komplettansicht
11. Chrome: Google setzt auf Certificate Transparency
Künftig könnten Ihnen beim Surfen mit Googles Browser Chrome bei manchen Websites ganzseitige Warnmeldungen begegnen. Denn Google verlangt seit dem 1. Mai, dass neu ausgestellte TLS-Zertifikate seiner Certificate Transparency (CT) entsprechen. Damit soll potentieller Missbrauch mit gefälschten Zertifikaten verhindert werden.
Zum Artikel auf heise.de: Chrome: Google macht Ernst mit Certificate Transaprency: https://www.heise.de/security/meldung/Chrome-Google-macht-Ernst-mit-Certificate-Transparency-4038968.html
12. Hack: Unberechtigter Zugang zu vernetzten Autos
Genau davor sorgen sich viele, wenn sie das Stichwort vernetzte Autos hören: Sicherheitsexperten ist es einem Bericht von t3n.de zufolge gelungen, zwei vernetzte VW-Fahrzeuge zu hacken. Über die WLAN-Verbindung erhielten sie Zugriff auf die Infotainment-Systeme eines VW Golf GTE und eines Audi A3 Sportback E-Tron. Über diesen Weg konnten sie auch mit dem zentralen Autonetzwerk (CAN) kommunizieren. Dadurch erhielten sie Einblicke in die Kommunikation des Fahrers, in das Adressbuch sowie auf andere Daten, die mit dem Infotainment-System im Zusammenhang stehen. Eigenen Angaben zufolge hat VW die offene Schnittstelle bereits Mitte 2016 geschlossen. Der Fall illustriert die Risiken der zu nehmenden Vernetzung. Nicht korrekt abgesicherte Bestandteile des Internet of Things (IoT) stellen immer wieder ein Einfallstor für Cyber-Kriminelle dar. Deshalb gilt es, Ihre smarten Geräte sicher zu vernetzen. Was das Internet der Dinge genau ist und wie Sie Ihr smartes Zuhause schützen können, lesen Sie auf der BSI für Bürger Webseite: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/IoT_smarte_Geraete_vernetzen.html
Zur Meldung von t3n: Sicherheitsexperten hacken vernetzte Autos von VW und Audi aus der Ferne: https://t3n.de/news/experten-hacken-vw-audi-1075212/
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn