Bundesamt für Sicherheit in der Informationstechnik

SICHER • INFORMIERT vom 13.04.2017

Ausgabe: 08/2017

Schnell zum Abschnitt

Editorial

Liebe Leserinnen, liebe Leser,

nach dem Motto "Ins Internet – Mit Sicherheit!" möchten wir mit unserem Informationsportal "BSI für Bürger" Ihre Fähigkeiten als Privatanwender stärken, sich vor Angreifern aus dem Web zu schützen. Zusätzlich baut das BSI auf starke Kooperationspartner wie dem Programm Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK), um für Cyber-Sicherheit zu sensibilisieren. Unser Ziel ist, dass Sie alle wichtigen Informationen über den für Sie günstigsten Weg direkt erreichen. Mit unseren heutigen News informieren wir Sie über aktuelle Phishing-Versuche per SMS und E-Mail sowie wichtige Updates für den Schutz Ihrer digitalen Geräte, die Sie als Anwender dringend installieren sollten.

Wir wünschen Ihnen eine spannende Lektüre.

Ihr Bürger-CERT-Team

Störenfriede:

Phishing: Login-Daten von GMX-Nutzern und Kunden von Fluggesellschaften im Visier von Online-Betrügern

Berichten von ZDNet und heise zufolge haben es Online-Betrüger derzeit auf die Login-Daten von GMX-E-Mail-Konten und Kunden von Fluggesellschaften abgesehen. Mit einer angeblichen SMS des Absenders GMX.de sollen Nutzer dazu verleitet werden, sich auf einer Phishing-Webseite mit ihren Zugangsdaten einzuloggen, um ihr E-Mail-Konto zu reaktivieren. Vielflieger werden dagegen zurzeit gezielt mit authentisch wirkenden E-Mails im Namen von US-Fluggesellschaften oder -Reisebüros bzw. Mitarbeitern aus dem Personal- oder Finanzwesen angeschrieben, die präparierte PDF- oder DOCX-Dateien enthalten. Mit dem Öffnen des Anhangs wird ein Schadprogramm installiert. In einer zweiten Variante versuchen ähnliche E-Mails die Zugangsdaten zu Fluggesellschaften über Phishing-Webseiten zu erlangen. Empfänger von zweifelhaften E-Mails oder einer SMS sollten unter keinen Umständen darin einhaltende Links oder Dateien öffnen. Weitere Hinweise zum Thema "Phishing", was das Wort "Phishing" bedeutet und wie Sie sich davor schützen können, erklärt Ihnen die Webseite "BSI für Bürger".

Zum Artikel von ZDNet: Phishing-SMS gaukeln GMX als Absender vor
Zum Artikel von heise: Extrem effektive Phishing-Attacken gegen Vielflieger

Spam-Mails: Vorsicht vor gefälschten E-Mails von DHL und Amazon

Wer momentan eine vermeintliche Versandnachricht von DHL per E-Mail erhält, sollte diese aufmerksam prüfen. Es könnte sich um eine der Spam-Mails handeln, vor der die Polizei Niedersachsen auf dem Internetportal Polizei Prävention warnt. Klicken Sie nicht auf den enthaltenden Link, denn darüber wird ein Schadprogramm auf Ihren Computer installiert, das es Dritten erlaubt, auf Ihre Daten und Ihr System zuzugreifen. Heise verweist auf eine weitere aktuelle Spam-Welle, die eine falsche Amazon-Rechnung versendet. Auffällig ist der Sprachwechsel von Englisch auf Deutsch. Die relativ einfach gestaltete Fake-E-Mail wird jedoch mit einem gesundem Menschenverstand relativ schnell entlarvt und kann direkt gelöscht werden.

"BSI für Bürger" empfiehlt Ihnen: Nehmen Sie sich also bei jeder E-Mail immer "Drei Sekunden für mehr E-Mail-Sicherheit" und prüfen Sie alle E-Mails genau, bevor Sie sie öffnen.

Meldung der Polizei Niedersachsen: Ihr DHL Paket kommt am Dienstag (mit Bild der vermeintlichen DHL-Nachricht)
Zum Artikel von heise: Angebliche Amazon-Rechnungen entpuppen sich als Phishing

Schutzmaßnahmen:

Patchday: Umfassende Sicherheitsupdates für Microsoft

Microsoft stellt mit dem April 2017 Patchday Sicherheitsupdates unter anderem für die Browser Edge und den Internet Explorer und verschiedene Office-Pakete für Windows und Mac sowie für das Betriebssystem Windows bereit. Unter anderem wird die kritische Schwachstelle CVE-2017-0199 in Microsoft Office geschlossen, die mithilfe von präparierten Dokumenten im Rich Text Format teilweise bereits aktiv ausgenutzt wurde. Außerdem liefert Microsoft ein Update zum Adobe Flash Player. Mit dem Defense-in-Depth Update für Microsoft Office deaktiviert Microsoft den Filter für EPS-Grafikdateien in Microsoft Office, um die Ausnutzung einer noch nicht behobenen Sicherheitslücke im EPS-Filter zu verhindern. Weitere Informationen und Details zu den Updates gibt es in der Bürger CERT Warnmeldung.

