Navigation und Service

Newsletter SICHER • INFORMIERT vom 18.08.2022

Ausgabe 17/22

Faeser warnt vor Angriffen auf Kritische Infrastruktur, Sesam öffne Dich? Leichtes Spiel mit unsicherem Funk-Türschloss & Never Play on Patchday – das BSI auf der Gamescom in Köln

In den Schlagzeilen

1. Faeser warnt vor Angriffen auf Kritische Infrastruktur

Bundesinnenministerin Nancy Faeser hat einem Bericht von Redaktionsnetzwerk Deutschland (RND) zufolge vor Attacken auf die Energie-Infrastruktur in Deutschland gewarnt. Deutschland müsse "gegen mögliche Attacken auf Gas-Terminals und andere kritische Infrastruktur gerüstet sein", zitiert RND die Aussagen der SPD-Politikerin aus einem Interview mit der BILD am Sonntag. Konkret nennt Faeser demnach den Schutz vor Cyberattacken.

Aktueller Bericht des BSI zur IT-Sicherheitslage in Deutschland

RND berichtet über die Warnung von Faeser

2. Multi-Faktor-Authentisierung wirkt – Hackerinnen und Hacker geben auf

Multi-Faktor-Authentisierung (MFA) bietet zusätzlichen Schutz vor Cyberangriffen. Wie gut das offenbar gelingt, hat nun Europol bekannt gegeben. Laut IT Daily gaben Hackerinnen und Hacker angesichts einer MFA in einem konkreten Fall wohl einfach auf. Ihren Ransomware-Angriff sollen sie eingestellt haben. Die europäische Polizeibehörde hatte den Angriffsversuch bei ihren Ermittlungen verfolgen können. Bei einer MFA reicht das richtige Passwort allein nicht aus, um Zugriff auf Daten zu erhalten oder den Zugang zu einem System zu erlangen. Es braucht daneben noch weitere Faktoren, anhand derer es möglich ist, die Berechtigung zu überprüfen.

Informationen des BSI zur Multi-Faktor-Authentisierung

IT-Daily berichtet über die Ergebnisse von Europol

3. Sesam öffne Dich? Leichtes Spiel mit unsicherem Funk-Türschloss

Immer häufiger kommen für den Schutz von Räumen und Eingangstüren digitale Türschlösser zum Einsatz. Zum Ver- und Entriegeln werden dabei unterschiedliche Techniken zur Übertragung von Schließ- und Öffnungssignalen wie etwa Funk verwendet. Im Falle des digitalen Türschlosses "HomeTec Pro CFA3000" des Herstellers ABUS warnt das BSI jetzt jedoch vor dem Einsatz und empfiehlt, das Produkt zu ersetzen. Angreifende, die sich in der Nähe befinden, können sich nach Erkenntnis des BSI eine Schwachstelle zunutze machen, die es erlaubt, das Funkschloss zu ver- und entriegeln. Auf diese Weise könnten sich Unbefugte Zugang verschaffen. Der Hersteller hat die Schwachstelle bestätigt. Es soll sich um ein Auslaufmodell handeln, das seit März 2021 durch ein Nachfolgemodell ersetzt werde.

Die Pressemitteilung des BSI zur Produktwarnung

4. Unter falscher Flagge: Schwachstelle bei Videoidentifizierung

Ganz gleich, ob es um ein neues Konto oder einen Mobilfunkvertrag geht: Durch die Möglichkeit, sich per Video zu identifizieren, können sich Verbraucherinnen und Verbraucher oftmals den Weg in die Filiale sparen. Wie der Spiegel berichtet, soll es Expertinnen und Experten des Chaos Computer Clubs (CCC) gelungen sein, sich mit geringem Aufwand bei sechs Anbietern solcher Dienste mit einer falschen Identität anzumelden. Sie konnten „sogar die elektronische Patientenakte einer eingeweihten Testperson einsehen“, wie das Magazin schreibt. Die Hackerinnen und Hacker erstellten einen digitalen Zwilling eines echten Ausweisdokumentes, bei dem sie anschließend Angaben wie den Namen oder das Bild ersetzen. Den Beschäftigten des Video-Ident-Dienstes soll später ein in Echtzeit manipuliertes Video auf einem handelsüblichen Fernseher vorgespielt worden sein. Sechs getestete Anbieter akzeptierten die im Video gezeigten falschen Dokumente.

Zur Meldung des Spiegel über die Probleme mit den Video-Ident-Verfahren

5. Kurz notiert

Russische Hackerinnen und Hacker versuchten im Frühjahr erfolglos, ein ukrainisches Umspannwerk zu attackieren

Aktivistengruppe deckt Sicherheitslücke in Praxissoftware auf, über die sich Millionen von Patientendaten abrufen lassen

Industrie- und Handelskammer untersuchen möglichen Hackerangriff

Welche Kammern von dem Vorfall betroffen sind, schreibt CSO Online

Up-to-date

6. Dogwalk: Cyberkriminelle nutzen Windows-Sicherheitslücke

Unter dem Codenamen Dogwalk hat Microsoft laut Computerbild eine aktuelle Sicherheitslücke gelistet, über die es Angreifenden möglich sein soll, schadhaften Code aus der Ferne auf einen Computer zu schleusen und auch auszuführen. Betroffen sind alle aktuellen Versionen des Windows-Betriebssystems. Ein Sicherheitsupdate für Windows 11, Windows 10 und Windows Server hat Microsoft inzwischen veröffentlicht. Die Schwachstelle soll dem Bericht zufolge bereits seit 2020 bekannt sein. Um sie auszunutzen, müssen sich Kriminelle allerdings zunächst per Phishing oder Social Engineering einen Zugang zum System verschaffen.

Zum Bericht von Computerbild

7. Update gegen Schwachstellen für Router von Cisco

Cisco stellt ein Update für seine Router der RV-Serie bereit. Laut Heise Online sind der Grund dafür verschiedene Schwachstellen. Eine von ihnen soll es Angreifenden sogar ermöglichen, eigenen Code einzuschleusen und als root auszuführen. Konkret betreffen die Schwachstellen dem Bericht zufolge die Serien RV160, RV260, RV340 sowie RV345.

Heise Online über die Schwachstellen in den Routern der RV-Serie

8. VMware: Update soll zehn Lücken schließen

VMware ruft einem Bericht von Heise Online zufolge seine Nutzerinnen und Nutzer zum schnellen Handeln auf. Grund ist eine ganze Liste mit Sicherheitslücken in verschiedenen Produkten. In einem der Fälle erhalten Angreifende sogar Zugriff auf Programme, ohne über das nötige Passwort verfügen zu müssen. Konkret betreffen die insgesamt zehn Lücken in verschiedenen Programmen, die das aktuelle Update schließen soll: VMware Workspace ONE Access (Access), VMware Workspace ONE Access Connector (Access Connector), VMware Identity Manager (vIDM), VMware Identity Manager Connector (vIDM Connector), VMware vRealize Automation (vRA), VMware Cloud Foundation, vRealize Suite Lifecycle Manager.

Zum Bericht von Heise Online über die Sicherheitslücken in den VMware-Produkten

9. Zoom-Sicherheitslücke öffnet Tür und Tor für Schadsoftware

Nutzerinnen und Nutzer der Mac-Version der Videokonferenzsoftware Zoom sollten laut SPIEGEL Online schnellstmöglich das aktuelle Update installieren. Grund dafür ist eine Sicherheitslücke, über die das Portal berichtet und die demnach auf der Hackerkonferenz Defcon in Las Vegas vorgestellt worden ist. Angreiferinnen und Angreifer können sich laut Bericht die Auto-Update-Funktion des Programms zunutze machen und damit den sonst bei Installationen üblichen Passwortschutz des macOS-Betriebssystems umgehen.

Über die Sicherheitslücke bei Zoom berichtet der Spiegel

Gut zu wissen

10. Dem Fakeshop auf der Spur

Als aufmerksame Leserinnen und Leser dieses Newsletters wissen Sie, dass es immer wieder zu Betrügereien beim Online-Handel kommt. Ein Tool der Verbraucherzentrale Nordrhein-Westfalen unterstützt Verbraucherinnen und Verbraucher nun dabei, Fake-Shops zu erkennen. Über ein Online-Formular gibt es die Möglichkeit, die URL eines Online-Shops zu prüfen. Der Fakeshopfinder überprüft daraufhin die Webseite auf Merkmale eines Fakeshops. Eine Ampel signalisiert, inwieweit Nutzerinnen und Nutzer dem Shop vertrauen können.

