Liebe LeserInnen,
heute endet der Oktober – mit dem "schrecklichsten" aller Tage, Halloween. Sie werden heute
vermutlich viele Geister, Hexen und Fledermäuse sehen – hoffentlich aber niemanden, der sich als
Ihr Chef verkleidet und Geld von Ihnen verlangt. Leider ist so etwas kein Halloween-Gag, sondern
ein so genannter Deep Fake, der Sie das ganze Jahr über heimsuchen kann. Um täuschend echt wirkende
Bild-, Video- und Audio-Dateien zu erzeugen, die in Wahrheit gefälscht sind, wird oftmals
künstliche Intelligenz verwendet. In den Händen von Cyber-Kriminellen mitunter eine gruselige
Waffe. Lesen Sie mehr dazu in dieser Ausgabe des Newsletters.
Der 31. Oktober markiert zugleich das Ende des "European Cyber Security Month" (ECSM). Im Oktober
haben Organisationen und Privatpersonen daran erinnert, wie wichtig der Schutz von Geräten und
IT-Infrastrukturen ist. Auch wir haben unsere ECSM-Serie zum Thema "Hilfe zur Selbsthilfe" mit dem
vierten Teil abgeschlossen – schauen Sie doch mal rein.
Damit Sie auch in den nächsten Monaten sicher sein können, präsentieren wir Ihnen heute die
aktuellsten Infos sowie Tipps und Tricks für mehr IT-Sicherheit – garantiert ohne Fakes.
Viel Spaß beim Lesen wünscht Ihnen
Jan Lammertz / Team BSI-für-Bürger
Inhalt
In den Schlagzeilen-----------------
1. Wenn der Chef plötzlich Geld braucht
2. Emotet legt Berliner Kammergericht lahm
3. Intelligente Spione in den eigenen vier Wänden
4. Wenn Ihr Office verschnupft ist
Bleiben Sie up-to-date-----------------
5. BSI warnt vor akuten Schwachstellen in Chrome, Firefox, Mware ESXi, Foxit Phantom PDF Suite und Mozilla Thunderbird
6. Kritische Sicherheitslücken in Mozilla Firefox
7. Samsung Galaxy: Folie statt Fingerabdruck
Gut zu wissen-----------------
8. Basisschutz für Ihre Geräte: nicht perfekt, aber wirksam
9. Vorsicht vor Heidi Klum und Emilia Clarke!
10. TOTP: Passwörter zum Wegwerfen
11. BSI und Polizei geben Phishing-Checkliste für den Ernstfall heraus
Was wichtig wird-----------------
12. "Deepfake Detection Challenge" von Facebook und Microsoft
----------------------------------------------------
In den Schlagzeilen
1. Wenn der Chef plötzlich Geld braucht
Die Wirtschaftswoche warnt vor Cyber-Attacken, bei denen sich Betrüger als Vorgesetzte ausgeben und so millionenschwere Überweisungen auf falsche Konten veranlassen. Die Angreifer nutzen sogar Stimmimitation, um MitarbeiterInnen am Telefon zu täuschen. Die internationale Polizeibehörde Interpol nennt diese Art von Deep Fakes "Business Email Compromise" (BEC). Um diese Form von Cyberkriminalität zu stoppen, hat Interpol eine Informationskampagne gestartet: Mit dem Slogan #BECareful – "Sei vorsichtig" möchte die Polizeibehörde über das Vorgehen der Betrüger aufklären und Beschäftigte sensibilisieren.
So rät die Wirtschaftswoche zu "Vorsicht vor den falschen Chefs": (Hyperlink aufrufen)
Auf BSI für Bürger finden Sie wichtige Informationen zum Thema Social Engineering: (Hyperlink aufrufen)
2. Emotet legt Berliner Kammergericht lahm
Über Emotet haben wir an dieser Stelle bereits mehrfach berichtet. Der Virus, der Rechner verschlüsselt, um seine Besitzer zu erpressen oder Schadsoftware aufspielt, um Daten abzugreifen, ist weiterhin aktiv. Zum Beispiel in der IT-Anlage des Berliner Kammergerichts: Seit Wochen hat das Gericht keinen Internetzugang mehr und kann seine Rechner nur noch als Schreibmaschine nutzen. Per E-Mail ist das Gericht momentan und auf absehbare Zeit nicht zu erreichen.
