In den Schlagzeilen

1. BSI will Sicherheit von Open-Source-Software erhöhen

Das BSI hat im Rahmen des Projekts "Codeanalyse von Open Source Software (CAOS)" den Programmcode von Open-Source-Projekten auf Schwachstellen untersucht. Dabei entdeckte das Forschungsteam zwei als „kritisch“ eingestufte Sicherheitslücken in der Videokonferenz-Software BigBlueButton mit Versionsnummern kleiner als 2.4.7 und der dazu gehörenden Benutzeroberfläche Greenlight vor 2.11.1. Beide Lücken hätten es Angreiferinnen oder Angreifern ermöglicht, Schadcode zu injizieren. In den neueren Versionen der beiden Anwendungen sind die Lücken geschlossen.

Weitere Ergebnisse der CAOS-Analyse von Videokonferenzsystemen

Heise Online über Lücken unter anderem bei BigBlueButton

2. BSI formuliert Regeln für sichere Software-Lieferketten

Das BSI hat eine Richtlinie für Software Bills of Materials (SBOM) herausgegeben. Ziel der Regeln ist es, Unternehmen und die öffentliche Verwaltung dabei zu unterstützen, Software-Lieferketten besser abzusichern und die Auswirkungen von Sicherheitsdebakeln wie Log4j abzumildern. 2021 war eine kritische Schwachstelle in der Java-Bibliothek Log4j bekanntgeworden, die in zahlreichen Software-Projekten eingesetzt wurde. Darüber wäre es möglich gewesen, eine Vielzahl von Anwendungen zu infiltrieren. Mit der SBOM sollen solche Gefahren eingedämmt werden.

BSI-FAQ für Software-Hersteller über SBOM

Heise Online über die richtigen Zutaten für das Absichern der Software-Lieferkette

3. Hacker konnten Standortdaten von Feuerwehrautos abgreifen

Hackerinnen und Hacker konnten einem ZDF-Bericht zufolge die Standortdaten von Feuerwehrautos abgreifen – metergenau, rund um die Welt. Möglich ist das über einen von der österreichischen Firma Rosenbauer angebotenen Software-Tracker, mit der Organisationen ihre Fahrzeuge überwachen und miteinander vernetzen können. Hackerinnen und Hacker des Kollektivs "zerforschung", das für das Aufspüren von Sicherheitslücken bekannt ist, besorgten sich die App, legten sich ein Kundenkonto an und begannen damit, die Anwendung zu analysieren. In kürzester Zeit sei es ihnen gelungen, Ortungsdaten auch ohne Befugnis abzufragen, berichtet ein Mitglied der Gruppe. Auch eine Kundenliste der Firma und Informationen über die Art der eingesetzten Feuerwehrautos sei zugänglich gewesen. Rosenbauer habe das Datenleck bestätigt und den Fehler behoben, heißt es beim ZDF.

ZDF über Datenleck bei Feuerwehr-Tracker

4. Kurz notiert

• Kriminelle locken Sparkassen-Kundinnen und -Kunden mit Cashback-Masche
• Cyber-Angriff auf Trinkwasserverband Stade, Wasserversorgung ist nicht betroffen
• Tausende sensible Daten bei Angriff auf Münchner Verlagsgruppe gestohlen

Up-to-date

5. Mehrere Drucker von HP und Samsung weisen schwere Sicherheitslücken auf

Diverse Drucker der Hersteller HP und Samsung wiesen mit dem Bedrohungsgrad "hoch" deklarierte Sicherheitslücken auf, meldet t3n. Eine Liste der betroffenen Modelle ist unten verlinkt. Über die Schwachstellen sei es Cyber-Kriminellen möglich, sich seitwärts in ein Netzwerk vorzuarbeiten und dort weitere Aktivitäten zu starten.

t3n über Sicherheitslücken bei HP- und Samsung-Druckern

Liste mit betroffenen Druckern und Tipps zum Schließen der Sicherheitslücken

6. Exchange-Server: Gepatcht und doch nicht gepatcht

Microsoft hat vor wenigen Tagen kritische Sicherheitsupdates zurückgezogen, die das Unternehmen selbst erst kurz zuvor veröffentlicht hatte. Grund dafür sind nach Angaben des Konzerns Set-up-Probleme auf nicht-englischsprachigen Servern. Weitere Details hat das Unternehmen nicht genannt. Tatsächlich gibt es Golem zufolge Berichte, nach denen die fehlgeschlagenen Updates in einigen Fällen dazu geführt hätten, dass die Exchange-Server ohne manuelle Eingriffe ihren Dienst nicht mehr ordnungsgemäß verrichten konnten. Ein Patch des Patches ist bislang nicht verfügbar.

