[Buerger-Cert-Newsletter] Newsletter SICHER • INFORMIERT vom 07.10.2021

Newsletter SICHER • INFORMIERT vom 07.10.2021

Ausgabe: 18/2021

 

Liebe Leserinnen und Leser,

 

25 % der Menschen in Deutschland wurden bereits Opfer von Cyber-Kriminalität. Dieser Wert stammt aus der Bürgerumfrage ‚Digitalbarometer 2021‘ von BSI und der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK). Positiv hingegen ist, dass die Zahl der Befragten, die sichere Passwörter nutzen, im Vergleich zu den Vorjahren gestiegen ist. Mehr interessante Zahlen aus dem Bericht finden Sie unter „Gut zu wissen“.

Das Digitalbarometer zeigt auch, dass es einen Unterschied macht, digitale Sicherheit immer wieder in den Fokus zu rücken. Deswegen schreiben wir diesen Newsletter und stellen unterschiedliche Informationsangebote für Sie als Verbraucherinnen und Verbraucher bereit. Dazu gehört auch der European Cyber Security Month (ECSM), der noch bis zum 15. November läuft. Wir freuen uns, wenn Sie dabei sind!

 

Viel Spaß beim Lesen wünscht Ihnen

 

Jan Lammertz / Team BSI

Inhaltsverzeichnis

In den Schlagzeilen—————–

  1. BloodyStealer: Cybercrime-as-a-Service 2. Hausroboter Astro: Ein Sicherheitsrisiko auf Rädern 3. SRH Holding durch Cyberangriff „on hold“

 

 

Bleiben Sie up-to-date—————–

  1. Aktuelle Warnmeldungen des BSI
  2. Netgear-Router lassen sich über die Kindersicherung hacken 6. Sicherheitslücke in digitaler Geldbörse: Apple Steal statt Apple Pay

 

 

Gut zu wissen—————–

  1. Digitalbarometer 2021: Licht und Schatten in der IT-Sicherheit 8. Ein Jahr was auf die Ohren: „Update verfügbar“
  2. Härtere Strafen für Doxing

 

 

Zeitlos wichtig—————–

  1. Öffentliche Netze sicher nutzen

 

 

Zahl der Woche—————–

  1. 300.000 Subdomains für Phishing-Angriffe

 

 

Was wichtig wird—————–

  1. BSI auf der Sicherheitsmesse it-sa 2021

 

—————————————————-

In den Schlagzeilen

 

 

  1. BloodyStealer: Cybercrime-as-a-Service

 

„Wer viele Videospiele und virtuelle Gegenstände bei Origin, Steam & Co. kauft, ist ein lukratives Opfer für Cyberkriminelle“, schreibt Heise Online. Im Darknet blühe der Handel mit Zugangsdaten für die Konten von Spielerinnen und Spielern. Auch ein Malware-as-a-Service-Angebot sei dort zu finden, wie das Sicherheitsunternehmen Kaspersky herausfand: Den Trojaner BloodyStealer können auch Personen, die keine IT-Vorkenntnisse haben, mieten und anwenden, um damit Daten klauen. Das Schadprogramm ist darauf ausgelegt, Accountdaten von Spieleangebotsplattformen wie Epic Games, Origin und Steam abzugreifen.

 

Das BSI bietet auf seiner Webseite „Spielregeln für digitale Sicherheit“ beim Gaming an: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Gaming/gaming_node.html

 

Meldung bei Heise Online: https://www.heise.de/news/Darknet-Bericht-280-000-Gaming-Accounts-fuer-nur-4000-US-Dollar-6203997.html

 

 

  1. Hausroboter Astro: Ein Sicherheitsrisiko auf Rädern

 

Kaum schickt sich der Amazon-Roboter Astro an, auch durch unsere Haushalte zu fahren, erweist er sich schon als „rollendes Sicherheitsproblem“, wie Golem berichtet. Tatsächlich sei der Roboter eine „rollende Überwachungskamera, die alles innerhalb der eigenen vier Wänden aufzeichnen kann“, so das Onlinemagazin. Dabei sei nicht ein möglicher Hackerangriff das größte Problem: Vielmehr ermögliche Amazon Strafverfolgungsbehörden prinzipiell Zugriff auf die Videodaten aus dem Roboter.

