|
DB8AS > VIRUS 24.10.13 14:03l 185 Lines 9632 Bytes #999 (0) @ DL
BID : OA3DB0EAM004
Read: DK3UZ GUEST
Subj: BSI Newsletter 131024
Path: DB0FHN<DB0PM<OE2XZR<OE6XPE<IW2OHX<IW0QNL<IK6ZDE<IK2XDE<DB0RES<DB0EAM
Sent: 131024/1156z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:OA3DB0EAM004
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To: VIRUS @ DL
SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 24.10.2013
Nummer: NL-T13/0022
Die Themen dieses Newsletters:
1. D-LINK: Sicherheitslücke in WLAN-Routern
2. Schadsoftware: Online-Kriminelle nutzen SEPA-Umstellung
3. Java-Updates: Oracle schließt große Zahl an Sicherheitslücken
4. Chrome: Google schließt Sicherheitslücken
5. Studie: Die meisten computerbezogenen Straftaten werden nicht angezeigt
6. Datenschutz: EU-Parlament beschließt Reformvorschlag
7. Umfrage: Sicherheit wichtiger als Freiheit im Internet
EDITORIAL
Guten Tag,
sicher haben Sie in den letzten Wochen auch schon die eine oder andere
Nachricht erhalten, die Sie über die Umstellung von Banktransaktionen auf
das SEPA-Verfahren informiert. Das neue einheitliche Verfahren für den
bargeldlosen Zahlungsverkehr in Europa tritt im Februar in Kraft und
zahlreiche Unternehmen informieren derzeit ihre Kunden über die
Umstellungen. Jetzt springen auch Online-Kriminelle auf den Zug auf und
verbreiten unter dem Deckmantel einer SEPA-Meldung Schadsoftware.
Sind Sie schon einmal Opfer eines Internetbetrugs oder Datendiebstahls
geworden? Eine Studie aus Niedersachsen kommt nun zu dem Ergebnis, dass
nur sehr wenige dieser Straftaten überhaupt zur Anzeige kommen. Das
Dunkelfeld ist im Bereich Cybercrime demnach höher als in allen anderen
untersuchten Bereichen.
Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen
Ihr Buerger-CERT-Team
STÖRENFRIEDE
1. D-LINK: Sicherheitslücke in WLAN-Routern
In verschiedenen Router-Modellen der Firma D-Link gibt es eine kritische
Hintertür, über die sich Angreifer Zugang zu einem Heim-Netzwerk und
dessen Daten verschaffen können. Wenn über das Internet der
Administrationszugriff über die WAN-Schnittstelle des Routers freigegeben
ist, kann ein Angreifer ohne Eingabe eines Passworts beliebige Änderungen
an der Konfiguration vornehmen und auch sicherheitskritische
Einstellungen wie beispielsweise das WLAN-Passwort ändern. Er kann
darüber hinaus die über das WLAN übertragenen Daten mitlesen oder
verändern.
Da auch die aktuelle Firmware-Version betroffen ist und noch kein Patch
vorliegt, empfiehlt das Bürger-CERT, für die betroffenen D-Link-Geräte
die Administration über die WAN-Schnittstelle zu deaktivieren.
D-Link hat bekannt
gegeben [http://more.dlink.de/sicherheit/], derzeit an außerplanmäßigen
Firmware-Updates für die betroffenen Router-Modelle zu arbeiten. Diese
sollen Anfang November zur Verfügung stehen.
Betroffen sind ausschließlich ältere Modelle, für die D-LINK eigentlich
keinen Support mehr anbietet. Mehr Informationen zu den betroffenen
Modellen und weitere Hinweise finden sie in der Technischen
Warnung des
BürgerCERT [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0078%20UPDATE%201].
2. Schadsoftware: Online-Kriminelle nutzen SEPA-Umstellung
Zum 1. Februar 2014 wird der einheitliche Euro-Zahlungsverkehrsraum,
bekannt unter dem Namen
SEPA [https://www.sepadeutschland.de/de/ueber-sepa]
eingeführt. Ab diesem Zeitpunkt stellen die Banken auf ein europaweit
einheitliches Verfahren für den bargeldlosen Zahlungsverkehr um. Viele
Unternehmen informieren ihre Kunden bereits per Mail oder Post über die
Umstellung.
Nun gibt es erste Online-Kriminelle, die auf diesen Zug aufspringen und
mit gefälschten E-Mails Schadsoftware verbreiten. Das Bürger-CERT
beobachtete bereits eine kleine Welle von Malware-Spam mit SEPA als
Aufhänger, die über ein Botnetz versendet wurde. Der schädliche Anhang
der Mail – ein Trojaner, der sich mit Endungen wie .pdf oder .zip tarnt –
wird mittlerweile von den meisten Antivirusprogrammen erkannt. Es ist
jedoch zu befürchten, dass Online-Kriminelle weitere Malware-Varianten
entwickeln, die dann als vermeintliche Kundeninformation zu SEPA
verbreitet werden.
