Newsletter SICHER • INFORMIERT vom 14.04.2022
Ausgabe 08/22
Kriminalitätsstatistik: Mehr Cyber-Crime-Delikte, Ende des smsTAN-Verfahren und sichere Alternativen, Warnung vor falschen Gewinnspielen & Online-Ausweise bequem und sicher von zu Hause (re)aktivieren
In den Schlagzeilen
1. Europol schließt eines der größten Foren für Cyberkriminelle
Internationale Ermittlerinnen und Ermittler haben nach Angaben von Europol eines der größten Hacker-Foren der Welt ausgehoben, berichtet der Spiegel. Der illegale Marktplatz namens "RaidForums" sei geschlossen und dessen Infrastruktur beschlagnahmt worden, teile Europol am Dienstag mit. In den USA wurde nun gegen den mutmaßlichen Gründer und Hauptadministrator der Website Anklage erhoben.
Der Spiegel über die Schließung
2. Kriminalitätsstatistik: Mehr Delikte bei Darstellung von Kindesmissbrauch und Cyber-Crime
Die Zahl der Verdachtsfälle bei Darstellungen von Kindesmissbrauch habe sich 2021 im Vergleich zum Vorjahr mehr als verdoppelt, berichtet die Deutsche Welle. Das ist ein Ergebnis der Kriminalitätsstatistik 2021, die das Bundeskriminalamt im April vorgelegt hat. Die Zunahme lasse sich aber nicht allein durch mehr Delikte erklären, wie Bundesinnenministerin Nancy Faeser bei der Vorstellung der Kriminalstatistik in Berlin klarstellt: "Das liegt auch daran, dass der Ermittlungsdruck deutlich gestiegen ist und mehr Taten entdeckt werden", so Faeser. Im Bereich Cyber-Crime hat das BKA im Vorjahr mehr als 146.000 Fälle erfasst – das entspricht einer Zunahme von gut zwölf Prozent. Laut Branchenverband Bitkom beläuft sich der finanzielle Schaden in diesen Fällen auf rund 220 Milliarden Euro.
BSI zu Methoden der Cyberkriminalität
BMI Informationen zur Kriminalstatistik 2021
Deutsche Welle zur Kriminalstatistik
3. Fahndungserfolg im Fall von betrügerischen Geschäftsmails
Internationalen Strafverfolgerinnen und Strafverfolgern, darunter Mitarbeitende der US-Bundespolizei FBI, ist ein Fahndungserfolg gegen die Versenderinnen und Versender betrügerischer E-Mails gelungen. Zuvor hatten Cyber-Kriminelle versucht, über kompromittierte oder gefälschte E-Mail-Konten, Mitarbeitende und Unternehmen dazu zu bewegen, Überweisungen zu tätigen. Business E-Mail Compromise (BEC) nennt das FBI diese Methode. Während der dreimonatigen Operation "Eagle Sweep" seien 65 Verdächtige verhaftet worden, darunter allein 42 aus den USA, meldet Heise Online. Das FBI gibt an, dass durch E-Mail-Betrügereien wie BEC allein im vergangenen Jahr weltweit Schäden von rund 2,1 Milliarden Euro verursacht worden seien.
BSI-Tipps zum Umgang mit Spam, Phishing & Co
4. Sicherheitskameras mit Sicherheitslücken
Sicherheitskameras des US-Anbieters Wyse wiesen über einen langen Zeitraum Sicherheitslücken auf. Das berichtet der Stern. Die Schwachstelle erlaubte es, über das Internet auf den lokalen Speicher der Kameras zuzugreifen. Besondere Hacker-Kenntnisse seien dafür nicht nötig gewesen: "Weil keine Authentifikation nötig war, konnte man auf jede Kamera zugreifen, die im Internet zu finden war." Der Hersteller wusste dem Stern zufolge seit mindestens drei Jahren von dem Fehler und hat ihn endgültig erst im Januar dieses Jahres behoben.
BSI-Tipps für das sichere Smarthome
Bericht des Sterns über die Sicherheitslücken bei Wyse-Kameras
5. Meta-Datenlecks
Meta (früher Facebook) und Apple haben offenbar Daten von Nutzerinnen und Nutzern an Kriminelle weitergegeben, die sich als Ermittlerinnen und Ermittler ausgaben, berichtet der Spiegel. "Als Antwort auf gefälschte sogenannte Notfall-Datenanfragen erhielten die Betrüger von den Unternehmen Informationen wie Anschriften, Telefonnummern und IP-Adressen", schreibt das Nachrichtenmagazin. Über das Ausmaß, die Folgen und die Konsequenzen der Datenlecks ließen beide Unternehmen nichts verlauten.
