Liebe LeserInnen,
in den vergangenen 14 Tagen gab es jede Menge News zu Cyber-Sicherheit, dir wir hier mit Ihnen
teilen. So gibt es beispielsweise einen neuen Sicherheitsstandard für vernetzte Geräte, an dem auch
das BSI mitgearbeitet hat. Erst vor zwei Wochen war in unserem Newsletter zu lesen, wie unsicher
viele Geräte im Smart Home immer noch sind. Mit der neuen Norm können die Hersteller
Sicherheitsaspekte bereits bei der Gerätentwicklung besser berücksichtigen. Neuigkeiten gibt es
auch von der Ransomware Emotet, von der lange nichts zu hören war, die nun aber leider wieder
verstärkt ihr Unwesen treibt.
Ab heute finden Sie eine neue Rubrik "Zeitlos wichtig" in unserem Newsletter, in der wir nicht auf
Neuigkeiten eingehen, sondern auf das, was zeitlos wichtig, also immer erwähnenswert und hilfreich
ist. Schauen Sie doch mal rein!
Viel Spaß beim Lesen wünscht Ihnen
Jan Lammertz / Team BSI-für-Bürger
Inhalt
In den Schlagzeilen-----------------
1. Täuschend echt: "Bundesamt für Krisenschutz und Wirtschaftshilfe"
2. Twitter-Accounts von Prominenten gehackt
3. Commerzbank: Kundenkonten gehackt
4. Emotet ist wieder da
5. Datenpanne: Live-Aufnahmen einer Klinik online abrufbar
Bleiben Sie up-to-date-----------------
6. Aktuelle Warnmeldungen des Bürger-CERT
7. Microsoft Patchday: 123 Sicherheitslücken weniger
8. Zoom-Update für ältere Windows-Versionen
Gut zu wissen-----------------
9. Mehr Sicherheit im Smart Home
10. Vorbehalte gegen Signal-PIN
Zahl der Woche-----------------
11. 100.000
Neue Rubrik: Zeitlos wichtig-----------------
12. Das kleine Einmaleineins der IT-Sicherheit
Was wichtig wird-----------------
13. European Cyber Security Month (ECSM) im Oktober
----------------------------------------------------
In den Schlagzeilen
1. Täuschend echt: "Bundesamt für Krisenschutz und Wirtschaftshilfe"
Falls Sie kürzlich Post oder E-Mails vom "Bundesamt für Krisenschutz und Wirtschaftshilfe" oder gar vom "Bundesministerium zur Abwehr von Kriminalität im Cyberspace" bekommen haben: Vergessen Sie‘s, es ist alles eine Fälschung! Das BSI geht davon aus, dass es sich um mögliche Vorbereitungshandlungen für Straftaten wie Betrug oder Phishing handelt. Die Betrüger haben sogar Webseiten für die vermeintlichen Behörden entwickelt. Diese wurden in der Zwischenzeit bereits abgeschaltet, sodass von ihnen keine potenzielle Gefahr mehr ausgeht.
BSI für Bürger über Schutzmaßnahmen in Zeiten von Corona: (Hyperlink aufrufen)
t3n über erfundene Behörden: (Hyperlink aufrufen)
2. Twitter-Accounts von Prominenten gehackt
Was haben Elon Musk, Joe Biden, Barack Obama, Kanye West und Bill Gates gemeinsam? Sie alle wurden jüngst beim Kurznachrichtendienst Twitter Opfer von Hackern. Betroffen waren auch Firmen-Accounts etwa von Apple oder Uber sowie insgesamt wahrscheinlich mehrere Tausend Twitter-Profile. Die AngreiferInnen forderten NutzerInnen vorgeblich im Namen der Prominenten auf, Geld in Form von Kryptowährungen zu überweisen, um vermeintlich die doppelte Summe zurückzuerhalten. So kassierten sie offenbar Bitcoins im Wert von über 100.000 US-Dollar. Wie die AngreiferInnen die Schutzmaßnahmen der Twitter-Konten aushebeln konnten, ist noch unklar. Erste Ermittlungen deuten aber darauf hin, dass Twitter-MitarbeiterInnen mit Zugriff auf die entsprechenden Daten gehackt wurden. Auf jeden Fall, so die Süddeutsche Zeitung, werfe der Hack "ernsthafte Fragen zu den Sicherheitsvorkehrungen von Twitter auf".
