Bundesamt für Sicherheit in der Informationstechnik

SICHER • INFORMIERT vom 09.11.2017

Ausgabe: 23/2017

Schnell zum Abschnitt

Editorial

Liebe Leserin, lieber Leser,

in Zeiten der steigenden Zahl von Cyber-Angriffen spielt die IT-Sicherheit eine immer wichtigere Rolle. Das bestätigt auch das BSI in seinem am gestrigen Mittwoch vorgestellten Bericht "Die Lage der IT-Sicherheit in Deutschland 2017". Der Lagebericht zeigt auf, welchen Bedrohungen die Informationstechnik ausgesetzt ist und welchen Herausforderungen sich Staat, Wirtschaft und Gesellschaft in Deutschland mit der wachsenden Digitalisierung stellen müssen. Als nationale Cyber-Sicherheitsbehörde zeigt das BSI anhand der analysierten IT-Lage Lösungsansätze zur Verbesserung der IT-Sicherheit in Deutschland auf. Für die persönliche digitale Sicherheit spielt zudem das eigene Verhalten beim Surfen im Netz und Nutzen von Online-Diensten eine wichtige Rolle.

Wie Sie sich vor aktuellen IT-Sicherheitsrisiken schützen können und welche Updates Hersteller bereitgestellt haben, um Schwachstellen zu beheben, erfahren Sie in unserem Newsletter "Sicher • informiert".

Wir wünschen Ihnen eine spannende Lektüre.

Ihr Bürger-CERT-Team

Störenfriede

WhatsApp gefälscht: Vorsicht beim App-Download

Trotz der Sicherheitsmechanismen des Google Play App-Stores hat es dort eine als WhatsApp-Messenger getarnte App geschafft zum Download zur Verfügung zu stehen, wie Heise Security berichtet. Die gefälschte App wurde dann von über eine Million Android-Nutzerinnen und -Nutzer heruntergeladen. Über solche gefälschte Apps kann beispielsweise Malware verbreitet werden, über die Internet-Kriminelle dann die infizierten Geräte übernehmen können. Mittlerweile ist die Fälschung nicht mehr im Store verfügbar.

Prüfen Sie jede App immer genau, bevor Sie sich diese auf Ihr Smartphone laden. Stellen Sie sicher, dass es sich um die echte App handelt, indem Sie sich alle verfügbaren Informationen genau anschauen. Falls Sie den Verdacht haben, dass Ihr Smartphone mit Malware infiziert ist, löschen Sie verdächtige Apps umgehend und führen Sie einen Virenscan durch. Wie Sie das bei Android-Geräten tun können, erklärt Ihnen BSI für Bürger.

Zur Meldung von Heise Security: Eine Millionen Nutzer laden falschen WhatsApp-Messenger aus Google Play

Phishing: ING-DiBa-Kunden im Fokus von Betrügern

Eine Phishing-Welle trifft derzeit ING-DiBa-Kunden. Eine E-Mail mit dem Betreff "Neue Nachricht von Ihrem ING-DiBa Kundenservice" fordert Kundinnen und Kunden dazu auf, ein Formular auszufüllen. Kommt der Empfänger der Aufforderung nicht nach, sei eine manuelle Bearbeitung notwendig, für die eine Gebühr in Höhe von 49,99 Euro gezahlt werden müsse, so ein Bericht der Verbraucherzentrale.

Natürlich kommt die E-Mail nicht von ING-DiBa. Stattdessen versuchen hier Betrüger mit einem klassischen Phishing-Angriff persönliche Daten der Opfer abzufangen. Woran Sie Phishing-Versuche erkennen können, haben wir Ihnen auf der BSI für Bürger Webseite zusammengestellt.

Im Phishing-Radar der Verbraucherzentrale finden Sie diese und weitere Meldungen zu aktuellen Angriffsversuchen: Kunden der ING-DiBa verstärkt im Fokus

Unverschlüsselte Datenübertragung: Vorsicht bei der App-Nutzung

Ein Softwarespezialist hat in 111 der 200 hierzulande beliebtesten iOS-Apps Sicherheitslücken entdeckt. Am Beispiel der Shoppin-App "Shein" belegt er, wie einfach Benutzernamen und Passwörter aus der App mitgelesen werden können. Die Schwachstelle entsteht, da die Übertragung der sensiblen Daten in den Apps nicht oder nicht umfassend genug verschlüsselt ist. So können Betrüger die Kommunikation zwischen App und Anbieter beziehungsweise dem Server mitverfolgen, den Datenverkehr auf ihr eigenes Endgerät umleiten und so die Zugangsdaten auslesen. Über öffentliche WLAN-Netze ist dies besonders einfach, da die Betrüger hier auf denselben Server wie die Opfer zugreifen.