Der Spiegel über die Datenweitergabe bei Meta und Apple
6. Warnung vor falschem Gewinnspiel
Auf dem Messenger WhatsApp macht derzeit ein angebliches Milka-Gewinnspiel die Runde, so der Spiegel. Dabei zielen die Initiatorinnen und Initiatoren auf die persönlichen Daten von Verbraucherinnen und Verbrauchern ab und versuchen, sie über einen Link in der Nachricht auf ihre Websites zu führen. Milka habe mit diesen Gewinnspielen nichts zu tun, teilte die Deutschland-Zentrale des Unternehmens Mondelez mit. Diese Masche ist nicht neu: Fake-Gewinnspiele großer Marken stellen häufig Einkaufsgutscheine in Aussicht, wobei lediglich auf die Daten der Nutzenden abgezielt wird. Im Anschluss bekommen die "Teilnehmenden" keine Gutscheine, sondern erhalten täuschend echt aussehende Spam-E-Mails. Es wird geraten, nicht an solchen vermeintlich verlockenden Gewinnspielen teilzunehmen.
Bericht über angebliche Gewinnspiele
7. Kurz notiert
- Auf der Buchungsseite des Freizeitparks Legoland ist eine Sicherheitslücke aufgetreten, von der tausende Besucherinnen und Besucher betroffen sind.
- Mehr als 3.000 Temposünderinnen und -sünder sind nach einem Cyberangriff ohne Strafe davongekommen, weil Blitzerdaten nicht verarbeitet werden konnten.
- 15,6 Millionen Dollar erbeuteten Hackerinnen und Hacker vom Krypto-Kreditgeber Inverse Finance.
- Cyberkriminelle haben den Windturbinenhersteller Nordex angegriffen. Die Windkraftanlagen des Unternehmens liefen aber weiter.
- Bauking, eine Baumarktkette mit vier Filialen im Kreis Olpe, ist angegriffen worden. Es bestehe das Risiko für Identitätsdiebstahl oder Betrug.
Up-to-date
8. Aktuelle Warnmeldungen des Bürger-CERT
Das "Computer Emergency Response Team" des BSI informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es unter anderem Meldungen zu Apple iOS (< 15.4.1), Apple iPadOS (< 15.4.1) und Apple macOS (< 12.3.1); D-LINK Router DIR-878; Google Android (10, 11, 12, 12L), Google Chrome (< 100.0.4896.88) und Google Chrome (< 100.0.4896.75); Microsoft Edge (< 100.0.1185.29, 100.0.1185.36), Mozilla Firefox (< 99) sowie Mozilla Firefox ESR (< 91.8).
Informationen und Tipps zum Umgang mit diesen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT
9. Google schließt 47 Lücken in Android
Zum Android-Patchday im April hat Google 47 sicherheitsrelevante Lücken in seinem Betriebssystem für mobile Geräte geschlossen. Zahlreiche der gestopften Sicherheitslecks hätten es Angreiferinnen und Angreifern erlaubt, ihre Rechte im System auszuweiten, ohne dass es dabei zu Anfragen beim Benutzer gekommen wäre oder eine Interaktion nötig gewesen sei, berichtet Heise Online. Mit den Patches sind diese Lücken jetzt geschlossen.
10. Apple-Lücken auch nach Patches zum Teil noch offen
Apple hat in iOS 15 und macOS 12 zahlreiche Sicherheitslücken geschlossen, die nach Angabe des Herstellers für Angriffe ausgenutzt wurden. Allerdings hat der Anbieter diese Patches für macOS 11 Big Sur, macOS 10.15 Catalina sowie iOS 14 noch nicht bereitgestellt, obwohl auch diese Versionen verwundbar sind, berichtet Heise Online. Ob Apple diese Lücken noch schließen wird, bleibt offen.
11. Auflegen: Wenn angeblich Microsoft anruft
Der Spiegel berichtet über derzeit gehäufte Anrufe von angeblichen Microsoft-Mitarbeitenden, die gutgläubigen Nutzerinnen und Nutzern Supportdienstleistungen oder Lizenzen verkaufen wollen. Ohne ihre Zustimmung ruft Microsoft seine Kundinnen und Kunden niemals an. Bester Schutz vor solchen Betrugsversuchen: Einfach auflegen!
12. Zyxel patcht kritische Sicherheitslücke
Der Hardware-Anbieter Zyxel hat eine kritische Sicherheitslücke in einigen seiner Firewall-Versionen gepatcht. Betroffen sind Geräte wie USG/ZyWALL mit Firmware ZLD V4.20 bis einschließlich ZLD V4.70, USG FLEX mit ZLD V4.50 bis ZLD V5.20, ATPmit ZLD V4.32 bis ZLD V5.20, VPN mit ZLD V4.30 bis ZLD V5.20 und NSG mit Firmware V1.20 bis V1.33 Patch 4.
