Navigation und Service

Newsletter SICHER • INFORMIERT vom 11.05.2023

Ausgabe 10/2023

Künstliche Intelligenz kann Passwörter erraten, neue Malware kontrolliert Windows-Geräte, so schützen Sie Computer und Smartphones auf Reisen & Login ohne Passwörter? Vielleicht demnächst!

In den Schlagzeilen

1. Künstliche Intelligenz kann Passwörter erraten

Die Restwärme von Fingern, die auf einer Tastatur ein Passwort eingetippt haben, kann Passwörter verraten, haben Forschende der Universität Glasgow herausgefunden. Sie haben eine Tastatur kurz nach dem Eintippen mit einer Wärmebildkamera aufgenommen und die Bilder von künstlicher Intelligenz analysieren lassen. Die KI konnte Passwörter zwischen sechs und acht Zeichen mit einer Genauigkeit von 92 und 80 Prozent ermitteln, heißt es bei Golem. Die Trefferquote fällt mit der Länge der Passwörter: Bei 16-stelligen Codes liegt sie nur noch bei 55 Prozent. Auch die Tippgeschwindigkeit und die Zeit zwischen Eingabe und Aufnahme beeinflussen den Erfolg der KI.

BSI-Empfehlungen zu sicheren Passwörtern

Bericht über Wärmebilderkennung bei Golem

2. Login ohne Passwörter? Vielleicht demnächst!

Wenn es nach Google, Apple oder Microsoft geht, sind die Tage unsicherer oder schwer zu merkender Passwörter gezählt. Unter anderem diese drei Unternehmen wollen sie durch sogenannte Passkeys ersetzen, eine Art von kryptografischem Schlüssel, der durch biometrische Sicherheitsmerkmale unterstützt wird. Passwörter kommen in dieser Konstruktion nicht mehr vor. Der Passkey ersetzt die klassische Methode per Passwort aber noch nicht. Wer sich weiterhin mit dem Passwort anmelden möchte, kann das tun. Dennoch bietet Google seit Anfang Mai die Möglichkeit an, sich über einen auf dem Smartphone gespeicherten Passkeys bei seinem Konto und damit bei vielen mit Google verbundenen Services anzumelden. Dem BSI zufolge bilden Passkeys zwar den Stand der Technik für Passwort-loses Authentisieren ab, es bestehen jedoch noch Herausforderungen, etwa die häufige Bindung der Schlüssel an konkrete Produkte und Ökosysteme, die eine plattformunabhängige Nutzung erschwerten. Bis dahin empfiehlt das BSI weiterhin die Zwei-Faktor-Authentisierung (2FA).

BSI-Informationen zu 2FA

WDR-Bericht über Passkeys bei Google

3. Verbraucher wollen besseres Identitätsmanagement

Die Aktivitäten der großen Anbieter rund um passwortloses Anmelden treffen den Wunsch von Verbraucherinnen und Verbrauchern nach mehr Komfort bei der Verwaltung ihrer Online-Konten. Der Report "The Future of Identity" von Entrust jedenfalls sei ein Beleg dafür, dass Passwörter ausgedient haben, schreibt Security Insider. Den meisten Usern falle es schwer, sich an Passwörter zu erinnern. Deshalb nutzten sie entweder immer das gleiche Kennwort, verwendeten ein unsicheres oder setzten es häufig zurück. Rund die Hälfte der Befragten hält dem Bericht zufolge biometrische Verfahren für sicherer, also beispielsweise die Identifizierung über Fingerabdruck oder Iris-Scan.

Security Insider über Studie zu Passwörtern

4. Multi-Faktor-Authentisierung unsicher?

Unterdessen berichtet Heise Online, wie Cyber-Kriminelle die Multi-Faktor-Authentisierung (MFA) aushebelten. Eine relativ einfache Strategie sei "MFA-Fatigue" (das "Fatigue" steht hier für Erschöpfung). Dabei versuchen Angreifende, sich mit bereits erbeuteten Zugangsdaten einzuloggen. Potenzielle Opfer bekommen eine Push-Nachricht oder einen Anruf auf ihr Smartphone, um die Anmeldung zu bestätigen. Das wiederholen die Angreifenden einfach so lange, bis die Opfer schließlich genervt auf den Button für "Bestätigen" klicken – in der Hoffnung, dass dann Ruhe herrsche. Natürlich ist das Gegenteil der Fall, denn ab dann haben die Cyber-Kriminellen vollen Zugriff auf die Konten ihrer Opfer. Allein Microsoft hat im August 2022 mehr als 40.000 Fatigue-Angriffe auf Kundinnen und Kunden seiner Azure Active Directory (AD) registriert – mit steigender Tendenz.

