Bundesamt für Sicherheit in der Informationstechnik

SICHER • INFORMIERT vom 11.10.2018

Ausgabe: 21/2018

Schnell zum Abschnitt

Liebe Leserinnen, liebe Leser,

Bundesinnenminister Horst Seehofer und BSI-Präsident Arne Schönbohm haben auf der Bundespressekonferenz in Berlin den Lagebericht der IT-Sicherheit in Deutschland 2018 vorgestellt. Der Bericht beschreibt und analysiert die aktuelle IT-Sicherheitslage, die Ursachen von Cyber-Angriffen sowie die verwendeten Angriffsmittel und -methoden – auch anhand konkreter Beispiele und Vorfälle. Mit rund 390.000 neuen Schadprogramm-Varianten, die in 2018 täglich gesichtet wurden, ist die Bedrohungslage hoch und Bürgerinnen und Bürger sind stärker denn je gefordert, sich über Cybersicherheit zu informieren und entsprechende Schutzmaßnahmen zu ergreifen. Denn wie auch die aktuellen Hackerangriffe auf Facebook, Phishing-Attacken via E-Mail und Passwort-Manager zeigen, betrifft das Thema IT-Sicherheit auf vielfältige Art das alltägliche Leben der Bürgerinnen und Bürger.

Auf welche Informationen und Plattformen es Cyber-Kriminelle derzeit abgesehen haben und wie sich Bürgerinnen und Bürger am besten dagegen schützen, erfahren Sie in der aktuellen Ausgabe unseres Newsletters.

Wir wünschen Ihnen eine spannende Lektüre.

Ihr Bürger-CERT-Team

Störenfriede

1. Hackerangriff: 50 Millionen Facebook-Konten betroffen

Die Social-Media-Plattform Facebook ist Opfer eines massiven Hacker-Angriffs geworden. Bei dem Vorfall wurden Zugangs-Tokens von nahezu 50 Millionen Nutzerinnen und Nutzern gestohlen, wie Onlinewarnungen.de berichtet. Die Facebook-Zugriffstoken sorgen dafür, dass die Anwenderinnen und Anwender eingeloggt bleiben und sich bei erneutem Aufrufen nicht erneut anmelden müssen. Im Wesentlichen haben die Angreifer Sicherheitslücken bei der Funktion "Anzeigen aus der Sicht von" (View As) ausgenutzt, um die Zugriffstokens zu erhalten. Geraten diese in die Hände Krimineller, haben sie Zugang zu allen Nutzerinformationen der Betroffenen. Außerdem können sie in deren Namen Nachrichten schreiben und Posts absetzen. Als Sicherheitsmaßnahme setzte Facebook zusätzlich zu den gestohlenen Schlüsseln weitere 40 Millionen Tokens zurück. Insgesamt 90 Millionen Nutzerinnen und Nutzer müssen sich nun in der App und der Website neu anmelden und erhalten zudem weitere Informationen zu dem Vorfall in ihrem Newsfeed.

Internetkriminelle nehmen immer wieder soziale Netzwerke ins Visier. Ist ein Profil erst einmal gehackt, verschaffen sie sich Zugang zu den privaten Daten ihrer Opfer. Daher ist es wichtig, einen soliden Basisschutz für alle Geräte einzurichten, die für den Umgang mit sozialen Netzwerken genutzt werden. Was es für die einzelnen Geräte zu beachten gilt, erklärt BSI für Bürger hier.

Generell sollten Anwender und Anwenderinnen sorgfältig mit persönlichen Informationen auf sozialen Plattformen umgehen. Was es zu beachten gilt, hat BSI für Bürger unter anderem in einem Video erklärt.

