Liebe Leserinnen und Leser,
Urlaubszeit ist auch für das BSI Reisezeit. Denn wir waren am 20. und 21. August beim Tag der
offenen Tür der Bundesregierung in Berlin mit einem Stand im Bundesministerium des Innern und für
Heimat (BMI) vertreten. Dort konnten wir vom BSI interessierten Bürgerinnen und Bürgern Einblicke
hinter die Kulissen und Informationen zur IT-Sicherheit geben.
Außerdem hatten wir einen Stand auf der weltgrößten Spielemesse Gamescom in Köln, um die vielen
Tausend Gamerinnen und Gamer für das Thema IT-Sicherheit zu sensibilisieren. Informationen dazu
können Sie sich in der neuen Folge unseres Podcasts „Update verfügbar“ anhören (Details finden Sie
in der Rubrik "Gut zu wissen").
Glücklicherweise sind wir rechtzeitig zurück, um Sie über die neuesten Meldungen aus der Welt von
Cybercrime und Cyber-Sicherheit sowie mit wichtigen Tipps zum Schulstart Ihrer Kinder zu versorgen.
Viel Spaß beim Lesen wünscht Ihnen
Jan Lammertz / Team BSI
br/
Inhaltsverzeichnis
In den Schlagzeilen-----------------
1. Einbruch bei Streaming-Dienstleister Plex
2. Zero Trust beim BMI
3. Vorübergehend eingeschränkte Zahlungsmöglichkeiten in Mecklenburg-Vorpommern
4. Kurz notiert
Up-to-date-----------------
5. Sicherheitsupdates für Thunderbird und Firefox ESR
6. GitLab schließt kritische Sicherheitslücke
7. Apple: Zwei Schwachstellen weniger
8. Trotz Patch: 80.000 Hikvision-Kameras immer noch anfällig
Gut zu wissen-----------------
9. Update verfügbar #23: BSI auf der Gamescom
10. DsiN-Ratgeber: Das "Digitale Ich" schützen
Praktisch sicher-----------------
11. Sichere Geräte zum Schulstart
Übrigens...
----------------------------------------------------
In den Schlagzeilen
1. Einbruch bei Streaming-Dienstleister Plex
Beim Streaming-Anbieter Plex ist es Hackerinnen und Hackern gelungen, in die Nutzer-Datenbank einzudringen und so auf die Zugangsdaten der Kundinnen und Kunden zuzugreifen, darunter auf E-Mail-Adressen, Nutzernamen und Passwörter. Das Sicherheitsteam des Anbieters hat als Reaktion auf den Angriff die Passwörter zurückgesetzt, um unbefugte Zugriffe auf die Konten zu verhindern. Zudem bittet das Team die Nutzerinnen und Nutzer, ihre Passwörter umgehend zu ändern und empfiehlt gleichzeitig, die Konten über Zwei-Faktor-Authentisierung abzusichern. Plex legt Wert auf die Feststellung, dass Kreditkarteninformationen und Zahlungsdaten nicht auf den angegriffenen Servern gespeichert und daher von dem Vorfall nicht betroffen sind.
BSI-Informationen zur Zwei-Faktor-Authentisierung: (Hyperlink aufrufen)
Heise Online über den Angriff auf Plex: (Hyperlink aufrufen)
2. Zero Trust beim BMI
Das Bundesinnenministerium strebt für den Schutz seiner IT-Infrastruktur ein sogenanntes Zero-Trust-Modell an. Anders als bei traditionellen Sicherheitskonzepten gehen IT-Verantwortliche hier davon aus, dass nichts von dem, was innerhalb eines Netzwerks geschieht, als wirklich vertrauenswürdig angesehen werden kann und somit auch „kein falsches Gefühl von Sicherheit vermittelt“ wird. Stattdessen arbeitet Zero Trust mit leistungsfähigen Monitoring-Systemen und Tools, die Netzwerkdaten in Echtzeit erfassen und an Anwendungen zur Überwachung der Cyber-Sicherheit weiterleiten. Diese Transparenz ermöglicht es, Bedrohungen automatisch zu erkennen und die Unterstützung der Tools bei Schadensbegrenzung anzubieten.
