SICHER • INFORMIERT vom 12.10.2017
Ausgabe: 21/2017
Inhalt
Störenfriede—————–
Datendiebstahl: Yahoo-Nutzerinnen und -Nutzer sollten Passwort wechseln
Manipulierte Dokumente: Angebliche Rechnungsmails infizieren Computer
Phishing: Falsche Benachrichtigungen verunsichern Amazon- und Commerzbank-Kundinnen und -Kunden
Schutzmaßnahmen—————–
Microsoft Patch-Day: Sicherheitsupdates für mehrere Produkte
Mozilla Thunderbird: Installation der neuen Version empfohlen
WordPress: Sicherheitsupdates für Plug-ins installieren
Apple: Sicherheitslücken in macOS Sierra geschlossen
Android: Sicherheitsupdate für mehrere Geräte steht bereit
Trend Micro OfficeScan: Mehrere Schwachstellen entdeckt
Mozilla Firefox: Insgesamt 18 Sicherheitslücken geschlossen
Prisma—————–
AV-Software: BSI-Stellungnahme zu Medienberichten
Smart Home: Auch für Bots verlockend
ECSM 2017: Datensicherheit zwischen Eigenverantwortung und Technik
Messenger: AOL Instant Messenger wird eingestellt
E-Mail: Unverzichtbares Medium in der beruflichen Kommunikation
In eigener Sache: Das neue BSI-Magazin ist erschienen
Editorial
Liebe Leserin, lieber Leser,
die Herbstausgabe des BSI-Magazins „Mit Sicherheit“ liegt nun druckfrisch vor. Mit dieser informiert das Bundesamt für Sicherheit in der Informationstechnik, wie es als nationale Cyber-Sicherheitsbehörde das Thema Informationssicherheit als Voraussetzung einer erfolgreichen Digitalisierung in Staat, Wirtschaft und Gesellschaft gestaltet. Wo Sie das Magazin erhalten, erfahren Sie in unserem Newsletter. Außerdem ist der Europäische Monat der Cyber-Sicherheit (ECSM) mit dem Schwerpunkt „Sicherheit und Schutz persönlicher Daten“ bereits in der zweiten aktionswoche angekommen.
Darüber hinaus informieren wir Sie über aktuelle Gefahren und Betrugsmaschen im Internet und klären auf, wie Sie sich davor schützen können.
Wir wünschen Ihnen eine spannende Lektüre.
Ihr Bürger-CERT-Team
—————————————————-
Störenfriede
– Datendiebstahl: Yahoo-Nutzerinnen und -Nutzer sollten Passwort wechseln
Der bereits 2013 erfolgte Hackerangriff auf den inzwischen zu Verizon gehörenden Internetdiensteanbieter Yahoo ist umfangreicher als bislang angenommen: Wie das Unternehmen, laut einem Bericht von Golem, jetzt bekannt gab, haben die Täter die Namen, E-Mail-Adressen, Telefonnummern und Geburtsdaten sowie Passwörter aller drei Milliarden in diesem Jahr registrierten Kundinnen und Kunden erbeutet. Yahoo-Nutzerinnen und -Nutzer, die seit 2013 ihr Passwort nicht mehr geändert haben, sollten dies nun dringend nachholen. Wie Sie ein sicheres Passwort erstellen, erklärt das BSI auf der Website BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html
Zur Meldung von golem.de: Alle Yahoo-Kunden im Jahr 2013 gehackt:
https://www.golem.de/news/yahoo-mail-alle-yahoo-kunden-im-jahr-2013-gehackt-1710-130405.html
– Manipulierte Dokumente: Angebliche Rechnungsmails infizieren Computer
Internet-Kriminelle versenden derzeit massenhaft E-Mails mit einer manipulierten Word-Datei im Anhang, wie unter anderem der Ratgeber Internetkriminalität berichtet. Die Nachrichten mit dem Betreff „Rechnungsnummer: QILLA9328 (Rechnung im Anhang)“ enthalten ein Anschreiben mit einem Link. Beim Anklicken des Links wird automatisch eine Word-Datei, die Schadsoftware enthält, heruntergeladen. Nutzerinnen und Nutzer sollten daher umgehend die E-Mail löschen.