Lesen Sie hier den F.A.Z.-Artikel zum Thema: (Hyperlink aufrufen)
Das BSI rät zu diesen Maßnahmen zum Schutz vor Emotet und gefährlichen E-Mails im Allgemeinen: (Hyperlink aufrufen)
3. Intelligente Spione in den eigenen vier Wänden
Es war "nur" ein Forschungsprojekt: Hacker des Berliner Security Research Labs (SRLabs) haben Apps für die Smart Speaker-Sprachassistenten Alexa und Google Home entwickelt, mit denen sie die NutzerInnen unbemerkt abhören können. Die "smart spies" (intelligenten Spione) gaben sich zum Beispiel als Horoskop-App aus und blieben auch dann aktiv, wenn sie mit einem Stopp-Befehl eigentlich beendet wurden. Wer das nicht bemerkte, konnte von dem Forschungsteam abgehört werden. Amazon und Google haben darauf reagiert und Abhilfe angekündigt. Die Apps der SRLabs wurden inzwischen gelöscht.
Wie die "Spione" bei Alexa und Google Home funktionieren, beschreibt unter anderem Der Spiegel ausführlich: (Hyperlink aufrufen)
Informationen und Tipps für den Umgang mit digitalen Assistenten finden Sie auch hier: (Hyperlink aufrufen)
4. Wenn Ihr Office verschnupft ist
Die meisten Viren gelangen per E-Mail auf Computer – oft als verseuchter Anhang in Form von Office-Dokumenten. Um den Schutz der BürgerInnen vor Angriffen solcher Viren zu verbessern, hat das BSI die besten Einstellungen für Sicherheit, Datenschutz und Funktionalität in Office herausgearbeitet. Privatpersonen können diese Einstellungen in ihrer Office-Version selbst vornehmen. In Unternehmen werden die Parameter am besten von den IT-Beauftragten über so genannte Gruppenrichtlinien eingerichtet, die für alle Beschäftigten gelten.
Über die Vorschläge des BSI berichtet unter anderem die PC WELT: (Hyperlink aufrufen)
Die Empfehlungen des BSI zur sicheren Konfiguration von Microsoft Office-Produkten finden Sie hier: (Hyperlink aufrufen)
----------------------------------------------------
Bleiben Sie up-to-date
5. BSI warnt vor akuten Schwachstellen in Chrome, Firefox, Mware ESXi, Foxit Phantom PDF Suite und Mozilla Thunderbird
Auch in den vergangenen Tagen wurden wieder zahlreiche Sicherheitslücken in gängiger Software bekannt, die genutzt werden können, um Ihre Geräte anzugreifen. Das BSI empfiehlt die zeitnahe Installation der bereitgestellten Sicherheitsupdates. Eine Übersicht der aktuellen Warnmeldungen finden Sie hier: (Hyperlink aufrufen)
6. Kritische Sicherheitslücken in Mozilla Firefox
Heise berichtet über mehrere Schwachstellen im Browser Firefox: Angreifer können so "Computer direkt über das Internet attackieren und nach einer erfolgreichen Attacke die Browser abstürzen lassen oder sogar Schadcode ausführen". Das Schadprogramm tarnt sich in diesem Fall als Video und nutzt Speicherfehler aus, um sich zu aktivieren und zu verbreiten. 13 Lücken hat Mozilla geschlossen: (Hyperlink aufrufen)
Zum Artikel von Heise: (Hyperlink aufrufen)
Über welche Einfallstore Schadprogramme in Rechner gelangen können, lesen Sie bei BSI für Bürger: (Hyperlink aufrufen)
7. Samsung Galaxy: Folie statt Fingerabdruck
Auf den Samsung-Smartphones Galaxy S10 und Note 10 ist es laut Heise möglich, den Fingerprintscanner mit bestimmten Display-Folien auszutricksen, sodass Unbefugte auf das Gerät zugreifen könnten. Das Problem tritt aber nur dann auf, wenn der Fingerabdruck bereits mit der aufgeklebten Folie erfasst wurde. Samsung kennt den Fehler und hat einen Patch dafür angekündigt, der in Kürze auch in Europa erhältlich sein soll.
Lesen Sie mehr dazu bei Heise: (Hyperlink aufrufen)
----------------------------------------------------
Gut zu wissen
8. Basisschutz für Ihre Geräte: nicht perfekt, aber wirksam
Einen perfekten Schutz für Geräte und NutzerInnen kann es nicht geben, denn Hacker und Cyberkriminelle arbeiten täglich daran, aktuelle Schutzmechanismen auszuhebeln. Trotzdem sollten Sie Ihre Geräte optimal schützen – das senkt auch ohne endgültige Garantie das Risiko, Opfer von Cyber-Angriffen zu werden. Wertvolle Tipps für den wirksamen Basisschutz Ihres Computers, Tablets und Smartphones hat BSI für Bürger:
(Hyperlink aufrufen)
9. Vorsicht vor Heidi Klum und Emilia Clarke!
Nein, das Sicherheitsunternehmen McAffee warnt nicht vor der nächsten Staffel von "Germany‘s next Topmodel" oder "Game of Thrones". Einer Untersuchung von McAffee zufolge führen Internetsuchen nach diesen beiden Prominenten besonders oft zu Seiten mit Schadsoftware. Die Wahrscheinlichkeit, auf eine infizierte Seite zu stoßen, beträgt immerhin 5,2 Prozent. Rund jede 20. Suche stellt also eine potenzielle Gefährdung dar. Nicht viel besser sieht es übrigens bei Justin Bieber, Ed Sheeran und Lady Gaga aus, die auf den Plätzen zwei bis fünf folgen.
Lesen Sie den ausführlichen Artikel bei PC Welt: (Hyperlink aufrufen)
Wie Sie Ihre Geräte mit Virenschutzprogrammen schützen können, verrät Ihnen BSI für Bürger: (Hyperlink aufrufen)
10. TOTP: Passwörter zum Wegwerfen
Ein starkes Passwort kann Geräte und Online-Accounts gut schützen. Allerdings kann sich kaum jemand eine sichere Phrase wie "jt@TS#MKg7#ZK~QD" merken. Daher nutzen die meisten Menschen immer noch einfach zu knackende Passwörter wie "123456" oder "passwort" – und das für viele Konten und Geräte gleichzeitig. Unter dem Begriff "Time-based One-time Password" (TOTP) hat die Initiative For Open Authentication (OATH) eine Technologie entwickelt, über die zeitlich begrenzt gültige, nur einmal nutzbare Passwörter zur Anmeldung an einem System generiert werden. Selbst wenn solche Passwörter in fremde Hände gelangen, sind sie unbrauchbar, denn sie verlieren bereits nach wenigen Sekunden ihre Gültigkeit. Die Wegwerf-Passwörter werden vor allem im Zusammenhang mit der Zwei-Faktor-Authentisierung genutzt.
"Was ist TOTP?", fragt Security Insider – und beantwortet die Frage auch gleich: (Hyperlink aufrufen)
Tipps von BSI für Bürger für den richtigen Umgang mit Passwörtern finden Sie hier: (Hyperlink aufrufen)
11. BSI und Polizei geben Phishing-Checkliste für den Ernstfall heraus
Haben Sie auch schon einmal eine E-Mail von einem Prinzen erhalten, der Ihnen fünf Millionen Euro in Aussicht stellt? Es klingt zu verlockend: Sie müssen nur einen Link klicken und Ihre Kreditkartendaten eintragen. Zu schön, um wahr zu sein: Dahinter steckt natürlich keine Nächstenliebe, sondern ein Cyber-Krimineller. Beim so genannten Phishing verschicken Angreifer betrügerische Nachrichten per E-Mail, über Messenger oder soziale Netzwerke. Darin fordern sie NutzerInnen auf, vertrauliche Informationen wie Passwörter, Zugangsdaten oder Kreditkartennummern preiszugeben. Doch was können Sie tun, wenn Sie Opfer eines solchen Betrugs geworden sind? Gestern wurde die neue "Phishing: Checkliste für den Ernstfall" veröffentlicht, die über Sofortmaßnahmen informiert, wenn Sie
Zahlungsdaten oder
Zugangsdaten zu Ihrem E-Mail-Konto oder anderen Accounts weitergegeben haben oder
auf einen Link geklickt haben und Geldforderungen bekommen oder
den Verdacht haben, dass Ihre Daten abgeschöpft wurden.
Außerdem gibt Ihnen diese Checkliste Tipps, wie Sie sich in Zukunft vor Phishing schützen können: (Hyperlink aufrufen)
----------------------------------------------------
Was wichtig wird
12. "Deepfake Detection Challenge" von Facebook und Microsoft
Künstliche Intelligenz (KI) ist eine tolle Sache, weil sie zum Beispiel bei der Früherkennung von Krebs oder beim Bekämpfen von Hunger in der Welt helfen kann. Aber in Form von sogenannten Deep Fakes kann KI auch beträchtlichen Schaden anrichten, wie wir im Artikel "Wenn der Chef plötzlich Geld braucht" bereits beschrieben haben. Um den Missbrauch von KI für Deep Fakes zu verhindern, lädt die "Deepfake Detection Challenge" Menschen in der ganzen Welt ein, Technologien zu entwickeln, die beim Aufspüren solcher Deep Fakes helfen. Neben Unternehmen und Institutionen wie Microsoft, Facebook, der New York Times und der University of Oxford hat sich jetzt auch Amazon dieser Herausforderung angeschlossen.
Wenn Sie bei diesem Kampf mitmachen möchten, besuchen Sie die Webseite der "Deepfake Detection Challenge": (Hyperlink aufrufen)
Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freunden oder Kollegen: (Hyperlink aufrufen)
SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)
Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de
