Newsletter SICHER • INFORMIERT vom 01.08.2024

Ausgabe 16/2024

Lehren aus der CrowdStrike-Panne, X sammelt ungefragt Daten, Sicherheitslücke bei WhatsApp & der Urlaub ist zu kurz für Datenpannen

In den Schlagzeilen

1. Lehren aus der CrowdStrike-Panne

Knapp zwei Wochen ist es her, dass ein fehlerhaftes Update des Cybersicherheitsunternehmens CrowdStrike weltweit rund 8,5 Millionen Windows-Rechner lahmlegte, mit direkten Auswirkungen u.a. auf Flughäfen, Krankenhäuser, Supermärkte, Banken und Fernsehsender. Mittlerweile ist ein Großteil der betroffenen Rechner wieder in Betrieb – und die Aufarbeitung des Vorfalls läuft auf Hochtouren. Während Microsoft Veränderungen und Innovationen im Bereich der End-to-End-Resilienz angekündigt hat, plant CrowdStrike, Tests künftig auf verschiedenen Ebenen stattfinden zu lassen. Neben lokalen Entwickler- und Stresstests betrifft dies Stabilitätstests, Schnittstellenprüfungen sowie zusätzliche Tests für Content-Updates und Rollbacks.

Es berichteten (u. a.) Stern

Auch das BSI setzt sich für mehr Resilienz ein und will angesichts des aktuellen Vorfalls in Gesprächen mit Microsoft, CrowdStrike und Herstellern vergleichbarer Softwarelösungen verstärkt darauf hinwirken, dass das jeweilige Betriebssystem bei schwerwiegenden Fehlern immer mindestens in einem abgesicherten Modus gestartet werden kann. Zur Pressemitteilung des BSI

2. OpenAI testet SearchGPT

Internetsuchmaschinen wie Google, Bing und Yahoo bekommen Konkurrenz. Das Softwareunternehmen OpenAI erweitert seinen auf Künstlicher Intelligenz (KI) basierenden Chatbot ChatGPT derzeit um eine zusätzliche Funktion. SearchGPT soll Nutzerinnen und Nutzern die Suche im Internet erleichtern und schnelle Antworten mit klaren Quellen, Links und Angaben zum Ursprung der Informationen ausliefern. Derzeit läuft die Testphase von SearchGPT.

Es berichtete (u. a.) Der Spiegel

Auch beim Facebook-Konzern Meta tut sich etwas in Sachen KI. In der vergangenen Woche stellte das Unternehmen die neue Version seines Sprachmodells Llama vor. Mit mehr als 400 Milliarden Parametern soll Llama 3.1 zu den leistungsfähigsten, frei verfügbaren KI-Tools der Welt gehören. Es berichtete (u. a.) Die Zeit

3. Bundeskabinett bringt Umsetzung der NIS-2-Richtlinie auf den Weg

Um die Resilienz der Cybernation Deutschland zu stärken, kommt es auf das verantwortungsvolle Handeln vieler verschiedener Akteure an. Mit dem in der vergangenen Woche vom Bundeskabinett verabschiedeten Gesetz zur Stärkung der Cybersicherheit werden auch bestimmte Unternehmen stärker in die Pflicht genommen. Dazu gehören etwa die Betreiber kritischer Infrastrukturen sowie IT-Zulieferer, Maschinenbauunternehmen oder Gesundheitseinrichtungen. Rund 30.000 Betriebe in Deutschland werden künftig etwa zur Schulung ihrer Mitarbeitenden sowie zur Meldung von Cyberangriffen verpflichtet sein.

Es berichtete (u. a.) Tagesschau.de

#nis2know: Wie das BSI Unternehmen bei der Umsetzung des neuen Gesetzes unterstützt.

4. Kurz notiert

Spricht da der CEO? Ein Betrugsversuch bei Ferrari zeigt, was KI-basierte Deepfakes zu leisten imstande sind. Ein Manager des Automobilherstellers wurde mittels KI-generierter Inhalte zunächst in einen Chat und anschließend in ein Telefonat mit dem vermeintlich Ferrari-Chef Benedetto Vigna verwickelt. Lediglich feine Unstimmigkeiten in der Sprechweise des Anrufers weckten den Verdacht des Deepfake-Opfers. Geistesgegenwärtig erkundigte sich der betroffene Manager daraufhin nach einer Buchempfehlung, die der echte Vigna kürzlich ihm gegenüber ausgesprochen hatte. Daraufhin wurde der Anruf beendet. Es berichtete (u. a.) Golem
Grund zum Lächeln? Mitarbeitende im Verkauf, in der Gastronomie, in Callcentern oder im Gesundheitswesen stehen zunehmend unter der Kontrolle von KI-Management-Tools. Dies geht aus einer für die Friedrich-Ebert-Stiftung erstellten Studie hervor.
Wie weit die KI-Kontrolle gehen kann, zeigt das Beispiel einer japanischen Supermarktkette, die Mimik und Gestik ihrer Mitarbeitenden mittels KI überwacht. Es berichtete (u. a.) T3N
Lohnt sich das? Knapp 10 Millionen Nutzende haben für ihre Suche nach Gratis-Lesestoff mit persönlichen Daten bezahlt. Bei ihrer Anmeldung auf einer Plattform, die die Piraterie-Website Z-Libary nachahmt, haben Cyberkriminelle private Informationen sowie Bitcoin- und Monero-Wallet-Adressen der Userinnen und User abgegriffen. Es berichtete (u.a.) Heise
Selbst wenn gute Inhalte in der Regel Geld kosten – setzen Sie im Netz zu Ihrer eigenen Sicherheit lieber auf seriöse Websites und Anbieter.

Up-to-date

5. X sammelt ungefragt Daten

Welche Daten dürfen für das Training von KI verwendet werden? Darüber wird zwischen Entwicklern, Diensteanbietern und Datenschutzinstitutionen derzeit intensiv diskutiert. Neuester Aufhänger: X verwendet die Daten von Nutzenden ungefragt zum Training des hauseigenen Chatbots Grok. Wer das ändern möchte, muss in die Tiefen der Profil-Einstellungen vordringen und über das Dropdown-Menü unter "Mehr" zu "Einstellungen und Datenschutz" > "Datenschutz und Sicherheit" > "Grok" navigieren. Bisher kann die Datensammel-Option nur in den Browser- Versionen, einschließlich der Mobilansichten, deaktiviert werden. In den Android- und iOS-Apps fehlt die Option bislang.

Es berichtete (u. a.) Golem

6. Sicherheitslücke bei WhatsApp

Python- und PHP-Anhänge könnten von Cyberkriminellen dazu missbraucht werden, Sicherheitswarnungen zu umgehen und so über die WhatsApp-Desktopversion für Windows Schadcode zu verbreiten. Besonders gefährdet sind öffentliche und private Chatgruppen, die gleich mehrere Nutzende mit anfälligen Systemvoraussetzungen erreichen. Nutzende sollten aktuelle Updates im Blick behalten.

Zur Meldung

7. Aktuelle Warnmeldungen des BSI

Das BSI informiert auf seiner Webseite regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Tipps zum Umgang damit.

Zum BSI-Portal

Gut zu wissen

8. Zahl der Woche: 23

Zwar kennen laut Cybersicherheitsmonitor 23 Prozent der Nutzenden in Deutschland die Möglichkeit, sich passwortlos anzumelden – nur knapp 11 Prozent der Befragten nutzen sie aber. Dabei sind Passkeys eine sichere und gleichzeitig einfache Alternative zum Passwort.

Zum Cybersicherheitsmonitor des BSI

Beim BSI erfahren Sie, wie die Anmeldung ohne Passwort genau funktioniert.

9. Der Urlaub ist zu kurz für Datenpannen - Update verfügbar #45

Aus diesem Grund versorgt unser Podcast "Update verfügbar" interessierte Hörerinnen und Hörer in der neuesten Folge mit wichtigen Infos rund um Fake-Hotspots, Phishing-E-Mails und weiteren IT-Sicherheitsrisiken, die den Ferienspaß trüben können. Karin Wilhelm, Expertin für Verbrauchersensibilisierung und Informationsvermittlung, spricht mit dem Moderations-Duo Ute Lange und Michael Münz und liefert auch für alle Daheimgebliebenen wertvollen Input in Sachen Datensicherheit.

Zum Podcast "Update verfügbar": #45: Sommer, Sonne, Datensicherheit:

Mediathek
YouTube
Spotify
Deezer
iTunes

10. So läuft’s beim Digitalen Verbraucherschutz

Phishing ist weiterhin eine der größten Bedrohungen für Verbraucherinnen und Verbraucher. Im Durchschnitt besitzt jede Nutzerin bzw. jeder Nutzer 78 (!) Onlinekonten. Passwort-Manager sind ein attraktives Angriffsziel für Cyberkriminelle.

Mehr interessante Fakten sowie Tipps rund um die IT-Sicherheit im vernetzten Alltag finden Sie im BSI-Jahresrückblick.

Praktisch sicher

11. Nach dem Urlaub: Ruhe bewahren

Gerade aus dem Urlaub zurück, schon bricht wieder Hektik aus: Sämtliche E-Mail-Postfächer quellen über. Der wichtigste Tipp: Ruhe bewahren. Nehmen Sie sich Zeit und gehen Sie die E-Mails aufmerksam durch. Löschen Sie alles, was Ihnen verdächtig vorkommt und lassen Sie sich nicht von Phishing-Mails, die Handlungsdruck aufbauen, in die Irre führen.

Mehr Tipps für Ihre E-Mail-Sicherheit gibt es beim BSI.

12. Back-ups – Retter in der Not

Eigentlich sollen Updates ein System leistungsfähiger machen und Sicherheitslücken schließen. Doch das jüngste Windows-Update sorgt bei Nutzerinnen und Nutzern für Unruhe. Nach der Installation kann es passieren, dass der Rechner in den Wiederherstellungsmodus wechselt und nach einem Bitlocker-Schlüssel fragt. Nutzende, die ihre Bitlocker-Keys auf nicht betroffenen Systemen gesichert, ausgedruckt oder auf einem USB-Stick gespeichert haben, sind gut dran. Alle anderen haben im besten Fall ein Back-up ihres Systems erstellt – oder sind aufgeschmissen.

Es berichtete (u. a.) ComputerBild
Beim BSI erfahren Sie, wie Sie bei der Datensicherung am besten vorgehen und warum sich der Aufwand in jedem Fall lohnt.

Was wichtig wird

13. Intelligentes Verkehrsmanagement

Seit April 2024 wird auf einer Kreuzung im niederbayerischen Essenbach der Einsatz von Künstlicher Intelligenz getestet. Bayerns erste KI-Ampel hat dabei vor allem das Wohlergehen von Fußgängerinnen und Fußgängern im Blick; Abbiegeassistenten und spezielle Anzeigen berücksichtigen zudem die Bedürfnisse von Radfahrerinnen und Radfahrern. Doch das intelligente Verkehrsmanagement kommt insbesondere bei motorisierten Verkehrsteilnehmenden nicht gut an, denn für die neue KI-Ampel geht Sicherheit vor Verkehrsfluss. Nach einem Jahr soll das Pilotprojekt ausgewertet werden.

Es berichtete (u. a.) der Bayerische Rundfunk
Sie möchten mehr über die Chancen und Risiken vernetzter Städte erfahren? Das BSI entwickelt Konzepte für effiziente und IT-sichere Smart Citys.

Übrigens

14. BSI zertifiziert Indigo

Um die Digitalisierung der Verwaltung voranzutreiben, stattet das Bundesministerium des Innern und für Heimat (BMI) Behörden in den kommenden Jahren mit 300.000 iPhones und iPads aus.
Es berichtete (u. a.) Golem
Als Betriebssystem kommt die iOS-Variante Indigo (iOS Native Devices in Government Operation) zum Einsatz. Indigo wurde vom BSI geprüft und nun für den sicheren Austausch vertraulicher Inhalte freigegeben, die als Verschlusssache bzw. "Nur für den Dienstgebrauch" eingestuft sind.
Zur BSI-Meldung