In den Schlagzeilen

1. Einbruch bei Streaming-Dienstleister Plex

Beim Streaming-Anbieter Plex ist es Hackerinnen und Hackern gelungen, in die Nutzer-Datenbank einzudringen und so auf die Zugangsdaten der Kundinnen und Kunden zuzugreifen, darunter auf E-Mail-Adressen, Nutzernamen und Passwörter. Das Sicherheitsteam des Anbieters hat als Reaktion auf den Angriff die Passwörter zurückgesetzt, um unbefugte Zugriffe auf die Konten zu verhindern. Zudem bittet das Team die Nutzerinnen und Nutzer, ihre Passwörter umgehend zu ändern und empfiehlt gleichzeitig, die Konten über Zwei-Faktor-Authentisierung abzusichern. Plex legt Wert auf die Feststellung, dass Kreditkarteninformationen und Zahlungsdaten nicht auf den angegriffenen Servern gespeichert und daher von dem Vorfall nicht betroffen sind.

BSI-Informationen zur Zwei-Faktor-Authentisierung

Heise Online über den Angriff auf Plex

2. Zero Trust beim BMI

Das Bundesinnenministerium strebt für den Schutz seiner IT-Infrastruktur ein sogenanntes Zero-Trust-Modell an. Anders als bei traditionellen Sicherheitskonzepten gehen IT-Verantwortliche hier davon aus, dass nichts von dem, was innerhalb eines Netzwerks geschieht, als wirklich vertrauenswürdig angesehen werden kann und somit auch "kein falsches Gefühl von Sicherheit vermittelt" wird. Stattdessen arbeitet Zero Trust mit leistungsfähigen Monitoring-Systemen und Tools, die Netzwerkdaten in Echtzeit erfassen und an Anwendungen zur Überwachung der Cyber-Sicherheit weiterleiten. Diese Transparenz ermöglicht es, Bedrohungen automatisch zu erkennen und die Unterstützung der Tools bei Schadensbegrenzung anzubieten.

Bericht des BSI zur IT-Sicherheitslage in Deutschland

Datensicherheit.de über Zero Trust beim BMI

3. Vorübergehend eingeschränkte Zahlungsmöglichkeiten in Mecklenburg-Vorpommern

Viele Landeseinrichtungen in Mecklenburg-Vorpommern nehmen derzeit nur Barzahlungen entgegen. Grund dafür ist ein vom Computer-Notfall-System (CERT M-V) entdeckter Sicherheitsvorfall bei einem speziellen Kartenlesegerät. Der Hersteller hat bestätigt, dass das System aufgrund einer Sicherheitslücke in Android OS mit einer Schadsoftware infiziert war, meldet CSO Online. Bis der Fall endgültig geklärt ist, werden die Kartenleser nicht mehr eingesetzt. Nach Angaben der Landesregierung sind rund 100 Geräte in landeseigenen Museen und Schlössern, aber auch bei Polizei und Gerichtsvollziehern betroffen.

CSO Online über ein Sicherheitsleck bei Kartengeräten

4. Kurz notiert

• Russische Hacker greifen Microsoft 365 an
• Fehler in VMware-Produkten verursachen Bluescreens
• Sicherheitslücke bedroht Kritische Infrastrukturen
• Reifenhersteller Continental Opfer eines Cyberangriffs

Up-to-date

5. Sicherheitsupdates für Thunderbird und Firefox ESR

Im Open-Source-E-Mail-Programm Thunderbird und im ebenfalls frei verfügbaren Webbrowser Firefox ESR sind mehrere Sicherheitslücken geschlossen worden, die vom Anbieter Mozilla mit dem Bedrohungsgrad „hoch“ klassifiziert wurden. Wenn in den Anwendungen die Standardeinstellungen aktiviert sind, werden die Updates automatisch eingespielt.

Heise Online über Sicherheitslücken bei Thunderbird und Firefox

6. GitLab schließt kritische Sicherheitslücke

GitLab, eine Anwendung zur Versionsverwaltung von Softwareprojekten, hat in seiner Community- und Enterprise-Edition ebenfalls eine kritische Sicherheitslücke geschlossen, über die es Angreifenden möglich war, eingeschleusten Schadcode auszuführen. Die GitLab-Versionen 15.3.1, 15.2.3 und 15.1.5 schließen diese Lücke sowohl in der Community- wie in der Enterprise-Edition.

Heise Online über Sicherheitslücke bei GitLab

7. Apple: Zwei Schwachstellen weniger

Auch Apple macht aktuellen Schwachstellen den Garaus: Über eine der Sicherheitslücken war es in der WebKit-Software möglich, Schadcode auszuführen. Über WebKit werden Inhalte in Webbrowsern dargestellt. Mobile Geräte wie iPhones und iPads waren offenbar stärker betroffen als Desktop-Computer, weil dort alle Browser die Apple-Technologie nutzen. Die zweite Sicherheitslücke wurde im Kernel des Apple-Betriebssystems gefunden, also sozusagen im Herz des Systems. Darüber konnten Angreiferinnen und Angreifer Daten abgreifen. Besonders solche Lücken, heißt es in dem Bericht von ChannelObserver, würden in der Regel von Geheimdiensten und Herstellern von Überwachungssoftware gezielt ausgenutzt. Apple hat für beide Sicherheitslücken Updates bereitgestellt, die von den Nutzerinnen und Nutzern allerdings aktiv installiert werden müssen. Betroffen sind die Betriebssystem-Versionen iOS 15.6.1 beim iPhone und iPadOS 15.6.1 bei den Tablets sowie macOS Monterey 12.5.1 bei Apple-Computern.