SCHUTZMASSNAHMEN
3. Java-Updates: Oracle schließt große Zahl an Sicherheitslücken
Mit seinem October Patch Day
[https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0081]
hat Oracle eine außergewöhnlich große Zahl von Sicherheitslücken in der
Java Platform Standard Edition (Java SE) geschlossen. Laut Oracle handelt
es sich um insgesamt 51 Schwachstellen, von denen sich fünfzig über das
Netz ohne Authentifizierung ausnutzen lassen. Von den insgesamt 51
Schwachstellen sind zwölf Schwachstellen mit der höchsten Punktzahl (Base
Score 10) versehen, da die Komplexität des Angriffs dazu niedrig ist.
Auch Apple-Nutzer sollten
updaten [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0080
]: Mit der Verfügbarkeit von Java for OS X 1.6.0 65 schließt Apple die
Sicherheitslücken für Java unter dem Apple Betriebssystem OS X.
Tipps zur Installation von JavaUpdates finden Sie auf der
Webseite BSI für Bürger
[https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/UpdatePatchManagement/JavaUpdate/JavaUpdate_node.htm].
4. Chrome: Google schließt Sicherheitslücken
Google hat in seinem Webbrowser Chrome mehrere Sicherheitslücken
geschlossen.
Das
Bürger-CERT [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0079]
empfiehlt, Google Chrome auf die aktuelle Version 30.0.1599.101
upzudaten.
PRISMA
5. Studie: Die meisten computerbezogenen Straftaten werden nicht
angezeigt
Nur jeder vierte Betrugsversuch im Internet wird angezeigt. Das ist das
Ergebnis einer Studie des niedersächsischen
Innenministeriums [http://www.mi.niedersachsen.de/portal/live.php?navigation_id=14797&article_id=119026&_psmand=33],
die das sogenannte Dunkelfeld verschiedener Straftatbestände untersucht.
Demnach ist die Zahl der nicht zur Anzeige gebrachten Straftaten im
Bereich Cybercrime höher als in allen anderen untersuchten Bereichen.
Bei Phishing beträgt das Dunkelfeld das Zehnfache, bei Datenverlusten und
finanziellen Einbußen durch Schadsoftware sogar mehr als das Zwanzigfache
des der Polizei bekannt gewordenen Fallvolumens. Die komplette Studie
soll im November vorgestellt werden.
Das Landeskriminalamt Niedersachsen hat gleichzeitig seinen äRatgeber
Internetkriminalität“ vorgestellt. Auf der
Online-Plattform [http://www.polizei-praevention.de]
können sich Bürgerinnen und Bürgern zu aktuellen Themen der
Cyberkriminalität informieren und Fragen direkt an die Experten der
Polizei stellen.
6. Datenschutz: EU-Parlament beschließt Reformvorschlag
Um den Datenschutz zu stärken, haben sich die Fraktionen im EU-Parlament
nach monatelangen Verhandlungen auf einen Vorschlag zur
Reform der europäischen
Datenschutzverordnung [http://www.europarl.europa.eu/news/de/news-room/content/20131021IPR22706/html/Civil-Liberties-MEPs-pave-the-way-for-stronger-data-protection-in-the-EU]
geeinigt. Der zuständige Ausschuss für bürgerliche Freiheiten, Justiz und
Inneres stimmte dem Vorschlag ebenfalls zu, so dass nun die Abstimmung
mit der Europäischen Kommission und dem Europäischen Rat der
Mitgliedstaaten folgen kann.
Im Mittelpunkt der Reform stehen neue Regelungen zur Weitergabe von
Kundendaten an Drittstaaten. Künftig soll damit sichergestellt werden,
dass Firmen nicht ohne klare gesetzliche Grundlage private Daten
europäischer Kunden an ihre Regierung oder Geheimdienste weitergeben
dürfen. Bei Missachtung sollen den Firmen empfindliche Geldstrafen von
bis zu fünf Prozent ihres Umsatzes drohen.
7. Umfrage: Sicherheit wichtiger als Freiheit im Internet
Die Deutschen wollen im Internet lieber Sicherheit als Freiheit – so
fasst die Deutsche Telekom die Ergebnisse einer repräsentativen
Umfrage [http://www.telekom.com/medien/konzern/203042]
unter Internetnutzern zusammen. Demnach bezeichneten es 38 Prozent der
Befragten als sehr bzw. äußerst wichtig, die Möglichkeiten der digitalen
Welt ohne Kontrollmechanismen ausschöpfen zu können. Wenn sie aber
zwischen dieser Freiheit und dem Schutz ihrer Daten vor Angriffen und
Missbrauch wählen müssen, entscheiden sich 79 Prozent der Deutschen für
die Sicherheit. Nur jeder Fünfte bevorzugt auch im direkten Vergleich die
Freiheit.
Die Kurzumfrage wurde von TNS Infratest im Auftrag der Deutschen Telekom
und der Münchner Sicherheitskonferenz im Vorfeld des zweiten
Cyber Security Summit [http://www.cybersecuritysummit.de/]
am 11. November 2013 in Bonn durchgeführt.
-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.
Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------
Die Veroeffentlichung in PR wurde mir vom BSI genehmigt.
vy 73, Jochen
db8as@db0eam.deu.eu
Read previous mail | Read next mail
| |