Zur Meldung von Onlinewarnungen.de: Facebook: 50 Millionen Facebook-Konten gehackt – Das ist zu tun

2. Android: Phishing-Apps bei Passwort-Managern

Eine Sicherheitslücke in einigen Passwort-Manager-Anwendungen von Android-Geräten lässt zu, dass Angreifer vertrauliche Zugangsdaten stehlen, wie Heise.de meldet. Eigentlich dienen Passwort-Manager dazu, Logins sicher zu verwalten. Anwenderinnen und Anwender können damit, basierend auf der URL einer Website, Anmeldefelder automatisch ausfüllen. Eine Studie gelangt allerdings nun zu dem Schluss, dass nahezu alle getesteten Android-Passwortmanager keinen ausreichenden Schutz vor Phishing-Angriffen bieten, mit denen Passwörter ausspioniert werden. Im Gegenteil: Die Angriffsfläche wird vergrößert. So können Angreifer ihren Opfern gefälschte Apps unterschieben, die dann beispielsweise die eingetragenen Login-Daten an einen anderen Server weiterleiten. Getestet wurden die Android-Passwort-Manager Keeper, Dashlane, LastPass, 1Password und Googles Smart Lock. Einzig Smart Lock bietet der Studie zufolge genügend Schutz vor Phishing-Angriffen.

Wie Sie Phishing-Mails und -Websites erkennen und wie Sie sich am besten schützen können, dazu gibt BSI für Bürger hier einen Überblick.

Zur Meldung von Heise.de: Android: Phishing-Apps können Passwort-Manager ausspionieren

3. Trojaner: DHL-Nachricht enthält schädlichen Link

Aktuell kursiert eine Phishing-E-Mail unter dem gefälschten Absender DHL. Onlinewarnungen.de berichtet über die E-Mail mit dem Betreff "Ihre Packstation-Sendung liegt nur noch 2 Tage bereit". Besonders perfide ist: Es wird eine echte Sendungsnummer genannt. Nutzerinnen und Nutzer werden im Anschluss zum Download einer App aufgefordert, die ihnen die angeblich benötigte TAN zum Erhalt der Sendung generiert. Wer tatsächlich den Download-Link klickt, lädt sich einen Trojaner herunter, der das System infiziert. Vorsicht ist geboten bei Absendern wie DHL Paket <lidrorlt@netvision.net.il>, DHL Paket <mm@polygonfly.com> sowie DHL Paket <tomasz@gastrotrade.pl>, bei denen die Mailadressen offensichtlich nichts mit DHL zu tun haben. Weiterhin nutzten die Betrüger bisher folgende Sendungsnummern und Statusberichte: 00340434334058107863 (existiert, Paket wurde aber bereits abgeholt, laut Sendungsverfolgung) 00341809355238107040 (existiert, Sendung wird in Kürze von DHL erwartet). Derartige E-Mails sollten auf keinen Fall geöffnet werden.

Eine spezielle Phishing-Variante bedient sich des Versands von E-Mails mit gefälschten Absendern. Wie die Kriminellen vorgehen und welche Aspekte Bürgerinnen und Bürger im Blick behalten sollten, schreibt BSI für Bürger hier.

Zur Meldung von Onlinewarnungen.de: Vorsicht Virus: DHL Mail – Ihre Packstation-Sendung liegt nur noch 2 Tage bereit – enthält Trojaner

4. Microsoft: Unternehmen stoppt Windows-10-Update

Manchmal lösen auch Updates Probleme aus: Microsoft stoppt vorerst die Auslieferung seines jüngsten Windows 10-Updates vom Oktober, da es offenbar zu Dateilöschungen führen kann. Bereits heruntergeladene Updates sollen die Nutzer nicht installieren, wie Golem.de schreibt. Anwenderinnen und Anwender hatten sich über nach der Aktualisierung fehlende Dateien beschwert. Das Unternehmen rät, sich bei auftretenden Problemen an den regionalen Kundenservice zu wenden.

Sorgfältiges Update-Management stellt einen Basisschutz für Geräte und Software dar. Wie Anwenderinnen und Anwender ohne großen Aufwand System in ihre Updates bringen können, hat BSI für Bürger in einem Leitfaden zusammengestellt.

