bei Computer-Problemen - DIREKT die Profis rufen: 02429 909-904
 

IT-Nachrichten für Düren und Umgebung:
Sicherheitsbericht vom 08.11.2018




bsi

SICHER INFORMIERT vom 08.11.2018
Ausgabe: 23/2018
Inhalt

Strenfriede-----------------
1. Phishing: Nutzer von LinkedIn, Amazon und PayPal im Visier der Betrger
2. Social Engineering: Abzocke mit geflschten Facebook-Profilen


Schutzmanahmen-----------------
3. SSDs: Produkte diverser Hersteller verwundbar
4. Mozilla Thunderbird: Schwachstellen im E-Mail-Client
5. Apple: Sicherheitsupdates fr diverse Programme verfgbar
6. Google Android: Patch fr mobiles Betriebssystem


Prisma-----------------
7. Login: Anmeldeverfahren fr Google-Kunden berarbeitet
8. ECSM-Abschluss: Quiz und Podcast
9. Zivile Helden
10. Smart Home: Sicherheitspakete im Test
11. Messenger: Signal ermglicht Verbergen des Absenders
12. Sicherheitstest.bsi.de: Webseite wurde eingestellt
13. Cybercrime Podcast: Krankenhuser als Zielobjekt von Cyberattacken

Liebe Leserinnen, liebe Leser,

mit dem Ende des Monats Oktober fand auch der European Cyber Security Month einen erfolgreichen Abschluss. Die letzte Woche des Aktionsmonats thematisierte Fragen rund um die Sicherheit im Internet der Dinge; weitere Themen waren zuvor der IT-Basisschutz, Digitales Leben Sicherheit vermitteln sowie der Schutz vor Online-Betrug. Wer sein Wissen testen will, kann dies im BSI fr Brger Quiz "Basisschutz fr Ihr digitales Zuhause" tun oder sich mit dem BSI-Podcast zum Thema Grundlagen des IT-Basisschutz auf den neuesten Stand bringen.

Wir wnschen Ihnen eine spannende Lektre.

Ihr Brger-CERT-Team


----------------------------------------------------
Strenfriede


1. Phishing: Nutzer von LinkedIn, Amazon und PayPal im Visier der Betrger

Aktuell ahmen Internetbetrger verstrkt E-Mails von PayPal oder der Sparkasse fr Phishing-Angriffe nach, wie die Verbraucherzentrale.de berichtet. Dabei versenden die Betrger E-Mails unter dem Namen und der Aufmachung des jeweiligen Unternehmens. Damit versuchen sie, die Kundinnen und Kunden zum ffnen enthaltener Links beziehungsweise zur Eingabe persnlicher Daten zu bewegen. Mit Drohungen wie der Deaktivierung des Kontos oder anfallender Gebhren setzen sie ihre Opfer unter Druck. So sollten Kundinnen und Kunden des Online-Bezahldienstes Paypal keine E-Mails mit Betreffzeilen wie "Information zu Ihrem PayPal Konto" und "Information zur DSGVO" ffnen und die geforderten Daten eingeben. Im Namen der Sparkasse und mit Verweis auf die DSGVO fordern Kriminelle ebenfalls per E-Mail dazu auf, persnliche Daten auf einer verlinkten Webseite einzugeben. Wichtig: Dahinter stehen Betrger, die die Webseiten sowie E-Mails geschickt nachgeahmt und geflscht haben, um sensible Daten zu "phishen".

Was "Phishing" genau bedeutet und wie Brgerinnen und Brger sich dagegen schtzen knnen, hat BSI fr Brger hier zusammengestellt: (siehe Hyperlink)

Zur Meldung von Verbraucherzentrale.de: Phishing-Radar: Aktuelle Warnungen: (siehe Hyperlink)


2. Social Engineering: Abzocke mit geflschten Facebook-Profilen

Derzeit bedienen sich Cyber-Kriminelle wieder einer speziellen Masche, dem sogenannten Social Engineering: Sie erstellen eine Kopie tatschlich existierender Facebook-Profile und versenden unter dem Namen des Profilinhabers Freundschaftsanfragen an Facebook-Mitglieder aus der Freundesliste des geflschten Accounts, wie Mimikama warnt. Die erneute Freundschaftsanfrage nehmen viele Opfer arglos an schlielich sind Profilbild und Name des Versenders ihnen ja bekannt. Was folgt, ist eine Nachricht mit der Bitte, die Mobilnummer zu nennen. Wer darauf eingeht, erhlt kurz danach einen Zahlencode, weil die Betrger die Mobilnummer bei einem kostenpflichtigen Dienst angemeldet haben.Wenn der Aufforderung, den Zahlencode an die Betrger zu bermitteln, gefolgt wird, knnen die Kriminellen den Code bei Zahlungsdienstleistern einlsen und damit die Handyrechnung ihrer Opfer belasten. Es empfiehlt sich, solche Arten von Nachrichten auch wenn sie von vermeintlichen Freunden stammen sorgfltig zu prfen und im Zweifel persnlichen Kontakt zu dem angeblichen Versender der Nachricht aufzunehmen.

Nicht nur Schwachstellen bei Gerten oder Netzwerken gefhrden die digitale Sicherheit. Gerade der Angriffspunkt Mensch wird von Betrgern als Einfallstor fr kriminelle Aktivitten genutzt. Diese Vorgehensweise bezeichnet man als "Social Engineering". Wie Brgerinnen und Brger sie erkennen und wie Sie sich schtzen knnen, hat BSI fr Brger hier zusammengefasst: (siehe Hyperlink)

Zur Meldung von Mimikama: Wenn die eigenen "Facebook-Freunde" dich abzocken...: (siehe Hyperlink)


----------------------------------------------------
Schutzmanahmen


3. SSDs: Produkte diverser Hersteller verwundbar

Schwachstellen in SSDs unterschiedlicher Hersteller ermglichen es, selbstverschlsselnde Festplatten unberechtigt zu entschlsseln. Dazu bentigt ein potenzieller Angreifer allerdings physischen Zugriff auf die betroffenen Modelle. Das Brger-CERT empfiehlt, eingesetzte SSDs zustzlich mit einer Verschlsselungssoftware abzusichern. Weiterfhrende Links und Informationen finden Sie im Warnhinweis: (siehe Hyperlink)


4. Mozilla Thunderbird: Schwachstellen im E-Mail-Client

Bei dem Open Source E-Mail-Client Thunderbird ESR treten derzeit Schwachstellen auf, die es Angreifern ermglichen, einen Denial-of-Service-Angriff oder beliebigen Programmcode mit Benutzerrechten auszufhren. Nutzerinnen und Nutzer sollten daher umgehend die vom Hersteller bereitgestellten Sicherheitsupdates installieren. Betroffen sind die Anwendungen vor Version 60.3. Lesen Sie die gesamte Warnmeldung hier: (siehe Hyperlink)


5. Apple: Sicherheitsupdates fr diverse Programme verfgbar

Fr Apple iOS, das Betriebssystem fr iPhone, iPad und iPod Touch, steht ein Sicherheitsupdate bereit. Kundinnen und Kunden, die ein Betriebssystem vor Version 12.1 benutzen, empfiehlt sich das Herunterladen der Updates. Andernfalls knnen Kriminelle unter anderem vertrauliche Daten einsehen, Sicherheitsmechanismen umgehen oder Daten manipulieren. Auch beim Multimedia-Verwaltungsprogramm iTunes in den Varianten vor Version 12.9 treten Sicherheitslecks auf, die Angreifern beispielsweise erlauben, Cross-Site-Scripting-Angriffe auszufhren. Ein umgehender Download des verfgbaren Sicherheitsupdates ist dringend ratsam.

Nutzerinnen und Nutzer des Apple-Webbrowsers Safari lter als Version 12.0.1 sollten ebenfalls verfgbare Updates aufspielen. Andernfalls erffnen sie Kriminellen unter anderem die Mglichkeit, Denial-of-Service-Angriffe auszufhren.
Das Betriebssystem fr Apple-Rechner, Apple Mac OS, zeigt aktuell genauso Schwachstellen, die beispielsweise die Manipulation von Daten oder Denial-of-Service-Angriffe zulassen. Explizit betroffen sind die Versionen von Apple Mac OS, die lter oder gleich Version 10.12.6, lter oder gleich Version 10.13.6 sind sowie die Varianten lter als Apple Mac OS 10.14.1. Sicherheitsupdates stehen bereit, sie sollten mglichst schnell eingesetzt werden.