Weitere Beispiele über das Aushebeln der Multi-Faktor-Authentisierung finden Sie im Artikel bei Heise Online

5. Frisch getauft, schon bedroht

Die Korvette "Emden", das zweite von insgesamt fünf neuen Marineschiffen, wurde erst Anfang Mai in Hamburg getauft, steht den Seestreitkräften aber dennoch vorerst nicht zur Verfügung. Der Grund: IT-Probleme. Flottillenadmiral Andreas Czerwinski sagte dem NDR: "Das Boot ist nicht zulassungsfähig und anfällig gegenüber Hacker-Angriffen." Deshalb müsse nun bei der "Emden“" ebenso nachgebessert werden, wie bei ihrem Schwesterschiff "Köln". Das aber werde nach Schätzung der Marine zwei bis zweieinhalb Jahre dauern.

NDR-Bericht über IT-Probleme bei der gerade getauften Korvette "Emden"

6. Gefakte ChatGPT-Apps zielen auf Facebook-Business-Accounts

Der Mutterkonzern von Facebook, Meta, warnt vor gefälschten Anwendungen, die das momentan sehr populäre ChatGPT nutzen. Seit März hat Meta rund zehn Malware-Familien entdeckt, die die generative KI nutzen, um Geschäftskonten im Internet zu kompromittieren. Außerdem identifizierte Meta mehr als 1.000 URLs, die eine Verbindung zu ChatGPT vorgeben, aber tatsächlich auf Seiten mit Malware führten. Als Reaktion auf die neuen und speziell auf Facebook-Geschäftskonten ausgerichteten "Malware-Stämme" hat das Unternehmen neue Sicherheitsfunktionen eingeführt.

CSO Online über ChatGPT-Missbrauch bei Facebook-Geschäftskonten

7. Kurz notiert

a. Deutscher Autoersatzteilespezialist Bilstein gehackt
b. Daten von Lux Automation im Darknet aufgetaucht
c. Sicherheitslücke mit mehr als 16.000 Datensätzen von Lehrkräften in NRW könnte schon seit über 20 Jahren bestanden haben

Up-to-date

8. Neue Malware kontrolliert Windows-Geräte

Forschende von Elastic Security Labs haben einen Trojaner namens Lobshot entdeckt, der über Google Ads verbreitet wird und eine Software für den Fernzugriff auf die Rechner installiert. Dabei bedienen sich die Cyber-Kriminellen der legitimen Fernverwaltungs-Software AnyDesk. Die Security-Expertinnen und -Experten gehen davon aus, dass Lobshot vor allem für finanzielle Zwecke eingesetzt wird. Die Schadsoftware erlaubt es aber auch, infizierte Rechner über Maus und Tastatur zu steuern. Die gefälschte Webseite ähnelt der echten, ist aber anhand der URL zu erkennen.

Bericht über Lobshot bei CSO Online

9. Highspeed-Updates für Apple-Geräte

Updates sind nervig, kosten Zeit und blockieren für eine gewisse Zeit oft die Geräte, auf denen sie ausgeführt werden – so die Aussage vieler Nutzenden. Apple fährt daher künftig eine andere Strategie, wie Der Spiegel berichtet: Statt der bisher üblichen, oft mehreren hundert Megabyte großen Sicherheitsupdates verteilt Apple seine "schnelle Sicherheitsmaßnahmen" nun in kleineren Datenpäckchen, die sich in Sekunden bis Minuten herunterladen und installieren lassen. Damit will Apple nicht nur für mehr Bequemlichkeit sorgen, sondern auch für mehr Tempo, um "wichtige Sicherheitsverbesserungen zwischen Softwareupdates" schneller an die Nutzerinnen und Nutzer zu verteilen.

Der Spiegel über "schnelle Sicherheitsmaßnahmen" bei Apple

10. Aktuelle Warnmeldungen des BSI

Das BSI informiert auf seiner Webseite regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Informationen sowie Tipps zum Umgang damit.

