Liebe Leserinnen und Leser,
die Zahl intelligenter Haushalts- und Alltagsgeräte nimmt stark zu. Das ist, glaubt man den
Anbietern solcher Produkte, für unser Leben ein Segen: Alles wird einfacher und komfortabler.
Mit dem IT-Sicherheitskennzeichen bietet das BSI Verbraucherinnen und Verbrauchern Orientierung. In
unserer Rubrik "Gut zu wissen" berichten wir darüber, dass Hersteller nun für eine umfassende
Palette vernetzter Produkte das IT-Sicherheitskennzeichen des BSI beantragen können. Außerdem geben
wir in dieser Newsletter-Ausgabe wie gewohnt einen Überblick zu aktuellen Cyber-Sicherheitsthemen
und nützlichen Tipps, wie Sie ihre Geräte und Zugänge ein Stückchen sicherer machen können.
Viel Spaß beim Lesen wünscht Ihnen
Jan Lammertz / Team BSI
Inhaltsverzeichnis
In den Schlagzeilen-----------------
1. Meta-Anschuldigung
2. BSI bestätigt Sicherheitseigenschaften iPhone und iPad
3. Neuartige Malware auf Windows- und Linux-Rechnern entdeckt
Up-to-date-----------------
5. BSI warnt vor Sicherheitslücken in Microsoft Exchange
6. Social Engineering auf LinkedIn
Gut zu wissen-----------------
7. Windows 11 warnt jetzt auch vor schlechtem Umgang mit Passwörtern
8. BSI: IT-Sicherheitskennzeichen für smarte Verbrauchergeräte verfügbar
Praktisch sicher-----------------
9. Wenn die Vorgesetzten nach Geld fragen
Was wichtig wird-----------------
10. Dritter IT-Grundschutz-Tag 2022
----------------------------------------------------
In den Schlagzeilen
1. Meta-Anschuldigung
Der Facebook- und WhatsApp-Konzern Meta hat chinesische Entwicklerinnen und Entwickler verklagt, weil sie "im großen Stil" Whatsapp-Accounts gekapert hätten, um darüber Spam zu verschicken. Das berichtet t3n und spricht von über einer Million betroffener Accounts. Für das Abgreifen der Accountdaten wurden WhatsApp-Klone wie "HeyMods", "Highlight Mobi" und "HeyWhatsApp" für Android-Geräte benutzt. WhatsApp warnt davor, diese Apps zu installieren.
BSI-Tipps: So vermeiden Sie "Spam, Phishing & Co.": (Hyperlink aufrufen)
t3n über Klage gegen chinesische Entwickler: (Hyperlink aufrufen)
2. BSI bestätigt Sicherheitseigenschaften iPhone und iPad
Das BSI hat die allgemeinen Sicherheitseigenschaften und die Möglichkeiten zur sicheren Nutzung der Apple-Geräte iPhone und iPad sowie der Betriebssysteme iOS und iPadOS untersucht. Die Prüfung kommt zu dem Ergebnis, dass die in handelsüblichen iPhones und iPads integrierten Applikationen für E-Mail, Kalender und Kontakte auch bei der Verarbeitung von Verschlusssachen der Kategorie „Nur für den Dienstgebrauch“ eine Ergänzung des bestehenden Portfolios sicherer, mobiler Lösungen darstellen.
Pressemitteilung: „BSI bestätigt Sicherheitseigenschaften von iPhone und iPad“: (Hyperlink aufrufen)
Auch die Computerwoche hat über die Prüfung berichtet: (Hyperlink aufrufen)
3. Neuartige Malware auf Windows- und Linux-Rechnern entdeckt
Sicherheitsforscherinnen und -forscher warnen vor einer Cross-Plattform-Malware namens "Chaos", die sich gleichermaßen auf Windows- und Linux-Rechnern ausbreiten könne und bereits Hunderte von Geräten infiziert habe. Die Malware befalle Geräte, um sie für Kryptomining und DDoS-Attacken zu nutzen.. Expertinnen und Experten empfehlen, "sämtliche Router, Server und andere Geräte mit den neuesten Updates (zu) versorgen". Zudem sollten Geräte mit starken Passwörtern und, wenn möglich, mit FIDO2-basierter Authentifizierung (Zwei-Faktor-Authentisierung) geschützt werden.
