|
DB8AS > VIRUS 19.04.14 19:05l 240 Lines 12318 Bytes #999 (0) @ DL
BID : J44DB0EAM002
Read: DK3UZ GUEST
Subj: BSI Newsletter 140417
Path: DB0FHN<OE2XZR<OE6XPE<DB0RES<DB0EAM
Sent: 140419/1658z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:J44DB0EAM002
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To: VIRUS @ DL
SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 17.04.2014
Nummer: NL-T14/0008
Die Themen dieses Newsletters:
1. Phishing Welle: Das BSI ist nicht Absender der E-Mails
2. sicherheitstest.bsi.de: Millionenfacher Identitätsdiebstahl
3. Unlauterer Anruf: Abzocker möchten wieder Ihr Geld
4. Heartbleed Bug: Weitere Maßnahmen nötig
5. Fälschung: Vermeintliche Virenschutz-App ohne Wirkung
6. Cyber-Kriminalität: Deutsches Raumfahrtzentrum bestätigt IT-Angriffe
7. Windows XP: Support zum 8. April 2014 beendet
8. Microsoft Patchday: Zwangsupdate für Windows 8.1
9. April-Patchday: Adobe schließt Sicherheitslücken
10. Chrome: Google schließt Sicherheitslücken im Browser
11. Blackberry: Blackberry schließt Sicherheitslücken
12. Studie von PwC: äDer Mittelstand tut zu wenig gegen Datenmissbrauch“
13. Thema IT-Sicherheit: 1. Bonner Technologie-Talk
EDITORIAL
Guten Tag,
seit Dienstag werden Phishing-E-Mails verschickt, die vorgeblich vom
Bundesamt für Sicherheit in der Informationstechnik (BSI) stammen. Das
BSI weist daher darauf hin, dass es nicht Absender der E-Mails ist.
Als letztes prominentes Opfer von Cyber-Kriminellen ist das Deutsche
Zentrum für Luft- und Raumfahrt (DLR) in die Schlagzeilen gekommen. Ein
Sprecher bestätigte einen Pressebericht, wonach das DLR seit Monaten
Spähangriffen ausgesetzt ist.
Diese Meldungen sind jedoch durch die Berichterstattung über den
äHeartbleed Bug“ fast völlig verdrängt worden. Was in Zeitungen und
Online-Artikeln als äGAU“ oder gar äSuper-Gau“ des Internet bezeichnet
wurde, ist eine Sicherheitslücke in der Heartbeat-Erweiterung von
OpenSSL. Mithilfe des "Heartbleed Bugs" können unter bestimmten
Bedingungen geheime Schlüssel von OpenSSL-Servern ausgelesen werden.
Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen
Ihr Buerger-CERT-Team
STÖRENFRIEDE
1. Phishing Welle: Das BSI ist nicht Absender der E-Mails
Seit Dienstag werden E-Mails mit dem BSI-Logo und dem Bezug "Wichtige
E-Mail bezüglich Internetkriminalität vom Bund" verschickt. Diese stammen
nicht vom BSI. Bitte ignorieren und löschen Sie diese Mail, und klicken
Sie keinesfalls den in der Nachricht enthaltenen Link an. Auf BSI für
Bürger finden Sie weitere Hinweise und ein Bildschirmfoto
der
E-Mail [https://www.bsi-fuer-buerger.de/BSIFB/DE/Wissenswertes_Hilfreiches/Service/Aktuell/Meldungen/Phishing_15042014.html].
2. sicherheitstest.bsi.de: Millionenfacher Identitätsdiebstahl
Die beschriebene Phishing Welle ist sicherlich auch vor dem Hintergrund
der Aktionen des BSI zu sehen, in der das BSI am 07.04.2014 über den
großflächigen Identitätsdiebstahl warnte. Als Abonnent oder Abonnentin
dieses Newsletters haben wir bereits in der Sonderausgabe
von SICHER
INFORMIERT [https://www.buerger-cert.de/archive?type=widspecialedition&nr=SE-T14-0003
] darüber unterrichtet. Internetnutzer, die einen E-Mail-Account bei
einem anderen als den im Newsletter genannten Dienstleistern haben oder
einen eigenen Webserver betreiben, sind weiterhin aufgerufen, Ihre
Mail-Adresse mithilfe des vom BSI bereitgestellten
webbasierten
Sicherheitstests [https://www.sicherheitstest.bsi.de] zu überprüfen.
3. Unlauterer Anruf: Abzocker möchten wieder Ihr Geld
Vermehrt melden sich Personen am Telefon und geben sich als Mitarbeiter
der Europäischen Datenschutzzentrale aus, In der bereitgestellten
Information der Verbarucherzentrale
Rheinland-Pfalz [https://www.verbraucherzentrale-rlp.de/link1134286A.html]
heißt es, Bürgern würden gegen eine Bearbeitungsgebühr angeboten,
Registrierungsdaten des Angerufenen im Ausland zu löschen. Selbst wenn
der Dienstleistung nicht zugestimmt wurde, wird dem Bürger eine Rechnung
für eine Aktenverwaltungsgebühr in Höhe von 268,00 € zugestellt. Sollten
Sie einen solchen oder ähnlichen Anruf bekommen, legen Sie bitte einfach
auf. Die Polizeiliche Kriminalprävention der Länder und des Bundes hält
weitere Tipps für den Umgang mit unlauteren
Anrufen [http://www.polizei-beratung.de/themen-und-tipps/betrug/unerlaubte-werbeanrufe.html]
bereit.
4. Heartbleed Bug: Weitere Maßnahmen nötig
Der äHeartbleed Bug“, der eine OpenSSL-Verschlüsselung bei
eingeschalteter Heartbeat-Erweiterung korrumpieren kann, ist von
verschiedenen Vertretern der Presse als äGAU“ oder gar als
äSuper-GAU“ des
Internet [http://www.welt.de/wirtschaft/article126756059/Das-Internet-steht-vor-seinem-ersten-Super-GAU.html]
bezeichnet worden. Das BSI stuft das Sicherheitsleck als kritisch ein und
hat nach Bekanntwerden des Lecks IT-Unternehmen und Behörden gewarnt und
konkrete Handlungsempfehlungen gegeben.
Inzwischen haben viele Betreiber die Schwachstelle durch Einspielen von
Sicherheitsupdates für OpenSSL geschlossen und verwenden neue
Zertifikate.
Das BSI hat jedoch festgestellt, dass noch viele kleinere Webseiten, wie
zum Beispiel Online-Shops oder Vereinsseiten für die Heartbleed-Angriffe
verwundbar sind. Deshalb sieht das BSI weiteren
Handlungsbedarf [https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Heartbleed_Bug_16042014.html].
Für Bürgerinnen und Bürger hält das BSI zum äHeartbleed Bug“
Informationen und
Tipps [https://www.bsi-fuer-buerger.de/BSIFB/DE/Wissenswertes_Hilfreiches/Service/Aktuell/Meldungen/Heartbleed_11042014.html]
auf der Website äBSI für Bürger“ bereit.
5. Fälschung: Vermeintliche Virenschutz-App ohne Wirkung
Wie Spiegel
Online [http://www.spiegel.de/netzwelt/apps/virus-shield-virenschutz-app-fuer-android-war-fake-a-963175.html]
schreibt, erhielt die Virenschutz-App äVirus Shield“ positive Bewertungen
im Google Play Store und wurde von 10.000 Anwendern für 3,99 Dollar
heruntergeladen. Wie sich jedoch herausstellte, schützte äVirus Shield“
nicht vor Viren. Immerhin enthielt die App selbst keine Malware. Dennoch
stellt sich erneut die Frage, wie sicher Download-Quellen für Apps sind.
Google hat mittlerweile reagiert und das Programm aus seinem
App-Marktplatz entfernt.
6. Cyber-Kriminalität: Deutsches Raumfahrtzentrum bestätigt IT-Angriffe
Ein Sprecher des Deutschen Zentrums für Luft- und Raumfahrt (DLR) hat
bestätigt, dass seit Monaten mehrere Computer von
Wissenschaftlern und Administratoren am DLR [
http://www.spiegel.de/netzwelt/web/dlr-mit-trojanern-von-geheimdienst-ausgespaeht-a-964099.html]
Spähangriffen ausgesetzt sind. Es seien alle Betriebssysteme betroffen.
Damit bestätigte der Sprecher einen Bericht des Nachrichtenmagazins "Der
Spiegel". Hinter dem Angriff wird ein ausländischer Nachrichtendienst
vermutet. Das DLR hat deshalb das unter Federführung des BSI stehende
Nationale
Cyber-Abwehrzentrum [http://www.bmi.bund.de/DE/Themen/IT-Netzpolitik/IT-Cybersicherheit/Cybersicherheitsstrategie/Cyberabwehrzentrum/cyberabwehrzentrum_node.html]
informiert.
SCHUTZMASSNAHMEN
7. Windows XP: Support zum 8. April 2014 beendet
Windows XP hat sich bis zuletzt weiter Verbreitung erfreut, doch nun hat
Microsoft den Support für das Betriebssystem wie angekündigt beendet.
