Newsletter SICHER • INFORMIERT vom 15.09.2023
Ausgabe: 19/2023
BSI goes San Francisco, Hacker-Angriff auf Microsoft enthüllt gravierende Sicherheitslücken, Rückblick: BSI auf der IAA Mobility & Schutz vor Trojanern
In den Schlagzeilen
1. BSI goes San Francisco
Das BSI intensiviert die Zusammenarbeit mit den USA, insbesondere im Bereich der Cybersicherheit. Gemeinsam mit dem Deutschen Wissenschafts- und Innovationshaus San Francisco (DWIH) und der Agentur für Innovation in der Cybersicherheit GmbH (Cyberagentur) startet das BSI ein Pilotprojekt zur Erforschung der Startup-Szene in der San Francisco Bay Area. Mit der BSI-Präsidentin Claudia Plattner reiste auch die Direktorin des DWIH, Zahar Barth-Manzoor, nach Kalifornien, wo sich ihnen Oliver Schramm anschloss, deutscher Generalkonsul in San Francisco. Auf Grundlage des Projekts wird die Bundesregierung über Forschungsförderungen in Deutschland entscheiden.
Das BSI über die Projektarbeit in San Francisco
Auch die WirtschaftsWoche zieht Bilanz des Besuchs
2. Hacker-Angriff auf Microsoft enthüllt gravierende Sicherheitslücken
Vor wenigen Tagen hat das US-Unternehmen Microsoft Erkenntnisse über einen schwerwiegenden Cyberangriff veröffentlicht. Zwischen Mitte Mai und Mitte Juni dieses Jahres griffen die Hackerinnen und Hacker auf die E-Mail-Konten von rund 25 Organisationen zu, darunter auch Regierungsbehörden. Auch das BSI prüft mögliche Konsequenzen des Angriffs für die Bundesverwaltung.
Die Tagesschau über den Hacker-Angriff auf Microsoft
3. Bitkom-Umfrage: Cyberkriminalität verursacht 206 Milliarden Euro Schaden
Laut einer Bitkom-Umfrage verursacht Cyberkriminalität in Deutschland in diesem Jahr Schäden in Höhe von 206 Milliarden Euro, darunter der Diebstahl von IT-Ausrüstung und Daten sowie über Industriespionage und Sabotage. Die Angriffe würden zunehmend bandenmäßig organisiert, heißt es in einem Bericht der Tagesschau. Die meisten Attacken kämen zudem mutmaßlich aus Russland und China. Drei von vier der befragten Unternehmen glauben, dass Sicherheitsbehörden gegen ausländische Angriffe machtlos seien – eine Einschätzung, der Bitkom-Präsident Ralf Wintergerst ausdrücklich widerspricht. Folgerichtig warnt er Unternehmen davor, auf Erpressungsversuche von Cyberkriminellen einzugehen und fordert stattdessen eine Meldepflicht für Unternehmen bei Cyberangriffen.
BSI-Lagebericht mit Zahlen zur IT-Sicherheit in Deutschland
Tagesschau über die Bitkom-Studie
4. Netzagentur schaltet Tausende Telefonnummern wegen Betrug ab
Die Bundesnetzagentur hat im Jahr 2023 fast 6.000 Telefonnummern deaktiviert, die von Kriminellen für den sogenannten Enkeltrickbetrug missbraucht wurden. Dazu geben sich Betrügerinnen und Betrüger am Telefon als in Not geratene Verwandte aus und setzen potenzielle Opfer unter Druck, Geld zu überweisen oder an der Haustür zu übergeben. In einigen Fällen verwenden sie sogar künstliche Intelligenz, um die Originalstimmen von Angehörigen täuschend echt nachzuahmen und so noch glaubwürdiger zu wirken.
