Liebe Leserinnen und Leser,
auch in dieser Ausgabe haben wir wieder jede Menge News rund um die Verbreitung von Schadsoftware
und Tipps für das Schließen von Sicherheitslücken zusammengestellt. Wir möchten damit wie immer
Ihren Blick auf mögliche Angriffsszenarien lenken und Ihnen wertvolle Tipps mit auf den Weg geben.
Aber wenn wir Ihnen nur einen einzigen Tipp geben dürften, dann wäre es dieser: Halten Sie Ihre
Geräte und Anwendungen auf dem neusten Stand!
Updates können gelegentlich nerven, weil sie vermeintlich immer zur Unzeit kommen, Arbeit oder
Freizeit unterbrechen und oft sogar den Neustart Ihrer Geräte fordern. Manchmal bringen sie auch
kleine Fehler mit sich, wie zwei Nachrichten aus unserer Rubrik "Up-to-date" zeigen. Aber sie sind
absolut notwendig und unverzichtbar. Mehr dazu lesen Sie heute in unserer Rubrik "Praktisch
sicher".
Viel Spaß beim Lesen wünscht Ihnen
Jan Lammertz / Team BSI
Inhaltsverzeichnis
In den Schlagzeilen-----------------
1. Die EU will KI regulieren
2. Bundesministerium des Innern (BMI) stellt Nationale Sicherheitsstrategie vor
3. Neue Betrugsmasche: Guthaben-Auszahlung vom Gesundheitsministerium
4. Internet-Nutzerinnen und -Nutzer in Deutschland stärker von Cyber-Angriffen bedroht
5. TÜV prüft IT-Sicherheit
6. Test-Hackerinnen und -Hacker entdecken Sicherheitslücken im Darknet
7. Kurz notiert
Up-to-date-----------------
8. Android-Update gegen Hosentaschenanrufe
9. Mehr Privatsphäre bei Apple
10. Passwort-Manager Bitwarden unsicher
11. Kritische Schwachstelle in Microsoft SharePoint Server
12. Schwachstellen in Zoom geschlossen
13. Aktuelle Warnmeldungen des BSI
Gut zu wissen
14. Vorsicht vor Fakeshops!
15. Was ist Polymorphe Malware?
Praktisch sicher
16. Tipps & Tricks zu Updates
Übrigens
----------------------------------------------------
In den Schlagzeilen
1. Die EU will KI regulieren
"Das EU-Parlament hat sich auf eine Position zur Regulierung von künstlicher Intelligenz geeinigt", berichtet die Tagesschau. Mit dem Gesetzentwurf möchte die EU Anwendungen verbieten, die mit hohen Risiken für die Sicherheit verbunden sind. Der sogenannte AI Act verbietet hochriskante KI-Systeme, etwa biometrische Gesichtserkennung im öffentlichen Raum in Echtzeit. Der Gesetzestext muss in den kommenden Monaten mit den Mitgliedsstaaten und der EU-Kommission weiter verhandelt werden. Der Digitalverband Bitkom begrüßt die Gesetzesinitiative, wendet sich aber gegen eine Überregulierung, also zu enge Regeln. Sam Altman, CEO des Unternehmens OpenAI, das ChatGPT entwickelt hat, hatte zuvor bereits vor existenziellen Gefahren bei unregulierter KI gewarnt. Bürgerrechtlerinnen und Bürgerrechtler hoffen, dass das KI-Gesetz Diskriminierungen und Benachteiligungen nicht weiter fortschreibt.
BSI-Positionspapier zu "Große(n) KI-Sprachmodelle(n)": (Hyperlink aufrufen)
Tagesschau zur Verabschiedung des AI Act durch das EU-Parlament: (Hyperlink aufrufen)
2. Bundesministerium des Innern (BMI) stellt Nationale Sicherheitsstrategie vor
Das Bundesministerium des Innern (BMI) hat Mitte Juni unter dem Motto "Wehrhaft. Resilient. Nachhaltig." seine Nationale Sicherheitsstrategie vorgestellt. Mit der Vorlage beschreibt die Bundesregierung nach eigenen Worten, was die Verpflichtung zum Einhalten von Völkerrecht, der Charta der Vereinten Nationen, der souveränen Gleichheit der Staaten, der Gewaltfreiheit und dem Selbstbestimmungsrecht der Völker für unsere Gegenwart bedeutet und welche Schlüsse für die Zukunft sie daraus zieht, um die Sicherheit unseres Landes und seiner Menschen zu gewährleisten. Die Vorlage stößt laut Webseite des Deutschen Bundestags auf geteiltes Echo. Die unterschiedlichen Positionen der im Bundestag vertretenen Parteien sind nachfolgend zusammengefasst.