Bericht des BSI zur IT-Sicherheitslage in Deutschland: (Hyperlink aufrufen)
Datensicherheit.de über Zero Trust beim BMI: (Hyperlink aufrufen)
3. Vorübergehend eingeschränkte Zahlungsmöglichkeiten in Mecklenburg-Vorpommern
Viele Landeseinrichtungen in Mecklenburg-Vorpommern nehmen derzeit nur Barzahlungen entgegen. Grund dafür ist ein vom Computer-Notfall-System (CERT M-V) entdeckter Sicherheitsvorfall bei einem speziellen Kartenlesegerät. Der Hersteller hat bestätigt, dass das System aufgrund einer Sicherheitslücke in Android OS mit einer Schadsoftware infiziert war, meldet CSO Online. Bis der Fall endgültig geklärt ist, werden die Kartenleser nicht mehr eingesetzt. Nach Angaben der Landesregierung sind rund 100 Geräte in landeseigenen Museen und Schlössern, aber auch bei Polizei und Gerichtsvollziehern betroffen.
CSO Online über ein Sicherheitsleck bei Kartengeräten: (Hyperlink aufrufen)
4. Kurz notiert
Russische Hacker greifen Microsoft 365 an (Hyperlink aufrufen)
Fehler in VMware-Produkten verursachen Bluescreens: (Hyperlink aufrufen)
Sicherheitslücke bedroht Kritische Infrastrukturen: (Hyperlink aufrufen)
Reifenhersteller Continental Opfer eines Cyberangriffs: (Hyperlink aufrufen)
----------------------------------------------------
Up-to-date
5. Sicherheitsupdates für Thunderbird und Firefox ESR
Im Open-Source-E-Mail-Programm Thunderbird und im ebenfalls frei verfügbaren Webbrowser Firefox ESR sind mehrere Sicherheitslücken geschlossen worden, die vom Anbieter Mozilla mit dem Bedrohungsgrad „hoch“ klassifiziert wurden. Wenn in den Anwendungen die Standardeinstellungen aktiviert sind, werden die Updates automatisch eingespielt.
Heise Online über Sicherheitslücken bei Thunderbird und Firefox: (Hyperlink aufrufen)
6. GitLab schließt kritische Sicherheitslücke
GitLab, eine Anwendung zur Versionsverwaltung von Softwareprojekten, hat in seiner Community- und Enterprise-Edition ebenfalls eine kritische Sicherheitslücke geschlossen, über die es Angreifenden möglich war, eingeschleusten Schadcode auszuführen. Die GitLab-Versionen 15.3.1, 15.2.3 und 15.1.5 schließen diese Lücke sowohl in der Community- wie in der Enterprise-Edition.
Heise Online über Sicherheitslücke bei GitLab: (Hyperlink aufrufen)
7. Apple: Zwei Schwachstellen weniger
Auch Apple macht aktuellen Schwachstellen den Garaus: Über eine der Sicherheitslücken war es in der WebKit-Software möglich, Schadcode auszuführen. Über WebKit werden Inhalte in Webbrowsern dargestellt. Mobile Geräte wie iPhones und iPads waren offenbar stärker betroffen als Desktop-Computer, weil dort alle Browser die Apple-Technologie nutzen. Die zweite Sicherheitslücke wurde im Kernel des Apple-Betriebssystems gefunden, also sozusagen im Herz des Systems. Darüber konnten Angreiferinnen und Angreifer Daten abgreifen. Besonders solche Lücken, heißt es in dem Bericht von ChannelObserver, würden in der Regel von Geheimdiensten und Herstellern von Überwachungssoftware gezielt ausgenutzt. Apple hat für beide Sicherheitslücken Updates bereitgestellt, die von den Nutzerinnen und Nutzern allerdings aktiv installiert werden müssen. Betroffen sind die Betriebssystem-Versionen iOS 15.6.1 beim iPhone und iPadOS 15.6.1 bei den Tablets sowie macOS Monterey 12.5.1 bei Apple-Computern.
Bericht des ChannelObserver über Sicherheitslücken bei Apple-Geräten: (Hyperlink aufrufen)
8. Trotz Patch: 80.000 Hikvision-Kameras immer noch anfällig
Obwohl das chinesische Unternehmen Hikvision bereits im September 2021 Sicherheitsupdates für eine Schwachstelle in seinen Überwachungskameras bereitgestellt hat, sind immer noch rund 80.000 Geräte nicht vor Angriffen geschützt, berichtet CSO Online. Cyberkriminelle könnten die Schwachstelle ausnutzen, um Nachrichten mit böswilligen Befehlen an einen angeschlossenen Webserver zu senden. Der banale Grund für die anhaltenden Sicherheitsprobleme: Viele Nutzerinnen und Nutzer der Kameras haben die Updates schlicht noch nicht aufgespielt. Das sollten sie unbedingt nachholen.
Aktueller Patch für die Kameras: (Hyperlink aufrufen)
Bericht über anhaltende Sicherheitslücken bei Hikvision-Kameras: (Hyperlink aufrufen)
----------------------------------------------------
Gut zu wissen
9. Update verfügbar #23: BSI auf der Gamescom
In Folge 23 ihres Podcasts „Update verfügbar“ sprechen Ute Lange und Michael Münz im Rahmen des Auftritts der Cybersicherheitsbehörde des Bundes auf der weltgrößten Spielemesse Gamescom über das Thema Sicherheit von Videospielen. Gemeinsam mit dem Gaming-Journalisten Felix Rick sprechen die beiden über die Veränderungen der Videospielwelt durch die Corona-Pandemie, die Trends der Zukunft und über alles, was die Gamescom 2022 ihren Besucherinnen und Besuchern zu bietet. Zudem vermittelt das Trio in der Folge jede Menge Tipps und Tricks für guten Accountschutz besonders im Gaming-Bereich.
BSI-Informationen zu den Spielregeln für digitale Sicherheit finden Sie hier: (Hyperlink aufrufen)
Die aktuelle sowie alle weiteren Folgen des BSI-Podcasts „Update verfügbar“ können Sie sich hier anhören:
Apple iTunes: (Hyperlink aufrufen)
BSI-Youtube-Kanal: (Hyperlink aufrufen)
Deezer: (Hyperlink aufrufen)
Google Podcast: (Hyperlink aufrufen)
Spotify: (Hyperlink aufrufen)
10. DsiN-Ratgeber: Das "Digitale Ich" schützen
Der neue Ratgeber "Das Digitale Ich - selbstbestimmt surfen" der auch vom BSI unterstützen Initiative "Deutschland sicher im Netz (DsiN)" beschäftigt sich mit dem Problem des Identitätsdiebstahls im Internet. Unter dem „Digitalen Ich“ versteht die Initiative alle im Netz gespeicherten Daten, die wir über Online-Shopping, das Arbeiten im Homeoffice und bei vielen anderen Gelegenheiten dort hinterlassen. "Damit diese Daten sicher sind und nicht für kriminelle Zwecke missbraucht werden können, ist es von großer Bedeutung zu wissen, wie Nutzer:innen mit den persönlichen Daten im Internet sicher umgehen können und welche Informationen ihr Digitales Ich bilden."
Den DsiN-Ratgeber "Das Digitale Ich - Selbstbestimmt surfen" sowie weitere Themenausgaben finden Sie hier: (Hyperlink aufrufen)
----------------------------------------------------
Praktisch sicher
11. Sichere Geräte zum Schulstart
Fast alle Kinder nutzen digitale Geräte – zuhause zum Spielen oder Videoschauen und in der Schule zum Lernen. Dabei sind sie, wie wir alle, vielen Risiken und Gefahren ausgesetzt, die Sie kennen sollten, um sie umgehen zu können. Mit den folgenden Tipps schützen Sie Ihre Kinder besser:
Prüfen Sie vor dem Kauf von Smartphones, Tablets oder Laptops, wie sie sich kindersicher konfigurieren lassen. Aktivieren Sie nach dem Kauf die Einstellungen für Jugendschutz.
Richten Sie für Ihre Kinder eigene Nutzerkonten mit beschränkten Rechten ein. So können Sie zum Beispiel Bildschirmzeiten und die Laufzeit von Programmen festlegen oder den Kauf kostenpflichtiger Assets unterbinden.
Definieren Sie im Webbrowser eine kindgerechte Suchmaschine als Startseite. Empfehlungen dazu finden Sie beim Deutschen Bildungsserver (Adresse unten). Über die Einstellungen im Browser können Sie auch bestimmte Webseiten etwa mit sensiblen oder gewaltverherrlichenden Inhalten sperren.
In den App-Stores mobiler Geräte ist es möglich, sogenannte In-App-Käufe zu unterbinden.
Sprechen Sie mit Ihren Kindern über Gefahren, die in den sozialen Netzwerken auf sie lauern können. Tipps und Empfehlungen des BSI dazu finden Sie hier: (Hyperlink aufrufen)
Tipps für kindgerechte Suchmaschinen: (Hyperlink aufrufen)
----------------------------------------------------
Übrigens...
Wussten Sie eigentlich, dass die Suchmaschine Google bei Ihren Suchanfragen insgesamt 39 Arten von privaten Daten speichert? Dazu gehört zum Beispiel der Standort der Nutzerinnen und Nutzer, der Browserverlauf mit Lesezeichen, sämtliche Suchanfragen, die Mails in Gmail-Konten sowie Kontakte und Kalendereinträge.
Quelle: (Hyperlink aufrufen)
Wenn Sie ganz genau wissen möchten, was Google über Sie weiß, können Sie hier eine Kopie der gespeicherten Daten Ihres Nutzerkontos herunterladen: (Hyperlink aufrufen)
Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag: (Hyperlink aufrufen)
SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)
Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de