Welche Risiken die Nutzung öffentlicher WLAN-Netze birgt und welche Sicherheitsmaßnahmen Nutzerinnen und Nutzer beachten sollten, erfahren Sie auf der BSI für Bürger Webseite.

Zur Meldung von der ZEIT Online: Populäre Apps gefährden ihre Nutzer

Schutzmaßnahmen

Android: 84 Sicherheitslücken geschlossen

Mit einem Sicherheitsupdate schließt Google eine Vielzahl an Sicherheitslücken auf Smartphones und ähnlichen Geräten, die das Betriebssystem Android nutzen. Da einige der Schwachstellen als kritisch eingestuft werden, empfiehlt das Bürger-CERT Nutzerinnen und Nutzer, das Update so bald wie möglich vorzunehmen.

Google: Sicherheitsupdates für Chrome OS und Browser

Die neueste Version des Chrome OS behebt mehrere schwerwiegende Sicherheitslücken in dem Betriebssystem. Eine Schwachstelle wird von Google als besonders schwerwiegend eingestuft. Das bereitgestellte Update sollte daher zeitnah installiert werden, um sich gegen einen Angriff über die kritischen Sicherheitslücken zu schützen. Bei einem Systemneustart läuft der Update-Prozess automatisch ab. Mehr dazu erfahren Sie in der Warnmeldung des Bürger-CERT.

Zudem hat Google den Chrome Browser in der Version 62.0.3202.75 für die Betriebssysteme Linux, Windows und Mac OS X sowie macOS Sierra veröffentlicht. Es ist jedoch davon auszugehen, dass über eine mit dem Update behobene Sicherheitslücke beliebige Programmbefehle aus dem Internet getätigt und die Verfügbarkeit des Systems beeinträchtigt werden kann. Alle Nutzerinnen und Nutzern sollten das Update auf die neue Version des Chrome Browsers zeitnah durchzuführen.

Apple: Neue Software-Versionen stehen bereit

Apple hat zahlreiche Sicherheitsupdates für unterschiedliche Software-Produkte veröffentlicht. Mit der neuen Safari Version 11.1 für Mac OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.130.11.6 schließt das Unternehmen mehrere Schwachstellen im Web-Browser. Zudem stellt Apple das mobile Betriebssystem iOS in der Version 11.1. bereit, wodurch mehrere Sicherheitslücken behoben werden. Die neue iTunes Version 12.7.1 schließt mehrere Schwachstellen, durch die Angreifer beliebige Anweisungen auf dem Rechner ausführen können. Auch mit dem Sicherheitsupdate auf iCloud für Windows 7.1 werden gleich mehrere Sicherheitslücken behoben, über die Cyber-Kriminelle einen schädlichen Programmcode ausführen können. Außerdem stellt Apple die neue Version macOS Sierra 10.13.1 zur Verfügung und aktualisiert die Betriebssysteme macOS Sierra 10.12.5 und OS X El Capitan 10.11.6. Um einer Ausnutzung der Schwachstellen vorzubeugen, rät das Bürger-CERT allen Nutzerinnen und Nutzern die jeweiligen Sicherheitsupdates möglichst zeitnah zu installieren:

Android: Patch jetzt auch für BlackBerry verfügbar

Nachdem bereits Sicherheitsupdates für Google Nexus- und Pixel-Geräte sowie ein Betriebssystemupdate für einige Samsung-Geräte veröffentlicht wurden, empfiehlt jetzt auch BlackBerry ein Update auf die Betriebssystemversion 'Patch Level October 5, 2017' oder später. Die Verfügbarkeit des Updates hängt von Zwischenhändlern und regionalen Netzbetreibern ab. Das Bürger-CERT empfiehlt, die Updates umgehend zu installieren, sobald diese verfügbar sind.

