Bundesamt für Sicherheit in der Informationstechnik

SICHER • INFORMIERT vom 16.08.2018

Ausgabe: 17/2018

Schnell zum Abschnitt

Liebe Leserinnen, liebe Leser,

mit dem Ende der Sommerferien kehrt für Familien der Alltag wieder ein. Die großen Urlaubsreisen sind vorbei oder neigen sich dem Ende zu. Mit der Ankunft Zuhause gilt es nicht nur, aufgelaufene Post zu sichten oder zu prüfen, ob die Grünpflanzen Ihre Abwesenheit überstanden haben. Es empfiehlt sich auch, bei Ihrer IT nach dem Rechten zu sehen. Dazu gehört es, etwaige Sicherheitseinschränkungen, etwa beim WLAN, wieder rückgängig zu machen und Updates, die in der Zwischenzeit nicht installiert werden konnten, nachzuholen. Falls Sie für Ihren Urlaub wichtige Daten und Dokumente wie Ausweise für alle Fälle auf Laptop, Smartphone oder Cloud gespeichert haben, sollten Sie diese nun wieder löschen. Lassen Sie sich bei Ihren Urlaubsnachbereitungen nicht aus der Ruhe bringen – auch nicht von einem vielleicht überlaufendem E-Mail-Fach, in dem angeblich dringende Vorgänge warten. Prüfen Sie die E-Mails in Ruhe und kritisch, denn zur Zeit setzen Cyber-Kriminelle auf eine neue Welle von Phishing-Attacken.

Worauf Sie sonst achten sollten und wo Updates besonders wichtig sind, erfahren Sie in unserem Newsletter.

Wir wünschen Ihnen eine spannende Lektüre.

Ihr Bürger-CERT-Team

Störenfriede

1. Crestron-Schwachstelle: System zur Gebäudeautomatisierung lässt Überwachung zu

Wie heise.de berichtet, weisen die Produkte von Crestron Sicherheitslücken auf. Das Unternehmen stellt Steuerungs- und Automatisierungssysteme her, die in Wohnungen, Büros, Krankenhäusern oder Hotels genutzt werden. So können Fernseher, Präsentationssysteme oder Geräte digital gesteuert werden. Nun ist bekannt, dass beispielsweise die Controller aus der Serie 3 oder die zur Steuerung verwendeten Touchscreens TSW-760-B-S ab Werk bei Zugriffen über einen bestimmten Port ohne Authentifizierung verwendet werden können. Viele Anwender und Anwenderinnen ändern die Werkseinstellungen nicht. Deswegen sind mehr als 20.000 Crestron-Komponenten frei vom Internet aus zugänglich. Über die Touchscreens können Kriminelle dann beispielsweise Audio- und Videodateien abspielen oder beliebige Websites anzeigen lassen. Mittels des im Gerät enthaltenen Mikrofons und der Webcam lassen sich auch Ton- und Videoaufzeichnungen starten. Damit wird die Smart-Home-Technologie zur Wanze. Crestron stellt mittlerweile Updates zur Verfügung, die zumindest einen Teil der Sicherheitslücken schließen.

Im IoT-Spezial https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IoT/IoT_node.html erklärt BSI für Bürger, was Internet of Things (IoT) bedeutet, welche Anwendungen und Geräte es umfasst sowie welche Sicherheitsaspekte Bürgerinnen und Bürger beachten sollten.

Zur Meldung von heise.de: Gebäudeautomatisierung wird zur Wanze: Bugs in Crestron-Systemen

2. Phishing: Aufmerksamkeit für Kunden der Landesbank Berlin und DHL geboten

Unter den Namen der Landesbank Berlin (LBB) sowie DHL starten Internetkriminelle derzeit Phishing-Attacken, um Kreditkartendaten zu erbeuten oder Schadsoftware einzuschleusen. Das berichten mimikama.at und Netzwelt.de. Die Methodik ist ähnlich: Nutzerinnen und Nutzer erhalten beispielsweise E-Mails mit dem Hinweis, auf ihr Konto sei von einem nicht autorisierten PC zugegriffen worden. Angeblicher Absender ist die LBB. Es folgt die Aufforderung, auf den Button "Daten bestätigen" zu klicken. Hier verbirgt sich ein Phishing-Link. Wer klickt, wird zunächst auf eine Website weitergeleitet, die der Optik der LBB ähnelt. Dort sollen Nutzerinnen und Nutzer ihre Kreditkartendaten samt Passwort eintragen.

Netzwelt.de berichtet über eine weitere Variante von Phishing-Mails unter dem Namen des Logistikunternehmens DHL. Mit Betreffzeilen wie "Ihr Paket liegt am vereinbarten Ablageort" oder Mails über angebliche Zustellversuche suggerieren die Kriminellen, der Postbote hätte die Empfängerin oder den Empfänger nicht angetroffen. DHL warnt davor, auf in diesen Nachrichten enthaltene Links, Anhänge oder ZIP-Ordner zu klicken und Dateien herunterzuladen. Sie enthalten Phishing-Links oder Schadsoftware wie Viren und Trojaner. Die Echtheit dieser Nachrichten können Empfängerinnen und Empfänger überprüfen, indem sie eine angegebene Sendungsnummer über die offizielle DHL Sendungsverfolgung überprüfen: https://www.dhl.de/de/privatkunden/dhl-sendungsverfolgung.html. Generell sollten Nutzerinnen und Nutzer keine PDF-Dateien in E-Mails von DHL öffnen – Das Unternehmen verschickt keine PDF-Dateien. Kriminelle variieren ihre Angriffe mit unterschiedlichen Betreffzeilen, visuellen Aufmachungen und Texten.

Wie Sie Phishing-Mails und Phishing-Websites erkennen können, erklärt BSI für Bürger hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/phishing_node.html

Zur Meldung von mimikama.at: Vorsicht! Kreditkartendaten-Phishing mit gestohlenem Logo der Landesbank Berlin

Zur Meldung von Netzwelt.de: DHL: "Ihr DHL Paket liegt am vereinbarten Ablageort" ist Phishing

3. WPA2-Schwachstelle: Router zuhause einfach schützen

Entwickler haben einen neuen Weg entdeckt, mit dem Hacker Passwörter von Routern und WLAN-Geräten relativ einfach knacken können. Dabei handelt es sich um WPA/WPA2 PSK-Passwörter – die Standardmethode bei den meisten WLAN-Routern. Das schreibt der botfrei-Blog. Noch ist nicht bekannt, welche Hersteller oder Geräte betroffen sind. Internet-Nutzerinnen und Nutzer sollten deshalb Sicherheitsmaßnahmen ergreifen. Die Schwachstelle betrifft Geräte, bei denen die Funktion Pairwise Master Key Identifiers aktiviert ist. Das betrifft wahrscheinlich alle modernen Router. Cyber-Kriminelle kommunizieren direkt mit dem Zugriffspunkt und können das Passwort auch stehlen, wenn kein Benutzer angemeldet ist. Anwenderinnen und Anwender sollten ihre WLAN-Passwörter so gut wie möglich schützen. Das beginnt schon bei der Vergabe des Passworts: Empfehlenswert ist eine Kombination aus Zahlen, Kleinbuchstaben, Großbuchstaben und Sonderzeichen. Je komplexer das Passwort, umso länger benötigt ein Angreifer bei dieser Art des Angriffs zur Erlangung desselben. Weitere Tipps zur WLAN-Sicherung, wie die Vergabe eines eigenen Netzwerknamens oder die sichere Konfiguration des Zugriffspunktes, gibt BSI für Bürger an dieser Stelle: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungWLAN-LAN/WLAN/Sicherheitstipps/sicherheitstipps_node.html

Zur Meldung von botfrei.de: Maßnahmen erforderlich – Fehler im WPA2 gefährdet Router und WLANS

4. Chat-Manipulation: Gruppenchats in WhatsApp lassen Verfälschung zu

Sicherheitsforscher haben Spiegel Online zufolge eine Schwachstelle bei der Chat-Plattform WhatsApp entdeckt, die drei Arten von Manipulationen zulässt: Hacker können via Zitatfunktion bereits gesendete Nachrichten verändern, Nachrichten unter anderen Namen veröffentlichen oder einen als Gruppennachricht getarnten Text an eine einzelne Person schicken. Die Antwort darauf sei dann trotzdem für alle Gruppenmitglieder sichtbar. Die Schwachstelle befindet sich in der Kommunikation zwischen der Desktop- und der Android-Version von WhatsApp. Gruppenmitglieder sollten Nachrichten aufmerksam lesen, dann lassen sich Dopplungen oder gruppenfremde Personen unter Umständen erkennen. WhatsApp selbst sehe keinen Handlungsbedarf und werde kein Update zur Verfügung stellen. Das Unternehmen habe verschiedene Maßnahmen gegen solche Arten von Falschinformationen getroffen, so ein Sprecher. Zudem sperre es Konten, die versuchten, WhatsApp für die Verbreitung von Spam zu verändern. Aus manipulierbaren Chatverläufen ergeben sich verschiedene Gefahren – von der Verbreitung von Fake News bis hin zu Mobbing. Umso wichtiger ist es für Nutzerinnen und Nutzer, zu wissen, wie sie sich gegen Cyber-Mobbing schützen können. Tipps dazu und Informationen, wo Opfer Hilfe finden, bietet BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Mobbing/mobbing.html

Zur Meldung von spiegel.de: Manipulation im Messenger: So können WhatsApp-Chats verfälscht werden

Schutzmaßnahmen

5. Thunderbird: Update auf neue Version empfohlen

Wer den E-Mail-Dienst Thunderbird nutzt, sollte auf Version 60 umsteigen. Im Update enthalten ist nicht nur ein verbessertes Anhang-Management und eine erweiterte Kalender-Funktion: Die neue Version schließt insgesamt 15 Sicherheitslücken. Unter Thunderbird-Entwicklern gelten fünf davon als kritisch. Angreifer können über sie Programmabstürze verursachen oder willkürlichen Code ausführen. Mozilla Thunderbird 60 steht auf https://www.thunderbird.net/en-US/thunderbird/all/ zum Download bereit. Das Update erhöht die Sicherheit von Nutzerinnen und Nutzern bei der Kommunikation mit E-Mails. Welche Arten unerwünschter E-Mails im Netz kursieren und was für Folgen sie haben können, hat BSI für Bürger aufgelistet: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/spamPhishingCo_node.html

Zur Meldung von heise.de: Manueller Umstieg nötig: Mozilla Thunderbird 60 mit wichtigen Sicherheitsupdates

6. Android: Sicherheitsupdates schließen Schwachstellen

Google schließt mit Sicherheitsupdates mehrere Schwachstellen. Betroffen sind Smartphones mit dem Betriebssystem Android ab Version 6 bis Version 8.1 sowie die Geräte Google Pixel und Google Nexus. Angreifer können durch die Schwachstellen beliebigen Programmcode mit erhöhten Rechten ausführen. So können sie sich Privilegien erhöhen, Zugriff auf Daten erhalten oder einen Denial-of-Service Zustand auslösen. Das BürgerCERT empfiehlt im entsprechenden Sicherheitshinweis die zeitnahe Installation der Sicherheitsupdates, um die Schwachstellen zu schließen: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/08/warnmeldung_tw-t18-0111.html

7. Linux-Kernel: Patch schließt Lücken für Denial-of-Service-Angriffe

Der Linux-Kernel weist eine Sicherheitslücke auf, über die für Cyber-Kriminelle Denial-of-Service-Angriffe möglich sind. Über die Schwachstelle lässt sich das System zu rechenintensiven Funktionen zwingen, die es letztlich lahmlegen. Das berichtet heise.de. Betroffen sind die Kernel-Versionen ab 4.9, möglicherweise auch ältere Versionen. Da der Fehler im Kernel steckt, betrifft er alle Distributionen, darunter SUSE, Debian und Ubuntu. Linux-Nutzer sollten ihre Systeme deshalb sobald wie möglich updaten.