Weitere Informationen zu den einzelnen Sicherheitswarnungen gibt das Brger-CERT an diesen Stellen:
Apple iOS: (siehe Hyperlink)
Apple iTunes: (siehe Hyperlink)
Apple Safari: (siehe Hyperlink)
Apple Mac OS: (siehe Hyperlink)


6. Google Android: Patch fr mobiles Betriebssystem

Bei Googles Betriebssystem Android fr mobile Gerte treten derzeit mehrere Schwachstellen auf, die es Angreifern unter anderem ermglichen, Informationen offenzulegen und beliebigen Programmcode auszufhren. Betroffen sind die Versionen Google Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1 sowie Google Android 9. Es steht ein Sicherheitsupdate bereit, das Nutzerinnen und Nutzer so bald wie mglich vornehmen sollten. Mehr dazu lsst sich dem Brger-CERT-Sicherheitshinweis entnehmen: (siehe Hyperlink)


----------------------------------------------------
Prisma


7. Login: Anmeldeverfahren fr Google-Kunden berarbeitet

Mit einem neuen Anmeldeverfahren will Google seine Kundinnen und Kunden besser schtzen. Schon im Moment der Anmeldung fhrt Google eine Risikobewertung durch und lsst einen Login nur zu, wenn keine verdchtigen Elemente auftreten. Dafr ist allerdings aktiviertes JavaScript erforderlich. Nur dann ist der Login in das Google-Konto knftig mglich. Darber berichtet Heise Online. JavaScript ist allerdings bei fast allen Nutzerinnen und Nutzer ohnehin aktiviert. Bereits im letzten Jahr hatte Google seinen Sicherheitscheck berarbeitet und erweitert. So erteilt dieser nun explizite Handlungsempfehlungen, weist etwa auf "Probleme mit Gerten" hin, zum Beispiel wenn einem Smartphone die Displaysperre fehlt. Wie Brgerinnen und Brger Ihre Konten mit einen sicheren Passwort schtzen knnen, hat BSI fr Brger in einer Meldung zusammengefasst: (siehe Hyperlink)


8. ECSM-Abschluss: Quiz und Podcast

Zum Abschluss des ECSM knnen Brgerinnen und Brger in einem Quiz testen, wie gut sie sich mit dem Thema Cybersicherheit auskennen. Fr all diejenigen, die sich noch weiter informieren wollen, gibt eine BSI-Expertin in Folge drei des Podcasts "Ins Internet mit Sicherheit" einen spannenden berblick zum Thema IT-Basisschutz. Diese und alle anderen Folgen der Podcast-Reihe knnen Brgerinnen und Brger hier anhren: (siehe Hyperlink)

Zum Quiz "Basisschutz fr Ihr digitales Zuhause" geht es hier: (siehe Hyperlink)

Alle Termine, Veranstaltungen und Themen rund um den ECSM lesen Sie hier nach: (siehe Hyperlink)


9. Zivile Helden

Weglaufen, Beobachten oder doch lieber den "Zivilen Helden" in sich aktivieren und Courage zeigen gegen Hass, Gewalt und Radikalisierung ? Ein spannendes brandneues Projekt der Polizei, das vor allem junge Menschen im Netz adressiert, soll genau zu letzterem ermutigen. Dazu sind auf der Webseite der Initiative interaktive Videos zu sehen, die brenzlige Situationen darstellen und deren Ausgang man interaktiv am Bildschirm bestimmen kann. "Was wrdest Du tun?", ist die Frage, die dabei direkt an den Zuschauer gestellt wird und so Bewusstsein fr die Wichtigkeit von Zivilcourage im Alltag geschaffen werden soll. Vorbeischauen und den zivilen Held in sich zu wecken lohnt sich: (siehe Hyperlink)


10. Smart Home: Sicherheitspakete im Test

Die letzte Woche des ECSM war dem Thema Sicherheit im vernetzen zuhause gewidmet. Wie Brgerinnen und Brger ihr smartes Heim am besten schtzen knnen, davon handelte auch die letzte Ausgabe von Sicher informiert. Passend dazu hat nun das AV TEST Institut 13 Sicherheitspakete zum Einbruchschutz berprft. Das Ergebnis zeigt: die teuersten Produkte sind nicht immer die besten. So hielt beispielsweise das gnstigste Produkt eines Discounters zahlreichen Testangriffen stand, whrend deutlich teurere Produkte durch Mngel, etwa im Sabotageschutz, auffielen. Ein genauer Blick lohnt sich also.

