Newsletter SICHER • INFORMIERT vom 31.03.2022
Ausgabe 07/22
Digitaler Frühjahrsputz: Zeit für eine Datensicherung, Schutz vor und Hilfe bei Identitätsdiebstahl, Google schließt kritische Lücke in Chrome & Folge 19 von "Update verfügbar"
In den Schlagzeilen
1. Verfassungsschutz warnt vor Cyberangriffen aus Russland
Das Bundesamt für Verfassungsschutz hat seine Warnung vor Cyberangriffen von mutmaßlich im Auftrag des russischen Militärgeheimdienstes handelnden Hackerinnen und Hackern noch einmal deutlich verschärft, berichtet CSO Deutschland. Das Amt fordert Unternehmen auf, die Kommunikation mit Niederlassungen oder Geschäftskontakten in Russland auf ein Minimum zu beschränken. Zudem rät der Verfassungsschutz Mitarbeitenden in Unternehmen zu "äußerster Zurückhaltung" bei Gesprächen über ihre berufliche Tätigkeit, wenn sie beruflich mit vertraulichen Verschlusssachen zu tun haben.
Aktuelle Einschätzungen des BSI zur Cyber-Sicherheitslage in Deutschland
CSO Deutschland zur Warnung des Verfassungsschutzes
2. Firmen-Hack ist kein Lapsus$
Eine Gruppe Cyberkrimineller mit dem Namen Lapsus$ hat innerhalb weniger Wochen gleich mehrere Großunternehmen erfolgreich attackiert, darunter Firmen wie Microsoft, Samsung und Nvidia. Die Gruppe hat bei ihren Angriffen unter anderem Quellcodes von Samsung-Galaxy-Smartphones und den Microsoft-Technologien Bing und Cortana sowie interne Dokumente von Nvidia entwendet und zum Teil auch veröffentlicht. Die Londoner Polizei meldet unterdessen einen ersten Fahndungserfolg: Sie hat sieben Verdächtige im Alter zwischen 16 und 21 Jahren festgenommen, die mit Lapsus$ in Verbindung stehen sollen. Die Ermittlungen dauern an.
Zeit Online über den Datenklau von Lapsus$
3. Kurz notiert
Nestle dementiert Cyberattacke
Trojaner legt Stadtverwaltung von Dingolfing lahm
Hacker ließ in Wien die Glocken des Stephansdoms läuten
Ransomware Emotet ist laut aktueller Analyse immer noch die am weitesten verbreitete Schadsoftware
Up-to-date
4. Aktuelle Warnmeldungen des Bürger-CERT
Das "Computer Emergency Response Team" des BSI informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es unter anderem Meldungen zu HP BIOS; Open Source WordPress (< 5.9.2); und Opera Browser.
Informationen und Tipps zum Umgang mit diesen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT
5. Google schließt kritische Lücke in Chrome
Google hat mit der Version 99.0.4844.84 eine kritische Sicherheitslücke in seinem Internet-Browser Chrome geschlossen, die bereits von Angreiferinnen und Angreifern ausgenutzt wurde. Die neue Version läuft auf Windows, macOS und Linux. Obwohl Chrome sich üblicherweise automatisch aktualisiert, rät das Digitalmagazin t3n Nutzerinnen und Nutzern dazu, zu überprüfen, ob ihr Browser in der aktuellen Version aktiv ist.
Bericht über kritische Chrome-Lücke
6. Sicherheitslücken bei Microsoft Edge geschlossen
Das BSI warnt auch beim Microsoft-Browser Edge vor Sicherheitslücken. Die Meldung wurde unter anderem von Computer Bild aufgegriffen. Betroffen sind die Edge-Versionen < 99.0.1150.46 und < 99.0.1150.55. Angreiferinnen und Angreifer können die Schwachstellen ausnutzen, um ihre Berechtigungen zu erhöhen, Schadcode auszuführen oder einen Programmabsturz herbeizuführen. Für die Infektion eines Computers reicht es aus, eine bösartig gestaltete Website zu laden beziehungsweise einen Link zu einer solchen Seite anzuklicken. Inzwischen gibt ein Update, mit dem sich die Lücke schließen lässt.
7. Kritische Lücke bei HP-Druckern
Gleich mehr als 200 Druckermodelle von HP sind laut Heise Online von kritischen Schwachstellen betroffen, durch die Kriminelle Schadcode einschleusen und ausführen könnten. HP selbst hat vor diesen Lücken gewarnt und stellt die Updates sowie Konfigurationshinweise bereit, um die Sicherheitsprobleme zu beheben
BSI-Informationen über die sichere Inbetriebnahme von Druckern, Kopierern und Multifunktionsgeräten als PDF
Bericht über Sicherheitslücken bei HP-Druckern
Gut zu wissen
8. Folge 19 des BSI-Podcasts „Update verfügbar“: Mobil sicher! Smartphone und Apps
Auch für den BSI-Podcast ist ein "Update verfügbar": In der Folge 19 spricht das Moderationsteam Ute Lange und Michael Münz mit Miriam Ruhenstroth von mobilsicher.de, einem Online-Infoportal für sichere Handynutzung. Sie ist Expertin für Smartphone- und App-Sicherheit und erklärt, wie Verbraucherinnen und Verbraucher sich und ihre Mobiltelefone am besten schützen können. Denn fast genauso vielfältig wie die Nutzungsmöglichkeiten der kleinen Computer sind auch die Gefahren, die aus einer mangelhaften Absicherung der Geräte und Apps folgen können.
9. BSI sieht Nachholbedarf beim Schutz von Online-Konten
Der Verbraucherzentrale Bundesverband e. V. (vzbv) hat über 200 digitale Dienste aus 16 Branchen nach der Verbreitung der Zwei-Faktor-Authentisierung (2FA) untersucht. Bei der 2FA wird neben der Anmeldung per Passwort noch ein weiteres Sicherheitsmerkmal abgefragt, zum Beispiel ein Fingerabdruck oder eine PIN. Das Ergebnis der Untersuchung: Die 2FA wird nur in wenigen Branchen bereits flächendeckend angeboten. Aus Sicht des BSI besteht daher Nachholbedarf, um die Sicherheit der Nutzerinnen und Nutzer im Sinne des digitalen Verbraucherschutzes zu erhöhen. Verbraucherinnen und Verbrauchern empfehlen wir, 2FA immer einzusetzen, wenn es die Möglichkeit dazu gibt.
Pressemitteilung des BSI zur Zwei-Faktor-Authentisierung
Erklärungen und praktische Tipps
10. Social Engineering: Wie Cyber-Kriminelle Ihr Vertrauen missbrauchen
Oft beginnen Cyberangriffe auf ein Unternehmen mit dem Sammeln von Informationen – zunächst aus öffentlichen Quellen wie der Website oder sozialen Netzwerken. Reichen diese Informationen nicht, versuchen Kriminelle, gezielt die Beschäftigten eines Unternehmens auszuspähen, das sogenannte Social Engineering. Das Magazin Security Insider hat vier Methoden aufgeschrieben, die Cyber-Kriminelle nutzen:
(1) Sie rufen in Unternehmen an und fragen die Informationen zu einzelnen Mitarbeitenden und Vorgesetzten direkt ab.
(2) Sie versenden unaufgefordert Newsletter mit der Möglichkeit, sich abzumelden. So stellen sie fest, welche E-Mail-Adressen es in einem Unternehmen tatsächlich gibt.
(3) Sie verschicken Phishing-Mails mit harmlos aussehenden Links, die tatsächlich aber zu Schadsoftware führen.
(4) Sie versuchen, sich über persönliche E-Mails, zum Beispiel zu Beförderungen oder zum Geburtstag, das Vertrauen der Mitarbeitenden zu erschleichen, um weitere Informationen zu sammeln oder direkt Schaden anrichten zu können.
BSI-Dossier zum Thema Social Engineering, das über die Methode und den Schutz davor informiert
Zur Meldung von Security Insider
11. Mehrheit der Deutschen befürchtet Identitätsdiebstahl im Internet
Über die Hälfte der deutschen Internetnutzerinnen und -nutzer hat Angst von einem Identitätsdiebstahl, bei dem sich Kriminelle Zugang zu ihren Online-Konten verschaffen, so das Ergebnis einer Umfrage im Auftrag von Web.de. Die Mehrheit der Befragten befürchte, Kriminelle könnten in ihrem Namen einkaufen (72 Prozent) und Verträge abschließen (63 Prozent). Viele sorgten sich zudem, dass Fremde mit der gestohlenen Identität neue Konten eröffneten oder Freundinnen und Freunde sowie Bekannte um Geld betrögen.
Umfrage von Web.de über Identitätsdiebstahl im Internet
Praktisch sicher
12. Hilfe bei Identitätsdiebstahl
Wenn Sie den Verdacht haben, dass sich jemand unbefugt Zugriff auf eines oder mehrere Ihrer Online-Konten verschafft haben könnte, empfiehlt das BSI unter anderem die folgenden Schritte:
(1) Überprüfen Sie zunächst, welche Online-Konten betroffen sind, und priorisieren Sie anschließend, in welcher Reihenfolge Sie aktiv werden.
(2) Ändern Sie zunächst die Passwörter der Accounts, die Sie für die Wiederherstellung von Passwörtern anderer Online-Konten benötigen.
(3) Ändern Sie im Anschluss die Passwörter von Online-Profilen, die Sie für "Single-Sign-On" verwenden, zum Beispiel bei Facebook oder Google.
(4) Ändern Sie überall dort Ihre Passwörter, wo Sie dieselben Passwörter benutzen.
Ausführliche Informationen des BSI zum Identitätsdiebstahl
BSI-Tipps für sichere Passwörter
Was wichtig wird
13. Am 31. März ist "World Backup Day"!
Heute, am Erscheinungstag dieses Newsletters, möchten wir Sie daran erinnern, wie wichtig Datensicherungen sind: Zu Datenverlusten, kann es beispielsweise kommen, wenn Sie Ihr Smartphone verlieren, Ihre Festplatte kaputt geht oder Cyber-Kriminelle Ihre Daten stehlen. Der 31. März ist der "World Backup Day", der Tag, um Datenverluste zu verhindern.
Empfehlungen des BSI anlässlich des World Backup Days
Übrigens...
Wie wichtig der Schutz besonders von Mobilgeräten wie Smartphones und Tablets ist, zeigt eine aktuelle Analyse von Zimperium: Demnach finden sich weltweit auf jedem vierten Mobilgerät Spuren von Schadsoftware. Security Insider berichtet, dass Forschende mehr als zwei Millionen Beispiele für Malware auf Mobilgeräten gefunden hätten, über die Daten ausgespäht oder Schadprogramme installiert werden können. Weitere Infos
Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag.
10 Basistipps für mehr Sicherheit in Ihren digitalen Alltag
Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten
Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn weiter
- Kurz-URL:
- https://www.bsi.bund.de/dok/14985216