In den Schlagzeilen

1. Schadsoftware statt Postpaket

Deutschland sicher im Netz (DsiN) berichtet von einer neuen Betrugsmaschine: Kriminelle sollen massenhaft SMS mit Paketbenachrichtigungen im Namen von Versanddienstleistern verschicken. Die SMS fordert EmpfängerInnen demnach auf, einen Bestätigungs-Link anzuklicken, die auf schädliche Android Apps verweisen. Sofern die Installation von Apps aus unbekannten Quellen erlaubt und die Installation der App bestätigt wird, kann es u. a. zu einem massenhaften SMS-Versand kommen. Bei der Nutzung von kostenpflichtigen Diensten kann dies ohne Drittanbietersperre bei dem jeweiligen Mobilfunkprovider zu einem finanziellen Schaden über die Mobilfunkrechnung führen.

Es wird dazu geraten, Links in "Paket-SMS" generell nicht anzuklicken. Versanddienstleister verschicken Paketbenachrichtigungen oftmals per E-Mail.

Alle wichtigen Fragen und Antworten zu Schadsoftware

DsiN über die Betrugsmasche

2. Vom Regen in die Traufe

Erst hatte der polnische Computerspielentwickler CD Projekt Red mit Bugs bei einigen Versionen seines neuesten Spiels "Cyberpunk 2077" zu kämpfen, nun werden die EntwicklerInnen offenbar auch noch erpresst. Wie der Spiegel berichtet, behaupten Unbekannte, sie hätten Spiele-Quellcodes und interne Dokumente entwendet. Cyberkriminelle sollen mit einem Verkauf gedroht haben. Quellcodes sind so etwas wie die DNA eines Programmes. Laut t3n wurden die gestohlenen Daten später tatsächlich bei einer Auktion für mehrere Millionen US-Dollar versteigert. Ob die KäuferInnen die Quellcodes nutzen, um die Probleme im Spiel, in dem es auch ums Hacken geht, auf eigene Faust zu beheben? Das ist leider eher unwahrscheinlich.

Der Spiegel zum Erpressungsversuch

t3n berichtet über die Versteigerung der Quellcodes

3. Sicherheitsforscher bricht bei großen Unternehmen ein

Mit einem Trick sei es einem Sicherheitsforscher gelungen, in die internen Netzwerke mehrerer großer Unternehmen einzudringen – unter anderem von PayPal, Netflix und Apple. Einem Bericht von Heise Online zufolge greifen die Unternehmen für ihre tägliche Arbeit auf sogenannte Skripte zurück, die sie aus frei verfügbaren Bibliotheken im Internet herunterladen. Der Forscher habe manipulierte Bibliotheken bereitgestellt und als Türöffner zu den Unternehmen genutzt. Die gute Nachricht: Die Unternehmen waren eingeweiht. Gelohnt hat sich die Arbeit in jedem Fall: Insgesamt habe der Forscher für seine Entdeckung eine Prämie von 130.000 US-Dollar erhalten. Die Unternehmen sollen die aufgedeckten Sicherheitslücken inzwischen geschlossen haben.

Zur Meldung von Heise Online

4. Cyberangriff auf Wasserkraft

Es klingt wie die Geschichte aus einem Film: Eine Hackergruppe soll in das System eines Wasserversorgers in Florida eingedrungen sein und den Anteil des gefährlichen Ätznatrons (schützt in geringer Menge vor Korrosion) im Wasser erhöht haben. Laut der Süddeutschen Zeitung habe ein Mitarbeiter des Wasserwerks glücklicherweise das Treiben der Cyberkriminellen live verfolgen und die Änderungen sofort wieder rückgängig machen können. VerbraucherInnen kamen demnach nicht zu Schaden. Die Diskussion um die Sicherheit kritischer Infrastrukturen ist damit aber wieder entfacht – auch in Deutschland. Hierzulande soll das neue IT-Sicherheitsgesetz 2.0 u.a. die gesetzlichen Vorgaben für Betreiber kritischer Infrastruktur verschärfen, damit Cyberkriminelle kein leichtes Spiel haben.