WPA2: BlackBerry behebt Schwachstellen

BlackBerry informiert über das Ergebnis seiner Untersuchungen bezüglich der unter dem Namen 'KRACK' bekannt gewordenen Schwachstellen auf seinen Produkten. Danach sind Smartphones mit dem Betriebssystem 'BlackBerry powered by Android' von den folgenden Sicherheitslücken betroffen: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087 und CVE-2017-13088. Ein aktualisiertes Software-Build zur Behebung dieser Schwachstellen ist in den 'BlackBerry powered by Android' Builds mit den Build-Nummern AAQ280, AAQ281 oder AAQ289 enthalten. Dieses wird zeitnah zur Verfügung gestellt.

Wenn Sie nicht sicher sind, ob der Hersteller eines Ihrer Geräte mit WLAN-Schnittstelle bereits auf die Veröffentlichung der Schwachstellen reagiert hat, verwenden Sie zur Übertragung persönlicher Daten ausschließlich kabelgebundene Verbindungen oder mobile Datennetze. Um das Risiko zu minimieren, können Sie kabellose Verbindungen zusätzlich mit einer VPN-Verschlüsselung absichern oder – sofern möglich – auf die Verwendung von SSL-/TLS-verschlüsselten Verbindungen achten. Die Warnmeldung des Bürger-CERT liefert weiterführende Informationen.

OpenOffice: Sicherheitsupdate für Bürosoftware

Die Apache Software Foundation behebt mit der Version 4.1.4 von OpenOffice mehrere Sicherheitslücken. Diese Schwachstellen ermöglichen es einem Angreifer, beliebige Programmbefehle auf Ihrem System auszuführen, wodurch es massiv beschädigt werden kann. Darüber hinaus können durch die Ausnutzung der Sicherheitslücken Informationen ausgespäht werden. Um Angriffe zu vermeiden, sollten Sie das Sicherheitsupdate umgehend installieren.

Prisma

BSI: Bericht zur Lage der IT-Sicherheit in Deutschland 2017 veröffentlicht

Am 08. November 2017 haben Bundesinnenminister Dr. Thomas de Maizière und BSI-Präsident Arne Schönbohm in Berlin gemeinsam den Bericht zur Lage der IT-Sicherheit in Deutschland im Jahr 2017 vorgestellt. Dieser beschreibt und analysiert die aktuelle IT-Sicherheitslage hierzulande und zieht hierfür konkrete Beispiele und Vorfälle heran. Daraus abgeleitet stellt das BSI Angebote und Lösungsansätze zur Verbesserung der IT-Sicherheit in Deutschland vor. Neben der Gefährdungslage für die Bundesverwaltung, die Wirtschaft und die Gesellschaft geht das Dokument auch auf die Ursachen von Cyber-Angriffen ein und analysiert die Angriffsmittel und -methoden. Der Lagebericht steht auf der Webseite des BSI zum Download bereit.

Spam, Phishing und Co.: Schnäppchenfallen im Internet

Die vorweihnachtliche Angebotsflut und Kauflust machen sich auch Internet-Betrüger gerne zunutze. Sie setzen dabei auf den Instinkt des Schnäppchenjägers und locken mit günstigen Sonderangeboten unter anderem in die Phishing-Falle. Beispielsweise mit täuschend echt aussehenden nachgestellten Webseiten von Online-Shops erbeuten die Betrüger von ahnungslosen Einkäufern persönliche Daten, unter anderem Passwörter zu Nutzerkonten, die sie dann für ihre kriminellen Zwecke nutzen. Gerade rund um Aktionstage wie den Black Friday oder Cyber Monday Ende November sollten Online-Shopper wachsam sein. Welche Warnsignale Sie beachten sollten, haben wir für Sie zusammengefasst.

Deine Digitale Seite: Gestalter für IT-Sicherheit gesucht

"Was wir wollen: Deine digitale Seite" – unter diesem Slogan sucht das BSI weitere neue Kolleginnen und Kollegen. Wie die tägliche Arbeit beim BSI aussieht, wer beim BSI arbeitet und was das Bundesamt als Arbeitgeber zu bieten hat, erfahren Sie im Video "Das BSI als Arbeitgeber" auf der Webseite des BSI.

Im November stehen zudem eine ganze Reihe spannender Jobmessen auf dem Programm, bei denen sich das BSI mit seinen Aufgaben allen Interessierten vorstellt, die nach dem Studium ihre "Digitale Seite" beruflich einsetzen möchten. Wir freuen uns auf Ihren Besuch und interessante Gespräche. Alle anstehenden Jobmessen finden Sie unter folgendem Link.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK