Bundesamt für Sicherheit in der Informationstechnik

SICHER • INFORMIERT vom 08.11.2018

Ausgabe: 23/2018

Schnell zum Abschnitt

Liebe Leserinnen, liebe Leser,

mit dem Ende des Monats Oktober fand auch der European Cyber Security Month einen erfolgreichen Abschluss. Die letzte Woche des Aktionsmonats thematisierte Fragen rund um die Sicherheit im Internet der Dinge; weitere Themen waren zuvor der IT-Basisschutz, Digitales Leben – Sicherheit vermitteln sowie der Schutz vor Online-Betrug. Wer sein Wissen testen will, kann dies im BSI für Bürger Quiz "Basisschutz für Ihr digitales Zuhause" tun oder sich mit dem BSI-Podcast zum Thema Grundlagen des IT-Basisschutz auf den neuesten Stand bringen.

Wir wünschen Ihnen eine spannende Lektüre.

Ihr Bürger-CERT-Team

Störenfriede

1. Phishing: Nutzer von LinkedIn, Amazon und PayPal im Visier der Betrüger

Aktuell ahmen Internetbetrüger verstärkt E-Mails von PayPal oder der Sparkasse für Phishing-Angriffe nach, wie die Verbraucherzentrale.de berichtet. Dabei versenden die Betrüger E-Mails unter dem Namen und der Aufmachung des jeweiligen Unternehmens. Damit versuchen sie, die Kundinnen und Kunden zum Öffnen enthaltener Links beziehungsweise zur Eingabe persönlicher Daten zu bewegen. Mit Drohungen wie der Deaktivierung des Kontos oder anfallender Gebühren setzen sie ihre Opfer unter Druck. So sollten Kundinnen und Kunden des Online-Bezahldienstes Paypal keine E-Mails mit Betreffzeilen wie "Information zu Ihrem PayPal Konto" und "Information zur DSGVO" öffnen und die geforderten Daten eingeben. Im Namen der Sparkasse und mit Verweis auf die DSGVO fordern Kriminelle ebenfalls per E-Mail dazu auf, persönliche Daten auf einer verlinkten Webseite einzugeben. Wichtig: Dahinter stehen Betrüger, die die Webseiten sowie E-Mails geschickt nachgeahmt und gefälscht haben, um sensible Daten zu "phishen".

Was "Phishing" genau bedeutet und wie Bürgerinnen und Bürger sich dagegen schützen können, hat BSI für Bürger zusammengestellt.

Zur Meldung von Verbraucherzentrale.de: Phishing-Radar: Aktuelle Warnungen

2. Social Engineering: Abzocke mit gefälschten Facebook-Profilen

Derzeit bedienen sich Cyber-Kriminelle wieder einer speziellen Masche, dem sogenannten Social Engineering: Sie erstellen eine Kopie tatsächlich existierender Facebook-Profile und versenden unter dem Namen des Profilinhabers Freundschaftsanfragen an Facebook-Mitglieder aus der Freundesliste des gefälschten Accounts, wie Mimikama warnt. Die erneute Freundschaftsanfrage nehmen viele Opfer arglos an – schließlich sind Profilbild und Name des Versenders ihnen ja bekannt. Was folgt, ist eine Nachricht mit der Bitte, die Mobilnummer zu nennen. Wer darauf eingeht, erhält kurz danach einen Zahlencode, weil die Betrüger die Mobilnummer bei einem kostenpflichtigen Dienst angemeldet haben.Wenn der Aufforderung, den Zahlencode an die Betrüger zu übermitteln, gefolgt wird, können die Kriminellen den Code bei Zahlungsdienstleistern einlösen und damit die Handyrechnung ihrer Opfer belasten. Es empfiehlt sich, solche Arten von Nachrichten – auch wenn sie von vermeintlichen Freunden stammen – sorgfältig zu prüfen und im Zweifel persönlichen Kontakt zu dem angeblichen Versender der Nachricht aufzunehmen.

Nicht nur Schwachstellen bei Geräten oder Netzwerken gefährden die digitale Sicherheit. Gerade der Angriffspunkt Mensch wird von Betrügern als Einfallstor für kriminelle Aktivitäten genutzt. Diese Vorgehensweise bezeichnet man als "Social Engineering". Wie Bürgerinnen und Bürger sie erkennen und wie Sie sich schützen können, hat BSI für Bürger hier zusammengefasst.

Zur Meldung von Mimikama: Wenn die eigenen "Facebook-Freunde" dich abzocken...

Schutzmaßnahmen

3. SSDs: Produkte diverser Hersteller verwundbar

Schwachstellen in SSDs unterschiedlicher Hersteller ermöglichen es, selbstverschlüsselnde Festplatten unberechtigt zu entschlüsseln. Dazu benötigt ein potenzieller Angreifer allerdings physischen Zugriff auf die betroffenen Modelle. Das Bürger-CERT empfiehlt, eingesetzte SSDs zusätzlich mit einer Verschlüsselungssoftware abzusichern. Weiterführende Links und Informationen finden Sie im Warnhinweis.