Erst vor kurzem warnte Microsoft vor Schwierigkeiten im Zusammenhang mit dem neuesten Windows-10-Update. Dabei ging es um fehlenden Speicherplatz für die Ausführung des Updates, wie BSI für Bürger in "Sicher informiert" Ausgabe 20/2018 unter Microsoft: Mögliche Probleme beim Update auf Windows 10 Version 1809 zusammengefasst hat.

Zur Meldung von Golem.de: Microsoft warnt vor Installation von Windows-10-Update

5. Enigmail: Verschlüsselungs-Dienst für E-Mails weist Lücke auf

Eine Sicherheitslücke bei Enigmail, einer Erweiterung der E-Mail-Software Thunderbird zur Verschlüsselung von E-Mails, erlaubt, dass Nachrichten trotz aktiviertem Plug-in unverschlüsselt versendet werden. Der Fehler findet sich im Junior-Modus, der nach der Installation standardmäßig eingestellt ist. Nutzerinnen und Nutzer dürfen in diesem Modus nicht darauf vertrauen, dass die Nachrichten tatsächlich verschlüsselt werden. Für Nutzerinnen und Nutzer von Enigmail bei Windows empfiehlt sich also Umstieg auf ein anderes Verschlüsselungsprogramm oder zumindest das Wechseln in den Enigmail-Standardmodus. Für Apple und Linux ist derzeit keine derartige Sicherheitslücke bekannt. Die Lücke entstand nicht durch einen Angriff von außen, sondern liegt in einem separaten, nicht von Enigmail selbst entwickelten Code begründet.

Eine unverschlüsselte E-Mail macht Informationen in der Art zugänglich wie die Postkarte in der analogen Welt. Wie Sie sich und Ihre Privatsphäre durch Ende-zu-Ende-Verschlüsselung gegen unerwünschtes Mitlesen Ihres Mailverkehrs schützen können, hat BSI für Bürger hier zusammengestellt.

Zur Meldung von Heise Online: c't deckt auf: Enigmail verschickt Krypto-Mails im Klartext

6. Hangzhou Xiongmai Technology: Sicherheitslücke bei Überwachungskameras und netzwerkfähigen Videorecordern

Die Geräte des chinesischen Herstellers "Hangzhou Xiongmai Technology Co., Ltd" ermöglichen den unberechtigten Zugriff auf angeschlossene Systeme. Problematisch ist dies insbesondere, da es sich um verwundbare Komponenten handelt, die vom Zulieferer an verschiedene Hersteller ausgeliefert und somit unter diversen Markennamen und Modellen auf dem Markt angeboten werden.

Die Sicherheitslücke besteht, da die betroffenen Geräte per Grundeinstellung kein Administrator-Passwort gesetzt haben und die Vergabe eines Passworts bei der Erstinbetriebnahme nicht erzwungen wird. Zudem verwenden die Geräte einen Standardnutzer mit einem hardcodierten Zugangspasswort sowie ungesicherte Kommunikationsverbindungen und eine fehlerhafte Überprüfung der Firmware bei einem Update-Prozess. Bisher stehen seitens des Herstellers keine Workarounds oder Updates zur Verfügung.

Zur Meldung von Helpnetsecurity.com: 9 million Xiongmai cameras, DVRs wide open to attack

Schutzmaßnahmen

7. Mozilla Firefox und Mozilla Thunderbird: Mehrere Schwachstellen, Updates zeitnah installieren

Der Browser Mozilla Firefox sowie der E-Mail-Client Mozilla Thunderbird weisen derzeit Sicherheitslücken auf. Betroffen sind die Versionen vor Mozilla Firefox 62.0.3. und Mozilla Firefox ESR 60.2.2 sowie Mozilla Thunderbird in den Varianten vor Version 60.2.1. Betroffene sollten die vom Hersteller bereitgestellten Updates so bald wie möglich durchführen.

Weitere Informationen gibt Bürger-CERT hier.