BSI-Tipps zum sicheren Umgang mit sozialen Netzwerken: (Hyperlink aufrufen)
Zur Meldung der Süddeutschen Zeitung zum Twitter-Hack: (Hyperlink aufrufen)
3. Commerzbank: Kundenkonten gehackt
Ein weiterer Angriff betrifft vor allem Banken in Deutschland: Hier wurden laut dem Tagesspiegel "Tausende deutsche Kreditkarten" gehackt, darunter "einige Hundert" bei der Commerzbank. Die Karten wurden allesamt vorsorglich gesperrt. Dennoch seien bei den gehackten Karten bereits Umsatzanfragen aufgefallen, die auf "eine missbräuchliche Nutzung" hindeuteten, wie die Commerzbank an ihre KundInnen schrieb.
Worauf beim Bezahlen im Internet zu achten ist, erfahren Sie hier: (Hyperlink aufrufen)
Tagesspiegel zum Commerzbank-Hack: (Hyperlink aufrufen)
4. Emotet ist wieder da
Verschiedene Medien berichten, dass es seit fünf Monaten keine Angriffe mehr mit Emotet gab. Die Ransomware verschlüsselt Rechner mit dem Ziel, Lösegeldzahlungen zu erpressen. Jetzt ist Emotet wieder aktiv und die aktuelle Angriffswelle umso heftiger, wie t3n schreibt: Aktuell würden weltweit riesige Mengen an Spam verschickt. Ist der Angriff erfolgreich, lädt Emotet nach einiger Zeit weitere Schadsoftware (wie z.B. Trickbot) nach, welche etwa Passwörter, Cookies oder SSH-Keys entwendet. Außerdem kann sich die Malware selbstständig weiter in Netzwerken verbreiten.
Informationen des BSI zu Emotet: (Hyperlink aufrufen)
t3n über die neue Angriffswelle: (Hyperlink aufrufen)
5. Datenpanne: Live-Aufnahmen einer Klinik online abrufbar
Die Kameras der Klinik am Isar Park im niederbayerischen Plattling waren kürzlich frei im Netz einsehbar. Sie waren per DynDNS-Dienst und Portfreigabe direkt aus dem Internet zu erreichen, berichtet Heise Online. Die Adressen und Login-Daten der Kameras waren ungeschützt auf dem Webserver eines mittelständischen Elektroinstallationsbetriebs gespeichert. Inzwischen wurde die Übersichtsseite aber abgeschaltet, und die Kameras haben neue Zugangsdaten bekommen.
BSI für Bürger informiert über die Sicherheitseinstellungen bei Überwachungskameras: (Hyperlink aufrufen)
Heise Online zur Datenpanne in Bayern: (Hyperlink aufrufen)
----------------------------------------------------
Bleiben Sie up-to-date
6. Aktuelle Warnmeldungen des Bürger-CERT
Das "Computer Emergency Response Team" des BSI ("Bürger-CERT") informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es Meldungen unter anderem zu Browsern wie dem Mozilla Firefox ( 78.0.2), Apple Safari ( 13.1.2) sowie zum Microsoft Edge Chromium-based und zu den Apple-Betriebssystemen macOS ( 10.15.6) und iPadOS ( 13.6).
Ausführliche Informationen, Tipps zum Umgang mit diesen gefährlichen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT finden Sie hier: (Hyperlink aufrufen)
7. Microsoft Patchday: 123 Sicherheitslücken weniger
Gleich 123 Sicherheitslücken unter anderem in Windows 10, Windows Server sowie SharePoint und Skype for Business hat Microsoft am Juli-Patchday geschlossen, darunter 18 kritische Lücken. Die Sicherheitsupdates werden normalerweise automatisch in die Windows-Rechner eingespielt.
BSI-Bericht über die Sicherheitseigenschaften von Windows 10: (Hyperlink aufrufen)
Zur Meldung von Security-Insider zum Microsoft Patchday: (Hyperlink aufrufen)
8. Zoom-Update für ältere Windows-Versionen
Für die Videokonferenz-Software Zoom ist ein Update auf Version 5.1.3 verfügbar, das eine Lücke in älteren Versionen bis einschließlich Windows 7 schließt. Aktuelle Windows-10-Installationen sind davon nicht betroffen. AngreiferInnen könnten die Lücke ausnutzen, um beliebigen, auch schädlichen Programmcode auszuführen. Das Update gibt es im Zoom Download-Center: (Hyperlink aufrufen).