Adobe: Wichtige Updates für Acrobat, Reader, Photoshop und Flash

Mit dem April Patchday hat Adobe mehrere Sicherheitslücken in den Programmen Adobe Acrobat, Reader, Photoshop und Flash geschlossen. Aktualisieren Sie diese beiden Programme umgehend über das entsprechende Download Center, sofern Sie nicht bereits die automatische Update-Funktion innerhalb des Produktes nutzen. In den folgenden drei Sicherheitshinweisen Warnungen des Bürger-CERT finden Sie weitere Informationen: Sicherheitsupdates für Adobe Acrobat, Reader, Acrobat DC und Acrobat Reader DC, Sicherheitsupdate für den Adobe Flash Player und Sicherheitsupdates für Adobe Photoshop CC.

Mozilla Thunderbird: Installation der neuesten Version dringend empfohlen

Nutzer des E-Mail-Programms von Mozilla Thunderbird sollten zügig die neue Version installieren. Mit dem Update werden mehrere, auch potenziell kritische Sicherheitslücken geschlossen. Die aktuelle Version steht ab sofort für die gängigen Betriebssysteme bereit. Weitere Informationen finden Sie in der Bürger-CERT Warnmeldung.

Android: Sicherheitsupdates für Android

Google schließt für Smartphones und ähnliche Geräte mit Google Android über 200 Sicherheitslücken. Angreifer könnten die Schwachstellen ausnutzen, um persönliche, sensible Informationen auf den Geräten auszuspähen und sich zusätzliche Berechtigungen für bestimmte Funktionen oder das gesamte Gerät einräumen. Das Ergebnis könnte ein kompletter Kontrollverlust über das eigene Gerät und die darauf liegenden Daten sein. Das Bürger-CERT-Team empfiehlt daher allen Anwendern dieses Betriebssystems umgehend ein Update durchzuführen, sobald dieses für das eigene Gerät zur Verfügung steht. Weitere Informationen zu den Webseiten der unterschiedlichen Anbieter finden Sie in der Bürger-CERT Warnmeldung.

Apple: Lücke in iOS Version 10.3 schließen

Nehmen Sie die Aktualisierung auf die iOS Version 10.3.1 zügig vor, um Ihr Gerät vor Angriffen über die Sicherheitslücke CVE-2017-6975 zu schützen. Über die Schwachstelle können Angreifer mithilfe eines präparierten WLAN-Access-Points beliebigen Programmcode auf Ihrem Gerät ausführen. Mehr Informationen finden Sie in der Bürger CERT Warnmeldung.

Chrome Browser: Empfehlung zum Sicherheitsupdate

Falls Sie das Update noch nicht durchgeführt haben sollten, aktualisieren Sie den Chrome Browser für Android und OS mittels der von Google bereitgestellten Sicherheitsupdates möglichst zeitnah, um eine erfolgreiche Ausnutzung der Sicherheitslücken in der Speicherverwaltung zu vermeiden. Die entsprechende Software-Download-Referenz finden Sie in der Bürger-CERT Warnmeldung.

Prisma:

Support für Windows Vista beendet: BSI rät zu Umstieg auf aktuelles Betriebssystem

Für Windows Vista wird es keine weiteren Updates mehr geben, auch wenn noch Fehler oder Sicherheitslücken entdeckt werden sollten. Denn am 11. April 2017 hat Microsoft den Support für dieses Betriebssystem beendet. Die weitere Nutzung von Vista birgt hohe Risiken für die IT-Sicherheit, vor allem wenn Geräte mit dem Internet verbunden sind, da eventuelle noch offene Schwachstellen nicht mehr durch Sicherheitsupdates geschlossen werden. Aus diesem Grund rät das BSI Anwendern von Windows Vista, das Betriebssystem nicht mehr zu verwenden und möglichst schnell auf ein anderes aktuelles Betriebssystem umzusteigen. Was Sie beim Wechsel zu einem anderen Betriebssystem beachten sollten, erklärt Ihnen die Online-Meldung von "BSI für Bürger".

Selbstschutz im Fokus: BSI und Polizei für mehr IT-Sicherheit

Risikobewusstsein schärfen, Selbstschutz ermöglichen und verhindern, dass Privatanwender Opfer von Cyber-Kriminalität oder gar unwissentlich zu Tätern werden: Diese Prämissen sind Teil der Präventionsarbeit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Programms Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK). Das BSI und ProPK wollen diese Zusammenarbeit auch in Zukunft weiter ausbauen und unterzeichneten Anfang April in Stuttgart eine gemeinsame Vereinbarung zur Kooperation der beiden Organisationen. Bereits in der Vergangenheit haben BSI und ProPK gemeinsam zu Themen der IT- und Internetsicherheit agiert: Mit der Online-Anwendung "Sicherheitskompass" klären sie zu zehn häufigen Sicherheitsrisiken im Internet auf, das Medienpaket "Verklickt" für den Schulunterricht vermittelt Jugendlichen sicherheitsbewusstes Verhalten im digitalen Alltag, unter anderem in Bezug auf Cyber-Mobbing, auf soziale Netzwerke oder Persönlichkeitsrechte.

BSI Pressemitteilung vom 04.04.2017: BSI und Polizei für mehr IT-Sicherheit

Sicherheit im Netz: Mit Sicherheitsirrtümern aufräumen

Es existieren Dutzende Missverständnisse, die ständig wiederholt und allzu schnell als Wahrheit hingenommen werden, ohne dass sie tatsächlich belegbar sind. Das BSI hat einige gängige Irrtümer identifiziert und zeigt auf, wie die Risiken, die aus einem falschen Verständnis von IT-Sicherheit resultieren, minimiert werden können. Zum Dossier "Sicherheitsirrtümer" auf der Webseite BSI für Bürger.