Zur Meldung von heise.de: Jetzt patchen: Linux-Kernel anfällig für Denial-of-Service-Angriffe

8. HP OfficeJet und DeskJet: Sicherheitslücken erlauben Codeausführung

Updates für die Drucker-Produktreihen HP OfficeJet und DeskJet von Hewlett Packard schließen Schwachstellen, durch die Angreifer beliebigen Programmcode ausführen können. Die Sicherheitslücke lässt sich sogar darüber nutzen, dass die Fax-Funktion des All-in-One-Geräts des Opfers angesprochen wird. Dazu reicht die Faxnummer aus. Das Bürger-CERT empfiehlt, die Sicherheitsupdates des Herstellers zeitnah zu installieren. Details finden Sie im zugehörigen Sicherheitshinweis https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2018/08/warnmeldung_tw-t18-0112.html.

Prisma

9. Fakeshops: Vorsicht beim Kauf von Sonnenbrillen

Betrüger nutzen das Sommerwetter und die Beliebtheit der Sonnenbrillenmarke Ray-Ban, um mit gefälschten Online-Shops Verbraucherinnen und Verbraucher zu täuschen, wie onlinewarnungen.de berichtet. Doch auch für andere Produkte bedienen sich Betrüger dieser Masche: Online-Fakeshops bieten Waren zu vermeintlichen Schnäppchenpreisen an. Bestellen Kundinnen und Kunden hier, geben sie ihre Zahlungsdaten in fremde Hände und der Betrag wird abgebucht, manchmal ist er sogar höher als angekündigt. Jedoch erhalten sie nie die Ware. Auch die eingegebenen Adressdaten verkaufen Fakeshops mitunter weiter. Wer sich schützen will, findet auf onlinewarnungen.de eine Liste bekannter Fakeshops.
Welche Sicherheitsregeln – etwa zu Bezahlung oder Gütesiegeln – beim Einkauf im Internet zu beachten sind, hat BSI für Bürger zusammengestellt: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/EinkaufenImInternet/einkaufen.html

Zur Meldung von onlinewarnungen.de: Warnung vor Onlineshops: Hier sollten Sie keine Ray-Ban-Brillen kaufen

10. WLAN: Sichere Datenübertragung unterwegs

Ob am See, im Schwimmbad oder im Urlaub an der Strandbar: Viele Menschen haben ihr Smartphone im Sommer meist dabei. Oft wählen sie sich dann über öffentliche WLAN-Verbindungen ins Internet ein. Das ist praktisch – birgt aber Risiken. Denn oft werden die Daten unverschlüsselt übertragen. Ein leichtes Einfallstor für Cyber-Kriminelle, die auf diese Weise Daten abgreifen oder Schadsoftware ins Gerät schleusen können. Damit Anwenderinnen und Anwender auch mobil sicher surfen, hat BSI für Bürger folgende Empfehlungen zusammengestellt: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/WLANs_unterwegs_sicher_nutzen.html

11. IT-Grundschutz: Online-Kurs für mehr Informationssicherheit

Sie wollen mehr darüber wissen, wie Informationssicherheit funktioniert und welche Grundlagen für die Sicherheit von Systemen zu beachten sind? Dann könnte der Online-Kurs IT-Grundschutz das Richtige für Sie sein. In neun Lektionen vermittelt er die IT-Grundschutz-Methodik, ihre Ziele und ihre Bestandteile. Er basiert auf dem IT-Grundschutz-Kompendium und den BSI-Standards 200-1, -2 und -3. Besonders empfehlenswert ist das Lernangebot für neue Anwenderinnen und Anwender aus Wirtschaft und Verwaltung. Er ist aber ebenso für Studierende und andere Interessierte geeignet. Ein zweiter Kurs dient der Vertiefung und behandelt die wichtigsten Aspekte des Notfallmanagements. Mehr Informationen zum Angebot stellt das BSI auf seiner Webseite zur Verfügung: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzSchulung/itgrundschutzschulung_node.html