In den Schlagzeilen

1. Phishing-E-Mails von verschiedenen Banken im Umlauf

Seit Beginn des neuen Jahres sind wieder verstärkt gefälschte E-Mails von Banken im Umlauf, die oftmals zur Identitätsbestätigung oder Aktualisierung der Kontoinformationen aufrufen. U.a. werden diese E-Mails im Namen der Volksbank, der Sparkasse, der ING, der DKB und der Postbank verschickt. Falls Sie solch eine E-Mail erhalten, klicken Sie nicht auf die enthaltenen Links und antworten Sie nicht auf diese E-Mails. Geben Sie keine persönlichen Daten preis, sondern setzen Sie sich im Zweifel telefonisch mit Ihrer Bank in Verbindung und halten Rücksprache.

Aktuelle Phishing-Kampagnen mit Beispielen für gefälschte E-Mails können Sie auch beim Phishing-Radar der Verbraucherzentrale einsehen.

2. Versicherungen schlagen Alarm: Cyber-Attacken bald nicht mehr versicherbar?

Wie wichtig es ist, sich mit dem Schutz vor Cyber-Attacken auseinanderzusetzen, unterstreicht ein Bericht von Heise Online. Dem Magazin zufolge soll der Schaden, den Naturkatastrophen im vergangenen Jahr verursacht haben, erneut die Grenze von 100 Milliarden Dollar überschritten haben. Größere Sorgen bereiten der Versicherungsbranche aber offenbar eher Cyber-Angriffe. "Was nicht mehr versicherbar sein2 werde, zitiert Heise Mario Greco von Versicherungsgesellschaft Zurich aus einem Gespräch mit der Financial Times, sei "der Cyberspace2. Der Privatsektor könne demnach "die Verluste aus Cyberangriffen nur bis zu einer bestimmten Grenze abfangen". Greco spricht sich daher für "privat-öffentliche Systeme" aus und "gesetzliche Vorgaben zur Verhinderung von Lösegeldzahlungen bei Ransomware-Erpressungen".

Bericht von Heise Online zur Situation der Versicherungen

3. Unsichtbare Herausforderung

Sie kennen die Bedeutung sicherer Passwörter. Im Falle des Passwortmanagers LastPass war die Gestaltung der Passwörter selbst aber nicht das Problem – zumindest nicht auf den ersten Blick. Der Online-Dienst hat Heise Online zufolge eingeräumt, dass Unbefugte nach Einbruch in das Cloudsystem eines Drittanbieters Zugriff auf Kundendaten hatten. In "aus einem Backup kopierten Passworttresoren von Kunden" sollen sich verschlüsselte Daten wie "Nutzernamen und Passwörter" befunden haben. Wie Heise unter Berufung auf die Verantwortlichen schreibt, bräuchte es zum Lesen der verschlüsselten Daten allerdings einen Schlüssel, der aus dem Masterpasswort der Nutzenden abgeleitet ist. Das Masterpasswort werde aber nur lokal gespeichert. Als mögliches Problem hat LastPass allerdings kurze und leicht zu erratende Masterpasswörter ausgemacht. Über Kritik an der Darstellung von LastPass und den Sicherheitsrichtlinien des Online-Dienstes berichtet indes Golem.

BSI-Hilfestellungen zur Erstellung sicherer Passwörter

Bericht von Heise zu dem Vorfall

Golem zur Kritik an dem Passwortmanager

4. Neue Banking-Schadsoftware zeichnet Eingabe in Banking- und Krypto-Apps auf

In einem Bericht von t3n warnen Sicherheitsexpertinnen und -experten vor einer neuen Schadsoftware. Godfather soll Nutzende von Banking- und Krypto-Apps in 16 Ländern ins Visier nehmen. Die Malware hat es demnach auf rund 400 Banking- und Krypto-Apps abgesehen, darunter auch solche von Betreibern aus Deutschland. Wie genau die Schadsoftware auf die infizierten Geräte kommt, ist unklar. "Die Malware verwendet gefälschte Websites, die über die regulären Banking- und Krypto-Apps angezeigt werden", schreibt t3n. Wer sich darüber einlogge, übermittle seine Login-Daten direkt an die Cyber-Kriminellen. Godfather soll zudem Push-Benachrichtigungen versenden, um so die Codes der Zwei-Faktor-Authentifizierung abzufangen. Mit der Kombination der Daten soll es den Betrügenden möglich sein, auf die jeweiligen Konten und Wallets zuzugreifen.

