Bundesamt für Sicherheit in der Informationstechnik

SICHER • INFORMIERT vom 12.10.2017

Ausgabe: 21/2017

Schnell zum Abschnitt

Editorial

Liebe Leserin, lieber Leser,

die Herbstausgabe des BSI-Magazins „Mit Sicherheit“ liegt nun druckfrisch vor. Mit dieser informiert das Bundesamt für Sicherheit in der Informationstechnik, wie es als nationale Cyber-Sicherheitsbehörde das Thema Informationssicherheit als Voraussetzung einer erfolgreichen Digitalisierung in Staat, Wirtschaft und Gesellschaft gestaltet. Wo Sie das Magazin erhalten, erfahren Sie in unserem Newsletter. Außerdem ist der Europäische Monat der Cyber-Sicherheit (ECSM) mit dem Schwerpunkt „Sicherheit und Schutz persönlicher Daten“ bereits in der zweiten aktionswoche angekommen.

Darüber hinaus informieren wir Sie über aktuelle Gefahren und Betrugsmaschen im Internet und klären auf, wie Sie sich davor schützen können.

Wir wünschen Ihnen eine spannende Lektüre.
Ihr Bürger-CERT-Team

Störenfriede

Datendiebstahl: Yahoo-Nutzerinnen und -Nutzer sollten Passwort wechseln

Der bereits 2013 erfolgte Hackerangriff auf den inzwischen zu Verizon gehörenden Internetdiensteanbieter Yahoo ist umfangreicher als bislang angenommen: Wie das Unternehmen, laut einem Bericht von Golem, jetzt bekannt gab, haben die Täter die Namen, E-Mail-Adressen, Telefonnummern und Geburtsdaten sowie Passwörter aller drei Milliarden in diesem Jahr registrierten Kundinnen und Kunden erbeutet. Yahoo-Nutzerinnen und -Nutzer, die seit 2013 ihr Passwort nicht mehr geändert haben, sollten dies nun dringend nachholen. Wie Sie ein sicheres Passwort erstellen, erklärt das BSI auf der Website BSI für Bürger.

Zur Meldung von golem.de: Alle Yahoo-Kunden im Jahr 2013 gehackt:

Manipulierte Dokumente: Angebliche Rechnungsmails infizieren Computer

Internet-Kriminelle versenden derzeit massenhaft E-Mails mit einer manipulierten Word-Datei im Anhang, wie unter anderem der Ratgeber Internetkriminalität berichtet. Die Nachrichten mit dem Betreff „Rechnungsnummer: QILLA9328 (Rechnung im Anhang)“ enthalten ein Anschreiben mit einem Link. Beim Anklicken des Links wird automatisch eine Word-Datei, die Schadsoftware enthält, heruntergeladen. Nutzerinnen und Nutzer sollten daher umgehend die E-Mail löschen.
Falls Sie bereits betroffen sind, hat das BSI auf der Website BSI für Bürger Tipps für die Beseitigung von Infektionen auf Ihrem PC zusammengestellt.

Zur Meldung von polizei-praevention.de: Gefälschte Rechnungsmail führt zum Download von manipuliertem Word-Dokument.

Phishing: Falsche Benachrichtigungen verunsichern Amazon- und Commerzbank-Kundinnen und -Kunden

Aktuell stehen Kundinnen und Kunden der Commerzbank sowie des Versandhändlers Amazon im Fokus von Phishing-Betrügern, wie die Verbraucherzentrale NRW und Spam-Info warnen. Onlinebanking-Kunden wird in gefälschten E-Mails eine Umstellung des Sicherheitssystems vorgegaukelt. Um eine Kontosperre zu verhindern, müssten sie nur ihre Daten in ein Formular eingeben, auf das sie nach Anklicken eines Links gelangen. Natürlich sollen mit diesem Trick nur möglichst viele Daten gesammelt werden. Der Amazon-Trick hingegen tritt in unterschiedlichen Varianten auf, gerade die Betreffzeilen können hier variieren. Die derzeit häufigste lautet: „Ihre Bestellung wurde storniert!“ Auch diese Nachricht zielt auf den Diebstahl der Nutzerdaten über eine gefälschte Log-in-Seite ab. Teilweise enthalten die E-Mails auch Anhänge im Bildformat .png, die beim Öffnen der E-Mail Schadsoftware auf den Computer schleusen.
In beiden Fällen gilt: Löschen Sie diese E-Mails umgehend. Kontaktieren Sie im Zweifel direkt Ihre Bank oder den Händler und überprüfen Sie den Sachverhalt gegebenenfalls persönlich am Telefon. Nutzen Sie dafür niemals die angeblichen Kontaktdaten in den dubiosen E-Mails. Einen Leitfaden, wie Sie Phishing-Mails und -Webseiten erkennen und sich vor Betrugsversuchen schützen können, stellt das BSI auf der Website BSI für Bürger bereit.