Falls Sie bereits betroffen sind, hat das BSI auf der Website BSI für Bürger Tipps für die Beseitigung von Infektionen auf Ihrem PC zusammengestellt: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Schadprogramme/Infektionsbeseitigung/infektionsbeseitigung_node.html
Zur Meldung von polizei-praevention.de: Gefälschte Rechnungsmail führt zum Download von manipuliertem Word-Dokument:
Gefälschte Rechnungsmail führt zum Download von manipuliertem Word-Dokument
– Phishing: Falsche Benachrichtigungen verunsichern Amazon- und Commerzbank-Kundinnen und -Kunden
Aktuell stehen Kundinnen und Kunden der Commerzbank sowie des Versandhändlers Amazon im Fokus von Phishing-Betrügern, wie die Verbraucherzentrale NRW und Spam-Info warnen. Onlinebanking-Kunden wird in gefälschten E-Mails eine Umstellung des Sicherheitssystems vorgegaukelt. Um eine Kontosperre zu verhindern, müssten sie nur ihre Daten in ein Formular eingeben, auf das sie nach Anklicken eines Links gelangen. Natürlich sollen mit diesem Trick nur möglichst viele Daten gesammelt werden. Der Amazon-Trick hingegen tritt in unterschiedlichen Varianten auf, gerade die Betreffzeilen können hier variieren. Die derzeit häufigste lautet: „Ihre Bestellung wurde storniert!“ Auch diese Nachricht zielt auf den Diebstahl der Nutzerdaten über eine gefälschte Log-in-Seite ab. Teilweise enthalten die E-Mails auch Anhänge im Bildformat .png, die beim Öffnen der E-Mail Schadsoftware auf den Computer schleusen.
In beiden Fällen gilt: Löschen Sie diese E-Mails umgehend. Kontaktieren Sie im Zweifel direkt Ihre Bank oder den Händler und überprüfen Sie den Sachverhalt gegebenenfalls persönlich am Telefon. Nutzen Sie dafür niemals die angeblichen Kontaktdaten in den dubiosen E-Mails. Einen Leitfaden, wie Sie Phishing-Mails und -Webseiten erkennen und sich vor Betrugsversuchen schützen können, stellt das BSI auf der Website BSI für Bürger bereit: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/phishing_node.html
Zur Meldung von spam-info.de: Amazon: Phishing jetzt mit .png-Anhang:
Amazon: Phishing jetzt mit .png-Anhang
Zur Meldung von verbraucherzentrale.nrw: Phishing-Radar: Aktuelle Warnungen:
https://www.verbraucherzentrale.nrw/wissen/digitale-welt/phishingradar/phishingradar-aktuelle-warnungen-6059
—————————————————-
Schutzmaßnahmen
– Microsoft Patch-Day: Sicherheitsupdates für mehrere Produkte
Microsoft hat im Zuge des Oktober 2017 Patchday Sicherheitsupdates für eine Vielzahl seiner Produkte für Privat- und Unternehmensanwender veröffentlicht. Zu diesen zählen die Browser Edge und Internet Explorer, Microsoft Office und Microsoft Office Services, Web Apps, Skype for Business und Lync sowie alle aktuellen Versionen des Betriebssystems Windows. Damit schließt Microsoft zahlreiche Sicherheitslücken, die zum Teil schwerwiegende Auswirkungen für den Nutzer, die Nutzerin haben können. Insbesondere Anwenderinnen und Anwender von Microsoft Office sollten schnellstmöglich ein Sicherheitsupdate über die Windows-Update-Funktion vornehmen, um eine bestehende Sicherheitslücke zu schließen, die bereits aktiv ausgenutzt wird. Mithilfe von Office-Dokumenten in Word und Excel ist es einem potenziellen Angreifer möglich, Ihr Computersystem massiv zu schädigen. Im Programm Outlook 2016 ermöglicht eine Schwachstelle einem Angreifer aus dem Internet, auch verschlüsselte E-Mails zu lesen. Führen Sie alle Updates daher umgehend durch, weitere Informationen sind im BürgerCERT-Sicherheitshinweis nachlesbar: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2017/10/warnmeldung_tw-t17-0117.html
– Mozilla Thunderbird: Installation der neuen Version empfohlen
Nutzerinnen und Nutzer des E-Mail-Programms Thunderbird von Mozilla wird empfohlen, zeitnah die Version 52.4 zu installieren, denn der Hersteller hat potenziell kritische Sicherheitslücken mit der neuen Version behoben. Die Software können Sie über die auf der Update-Seite von Mozilla laden und entsprechend den Anweisungen installieren. Mehr Informationen sind im Bürger-CERT Sicherheitshinweis verfügbar: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2017/10/warnmeldung_tw-t17-0118.html
– WordPress: Sicherheitsupdates für Plug-ins installieren
In drei wenig verbreiteten Erweiterungen für WordPress wurden laut Heise Security Sicherheitslücken entdeckt. Die Schwachstellen in den Plug-ins Appointments, Flickr Gallery und RegistrationMagic-Custom Registration Forms ermöglichen es Angreifern, eine Backdoor in einem beliebigen Verzeichnis zu installieren. Damit lässt sich eine WordPress-Seite vollständig übernehmen. Cyber-Kriminelle könnten diese Lücke ausnutzen, um neue Plug-ins basierend auf diesem Code einzusetzen. Nutzer und Nutzerinnen der betroffenen Erweiterungen sollten zeitnah die neuesten Versionen der drei Plug-ins installieren:
Appointments 2.2.2: https://wordpress.org/plugins/appointments/
Flickr Gallery 1.5.3: https://wordpress.org/plugins/flickr-gallery/
RegistrationMagic-Custom Registration Forms:https://wordpress.org/plugins/custom-registration-form-builder-with-submission-manager/
Darüber hinaus finden Sie auf der Website BSI für Bürger einen Leitfaden für ein systematisches Patch-Management:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/UpdatePatchManagement/updatePatchManagement_node.html
Zur Meldung von Heise Security: Kritische Sicherheitslücke in drei WordPress Plugins:
https://www.heise.de/security/meldung/Update-erforderlich-Kritische-Sicherheitsluecke-in-drei-WordPress-Plugins-3849483.html
– Apple: Sicherheitslücken in macOS Sierra geschlossen
Der Hersteller Apple empfiehlt das Update auf die aktuellen Versionen macOS Sierra 10.13 und macOS High Sierra 10.13, um mehrere, teils schwerwiegende Sicherheitslücken zu schließen. Durch die Lücken können Angreifer beliebigen Programmcode ausführen und Informationen auf dem System ausspähen. Von den Lücken sind auch Mac OS X Versionen ab Lion und später betroffen. Weitere Informationen sowie den Download-Link finden Sie im Sicherheitshinweis des Bürger-CERT: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2017/10/warnmeldung_tw-t17-0113_update_1.html
– Android: Sicherheitsupdate für mehrere Geräte steht bereit
Mit aktuellen Sicherheitsupdates für Android schließt Google mehrere kritische Sicherheitslücken in dem mobilen Betriebssystem. Angreifer können durch Ausnutzen der Lücken unter anderem Informationen ausspähen, Berechtigungen für die Ausführung von Aktionen erlangen und Geräte weitgehend manipulieren. Betroffen sind mehrere Versionen von Google Android Operating System, die Systeme Google Nexus und Google Pixel sowie Samsung Mobile Android vor SMR-OCT-2017. Das Bürger-CERT empfiehlt, das Update sobald es verfügbar ist umgehend zu installieren: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2017/10/warnmeldung_tw-t17-0116.html
– Trend Micro OfficeScan: Mehrere Schwachstellen entdeckt
Mit einem Update schließt das Unternehmen Trend Micro Schwachstellen in den Versionen XG (12.0) und 11.0 SP1 für Windows seiner Software OfficeScan. Angreifer können darüber Schadcode auf den Geräten von Nutzern und Nutzerinnen ausführen. Das Update ist im Download Center des Herstellers verfügbar. Den Link sowie weiterführende Informationen finden Sie unter: https://success.trendmicro.com/solution/1118372