Bericht über die Lücken und Links zu den Patches bei CSO Online
Gut zu wissen
13. Ende des smsTAN-Verfahren und sichere Alternativen
In diesem Sommer schaffen einige Banken das smsTAN-Verfahren ab. Bei diesem Verfahren sendet Ihre Bank eine Transaktionsnummer (TAN) per SMS auf Ihr Handy, wenn Sie eine Transaktion vornehmen möchten. Die Abschaffung ist aber kein Grund zur Sorge, ganz im Gegenteil: Die Banken stellen das Verfahren ein, weil es mittlerweile gute Alternativen gibt, die sicherer sind. Das sind sie:
- PushTAN/AppTAN: Für dieses Verfahren benötigen Sie eine pushTAN-App auf Ihrem Smartphone oder Tablet. Nach Eingabe der Transaktionsdaten, werden die eingegebenen Daten zur Kontrolle noch einmal in der pushTAN-App angezeigt. Wenn Sie diese bestätigen, wird die TAN generiert, die Sie dann in die Banking-App oder den Browser übertragen, um die Zahlung auszuführen (auch hier sollten möglichst zwei verschiedene Geräte verwendet werden).
- eTAN oder ChipTAN: Bei diesen Verfahren nutzen Sie zwei voneinander getrennte Geräte. Zunächst wird aus den Transaktionsdaten ein graphischer Code erstellt, den dann ein ChipTAN-Generator ausliest. Die entsprechende Bankkarte aktiviert vorher den Generator, der im nächsten Schritt aus der Grafik eine TAN erstellt.
- PhotoTAN und QRTAN: Auch bei diesem TAN-Verfahren benötigen Sie zwei voneinander getrennte Geräte. Nach Eingabe der Transaktionsdaten erscheint auf dem Bildschirm eine Grafik, die mit der entsprechenden App für die photoTAN ausgelesen wird. Der Code in der Grafik wird in eine TAN gewandelt, mit der Sie die Transaktion freigeben.
BSI-Informationen zu alternativen TAN-Verfahren
Praktisch sicher
14. Online-Ausweise bequem und sicher von zu Hause (re)aktivieren
Bürgerinnen und Bürger können neuerdings die PIN ihres Personalausweises oder ihrer eID-Karte zurücksetzen oder aktivieren, ohne dafür eine Ausweisbehörde aufsuchen zu müssen.
Wenn Sie die PIN Ihres Ausweises vergessen, den initialen PIN-Brief verlegt oder die Online-Ausweisfunktion deaktiviert haben, können Sie über www.pin-ruecksetzbrief-bestellen.de einen PIN-Rücksetzbrief anfordern. Die Website wird im Auftrag des Bundesinnenministeriums von der Bundesdruckerei betrieben. Um die PIN zurückzusetzen oder zu aktivieren, benötigen Sie ein geeignetes Smartphone oder Kartenlesegerät und eine Software für die sichere Verbindung zwischen Dokument und Smartphone oder Computer, beispielsweise die kostenfreie AusweisApp2 des Bundes. Der PIN-Rücksetzbrief enthält die neue PIN und einen Aktivierungscode, mit dem die Online-Ausweisfunktion mit der neuen PIN (wieder) in Betrieb genommen werden kann.
Weitere Informationen zur Online-Aktivierung von Personaldokumenten
Was wichtig wird
15. Girls'Day 2022 am 28. April 2022
Der Girls‘Day gibt Mädchen und jungen Frauen die Möglichkeit, einen praktischen Einblick in technische Berufe zu erhalten. Ziel ist es, ihr Interesse für Berufe im Bereich der IT, der Technik oder der Naturwissenschaften zu fördern. Normalerweise lädt auch das BSI Interessentinnen zu diesem Tag vor Ort ein, allerdings ist das aufgrund der anhaltenden Pandemie noch nicht wieder möglich. Stattdessen wird sich das BSI am 28. April 2022 mit einem Unternehmensprofil präsentieren.
Einen Überblick über die Veranstaltungen und Angebote zum Girls’Day
Übrigens
Eines von fünf Unternehmen weltweit würde für die Befreiung seiner Daten aus den Händen von Erpresserinnen und Erpressern ein Lösegeld zahlen – oder hat genau das bereits getan, berichtet die Wirtschaftswoche. Wir raten allerdings von solchen Zahlungen ab, denn sie bieten keinerlei Garantie für die Freigabe verschlüsselter Daten oder gesperrter Systeme. Stattdessen empfehlen wir eine Anzeige bei der Polizei. Der beste Schutz vor solchen Erpressungen sind zudem regelmäßige Sicherheitskopien. Im Falle eines Angriffs lassen sich damit Datenbestände auch ohne Lösegeldzahlung rekonstruieren.
Bericht in der WirtschaftsWoche
Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag.
10 Basistipps für mehr Sicherheit in Ihren digitalen Alltag
Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten
Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn weiter
- Kurz-URL:
- https://www.bsi.bund.de/dok/14985216