Bericht des ChannelObserver über Sicherheitslücken bei Apple-Geräten

8. Trotz Patch: 80.000 Hikvision-Kameras immer noch anfällig

Obwohl das chinesische Unternehmen Hikvision bereits im September 2021 Sicherheitsupdates für eine Schwachstelle in seinen Überwachungskameras bereitgestellt hat, sind immer noch rund 80.000 Geräte nicht vor Angriffen geschützt, berichtet CSO Online. Cyberkriminelle könnten die Schwachstelle ausnutzen, um Nachrichten mit böswilligen Befehlen an einen angeschlossenen Webserver zu senden. Der banale Grund für die anhaltenden Sicherheitsprobleme: Viele Nutzerinnen und Nutzer der Kameras haben die Updates schlicht noch nicht aufgespielt. Das sollten sie unbedingt nachholen.

Aktueller Patch für die Kameras

Gut zu wissen

9. Update verfügbar #23: BSI auf der Gamescom

In Folge 23 ihres Podcasts "Update verfügbar" sprechen Ute Lange und Michael Münz im Rahmen des Auftritts der Cybersicherheitsbehörde des Bundes auf der weltgrößten Spielemesse Gamescom über das Thema Sicherheit von Videospielen. Gemeinsam mit dem Gaming-Journalisten Felix Rick sprechen die beiden über die Veränderungen der Videospielwelt durch die Corona-Pandemie, die Trends der Zukunft und über alles, was die Gamescom 2022 ihren Besucherinnen und Besuchern zu bietet. Zudem vermittelt das Trio in der Folge jede Menge Tipps und Tricks für guten Accountschutz besonders im Gaming-Bereich.

BSI-Informationen zu den Spielregeln für digitale Sicherheit

Die aktuelle sowie alle weiteren Folgen des BSI-Podcasts "Update verfügbar" können Sie sich hier anhören:

• Apple iTunes
• Spotify
• Deezer
• YouTube
• Google Podcast
  
  Transkript zur Folge

10. DsiN-Ratgeber: Das "Digitale Ich" schützen

Der neue Ratgeber "Das Digitale Ich - selbstbestimmt surfen" der auch vom BSI unterstützen Initiative "Deutschland sicher im Netz (DsiN)" beschäftigt sich mit dem Problem des Identitätsdiebstahls im Internet. Unter dem "Digitalen Ich" versteht die Initiative alle im Netz gespeicherten Daten, die wir über Online-Shopping, das Arbeiten im Homeoffice und bei vielen anderen Gelegenheiten dort hinterlassen. "Damit diese Daten sicher sind und nicht für kriminelle Zwecke missbraucht werden können, ist es von großer Bedeutung zu wissen, wie Nutzer:innen mit den persönlichen Daten im Internet sicher umgehen können und welche Informationen ihr Digitales Ich bilden."

Den DsiN-Ratgeber "Das Digitale Ich - Selbstbestimmt surfen" sowie weitere Themenausgaben

Praktisch sicher

11. Sichere Geräte zum Schulstart

Fast alle Kinder nutzen digitale Geräte – zuhause zum Spielen oder Videoschauen und in der Schule zum Lernen. Dabei sind sie, wie wir alle, vielen Risiken und Gefahren ausgesetzt, die Sie kennen sollten, um sie umgehen zu können. Mit den folgenden Tipps schützen Sie Ihre Kinder besser:

Prüfen Sie vor dem Kauf von Smartphones, Tablets oder Laptops, wie sie sich kindersicher konfigurieren lassen. Aktivieren Sie nach dem Kauf die Einstellungen für Jugendschutz.

Richten Sie für Ihre Kinder eigene Nutzerkonten mit beschränkten Rechten ein. So können Sie zum Beispiel Bildschirmzeiten und die Laufzeit von Programmen festlegen oder den Kauf kostenpflichtiger Assets unterbinden.

Definieren Sie im Webbrowser eine kindgerechte Suchmaschine als Startseite. Empfehlungen dazu finden Sie beim Deutschen Bildungsserver (Adresse unten). Über die Einstellungen im Browser können Sie auch bestimmte Webseiten etwa mit sensiblen oder gewaltverherrlichenden Inhalten sperren.

In den App-Stores mobiler Geräte ist es möglich, sogenannte In-App-Käufe zu unterbinden.

Sprechen Sie mit Ihren Kindern über Gefahren, die in den sozialen Netzwerken auf sie lauern können. Tipps und Empfehlungen des BSI

Tipps für kindgerechte Suchmaschinen

Übrigens...

Wussten Sie eigentlich, dass die Suchmaschine Google bei Ihren Suchanfragen insgesamt 39 Arten von privaten Daten speichert? Dazu gehört zum Beispiel der Standort der Nutzerinnen und Nutzer, der Browserverlauf mit Lesezeichen, sämtliche Suchanfragen, die Mails in Gmail-Konten sowie Kontakte und Kalendereinträge (Quelle).

Wenn Sie ganz genau wissen möchten, was Google über Sie weiß, können Sie hier eine Kopie der gespeicherten Daten Ihres Nutzerkontos herunterladen: https://takeout.google.com/settings/takeout

Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag.

10 Basistipps für mehr Sicherheit in Ihren digitalen Alltag

Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn weiter