In den Schlagzeilen

1. Ubisoft im Fokus: Untersuchung eines möglichen Cyberangriffs auf die Sicherheitssystem

Das Videospielunternehmen Ubisoft prüfte einen potenziellen Cyberangriff auf seine Sicherheitssysteme. Das Sicherheitsforschungskollektiv vx-underground veröffentlichte Screenshots von scheinbar internen Diensten des Unternehmens. In einem Tweet berichtete vx-underground, dass ein unbekannter Bedrohungsakteur sich am 20. Dezember Zugriff auf das interne Firmennetz von Ubisoft verschafft habe.

BleepingComputer über den möglichen Cyberangriff auf Ubisoft [ENGL]

PCGH über den vermeintlichen Vorfall

2. BSI und ANSSI veröffentlichen Publikation zu Remote Identity Proofing

Das BSI und die französische Behörde für IT-Sicherheit, Agence Nationale de la Sécurité des Systèmes d‘Information (ANSSI), haben gemeinsam eine Publikation zum Thema "Remote Identity Proofing" veröffentlicht. Die Publikation beleuchtet die Gefahren und möglichen Angriffsvektoren, die bei videobasierten Identifikationsprozessen auftreten können. In einer zunehmend digitalisierten Welt, in der Dienste vermehrt online genutzt werden, wird die Identifizierung durch videobasierte Verfahren komplexer und birgt Risiken, wie Identitätsdiebstahl. BSI und ANSSI plädieren für länderübergreifende Harmonisierung, Standards und Zertifizierung, um die Sicherheit solcher Verfahren zu erhöhen.

Hier finden Sie die Publikation

3. Zwei Milliarden US-Dollar in Kryptowährungen gestohlen

Sicherheitsanalysen von De.Fi und TRM Labs zeigen, dass im Jahr 2023 rund 2 Milliarden US-Dollar durch Kryptowährungs-Hackerangriffe entwendet wurden. Dies verdeutliche die anhaltenden Schwachstellen und Herausforderungen im dezentralen Finanzökosystem. Obwohl die Schadenssumme hoch ist, hat sie sich im Vergleich zu den Vorjahren fast halbiert. Die zehn größten Hacks machten fast 70 Prozent der gestohlenen Gelder aus.

Golem berichtet über die Verluste durch Hacks

4. Professionalisierung der Cyberkriminalität in 2024: Drei Prognosen

Basierend auf mehr als einer Milliarde ausgewerteter Datenpunkte prognostizieren die Elastic Security Labs drei Trends für die Cyberkriminalität im Jahr 2024:
1. Angreifende nutzen verstärkt Open Source.
2. Neben Open Source verwenden Angreifende Malware-as-a-Service (MaaS), um eigene Wissens- und Produktionslücken zu schließen.
3. Hackerinnen und Hacker manipulieren oder deaktivieren immer häufiger Sicherheitssensoren.

Hier finden Sie den Report von Elastic Global Threat

It-daily.net berichtet über den Report

5. Neue Schwachstelle im SMTP-Protokoll entdeckt: SMTP Smuggling hebt Fälschung von Absenderadressen auf neues Niveau

Die Sicherheitsforscherinnen und -forscher von SEC Consult haben eine Schwachstelle im Simple Mail Transfer Protocol (SMTP) identifiziert und sie als "SMTP Smuggling" bezeichnet. Durch geringfügig manipulierte Eingabedaten gelang es den Forscherinnen und Forschern, Mail-Absender zu fälschen und somit beispielsweise als Administrator oder Administratorin aufzutreten. Diese Eigenschaft umgeht herkömmliche Sicherheitsverfahren zur Erkennung von gefälschten Absendern, die unter Umständen versagen können und somit Phishing-Mails mit einem vertrauenswürdig erscheinenden Absender ermöglicht. Die Schwachstelle wurde bereits Ende Juli entdeckt und im Rahmen einer vertrauensvollen Offenlegung (responsible disclosure) mit Microsoft, Cisco und GMX geteilt. Einige Anbieter haben bereits reagiert. Wer jedoch das Cisco Secure E-Mail Gateway einsetzt, bleibt ohne manuelle Konfigurationsänderungen anfällig für SMTP Smuggling.

