Bundesamt für Sicherheit in der Informationstechnik

SICHER • INFORMIERT vom 01.03.2018

Ausgabe: 05/2018

Schnell zum Abschnitt

Editorial

Liebe Leserin, lieber Leser,

die Digitalisierung erleichtert das tägliche Leben in vielen Bereichen und macht es deutlich bequemer. Das Zuhause wandelt sich zunehmend zum Smart Home, sogar im Kinderzimmer kommen immer mehr vernetzte Geräte zum Einsatz. Eines sollte man jedoch nicht außer Acht lassen: Die vernetzte Technik bringt Risiken für Geräte und persönliche Daten mit sich. Während wir Ihnen hier alle 14 Tage Empfehlungen zu bereits vorhandenen Schutzmöglichkeiten aufzeigen, befassen sich IT-Sicherheitsexperten täglich mit der Frage, wie die Digitalisierung mit ihren unterschiedlichen neuen Anwendungen sicher gestaltet werden kann. Und hierbei spielt die nachwachsende Generation an IT-Sicherheitsfachkräften, die sich auch dieses Jahr wieder deutschlandweit bei der Cyber Security Challenge (CSC) misst, eine immer wichtigere Rolle.
Weitere Informationen zum Wettbewerb und zu aktuellen Gefahren im Netz erhalten Sie in der aktuellen Ausgabe unseres Newsletters.

Wir wünschen Ihnen eine spannende Lektüre.

Ihr Bürger-CERT-Team

Störenfriede

Android Spyware: Schadsoftware tarnt sich als Messenger

Mit dubiosen weiblichen Facebook-Profilen werden überwiegend männliche Nutzer des sozialen Netzwerkes geködert und dazu getrieben, eine nicht-authentische Variante der Messenger-App Kik für Android herunterzuladen. Wie ZDNet berichtet, werden dazu drei Profile von attraktiven Frauen genutzt, die zunächst mit ihren Opfern flirten und sie dann einladen, über den Kik-Messenger weiter privat zu kommunizieren. Laden Anwender die App herunter, installieren sie jedoch statt des Messengers eine Malware auf ihrem Endgerät. Diese kann persönliche Daten wie Kontakte, SMS, Fotos oder Anruflisten ausspähen.

Laden Sie grundsätzlich keine Software aus unbekannten Quellen herunter und lassen Sie gesundes Misstrauen bei Anfragen und Kontaktversuchen von Unbekannten walten. Wenn Sie bei Ihrem Endgerät ein ungewöhnliches Verhalten beobachten, wie beispielsweise einen erhöhten Akkuverbrauch, könnte ein Schadprogramm der Auslöser dafür sein.

Auf BSI für Bürger erfahren Sie, wie Sie Ihr System säubern können, wenn Sie sich ein Schadprogramm auf dem Smartphone eingefangen haben.

Zur Meldung von ZDNet: Hacker verbreiten Android-Spyware per Facebook

Apple Malware: Wie Coldroot und Shlayer auf Mac-Rechner gelangen

Während mit Coldroot bereits seit 2016 ein Mac-Trojaner unerkannt sein Unwesen treibt, ist mit Shlayer derzeit eine weitere Mac-spezifische Malware im Umlauf, die Browser-Suchergebnisse manipuliert.
Laut Mac & i kann Coldroot Passwörter stehlen, Dateien löschen oder umbenennen sowie Dokumente herunterladen und übertragen. Als Dokument getarnt verlangt der Trojaner die Eingabe der Zugangsdaten zum macOS-Benutzerkonto. Kommt man der Aufforderung nach, gelangt die Malware auf das Endgerät. Ab der macOS-Version 10.12 sind die Rechner durch einen Integritätsschutz für die Datenschutz-Datenbank von Apple abgesichert, hier haben derartige Trojaner kaum eine Chance.
Shlayer nutzt einen alten Trick, indem die Malware sich als vermeintliches Update des Adobe Flash Player ausgibt, so Mac & i. Einmal auf dem Gerät, kann dann weitere Malware, derzeit vor allem Adware, nachgeladen werden. Da die Betrüger die Schadsoftware mit Apple-Entwicklerzertifikaten signiert haben, löst der Schutzmechanismus Gatekeeper keinen Alarm aus. Zum Schutz vor dieser Malware sollten Nutzerinnen und Nutzer Updates generell nur direkt von der Hersteller-Seite herunterladen, in diesem Fall von der Adobe-Webseite.

Verfügbare Sicherheitsupdates sollten Sie stets umgehend einspielen, egal ob für den PC oder mobile Geräte. So verhindern Sie ein Ausnutzen bekannter Schwachstellen. Weiterführende Informationen erhalten Sie in unserem Video zu Sicherheitsupdates auf BSI für Bürger.

Zur Meldung von Mac & i: Coldroot: Mac-Trojaner offenbar seit zwei Jahren unentdeckt

Zur Meldung von Mac & i: "Shlayer": Neue Mac-Malware setzt auf alte Tricks

Kostenfalle: Unseriöse Aufforderung zur Datensatz-Aktualisierung

Internetbetrüger versuchen derzeit, Gewerbetreibende mit einer E-Mail in eine Kostenfalle zu locken. Sie geben vor, dass es aufgrund eines EU-Gesetzes notwendig sei, die Geschäftsdaten in einer Datenbank zu aktualisieren, warnt polizei-praevention.de. Nach Klick auf den in der Mail angegebenen Link wird man auf die Seite einer bulgarischen Firma weitergeleitet, was eigentlich schon stutzig machen sollte. Wer hier unachtsam seine Daten eingibt, bucht einen Firmeneintrag, der 75 Euro monatlich bzw. 900 Euro im Jahr kostet. Ersichtlich ist dies jedoch erst durch einen genauen Blick in die AGBs. Einen anderen Hinweis auf die anfallenden Kosten gibt es nicht.
Wenn Sie bereits auf die Betrüger hereingefallen sind, sollten Sie sich umgehend mit Unterstützung eines rechtskundigen Anwalts an den Betreiber wenden und den Vertrag widerrufen. Um sich vor solchen Betrugsfällen zu schützen, sollten Sie stets mit gesundem Menschenverstand surfen und ebenso vorsichtig mit E-Mails im geschäftlichen wie privaten Kontext umgehen.

Mehr zu Kostenfallen im Internet und wie Sie dagegen vorgehen können, lesen Sie auf BSI für Bürger.

Zur Meldung von polizei-praevention.de: Veröffentlichung der Umsatzsteuer-Identifikationsnummer

Schutzmaßnahmen

Apple: Sicherheitsupdates für Betriebssysteme verfügbar

Apple stellt zwei neue Sicherheitsupdates für seine Betriebssysteme iOS und High Sierra zur Verfügung. Mit der iOS Version 11.2.6 und macOS High Sierra 10.13.3 schließt der Hersteller eine Schwachstelle im jeweiligen Betriebssystem, über die Angreifer die Komponente CoreText zum Absturz bringen oder in eine Endlosschleife versetzen können. Dadurch wird der unterbrechungsfreie Betrieb gestört.
Nutzerinnen und Nutzer sollten die Sicherheitsupdates umgehend einspielen. Die Version iOS 11.2.6. kann als ‚Over-The-Air’ (OTA) Update oder über iTunes auf das iPhone oder iPad heruntergeladen werden. Die aktuelle Version macOS High Sierra 10.13.3 ist auf der aktuellen Support-Webseite von Apple bereits verfügbar.

Den Download-Link finden Sie im jeweiligen Sicherheitshinweis des Bürger-CERT:
TW-T18-0026 IOS Version 11.2.6

TW-T18-0027 macOS High Sierra Version 10.13.3

Prisma

Internet of Things: Wie sicher sind Baby-Monitore?

Das Internet ist mittlerweile zunehmend in Kinderzimmern präsent: Immer öfter spielen Kinder mit vernetzten Spielzeugen oder Eltern nutzen Babyfone, die per WLAN mit dem Heimnetzwerk verbunden sind. Allerdings bringen diese internetfähigen Spielzeuge und Geräte auch eine Reihe von Risiken mit sich. So zeigten Sicherheitsforscher jetzt beispielsweise an einem Babyfon eine Reihe von Schwachstellen auf, welche unter anderem Dritten Zugang zum jeweiligen Video der Überwachungskamera verschaffen könnten, wie sec-consult.com berichtet.