– Mozilla Firefox: Insgesamt 18 Sicherheitslücken geschlossen
Mozilla schließt mit dem aktuellen Update eine Vielzahl von Sicherheitslücken im seinem Open-Source Webbrowser Firefox. Betroffen sind alle Systeme vor Mozilla Firefox 56 unter Apple Mac OS X, macOS Sierra, GNU/Linux, Google Android Operating System und Microsoft Windows. Unter den Schwachstellen sind einige, die schwere Auswirkungen haben können. Angreifer aus dem Internet können sie unter anderem nutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen auszuspähen oder beliebige Befehle auf dem betroffenen Gerät auszuführen und so massive Schäden zu verursachen. Das Bürger-CERT empfiehlt die umgehende Aktualisierung mit dem vorliegenden Sicherheitsupdate: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2017/09/warnmeldung_tw-t17-0115.html
—————————————————-
Prisma
– AV-Software: BSI-Stellungnahme zu Medienberichten
Medien berichten derzeit über mögliche Aktivitäten russischer Hacker, die mithilfe von Kaspersky-Software US-amerikanische Behörden ausspioniert haben sollen.Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen derzeit keine Erkenntnisse vor, dass der Vorgang wie im Medienbericht beschrieben stattfand. Das BSI steht in Kontakt mit den amerikanischen Partnerbehörden.Eine Warnung des BSI vor dem Einsatz von Kaspersky-Produkten ist derzeit nicht vorgesehen, da dem BSI keine Belege für ein Fehlverhalten des Unternehmens oder Schwachstellen in der Software vorliegen.Zur BSI Pressemitteilung: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/BSI_Stellungnahme_Kapersky_11102017.html
Auf der Webseite BSI für Bürger finden Sie Tipps zur Auswahl von Schutz- und Hilfsprogrammen:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Schutzprogramme/Virenschutzprogramme/virenschutzprogramme_node.html
– Smart Home: Auch für Bots verlockend
Die zunehmende Verbreitung intelligenter Geräte im Haus erhöht die Anzahl der Angriffspunkte für Cyber-Attacken aus dem Internet. Dies hat bereits das Botnetz Mirai verdeutlicht, welches auch smarte Geräte wie Netzwerkkameras, Babyfone oder Kühlschränke genutzt hat, um einen weltweiten Cyber-Angriff zu starten. Denn über die Verbindung mit dem Internet können Angreifer smarte Geräte kapern und sie zu einem Botnetz zusammenschließen. Oftmals bemerkt der Besitzer eines infizierten Geräts nichts davon. Wie Sie sich effektiv davor schützen können, dass Ihre smarten Geräte im Haushalt nicht von Cyber-Kriminellen ferngesteuert werden, erklärt Ihnen das Informationsportal BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Smart_Home_Bots_10102017.html
– ECSM 2017: Datensicherheit zwischen Eigenverantwortung und Technik
Die zweite Aktionswoche des European Cyber Security Month 2017 steht im Zeichen von „Sicherheit und Schutz persönlicher Daten“. Das BSI weist darauf hin, dass neben technischen Schutzmaßnahmen auch ein bedachter Umgang mit persönlichen Daten wichtig ist, um diese zu schützen. Dazu gehört unter anderem ein sparsamer Umgang mit persönlichen Informationen bei der Anmeldung für Internetdienste ebenso wie der Verzicht auf Single Sign-on Anwendungen. Dabei können sich Internetnutzer und Internetnutzerinnen mit beispielsweise den Zugangsdaten eines sozialen Netzwerks bei Drittanbietern einloggen. Auch beim Herunterladen von mobilen Apps sollten Sie die Zugriffsrechte auf das notwendige Minimum beschränken und im Zweifel eine alternative Lösung vorziehen. Auf der Webseite BSI für Bürger können Sie sich außerdem über das Thema Verschlüsselung informieren. Im Rahmen des ECSM hat das BSI zudem ein Video zum Unterschied zwischen Datensicherheit und Datenschutz produziert: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Verschluesselung/Verschluesselung_node.html