Der Spiegel über den Betrug per Telefon
5. OLG Hamm: Nutzerin muss nach Datendiebstahl bei Facebook Schaden belegen
Das Oberlandesgericht (OLG) Hamm hat entschieden, dass Facebook gegen die Datenschutzgrundverordnung (EU-DSGVO) verstoßen hat. Bereits vor mehreren Jahren hatten Unbekannte eine Funktion zur Freundes-Suche in dem sozialen Netzwerk missbraucht und waren so an Daten von etwa 500 Millionen Nutzerinnen und Nutzer gekommen. Grundsätzlich sei der Facebook-Mutterkonzern Meta dafür haftbar, so das OLG. Dennoch ging die klagende Nutzerin leer aus, da sie den immateriellen Schaden nicht konkret genug nachweisen konnte. Das Gericht betonte, dass der Schaden nicht nur im Datenschutzverstoß selbst liegen könne, sondern darüberhinausgehende "persönliche bzw. psychologische Beeinträchtigungen" eingetreten sein müssten. Die Klägerin konnte jedoch nur ihr "Gefühl der Erschrockenheit" schildern, was nach Ansicht des Gerichts nicht ausreichte.
BSI-Infos über Datenleaks und Doxing
Legal Tribune Online über das OLG-Urteil
6. Rückblick: BSI auf der IAA Mobility
Das BSI hat auf der IAA Mobility das neue „Branchenlagebild Automotive 2022/2023" vorgestellt. Es beleuchtet die Cybersicherheit in der Automobilbranche und zeigt aktuelle Angriffsszenarien auf. Obwohl aktuell zugelassene Fahrzeuge ausreichend gesichert sind, betont das BSI die Bedeutung von Cybersicherheit, da zukünftige Technologien neue Herausforderungen mit sich bringen. Das Lagebild umfasst Berichte über Cyberkriminalität, die Sicherheit von Produktionsanlagen, Autodiebstähle, Angriffe auf Ladevorgänge von Elektroautos sowie gesetzliche Regelungen und Standardisierungsaktivitäten. Auf seinem Messestand auf der IAA Mobility präsentierte das BSI Exponate, die aktuelle Bedrohungsszenarien anschaulich verdeutlichen, darunter eine KI-gestützte Verkehrszeichenklassifizierung, einen Fahrsimulator und E-Ladesäulen.
Das BSI über Cybersicherheit in der Automobilbranche
Branchenlagebild Automotive 2022/2023
Kurz berichtet
• Website der Bafin nach Angriff nicht erreichbar
• Deutsche Leasing stellt Datendiebstahl nach Hackerangriff fest
• Chrome-Erweiterungen lesen Passwörter im Klartext aus
• Hacker verbreiten Ransomware via Cisco VPN
Up-to-date
7. AVM-Update schließt Sicherheitslücke in FritzBox
AVM hat ein Software-Update für zahlreiche Modelle seiner FritzBox-Router veröffentlicht. Berichten zufolge, könnte eine schwerwiegende Sicherheitslücke der Grund dafür sein. AVM hat dieses Update ohne vorherige Ankündigung und für rund 30 FritzBox-Modelle veröffentlicht, gibt aber bislang keine Details über den Patch preis.
Computer-Bild über die plötzlichen Fritzbox-Updates
8. Apple schließt nach Spyware-Angriffen Zero-Day-Lücken in iOS und macOS
Apple hat Sicherheitsupdates für iOS, iPadOS, macOS und watchOS veröffentlicht, um zwei Sicherheitslücken zu schließen. Diese Schwachstellen wurden offenbar von Cyberkriminellen bereits für gezielte Angriffe genutzt, unter anderem, um eine Spyware namens "Pegasus" einzuschleusen. Eine der Schwachstellen betrifft die ImageIO-Komponente und ermöglicht das Ausführen von Schadcode über manipulierte Bilddateien. Die zweite Schwachstelle wurde in der Wallet-App entdeckt und kann die Ausführung von Remote-Code ermöglichen.
