Bundesamt für Sicherheit in der Informationstechnik

SICHER • INFORMIERT vom 20.12.2018

Ausgabe: 26/2018

Schnell zum Abschnitt

Liebe Leserinnen, liebe Leser,

rein in die Feiertage, ran ans Netzwerken - per Facebook, Instagram oder Whatsapp werden Bilder vom Weihnachtsessen im Kreise der Liebsten oder vom Geschenkeauspacken mit den Kids verschickt. Teilen macht Freude. Doch nicht zuletzt hat die aktuelle Datenpanne bei Facebook gezeigt, wie schnell wir die Kontrolle über persönliche Daten in den sozialen Medien verlieren können. Teilen Sie deswegen mit Bedacht.

Die erste Ausgabe von "Sicher informiert" im neuen Jahr erhalten Sie am 10. Januar 2019. Bis dahin wünschen wir Ihnen eine spannende Lektüre, ein besinnliches Weihnachtsfest und guten Rutsch.

Ihr Bürger-CERT-Team

Störenfriede

1. Datenpanne: Zugriffsrechte von Dritt-Apps auf Facebook Fotos gingen zu weit

Aufgrund eines technischen Fehlers kam es zu einer Datenpanne bei Facebook: Offenbar hatten einige externe Apps zeitweise zu umfangreiche Rechte, berichtet Spiegel Online. Betroffen waren nach Schätzungen bis zu 6,8 Millionen Accounts. Normalerweise erhalten die besagten Apps nur Zugriff auf Fotos, die Nutzerinnen und Nutzer in ihrer Chronik gepostet haben. Zwischen dem 13. und dem 25. September 2018 konnten sie jedoch auch auf für andere Zwecke eingesetzte oder noch nicht veröffentlichte Bilder zugreifen.

Immer wieder weist auch BSI für Bürger darauf hin, wie wichtig es ist, bei der Installation neuer Apps deren Berechtigungen zu überprüfen.

Zur Meldung von Spiegel Online: Dritt-Apps konnten auf nie veröffentlichte Facebook-Bilder zugreifen

2. Abzocke im Netz: Vorsicht vor Streaming-Portalen

Mit gefälschten Streaming-Portalen locken Betrüger ihre Opfer in die Kostenfalle, meldet Onlinewarnungen.de. Wer sich registriert, soll innerhalb von fünf Tagen kündigen können. Wer es vergisst, erhält kurz darauf eine Rechnung in Höhe von bis zu mehreren hundert Euro, verbunden mit der Androhung eines Inkasso-Verfahrens und Einleitung rechtlicher Schritte bei Nichtzahlung. Gerade Kinder und Jugendliche sind gefährdet, da sich der Betrug nicht sofort erkennen lässt. Die Kriminellen missbrauchen dabei auch Namen und Adressen tatsächlich existierender Unternehmen.

Welche Gefahren im Netz für Kinder drohen und wie Eltern sie schützen können, schreibt BSI für Bürger.

Zur Meldung von Onlinewarnungen.de: Warnung: Hier drohen hohe Streaming-Rechnungen und Ärger – nicht registrieren und nicht zahlen

3. Schwachstelle: Tastaturen und Mäuse von Logitech aus der Ferne steuerbar

Die Windows-Konfigurationssoftware Options für Mäuse und Tastaturen von Logitech kann derzeit von Angreifern über das Internet gesteuert werden, schreibt Heise Online. Aufgrund einer fehlenden Prüfung führt die Software Kommandos beliebiger Websites aus. Kriminelle können auf diese Weise Tastaturen fernsteuern und so beispielsweise Schadcode direkt eingeben. Eine gepatchte Version ohne diese Sicherheitslücke ist bereits verfügbar.

Schadsoftware ist eine weit verbreitete Bedrohung. BSI für Bürger hat die wichtigsten Fakten dazu zusammengefasst.

Zur Meldung von Heise Online: Sicherheitslücke in Logitech Options: Tastaturen wie von Geisterhand bedient

4. Fremdkontrolle: IP-Kameras von Bosch

Eine Sicherheitslücke in einigen Modellen der IP-Kameras von Bosch ermöglicht Angreifern, aus der Ferne die vollständige Kontrolle über die Geräte zu erlangen, wenn diese über das Internet erreichbar sind. Hierbei handelt es sich um vernetze Sicherheitskameras für das smarte Zuhause. Bosch stellt mittlerweile Updates bereit, mit denen betroffene Nutzerinnen und Nutzer die Sicherheitslücke schließen können.

Tipps zum sicheren Umgang mit dem Internet der Dinge gibt BSI für Bürger.