Golem über gescheiteren Exchange-Server-Patch

Zum Microsoft-Support

7. Aktuelle Warnmeldungen des BSI

Das BSI informiert auf seiner Webseite regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Informationen sowie Tipps zum Umgang damit.

Zum BSI-Portal

Gut zu wissen

8. Neuer Podcast "Update verfügbar": Was ist KI, was kann sie und wo geht es hin?

In der 33. Folge des BSI-Podcasts "Update verfügbar" beschäftigt sich das Moderationsduo um Ute Lange und Michael Münz mit Künstlicher Intelligenz (KI). Auch wenn aktuell Lösungen wie ChatGPT oder Bard die öffentliche Debatte prägen: Die Geschichte von KI geht bis in die 1950er Jahre zurück. Christian Temath, Geschäftsführer der Kompetenzplattform KI.NRW, klärt mit Lange und Münz alle wichtigen Fragen rund um das Thema KI, schätzt ein, wo wir beim Thema KI stehen, worauf wir achten müssen und was uns in (naher) Zukunft erwarten wird.

BSI-Podcast "Update verfügbar", #33: Künstliche Intelligenz - Was es ist, was es kann und wo es hingeht

Praktisch sicher

9. Die besten Sicherheitstipps für Gamerinnen und Gamer

Die Gamescom in Köln (mehr dazu unter "Was wichtig wird") wirft ihre Schatten voraus. Auch das BSI ist vor Ort, aber wir haben hier schon einmal die wichtigsten Tipps für Spielerinnen und Spieler aufgeschrieben, die immer gelten – auch außerhalb der Messe.
• Laden Sie Spiele nur aus offiziellen Quellen herunter! Dazu zählen die App Stores der Smartphone-Hersteller und die großen Software-Shops, die mit Entwicklerinnen und Entwicklern zusammenarbeiten. Ein unbekannter Ursprung, ein konkurrenzlos günstiger Preis oder ein fehlendes Impressum können auf eine unseriöse Quelle hinweisen.
• Schützen Sie Ihre Accounts! Cyber-Kriminelle versuchen womöglich, Ihren Account zu knacken. Wie Sie starke Passwörter bilden, die Zwei-Faktor-Authentisierung bei verschiedenen Konsolen aktivieren und was noch hilft, verlinken wir unter diesem Beitrag.
• Augen auf bei In-App-Käufen! Sichern Sie solche am besten zusätzlich durch ein Passwort, um nicht in Kostenfallen zu tappen – auch nicht unbeabsichtigt.
• Legen Sie ein separates Benutzerkonto an! Das Konto, das Sie für Games verwenden, sollte nur über eingeschränkte Rechte verfügen. Dadurch hat eine Schadsoftware nicht gleich Admin-Berechtigungen. Außerdem sollten Sie auf diesem Benutzerkonto nur die nötigsten Daten hinterlegen.
• Laden Sie Updates herunter, sobald diese verfügbar sind! Oft schließen Hersteller auf diesem Weg Sicherheitslücken, bevor Cyber-Kriminelle sie ausnutzen können.

Mehr Tipps des BSI zu den "Spielregeln für digitale Sicherheit" beim Gaming.

Hinweise zur Zwei-Faktor-Authentisierung für mehr Datensicherheit

Was wichtig wird

10. Tag der offenen Tür bei der Bundesregierung

Unter dem Motto "Die Regierung lädt ein" öffnen am 19. und 20. August 2023 das Bundeskanzleramt, die Bundesministerien und das Bundespresseamt in Berlin ihre Türen für interessierte Besucherinnen und Besucher. Im Bundesministerium des Innern und für Heimat (BMI) wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) zwischen 10 und 18 Uhr Informationsangebote für einen sicheren digitalen Alltag präsentieren. Stellen Sie Ihre Fragen zu Risiken im Internet, informieren Sie sich über entsprechende Schutzmaßnahmen und das IT-Sicherheitskennzeichen oder schlüpfen Sie im VR-Spiel "Mission: Weakpoint" in die Rolle eines Hackers.

Im Bundesministerium für Wirtschaft und Klimaschutz (BMWK) kann an einem Stand des BSI die Schlüsseltechnologie für die Digitalisierung der Energiewende "Smart-Meter-Gateway" in einer interaktiven Simulation erkundet werden.

Weitere Informationen des BSI zum Tag der offenen Tür

Weitere Informationen & Feedback

Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag.

10 Basistipps für mehr Sicherheit in Ihren digitalen Alltag

Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn gerne an Freunde und Familie weiter