Mehr über kritische Infrastrukturen und deren IT-Sicherheit

Die Süddeutsche Zeitung über das gehackte Wasserkraftwerk in den USA und die Debatte in Deutschland

Bleiben Sie up-to-date

5. Aktuelle Warnmeldungen des Bürger-CERT

Das "Computer Emergency Response Team" des BSI informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es Meldungen unter anderem zu diesen Geräten und Anwendungen – mit teils hohen Sicherheitsrisiken: Google Chrome (< 88.0.4324.146, < 88.0.4324.150); Mozilla Firefox (< 85.0.1) und, Mozilla Firefox ESR (< 78.7.1); McAfee Endpoint Security (< 10.6.1 February 2021 Update, < 10.7.0 February 2021 Update); Intel Prozessor; Adobe Photoshop < 21.2.5, < 22.2); Adobe Acrobat (< 2017.011.30190, < 2020.001.30020), Adobe, Acrobat Reader (< 2017.011.30190, < 2020.001.30020) und Adobe Acrobat Reader DC (< 2021.001.20135); Apple macOS (< 10.15.7, < 11.2); Microsoft Edge, Microsoft .NET Framework, Microsoft Office und Microsoft Windows; sowie Trend Micro AntiVirus (2020, 2021), Trend Micro Internet Security (2020, 2021) und Trend Micro Maximum Security (2020, 2021).

Informationen und Tipps zum Umgang mit diesen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT

6. Bösartiges Update

Ein Update im Dezember 2020 habe aus der beliebten Barcode- und QR-Scanner-App für Android-Geräte namens "Barcode Scanner" eine betrügerische Anwendung gemacht, berichtet Heise Online. ExpertInnen des Sicherheitssoftware-Herstellers Malwarebytes hätten festgestellt, dass die App nach dem Update "mit aggressiven Werbeeinblendungen auch außerhalb der Anwendung begonnen hatte". Laut des Berichts klassifizieren die SicherheitsforscherInnen das Programm demnach als Trojanisches Pferd und empfehlen NutzerInnen, die App umgehend zu löschen. Trojaner sind Schadprogramme, die als nützliche Software getarnt werden. Die Cyberkriminellen hoffen darauf, dass arglose NutzerInnen sie eigenständig installieren. Google hat die App aus seinem Playstore entfernt, jedoch hätten Android-NutzerInnen die Anwendung bis dahin mehr als zehn Millionen Mal heruntergeladen.

Hinweise des BSI zum sicheren Umgang mit Apps auf mobilen Geräten

Weitere Informationen zu dem Fall bei Heise Online

Gut zu wissen

7. Digitale Ersthelfer für schnelle Hilfe bei IT-Notfall

Unser Alltag wird immer digitaler, gleichzeitig werden Cyberangriffe immer ausgefeilter, wie der jüngste BSI-Lagebericht zur IT-Sicherheit in Deutschland im Oktober 2020 zeigt. Wie lässt sich dennoch IT-Sicherheit flächendeckend gewährleisten? Die Bundesregierung will dafür künftig auf ein bundesweites Cyber-Sicherheitsnetzwerk mit Digitalen Ersthelfern als ein Kernelement setzen. Das BSI ist am Aufbau des Netzwerkes und am Qualifizierungsprogramm maßgeblich beteiligt. Wenn Betroffene nach einem Cyberangriff nicht mehr weiterwissen, können sie zukünftig über die Kontaktstelle des Cyber-Sicherheitsnetzwerkes erste Hilfe durch deren qualifizierte TeilnehmerInnen erhalten. Interessierte können sich zu Digitalen Ersthelfern ausbilden lassen, indem sie an einem Online-Kurs teilnehmen und eine anschließende Prüfung erfolgreich absolvieren. Das Schulungsprogramm ist voraussichtlich ab März 2021 verfügbar.

Alle Informationen über das Cyber-Sicherheitsnetzwerk und die Fortbildung zum Digitalen Ersthelfer

Zur Meldung des ZDF

8. Besser spät als nie: Cyberkriminelle bereuen ihre Taten

Jeder Mensch kann sich ändern. Das gilt offenbar auch für Cyberkriminelle. Heise Online berichtet, dass die EntwicklerInnen des Verschlüsselungstrojaners Ziggy ihre Taten bereuen würden. Die Kriminellen hätten die Ransomware genutzt, um beispielsweise die Dateien der Opfer solange zu verschlüsseln, bis sie ein Lösegeld für ihre Daten zahlten. Laut Heise Online haben die Cyberkriminelle nun neben den Schlüsseln für den Dateizugriff auch ihr Entschlüsselungstool veröffentlicht. Aus Sicherheitsgründen sollten Opfer das Tool allerdings nicht nutzen und stattdessen auf andere Tools zurückgreifen.