Zum BSI-Portal

Gut zu wissen

11. So schützen Sie Computer und Smartphones auf Reisen

Das Magazin "WirtschaftsWoche" gibt Tipps, wie Sie auf (Dienst-)Reisen Ihre mobilen Geräte vor fremden Blicken und Zugriffen schützen können. Der Schutz beginnt bei einer Risikobewertung vor Reiseantritt, die auch von Joachim Wagner, dem stellvertretenden Pressesprecher des BSI, empfohlen wird. Die Bewertung gilt vor allem für Firmengeräte, ist aber auch für Privatleute interessant: Wohin geht die Reise, welche Möglichkeiten für Internetzugriffe gibt es und wie werden sie geschützt, sind Fragen, die es hier zu beantworten gilt. Noch mehr Schutzmaßnahmen bietet die im Artikel vorgestellte Checkliste, die vor jeder Auslandsreise abgearbeitet werden sollte.

WirtschaftsWoche über IT-Ausrüstung auf Reisen

BSI-Information zu IT-Sicherheit auf Reisen

12. Was ist eigentlich... Face Swapping?

Über seinen Instagram-Auftritt informiert das BSI regelmäßig zu aktuellen Themen rund um die Cyber-Sicherheit. Ganz neu: Informationen über das sogenannte Face Swapping, also das Vertauschen von Gesichtern. Dabei handelt es sich um ein Werkzeug für sogenannte Deep Fakes, also für nur schwer bis gar nicht erkennbare Fälschungen. Beim Face Swapping werden Bilder von Prominenten genutzt und so täuschend echt manipuliert, dass sie mit bekannter Mimik und Stimme völlig neue Inhalte transportieren, die oft für Falschnachrichten („Fake News) verwendet werden. Das kann mit der Absicht geschehen, politischen Gegnern zu schaden, wird aber auch zur Rufschädigung genutzt, etwa durch gefälschte Pornografie- oder Gewaltdarstellungen. Leicht zu erkennen sind solche Fälschungen nicht. Hier hilft nur ein gesundes Misstrauen gegenüber überraschenden Darstellungen und den oft damit verbundenen Fake News: lieber eine Quelle mehrfach überprüfen, bevor eine Meldung für wahr gehalten und weiterverbreitet wird!

Mehr BSI-Informationen über aktuelle Themen bei Instagram

Praktisch sicher

13. So schützen Sie sich vor Schadsoftware

Es gibt unterschiedliche Arten von Schadsoftware, die oft sogar mehrere Funktionen hat, etwa das Ausspähen von Passwörtern oder das Verschlüsseln von Daten mit dem Ziel, Lösegelder zu erpressen. Ebenso vielfältig sind die Möglichkeiten, sich solche Programme "einzufangen" – über E-Mails, SMS, auf Webseiten oder bei Downloads. Die folgenden Tipps helfen Ihnen, sich und Ihre Geräte zu schützen:

  • Halten Sie Ihre Geräte, Betriebssysteme und Anwendungen auf dem neuesten Stand und installieren Sie zeitnah alle Sicherheits-Updates und Virenschutzprogramme. Das ist der Basisschutz für Ihre Geräte.
  • Seien Sie achtsam, wenn Sie in Mails oder sozialen Netzwerken per SMS oder auf Webseiten auf Links klicken sollen. Oft steckt dahinter Schadsoftware. Wenn Sie sich nicht sicher sind oder keine Nachricht erwarten, fragen Sie sicherheitshalber auf anderem Wege bei der Absenderin oder dem Absender nach.
  • Seien Sie besonders kritisch, wenn Sie Mails mit ausführbaren Programmdateien mit den Endungen .exe, aber auch .bat, .com oder .vbs erhalten. Sie können Schadsoftware direkt auf Ihren Geräten installieren.


Mehr Tipps und Informationen über Schadsoftware erhalten Sie in einer ausführlichen Broschüre der Verbraucherzentrale Nordrhein-Westfalen und dem BSI

Übrigens

Wer als Privatperson Opfer eines Internetbetrugs wird, riskiert im Schnitt einen Schaden in Höhe von 674 Euro. Das ist eine Erkenntnis, die das BSI gemeinsam mit der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK) für das Digitalbarometer 2022 gewonnen hat. In acht von zehn Fällen müssen Betroffene von Cyber-Angriffen einen Schaden hinnehmen – den Verlust von Daten, beschädigtes Vertrauen, zeitliche Einschränkungen oder echte finanzielle Einbußen.

Weitere Informationen finden Sie in der Bürgerbefragung zur Cyber-Sicherheit 2022


Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag.

10 Basistipps für mehr Sicherheit in Ihren digitalen Alltag

Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn weiter