Im April hat das BSI ein umfassendes Kompendium für Videokonferenzsysteme veröffentlicht: (Hyperlink aufrufen)
Heise Online über die Zoom-Lücke: (Hyperlink aufrufen)
----------------------------------------------------
Gut zu wissen
9. Mehr Sicherheit im Smart Home
Ein neuer, weltweit nutzbarer Standard soll vernetzte Geräte als Teil des täglich wachsenden Internets der Dinge (IoT) sicherer machen. Die Norm "EN 303 645", an der auch das BSI mitgearbeitet hat, dient als Empfehlung für die sichere Entwicklung von IoT-Geräten ("Security by Design"). Unzureichend geschützte Geräte im Smart Home sind ein Risiko für die Informationssicherheit und Privatsphäre der NutzerInnen und daher ein beliebtes Ziel von AngreiferInnen. Kompromittierte Geräte können missbraucht werden, um an persönliche Daten zu gelangen oder um großflächige Cyber-Angriffe durchzuführen.
Weitere Informationen des BSI dazu: (Hyperlink aufrufen)
10. Vorbehalte gegen Signal-PIN
Der Open-Source-Messenger Signal wird von vielen SicherheitsexpertInnen empfohlen, wenn es um den sicheren Austausch von Nachrichten geht. Der Messenger setzt auf Ende-zu-Ende-Verschlüsselung, einen sparsamen Umgang mit persönlichen Daten und einen starken Fokus auf die Wahrung der Privatsphäre. Jetzt gerät der Messenger aber wegen der im Mai eingeführten PIN-Funktion in die Kritik, weil sie dem sicherheitsorientierten Konzept des Messengers zuwiderlaufe, wie SicherheitsexpertInnen kritisieren. Über die PIN-Funktion könnten Daten nun – möglicherweise unzureichend abgesichert – auf den Signal-Servern gespeichert werden, berichtet Heise Online. Zudem sei die PIN-Funktion nicht deaktivierbar. Die Diskussionen darüber halten an; zu einer vollständigen Abschaltung der PIN-Funktion wird es wohl nicht kommen. Die EntwicklerInnen haben aber eine Deaktivierungsmöglichkeit für das PIN-Feature angekündigt.
Heise Online über die umstrittene PIN-Funktion bei Signal: (Hyperlink aufrufen)
----------------------------------------------------
Zahl der Woche
11. 100.000
Die Süddeutschen Zeitung hat eine Übersicht über die spektakulärsten Hackerangriffe der vergangenen Jahre veröffentlicht – „vom Milliarden-Hack in Bangladesch über den US-Wahlkampf bis zu Merkels Mails“. Darin berichtet das Blatt unter anderem von der nordkoreanischen Ransomware Wannacry, die 2017 mehr als 100.000 Computer in 150 Ländern befiel. Die Erpresser-Software verschlüsselte die Rechner, die Cyber-Kriminellen forderten anschließend Lösegeld. "In Krankenhäusern standen Computer und Kernspintomographen still, Herzoperationen mussten abgesagt werden. Autofabriken konnten nicht mehr produzieren", so die Süddeutsche Zeitung zu den Folgen des Angriffs.
Mehr spektakuläre Hacks aus der Vergangenheit können Sie hier lesen: (Hyperlink aufrufen)
----------------------------------------------------
Neue Rubrik: Zeitlos wichtig
12. Das kleine Einmaleineins der IT-Sicherheit
In unserer neuen Rubrik geben wir Ihnen künftig Tipps und Ratschläge, die immer gültig und nützlich, also "zeitlos wichtig" sind. Wir starten mit unserem kleinen Einmaleins der IT-Sicherheit: sichere Passwörter, Zwei-Faktor-Authentisierung und regelmäßige Updates. Es hilft Ihnen, Ihre Online- und E-Mail-Konten, Ihre mobilen Geräte und Computer und Social-Media-Accounts zu sichern.
Empfehlungen für sichere Passwörter: (Hyperlink aufrufen)
Ein zweiter Faktor sorgt für mehr Sicherheit bei der Anmeldung: (Hyperlink aufrufen)
Warum Updates Sie schützen: (Hyperlink aufrufen)
----------------------------------------------------
Was wichtig wird
13. European Cyber Security Month (ECSM) im Oktober
Das BSI ruft Organisationen aus Politik, Wirtschaft und Gesellschaft zur Teilnahme am European Cyber Security Month (ECSM) im Oktober 2020 auf. Am ECSM können sich Organisationen beteiligen, die das Thema Cyber-Sicherheit in eigenen, insbesondere auch digitalen Formaten einem breiten Publikum vermitteln möchten. Auch das BSI gestaltet den ECSM aktiv mit, unter anderem mit einer virtuellen Auftaktveranstaltung für Multiplikatoren sowie interessierte BürgerInnen.
SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)
Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de