Zur Meldung von spam-info.de: Amazon: Phishing jetzt mit .png-Anhang

Zur Meldung von verbraucherzentrale.nrw: Phishing-Radar: Aktuelle Warnungen

Schutzmaßnahmen

Microsoft Patch-Day: Sicherheitsupdates für mehrere Produkte

Microsoft hat im Zuge des Oktober 2017 Patchday Sicherheitsupdates für eine Vielzahl seiner Produkte für Privat- und Unternehmensanwender veröffentlicht. Zu diesen zählen die Browser Edge und Internet Explorer, Microsoft Office und Microsoft Office Services, Web Apps, Skype for Business und Lync sowie alle aktuellen Versionen des Betriebssystems Windows. Damit schließt Microsoft zahlreiche Sicherheitslücken, die zum Teil schwerwiegende Auswirkungen für den Nutzer, die Nutzerin haben können. Insbesondere Anwenderinnen und Anwender von Microsoft Office sollten schnellstmöglich ein Sicherheitsupdate über die Windows-Update-Funktion vornehmen, um eine bestehende Sicherheitslücke zu schließen, die bereits aktiv ausgenutzt wird. Mithilfe von Office-Dokumenten in Word und Excel ist es einem potenziellen Angreifer möglich, Ihr Computersystem massiv zu schädigen. Im Programm Outlook 2016 ermöglicht eine Schwachstelle einem Angreifer aus dem Internet, auch verschlüsselte E-Mails zu lesen. Führen Sie alle Updates daher umgehend durch, weitere Informationen sind im BürgerCERT-Sicherheitshinweis TW-17-0117 nachlesbar.

Mozilla Thunderbird: Installation der neuen Version empfohlen

Nutzerinnen und Nutzer des E-Mail-Programms Thunderbird von Mozilla wird empfohlen, zeitnah die Version 52.4 zu installieren, denn der Hersteller hat potenziell kritische Sicherheitslücken mit der neuen Version behoben. Die Software können Sie über die auf der Update-Seite von Mozilla laden und entsprechend den Anweisungen installieren. Mehr Informationen sind im Bürger-CERT Sicherheitshinweis TW-17-0118 verfügbar.

WordPress: Sicherheitsupdates für Plug-ins installieren

In drei wenig verbreiteten Erweiterungen für WordPress wurden laut Heise Security Sicherheitslücken entdeckt. Die Schwachstellen in den Plug-ins Appointments, Flickr Gallery und RegistrationMagic-Custom Registration Forms ermöglichen es Angreifern, eine Backdoor in einem beliebigen Verzeichnis zu installieren. Damit lässt sich eine WordPress-Seite vollständig übernehmen. Cyber-Kriminelle könnten diese Lücke ausnutzen, um neue Plug-ins basierend auf diesem Code einzusetzen. Nutzer und Nutzerinnen der betroffenen Erweiterungen sollten zeitnah die neuesten Versionen der drei Plug-ins installieren:

Darüber hinaus finden Sie auf der Website BSI für Bürger einen Leitfaden für ein systematisches Patch-Management

Zur Meldung von Heise Security: Kritische Sicherheitslücke in drei WordPress Plugins

Apple: Sicherheitslücken in macOS Sierra geschlossen

Der Hersteller Apple empfiehlt das Update auf die aktuellen Versionen macOS Sierra 10.13 und macOS High Sierra 10.13, um mehrere, teils schwerwiegende Sicherheitslücken zu schließen. Durch die Lücken können Angreifer beliebigen Programmcode ausführen und Informationen auf dem System ausspähen. Von den Lücken sind auch Mac OS X Versionen ab Lion und später betroffen. Weitere Informationen sowie den Download-Link finden Sie im Sicherheitshinweis TW-T17-0113_Update_1 des Bürger-CERT.