Während des ECSM finden zahlreiche Aktionen statt, um auf die Bedeutung von Cyber-Sicherheit hinzuweisen. Nutzen Sie beispielsweise den Dark Cyber Monday am 23. Oktober in Bonn, um sich auch persönlich über die Gefahren im Netz zu informieren. Neben Kurzvorträgen zu Themen wie dem Darknet werden hier auch Workshops und ein interaktiver Sicherheits-Parcours angeboten. Kommen Sie vorbei. Wir freuen uns auf Ihren Besuch: https://www.bsi.bund.de/SiteGlobals/Forms/Umfragen/ECSMAktionen/ECSM_Auswertungen/Uebersicht/aktionen_Node.html
– Messenger: AOL Instant Messenger wird eingestellt
Nach über 20 Jahren wird am 15. Dezember 2017 eine der ersten Chat-Apps im Internet eingestellt. Der AOL Instant Messenger wurde nach und nach von moderneren Anwendungen sowie der hohen Verbreitung von Smartphones verdrängt. Nach dem Stichtag werden Nutzerinnen und Nutzer keinen Zugang mehr zu ihrem Konto haben, informiert Spiegel Online. Die Nutzerdaten werden nach Angaben des Anbieters gelöscht. Bis dahin haben Kundinnen und Kunden noch die Möglichkeit, Chatverläufe und Dateien aus der Anwendung zu sichern. BSI für Bürger hat Ihnen die wichtigsten Tipps zur Auswahl und Nutzung von Instant Messengern zusammengestellt: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/KommunikationUeberInternet/Messenger/Tipps/tipps_node.html
Zur Meldung von Spiegel Online: AIM wird abgeschaltet – nach 20 Jahren:
http://www.spiegel.de/netzwelt/web/aol-instant-messenger-aim-wird-abgeschaltet-a-1171826.html
– E-Mail: Unverzichtbares Medium in der beruflichen Kommunikation
Fluten von E-Mails mit Dutzenden von Empfängern in Kopie können in der täglichen Arbeitswelt oft zu einem gewissen Missmut führen. Laut einer Studie über die Heise Security berichtet, verärgern gerade E-Mails besonders, die Themen bearbeiten, die schneller im Gespräch geklärt wären und die mehrfach weitergeleitet werden. Dennoch ist und bleibt die E-Mail der beliebteste Kommunikationsweg. Von den 3.000 befragten Büroarbeitern ist sogar ein Drittel von der steigenden Bedeutung von E-Mails überzeugt – dabei verbringen rund 20 Prozent mehr als vier Stunden täglich mit der elektronischen Korrespondenz. Schockierend: 15 Prozent der Befragten in Deutschland rufen ihre E-Mails sogar beim Autofahren ab. Wie der gesunde Menschenverstand zumindest in puncto E-Mail-Sicherheit in den Vordergrund gerückt werden kann, erklärt Ihnen die BSI für Bürger Webseite mit dem 3-Sekunden-Check: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Menschenverstand/E-Mail/E-Mail_node.html
Zur Meldung von Heise Security: E-Mail – der ganz normale Wahnsinn:
https://www.heise.de/ix/meldung/E-Mail-der-ganz-normale-Wahnsinn-3340077.html
– In eigener Sache: Das neue BSI-Magazin ist erschienen
Die Herbstausgabe des BSI-Magazins „Mit Sicherheit“ stellt das Thema Informationssicherheit als Voraussetzung einer erfolgreichen Digitalisierung in den Fokus. Zu den Themen des diese Woche veröffentlichten Magazins zählen der Einsatz der Lauschabwehr während des G20-Gipfels, die internationale Zusammenarbeit bei Zertifizierung und Standards sowie die Gestaltung einer smarten und sicheren digitalen Gesellschaft. Die Ausgabe können Sie unter https://www.bsi.bund.de/BSI-Magazin kostenfrei bestellen und/oder als PDF herunterladen.
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn