SICHER • INFORMIERT vom 07.02.2019
Ausgabe: 03/2019
Inhalt
Störenfriede—————–
- Schädliche Apps: 29 vermeintliche Foto-Anwendungen aus Google Play Store entfernt 2. Sicherheitsrisiko bei IoT-Geräten 3. Ransomware: Neue Spamwelle im Anrollen
Schutzmaßnahmen—————–
- Mozilla: Sicherheitslücken in mehreren Produkten 5. Google Chrome: Informationen über Schwachstelle einsehbar 6. Apple FaceTime: Deaktivierung empfohlen 7. phpMyAdmin: Update verfügbar
Prisma—————–
- Podcast: Wie Cyber-Kriminelle an sensible Daten gelangen 9. Sensible Daten: Richtig schützen mit dem Passwort-Manager 10. Komplexe Passwörter leichter merken 11. Safer Internet Day: Bundeskanzlerin Merkel im Video
Liebe Leserinnen, liebe Leser,
der Februar steht ganz im Zeichen des Passworts: Mit dem Ändere-dein-Passwort-Tag am 1. Februar und dem Safer-Internet-Day am 5. Februar dreht sich dieser Tage alles um mehr Passwort-Sicherheit zum Schutz der eigenen digitalen Identität und sensibler Daten. bsi-fuer-buerger.de liefert Ihnen Tipps, wie Sie sich komplexe Passwörter zulegen, sie organisieren und einfach merken können.
Wir wünschen Ihnen eine spannende Lektüre
Ihr Bürger-CERT-Team
—————————————————-
Störenfriede
- Schädliche Apps: 29 vermeintliche Foto-Anwendungen aus Google Play Store entfernt
Google hat 29 schädliche Apps aus seinem Play Store entfernt. Die angeblichen Foto-Apps blenden automatisch Werbebanner ein und installieren unter Umständen einen kostenpflichtigen Video-Player für Pornografie oder leiten zu Phishing-Websites weiter. Bislang wurden die Anwendungen bereits 4,3 Millionen Mal heruntergeladen.
Sicherheitstipps zu Smartphone-Apps auf BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/EinrichtungMobileApps/MobileApps_node.html
Zur Meldung von ZDNet: https://www.zdnet.de/88353087/play-store-google-sperrt-29-schaedliche-apps-mit-mehr-als-43-millionen-downloads/
- Sicherheitsrisiko bei IoT-Geräten
Smarte Glühbirnen von Herstellern wie Lifx, Xiaomi, Tuya und Wiz weisen gravierende Sicherheitslücken auf: Bei allen Glühbirnen waren die Daten inklusive WLAN-Passwort unverschlüsselt gespeichert. Damit sich keine ungebetenen Gäste in Ihr smartes Zuhause einschleichen, hat BSI für Bürger in einer Broschüre die wichtigsten Tipps zum vernetzten Heim zusammengestellt.
Hier geht es zum Download: https://www.bsi-fuer-buerger.de/SharedDocs/Downloads/DE/BSIFB/Broschueren/Brosch_A6_Internet_der_Dinge.html
Zur Meldung von t3n: https://t3n.de/news/smarte-gluehbirnen-verraten-wlan-passwoerter-selbst-wenn-sie-im-muell-sind-1141331/
- Ransomware: Neue Spamwelle im Anrollen
Eine Malware-Welle, die offenbar vor allem Unternehmen ins Visier nimmt, könnte bald auch Deutschland betreffen. Die seit 2014 immer wieder auftauchende Malware „Shade“ wird über Spam-Mails mit einem angehängten ZIP-Archiv verbreitet. Laden die Betroffenen die ZIP-Datei herunter, verschlüsselt „Shade“ Dateien auf dem Laufwerk. Ein Erpressungsschreiben legen die Cyber-Kriminellen als Textdatei auf den noch zugänglichen Laufwerken ab.
Ein erster Schritt zum Schutz vor Spam-Mails: Der 3-Sekunden-E-Mail-Check auf BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Menschenverstand/E-Mail/3_Sekunden_E-Mail_Sicherheitscheck.html
Zur Meldung von ZDnet: https://www.zdnet.de/88352943/eset-warnt-vor-spamwelle-mit-ransomware-shade/
—————————————————-
Schutzmaßnahmen
- Mozilla: Sicherheitslücken in mehreren Produkten
Bei den Open-Source-Browsern Mozilla Firefox und Mozilla Firefox ESR sowie beim E-Mail-Programm Thunderbird treten derzeit mehrere Schwachstellen auf. Betroffen sind die Firefox-Versionen vor Version 60.5 (ESR) sowie vor 65. Nutzerinnen und Nutzer sollten die verschiedenen Hersteller-Updates durchführen, andernfalls können Angreifer unter anderem einen Denial-of-Service-Angriff durchführen. Bei Thunderbird können Kriminelle vor Version 60.5 beispielsweise Code mit Admin-Rechten ausführen. Betroffene sollten daher möglichst schnell die verfügbaren Updates aufspielen.
Zur Bürger-CERT-Meldung von Firefox und Firefox ESR: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/01/warnmeldung_tw-t19-0016.html
Zur Bürger-CERT-Meldung zu Thunderbird: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/01/warnmeldung_tw-t19-0015.html
- Google Chrome: Informationen über Schwachstelle einsehbar
Bei Googles Browser Chrome vor Version 72.0.3626.81 öffnet eine Sicherheitslücke das Tor für Angreifer, um Informationen einzusehen oder einen Denial-of-Service-Angriff (DDoS-Angriffe) durchzuführen. Ein umgehendes Update bietet mehr Schutz für Nutzerinnen und Nutzer.
Weitere Informationen lesen Sie hier: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/01/warnmeldung_tw-t19-0014.html
Mehr zu DDoS-Angriffen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/DoS/DDoS/ddos_node.html
- Apple FaceTime: Deaktivierung empfohlen
Die Video-Telefonie-Anwendung FaceTime für Apples mobiles Betriebssystem iOS weist zurzeit eine Schwachstelle auf. So können Angreifer die Gruppenchat-Funktion von FaceTime ausnutzen, um den Angerufenen abzuhören. Serverseitig hat Apple diese Funktion bereits stillgelegt. Da kein Update bereitsteht, empfiehlt der Hersteller, FaceTime bis auf Weiteres zu deaktivieren. Betroffen sind Geräte mit iOS Version 12.1 und danach.
Weitere Informationen finden Sie auf dieser Seite: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/01/warnmeldung_tw-t19-0013.html
Zur Meldung von heise.de: https://www.heise.de/mac-and-i/meldung/FaceTime-als-Wanze-Apple-schaltet-Gruppenfunktion-des-VoIP-Dienstes-ab-4290587.html
- phpMyAdmin: Update verfügbar
PhpMyAdmin, eine in PHP geschriebene Web-Oberfläche zur Administration von MySQL-Datenbanken, ist aktuell nicht sicher. Sicherheitslücken lassen zu, dass Kriminelle Daten offenlegen oder eine SQL-Injection durchführen. Betroffen sind Versionen vor 4.8.5. Sicherheitsupdates stehen bereit.
Alle Details zur Sicherheitslücke meldet Bürger-CERT hier: https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/01/warnmeldung_tw-t19-0012.html
—————————————————-
Prisma
- Podcast: Wie Cyber-Kriminelle an sensible Daten gelangen
Ob Online-Banking, Streaming-Dienst oder Fitness-App: Wir nutzen im Alltag viele verschiedene Webdienste. Simple Kombinationen von Zugangsdaten sind dabei ebenso Einfallstore für Kriminelle wie unaufmerksames Verhalten beim Surfen oder im E-Mail-Verkehr.
BSI für Bürger zeigt u.a. in einer neuen Folge des Podcasts „Ins Internet mit Sicherheit“ das Vorgehen von Cyber-Kriminellen und entsprechende Schutzmaßnahmen auf: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/wie_cyberkriminelle_an_sensible_daten_kommen.html
- Sensible Daten: Richtig schützen mit dem Passwort-Manager
Anwenderinnen und Anwender müssen heutzutage eine Vielzahl unterschiedlicher Passwörter verwalten und kennen. Umso schwieriger, weil sichere Passwörter so kompliziert sein können, dass sie nicht einfach merkbar sind. Der Download eines geeigneten Passwortmanagers kann da Abhilfe schaffen.
Was diese Programme leisten, können Sie auf den Seiten des BSI für Bürger lesen: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/passwort_manager.html
- Komplexe Passwörter leichter merken
Was hat ein Passwort mit Pizza zu tun? Für alle, für die der Gebrauch eines Passwort-Managers zu viel technischer Aufwand bedeutet, hat BSI für Bürger aufgeführt, wie jeder ein starkes und leicht zu merkendes Passwort erstellen kann: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html
- Safer Internet Day: Bundeskanzlerin Merkel im Video
Bundeskanzlerin Angela Merkel hat sich anlässlich des Safer Internet Day am 5. Februar zum Thema IT-Sicherheit geäußert. Sie betonte, dass die Sicherheit im Internet einserseits vom Staat gewährleistet werden muss, aber auch jeder Einzelne aufgefordert ist, verantwortungsbewusst mit seinen Daten umzugehen.
Hier geht es zum Video: https://www.bsi.bund.de/DE/Presse/Kurzmeldungen/Meldungen/Bundeskanzlerin_Safer-Internet-Day-040219.html
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
https://www.twitter.com/BSI_Presse
Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn