Bundesamt für Sicherheit in der Informationstechnik

SICHER • INFORMIERT vom 27.09.2018

Ausgabe: 20/2018

Schnell zum Abschnitt

Liebe Leserinnen, liebe Leser,

der Oktober steht europaweit im Zeichen der Cyber-Sicherheit: Seit 2012 sensibilisiert die europäische Initiative "European Cyber Security Month" (ECSM) für das Thema IT-Sicherheit. Während des ECSM, der in Deutschland vom BSI koordiniert wird, können sich Bürgerinnen und Bürger im Rahmen verschiedener Aktionen über die vielen Facetten des Themas IT-Security informieren, sich weiterbilden und lernen, das Bewusstsein für die Risiken bei der Computer- und Internetnutzung zu schärfen. Fähigkeiten, die immer wichtiger werden: Denn Cyber-Kriminelle nutzen aktuell verstärkt Phishing-E-Mails, um sensible Nutzerdaten zu erbeuten – und selbst vermeintlich sichere Blockchain-Anwendungen für Kryptowährungen geraten ins Visier von Hackern. Nicht zuletzt wird IT-Sicherheit auch im Kinderzimmer ein Thema: Schließlich bieten vernetzte Spielgeräte ganz neue Einfallstore für Angreifer.

Auf welche Informationen und Plattformen es Cyber-Kriminelle derzeit abgesehen haben und wie sich Bürgerinnen und Bürger am besten dagegen schützen, erfahren Sie in der aktuellen Ausgabe unseres Newsletters.

Wir wünschen Ihnen eine spannende Lektüre.

Ihr Bürger-CERT-Team

Störenfriede

1. Microsoft: Mögliche Probleme beim Update auf Windows 10 Version 1809

Im Oktober hält Microsoft ein Update für Windows 10 Version 1809 bereit. Nun warnt das Unternehmen, dass bei Systemen mit begrenztem Speicherplatz Probleme beim Update auftreten könnten. Wie ZDNet schreibt, betrifft dieses Problem eventuell auch Windows-Notebooks und -Tablets mit einem kleineren 32-Gigabyte-Flash-Speicher. Während des Updates erfolgt allerdings kein Hinweis auf das Speicherproblem. Daher gilt es, vor dem Update für ausreichend Speicherplatz zu sorgen. Microsoft rät zu regelmäßiger Systemwartung, um beispielsweise nicht mehr benötigte temporäre Dateien zu löschen. Nutzerinnen und Nutzer können mit der Funktion "Speicheroptimierung" veraltete Dateien entfernen und ihre Systeme so auf das Update vorbereiten. Auch das Leeren des Papierkorbs schafft zusätzlichen Spielraum. Zudem bietet es sich an, große Dateien wie Fotos, Videos und Musik während des Updates auf ein externes Speichermedium umzulagern.

Nutzerinnen und Nutzer sollten ihre Daten grundsätzlich regelmäßig auf einem zweiten Speichermedium sichern, um sich vor dem Verlust wichtiger Informationen, persönlicher Erinnerungen oder geleisteter Arbeit zu schützen. Was es beim Thema Datensicherung zu beachten gilt und auf welche Arten Sie Ihre Daten sichern können, erklärt BSI für Bürger hier.

Zur Meldung von ZDNet: Microsoft warnt vor möglichen Problemen beim Update auf Windows 10 Version 1809.

2. DoS und Double Spend: Schwerwiegender Bug in Bitcoin-Software Core

Eine Lücke im Bitcoin-Referenzclient Core erweist sich als schwerwiegendes Sicherheitsproblem: So können Angreifer Denial-of-Service-Attacken (DoS) gegen den in der Software betriebenen Bitcoin-Netzwerkknoten durchführen, um diesen zusammenbrechen zu lassen. Zudem lassen sich dadurch Bitcoins mittels eines sogenannten Double Spend über die definierte Geldmenge von 21 Millionen Einheiten hinaus erzeugen, schreibt Heise Online. Normalerweise ist ein Double Spend – der Versuch, die gleichen Coins zweifach auszugeben – im Bitcoin Protokoll verboten. Die Sicherheitslücke lässt dies aber zu. Somit könnten Angreifer Bitcoins theoretisch unbegrenzt kopieren. Die Entwickler haben das Leck mittlerweile gestopft. Betroffene Nutzerinnen und Nutzer sollten daher dringend auf Version 0.16.3 updaten: Zum Update auf bitcoincore.de.

Mit DoS-Attacken wurden bereits Server großer Unternehmen wie Amazon oder Yahoo außer Gefecht gesetzt. Was genau sich hinter diesem Begriff verbirgt, erklärt BSI für Bürger hier.

Zur Meldung von Heise Online: Bitcoin: Bug in Core-Software ist deutlich schwerwiegender.

3. Phishing-Mails: Betrüger haben es auf Daten von Online-Banking-Kunden abgesehen

Aktuell häufen sich die Phishing-Attacken auf Kundinnen und Kunden verschiedener deutscher Banken, warnt die Verbraucherzentrale Nordrhein-Westfalen. Generell versuchen Angreifer mit Phishing vertrauliche Daten wie Passwörter, Zugangsdaten oder Kreditkartennummern zu erbeuten. Dazu versenden sie unter dem Namen seriöser Unternehmen E-Mails. Im aktuellen Fall bedienen sich die Cyberkriminellen sehr ähnlicher Methoden: An Sparkassen-Kundinnen und -Kunden etwa verschicken sie E-Mails mit Betreffzeilen wie "Mehrfache Falscheingabe der PINOnline Zugang gesperrt", "Sicherheitswarnung" oder "Mitteilung zum Kundenkonto". Außerdem heißt es darin, dass eine Aktualisierung der Kundendaten zur Freischaltung des Kontos bzw. aus Datenschutzgründen nötig sei. Auch die Postbank nehmen Kriminelle ins Visier: Die E-Mails mit der Betreffzeile "Aktualisierung" enthalten den Hinweis, dass das Konto der betreffenden Kundin oder des Kunden gesperrt und deswegen eine Verifizierung notwendig sei. Im Fall der Commerzbank weist die Phishing-E-Mail auf angebliche Probleme mit dem Konto hin, die per Klick auf den dort enthaltenen Link behoben werden könnten. Egal, welchen Trick die Betrüger anwenden: Nutzerinnen und Nutzer sollten Nachrichten mit diesen oder ähnlichen Betreffzeilen nicht öffnen, die darin enthaltenen Links keinesfalls anklicken oder gar Downloads ausführen. Im Zweifel sollten Kundinnen und Kunden bei ihrer Bank anrufen oder über die händische Eingabe der Bank-URL im neuen Browserfenster das Onlinebanking aufsuchen.

Wie Bürgerinnen und Bürger Phishing-E-Mails und Websites noch erkennen und welche Schutzmaßnahmen sie ergreifen können, hat BSI für Bürger hier zusammengestellt.

Zur Meldung der Verbraucherzentrale Nordrhein-Westfalen: Phishing-Radar, aktuelle Warnungen.

4. Botnetz: FBot entfernt bösartigen Krypto-Miner von Rechnern

Aktuell taucht immer wieder ein sehr ungewöhnliches Botnetz-Phänomen auf: Der Trojaner FBot infiziert Windows-Rechner, sucht den Krypto-Miner com.ufo.miner und entfernt ihn. Wie Heise Online berichtet, schürft der Krypto-Miner mittels eines Coinhive-Skriptes im Hintergrund unbemerkt die Kryptowährung Monero. Dieses sogenannte Kryptojacking kostet Strom und kann den Rechner darüber hinaus dauerhaft schädigen. Nachdem FBot den Krypto-Miner unschädlich gemacht hat, löscht sich der Trojaner selbst. Auf den ersten Blick richtet er also keinen Schaden an, sondern macht einen anderen Schädling unwirksam. Nichtsdestotrotz handelt es sich hierbei um einen Trojaner, der somit gegen das Gesetz verstößt. Zudem greift dieser Trojaner, obwohl er ein positives Ziel verfolgt, ungefragt in die Rechner der Nutzerinnen und Nutzer und somit deren persönlichen Raum ein.

Unter Bots versteht man Programme, die ferngesteuert auf fremden PCs arbeiten – handelt es sich um mehrere, heißen sie "Botnetze". Wie Angreifer Rechner infizieren und welche Gefahr von Botnetzen ausgeht, das können Sie bei BSI für Bürger nachlesen und im Video ansehen.

Zur Meldung von Heise Online: FBot: Botnetz enfernt Krypto-Miner-Infektionen.

5. Facebook-Phishing: Gefälschte E-Mails zum Thema Urheberrechtsverletzung im Umlauf

Immer wieder verschicken Internetkriminelle Phishing-Mails im Namen von Facebook. Auch derzeit sollten Facebook-Mitglieder die Augen offen halten: Mit gefälschten Nachrichten zum Thema Urheberrecht versuchen Betrüger Facebook-Zugangsdaten zu stehlen, schreibt onlinewarnungen.de. Die E-Mail mit dem Betreff "Sie wurden wegen Copyright-Inhalten gemeldet" nennt als Absender Facebook (noreply@facebooksupport.com oder noreply@helpcenter.com). Im Text heißt es, das Facebook-Mitglied hätte gegen das Urheberrecht verstoßen. Man wird dazu aufgefordert, einen Link zu öffnen, um seine Daten zu überprüfen. Zwei Indizien für die Fälschung sind: die Nachricht enthält weder eine persönliche Anrede, noch Umlaute. Wer trotzdem auf den Link klickt, gelangt auf eine gefälschte, aber dennoch täuschend echte Facebook-Seite. Selbst die URL beginnt mit "https://www.facebook.com". Tragen die Opfer ihre Daten in das Formular ein, können die Angreifer deren Facebook-Seite übernehmen – da unter anderem auch das Passwort abgefragt wird. Generell gilt: Facebook versendet keine Nachrichten dieser Art. Und vor allem: Kein seriöses Unternehmen bittet seine Kundinnen und Kunden um Preisgabe des persönlichen Passworts. Es handelt sich um Phishing-Mails, die Nutzerinnen und Nutzer umgehend löschen sollten.

Wie trügerische Links, E-Mails und Websites versuchen, sensible Daten abzugreifen und welche Schutzmaßnahmen es für Nutzerinnen und Nutzer gibt, hat BSI für Bürger zusammengestellt.

Zur Meldung von Onlinewarnungen.de: Facebook-Phishing: E-Mail mit Urheberrechtsverletzung im Namen von Facebook führt in Falle.

6. Western Digital: My-Cloud-Lücke wird geschlossen

Seit anderthalb Jahren klafft ein Sicherheitsleck bei Western Digitals Einsteiger-NAS-Serie My Cloud, berichtet golem.de. Bis dato konnten sich Angreifer bei My Cloud ohne Passwort als Administrator registrieren. Setzen Nutzerinnen und Nutzer die Funktion ein, My Cloud mit dem Internet zu verbinden, um den Datenspeicher mobil zu nutzen, können Kriminelle diesen hacken und die Daten auslesen. Western Digital kündigt nun an, ein Update bereitzustellen, mit dem sich die Lücke schließen lässt. Ein NAS (Network Attached Storage) ist eine Methode, im Netzwerk Daten bereitzustellen, ohne dass ein Rechner in Betrieb sein muss.

Sicherheitstipps und Hinweise auf Risiken rund um das Thema Cloud Computing können Sie bei BSI für Bürger nachlesen.

Zur Meldung von Golem.de: My-Cloud-Lücke soll nach 1,5 Jahren geschlossen werden.

Schutzmaßnahmen

7. Adobe Acrobat und Reader: Mehrere Schwachstellen

Bei Adobe Acrobat DC und Adobe Acrobat Reader DC treten aktuell mehrere Schwachstellen auf, die Angreifer nutzen können, um Informationen offenzulegen oder Code zur Ausführung zu bringen. Betroffen sind die Versionen vor Adobe Acrobat Reader DC 2015.006.30452, 2017.011.30102 sowie 2018.011.20063 Bürger-CERT empfiehlt, umgehend die verfügbaren Sicherheitsupdates zu installieren, um die Schwachstelle zu schließen.

Die komplette Meldung können Sie hier nachlesen.

8. Google Chrome: Schwachstelle ermöglicht nicht spezifizierten Angriff

Kriminelle können ein Sicherheitsleck im Google Browser Chrome ausnutzen, um Angriffe auszuführen. Betroffen sind die Versionen vor Google Chrome 69.0.3497.100, die Versionen Google Chrome for Linux und Google Chrome for Mac älter als Version 69.0.3497.100. Nutzerinnen und Nutzer sollten schnellstmöglich die verfügbaren Updates herunterladen. Weitere Informationen bietet die Webpräsenz von Bürger-CERT.

9. Apple iOS & Safari: Mehrere Schwachstellen

Nutzerinnen und Nutzer von iPhone, iPad und iPodTouch sollten verfügbare Updates auf ihre Geräte spielen. Eine Sicherheitslücke in den Betriebssystemen vor Apple iOS Version 12 lässt beispielsweise die falsche Darstellung von Informationen oder Ausführung von Code zu. Zudem weist der unter Mac OS X eingesetzte Webbrowser Safari, von dem es auch eine Windows-Version gibt, verschiedene Schwachstellen auf. Betroffen sind die Versionen vor Apple Safari 12. Mit einem zeitnahen Update können Anwenderinnen und Anwender diese Probleme beheben. Näheres lesen Sie auf den folgenden Seiten: Warnmeldung iOS und Warnmeldung Safari

