Print Friendly, PDF & Email

SICHER • INFORMIERT vom 19.07.2018

Ausgabe: 15/2018

Inhalt

 

Störenfriede—————–

  1. Digitale Erpressung: Persönliche Ansprache soll Opfer zur Zahlung bewegen
  2. Daten-Leak: Kunden von Hosting-Dienst betroffen
  3. Online-Betrug: Gefälschte Hilferufe aus dem Urlaub

 

 

Schutzmaßnahmen—————–

  1. Oracle Java SE: Wichtige Sicherheitsupdates verfügbar
  2. CUPS: Updates stehen bereit
  3. Microsoft: Patchday im Juli
  4. VLC: Schwachstelle ermöglicht Ausführen von Programmcode
  5. Adobe: Sicherheitslücken in verschiedenen Lösungen geschlossen
  6. Apple: Neue Versionen für Betriebssysteme und Browser verfügbar

 

 

Prisma—————–

  1. Gaming: Ein Archiv für alle Spiele
  2. IT-Sicherheit am Arbeitsplatz: Sicher in die Ausbildung starten
  3. App-Sicherheit: Fitness auf Kosten der Datensicherheit

 

Liebe Leserin, lieber Leser,

 

Passwörter auf Post-its zu kritzeln, das sollte man schon im Privatleben besser sein lassen. Wer aber im Berufsleben auf die kleinen, gelben Erinnerungsstützen setzt, bringt nicht nur das Unternehmen, sondern auch sich selbst in eine brenzlige Situation. Schließlich macht derjenige oder diejenige so sensible Unternehmensdaten für jeden zugänglich. Dieses immer noch sehr weit verbreitete Beispiel stellt nur die Spitze des Eisbergs an potenziellen Schwachstellen in der IT-Sicherheit am Arbeitsplatz dar. Gerade zum Start des neuen Ausbildungsjahres ist es wichtig, die jungen neuen Mitarbeiterinnen und Mitarbeiter an einen sicheren Umgang mit der Arbeitsplatz-IT zu gewöhnen.

 

BSI für Bürger hat daher eine Checkliste für Azubis zusammengestellt. Aber auch erfahrene Arbeitnehmer und Arbeitnehmerinnen können sich an der Liste gut orientieren und ihr Wissen nochmals prüfen. In einer neuen Folge der Podcast-Reihe „Ins Internet – mit Sicherheit“ erklären zwei BSI-Experten, warum IT-Security am Arbeitsplatz so entscheidend ist.

 

IT-Sicherheit ist ein Thema, das jeder am besten bereits in seinem eigenen digitalen Alltag lebt. Wie gewohnt geben wir Ihnen in dieser Ausgabe des Newsletters dafür wieder Tipps an die Hand.

 

Wir wünschen Ihnen eine spannende Lektüre.

 

Ihr Bürger-CERT-Team

 

 

—————————————————-

Störenfriede

 

 

  1. Digitale Erpressung: Persönliche Ansprache soll Opfer zur Zahlung bewegen

 

In den vergangenen Monaten häuften sich die Fälle einer speziellen Form von Erpresser-E-Mails: Internetkriminelle behaupteten, die Empfänger beim Besuch pornografischer Seiten gefilmt zu haben. Einzig die Zahlung von Lösegeld mit Bitcoins würde verhindern, dass diese Informationen an die Öffentlichkeit gelangen, so die Erpresserschreiben. Laut Ratgeber Internetkriminalität der Polizei Niedersachen bedienen sich die Betrüger jetzt einer abgewandelten Methode: Sie sprechen ihre Opfer mit deren Namen an, um den Druck auf die Adressaten zu erhöhen. Auch seien E-Mails aufgetaucht, die ein Passwort der Opfer angeben. Die Passwörter stammen offenbar aus früheren Hacker-Angriffen. Nutzen Betroffene dieses Passwort, sollten sie auf jeden Fall die Zugangsdaten zu den jeweiligen Online-Kontenändern.