BSI über Zwei-Faktor-Authentisierung: (Hyperlink aufrufen)
Bericht bei t3n über Chaos-Malware: (Hyperlink aufrufen)
4. Kurz notiert
Cyber-Angriff auf Toyota: Vermutlich sind Daten von 300.000 Kundinnen und Kunden betroffen: (Hyperlink aufrufen)
Hackerinnen und Hacker greifen verstärkt Kritische Infrastrukturen in Europa an – auch Cyber-Attacken auf Energie-Unternehmen häufen sich: (Hyperlink aufrufen)
Babynahrungshersteller Hipp ist Opfer eines Cyber-Angriffs geworden: (Hyperlink aufrufen)
BKA kann nach zwei Jahren Banking-Betrüger verhaften: (Hyperlink aufrufen)
----------------------------------------------------
Up-to-date
5. BSI warnt vor Sicherheitslücken in Microsoft Exchange
Ende September hatte das BSI vor zwei gravierenden Sicherheitslücken im Microsoft-Exchange-Server gewarnt, den viele Unternehmen zur Verwaltung ihres E-Mail-Verkehrs nutzen.. Bei den Fehlern handelt es sich um sogenannte Zero-Day-Exploits. Das sind unbekannte Lücken, für die es noch keine Sicherheits-Updates gibt. In der Zwischenzeit, meldet Heise Online, habe Microsoft aber Patches dazu veröffentlicht. Zudem bietet das Unternehmen auf seiner Webseite Richtlinien für den Umgang mit den Sicherheitsproblemen an.
Heise-Online-Bericht über Sicherheitslücken bei Microsoft-Exchange: (Hyperlink aufrufen)
Guidelines von Microsoft für den Umgang mit Exchange-Schwachstellen: (Hyperlink aufrufen)
Weitere Informationen und Tipps zum Umgang mit Schwachstellen sowie aktuelle Warnmeldungen des BSI-Bürger-CERT finden Sie hier: (Hyperlink aufrufen)
6. Social Engineering auf LinkedIn
"Laut Microsoft führen staatliche Hacker derzeit Angriffe auf LinkedIn durch", berichtet das IT-Fachmagazin Golem. Die staatlichen Kriminellen würden gezielt Nutzerinnen und Nutzer des zu Microsoft gehörenden Netzwerks über Social Engineering angreifen und sie anschließend zur Installation von bestimmten Open-Source-Programmen überreden, die Schadsoftware enthielten. Die Angriffe stammten mutmaßlich von staatlicher Seite. Dabei handele es sich laut Microsoft "um gewöhnliche Cyber-Spionage und Versuche, Geld oder Daten zu stehlen, oder einfach nur um die Sabotage von Unternehmensnetzwerken". Hinter den Angriffen vermutet Microsoft die Hackergruppe Zinc, die mutmaßlich von Nordkorea aus aktiv ist.
BSI-Informationen über "Social Engineering": (Hyperlink aufrufen)
Golem über Angriffe auf LinkedIn: (Hyperlink aufrufen)
----------------------------------------------------
Gut zu wissen
7. Windows 11 warnt jetzt auch vor schlechtem Umgang mit Passwörtern
Aufmerksame Leserinnen und Leser kennen unsere wiederkehrenden Hinweise zum sicheren Umgang mit Passwörtern sicher schon. Jetzt warnt auch das aktuelle Microsoft-Betriebssystem Windows 11 seine Anwenderinnen und Anwender, berichtet Silicon.de. Das „22H2-Update“ aus dem zweiten Halbjahr 2022 enthält eine neue Sicherheitsfunktion namens "Enhanced Phishing Protection", die laut Microsoft erkennt, wenn ein Passwort in eine unsichere App oder Website eingegeben wird. Windows reagiert darauf mit einer Warnmeldung und informiert zudem die Administratoren in Unternehmensnetzwerken. Die neue Sicherheitsfunktion erkennt auch, wenn Passwörter für mehrere Konten wiederverwendet werden und warnt, sobald ein Kennwort im Klartext in einer App wie Notepad gespeichert werden soll.
Silicon.de über neue Warnfunktionen bei Windows 11: (Hyperlink aufrufen)
8. BSI: IT-Sicherheitskennzeichen für smarte Verbrauchergeräte verfügbar
Ab sofort können Hersteller für die meisten Produkte im Smart Home und im Internet der Dinge beim BSI ein Kennzeichen für IT-Sicherheit beantragen. Dieses IT-Sicherheitskennzeichen soll Verbraucherinnen und Verbraucher bei der Auswahl smarter Alltagsgegenstände und IT-Produkte unterstützen. Dazu zählen neben Breitbandroutern und E-Mail-Diensten seit Anfang Mai auch intelligente und vernetzte Fernsehgeräte, Kameras, Lautsprecher, Spielzeuge sowie Reinigungs- und Gartenroboter. Nun hat das BSI die Produktkategorie "smarte Verbraucherprodukte" auch für intelligente Thermostate, fernsteuerbare Rollläden und andere Geräte im "Internet of Things" (IoT) geöffnet.
Neueste BSI-Pressemitteilung zum IT-Sicherheitskennzeichen: (Hyperlink aufrufen)
BSI-Informationen zum IT-Sicherheitskennzeichen: (Hyperlink aufrufen)
----------------------------------------------------
Praktisch sicher
9. Wenn die Vorgesetzten nach Geld fragen
Der sogenannte CEO-Fraud ist eine Betrugsmasche, für die Cyber-Kriminelle in die Rolle von Vorgesetzten schlüpfen, die ihre Beschäftigten zu Geldüberweisungen oder kriminellen Handlungen verleiten. Die Methode gehört zum sogenannten Social Engineering, bei dem Nutzerinnen und Nutzer gezielt nach persönlichen Vorlieben und Verhältnissen ausgespäht werden. Das BSI gibt auf seiner Webseite Tipps, wie Sie solche Betrügereien verhindern können. Eine der wichtigsten:
Prüfen Sie Ihre E-Mails kritisch! Kontrollieren Sie Absender, Betreff und Anhang vor dem Anklicken. Sind Sie skeptisch, fragen Sie direkt bei den (vermeintlichen) Absendern nach – am besten telefonisch mit einer Nummer, die nicht in der Mail angegeben wird.
Mehr BSI-Tipps zur IT-Sicherheit am Arbeitsplatz: (Hyperlink aufrufen)
----------------------------------------------------
Was wichtig wird
10. Dritter IT-Grundschutz-Tag 2022
Schon mal vormerken: Am 10. November findet in der Penck Kunsthalle (Ostra-Allee 33 in 01067 Dresden) der 3. IT-Grundschutz-Tag 2022 statt. Die Veranstaltung von BSI und der SoftEd Systems GmbH widmet sich dem Themenkomplex „Sicherheit für das Netz der Zukunft: 5G im BSI IT-Grundschutz Kontext“. Außerdem stehen aktuelle Entwicklungen und Neuheiten im IT-Grundschutz im Fokus. Die Veranstaltung beginnt um 9.30 Uhr, der Eintritt ist frei. Allerdings ist die Zahl der Teilnehmerinnen und Teilnehmer begrenzt – also sichern Sie sich schnell einen Platz.
Infos des BSI zum IT-Grundschutz-Tag: (Hyperlink aufrufen)
Formular zur Anmeldung: (Hyperlink aufrufen)
SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)
Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de
