Bundesamt für Sicherheit in der Informationstechnik

SICHER • INFORMIERT vom 16.03.2017

Ausgabe: 06/2017

Schnell zum Abschnitt

Editorial

Liebe Leserinnen, liebe Leser,

mit seinem Informationsangebot "BSI für Bürger" ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) auch dieses Jahr vom 20. bis zum 24. März auf der CeBit in Hannover vertreten. Am Stand können sich speziell auch Privatanwender über Möglichkeiten informieren, wie sie ihre digitalen Geräte vor dem unerlaubten Zugriff Dritter schützen können. E-Mail-Sicherheit, sichere Passwörter, Botnetze, die Nutzung öffentlicher Netze sind nur einige Stichworte über die es sich lohnt, als Internetnutzerin oder -nutzer Bescheid zu wissen.

Auf welche Störenfriede Sie aktuell achten und welche Schutzmaßnahmen Sie ergreifen sollten, haben wir in folgendem Newsletter für Sie zusammengestellt.

Wir wünschen Ihnen eine spannende Lektüre.

Ihr Bürger-CERT-Team

Störenfriede:

Spam: Falsche E-Mails im Umlauf

Derzeit sind zahlreiche Spam-E-Mails mit Bezug auf verschiedene bekannte Unternehmen im Umlauf. Vermeintliche DHL-Sendungsberichte, gefälschte Hotelbestätigungen und unechte Benachrichtigungen von PayPal und Banken machen die Runde. Dahinter steckt der Versuch, die Ransomware Cerber zu verbreiten. Die E-Mails enthalten im Anhang eine zip-Datei. Wird diese geöffnet, startet eine JavaScript-Datei den Download der Schadsoftware. Löschen Sie eine solche Mail umgehend und klicken Sie keinesfalls auf Anhänge, wenn Sie an der Echtheit einer E-Mail zweifeln. Weitere Tipps zu E-Mail-Sicherheit gibt das BSI.

Auf der Facebook-Seite von BSI für Bürger finden Sie ein Beispielbild zur DHL Phishing Mail. Im Ratgeber Internetkriminalität der Polizei finden Sie zudem einen Bericht zu aktuellen gefälschten E-Mails, die angeblich von der Sparkasse stammen sollen. Auch das Bundeszentralamt für Steuern weist erneut auf eine gefälschte E-Mail hin, mit der die Empfänger dazu verleitet werden sollen, Ihre Bankdaten anzugeben. Weitere Informationen dazu gibt das Amt in seiner Pressemitteilung vom 16.03.2017.

Betrugsversuche: Gefälschte Jobangebote

Jobsuchende müssen sich vor gefälschten Stellenanzeigen im Netz und in E-Mails in Acht nehmen, wie heise.de berichtet. Interessierte sollten Online-Anzeigen genau prüfen und nicht direkt persönliche Daten preis geben oder gar Geldforderungen für zum Beispiel angebliche Vermittlungsgebühren nachkommen. Vor einer weiteren Gefahr warnt das hessische Landeskriminalamt in diesem Zusammenhang auf cio.de: "Die Täter überweisen Geld an die Opfer, das diese wiederum an andere überweisen sollen. Dadurch wird der Geldfluss verschleiert". Kommt das Opfer dieser Aufforderung nach, beteiligt es sich unwissentlich an der Durchführung einer Straftat.

Das BSI rät: Überprüfen Sie den Sicherheitsstatus von Webseiten, auf denen Sie persönliche Daten eingeben. Seriöse Firmen fordern ihre Kunden niemals per E-Mail oder per Telefon zur Eingabe von vertraulichen Informationen auf. Sollten Sie Zweifel an der Echtheit eines Angebots haben, gehen Sie direkt auf die Webseite des Unternehmens und nehmen Sie Kontakt mit der Personalabteilung auf. Beachten Sie die generellen Sicherheitsregeln, die für das Surfen im Internet und den E-Mail-Verkehr gelten. Ausführlichere Informationen finden Sie auf der Webseite BSI für Bürger.

Zum Artikel auf heise.de: Neue Betrugsmasche: Gefälschte Job-Angebote im Internet
Zum Artikel auf cio.de: Gefälschte Jobangebote im Internet

Darknet: E-Mail-Daten von Gmail- und Yahoo-Nutzern geklaut

Immer wieder tauchen gestohlene Zugangsdaten von E-Mail-Konten im sogenannten Darknet auf. Dieses nicht offensichtlich zugängliche Netzwerk nutzen Internet-Kriminelle, weil viele Wege der Kommunikation und des Tausches von gestohlenen Waren auf der „dunklen Seite“ des Netzes nur schwer nachzuvollziehen sind. Solche Angebote können auch größere Datenpakete von Internetnutzern umfassen. So wurden z.B. über Drittanbieter hunderttausende Google- und Yahoo- E-Mail-Konten inklusive Passwörtern im Darknet gefunden, wie Computerbild schreibt. Das BSI empfiehlt Nutzerinnen und Nutzer dieser E-Mail Dienste Ihre Passwörter zu ändern. Zusätzlich können Sie künftig Ihre eigene E-Mail Kommunikation auch durch Verschlüsselung absichern.

Zum Artikel auf computerbild.de: Hunderttausende Yahoo- und Gmail-Konten im Umlauf
Zum Artikel der Berliner Zeitung: Dunkles Internet - so funktioniert das Darknet

Browser: Maleware-Script auf Explorer 11

Bei der Nutzung des Internet-Explorers 11 kann es aktuell passieren, dass der Surfer mit einem sehr authentischen, aber unechtem Microsoft-Alert konfrontiert wird. In dem Pop-up wird der User auf eine angebliche Infektion des Computers oder einen Systemfehler hingewiesen. Es könnte sich dabei um eine JavaScript-Maleware handeln, wie Microsoft schreibt. Was dieses Schadprogramm genau macht, ist bislang ungeklärt. Es könnte z.B. Daten abgreifen oder unerlaubte Befehle auf dem Computer ausführen wollen. Erkennen können die User das falsche Pop-up vor allem daran, dass das Dialog-Fenster nach dem Schließen sofort wieder auftaucht und sich weiterhin nicht schließen lässt. Der Spuk ist vorbei, wenn das Browserfenster komplett geschlossen wird. Die zuletzt besuchte Webseite sollte nicht mehr aufgesucht werden, da diese wahrscheinlich die JavaScript-Malware enthält. Beim erneuten Öffnen des Browsers sollte das Pop-up nicht mehr auftauchen. Beispielbilder für ein gefälschtes Pop-up finden Sie im Technet-Support von Microsoft. Zur Microsoft Beschreibung einer JavaScript Malware geht es hier.

Über unser Webangebot BSI für Bürger erfahren Sie, was Schadprogramme eigentlich sind und warum diese gefährlich sein können.

Schutzmaßnahmen:

Microsoft: Patchday schließt 140 Sicherheitslücken

Microsoft stellt mit dem März 2017 Patchday Softwareupdates für über 70 Produkte zur Verfügung und schließt insgesamt 140 Sicherheitslücken, wie heise.de berichtet. Einige werden vom Konzern selbst als kritisch eingestuft. Mit relativ geringem Aufwand könnten Angreifer Systeme mit schadhaftem Code infizieren. Alle Nutzer von Windows-Computern sollten daher die Updates schnell installieren. Eine Liste der betroffenen Systeme sowie weiterführende Links finden Sie in der Bürger-CERT Warnmeldung.

Zum Artikel von heise.de: Sicherheitsupdates Microsoft veranstaltet zwei Patchdays an einem Tag

Chrome und Firefox: Browser-Sicherheitsupdate

Sicherheitshinweis: Google und Mozilla stellen Sicherheitsupdates für ihre Browser bereit. Nutzern empfiehlt das BSI, die jeweils aktuelle Version zeitnah zu installieren. Angreifer aus dem Internet könnten die Sicherheitslücken ausnutzen, um beliebige Programmbefehle auf Ihrem System auszuführen, wodurch dieses eventuell stark beschädigt werden kann. Zudem wäre das Ausspähen von Informationen und die Darstellung falscher Informationen möglich. Die entsprechende Software-Download-Referenz finden Sie anbei. Die Updates für Chrome und für Firefox finden Sie in den Bürger-CERT Warnmeldungen.