 

Welche Qualitätskriterien ein sicheres Passwort erfüllen sollte, erklärt BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html

 

Zur Meldung der Polizei Niedersachen: Neue Welle von Erpressungsmails nach angeblichem Pornokonsum: https://www.polizei-praevention.de/aktuelles/neue-welle-von-erpressungsmails-nach-angeblichem-pornokonsum.html

 

 

  1. Daten-Leak: Kunden von Hosting-Dienst betroffen

 

Internetbetrüger haben die Systeme des Hosting-Dienstes Domainfactory gehackt und sich Zugang zu Kundendaten verschafft. Das berichtet heise.de. Laut Anbieter seien nun alle bekannten Sicherheitslecks geschlossen. Explizit haben sich die Täter Zugang zu Informationen wie Vor- und Nachname, Firmennamen, E-Mail-Adressen, Anschrift, Geburtsdatum, Telefonnummer, Telefonpasswort sowie Kontoverbindungsdaten und dem Schufa-Score verschafft. Die Passwörter für das Kundenkonto gelten ebenfalls als betroffen. Domainfactory empfiehlt Nutzerinnen und Nutzern, sofort alle Passwörter für die Plattform sowie die mit dem Dienst verbundenen Konten zu ändern. Alle Bewegungen auf dem Konto sollten zudem im Blick behalten werden. Bei Verdacht auf einen Betrugsversuch, sollte bei der Polizei eine Strafanzeige aufgegeben werden. Es ist nicht auszuschließen, dass die Angreifer nun außerdem die Kontrolle über die Server und Webpräsenzen der Domainfactory-Kunden haben. Kundinnen und Kunden sollten deshalb ihre gehosteten Seiten auf Schadcode prüfen.

 

Oftmals ziehen Datenlecks eine erhöhte Anzahl an Spam-E-Mails nach sich. Wie man sich dagegen schützen kann und was im Schadensfall zu tun ist, hat BSI für Bürger zusammengefasst: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Spam/Hilfe_fuer_Betroffene/hilfe.html

 

Zur Meldung von heise.de: Nach Kundendaten-Hack: Was Domainfactory-Kunden jetzt tun können: https://www.heise.de/newsticker/meldung/Nach-Kundendaten-Hack-Was-Domainfactory-Kunden-jetzt-tun-koennen-4108830.html

 

 

  1. Online-Betrug: Gefälschte Hilferufe aus dem Urlaub

 

Passend zur Ferienzeit häufen sich zurzeit Betrugsfälle mit angeblichen Hilferufen aus dem Urlaub – informiert mimikama.at. Die Empfänger und Empfängerinnen erhalten E-Mails oder Facebook-Nachrichten von echt scheinenden Bekannten, die sich angeblich im Ausland befinden und dringend Hilfe benötigen. Meist enthält der Text eine Zahlungsaufforderung via Western Union. Wer hier überweist, verliert sein Geld. Damit das nicht passiert, gilt es, ein paar einfache Regeln zu beachten: Die Schreiben sind in der Regel fehlerhaft formuliert und sprechen die Adressaten nicht direkt an. Oft beginnt der Text mit einem einfachen „Hallo,“. Wer solche Nachrichten erhält, sollte im ersten Schritt die Bekannten darüber informieren, dass ihr E-Mail- oder Social-Media-Konto womöglich gehackt wurde. Zahlungsaufforderungen sollte man grundsätzlich mit Argwohn begegnen und sich überlegen, wie realistisch es ist, von Freunden auf diese Weise angesprochen zu werden. Beim Surfen genauso kritisch und vernünftig zu handeln wie im echten Leben – dazu rät BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Menschenverstand/menschenverstand.html

 

Zur Meldung von mimikama.at: Watchlist Internet warnt vor betrügerischen Urlaubsnachrichten: https://www.mimikama.at/allgemein/urlaubsnachrichten-betrug/

 

 

—————————————————-

Schutzmaßnahmen

 

 

  1. Oracle Java SE: Wichtige Sicherheitsupdates verfügbar

 

Für die Java Platform (Standard Edition) von Oracle hat der Hersteller Sicherheitsupdates zur Behebung von vorhandenen Schwachstellen bereitgestellt. Das BSI empfiehlt die zeitnahe Installation der Updates, um das System gegen mögliche Angriffe zu schützen. Mehr dazu findet sich im Bürger-CERT Warnhinweis: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0105.html

 

 

  1. CUPS: Updates stehen bereit

 

Anwenderinnen und Anwender des Apple Mac OS X-Betriebssystems sollten verfügbare Sicherheitsupdates jetzt durchführen. Angreifer können andernfalls mehrere Schwachstellen im Common Unix Printing System (CUPS) – Apples Drucksystem – ausnutzen, um Programmcodes auszuführen und die Rechte der Anwendung zu erweitern. Darüber informiert das Bürger-CERT im Sicherheitshinweis: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0104.html

 

 

  1. Microsoft: Patchday im Juli

 

Am Patchday schließt Microsoft einmal pro Monat verschiedene Sicherheitslücken. Die bereit gestellten Updates für den Juli sollten Microsoft-Nutzende so bald wie möglich herunterladen. Angreifer können andernfalls bei den Windows-Versionen 7, 8.1, 10 und RT sowie den Server-Diensten 2008 R2 einen Denial of Service-Angriff durchführen, um erweiterte Rechte zu erlangen und Sicherheitsmechanismen zu umgehen. Sicherheitslecks bei Internet Explorer 9 bis 11 lässt zu, dass Täter Programmcodes mit Benutzerrechten durchführen und Sicherheitsmechanismen umgehen können, während Windows Mail in der Version 8.1. ein Einfallstor für Datendiebstähle aufweist. Schwachstellen bei Excel Viewer, Office, Office Compatibility Pack, Office Mac 2016, Powerpoint Viewer, Share Point Server 2013, Word und Word Viewer eröffnen Angreifern die Möglichkeit, Programmcodes mit Benutzerrechten auszuführen, Rechte zu erweitern oder Sicherheitsrestriktionen zu umgehen. Eine ähnliche Problemlage findet sich beim Browser Microsoft Edge: Hier können Kriminelle Programmcode mit Benutzerrechten ausführen, Informationen offenlegen, Sicherheitsmechanismen umgehen und den Benutzer und Benutzerinnen täuschen. Das Bürger-CERT rät zu dazu, sobald wie möglich auf die neuesten Versionen upzudaten. Weitere Informationen und einen Leitfaden von Microsoft zu den einzelnen Updates stellt das Bürger-CERT hier bereit:

Microsoft Windows: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0100.html

Microsoft Internet Explorer: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0097.html

Microsoft Windows Mail: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0098.html

Microsoft Office: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0101.html

Microsoft Edge: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0099.html

 

 

  1. VLC: Schwachstelle ermöglicht Ausführen von Programmcode

 

Nutzerinnen und Nutzer von VLC sollten das neueste Update des Multimedia-Players installieren. Über eine Sicherheitslücke können Cyber-Kriminelle andernfalls Programmcodes mit Nutzerrechten ausführen. Betroffen ist die Version Open Source VLC bis einschließlich 2.2.8. Weitere Infos zu diesem Warnhinweis gibt das Bürger-CERT hier: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0102.html

 

 

  1. Adobe: Sicherheitslücken in verschiedenen Lösungen geschlossen

 

Adobe schließt Schwachstellen in Adobe Acrobat DC. Betroffen sind die Versionen 2015 bis 2018, über die Hacker Programmcodes mit Benutzerrechten ausführen, Informationen offenlegen oder Sicherheitsrestriktionen umgehen können. Weitere Schwachstellen identifizierte das Unternehmen im Flash Player. Den Download-Link finden Sie im jeweiligen Warnhinweis des Büger-CERT:

Adobe Acrobat DC: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0103.html

Adobe Flash Player: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0096.html

 

 

  1. Apple: Neue Versionen für Betriebssysteme und Browser verfügbar

 

Mit verschiedenen Updates geht Apple Security-Themen beim Browser Safari, dem mobilen Betriebssystem iOS sowie dem Mac Betriebssystem Mac OS X an. Bei Safari sind die Versionen vor 11.1.2 betroffen, in denen Angreifer durch die Schwachstellen einen beliebigen Programmcode mit Benutzerrechten ausführen, Daten manipulieren, vertrauliche Informationen einsehen oder einen Denial of Service Angriff durchführen könnten. Zudem schließt Appel die Schwachstellen für die in iPhone, iPad und iPod Touch verbauten System iOS Version 11.4.1 und der Versionen darunter: Dort könnten Täter beliebigen Code zur Ausführung bringen, Privilegien erhöhen, Sicherheitsvorkehrungen umgehen, Daten offenlegen, dem Benutzer und Benutzerinnen falsche Informationen darstellen oder einen Denial of Service verursachen. Apple Macs mit einem Betriebssystem vor Version 10.13.6 sollten ebenfalls upgedatet werden, andernfalls könnten Codes mit Systemprivilegien ausgeführt, vertrauliche Daten eingesehen, Sicherheitsmechanismen umgangen oder ein Denial-of-Service-Angriff durchgeführt werden. Die kompletten Warnhinweise und Risikoszenarien zu den einzelnen Updates und Produkten hat das Bürger-CERT aufgelistet:

Apple Safari: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0093.html

Apple iOS: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0094.html

Apple Mac OS: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/07/warnmeldung_tw-t18-0095.html

 

 

—————————————————-

Prisma

 

 

  1. Gaming: Ein Archiv für alle Spiele

 