Das BSI befürchtet, dass Online-Kriminelle bereits zuvor entdeckte
Sicherheitslücken in Windows XP erst jetzt, also nach Ende des Supports,
ausnutzen, da diese Lücken vom Hersteller nicht mehr geschlossen werden.
Auch der Support für Office 2003 wurde beendet. Auf äBSI für Bürger“
finden sich Tipps für den Umstieg auf ein anderes
Betriebssystem [
https://www.bsi-fuer-buerger.de/BSIFB/DE/Wissenswertes_Hilfreiches/Service/Aktuell/Meldungen/Support-Ende-WinXP_04022014.html].
8. Microsoft Patchday: Zwangsupdate für Windows 8.1
Der 8. April war zugleich Microsofts jüngster Patchday. Das Unternehmen
schloss an dem Tag nicht nur mehrere Sicherheitslücken in
verschiedenen
Produkten [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0039],
sondern veröffentlichte auch ein Update für Windows 8.1. Dieses Update
können Anwender und Anwenderinnen von Windows 8.1 nicht auslassen,
möchten sie zukünftige Sicherheitsupdates erhalten, wie
Microsoft
bestätigt [http://windows.microsoft.com/de-at/windows-8/whats-new].
Damit werden auch Änderungen in der Benutzeroberfläche verbindlich, die
Teil des Updates sind.
9. April-Patchday: Adobe schließt Sicherheitslücken
Mit seinem jüngsten Patch hat Adobe vier kritische
Sicherheitslücken im Flash
Player [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0040]
geschlossen.
10. Chrome: Google schließt Sicherheitslücken im Browser
Der Google Chrome Browser vor Version 34.0.1847.116 enthält
mehrere kritische
Sicherheitslücken [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0041],
die mit dem jüngsten Update geschlossen werden. Die Schwachstellen können
von Angreifern genutzt werden, um Google Chrome zum Absturz zu bringen
oder andere Manipulationen des Browsers oder des Systems durchzuführen.
Dieses Update beinhaltet auch einen Patch für Flash Player, der die oben
erwähnten vier Sicherheitslücken des Flash Players für Chrome schließt.
11. Blackberry: Blackberry schließt Sicherheitslücken
Blackberry stellt Updates für Blackberry OS 10 zur Verfügung.
Das Update schließt eine
Sicherheitslücke [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0044],
die es Angreifern ermöglicht, auf dem Blackberry Z10 beliebigen
Programmcode mit Administratorrechten auszuführen.
Nutzer anderer Blackberry-Geräte sind aufgefordert,
Blackberry OS bis einschließlich 10.2.0.1054 zu
aktualisieren [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0042].
PRISMA
12. Studie von PwC: äDer Mittelstand tut zu wenig gegen Datenmissbrauch“
Das Beratungsunternehmen PwC Deutschland hat 600 leitende
Angestellte mittelständischer europäischer Unternehmen zum Thema
IT-Sicherheit
befragt [http://www.pwc.de/de/prozessoptimierung/der-mittelstand-tut-zu-wenig-gegen-datenmissbrauch.jhtml].
Das Ergebnis sei zwar deutlich besser als das des Vorjahres, dennoch
würde zu wenig gegen Datenmissbrauch unternommen. Strategien gegen
Datenmissbrauch seien häufig lückenhaft oder gar nicht erst vorhanden.
Zwar habe die Sensibilität für das Thema zugenommen, gleichzeitig aber
sei die Zahl der äDatenpannen“ um 50 Prozent gestiegen.
13. Thema IT-Sicherheit: 1. Bonner Technologie-Talk
Am 10. April fand in Bonn der 1. Bonner Technologie-Talk
(Bericht [http://www.general-anzeiger-bonn.de/bonn/bad-godesberg/pennenfeld/beim-thema-it-sicherheit-herrscht-grosse-verunsicherung-article1325387.html])
mit Andreas Könen, dem Vizepräsidenten des BSI, statt. Eingeladen hatten
der Bund Katholischer Unternehmer und die Bonner Agentur Bonne nouvelle.
In einer Podiumsdiskussion behandelten Experten Themen der IT-Sicherheit.
Könen hob hervor, dass änicht nur technische Maßnahmen“ für die
IT-Sicherheit berücksichtigt werden sollten: äAufklärung und
Sensibilisierung sind ebenso wichtige Erfolgsfaktoren".
-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.
Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------
Mit genehmigung vom BSI.
vy 73, Jochen
db8as@db0eam.deu.eu
Read previous mail | Read next mail
| |