VMware Workstation: DoS-Attacken unterbinden

VMware Workstation Pro und Player ermöglicht die Virtualisierung von Betriebssystemen. Mehrere Sicherheitslücken in den Programmen ermöglichen es Angreifern aus dem Netzwerk, Systemrechte zu erhöhen oder Denial-of-Service (DoS)-Angriffe durchzuführen. Installieren Sie die von VMware zur Verfügung gestellten Sicherheitsupdates. Eine Übersicht der Links finden Sie in der Bürger-CERT Warnmeldung.

Android: Update installieren

Android ist ein Betriebssystem und eine Software-Plattform für mobile Geräte wie Smartphones, Mobiltelefone, Netbooks und Tablet-Computer. Mit den aktuellen Sicherheitsupdates für Android werden mehrere Sicherheitslücken geschlossen. Angreifer könnten zum Beispiel aus der Ferne und ohne am Gerät angemeldet zu sein Informationen ausspähen, die Verfügbarkeit des gesamten Geräts beeinträchtigen oder dauerhaft die Kontrolle über Ihr Gerät zu übernehmen. Alle Hinweise, welche Geräte betroffen sind und die Updates finden Sie in der Bürger-CERT Warnmeldung.

Symantec: Schutz wieder herstellen

Symantec Endpoint Protection ist ein Softwarepaket zum Schutz vor Viren und Malware. Durch Sicherheitslücken in der Software könnten sich Dritte Zugriff auf das System verschaffen, es schädigen oder auch Befehle ausführen. Die Bürger-CERT Warnmeldung fasst die aktuellen Updates zusammen.

Adobe: Flash Player und Shockwave Player aktualisieren

Adobe bestätigt mehrere Sicherheitslücken im Adobe Flash Player und Shockwave Player. Mit dem Flash Player werden multimediale aktive Inhalte wiedergegeben. Das Programm ist integraler Bestandteil zahlreicher Adobe Produkte. Mit dem Adobe Shockwave Player werden Dateien im Adobe-Format DCR (Shockwave) innerhalb des Browsers dargestellt. Das Bürger-CERT empfiehlt: aktualisieren Sie Ihre Software für den Adobe Flash Player und den Adobe Shockwave Player.

Prisma:

OwnCloud und Nextcloud:Tausende Clouds anfällig für Cyber-Attacken

Über 20.000 in Deutschland betriebene Clouds, die veraltete Versionen der Software ownCloud und Nextcloud einsetzen, weisen zum Teil kritische Sicherheitslücken auf. Angreifer können durch diesen unsicheren Betrieb auf die in der Cloud gespeicherten Daten zugreifen, sie manipulieren oder veröffentlichen. Bereits seit Anfang Februar benachrichtigt das CERT-Bund des BSI deutsche Netzbetreiber über diese dem BSI bekannten betroffenen Cloud-Systeme. Wie Nutzer Ihren Cloud-Service prüfen können, beschreibt Ihnen die aktuelle BSI- Pressemitteilung.

BSI: Magazin "Mit Sicherheit" 2017/01 veröffentlicht

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die neue Ausgabe des BSI-Magazins "Mit Sicherheit" veröffentlicht. Das Magazin steht Ihnen online auf der Seite www.bsi.bund.de/BSI-Magazin zur Verfügung. Eine gedruckte Version können Sie ebenfalls auf dieser Seite kostenfrei bestellen. Themen in der aktuellen Ausgabe sind unter anderem die Zerschlagung der weltweit größten Botnetzinfrastruktur Avalanche, das Internet of Things, die aktuelle Personalmarketingkampagne des BSI oder die mögliche Beeinflussung von Meinungen und Wahlen mithilfe von Social Bots.

Leserumfrage: Ihre Meinung und Anregung ist uns wichtig!
Teilen Sie uns mit, welche Themen Sie im BSI-Magazin am liebsten lesen und über was Sie in Zukunft gerne mehr lesen würden. Wir freuen uns auf Ihre Antworten unter www.bsi.bund.de/Leserumfrage.