Die Verbraucherzentrale Nordrhein-Westfalen stellt den Fakeshopfinder online bereit

11. Zurück in die Zukunft: Cybersicherheit für Weltrauminfrastruktur

Ohne Satelliten wären viele alltägliche digitale Dienste kaum denkbar, sei es beruflich oder privat. Als nationale Cybersicherheitsbehörde hat sich das BSI daher mit der Frage beschäftigt, welchen strategischen Handlungsbedarf es gibt, um die Cybersicherheit von Weltraumsystemen und den zugehörigen Infrastrukturen zu schützen und welche Maßnahmen umgesetzt werden sollten. Die Ergebnisse hat das BSI in seiner Positionierung zur „Cybersicherheit für Weltrauminfrastrukturen“ festgelegt.

Praktisch sicher

12. So gelingt das kontaktlose Bezahlen – mit Sicherheit

Die eigenen Einkäufe lassen sich einfach per Wallet- oder Bezahl-App kontaktlos bezahlen. Auf Bankkarten und Bargeld sind Nutzerinnen und Nutzer damit nicht angewiesen. Um kontaktlos bezahlen zu können, kommt die Technologie Near Field Communication (NFC) zum Einsatz, welche die Datenübertragung auf sehr kurze Distanz ermöglicht. Die Methode gilt aufgrund dieser kurzen Distanz als sehr sicher – um Daten abgreifen zu können, müssten Cyberkriminelle also unmittelbar an das auszuspähende Gerät herantreten. Tatsächlich ist kontaktloses Bezahlen per Smartphone sogar noch sicherer als beispielsweise das kontaktlose Bezahlen mit der Bankkarte, da lediglich ein einmalig verschlüsselter Code ausgetauscht wird und nicht die gesamten Kontodaten. Wichtig ist jedoch, das Smartphone nach dem Bezahlvorgang wieder auszuschalten und es stets mit einer PIN zu sichern. Auch die Bildschirmsperre und eine Blickschutzfolie für Displays, die verhindert, dass Fremde von der Seite Einblicke auf Daten erhaschen können, sorgen für eine zusätzliche Absicherung beim kontaktlosen Bezahlvorgang.

Infos des BSI auf Twitter

Informationen vom BSI zum kontaktlosen Bezahlen

Was wichtig wird

13. Never Play on Patchday – das BSI auf der Gamescom in Köln

Zuhause, am PC oder auf dem Handy in andere Welten eintauchen: Online-Spiele sind aus der Freizeit vieler Deutschen nicht wegzudenken. Doch leider sind Online-Spiele ein beliebtes Angriffsziel für Cyberkriminelle. Daher ist das BSI auch in diesem Jahr vom 24.08. bis 28.08. auf der Gamescom vertreten. Die Expertinnen und Experten des BSI informieren Besucherinnen und Besucher am Stand (Halle 10.2, Ebene 2, Stand B010), wie sich das Spielvergnügen möglichst sicher gestalten lässt und wie sich Spielerinnen und Spieler effektiv vor Betrug und Account-Diebstahl schützen können.

Informationen zum Thema Gaming sind hier zu finden (Seite wird aktualisiert)

Übrigens...

...beim Phishing versuchen Kriminelle, Menschen dazu zu verleiten, vertrauliche Informationen wie beispielsweise Zugangsdaten preiszugeben. Besonders erfolgreich sind sie dabei offenbar mit vermeintlichen E-Mails der Personal- beziehungsweise IT-Abteilung. Bei einem Phishing-Test mit Geschäfts-E-Mails soll sich jetzt herausgestellt haben, dass in mehr als der Hälfte der angeklickten Betreffzeilen Mitteilungen der Personalabteilung imitiert worden sind. Das berichtet das Portal Datensicherheit.

Das Portal Datensicherheit berichtet über den Phishing-Test

Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag.

10 Basistipps für mehr Sicherheit in Ihren digitalen Alltag

Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn weiter