Zur Meldung von AV Test: Sicheres Gefhl statt gefhlter Sicherheit: 13 Security Starter Kits im Test: (siehe Hyperlink)

Tipps zum Basisschutz im vernetzten Zuhause gibt BSI fr Brger hier: (siehe Hyperlink)


11. Messenger: Signal ermglicht Verbergen des Absenders

Signal, ein Messenger-Dienst der Nachrichten verschlsselt versendet, untersttzt in einer Betaversion ein Feature, bei dem Nachrichten so verschickt werden, dass der Server nicht erkennt, wer die Nachricht verschickt hat. Darber schreibt Golem.de. Wer der Absender ist, sieht nur der Empfnger. Die Entwickler des Signal-Messengers wollen die Metadaten reduzieren, auf die der Server bei der Nachrichtenbertragung Zugriff hat. Das Konzept ist vergleichbar mit einem Brief: Auch da ist die Nennung eines Absenders nicht zwingend ntig. Der Brief kann auch ohne Absender korrekt zugestellt werden.

Die meisten Brgerinnen und Brger versenden heute Nachrichten ber Messenger-Dienste. BSI fr Brger hat 15 Tipps zusammengestellt, wie Sie die digitalen Nachrichtendienste sicher nutzen: (siehe Hyperlink)


12. Sicherheitstest.bsi.de: Webseite wurde eingestellt

Das Bundesamt fr Sicherheit in der Informationstechnik (BSI) hat 2014 mit der Webseite sicherheitstest.bsi.de ein Test-Tool ins Leben gerufen, mit dem Nutzerinnen und Nutzer ihre E-Mail-Accounts auf einen mglichen Identittsdiebstahl hin berprfen lassen konnten. Der zugrunde liegende Datensatz wurde dem BSI damals von Strafverfolgungsbehrden im Rahmen eines Ermittlungsverfahrens zur Verfgung gestellt. Da sich dieser Datensatz nicht mehr auf dem aktuellen Stand befindet, hat das BSI diese Webseite nun aus dem Netz genommen und verweist auf andere Alternativen, mit denen Nutzerinnen und Nutzer ihre Daten auf Identittsdiebstahl hin berprfen knnen.

Brgerinnen und Brger, die Opfer von Identittsdiebstahl wurden, finden auf dieser Seite von BSI fr Brger ntzliche Informationen: (siehe Hyperlink)


13. Cybercrime Podcast: Krankenhuser als Zielobjekt von Cyberattacken

Die hr-iNFO-Podcast-Reihe Cybercrime ging vor einigen Wochen mit einer zweiten Staffel an den Start. In fnf neuen Folgen ergrnden die Autoren Oliver Gnther und Henning Steiner, wie Internet-Kriminalitt den sicheren Betrieb von Krankenhusern gefhrdet. Sie bearbeiten das Thema anhand eines echten Vorfalls aus dem Jahr 2016: Damals musste das Lukas-Krankenhaus im nordrhein-westflischen Neuss nach einer Cyber-Attacke nahezu seinen gesamten IT-Betrieb abschalten. Der Podcast nimmt seine Hrerinnen und Hrer mit auf die Jagd nach den Ttern und gibt Einblick in die Ermittlungsarbeit des Landeskriminalamts NRW und des Bundesamtes fr die Sicherheit in der Informationstechnik (BSI). So schildert Dr. Dirk Hger, Leiter des Fachbereichs "Operative Cyber-Sicherheit" in Folge 4 seine Eindrcke und Erfahrungen bei diesem speziellen Angriff. Als Experte fr die Abwehr von Angriffen beim BSI war er damals Teil des Ermittlerteams.
Die Folgen der zweiten Staffel des Podcasts Cybercrime gibt es auf der Webseite von hr-iNFO : (siehe Hyperlink)

Hintergrundinformationen und weiterfhrende Texte rund um das Thema Cyberattacken auf Krankenhuser hat hr-iNFO hier zusammengefasst: (siehe Hyperlink)

SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)









Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de