8. Google Android: Sicherheitsupdate einspielen

Das Betriebssystem Google Android weist in den Versionen Google Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 sowie Google Android 9 Sicherheitslücken auf. Angreifer können somit beispielsweise Programmcode mit erhöhten Rechten ausführen, Informationen offenlegen oder einen Denial-of-Service-Zustand herstellen. Es empfiehlt sich, verfügbare Sicherheitsupdates so bald wie möglich zu installieren.

Die gesamte Meldung lesen Sie bei Bürger-CERT.

9. Adobe Acrobat: Installation von Sicherheitsupdates empfohlen

Anwenderinnen und Anwender von Adobe Acrobat Reader DC vor Version 2015.006.30456, 2017.011.30105 sowie denjenigen, deren Version älter als Version 2019.008.20071 ist, sollten Sicherheitsupdates durchführen. Schwachstellen ermöglichen Angreifern, die Systeme auf verschiedene Weisen zu missbrauchen.

Weitere Details können Sie bei Bürger-CERT nachlesen.

10. Apple iOS: Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen

Apple iOS weist in den Versionen vor 12.0.1 mehrere Schwachstellen auf. BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen.

Mehr dazu lesen Sie bei Bürger-CERT.

Prisma

11. BSI-Lagebericht der IT-Sicherheit in Deutschland 2018 vorgestellt

Bundesinnenminister Horst Seehofer und BSI-Präsident Arne Schönbohm haben auf der Bundespressekonferenz in Berlin den Lagebericht der IT-Sicherheit in Deutschland 2018 vorgestellt. Die Gefährdungslage sei weiterhin hoch und im Vergleich zum vorangegangenen Berichtszeitraum vielschichtiger geworden. Weil es eine hundertprozentige Sicherheit nicht gebe, müsse die Cyber-Sicherheit in der fortschreitenden Digitalisierung kontinuierlich betrachtet und beachtet werden.

Die Pressemitteilung des Lageberichts zur IT-Sicherheit 2018 finden Sie hier.

Hier geht es zum Download des Lageberichts zur IT-Sicherheit 2018.

12. Whatsapp: Kritische Schwachstelle bei Videoanrufen

Im Messenger-Dienst WhatsApp ist eine kritische Schwachstelle festgestellt worden, wie Heise.de berichtet. Mit einem Video-Anruf kann mindestens die Kontrolle über WhatsApp auf dem Smartphone übernommen werden. Die Empfehlung: Keine fremden Video-Anrufe entgegennehmen und verfügbare Updates einspielen. Auch hier bitte aufpassen: Manchen Anwendern wird im Playstore eine veraltete WhatsApp-Variante angeboten, die die Schwachstelle noch enthält. Bei Versionen nach dem 28.9.2018 ist der Fehler behoben. In jedem Fall sollten Apps nur aus dem offiziellen App-Store bezogen werden.

Zur Meldung auf Heise.de: Kritische Sicherheitslücke gefährdet Milliarden Whatsapp-Nutzer

Mehr Infos zum Basisschutz Ihres Smartphones finden Sie hier.

13. Serverplatinen: Winzige Chips spionieren angeblich bei Apple und Amazon

Aktuell gibt es Medienberichte darüber, dass bereits seit 2015 Chips des chinesischen Herstellers Supermicro Hintertüren auf Mainboards von Amazon und Apple öffnen könnten. Dieser Spionageangriff auf tausende Cloud-Server wird von Medien einer Spezialeinheit der chinesischen Volksbefreiungsarmee zugerechnet. Wie Heise.de mit Verweis auf US-Medien berichtet, bestreiten Amazon, Apple sowie der Chiphersteller Supermicro die Existenz der Spionagechips. Dem BSI liegen derzeit keine Informationen vor, um den Wahrheitsgehalt der Vorwürfe einzuschätzen. Dennoch nimmt das BSI das Problem der Hardwaremanipulationen generell sehr ernst und ist in Kontakt mit den entsprechenden Unternehmen getreten.

Weitere Informationen lesen Sie im Statement des BSI zum Thema "Spionage-Chips in Serverplatinen" nach.

Zur Meldung von Heise.de: Winzige Chips spionierten in Cloud-Servern von Apple und Amazon