Mit der „Internationalen Computerspielesammlung“ soll das größte öffentliche Game-Archiv entstehen. Im Auftrag der Stiftung Digitale Spielkultur wird eine Datenbank mit insgesamt rund 60.000 Videospielen zusammengestellt, wie Spiegel Online schreibt. Die Datenbank soll bis voraussichtlich Ende März nächsten Jahres die Games-Archiv von mehreren Institutionen bündeln und übersichtlich darstellen. Geplant ist nicht nur ein virtueller Raum, sondern mit einem “House of Games”“ auch ein ganz realer Ort, an dem Organisationen und Institutionen aus der Szene zusammenkommen. Die Sammlung will lückenlos alle Spiele listen, die seit 1994 auf den Markt kamen. Das Projekt kommt gerade richtig zur Gamescom: Denn schon bald wird, vom 22. bis 25. August 2018, die Messe für digitale Spielekultur in Köln wieder ihre Tore öffnen.

 

Videospiele laufen heute über Online-Anwendungen. Insofern sollten Gamer sich einige Sicherheitsfragen zum sicheren Umgang mit Spielen stellen: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/Computerspiele/Sicherheitsfragen/sicherheitsfragen_node.html

 

Zu Meldung von Spiegel Online: Der Traum von 60.000 Games unter einem Dach: http://www.spiegel.de/netzwelt/games/internationale-computerspielsammlung-unsere-vision-ist-ein-house-of-games-a-1217074.html

 

 

  1. IT-Sicherheit am Arbeitsplatz: Sicher in die Ausbildung starten

 

In den nächsten Monaten treten Hunderttausende von Auszubildenden ihren ersten, richtigen Job an – viele von ihnen an PC oder Laptop. Die meisten Unternehmen stellen IT-Nutzungsrichtlinien bereit, die sich in der Regel auf Software oder E-Mail beziehen. Doch gerade der Faktor Mensch spielt eine entscheidende Rolle, wenn Unternehmensnetze und geschäftliche Daten geschützt werden sollen. Das BSI hat deshalb eigens für Auszubildende eine Checkliste mit Tipps und Tricks zum Thema IT-Security zusammengestellt – die selbstverständlich für erfahrene Mitarbeiter und Mitarbeiterinnen genauso interessant ist. Die Liste fasst die relevanten Themen – vom sicheren Umgang mit Passwörtern über den Schutz sensibler Unternehmensdaten auf allen Endgeräten bis hin zu verantwortungsvoller Internetnutzung – übersichtlich zusammen: Checkliste für Azubis: “IT-Sicherheit am Arbeitsplatz”: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/IT_Sicherheit_am_Arbeitsplatz.html

 

Für mehr Sicherheit am Arbeitsplatz setzt sich das BSI übrigens auch im Rahmen der Allianz für Cyber-Sicherheit ein. 2012 vom BSI und verschiedenen Institutionen und Unternehmen gegründet, haben sich die Mitglieder das Ziel gesetzt, den Standort Deutschland gemeinsam gegen Cyber-Angriffe widerstandsfähig zu machen: https://www.allianz-fuer-cybersicherheit.de

 

 

  1. App-Sicherheit: Fitness auf Kosten der Datensicherheit

 

Fitness-Apps messen die Leistung von Sportlerinnen und Sportlern – oft tracken sie dazu auch deren Standort. Erst vor kurzem gelang es, über Positionsdaten aus der Fitness-App Polar Flow zum Teil geheime militärische Standorte zu enthüllen, wie mobilsicher.de berichtet. Laut dem finnischen Unternehmen Polar Global, das die App anbietet, wären diese Daten nur dann auf der öffentlichen Karte zu sehen, wenn die Benutzerinnen oder Benutzer dem per Opt-in zugestimmt hätten. Allein mit den Kartendaten aus Polar Flow, angereichert durch einfache Netzrecherche, konnte das Team etwa 6.500 Personen und 200 politisch kritische Standorte ausmachen. Der Fall Polar Flow ist nicht ungewöhnlich. Zahlreiche Wearables und Fitness-Apps nutzen für ihre Auswertungen Standortdaten.

 

Tipps zum verantwortungsvollen Umgang mit Wearables als Privatnutzer oder Privatnutzerin finden Sie hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/IoT_Wearables_sicher_nutzen.html

 

Zur Meldung von Mobilsicher.de: Wenn Fitness-Tracker-Apps zu viel verraten: https://mobilsicher.de/aktuelles/wenn-fitness-tracker-apps-zu-viel-verraten

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Schreibe eine Antwort

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

Erforderlich

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.