Bundesamt für Sicherheit in der Informationstechnik

SICHER • INFORMIERT vom 29.03.2018

Ausgabe: 07/2018

Schnell zum Abschnitt

Editorial

Liebe Leserin, lieber Leser,

am kommenden Wochenende steht nicht nur das Osterfest an. Am Samstag, den 31. März ist auch "World Backup Day". Genau der richtige Zeitpunkt, um auf all Ihren Endgeräten eine Sicherung Ihrer Daten durchzuführen. Denn regelmäßige Datensicherungen sind der beste Schutz gegen Datenverlust. Leider kommen solche Back-ups im Alltag aber oft zu kurz, obwohl sie viel Stress und Ärger vermeiden können. Der Aktionstag ist eine hilfreiche Gedankenstütze. Dennoch ist ein Back-up nur eine von vielen Möglichkeiten, um sich vor den Risiken der heutigen Cyber-Welt zu schützen. Welche Schutzmaßnahmen Sie sonst noch ergreifen können und welche aktuellen Gefahren derzeit im World Wide Web lauern, erfahren Sie in dieser Ausgabe unseres Newsletters.

Wir wünschen Ihnen eine spannende Lektüre und schöne Ostertage!

Ihr Bürger-CERT-Team

Störenfriede

Datenleck bei Facebook: So schützen Sie Ihre Daten

Der aktuelle Facebook-Skandal veranschaulicht, wie schnell persönliche Daten von Nutzerinnen und Nutzern in fremde Hände gelangen können. Es gibt jedoch einige Möglichkeiten, wie Sie Ihre Daten schützen können. Noch sind die Umstände des aktuellen Daten-Skandals nicht gänzlich aufgeklärt und bei den Schutzmaßnahmen von Facebook besteht Verbesserungsbedarf. Dennoch gibt es einige Einstellungen auf der Social-Media-Plattform, die zum Schutz sensibler Daten kritisch überprüft werden sollten. Letztlich kann jede Nutzerin und jeder Nutzer selbst steuern, welche Informationen er oder sie in dem Sozialen Netzwerk preisgeben will. Auf Süddeutsche.de erfahren Sie, wie Sie dafür sorgen können, dass Ihre Daten nicht von anderen eingesehen bzw. von Facebook weitergegeben werden können. Auf BSI für Bürger haben wir Ihnen die wichtigsten Tipps zur sicheren Verwendung von Sozialen Netzwerken zusammengefasst.

Zum Bericht von Süddeutsche Zeitung Online: So füttert man Facebook mit möglichst wenig Daten

Mining Trojaner: Malware über Github verbreitet

Aktuell laden Cyber-Kriminelle vermehrt Mining-Trojaner auf dem webbasierten Online-Dienst "Github" hoch, um sie auf diesem Weg zu verbreiten. Zusätzlich sollen Phishing-Anzeigen, zu einem angeblichen Flash-Update oder einem Porno-Spiel, auf anderen Webseiten zum Download der Software mit Schadcode verleiten, wie auf Heise Security zu lesen ist. Die Verbreitung der Malware über Github funktioniert, da der Online-Dienst Inhalte nicht standardmäßig überprüft. Die Plattform hat das Problem bemerkt und inzwischen eine Reihe von Projekten gelöscht. Es werden jedoch stetig neue Schädlinge auf der Plattform hochgeladen. Die meisten Trojaner entwenden jedoch keine Daten, sondern sollen auf infizierten Rechner die Krypto-Währung "Monero" schürfen. Das geschieht in der Regel völlig unbemerkt, weil der Schädling den Prozessor nur zu maximal 50 Prozent auslastet. Immer wieder versuchen Betrüger über solche "Trojanischen Pferde", getarnte Malware auf den Rechnern ihrer Opfer zu installieren. Mehr zu den Merkmalen von Trojanern finden Sie auf BSI für Bürger.

Zur Meldung von Heise Security: Mining-Trojaner lauern auf Github

Bug bei Apple: Sprachassistent liest Mails vor

Ein Fehler bei Apples Sprachassistent "Siri" ermöglicht Unbefugten derzeit den Zugang zu persönlichen Nachrichten und Mails. Aufgrund einer Schwachstelle liest Siri auf Befehl die Nachrichten laut vor, auch wenn das iPhone im gesperrten Modus ist. Der Fehler tritt bei Nachrichten von Drittanbietern wie WhatsApp, dem Facebook Messenger oder Gmail auf. Apples eigenes Nachrichtensystem blieb bisher verschont, wie in einem Artikel auf Spiegel Online berichtet wird. Wird Siri durch Drücken der Seitentaste aufgerufen, reagiert die Stimme auf Sprachbefehle – auch auf fremde Stimmen. Bis ein Software-Update diese Lücke schließt, sollten Sie in den Einstellungen die Aktivierung von Siri im Sperrzustand deaktivieren.

Zur Meldung von Spiegel Online: Wenn Siri Ihre privaten Mails laut vorliest

Phishing: Erneut gefälschte Mail der Commerzbank im Umlauf

Kunden der Commerzbank sollten erneut auf der Hut sein: Die Verbraucherzentrale warnt vor Phishing-E-Mails, die Kunden zu einem Datenabgleich aufrufen, weil die PIN angeblich mehrfach falsch eingegeben wurde. Die Methode ist altbekannt: Die Opfer erhalten eine gefälschte E-Mail, die einen Link enthält und zur Eingabe von Daten auffordert. Klicken Nutzerinnen oder Nutzer diesen Link an und geben dort ihre persönlichen Daten ein, gelangen die sensiblen Informationen direkt in die Hände der Betrüger. Um sich zu schützen, sollten Sie solche E-Mails ignorieren und löschen. Falls Sie Fragen zu einem Konto haben, klären Sie diese am besten stets direkt mit dem Kundenservice Ihrer Bank.
Immer wieder versuchen Betrüger, mit dieser Masche an persönliche Daten zu gelangen. Woran Sie Phishing-E-Mails und -Webseiten erkennen, erfahren Sie auf BSI für Bürger.

Zur Meldung von Verbraucherzentrale: Auch Commerzbank-Kunden sind wieder beliebtes Ziel von Phishing-Versuchen

Betrügerische Werbung: Gefälschte Anzeigen verweisen auf falschen Support

Über Googles Werbenetzwerk wurde eine gefälschte Amazon-Anzeige ausgeliefert. Statt auf den Online-Shop wurden Nutzerinnen und Nutzer, die die Werbung angeklickt haben, auf eine angebliche Support-Webseite von Apple oder Microsoft weitergeleitet. Laut ZDNet sollten die Opfer so zu einem Anruf bei einer teuren Support-Hotline bewegt werden. Die Werbeanzeige war einige Stunden online. Bei wie vielen Nutzern sie letztlich ausgespielt wurde, ist bislang nicht bekannt. Solche Betrugsversuche im Internet sind keine Seltenheit. Immer wieder versuchen Kriminelle, Anwenderinnen und Anwender in die Falle zu locken. Reagieren Sie beim Surfen auf unvorhergesehenen oder seltsam aussehenden Seiten daher mit Vorsicht und gesundem Menschenverstand.

Zur Meldung von ZDNet: Google-Suche zeigt betrügerische Amazon-Werbung an

Malware: Kaspersky entdeckt Schwachstelle in Routern

Sicherheitsforscher haben eine Malware namens "Slingshot" entdeckt, die vermutlich schon seit dem Jahr 2012 ihr Unwesen treibt. Als Einfallstor nutzt Slingshot offenbar kompromittierte Router des Unternehmens Mikrotik. Einem Bericht des Blogs silicon.de zufolge ist die Malware hochentwickelt und zielt mit Untermodulen darauf ab, eine ganze Reihe von Prozessen auszuführen. So kann die Malware den Windows-Rechner von Administratoren infizieren, weiteren Schadcode herunterladen und Schadcode ausführen, der vollen Zugriff auf die Festplatte und den Arbeitsspeicher ermöglicht. Ebenso kann die Malware Screenshots erstellen oder Tastatur- und Netzwerkdaten sowie Passwörter abgreifen. Im Kernel-Modus gewährt das Schadprogramm sogar Zugriff auf sensible Informationen wie Kreditkartendaten, Passwort-Hashes oder auch die Sozialversicherungsnummer. Dem Bericht zufolge ist die Verbreitung von Slingshot jedoch noch gering.

In der Regel werden Router in einem Local Area Network (LAN) oder Wide Area Network (WAN) eingesetzt. Sie sind der "Knotenpunkt" in einem solchen Geflecht, das Computer miteinander verbindet – ob mit oder ohne Kabel. Wird ein Router 'gehackt', können Angreifer möglicherweise auf alle Rechner im Netzwerk zugreifen. Wie Sie Ihren Router besser schützen können, lesen Sie auf BSI für Bürger.

Zur Meldung von silicon.de: Kaspersky entdeckt neue Windows-Malware Slingshot

Schutzmaßnahmen

Chrome: Schwachstellen in neuer Version behoben

Google schließt mit der Version 65.03325.181 des Chrome Browsers für die Betriebssysteme Linux, Windows und macOS mehrere Schwachstellen. Das Update gilt auch für die Open-Source-Variante Chromium. Detaillierte Informationen zu den Sicherheitslücken wurden bislang noch nicht bekannt gegeben, um zu vermeiden, dass Cyber-Kriminelle die Schwachstelle ausnutzen. Nutzerinnen und Nutzer sollten das Update möglichst zeitnah einspielen. Die neueste Version ist als Download oder über die Auto-Update-Funktion verfügbar, mehr dazu finden Sie im Sicherheitshinweis des Bürger-CERT.

Firefox: Wichtiges Browser-Update steht bereit

Mit dem Update auf die Version 59.0.1 stellt Mozilla ein Update für den Browser Firefox zur Verfügung. Damit schließt das Unternehmen eine kritische Sicherheitslücke, die es einem Angreifer ermöglicht, beliebige Befehle auf Ihrem System auszuführen.Spielen Sie die neue Version umgehend ein, um Ihr Gerät zu schützen. Den entsprechende Link zur aktuellen Software steht im Warnhinweis des Bürger-CERT.