BSI-Video mit Hilfestellungen für Ihre App-Sicherheit

Bericht von t3n zu der Banking-Malware Godfather

5. Cyber-Angriffe? Auf die richtige Protokollierung kommt es an

Damit sich Maßnahmen gegen Cyber-Angriffe erfolgreich umsetzen lassen, braucht es ein einheitliches Verständnis davon, wie effektiv mit einmal entdeckten Cyber-Angriffen zu verfahren ist. Genau dafür entwickelt das BSI derzeit einen neuen Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen auf die Bundesverwaltung. Eine Übersicht der geplanten Änderungen gegenüber einer vorherigen Version sowie einen aktuellen Entwurf der Version 1.0a.4 steht als Community-Draft zum Download bereit. Das BSI lädt zudem ein interessiertes Fachpublikum zur Mitgestaltung des neuen Mindeststandards ein.

Das BSI zum Mindeststandard und den Mitgestaltungsmöglichkeiten

Kurz notiert

• Cyber-Kriminelle stehlen 230 Millionen Datensätze von Streaming-Anbieter
• Zahl der Fälle von Cyber-Squatting erreicht 2022 ein neues Rekordhoch
• Hacker bietet Elon Musk exklusiven Deal über 400 Millionen gestohlene Twitter-Datensätze
• FOM Hochschule Neuss bietet neue Studiengänge mit Schwerpunkt Cyber-Sicherheit an

Up-to-date

6. Unbedingt patchen: Tausende Citrix-Server sind weiterhin verwundbar

Obwohl Sicherheitspatches schon seit November 2022 verfügbar wären, konnten Sicherheitsforschende weltweit zahlreiche Citrix-Server identifizieren, die verwundbar sind. Das berichtet Heise Online. Demnach sollen Angreifende "kritische Sicherheitslücken" auch bereits ausnutzen, um sich weitreichenden Zugriff zu verschaffen. Konkret geht es um kritische Lücken in Citrix ADC und Gateway. Auch in Deutschland haben Forschende entsprechende Server ausgemacht, bei denen die entsprechenden Sicherheitspatches bislang noch nicht installiert worden sind.

Bericht von Heise Online zu den Sicherheitslücken

7. Netgear schließt hochriskante Lücke in mehreren Routern

Ein dringendes Sicherheitsupdate empfiehlt Netgear für mehrere seiner Router-Modelle. Wie Heise Online erneut berichtet, sollen von der Lücke, die mit dem Update geschlossen wird, unter anderem auch Modelle der Nighthawk-Reihe betroffen sein. Ein erfolgreicher Angriff könne laut Bericht Abstürze verursachen. Auch die Ausführung von beliebigen Codes unter Umgehung der Sicherheitsfunktionen sei demnach möglich. Netgear rät dazu, die Geräte so schnell wie möglich zu patchen.

Bericht von Heise Online zu Netgear

8. Samsung schließt Sicherheitslücken mit Dezember-Update

Das Dezember-Update von Samsung schließt kritische Sicherheitslücken auf zahlreichen seiner Smartphones und Tablets. Das berichtet Giga. Dem Bericht zufolge werden insgesamt 93 Sicherheitslücken durch das Update geschlossen, 63 davon sollen als gefährlich deklariert sein. Die meisten der Sicherheitslücken sind in Android 10, 11, 12 und 13 enthalten. Sie betreffen dem Bericht zufolge verschiedene Hard- und Software-Bereiche. Das Roll-out der Updates erfolgt in Wellen, so dass sie nach und nach für immer mehr Geräte bereitsteht.

Bericht von Giga über das Samsung-Update

9. Aktuelle Warnmeldungen des Bürger-CERT

Über weitere Schwachstellen in Hard- und Software informiert regelmäßig auch das "Computer Emergency Response Team" des BSI. Informationen und Tipps zum Umgang mit diesen Schwachstellen sowie aktuelle Warnmeldungen des Bürger-CERT

Gut zu wissen

10. Sichere Kommunikation für 2023 – so kommunizieren Sie sicher im neuen Jahr

Haben auch Sie die meisten Weihnachts- und Neujahrsgrüße online verschickt? Das aktuelle Digitalbarometer des BSI und der Polizeilichen Kriminalprävention zeigt: Die am häufigsten genutzten Schutzmaßnahmen von Verbraucherinnen und Verbrauchern sind weiterhin Virenschutzprogramme (53 %), sichere Passwörter (52 %) und eine aktuelle Firewall (44 %). Das sind wichtige Sicherheitsmaßnahmen, allerdings gibt es viele Sicherheitseinstellungen, die Sie für Ihre digitale Kommunikation manuell einstellen können, um sich noch besser zu schützen.