 

Das BSI gibt Tipps zur sicheren Vernetzung der eigenen vier Wände: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Internet-der-Dinge-Smart-leben/Smart-Home/smart-home_node.html

 

Bericht des Onlinemagazins Golem: https://www.golem.de/news/amazon-roboter-astro-ist-ein-rollendes-datenschutz-und-sicherheitsrisiko-2109-159961.html

 

 

  1. SRH Holding durch Cyberangriff „on hold“

 

Die SRH Holding betreibt deutschlandweit Kliniken und Bildungseinrichtungen. Jetzt ist das Unternehmen offenbar Opfer einer Cyberattacke geworden, berichtet die Zeit. Ziel der Attacke waren wohl die Bildungseinrichtungen und Hochschulen der Holding. Der Betrieb in Krankenhäusern und medizinischen Versorgungszentren sei nicht gefährdet gewesen. Der Cyberangriff war am 19. September entdeckt worden. Zu einem möglichen Abfluss von Daten, zu den Täterinnen oder Tätern und den von ihnen verursachten Schäden gebe es bislang noch keine Angaben (Stand: 30.09.). Das Landeskriminalamt (LKA) in Baden-Württemberg hat die Ermittlungen aufgenommen.

 

Zur Meldung der Zeit: https://www.zeit.de/news/2021-09/30/lka-ermittelt-wegen-cyberattacke-auf-srh-stiftung

 

 

—————————————————-

Bleiben Sie up-to-date

 

 

  1. Aktuelle Warnmeldungen des BSI

 

Das „Computer Emergency Response Team“ des BSI informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es Meldungen unter anderem zu Apple iOS (< 12.5.5) und Apple macOS (< 2021-006 Catalina); Google Chrome (< 94.0.4606.61); Microsoft Edge (< 94.0.992.31); D-LINK-Router DIR-X1560 (< 1.04B04) und DIR-X6060 (< 1.02B01); sowie Google Android (11, 10, 9, 8.1).

 

Informationen und Tipps zum Umgang mit diesen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT finden Sie hier: https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Buerger-CERT-Abos/Buerger-CERT-Sicherheitshinweise/buerger-cert-sicherheitshinweise_node.html

 

 

  1. Netgear-Router lassen sich über die Kindersicherung hacken

 

Ausgerechnet über die eingebaute Kindersicherung waren eine Reihe von Netgear-Routern angreifbar, berichtet Heise Online. Betroffen waren die Modelle R6400v2, R6700 und R6700v3, R6900 und R6900P, R7000 und R7000P, R7850, R7900, R8000, RS400. Allerdings hat der Hersteller die Sicherheitslücken mittlerweile per Firmware-Update geschlossen. Die Besitzerinnen und Besitzer solcher Geräte sollten die verfügbaren Updates so zügig wie möglich einspielen.

 

Bericht bei Heise Online: https://www.heise.de/news/Netgear-Router-koennen-ueber-Kindersicherung-geknackt-werden-6198360.html

 

Details des Herstellers zu den Updates: https://kb.netgear.com/000064039/Security-Advisory-for-Remote-Code-Execution-on-Some-Routers-PSV-2021-0204

 

 

  1. Sicherheitslücke in digitaler Geldbörse: Apple Steal statt Apple Pay

 

Das Magazin t3n macht auf eine Sicherheitslücke bei Apple Wallets für Visa-Kreditkarten aufmerksam: „Die Funktion ‚Express Transit‘ ermöglicht die autorisierungslose Freigabe, um etwa Fahrkartenschalter zu passieren, ohne das iPhone herauskramen zu müssen“. Wissenschaftlerinnen und Wissenschaftler der Universitäten Birmingham und Surrey sei es gelungen, mittels eines manipulierten Lesegeräts Geld zu entwenden und das Limit für solche Transaktionen zu umgehen. Obwohl die Schwachstelle bereits seit Oktober 2020 bekannt gewesen sei, hätten Apple und der Kreditkartenanbieter Visa bisher das Problem nicht in den Griff bekommen. Große Gefahr bestehe für die Nutzerinnen und Nutzer des Wallets aber offenbar nicht. Und wenn es tatsächlich zu Schäden kommen sollte, „hat Visa klargestellt, dass seine Karteninhaber durch die Null-Haftungspolitik von Visa geschützt sind“.

 

Pro und Contra der häufigsten Bezahlmethoden im Überblick: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Online-Banking-Online-Shopping-und-mobil-bezahlen/Online-Shopping/Bezahlen-im-Internet/bezahlen-im-internet_node.html

 

Bericht bei t3n: https://t3n.de/news/sicherheitsluecke-apple-pay-wallet-visa-1412756/

 

 

—————————————————-

Gut zu wissen

 

 

  1. Digitalbarometer 2021: Licht und Schatten in der IT-Sicherheit

 

Bereits zum dritten Mal haben BSI und die Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK) das Digitalbarometer veröffentlicht. Demnach ist jede bzw. jeder Vierte (25 Prozent) bereits Opfer von Kriminalität im Internet geworden. Bei den Delikten liegen Fremdzugriffe auf einen Online-Account (31 Prozent), der Download von Schadsoftware (28 Prozent) und Phishing (25 Prozent) vorne. Jedes zehnte Opfer meldete einen finanziellen Schaden durch Kriminalität im Internet (meist zwischen 20 und 2.000 Euro). Aber es gibt auch gute Nachrichten: Entgegen dem allgemeinen Trend zu mehr Online-Käufen in der Pandemie gehen die Betrugszahlen beim Onlineshopping bereits das dritte Jahr in Folge zurück: 2019 waren 36 Prozent betroffen, 2020 noch 32 Prozent, 2021 nur noch 19 Prozent.

 

Das Digitalbarometer 2021 finden Sie hier: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Digitalbarometer/Digitalbarometer-ProPK-BSI_2021.html?nn=520690

 

 

  1. Ein Jahr was auf die Ohren: „Update verfügbar“

 

Mit der 13. Folge von „Update verfügbar“ feiern wir den ersten Geburtstag unseres Podcasts. Die neue Folge trägt denn auch den Titel „h4ppy b1r7hd4y“. Das Moderationsduo Ute und Michael nutzt diese Gelegenheit, auf die ersten 12 Folgen zurückzublicken: Welches Thema hat sie am meisten fasziniert? Welche Tipps setzen sie selbst im Alltag um? Außerdem schauen die beiden auf aktuelle IT-Sicherheitsvorfälle im September und widmen sich etwas ausführlicher dem Basisschutz für das Smartphone.

 

Apple iTunes: https://podcasts.apple.com/de/podcast/update-verfügbar/id1533773235

Spotify: https://open.spotify.com/show/1g5qr33CFc2sgxLVvMlbBp

Deezer: https://www.deezer.com/de/show/1800802

BSI-YouTube-Kanal: https://youtu.be/aCR01gUvB3E Google Podcast: https://podcasts.google.com/feed/aHR0cHM6Ly91cGRhdGUtdmVyZnVlZ2Jhci5wb2RpZ2VlLmlvL2ZlZWQvbXAz?fbclid=IwAR22UTL8zBysgPNyb6emRPWKhT6xqYBJiaFseWSrT-wLtfDTvT5tNuVe_xM

Transkript zur Folge: https://multimedia.gsb.bund.de/BSI/Podcast/210930_BSI_Podcast_Folge_13_Transkription.pdf

 

 

  1. Härtere Strafen für Doxing

 

Wer beim sogenannten Doxing zum Beispiel vertrauliche Kontaktdaten von Personen über das Internet verbreitet, muss in Zukunft mit härteren Strafen rechnen, berichtet unter anderem Deutschlandfunk Nova. Bisher wurden nur wenige Fälle strafrechtlich verfolgt. Menschen, die beispielsweise auf sogenannten Feindeslisten aufgetaucht sind oder deren privaten Daten veröffentlicht wurden, waren daher meist ungeschützt. Mit dem neuen IT-Sicherheitsgesetz 2.0 können Doxing-Straftaten jetzt mit Geld- und Freiheitsstrafen geahndet werden – in besonders schweren Fällen von bis zu drei Jahren. Zudem können künftig auch Doxing-Vorfälle verfolgt werden, bei denen öffentliche Daten wie beispielsweise ein Telefonbucheintrag oder das Impressum einer Website an andere weitergeleitet werden.

 

Was Betroffene von Datenleaks tun können, erklärt das BSI: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Identitaetsdiebstahl/Hilfe-fuer-Betroffene/hilfe-fuer-betroffene_node.html

 

Bericht bei Deutschlandfunk Nova: https://www.deutschlandfunknova.de/beitrag/doxing-wer-private-kontaktdaten-verbreitet-muss-mit-haerteren-strafen-rechnen

 

 

—————————————————-

Zeitlos wichtig

 

 

  1. Öffentliche Netze sicher nutzen

 

Ob in der Bahn, am Flughafen oder in Innenstädten: Wer unterwegs ist, freut sich über meistens kostenlose WLAN-Angebote. Allerdings ist der Zugang zu diesen Netzen oft unverschlüsselt. Hier ist daher Vorsicht geboten! Wie Sie sich in öffentlichen Netzwerken sicher bewegen, zeigt das Erklärvideo „Nutzung öffentlicher WLAN“ des BSI: https://youtu.be/7mwbv8WhRm0

 

 

—————————————————-

Zahl der Woche

 

 

  1. 300.000 Subdomains für Phishing-Angriffe

 

Der Software-Anbieter Microsoft hat eine großangelegte Phishing-Kampagne aufgedeckt, also das Versenden von täuschend echt aussehenden E-Mails durch Kriminelle, um Daten abzugreifen. Diese E-Mails enthalten Links zu mehr oder weniger gut nachgeahmten Webseiten von beispielsweise Banken oder Shoppingplattformen, auf denen dazu aufgefordert wird, persönliche Daten anzugeben. Die von Microsoft aufgespürten Hackerinnen und Hacker hätten in kurzer Zeit über 300.000 verschiedene Subdomains eingerichtet, um potenzielle Opfer zu ködern, berichtet Heise Online. Laut Microsoft verberge sich dahinter eine eigene Infrastruktur für Phishing als Dienstleistung, die die kriminellen Betreiber anderen Kriminellen anbieten.

 

Heise Online über die Untersuchung von Microsoft: https://www.heise.de/news/BulletProofLink-Wo-der-ganze-Phishing-Spam-herkommt-6199720.html

 

 

—————————————————-

Was wichtig wird

 

 

  1. BSI auf der Sicherheitsmesse it-sa 2021

 

Vom 12. bis 14. Oktober findet in Nürnberg die it-sa 2021 statt – Europas größte Fachmesse für IT-Sicherheit. Das BSI ist ein ideeller Träger der it-sa und mit einem eigenen Messestand in Nürnberg vertreten. Zudem wird BSI-Präsident Arne Schönbohm die it-sa mit eröffnen.

 

Weitere Informationen und Programmpunkte des BSI auf der it-sa 2021: https://www.bsi.bund.de/SharedDocs/Termine/DE/2021/itsa2021.html

 

Der European Cybersecurity Month (ECSM) bietet noch bis zum 15. November eine Vielzahl von virtuellen und „echten“ Veranstaltungen rund um das Thema Daten- und IT-Sicherheit an. Eine Übersicht der Veranstaltungen finden Sie hier: https://www.bsi.bund.de/DE/Service-Navi/Veranstaltungen/ECSM/Aktionen-2021/aktionen-2021_node.html

 

Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/verbraucherinnen-und-verbraucher_node.html

 

Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten: https://www.bsi.bund.de/DE/Service-Navi/Kontakt/kontakt_node.html

 

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freundinnen und Freunden oder Kolleginnen und Kollegen: https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Buerger-CERT-Abos/Abonnieren/abonnieren_node.html

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Buerger-CERT-Abos/Abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Bund

https://www.instagram.com/bsi_bund

https://social.bund.de/@bsi

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.