Das BSI auf der CeBIT: IT-Sicherheit für Privatanwender

Mit seinem Informationsangebot "BSI für Bürger" ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) auch dieses Jahr vom 20. bis zum 24. März auf der CeBIT in Hannover vertreten. Am BSI-Stand im Public Sector Parc, Halle 7, Stand A 58, können sich speziell auch Privatanwender über Möglichkeiten informieren, wie sie ihre digitalen Geräte vor unerlaubtem Zugriff Dritter schützen können. E-Mail-Sicherheit, sichere Passwörter, Botnetze, die Nutzung öffentlicher Netze sind nur einige Stichworte, über die es sich lohnt, als Internetnutzerin oder -nutzer Bescheid zu wissen. Nach dem Motto "Ins Internet – mit Sicherheit" geben wir Ihnen vor Ort unsere Empfehlungen an die Hand, damit Sie selbst aktiv Schutzmaßnahmen umsetzen zu können.

Neben den Serviceangeboten für Bürgerinnen und Bürger präsentiert das BSI an seinem eigenen Stand (H30) in Halle 6 weitere Aufgabenbereiche und Neuerungen rund um die IT-Sicherheit für Staat, Wirtschaft und Gesellschaft. Zudem können sich interessierte Absolventen und berufserfahrenen Fachkräfte über das BSI als Arbeitgeber informieren. Denn das BSI soll dieses Jahr um 180 neue Mitarbeiter wachsen. Ausführlichere Informationen zu den einzelnen Themen finden Sie unter www.bsi.bund.de.

Internet der Dinge: Nintendo-Spielkonsole gehackt

Internetfähige Geräte, Spielzeuge oder Autos bringen viele neue Möglichkeiten – auch für Kriminelle, die sich in diese Systeme hacken möchten. Auch die neue Spielkonsole Nintendo Switch ist von einem Hackerangriff betroffen. Ein Hacker ist dort über eine Sicherheitslücke im integrierten Webbrowser ins sogenannte Userland einem Teil des Betriebssystems der Konsole eingedrungen. Falls der Hacker von hier in einem nächsten Schritt zum Betriebssystemkern vordringt, wäre eine Komplettübernahme des Gerätes möglich, wie heise.de berichtet. Verschafft sich ein Hacker unerlaubt Zugriff auf eine große Anzahl dieser oder anderer internetfähiger Geräte, können diese zum Beispiel für den Aufbau von Botnetzen genutzt werden.

"Was ist ein Botnetz und wie kann ich mich schützen?" - das BSI-Video gibt Ihnen einen Überblick zur Gefahr von Botnetzen. Entscheiden Sie immer bewusst wann und wie Sie Ihre Geräte mit dem Internet verbinden. Wenn Sie die Geräte nicht nutzen, unterbrechen Sie die Verbindung zum WLAN. Nutzen Sie nur gesicherte WlAN-Netze, in die Sie sich mit einem Passwort einloggen müssen.

Zum Artikel auf heise.de: Nintendo Switch Hacker baut iOS Exploit um und nutzt Schwachstelle im Browser
Auch die EU-Initiative für mehr Sicherheit im Netz "Klicksafe" geht in ihrem neuen Newsletter auf das Risiko von vernetztem Spielzeug ein.

Microsoft: Service für Windows Vista und Office 2007 endet bald

Nach dem nächsten Patchday im April 2017 wird Microsoft für das Betriebssystem Windows Vista und die Softwareprodukte von Office 2007 keine neuen Sicherheitsupdates mehr anbieten. Anwender sollten beachten, dass Sie die Systeme danach nicht mehr mit Internetanschluss nutzen. Mit dem BSI für Bürger "Leitfaden für sicheres Patch-Management" können Sie zudem regelmäßig Ihre digitalen Geräte auf dem aktuellsten Stand halten.

Zum Artikel von heise.de: Support für Office 2007 endet
Zum Artikel von heise.de: Letzter Support-Monat für Windows Vista

BSI im Dialog: Diskussionen zu Datenschutz und Datensicherheit

Sind meine Daten in der fortschreitenden Digitalisierung noch sicher? Was müssen Datenschutz und Datensicherheit leisten, um das zu garantieren? In einer angeregten Diskussion zum Thema „Digitales Vertrauen durch Datenschutz und Datensicherheit“ hatte das BSI im Rahmen der Veranstaltungsreihe "BSI im Dialog" Vertreter der Gesellschaft eingeladen, um zusammen mit der Stiftung Datenschutz und der Bundesbeauftragten für Datenschutz und Informationssicherheit zu erörtern, was sichere digitale Daten für die unterschiedlichen Perspektiven bedeutet. Einen Einblick in die Veranstaltung gewinnen Sie auf der Webseite BSI Bund.