Prisma

10. E-Mail-Verschlüsselung leicht gemacht: "EasyGPG"

Digitale Nachrichten sollten besser verschlüsselt werden. Nur so können Bürgerinnen und Bürger davon ausgehen, dass die Vertraulichkeit, Integrität und Authentizität bei der Kommunikation via E-Mail sichergestellt ist. Aber nur die sogenannte Ende-zu-Ende-Verschlüsselung (E2E-Verschlüsselung) kann das gewährleisten. Übliche E-Mail-Programme bringen diese Funktion in der Regel nicht automatisch mit. Wer seine E-Mails verschlüsseln möchte, kann das aber selbst tun. Mit dem E-Mail-Verschlüsselungsverfahren „EasyGPG“ hat das BSI den Vorgang des öffentlichen Schlüsseltausches vereinfacht und eine Möglichkeit geschaffen, diesen direkt über den E-Mail-Anbieter automatisiert versenden zu lassen. Wie die E2E-Verschüsselung funktioniert, erklärt BSI für Bürger Schritt für Schritt hier:

11. Start des European Cyber Security Month 2018

Im Oktober startet wieder der European Cyber Security Month (ECSM). Seit 2012 sensibilisiert die Initiative europaweit Bürgerinnen und Bürger sowie Organisationen für verantwortungsbewusstes Handeln im Cyber-Raum. Im Deutschland fungiert das BSI als Koordinationsstelle für die Veranstaltungen, die im Rahmen dieser Initiative stattfinden. Im Oktober 2018 sind hier rund 60 Partner mit an Bord und bieten Aktionen rund um das Thema IT-Sicherheit. Bürgerinnen und Bürger, aber auch Vertreter von Unternehmen, Verwaltung und Wissenschaft, können in den nächsten Wochen zwischen spannenden Aktionen wählen. In diesem Jahr greift das BSI in den vier Oktoberwochen folgende vier Themen auf:

  • IT-Basisschutz leicht gemacht (01.-07.Oktober)
  • Digitales Leben – Sicherheit vermitteln (08.-14. Oktober)
  • Schutz vor Online-Betrug (15.-21. Oktober)
  • IoT und Smart Devices – mit Sicherheit digital und smart (22.-31. Oktober)

Weitere Infos zum aktuellen ECSM sowie weiterführende Links zu Anmeldungen und Aktionen können Sie hier nachlesen.

12. BSI-Workshop: "Alles Smart? Gefahren im Internet der Dinge": Jetzt anmelden!

Im Rahmen des diesjährigen europaweiten Aktionsmonat European Cyber Security Month (ECSM) im Oktober lädt das BSI zum interaktiven Workshop "Alles smart? Gefahren im Internet der Dinge" ein. Die Teilnehmer und Teilnehmerinnen diskutieren mit Experten über Sicherheit und Zukunftsvisionen im digitalen Alltag: Wie schütze ich mich vor Cyber-Angriffen? Welche Gefahren bringen smarte Alltagshelfer ins Haus? Wie wird sich der Markt verändern? Ein Live-Zeichner visualisiert eine Gefahrenlandkarte, die dann veröffentlicht wird.

Die Veranstaltung findet am 25.10.2018 um 13 Uhr im Fraunhofer FKIE Standort Bonn, Zanderstraße 5, 53177 Bonn-Bad Godesberg statt. Interessierte können sich jetzt unter folgender E-Mail Adresse anmelden: ecsm@bsi.bund.de. Mehr Informationen erhalten Sie hier.

13. Smart Toys: Vernetztes Spielzeug birgt Verletzungsgefahr

Das Internet of Things (IoT) hat auch im Kinderzimmer Einzug gehalten. Immer mehr Hersteller locken mit smarten Spielzeugen wie Plüschtieren und Robotern, die sich mit dem Internet verbinden und per App steuern lassen. Doch mit ihnen gehen auch Risiken einher, wie die Verbraucherzentrale Nordrhein-Westfalen schreibt: So hat die Bundesnetzagentur die Puppe "MyFriendCayl" 2017 als Spionagegerät eingestuft. Sie funktioniert via Sprachsteuerung – nur können weder Eltern noch Kinder uneingeschränkt beeinflussen, wann die Puppe Gespräche aufzeichnet. Über eine ungesicherte Bluetooth-Verbindung kann IoT-Spielzeug gar zum Abhörgerät werden: So kann theoretisch jeder Smartphone-Besitzer in Reichweite das Kind belauschen oder mit ihm sprechen. Auch das Risiko von Identitätsdiebstählen nehmen Eltern beim Kauf von IoT-Spielgeräten theoretisch in Kauf. Eltern sollten daher vor dem Kauf genau prüfen, welche Funktionen das Gerät hat, ob es ständig mit dem Internet verbunden ist, ob Mikrofone verbaut sind und ob die Daten lokal oder auf einem externen Server verarbeitet werden.

Weitere Informationen zum Thema IoT und welche Regeln Nutzerinnen und Nutzer generell beachten sollten, lesen Sie auf BSI für Bürger nach.

Zur Meldung von Verbraucherzentrale Nordrhein-Westfalen: Vorsicht bei Smart Toys: Die Risiken von vernetztem Spielzeug.