Android: Sicherheitsupdate für mehrere Geräte steht bereit

Mit aktuellen Sicherheitsupdates für Android schließt Google mehrere kritische Sicherheitslücken in dem mobilen Betriebssystem. Angreifer können durch Ausnutzen der Lücken unter anderem Informationen ausspähen, Berechtigungen für die Ausführung von Aktionen erlangen und Geräte weitgehend manipulieren. Betroffen sind mehrere Versionen von Google Android Operating System, die Systeme Google Nexus und Google Pixel sowie Samsung Mobile Android vor SMR-OCT-2017. Das Bürger-CERT empfiehlt, das Update sobald es verfügbar ist umgehend zu installieren.

Trend Micro OfficeScan: Mehrere Schwachstellen entdeckt

Mit einem Update schließt das Unternehmen Trend Micro Schwachstellen in den Versionen XG (12.0) und 11.0 SP1 für Windows seiner Software OfficeScan. Angreifer können darüber Schadcode auf den Geräten von Nutzern und Nutzerinnen ausführen. Das Update ist im Download Center des Herstellers verfügbar. Den Link sowie weiterführende Informationen finden Sie unter: https://success.trendmicro.com/solution/1118372

Mozilla Firefox: Insgesamt 18 Sicherheitslücken geschlossen

Mozilla schließt mit dem aktuellen Update eine Vielzahl von Sicherheitslücken im seinem Open-Source Webbrowser Firefox. Betroffen sind alle Systeme vor Mozilla Firefox 56 unter Apple Mac OS X, macOS Sierra, GNU/Linux, Google Android Operating System und Microsoft Windows. Unter den Schwachstellen sind einige, die schwere Auswirkungen haben können. Angreifer aus dem Internet können sie unter anderem nutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen auszuspähen oder beliebige Befehle auf dem betroffenen Gerät auszuführen und so massive Schäden zu verursachen. Das Bürger-CERT empfiehlt die umgehende Aktualisierung mit dem vorliegenden Sicherheitsupdate

Prisma

AV-Software: BSI-Stellungnahme zu Medienberichten

Medien berichten derzeit über mögliche Aktivitäten russischer Hacker, die mithilfe von Kaspersky-Software US-amerikanische Behörden ausspioniert haben sollen. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen derzeit keine Erkenntnisse vor, dass der Vorgang wie im Medienbericht beschrieben stattfand. Das BSI steht in Kontakt mit den amerikanischen Partnerbehörden. Eine Warnung des BSI vor dem Einsatz von Kaspersky-Produkten ist derzeit nicht vorgesehen, da dem BSI keine Belege für ein Fehlverhalten des Unternehmens oder Schwachstellen in der Software vorliegen. Zur BSI Pressemitteilung

Auf der Webseite BSI für Bürger finden Sie Tipps zur Auswahl von Schutz- und Hilfsprogrammen

Smart Home: Auch für Bots verlockend

Die zunehmende Verbreitung intelligenter Geräte im Haus erhöht die Anzahl der Angriffspunkte für Cyber-Attacken aus dem Internet. Dies hat bereits das Botnetz Mirai verdeutlicht, welches auch smarte Geräte wie Netzwerkkameras, Babyfone oder Kühlschränke genutzt hat, um einen weltweiten Cyber-Angriff zu starten. Denn über die Verbindung mit dem Internet können Angreifer smarte Geräte kapern und sie zu einem Botnetz zusammenschließen. Oftmals bemerkt der Besitzer eines infizierten Geräts nichts davon. Wie Sie sich effektiv davor schützen können, dass Ihre smarten Geräte im Haushalt nicht von Cyber-Kriminellen ferngesteuert werden, erklärt Ihnen das Informationsportal BSI für Bürger

ECSM 2017: Datensicherheit zwischen Eigenverantwortung und Technik

Die zweite Aktionswoche des European Cyber Security Month 2017 steht im Zeichen von "Sicherheit und Schutz persönlicher Daten". Das BSI weist darauf hin, dass neben technischen Schutzmaßnahmen auch ein bedachter Umgang mit persönlichen Daten wichtig ist, um diese zu schützen. Dazu gehört unter anderem ein sparsamer Umgang mit persönlichen Informationen bei der Anmeldung für Internetdienste ebenso wie der Verzicht auf Single Sign-on Anwendungen. Dabei können sich Internetnutzer und Internetnutzerinnen mit beispielsweise den Zugangsdaten eines sozialen Netzwerks bei Drittanbietern einloggen. Auch beim Herunterladen von mobilen Apps sollten Sie die Zugriffsrechte auf das notwendige Minimum beschränken und im Zweifel eine alternative Lösung vorziehen. Auf der Webseite BSI für Bürger können Sie sich außerdem über das Thema Verschlüsselung informieren. Im Rahmen des ECSM hat das BSI zudem ein Video zum Unterschied zwischen Datensicherheit und Datenschutz produziert.

Während des ECSM finden zahlreiche Aktionen statt, um auf die Bedeutung von Cyber-Sicherheit hinzuweisen. Nutzen Sie beispielsweise den Dark Cyber Monday am 23. Oktober in Bonn, um sich auch persönlich über die Gefahren im Netz zu informieren. Neben Kurzvorträgen zu Themen wie dem Darknet werden hier auch Workshops und ein interaktiver Sicherheits-Parcours angeboten. Kommen Sie vorbei. Wir freuen uns auf Ihren Besuch.

Messenger: AOL Instant Messenger wird eingestellt

Nach über 20 Jahren wird am 15. Dezember 2017 eine der ersten Chat-Apps im Internet eingestellt. Der AOL Instant Messenger wurde nach und nach von moderneren Anwendungen sowie der hohen Verbreitung von Smartphones verdrängt. Nach dem Stichtag werden Nutzerinnen und Nutzer keinen Zugang mehr zu ihrem Konto haben, informiert Spiegel Online. Die Nutzerdaten werden nach Angaben des Anbieters gelöscht. Bis dahin haben Kundinnen und Kunden noch die Möglichkeit, Chatverläufe und Dateien aus der Anwendung zu sichern. BSI für Bürger hat Ihnen die wichtigsten Tipps zur Auswahl und Nutzung von Instant Messengern zusammengestellt.

Zur Meldung von Spiegel Online: AIM wird abgeschaltet – nach 20 Jahren

E-Mail: Unverzichtbares Medium in der beruflichen Kommunikation

Fluten von E-Mails mit Dutzenden von Empfängern in Kopie können in der täglichen Arbeitswelt oft zu einem gewissen Missmut führen. Laut einer Studie über die Heise Security berichtet, verärgern gerade E-Mails besonders, die Themen bearbeiten, die schneller im Gespräch geklärt wären und die mehrfach weitergeleitet werden. Dennoch ist und bleibt die E-Mail der beliebteste Kommunikationsweg. Von den 3.000 befragten Büroarbeitern ist sogar ein Drittel von der steigenden Bedeutung von E-Mails überzeugt – dabei verbringen rund 20 Prozent mehr als vier Stunden täglich mit der elektronischen Korrespondenz. Schockierend: 15 Prozent der Befragten in Deutschland rufen ihre E-Mails sogar beim Autofahren ab. Wie der gesunde Menschenverstand zumindest in puncto E-Mail-Sicherheit in den Vordergrund gerückt werden kann, erklärt Ihnen die BSI für Bürger Webseite mit dem 3-Sekunden-Check

Zur Meldung von Heise Security: E-Mail – der ganz normale Wahnsinn

In eigener Sache: Das neue BSI-Magazin ist erschienen

Die Herbstausgabe des BSI-Magazins "Mit Sicherheit" stellt das Thema Informationssicherheit als Voraussetzung einer erfolgreichen Digitalisierung in den Fokus. Zu den Themen des diese Woche veröffentlichten Magazins zählen der Einsatz der Lauschabwehr während des G20-Gipfels, die internationale Zusammenarbeit bei Zertifizierung und Standards sowie die Gestaltung einer smarten und sicheren digitalen Gesellschaft. Die Ausgabe können Sie unter www.bsi.bund.de/BSI-Magazin kostenfrei bestellen und/oder als PDF herunterladen.