Um den Neujahrsvorsatz für noch mehr Sicherheit auch bei der Online-Kommunikation einfach einzuhalten, gibt es einen neuen Beitrag in der Video-Serie Cyber-Sicherheit², die sich dieses Mal der Sicherheit von Apps und Messenger-Anwendungen widmet. Über die Tricks von Spear-Phishing-Betrügerinnen und -Betrügern, die gezielt gefälschte E-Mails an Organisationen und Einzelpersonen verschicken, klärt CSO Online in einem Beitrag auf.

YouTube-Beitrag des BSI zur Sicherheit von Apps und Messenger-Anwendungen

CSO Online zu den Psychotricks der Spear-Phishing-Betrügerinnen und -Betrüger

Was das Digitalbarometer jedoch auch ergeben hat: Fast ein Viertel der Befragten (23 %) informiert sich nicht über Cyber-Sicherheit. Das ist bei Ihnen, liebe Leserinnen und Leser, als Abonnierende dieses Newsletters anders. Wir freuen uns, in diesem Falle nicht nur über Ihre Vorsätze, sondern auch über Ihre bereits vorhandene Aufmerksamkeit für das Thema Cyber-Sicherheit.

Das Digitalbarometer des BSI und der Polizeilichen Kriminalprävention steht hier zum Herunterladen bereit

11. Das sind die Cyber-Security-Trends 2023

Welche Trends bestimmen das Thema Cyber-Sicherheit in diesem Jahr? Das hat sich auch der Tüv Süd gefragt. In einem Bericht von IT-Daily nennt er nun die wichtigsten Trends. Dazu gehören unter anderem die Nachfrage nach kosteneffizienten Sicherheitslösungen, der Faktor Mensch als neuralgischer Punkt sowie der Fokus von Cyber-Kriminellen auf die Kritische Infrastruktur.

IT-Daily zu den Cyber-Security-Trends für 2023

Praktisch sicher

12. So gelingt das Erstellen von sicheren Passwörtern

Ein basaler, aber wirklich wichtiger Neujahrsvorsatz für Ihre Cyber-Sicherheit: Verwenden Sie nur noch sichere Passwörter, sie sind das A und O für den Schutz Ihrer Accounts. Wir unterstützen Sie zum Jahresanfang dabei und geben Ihnen gern alle wichtigen Informationen und Tipps zum Erstellen sicherer Passwörter.

Dazu gehört:

• Sie können in der Regel alle verfügbaren Zeichen, inklusive Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (Leerzeichen, ?!%+…) nutzen.
• Eine Mehr-Faktor-Authentisierung (beispielsweise durch eine Gesichtserkennung, eine Bestätigung per App oder E-Mail oder einer PIN) ist empfehlenswert.
• Vermeiden Sie Namen von Familienmitgliedern, Haustieren, Geburtsdaten etc. oder Wiederholungs- oder Tastaturmuster wie "asdfgh" oder "1234abcd". Das vollständige Passwort sollte möglichst nicht in Wörterbüchern vorkommen.

Grundsätzlich können Sie zwei Strategien anwenden, um ein sicheres Passwort zu erstellen:

• Wählen sie ein kurzes, aber komplexes Passwort. Dieses besteht aus mindestens acht Zeichen und vier Zeichenarten: Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
• Alternativ können Sie auch ein langes Passwort wählen, diese sind weniger komplex, haben jedoch eine Mindestlänge von 25 Zeichen und werden aus mindestens zwei Zeichenarten gebildet. Passwörter dieser Art können zum Bespiel aus sechs aufeinanderfolgenden Wörtern bestehen, die jeweils durch ein Zeichen voneinander getrennt sind

Weitere Tipps zur Gestaltung des Passwortes

Weitere Tipps für eine sichere Nutzung von Passwortmanagern

Übrigens…

die Personallücke im Cyber-Sicherheitsbereich soll zuletzt um 52,8 Prozent gewachsen sein – das kann zu schweren Cyber-Angriffen führen. Einem Bericht von t3n zufolge fehlen insgesamt 137.000 IT-Fachleute. Das Magazin stützt sich dabei auf Zahlen des Hightech-Branchenverbandes Bitkom.

Diesem Fachkräftemangel würden wir gern vorgreifen. Falls Sie an einer Aus- oder Weiterbildung im Bereich Cyber-Sicherheit interessiert sind, oder Personen kennen, die es sein könnten, finden Sie hier Informationen zu BSI-Ausbildungsangeboten

Mehr zur Personallücke in der Branche und den Folgen

Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag.

10 Basistipps für mehr Sicherheit in Ihren digitalen Alltag

Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn weiter