ZDNET über die Sicherheitsupdates von Apple
9. Sicherheitsupdates gegen Schadcode-Attacken auf Android-Geräte
Google und andere Hersteller von Android-Geräten haben wichtige Sicherheitsupdates veröffentlicht, da verschiedene Teile des Systems verwundbar sind. Angreifende können nach erfolgreichen Attacken unbefugt auf Informationen zugreifen oder Schadcode ausführen. Einige dieser Lücken sind als "kritisch" eingestuft und betreffen die Android-Betriebssystem 11, 12, 12L und 13. Google warnt vor einer besonders gefährlichen Schwachstelle in der Systemkomponente, die es Angreifenden ermöglicht, Schadcode ohne besondere Nutzerrechte auszuführen. Android-Nutzende sollten sicherstellen, dass sie die neuesten Sicherheitsupdates installiert haben, um ihre Geräte zu schützen.
Heise Online über die Sicherheitsupdates
10. Aktuelle Warnmeldungen des BSI
Das BSI informiert auf seiner Webseite regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Informationen sowie Tipps zum Umgang damit.
Praktisch sicher
11. Schutz vor Trojanern
- Wie in der griechischen Mythologie tarnen sich sogenannte Trojaner vor neugierigen Blicken, so dass niemand sie auf den ersten Blick als Schadprogramme erkennen kann. Meist gelangen Trojaner über Downloads in IT-Systeme.
- Ein Zeichen eines möglichen Befalls ist, wenn ein Computer oder ein anderes digitales Gerät plötzlich deutlich langsamer arbeitet oder sich der Akku eines Smartphones sehr schnell entleert. Leider ist es dann für präventive Maßnahmen schon zu spät.
Daher sollten Sie sich vorher vor solchen Angriffen wappnen. Zum einen schützen Sie sich, wenn Sie Updates und den Virenschutz aktuell halten. - Zum anderen können Sie einen möglichen Schaden begrenzen, wenn Sie regelmäßig Backups Ihrer Daten anfertigen. Dann können Sie ein befallenes Gerät ohne Datenverluste restaurieren.
- Um sich vor Trojanern zu schützen, sollten Sie Dateien ausschließlich aus vertrauenswürdigen Quellen herunterladen, also zum Beispiel direkt über Hersteller und Anbieter.
- Öffnen Sie Datei-Anhänge und Links in E-Mails am besten gar nicht. Wenn sich das nicht vermeiden lässt, seien Sie besonders bei unbekannten Absenderinnen und Absendern aber misstrauisch.
Mehr Sicherheitstipps finden Sie u.a. auf dem Instagram-Kanal des BSI:
Oder auf dem YouTube-Kanal des BSI
Infos darüber, wie Sie sich vor unterschiedlichen Schadprogrammen schützen können, finden Sie auch auf der Webseite des BSI.
Was wichtig wird
12. Das BSI auf Europas größte Fachmesse zur IT-Sicherheit
Das BSI wird auf der it-sa Expo Congress, Europas größter Fachmesse für IT-Sicherheit, vertreten sein. Die Messe findet vom 10. bis 12. Oktober 2023 im Messezentrum Nürnberg statt und bietet eine Plattform für den Austausch zwischen IT-Sicherheitsanbietenden und -verantwortlichen. Am BSI-Stand können Besucherinnen und Besucher mit Expertinnen und Experten über verschiedene Themen diskutieren, darunter IT-Grundschutz, Sicherheitsberatung, VS-Innovationsforen und digitaler Verbraucherschutz. In der Speakers‘ Corner werden zudem Kurzvorträge zu verschiedenen BSI-Themen angeboten, darunter über KI beim automatisierten Fahren, Cybersicherheit für kleine und mittlere Unternehmen und sichere Cloud-Lösungen.
Weitere Informationen & Feedback
Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag.
10 Basistipps für mehr Sicherheit in Ihren digitalen Alltag
Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten
Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn gerne an Freunde und Familie weiter