Heise Online über die Lücke im E-Mail-Protokoll

6. Verbraucherzentrale warnt vor Phishing-Mails an Bankkunden

Die Verbraucherzentrale warnt Kundinnen und Kunden der ING Bank, Deutsche Bank, Sparkasse und Comdirect vor betrügerischen Phishing-Mails, die aktuell im Umlauf sind. Inhaltlich geht es darin etwa um eine Zustimmung zu angeblich notwendigen vertraglichen Anpassungen, fehlende Datenbestätigungen sowie die Reaktivierung des photoTAN-Verfahrens. Die gefälschten E-Mails wirken auf den ersten Blick seriös, enthalten jedoch klare Anzeichen für Betrugsversuche. Empfängerinnen und Empfänger sollten auf fehlende persönliche Anrede, dubiose Absenderadressen und Einschüchterungstaktiken sowie vermeintlichen Zeitdruck achten. Die Verbraucherzentrale und das BSI raten dazu, keine persönlichen Informationen preiszugeben, Links nicht zu öffnen und im Zweifelsfall die eigene Bank direkt zu kontaktieren.

Die Warnung der Verbraucherzentrale

BSI über Schutz gegen Phishing

7. 123456789 das beliebteste unsichere Passwort des Jahres 2023

Aktuell kommt noch kaum ein Onlinedienst ohne Passwörter aus und mit jedem neuen Account steigt die Zahl der Passwörter, die man sich merken muss. Bei der Wahl eines Passwortes sind der eigenen Kreativität kaum Grenzen gesetzt. Dennoch vergeben viele Nutzerinnen und Nutzer einfache Passwörter, die sich leicht merken lassen, aber ebenso leicht zu knacken sind. Auch für das vergangene Jahr hat das Hasso Plattner Institut (HPI) wieder die zehn häufigsten geleakten Passwörter ausgewertet. Damit man sich nicht unzählige Passwörter merken muss oder in Verlegenheit gerät, einfache Passwörter zu vergeben, kann ein Passwort-Manager bei der Verwaltung helfen.

Zur Auswertung des HPI

Das BSI über sichere Passwörter

8. Kurz notiert

• Weihnachtliche IT-Ausfälle in drei deutschen Kliniken durch Ransomware
• Cyberangriff auf Easypark: Angreifende hatten Zugriff auf Kundendaten
• EZB testet IT-Sicherheit von Banken: Cyber-Stresstest der EZB soll Schwachstellen aufdecken

Up-to-date

9. Huawei: Software-Update für drei ältere Smartphones

Huawei hat unerwartet Software-Updates für drei ältere Modelle veröffentlicht: Mate 20, Mate 20 Pro und P30 Pro. Obwohl das P30 Pro bereits vier Jahre alt ist, erhält es ein etwa 200 MB großes Update, das die Kommunikation in einigen Situationen verbessern soll. Nutzerinnen und Nutzer älterer Huawei-Smartphones sollten beachten, dass diese nicht mehr auf dem neuesten Stand bezüglich Sicherheitsupdates sind. Ein Wechsel zu einem neueren Smartphone-Modell, das weiterhin mit Sicherheitsupdates versorgt wird, kann eine Lösung sein.

GIGA berichtet über das Huawei-Update

10. Aktuelle Warnmeldungen des BSI

Das BSI informiert auf seiner Webseite regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Informationen sowie Tipps zum Umgang damit.

Zum BSI-Portal

Gut zu wissen

11. Zahl der Woche: 68

Laut BSI-Cybersicherheitsmonitor 2023 halten 68 Prozent der Befragten Cybersicherheit beim Onlineshopping für besonders wichtig. Beim Onlinebanking sind es 87 Prozent. Wer im Internet einkauft, gibt viele sensible Daten, wie die Postadresse und Kreditkarteninformationen an den Onlineshop weiter. Wir haben deshalb zusammengefasst, woran Sie sichere Onlineshops erkennen.

So erkennen Sie sichere Online-Shops

12. Podcast "Update Verfügbar": IT-Sicherheitskennzeichen - mehr Vertrauen in IT-Produkte

Das IT-Sicherheitskennzeichen des BSI schafft Transparenz über die IT-Sicherheit vernetzter Geräte. Das Moderationsduo Ute Lange und Michael Münz spricht mit BSI-Experte Paul Trinks über Produkte, die das IT-Sicherheitskennzeichen bereits erhalten haben, die Sicherheitsversprechen dahinter und die Resonanz der Hersteller.

Hier kommen Sie zur Podcastfolge über das IT-Sicherheitskennzeichen in der BSI-Mediathek

"Update verfügbar" auf:

Spotify

Deezer

iTunes

YouTube

Im Feed

13. CYBERSNACS # Folge 24: let's talk KI: GameChanger ChatGPT

Von Kochrezepten über Hausarbeiten bis hin zu Schadcode – ChatBots wie ChatGPT haben auf so ziemlich jede Frage eine entsprechende Antwort. Möglich machen es große Sprachmodelle (Large Language Models), welche sich fortschrittlichen Algorithmen und natürlicher Sprachverarbeitung bedienen. In der aktuellen Folge von CYBERSNACS, dem Podcast der Allianz für Cyber-Sicherheit, sprechen die Hosts Simona Autolitano und Agnieszka Pawlowska mit den BSI-Expertinnen Andrea Ibisch und Anna Wilhelm über Chancen und Risiken im Umgang mit ChatGPT und Co. Neugierig?

Let's talk KI! – jetzt hier Reinhören

Praktisch sicher

14. Kann ich öffentlichen Hotspots vertrauen?

Die Datenübertragung zwischen Ihrem Gerät und einem öffentlichen Hotspot ist häufig unverschlüsselt. Dabei können Daten abgefangen und Schadstoffsoftware in Ihre Geräte eingeschleust werden. Wir haben für Sie die wichtigsten Tipps zum Umgang mit öffentlichen Hotspots zusammengestellt:

• Informieren Sie sich vor der Nutzung über das Sicherheitsniveau der Hotspots. Fragen Sie zum Beispiel beim Anbieter nach oder lesen Sie die Beschreibung des Hotspot-Angebots.
• Verzichten Sie auf die Übertragung sensibler Daten. Sie können diese lokal auf Ihrem Gerät verschlüsseln oder über ein virtuelles privates Netzwerk (VPN) übertragen.
• Schalten Sie die WLAN-Funktion Ihres Smartphones nur ein, wenn Sie sie benötigen. Bei einigen Geräten können Sie erweiterte Sicherheitseinstellungen für die Einwahl in ein öffentliches WLAN einrichten.
• Nachdem Sie die Verbindung zum öffentlichen Hotspot getrennt haben, löschen Sie den Hotspot aus der Liste der bevorzugten WLANs. So wählen Sie sich nicht unfreiwillig wieder ein, sobald Sie in der Nähe des Hotspots sind.

Sicherheitstipps des BSI für privates und öffentliches WLAN

Der BSI-Instagram-Post zu öffentlichen Hotspots

Was wichtig wird

15. Noch mehr Informationen und Anleitungen

Pünktlich zum Start ins neues Jahr werden wir in den nächsten Wochen auf allen unseren Kanälen noch mehr praktische Tipps und Empfehlungen zum Basisschutz im digitalen Alltag veröffentlichen. In den sozialen Netzwerken, auf der Website und natürlich im Newsletter halten wir Sie stets auf dem Laufenden.Bleiben Sie aufmerksam und sicher informiert!

Weitere Informationen & Feedback

Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag.

10 Basistipps für mehr Sicherheit in Ihren digitalen Alltag

Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn gerne an Freunde und Familie weiter