Zur Meldung von Heise Online: Sicherheitsupdates: Angreifer könnten IP-Kameras von Bosch übernehmen

Schutzmaßnahmen

5. WordPress: Fehlerbereinigte Version verfügbar

Mehrere Sicherheitslücken in dem Open-Source Content-Management-System WordPress vor Version 5.0.1 erlauben Angreifern unter anderem Dateien zu löschen, Beiträge zu manipulieren oder Informationen offenzulegen. Sicherheitsupdates sind vorhanden. Nutzerinnen und Nutzer sollten diese sobald wie möglich installieren. Lesen Sie die komplette Bürger-CERT Warnmeldung hier.

6. Microsoft: Mehrere Schwachstellen bei verschiedenen Produkten

Mehrere Microsoft-Produkte, darunter das Betriebssystem Windows, die weit verbreiteten Office-Programme und die Browser Internet Explorer und Edge sowie das Entwicklerwerkzeug Microsoft.NET Framework, weisen derzeit Schwachstellen auf, die jeweils von Internet-Kriminellen ausgenutzt werden können. Nutzer und Nutzerinnen sollten die jeweils verfügbaren Updates umgehend installieren. Die detaillierten Sicherheitshinweise des Bürger-CERT finden Bürgerinnen und Bürger auf diesen Seiten:

7. Firefox: Browser über Sicherheitslücke angreifbar

Mehrere Schwachstellen im Open-Source-Browser Mozilla Firefox ermöglichen Angreifern, beliebigen Programmcode mit den Rechten des Nutzers auszuführen oder den Browser zum Absturz zu bringen. Wer mit Firefox durchs Netz surft, sollte daher so bald wie möglich auf die neue Version 64 bzw. ESR 60.4 aktualisieren. Zur Meldung von Bürger-CERT geht es hier.

8. Acrobat: Empfohlenes Sicherheitsupdate

Wer den Adobe Acrobat Reader DC nutzt, sollte auf die neueste Version aktualisieren. Bei den Versionen vor Adobe Acrobat Reader DC 2015.006.30461, 2017.011.30110 sowie 2019.010.20064 können Angreifer Schwachstellen ausnutzen, um unter anderem beliebigen Programmcode mit den Rechten des Nutzers ausführen oder Informationen ausspähen. Bürger-CERT hält die vollständige Warnmeldung bereit.

Prisma

9. Energiewende: Erstes Smart-Meter-Gateway zertifiziert

Das BSI hat das erste Zertifikat für ein Smart Meter Gateway erteilt, das von der Power Plus Communications AG (PPC) gemeinsam mit der OpenLimit SignCubes AG entwickelt wurde. Im Zertifizierungsverfahren wurde die Einhaltung der Sicherheitsvorgaben geprüft, die Herstellungs- und Entwicklungsprozesse sowie Auslieferungswege der Geräte betrachtet. Das Smart-Meter-Gateway gilt als Schlüsseltechnologie für die Digitalisierung der Energiewende. Jetzt ist nun der Einbau der ersten zertifizierten Geräte möglich. Wenn mindestens drei voneinander unabhängige Unternehmen diese intelligenten Messsysteme am Markt anbieten, die erfolgreich das Zertifizierungsverfahren durchlaufen haben, sind die Anbieter gesetzlich dazu verpflichtet.

Zur Pressemitteilung des BSI: Meilenstein der Energiewende erreicht: Erstes Smart-Meter-Gateway zertifiziert

10. Sicherheitsstandards: Gesundheitskarte ab Januar nur noch mit G2-Status gültig

Zum ersten Januar 2019 gelten nur noch Versichertenkarten mit dem Standard G2 oder G2.1. Wenn im Aufdruck auf der Karte oben rechts "G2" oder "G2.1" vermerkt ist, dann ist sie gültig. Andernfalls sollte eine neue bei der Krankenkasse beantragt werden. Das Zertifikat – eine datentechnische Aktualisierung – stammt vom BSI. Die Gesunheitskarten verfügen über eine neue Verschlüsselung, die den aktuellsten Sicherheitsanforderungen des BSI entsprechen.

Zur Meldung von Verbraucherzentrale Nordrhein-Westfalen: Gesundheitskarten nur noch mit "G2"-Kennzeichnung gültig

11. Datenverlust: Alexa stellte irrtümlich 1700 Sprachdateien eines Nutzers Drittanbietern zur Verfügung

Ein Kunde von Amazon bat, im Sinne der Datenschutzgrundverordnung (DSGVO), die von ihm gespeicherten Daten zur Verfügung zu stellen, wie Heise Online berichtet. In dem Datensatz fand der Nutzer unter anderen rund 1700 Sprachdateien. Diese Dateien waren nicht vom Anfragenden sondern von einem fremden Amazon Kontoinhaber, der ebenfalls eine Alexa nutzt. Die Weitergabe der Sprachdateien erfolge irrtümlich und der betroffene Kunde wurde erst nach einer Presseanfrage über den Datenverlust informiert.

Zur Heise Online: Amazon gibt intime Alexa-Sprachdateien preis