Webseite der Nationalen Sicherheitsstrategie: (Hyperlink aufrufen)
Zusammenfassung der Bundestagsdebatte zur Nationalen Sicherheitsstrategie: (Hyperlink aufrufen)
3. Neue Betrugsmasche: Guthaben-Auszahlung vom Gesundheitsministerium
Vor einer neuen Betrugsmasche warnt die Verbraucherzentrale NRW: Demnach sind Phishing-Mails unterwegs, die eine Erstattung in Höhe von mehreren hundert Euro durch das Bundesministerium für Gesundheit versprechen. Die Empfängerinnen und Empfänger sollen per E-Mail eine Kopie des eigenen Personalausweises zurücksenden, um die Auszahlung zu erhalten. "Damit können die kriminellen Drahtzieher hinter den Betrugsmails Identitätsdiebstahl betreiben", berichtet Heise Online. Das bedeutet, sie können damit etwa kostenpflichtige Abonnements abschließen, Nutzerkonten einrichten und Waren bestellen.
BSI über "Spam, Phishing & Co.": (Hyperlink aufrufen)
Heise Online über neue Phishing-Mails: (Hyperlink aufrufen)
4. Internet-Nutzerinnen und -Nutzer in Deutschland stärker von Cyber-Angriffen bedroht
Aus Sicht der Nutzerinnen und -Nutzer hat sich die Bedrohungslage durch Cyber-Angriffe im Internet in Deutschland in den vergangenen neun Jahren verschärft. Das ist ein Ergebnis des "DsiN-Sicherheits-Index-2023" der Initiative "Deutschland sicher im Netz". Im Mittelpunkt der Studie standen die Sozialen Medien, allerdings weisen die Studienautorinnen und -autoren darauf hin, dass sich mit der Entwicklung von KI die Bedrohungslage in Zukunft noch weiter verschärfen werde. Die Studie beruht auf den Angaben von rund 2.000 Verbraucherinnen und Verbrauchern über 16 Jahre, die von einem Meinungsforschungsinstitut zu ihrer subjektiven Sicht auf die Bedrohungen im Cyberraum befragt wurden.
DsiN-Sicherheits-Index 2023: (Hyperlink aufrufen)
Süddeutsche Zeitung über die Bedrohungslage bei Cyber-Angriffen in Deutschland: (Hyperlink aufrufen)
5. TÜV prüft IT-Sicherheit
Mehr als jedes zehnte Unternehmen in Deutschland (11%) ist im vergangenen Jahr Opfer eines Cyber-Angriffs geworden, das hat der Technische Überwachungsverein TÜV in seiner "Cybersecurity Studie" ermittelt. Besonders häufig seien Phishing-Attacken und der Einsatz von Erpressungssoftware (Ransomware). Auch Angriffe über Social Engineering spielten eine wichtige Rolle. Hier werden die Mitarbeitenden eines Unternehmens über soziale Kontakte manipuliert. Hochgerechnet kam es 2022 zu rund 50.000 Cyber-Angriffen, Sabotageakten oder Hardwarediebstählen, das berichtet unter anderem die Wochenzeitung Die Zeit. Auch über die Folgen gibt die Studie Auskunft: 42 Prozent der Unternehmen erlitten finanzielle Einbußen, 38 Prozent konnten ihre Dienste für Mitarbeitende sowie 29 Prozent für ihre Kunden nicht weiter anbieten. In 13 Prozent der Fälle fiel sogar die Produktion aus, bei weiteren 13 Prozent wurden sensible Daten gestohlen.
Cybersecurity-Studie des TÜV: (Hyperlink aufrufen)
Die Zeit zu den Ergebnissen der Studie: (Hyperlink aufrufen)
6. Test-Hackerinnen und -Hacker entdecken Sicherheitslücken im Darknet
Auch die Schwarz-Gruppe, zu der unter anderem die Lebensmittelkette Lidl gehört, hat sich mit den Auswirkungen von Cyber-Angriffen auf Unternehmen beschäftigt. Für ihren Report hat die Gruppe 213 Organisationen aus dem öffentlichen und privaten Sektor auf ihre Angriffsfläche für Cyber-Attacken analysiert und dafür auch Stichproben von Daten aus dem sogenannten Darknet gesammelt. Speziell hat sich die Schwarz-Gruppe dabei auf 20 Vorstände großer Unternehmen konzentriert. Das Ergebnis: "Im Schnitt war jeder der 20 Vorstände von 16 Datenlecks betroffen, im Höchstfall von 70. Telefonnummern, Mail-, Privat-, IP-Adressen – alles auffindbar", berichtet Business Insider. Bei rund zwei Dritteln habe es zudem Passwörter im Klartext gegeben, in zwei Fällen sogar Daten von sensiblen Seiten, darunter Glücksspiel-, Dating- oder Porno-Websites.
Cyber-Security-Report der Schwarz-Gruppe: (Hyperlink aufrufen)
Business-Insider über den Cyber-Security-Report: (Hyperlink aufrufen)
7. Kurz notiert
• Vodafone informiert seine Kundinnen und Kunden über ein Datenleck: (Hyperlink aufrufen)
• Pharmaunternehmen Eisai von Ransomware-Attacke betroffen: (Hyperlink aufrufen)
• Nach Cyber-Angriff – IT-Systeme bei Deutsche Leasing seit mehr als einer Woche abgeschaltet: (Hyperlink aufrufen)
• Neue Angriffsmethode nutzt vertrauenswürdige Beziehungen zwischen Partnerorganisationen aus, um Multifaktor-Authentisierung zu umgehen: (Hyperlink aufrufen)
• Medizinischer Dienst Bremen und Niedersachsen durch Cyberattacke lahmgelegt: (Hyperlink aufrufen)
• Rheinische Post Mediengruppe – Zeitungen erscheinen nach Hackerangriff als Notausgaben: (Hyperlink aufrufen)
• Microsoft bestätigt Cyberangriff auf seine Clouddienste: (Hyperlink aufrufen)
----------------------------------------------------
Up-to-date
8. Android-Update gegen Hosentaschenanrufe
Seit der Verteilung von Android 13 im Herbst 2022 kommt es zur starken Häufung von sogenannten Butt-Dials, also "Hosentaschenanrufen". Die Mitarbeiterinnen und Mitarbeiter in den Leitstellen können solche Anrufe aber nicht einfach selbst beenden. Erst wenn sicher sei, dass es sich nicht um einen Notfall handele, werde das Gespräch unterbrochen. Diese Zeit fehle dann für echte Notrufe. Deswegen bitten die Leitstellen die Betroffenen dringend, Updates zu machen, um aus Versehen getätigte Notrufe zu vermeiden.
Heise Online über Butt-Dial-Notrufe mit Android-Smartphones: (Hyperlink aufrufen)
9. Mehr Privatsphäre bei Apple
Apple hat angekündigt, unter anderem seine Betriebssysteme iOS 17 und macOS 14 auch im Bereich Privatsphären- und Datenschutz nachzurüsten. Laut Heise online gehören zu den wichtigsten Neuerungen Verbesserungen beim privaten Surfen mit Safari, die Erweiterung der Communication Safety, ein umfassenderer Lockdown-Modus sowie mehr App-Datenschutz.
Heise Online über Sicherheitsverbesserungen bei Apple-Betriebssystemen: (Hyperlink aufrufen)
10. Passwort-Manager Bitwarden unsicher
Bis vor Kurzem konnten lokale Prozesse unter Windows biometrisch gesicherte Passwort-Tresore (Vaults) von Bitwarden öffnen. Dadurch waren biometrische Schlüssel für alle lesbar, das berichtet Heise Online. Die Entwicklerinnen und Entwickler von Bitwarden haben das Problem aber nach eigenen Angaben in der Zwischenzeit gelöst, indem sie den Bitwarden-Master-Schlüssel vor dem Abspeichern verschlüsseln. Damit ist der Schlüssel zwar weiterhin lesbar, allerdings bleiben die dort enthaltenen Informationen unbenutzbar.
Heise Online über unsichere Passwort-Schlüssel bei Bitwarden: (Hyperlink aufrufen)
11. Kritische Schwachstelle in Microsoft SharePoint Server
Das BSI weist auf einen Patch für das Schließen einer als kritisch eingestuften Sicherheitslücke für Microsoft SharePoint Server hin. Letzterer enthalte eine Elevation of Privilege Lücke, deren Ausnutzung als eher wahrscheinlich einzustufen sei. In einem PDF schlägt das BSI unter anderem Maßnahmen vor, wie die Ausnutzung der Schwachstelle verhindert werden kann.
BSI zur kritischen Sicherheitslücke bei SharePoint Server: (Hyperlink aufrufen)
BSI-Hinweise zur Behebung des Problems: (Hyperlink aufrufen)
12. Schwachstellen in Zoom geschlossen
In der Webvideokonferenz-Software Zoom sind mehrere hochriskante Lücken geschlossen worden, berichtet Heise Online. Mit verfügbaren Updates bessern die Entwicklerinnen und Entwickler der Software insgesamt zwölf sicherheitsrelevante Fehler aus, darunter sechs hochriskante. Die Updates sind über die Zoom-Webseite verfügbar.
Heise Online über Sicherheitsprobleme bei Zoom: (Hyperlink aufrufen)
Security-Bulletin von Zoom mit aktuellen Informationen zu Sicherheitslücken: (Hyperlink aufrufen)
13. Aktuelle Warnmeldungen des BSI
Das BSI informiert auf seiner Webseite regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Informationen sowie Tipps zum Umgang damit.
Das BSI-Portal erreichen Sie über: (Hyperlink aufrufen)
Gut zu wissen
14. Vorsicht vor Fakeshops!
Wussten Sie eigentlich, dass günstig shoppen richtig teuer werden kann? Ein neues Smartphone, angesagte Sneaker oder ein schnelles E-Bike können trotz eines vermeintlich günstigen Preises am Ende sehr viel teurer werden als in anderen Shops. Dann nämlich, wenn die Käuferinnen und Käufer nach dem Bezahlen keine Ware erhalten. Aktuell gibt es besonders viele Fake-Angebote für Fahrradequipment und Aktivitäten im Garten. Darauf weist die Verbraucherzentrale Hamburg hin. Auf ihrer Webseite fassen die Verbraucherschützerinnen und -schützer auch zusammen, wie Sie solche Fakeshops erkennen. Sieben Tipps für sichere Bestellungen im Internet runden das Informationsangebot ab.
Verbraucherzentrale Hamburg mit Tipps gegen Fakeshops: (Hyperlink aufrufen)
Fakeshop-Finder der Verbraucherzentrale NRW: (Hyperlink aufrufen)
15. Was ist Polymorphe Malware?
Das Webportal "tom’s Hardware" weist einem Bericht bei Golem zufolge darauf hin, dass sich die generative KI-Lösung ChatGPT auch für Cyber-Kriminelle als "nützliches Werkzeug" erweise. So lasse sich über den Chatbot zum Beispiel eine polymorphe Malware entwickeln,
die sich vor gängigen Abwehrmaßnahmen verstecken könnte.
Als polymorph gilt eine Schadsoftware dann, wenn sie ihr Erscheinungsbild oder ihre Signaturdateien ständig verändert, darunter zum Beispiel ihren Dateinamen, die Dateigröße und den Speicherort der Software. Die Funktionalität der Programme bleibt aber unverändert. Das macht sie für Virenschutzprogramme schwer erkennbar: Sobald sein Virenschutzprogramm die Schadsoftware aufspürt, verändert diese ihren Namen und andere Attribute und ist dann wieder unsichtbar.
Zwar bietet der Anbieter von ChatGPT, Open AI, Filter an, um solche Anwendungen zu unterbinden. Allerdings haben Sicherheitsexpertinnen und -experten bereits Anfang des Jahres nachgewiesen, dass sich solche Filter auch aushebeln lassen. So könnten Kriminelle mit Entwicklerkenntnissen dem Chatbot einzelne, auf den ersten Blick harmlose Codebausteine entlocken und diese anschließend zu einer vollwertigen Schadsoftware zusammenfügen, heißt es bei Golem.
In seinem Papier über "Große KI-Sprachmodelle" geht das BSI auch auf die Gefahren polymorpher Schadsoftware ein: (Hyperlink aufrufen)
Golem über die neuen Herausforderungen für Sicherheitslösungen durch polymorphe Malware: (Hyperlink aufrufen)
Praktisch sicher
16. Tipps & Tricks zu Updates
Eine der mit Abstand besten Schutzmaßnahmen gegen Schadsoftware und Viren, die im schlimmsten Fall Daten aus dem eigenen Rechner abschöpfen oder verschlüsseln, um Lösegelder zu erpressen, sind und bleiben regelmäßige Updates und Patches.
Dennoch nutzen viele Menschen diese einfachen Schutzmaßnahmen oft nicht oder zu spät, weil sie lästig sind, Arbeit oder Freizeitbeschäftigungen unterbrechen und meist sogar einen Neustart von Rechnern oder mobilen Geräten verlangen.
Statt einer langen Schritt-für-Schritt-Anleitung können wir Ihnen daher am besten hier nur einen Tipp geben: Wenn Ihnen Ihr Gerät oder Ihr Betriebssystem ein Update anbietet, zögern Sie nicht und installieren Sie es, denn es behebt akute Sicherheitsprobleme, die beim Anbieter oder Hersteller bekannt geworden sind. Erst nach dem Update sind Ihre Geräte wieder sicher.
Mehr Informationen über Updates erhalten Sie beim BSI: (Hyperlink aufrufen)
----------------------------------------------------
Übrigens
In Deutschland laufen noch rund drei Millionen PCs mit einem Betriebssystem, für das vom Anbieter keine Updates und Sicherheits-Patches mehr angeboten werden. Damit sind diese Rechner hochgradig anfällig für Angriffe von außen. Das geht aus einer Studie des Sicherheitsunternehmens ESET hervor, die im vergangenen Jahr veröffentlicht wurde. Ein Großteil der Rechner, rund 2,7 Millionen Geräte, laufen mit Windows 7 von Microsoft. In der Liste finden sich aber auch die ebenfalls veralteten Systeme Windows Vista, Windows XP und Windows 8, die zusammen noch auf rund 450.000 PCs laufen.
Quelle: (Hyperlink aufrufen)
SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)
Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de