Eltern sollten die Risiken nicht unterschätzen, die mit internetfähigen Geräten – nicht nur im Kinderzimmer, sondern im gesamten Smart Home – verbunden sind, und entsprechend vorsorgen. Wie Sie den Einstieg in das Internet der Dinge möglichst sicher gestalten können.

Zur Meldung auf sec-consult.com: Internet der Babies – der Spion im Kinderzimmer

Test: Nachholbedarf bei Sicherheitsstandards von Dating-Apps

Dating-Apps werden immer beliebter. Eines sollten Nutzerinnen und Nutzer jedoch stets beachten: In so mancher Anwendung reichen die IT-Sicherheitsstandards längst nicht aus, um die hinterlegten Informationen zu schützen. So werden Daten wie Name, Alter, sexuelle Orientierung oder Wohnort in einigen Fällen an Dritte weitergegeben, wie in einem Bericht auf golem.de zu lesen ist. Gemäß einer Untersuchung von Stiftung Warentest wiesen 39 iOS- und Android-Apps große Mängel auf, auch hinsichtlich der Datenschutzerklärung.
Gefälschte Benutzerprofile sind ebenfalls ein verbreiteter Weg, um Nutzerinnen und Nutzer von Dating-Apps in die Irre zu führen: Denn nicht selten bezahlen Anbieter professionelle Schreiber dafür, dass sie mit diesen gefälschten Profilen zur Nutzung von kostenpflichtigen Angeboten verleiten.

Wer in der digitalen Welt nach einem Partner sucht, sollte deshalb stets auch auf die IT-Sicherheit achten. Worauf Sie Ihr Augenmerk dabei legen sollten, erfahren Sie in auf BSI für Bürger.

Zum Artikel auf Stiftung Warentest: Zu wenig Datenschutz in Dating-Apps

Wettbewerb: Voranmeldung zur Cyber Security Challenge 2018 ab sofort möglich

Auch in diesem Jahr unterstützt das BSI die Cyber Security Challenge in Deutschland. Interessierte Schülerinnen und Schüler, Auszubildende sowie Studentinnen und Studenten können vom 1. März bis 1. Juni ihr Wissen rund um IT-Sicherheit unter Beweis stellen. In diesem Zeitraum müssen die potenziellen IT-Sicherheitsfachkräfte online neun komplizierte Aufgaben lösen. Die 20 besten Teilnehmerinnen und Teilnehmer nehmen am Finale des Wettbewerbs vom 2. bis 5. Juli in Düsseldorf teil. Zu gewinnen gibt es neben Sachpreisen auch die Teilnahme an der European Cyber Security Challenge in London diesen Herbst.

Zum Beitrag zur Cyber Security Challenge und zur Anmeldung

Tracking-Funktion: Wenn der Diebstahlschutz zur Sicherheitslücke wird

Die auf den ersten Blick nützliche Funktion "Meinen Mac suchen" bzw. "Mein iPhone suchen", mit der sich das jeweilige Apple-Gerät im Falle eines Diebstahls oder Verlustes orten lässt, kann zur Sicherheitslücke werden.
Ein von Mac & i beschriebener Fall zeigt, dass das nachträgliche Entfernen eines Geräts aus einem zugeordneten iCloud-Konto nicht möglich ist. Das Problem: Es kann nur lokal am Rechner, Tablet oder Smartphone die Verbindung zu einem iCloud-Konto entfernt werden, nicht aber aus der Ferne.
Wird dieser Schritt aber beispielsweise vor einem Verkauf des Geräts vergessen, behält der iCloud-Kontoinhaber theoretisch zumindest eingeschränkte Kontrolle über den Rechner. Der neue Besitzer kann getracked und das System ferngesteuert gelöscht werden, wenn das Gerät nicht dem eigenen iCloud-Zugang zugeordnet wird.
Neben solchen Fragen der Account-Zuordnung ist es ebenso wichtig, Daten vollständig vom Gerät zu löschen, bevor es weiterverkauft oder -gegeben wird.

Das BSI erklärt in wenigen Schritten, was in diesem Fall beim Smartphonewechsel genau zu tun ist.

Zum Artikel auf Mac & i: "Meinen Mac suchen": Verkaufter Apple-Rechner bleibt über Jahre verfolgbar