4. Mozilla Thunderbird: Schwachstellen im E-Mail-Client

Bei dem Open Source E-Mail-Client Thunderbird ESR treten derzeit Schwachstellen auf, die es Angreifern ermöglichen, einen Denial-of-Service-Angriff oder beliebigen Programmcode mit Benutzerrechten auszuführen. Nutzerinnen und Nutzer sollten daher umgehend die vom Hersteller bereitgestellten Sicherheitsupdates installieren. Betroffen sind die Anwendungen vor Version 60.3. Lesen Sie die gesamte Warnmeldung.

5. Apple: Sicherheitsupdates für diverse Programme verfügbar

Für Apple iOS, das Betriebssystem für iPhone, iPad und iPod Touch, steht ein Sicherheitsupdate bereit. Kundinnen und Kunden, die ein Betriebssystem vor Version 12.1 benutzen, empfiehlt sich das Herunterladen der Updates. Andernfalls können Kriminelle unter anderem vertrauliche Daten einsehen, Sicherheitsmechanismen umgehen oder Daten manipulieren. Auch beim Multimedia-Verwaltungsprogramm iTunes in den Varianten vor Version 12.9 treten Sicherheitslecks auf, die Angreifern beispielsweise erlauben, Cross-Site-Scripting-Angriffe auszuführen. Ein umgehender Download des verfügbaren Sicherheitsupdates ist dringend ratsam.

Nutzerinnen und Nutzer des Apple-Webbrowsers Safari älter als Version 12.0.1 sollten ebenfalls verfügbare Updates aufspielen. Andernfalls eröffnen sie Kriminellen unter anderem die Möglichkeit, Denial-of-Service-Angriffe auszuführen.
Das Betriebssystem für Apple-Rechner, Apple Mac OS, zeigt aktuell genauso Schwachstellen, die beispielsweise die Manipulation von Daten oder Denial-of-Service-Angriffe zulassen. Explizit betroffen sind die Versionen von Apple Mac OS, die älter oder gleich Version 10.12.6, älter oder gleich Version 10.13.6 sind sowie die Varianten älter als Apple Mac OS 10.14.1. Sicherheitsupdates stehen bereit, sie sollten möglichst schnell eingesetzt werden.

Weitere Informationen zu den einzelnen Sicherheitswarnungen gibt das Bürger-CERT an diesen Stellen:

6. Google Android: Patch für mobiles Betriebssystem

Bei Googles Betriebssystem Android für mobile Geräte treten derzeit mehrere Schwachstellen auf, die es Angreifern unter anderem ermöglichen, Informationen offenzulegen und beliebigen Programmcode auszuführen. Betroffen sind die Versionen Google Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 sowie Google Android 9. Es steht ein Sicherheitsupdate bereit, das Nutzerinnen und Nutzer so bald wie möglich vornehmen sollten. Mehr dazu lässt sich dem Bürger-CERT-Sicherheitshinweis entnehmen.

Prisma

7. Login: Anmeldeverfahren für Google-Kunden überarbeitet

Mit einem neuen Anmeldeverfahren will Google seine Kundinnen und Kunden besser schützen. Schon im Moment der Anmeldung führt Google eine Risikobewertung durch und lässt einen Login nur zu, wenn keine verdächtigen Elemente auftreten. Dafür ist allerdings aktiviertes JavaScript erforderlich. Nur dann ist der Login in das Google-Konto künftig möglich. Darüber berichtet Heise Online. JavaScript ist allerdings bei fast allen Nutzerinnen und Nutzer ohnehin aktiviert. Bereits im letzten Jahr hatte Google seinen Sicherheitscheck überarbeitet und erweitert. So erteilt dieser nun explizite Handlungsempfehlungen, weist etwa auf "Probleme mit Geräten" hin, zum Beispiel wenn einem Smartphone die Displaysperre fehlt. Wie Bürgerinnen und Bürger Ihre Konten mit einen sicheren Passwort schützen können, hat BSI für Bürger in einer Meldung zusammengefasst.

8. ECSM-Abschluss: Quiz und Podcast

Zum Abschluss des ECSM können Bürgerinnen und Bürger in einem Quiz "Basisschutz für Ihr digitales Zuhause" testen, wie gut sie sich mit dem Thema Cybersicherheit auskennen. Für all diejenigen, die sich noch weiter informieren wollen, gibt eine BSI-Expertin in Folge drei des Podcasts "Ins Internet – mit Sicherheit" einen spannenden Überblick zum Thema IT-Basisschutz. Diese und alle anderen Folgen der Podcast-Reihe können Bürgerinnen und Bürger sich unter unserer Mediathek unter Audio anhören. Alle Termine, Veranstaltungen und Themen rund um den ECSM lesen Sie hier nach.

9. Zivile Helden

Weglaufen, Beobachten oder doch lieber den "Zivilen Helden" in sich aktivieren und Courage zeigen gegen Hass, Gewalt und Radikalisierung ? Ein spannendes brandneues Projekt der Polizei, das vor allem junge Menschen im Netz adressiert, soll genau zu letzterem ermutigen. Dazu sind auf der Webseite der Initiative interaktive Videos zu sehen, die brenzlige Situationen darstellen und deren Ausgang man interaktiv am Bildschirm bestimmen kann. "Was würdest Du tun?", ist die Frage, die dabei direkt an den Zuschauer gestellt wird und so Bewusstsein für die Wichtigkeit von Zivilcourage im Alltag geschaffen werden soll. Vorbeischauen und den zivilen Held in sich zu wecken lohnt sich: www.zivile-helden.de

10. Smart Home: Sicherheitspakete im Test

Die letzte Woche des ECSM war dem Thema Sicherheit im vernetzen zuhause gewidmet. Wie Bürgerinnen und Bürger ihr smartes Heim am besten schützen können, davon handelte auch die letzte Ausgabe von 'Sicher informiert‘. Passend dazu hat nun das AV TEST Institut 13 Sicherheitspakete zum Einbruchschutz überprüft. Das Ergebnis zeigt: die teuersten Produkte sind nicht immer die besten. So hielt beispielsweise das günstigste Produkt eines Discounters zahlreichen Testangriffen stand, während deutlich teurere Produkte durch Mängel, etwa im Sabotageschutz, auffielen. Ein genauer Blick lohnt sich also.

Zur Meldung von AV Test: Sicheres Gefühl statt gefühlter Sicherheit: 13 Security Starter Kits im Test

Tipps zum Basisschutz im vernetzten Zuhause von BSI für Bürger.

11. Messenger: Signal ermöglicht Verbergen des Absenders

Signal, ein Messenger-Dienst der Nachrichten verschlüsselt versendet, unterstützt in einer Betaversion ein Feature, bei dem Nachrichten so verschickt werden, dass der Server nicht erkennt, wer die Nachricht verschickt hat. Darüber schreibt Golem.de. Wer der Absender ist, sieht nur der Empfänger. Die Entwickler des Signal-Messengers wollen die Metadaten reduzieren, auf die der Server bei der Nachrichtenübertragung Zugriff hat. Das Konzept ist vergleichbar mit einem Brief: Auch da ist die Nennung eines Absenders nicht zwingend nötig. Der Brief kann auch ohne Absender korrekt zugestellt werden.

Die meisten Bürgerinnen und Bürger versenden heute Nachrichten über Messenger-Dienste. BSI für Bürger hat 15 Tipps zusammengestellt, wie Sie die digitalen Nachrichtendienste sicher nutzen.

12. Sicherheitstest.bsi.de: Webseite wurde eingestellt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 2014 mit der Webseite sicherheitstest.bsi.de ein Test-Tool ins Leben gerufen, mit dem Nutzerinnen und Nutzer ihre E-Mail-Accounts auf einen möglichen Identitätsdiebstahl hin überprüfen lassen konnten. Der zugrunde liegende Datensatz wurde dem BSI damals von Strafverfolgungsbehörden im Rahmen eines Ermittlungsverfahrens zur Verfügung gestellt. Da sich dieser Datensatz nicht mehr auf dem aktuellen Stand befindet, hat das BSI diese Webseite nun aus dem Netz genommen und verweist auf andere Alternativen, mit denen Nutzerinnen und Nutzer ihre Daten auf Identitätsdiebstahl hin überprüfen können.

Bürgerinnen und Bürger, die Opfer von Identitätsdiebstahl wurden, finden auf dieser Seite von BSI für Bürger nützliche Informationen.

13. Cybercrime Podcast: Krankenhäuser als Zielobjekt von Cyberattacken

Die hr-iNFO-Podcast-Reihe ‚Cybercrime‘ ging vor einigen Wochen mit einer zweiten Staffel an den Start. In fünf neuen Folgen ergründen die Autoren Oliver Günther und Henning Steiner, wie Internet-Kriminalität den sicheren Betrieb von Krankenhäusern gefährdet. Sie bearbeiten das Thema anhand eines echten Vorfalls aus dem Jahr 2016: Damals musste das Lukas-Krankenhaus im nordrhein-westfälischen Neuss nach einer Cyber-Attacke nahezu seinen gesamten IT-Betrieb abschalten. Der Podcast nimmt seine Hörerinnen und Hörer mit auf die Jagd nach den Tätern und gibt Einblick in die Ermittlungsarbeit des Landeskriminalamts NRW und des Bundesamtes für die Sicherheit in der Informationstechnik (BSI). So schildert Dr. Dirk Häger, Leiter des Fachbereichs "Operative Cyber-Sicherheit" in Folge 4 seine Eindrücke und Erfahrungen bei diesem speziellen Angriff. Als Experte für die Abwehr von Angriffen beim BSI war er damals Teil des Ermittlerteams.
Die Folgen der zweiten Staffel des Podcasts ‚Cybercrime‘ gibt es auf der Webseite von hr-iNFO.

Hintergrundinformationen und weiterführende Texte rund um das Thema Cyberattacken auf Krankenhäuser hat hr-iNFO hier zusammengefasst.