VMware: Sicherheitslücke in Virtualisierungslösungen geschlossen

VMware stellt Sicherheitsupdates für VMware Workstation Pro / Player (Workstation) und Fusion Pro / Fusion (Fusion) zur Verfügung. Damit schließt VMware eine Schwachstelle, mit der ein System zum Absturz gebracht werden kann. Installieren Sie das Update so bald wie möglich.

Mozilla: Sicherheitsupdate für Firefox und Tor Browser

Mit der neuen Version des Firefox Browsers schließt Mozilla eine Schwachstelle, mit der ein Angreifer den Browser über eine besuchte Webseite zum Absturz bringen kann. Diese Sicherheitslücke betrifft auch den Tor Browser bis zur Version 7.5.3. Wir empfehlen Ihnen, das Update über die Update-Seite oder den Google Play Store zu laden und zu installieren. Wenn Sie den Tor Browser aufrufen, prüfen Sie zunächst, ob das Sicherheitsupdate verfügbar ist und installieren Sie dieses. Den Link zur Update-Seite sowie weitere Informationen entnehmen Sie dem Bürger-CERT Warnhinweis.

Apple: Sicherheitsupdate installieren

Das Apple Festplattendienstprogramm "Disk Util.app" von macOS 10.13 High Sierra weist eine Schwachstelle auf. Wie heise.de berichtet, kann das Festplattendienstprogramm Passwörter zu verschlüsselten APFS-Laufwerken verraten, weil das Passwort im System-Log im Klartext angezeigt wird. Um sich zu schützen, sollten Sie umgehend ein Sicherheitsupdate auf die Version macOS 10.13.3 durchführen, empfiehlt das Bürger-CERT. Denn auf externen Datenträgern neu erstellte und verschlüsselte APFS-Dateien haben diese Sicherheitslücke nicht mehr. Alle Details finden Sie im Bürger-CERT Sicherheitshinweis.

Zur Meldung von Heise Security: macOS 10.13 legt Passwörter zu verschlüsselten APFS-Laufwerken im Klartext ab

Prisma

Datensicherung: Am 31.03. ist World Back-up Day

Samstag, der 31. März ist "World Backup Day". Nutzen Sie diesen Tag als Gedankenstütze, um von Ihren Systemen eine aktuelle Datensicherung durchzuführen. Mit einem Back-up können Sie einem Datenverlust vorbeugen – unabhängig davon, ob dieser auf eine Schadsoftware, einen technischen Defekt oder einen Gerätediebstahl zurückzuführen ist. Denn sind Ihre persönlichen Daten – ob Fotos, Dokumente oder sonstige wichtige Informationen – erst einmal verloren, sind sie in der Regel nur schwer oder überhaupt nicht wiederherzustellen. Und das passiert häufiger als vermutet: Wie eine Umfrage des BSI zeigt, waren bereits mehr als die Hälfte (53 Prozent) aller Deutschen von einem Datenverlust betroffen.

Mit dem richtigen Back-up-Plan können Sie Ihre Informationen nachhaltig schützen und behalten die Sicherungen rechtzeitig im Blick. Weiterführende Informationen zu Back-up-Umfrage finden Sie in der aktuellen Pressemeldung des BSI.

Digital Safety Compass: Digitale Sicherheit auf einen Blick

Unser Alltag ist digital: Wir chatten, surfen, shoppen und vieles mehr. Auch wenn wir unterwegs sind, ganz einfach mobil via Smartphone, Laptop oder Tablet. Wie sicher sind dabei unsere sensiblen Daten? Dies können Sie jetzt mit dem Digital Safety Compass herausfinden. Er gibt Ihnen praktische Tipps zur Gestaltung Ihres digitalen Alltags an die Hand. Die Anwendung wurde in einem Masterprojekt des Instituts für Digitale Ethik der Hochschule der Medien Stuttgart entwickelt. Weitere Informationen zum Digital Safety Compass sowie einen Link zum Download finden Sie auf Klicksafe.

Smarte Geräte: Risiken der Heimautomatisierung

Schon 1975 wurden die ersten Konzepte für eine "Heimautomatisierung" veröffentlicht. Seitdem sind mehr als vierzig Jahre vergangen. Zwar wird heutzutage viel über das Smart Home gesprochen, damit ausgestattet sind bislang aber nur einige zehntausend Haushalte hierzulande, wie die ZEIT Online berichtet. Sprachassistenten, wie Alexa, Siri oder der Google Assistent, könnten die Verbreitung jedoch deutlich erhöhen, da diese Lösungen zur Vernetzung unterschiedlicher Geräte die Bedienbarkeit komfortabler gestalten. Allerdings bringen diese automatisierten Alltags-Assistenten in punkto Datenschutz und Datensicherheit auch einige Risiken mit sich. Denn sind sie eingeschaltet, 'hören' sie oft ständig mit. Worauf Sie achten sollten, um Ihr intelligentes Zuhause ausreichend abzusichern, erfahren Sie in unserem Video auf BSI für Bürger.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK