bei Computer-Problemen - DIREKT die Profis rufen: 02429 909-904
 

IT-Nachrichten für Düren und Umgebung:
Sicherheitsbericht vom 31.08.2022




bsi

Liebe Leserinnen und Leser,

wir sind für Sie da – wie gewohnt hier mit aktuellen Informationen zu Themen rund um die IT- und Cybersicherheit. Wir sind für Sie aber auch unterwegs – in wenigen Tagen und zum ersten Mal auf der IAA Mobility in München. Auf der größten Mobilitätsmesse der Welt nehmen wir vom 5. bis 8.
September mit einem eigenen Stand teil, weil Cybersicherheit in vernetzten Fahrzeugen immer wichtiger wird – für uns, aber auch für Sie.
Wir freuen uns sehr auf den Austausch. Was Sie bis dahin wissen müssen, beispielsweise warum die Mobilität der Zukunft von Cybersicherheit abhängt, erfahren Sie wie immer hier bei uns.

Viel Spaß beim Lesen wünscht Ihnen

Jan Lammertz / Team BSI

Inhaltsverzeichnis
In den Schlagzeilen-----------------
1. Bedrohungsszenarien zum Anfassen auf der IAA 2. Warnung vor betrügerischen E-Mails zu Steuerthemen 3. BKA-Bericht 2022: Unternehmen verlieren über 200 Milliarden Euro durch Cyberangriffe 4. Cyberkriminelle nutzen Google-Bard-Anzeigen zur Verbreitung von Malware 5. Daten von 2,6 Millionen Duolingo-Nutzerinnen und -Nutzern in Hackerforum aufgetaucht 6. Microsoft warnt vor massiven Social-Engineering-Angriffen auf Microsoft Teams 7. Phishing-Angriffe über Amazon Web Services 8. Kurz notiert:


Up-to-date-----------------
9. Microsoft veröffentlicht überarbeitetes Exchange-Server-Update nach Fehlfunktionen 10. Update für Google Chrome behebt hochriskante Sicherheitslücken


Gut zu wissen-----------------
11. Sicherheitsrisiken beim Gaming
12. "Update verfügbar" #34: "Mehrspieler, aber Einzelkämpfer?! Alles zum Account-Sharing"


Praktisch sicher-----------------
13. Top 5 Sicherheitstipps fürs Gaming


Was wichtig wird-----------------
14. Das BSI auf der IAA Mobility

----------------------------------------------------
In den Schlagzeilen


1. Bedrohungsszenarien zum Anfassen auf der IAA

Auf seinem Stand F31 in Halle B1 zeigt das BSI mit insgesamt drei Exponaten, wie aktuelle Bedrohungsszenarien konkret aussehen.

Wer hat sich schon Mal gefragt, wie ein Auto Schilder erkennen kann? Dahinter steckt oft eine KI: Auf der Messe haben Besucherinnen und Besuchern die Möglichkeit, in die Rolle des Angreifers zu schlüpfen und durch leichte, für Menschen unverdächtige Änderungen am Schild, das KI-System zu einer Fehlfunktion zu verleiten. Während der Fahrt, mitten in der Kurve fällt die Servolenkung aus: Ein Horrorszenario. Am Fahrsimulator kann so ein Eingriff in das Fahrverhalten simuliert werden. Angriffe auf funkgesteuerte Schließsysteme oder das Infotainment-Systeme sind auch möglich, aber weniger lebensgefährlich. An einer nachgebauten Ladestation für E-Autos können Besucherinnen und Besucher selbst Attacken auf den Ladevorgang durchführen.

Weitere Informationen des BSI zur IAA Mobility finden Sie hier: (Hyperlink aufrufen)

BSI zu Chancen und Risiken beim vernetzten Fahren: (Hyperlink aufrufen)


2. Warnung vor betrügerischen E-Mails zu Steuerthemen

Cyberkriminelle versenden im Namen des Bundesministeriums der Finanzen gefälschte E-Mails. Darauf weist das Landeskriminalamt Niedersachsen hin. In ihren Nachrichten drohen Cyberkriminelle mit Haft- und Geldstrafen für vermeintliche Steuervergehen und fordern die Empfängerinnen und Empfänger auf,eine angehängte Datei zu öffnen und Kontodaten und weitere persönliche Informationen zu übermitteln. Betroffene sollten diese Mails löschen und umgehend ihre Bank kontaktieren sowie Anzeige erstatten, falls sie auf die Mails geantwortet haben.

BSI-Informationen über Betrug mit gefälschten Mails und Telefonnummern: (Hyperlink aufrufen)

Meldung des LKA Niedersachsen über gefälschte Steuer-Mails: (Hyperlink aufrufen)


3. BKA-Bericht 2022: Unternehmen verlieren über 200 Milliarden Euro durch Cyberangriffe

Das Bundeskriminalamt (BKA) hat seinen Bericht über Cybercrime für 2022 veröffentlicht. Trotz eines Rückgangs von 6,5 Prozent bei erfassten Straftaten in Deutschland bleibt Cybercrime ein Milliardengeschäft für Onlinekriminelle. Ransomware-Angriffe stehen an erster Stelle, bei denen erbeutete Daten zur Erpressung genutzt werden. Die Gesamtschäden durch Cyberangriffe belaufen sich auf etwa 203 Milliarden Euro. Phishing-Mails bleiben der Hauptangriffsvektor, wobei die Zahl der individuell angepassten Nachrichten und damit auch die Qualität der Angriffe zunimmt.

Bericht des BKA: (Hyperlink aufrufen)

Heise Online über die Auswirkungen der IT-Attacken auf deutsche Firmen: (Hyperlink aufrufen)


4. Cyberkriminelle nutzen Google-Bard-Anzeigen zur Verbreitung von Malware

Google Bard ist der hauseigene Chatbot von Google. Hackerinnen und Hacker nutzen diesen Chatbot, um Malware über Anzeigen zu verbreiten. Sie tarnen ihre Anzeigen als echte Werbung für den KI-Service von Google, um die Nutzerinnen und Nutzer auf infizierte Webseiten zu leiten und dort ihre privaten Daten auszuspähen. Die Anzeigen sind aktuell an auffälligen Grammatikfehlern und ungewöhnlichen Schreibstilen zu erkennen. Nutzerinnen und Nutzer sollten daher aufmerksam sein und nicht auf Anzeigen klicken, die ihnen verdächtig vorkommen.

Cryptopolitan über die Verbreitung von Malware über Google Bards: (Hyperlink aufrufen)


5. Daten von 2,6 Millionen Duolingo-Nutzerinnen und -Nutzern in Hackerforum aufgetaucht

In einem Hackerforum sind persönliche Daten von etwa 2,6 Millionen Duolingo-Nutzerinnen und -Nutzern aufgetaucht. Die gestohlenen Informationen enthalten Namen, E-Mail-Adressen und interne Daten wie erlernte Sprachen und Kurse. Sie könnten Cyberkriminellen gezielte Phishing-Angriffe ermöglichen.Die gestohlenen Duolingo-Daten wurden bereits im Januar 2023 zum Verkauf angeboten. Sicherheitsforscherinnen und -forscher haben herausgefunden, dass die Schnittstelle zu den Duolingo-Daten noch immer angreifbar ist, was es Hackerinnen und Hackern ermöglicht, Daten automatisiert abzurufen und zu speichern.

Empfehlungen und Informationen des BSI zur Online-Kommunikation in sozialen Netzwerken: (Hyperlink aufrufen)

Golem über die Duolingo-Daten in Hackerforen: (Hyperlink aufrufen)


6. Microsoft warnt vor massiven Social-Engineering-Angriffen auf Microsoft Teams

Wie Security Insider berichtet, hat Microsoft vor aggressiven Angriffen auf seine Videokonferenzlösung Teams gewarnt, bei denen vermeintlich aus Russland stammende Cyberkriminelle versuchen, an Anmeldedaten von Teams-Benutzerinnen und -Benutzern zu gelangen. Die Angreiferinnen und Angreifer spähen über Social Engineering ihre potenziellen Opfer aus. Ihre Angriffe führen sie dann mit Phishing-Mails durch, um an Zugangsdaten zu gelangen, die sie zur Kompromittierung von Microsoft-Abos, der Übertragung von Ransomware und zum Datendiebstahl nutzen. Die Angriffe seien auch für geschulte Anwenderinnen und Anwender nur schwer zu erkennen, schreibt Security Insider. MFA (Multi-Factor Authentication) biete einen guten, jedoch nicht vollumfänglichen Schutz vor massiven Phishing-Attacken. Durch das sogenannte MFA-Bombing, bei welchem die Angreiferinnen und Angreifer immer wieder Anfragen versenden, kann es dazu kommen, dass die Anwenderinnen und Anwender überfordert sind und die Anfragen einfach akzeptieren. Das BSI empfiehlt, mehrere Faktoren als Schutzbarrieren einzurichten und gleichzeitig MFA-Anfragen mit Misstrauen zu betrachten bis festgestellt werden kann, dass die Anfrage von der Nutzerin oder dem Nutzer selbst stammt.

BSI zum Umgang mit Spam, Phishing & Co: (Hyperlink aufrufen)

Security Insider über die Hackerangriffe auf Microsoft Teams: (Hyperlink aufrufen)



7. Phishing-Angriffe über Amazon Web Services

Laut Checkpoint werden Amazon Web Services zum Versenden von Phishing-Mails genutzt, um gefälschte E-Mails authentischer wirken zu lassen. ZDNet berichtet zudem, dass dabei eine scheinbar legitime Passwortrücksetzung per E-Mail angefragt wird. Hinter dem Link verbirgt sich jedoch eine gefälschte Anmeldeseite mit bereits eingetragener E-Mail-Adresse, um Nutzerinnen und Nutzer zur Eingabe ihres Passworts zu verleiten. Sicherheitsforscherinnen und -forscher empfehlen Achtsamkeit bei Absender-Adressen und URLs sowie die Nutzung von KI-gestützten Sicherheitslösungen, die Dokumente, Dateien und Websites prüfen, um solche Angriffe zu erkennen und zu verhindern.

Das BSI informiert darüber, wie Sie Phishing-Mails erkennen können: (Hyperlink aufrufen)

ZDNet über Phishing-Angriffe über Amazon Web Services (AWS): (Hyperlink aufrufen)


8. Kurz notiert:
NRW startet Initiative für Cybersicherheit: (Hyperlink aufrufen)
Smarte Glühbirne von TP-Link als Einfallstor ins WLAN: (Hyperlink aufrufen)
WinRAR-Schwachstelle ermöglicht Einschleusen von Schadcode: (Hyperlink aufrufen)


----------------------------------------------------
Up-to-date


9. Microsoft veröffentlicht überarbeitetes Exchange-Server-Update nach Fehlfunktionen

Wie Heise berichtet, hat Microsoft eine überarbeitete Version des August-Sicherheits-Updates für die Exchange-Server 2016 und 2019 veröffentlicht. Das ursprüngliche Patch führte auf nicht englischsprachigen Servern zu Problemen. Die neue Version "Aug SUv2" soll die Lokalisierungsprobleme beheben. Admins, die das erste Update erfolgreich durchgeführt haben, müssen keine weiteren Schritte unternehmen, können aber das neue Update installieren. Bei Installationsschwierigkeiten des ursprünglichen Updates oder erfolgreichen Workarounds ist die Installation der neuen Version erforderlich. Microsoft reagiert mit der überarbeiteten Version nun doch auf verschiedene Berichte über die Server-Fehlfunktionen.

Heise Online über den Re-Release des Exchange-Server-Updates: (Hyperlink aufrufen)



10. Update für Google Chrome behebt hochriskante Sicherheitslücken

Google schließt mit einem Update für seinen Chrome-Webbrowser gleich fünf Sicherheitslücken, von denen vier als hochriskant eingestuft wurden, so Heise Online. Die betroffenen Versionen sind Chrome 116.0.5845.114 für Android, 116.0.5845.118 für iOS, 116.0.5845.110 für Linux und Mac sowie 116.0.5845.110/.111 für Windows. Da die gleichen Schwachstellen auch im Chromium-Projekt vorhanden sind, werden wohl bald auch andere Browser wie Microsoft Edge ebenfalls bald aktualisiert. Zudem plant Google, Chrome demnächst wöchentlich zu aktualisieren, um Sicherheitsupdates schneller bereitzustellen.

Heise Online über das Update für Google Chrome: (Hyperlink aufrufen)


----------------------------------------------------
Gut zu wissen


11. Sicherheitsrisiken beim Gaming

Online-Games bieten eine Menge Spaß, bergen aber auch Risiken für Spielerinnen und Spieler. Im Rahmen der Gamescom hat das BSI mit Gameswelt über die Nachteile und versteckten Gefahren von Accountsharing gesprochen.

BSI x Gameswelt – Accountsharing und Kryptowährungen: (Hyperlink aufrufen)

Nicht erst seitdem die neuste Generation Künstlicher Intelligenz mit faszinierenden Ergebnissen Schlagzeilen macht, ist KI in aller Munde. Insbesondere in Videospielen ist KI schon seit vielen Jahren ein wichtiger Bestandteil, zum Beispiel, um mit NPCs zu interagieren oder um Spielwelten zu generieren. Pirmin Schwiertz von Gameswelt und BSI-Expertin Annika Rüll gehen gemeinsam Fragen auf den Grund wie "Was ist generative KI?", "Wo liegen die Grenzen von KI?" und "Wie könnte Künstliche Intelligenz Gaming verändern?"

BSI x Gameswelt – Künstliche Intelligenz: (Hyperlink aufrufen)


12. "Update verfügbar" #34: "Mehrspieler, aber Einzelkämpfer?! Alles zum Account-Sharing"

In der 34. Folge des BSI-Podcasts "Update verfügbar" präsentieren Ute Lange und Michael Münz in Zusammenarbeit mit Felix Rick vom Videospiel-Magazin Gameswelt eine neue Folge zum Thema Account-Sharing im Gaming. Unter anderem erfahren Sie, warum Gaming-Accounts niemals geteilt werden sollten.

BSI-Podcast "Update verfügbar" #34: (Hyperlink aufrufen)


----------------------------------------------------
Praktisch sicher


13. Top 5 Sicherheitstipps fürs Gaming
Spiele nur aus offiziellen Quellen herunterladen! Dazu zählen die App-Stores der Smartphone-Hersteller und die großen Software-Shops, die mit den Entwicklerinnen und Entwicklern zusammenarbeiten.
Accounts schützen! Cyberkriminelle versuchen womöglich, Ihren Account zu knacken. Starke Passwörter und die Zwei-Faktor-Authentisierung bieten Schutz.
Augen auf bei In-App-Käufen! Sichern Sie solche am besten mit einem Passwort, um nicht in Kostenfallen zu tappen – auch nicht unbeabsichtigt.
Separates Benutzerkonto anlegen! Das Konto, das für Games verwendet wird, sollte nur über eingeschränkte Rechte verfügen.
Updates herunterladen, sobald diese verfügbar sind! Oft schließen Hersteller auf diesem Weg Sicherheitslücken, bevor Cyberkriminelle sie ausnutzen können.

Mehr Spielregeln für digitale Sicherheit: (Hyperlink aufrufen)

Schritt für Schritt zur Zwei-Faktor-Authentisierung für Gaming-Accounts: (Hyperlink aufrufen)


----------------------------------------------------
Was wichtig wird


14. Das BSI auf der IAA Mobility

Vom 5. bis 8. September haben Sie in Halle B1 am Stand F 31 Gelegenheit, das BSI auf der IAA Mobility in München zu treffen, um sich über die Herausforderungen und Chancen der Cybersicherheit im Automobilbereich zu informieren. Das BSI zeigt dort, wie wichtig es ist, Fahrzeuge vor potenziellen Cyberberohungen zu schützen und im digitalen Zeitalter die Sicherheit der Mobilität zu fördern.

Alle Infos zur IAA: (Hyperlink aufrufen)

SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)









Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de