Ein Überblick zu Ransomware

Heise Online über den Fall der reumütigen Kriminellen

9. Keine heimlichen MithörerInnen: Verschlüsselt kommunizieren

Es gibt inzwischen zahlreiche Möglichkeiten, um zu telefonieren – Messenger-Dienste, Videochats, oder das Festnetztelefon. Viele Gespräche lassen sich dabei auf einfache Art und Weise verschlüsseln, um heimliches Mithören durch Dritte zu verhindern. Einen Überblick über die verschiedenen Möglichkeiten sowie deren Vor- und Nachteile liefert der Spiegel.

Wie Sie verschlüsselt im Internet kommunizieren

Zur Spiegel-Meldung

10. Das Smartphone als Personalausweis

Deutschlands Verwaltung wird digital. BürgerInnen können in Zukunft immer mehr Services von Ämtern und Behörden online abrufen und nutzen. Ein neues Gesetz soll es nun ermöglichen, sich allein mit dem Smartphone auszuweisen. Das hat das Bundeskabinett kürzlich beschlossen. Bequem mit dem Smartphone ein neues Auto zulassen oder den Wohnsitz ummelden? Das wäre dann ganz einfach möglich. Schon jetzt können BürgerInnen die Online-Ausweisfunktion des eigenen Ausweises in Kombination mit der AusweisApp2 auf ihrem Smartphone nutzen, um die eigene Identität gegenüber den Behörden zu verifizieren.

Wesentliche Informationen zu digitaler Verwaltung und insbesondere zu den Ausweisfunktionen sowie der De-Mail

Mehr zum Gesetzentwurf der Bundesregierung können Sie hier nachlesen: https://www.bundesregierung.de/breg-de/bundesregierung/bundeskanzleramt/digitale-identitaet-1852094

Kurz erklärt

11. Die elektronische Patientenakte

Seit dem 1. Januar wird die elektronische Patientenakte (ePA) von den Krankenkassen kostenlos bereitgestellt, um das Gesundheitswesen weiter zu digitalisieren. Dabei kann jeder Patient und jede Patientin bewusst entscheiden, welche Informationen in die App aufgenommen werden sollen. Alles Wissenswerte rund um die ePA zeigen wir in einem kurzen Video auf unserer Facebook-Seite.

Weiterführende Informationen des BSI zum Thema eHealth

Zeitlos wichtig

12. Mit Sicherheit fit

Sport-Apps, Fitnesstracker, Smartwatches oder auch intelligente Kleidungsstücke erfreuen sich wachsender Beliebtheit. Sie können beim Sport unterstützen und NutzerInnen Informationen zum Training liefern. Doch beim Einsatz von Fitness-Apps und sogenannten Wearables sollten NutzerInnen nie die Sicherheit aus den Augen verlieren. Worauf bei Wearables zu achten ist.

Zahl der Woche

13. 3.200.000.000 Daten – das bisher größte gehackte Datenpaket

Groß, größer, 3,2 Milliarden: So lässt sich die Geschichte rund um die Veröffentlichungen gehackter E-Mail-Adressen und Passwörter erzählen. Cyberkriminelle sollen jetzt das bislang größte Paket mit gehackten Zugangsdaten online veröffentlicht haben, vermeldet Chip Online. Allerdings handele es sich bei dem Paket um eine Zusammenstellung schon früher veröffentlichter gestohlener Daten.

Wie Sie Passwörter sicher erstellen

Zur Meldung von Chip Online

Was wichtig wird

14. Dialog für Cyber-Sicherheit: Denkwerkstatt

Am 22. bis 24. Februar findet die Denkwerkstatt „Sichere Informationsgesellschaft 2021“ statt. In der Denkwerkstatt werden in den kommenden Jahren Ideen, Themen, Fragestellungen und Visionen zum Thema IT-Sicherheit erarbeitet. Wir vom BSI sind daran beteiligt, wie auch engagierte Personen aus Zivilgesellschaft, Wirtschaft, Wissenschaft, Politik, Kunst und Kultur. Die Denkwerkstatt ist Teil des Projekts "Dialog für Cyber-Sicherheit". Nun steht der erste Termin fest. Wir freuen uns über Ihre Beteiligung!

Mehr Informationen zur Veranstaltung

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, FreundInnen oder KollegInnen