Navigation und Service

Newsletter SICHER • INFORMIERT vom 21.10.2021

Ausgabe: 19/2021

Das BSI veröffentlicht den Bericht zur Lage der IT-Sicherheit in Deutschland, Warnung vor neuer Smishing-Welle & Google macht Zwei-Faktor-Authentisierung zum Standard

In den Schlagzeilen

1. Es ruckelt bei Twitch

Cyberkriminelle haben offenbar relevante Daten der Videoplattform Twitch (auf Deutsch „Ruck“) geklaut und in einem 4chan-Forum, eine Plattform zum anonymen Austausch von Bildern und Texten, veröffentlicht, wie Twitch selbst berichtet. Der Leak soll das gesamte System inklusive Quellcodes und Auszahlungsinformationen der Twitch-Publisher umfassen. Hinweise, dass auf Passwörter zugegriffen wurde, hat Twitch nicht bestätigt. Als Reaktion auf den Hack hat Twitch die Prämien für gefundene Fehler erhöht. Für korrekt gemeldete Sicherheitslücken zahlt die Plattform nun bis zu 5.000 statt wie bisher maximal 3.000 US-Dollar, schreibt Heise Online.

Zum Statement von Twitch.

Heise Online zur Erhöhung der Fehlerprämien.

2. Schwerin in Schwierigkeiten

Viele Verwaltungsdienstleistungen der mecklenburg-vorpommerischen Landeshauptstadt Schwerin sind derzeit nicht zu erreichen, alle Bürgerämter sind geschlossen. Der Grund ist eine Ransomware-Attacke, bei der die IT-Systeme verschlüsselt wurden. Betroffen ist auch der benachbarte Landkreis Ludwigslust-Parchim, wie Heise Online berichtet. Ob es Lösegeldforderungen gibt und ob Daten abgeflossen sind, ist derzeit noch unklar (Stand 15.10.).

Detaillierter Bericht des BSI über die allgemeine Bedrohungslage durch Ransomware sowie über Möglichkeiten der Prävention und Reaktion.

Heise Online zum Angriff auf Schwerin.

3. Smishing-Alarm des BSI

Das BSI warnt aktuell vor sogenanntem Smishing. Damit ist das Phishing über SMS-Nachrichten gemeint. Das BSI hat drei neue Smishing-Methoden identifiziert: In SMS werden Nutzerinnen und Nutzer auf eine Sprachnachricht (Voicemail) hingewiesen, die sie über einen Link erreichen. Andere Kurznachrichten täuschen eine Infektion des Gerätes vor – ebenfalls kombiniert mit einem Link. Bei der dritten Variante wird den Empfängerinnen und Empfängern vorgetäuscht, dass ihre privaten Fotos veröffentlicht wurden („geleakt“). Das BSI warnt davor, auf diese Links zu klicken. Die Installation der verknüpften Programme aus Drittquellen führt zur Infektion des Smartphones. Stattdessen ist die Nachricht umgehend zu löschen.

Pressemitteilung des BSI.

4. Datenskandal bei Mobilfunk-Providern

Unterdessen ist das US-Unternehmen Syniverse Opfer eines „gigantischen Datenlecks“ geworden, so Computer Bild. Die Firma verarbeitet SMS-Nachrichten und Anrufe für 300 Mobilfunkanbieter auf der ganzen Welt, darunter auch Telefónica, Vodafone und T-Mobile. Im Mai 2021 räumte Syniverse das Datenleck ein, das bereits seit Mai 2016 (!) bestand. Die Schwachstelle habe das Unternehmen zwar mittlerweile ausgeräumt, berichtet das Technikportal. Aber es sei wahrscheinlich, dass die Cyberkriminellen in den fünf Jahren relativ unbemerkt auf viele Milliarden SMS und Anrufe zugreifen konnten. Welchen Schaden das konkret verursacht hat, sei noch unklar (Stand 06.10.).

Bericht der Computer Bild.

5. TU Berlin leidet noch immer unter den Folgen einer Cyberattacke im April

Auch sechs Monate nach der Cyberattacke auf die zentralen IT-Systeme der Technischen Universität (TU) Berlin sind die Folgen des Angriffs noch spürbar, berichtet der rbb. Das bekommen zu Vorlesungsbeginn vor allem die Studienanfängerinnen und -anfänger zu spüren, die Probleme mit der Immatrikulation und der Nutzung spezieller Erstsemester-Angebote haben. Der Zugang zur Lernplattform und die Teilnahme an digitalen und in Präsenz stattfinden Lehrveranstaltungen seien aber wieder möglich, zitiert rbb eine Sprecherin der TU. Auch andere Anwendungen funktionierten wieder, darunter das kostenlose WLAN-Netz der TU und die digitale Beantragung des Studierendenausweises inklusive Semesterticket. 

rbb zu den anhaltenden Folgen des Hackerangriffs auf die TU Berlin.

Bleiben Sie up-to-date

6. Aktuelle Warnmeldungen des BSI

Das „Computer Emergency Response Team“ des BSI informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es eine Vielzahl aktueller Meldungen, unter anderem zu F-Secure Anti-Virus, F-Secure Linux Security und F-Secure Internet Security; Apache OpenOffice (<= 4.1.10 und 4.1.11); Mozilla Firefox (< 93) und Mozilla Firefox ESR (< 78.15 und < 91.2); Google Chrome (< 94.0.4606.81 und < 94.0.4606.81); Microsoft Edge chromium-based (< 94.0.992.47); Apple iOS (< 15.0.2) und Apple iPadOS (< 15.0.2); Foxit Phantom PDF Suite (< 11.1), Adobe Acrobat Reader (< Mobile 21.9.0), Adobe Acrobat 2017 (< 17.011.30204), Adobe Acrobat 2020 (< 20.004.30017) und Adobe Acrobat Reader DC (< 21.007.20099); Intel Prozessor; sowie Microsoft 365 Apps, Microsoft Office und Microsoft Windows.

Informationen und Tipps zum Umgang mit diesen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT finden Sie hier.

7. Google aktiviert automatisch

Alle Google- und YouTube-Accounts sollen bis Ende des Jahres standardmäßig über einen zweiten Faktor abgesichert sein, meldet Heise Online. Dann benötigen Nutzerinnen und Nutzer für die Anmeldung bei ihren Konten neben dem Passwort noch einen zweiten Faktor. Das kann zum Beispiel ein per Authenticator-App erzeugter Code auf dem Smartphone sein oder ein biometrisches Merkmal wie ein Fingerabdruck oder ein Iris-Scan. „Durch die Kombination aus etwas, das nur man selbst kennt (Kennwort) und etwas, das man besitzt (Smartphone) kann man Angreifer, die nur das Passwort kennen, effektiv aussperren“, fasst das Online-Magazin zusammen.

Was es genau mit der Zwei-Faktor-Authentisierung auf sich hat, erklärt das BSI in diesem kurzen Video.

Zur Meldung von Heise Online.

Gut zu wissen

8. Neuer Lagebericht des BSI

Das BSI hat heute, am 21. Oktober, seinen neuen Lagebericht 2021 vorgelegt, in dem das Bundesamt insgesamt eine kritische Bedrohungslage feststellt: Cyberangriffe führten zu schwerwiegenden IT-Ausfällen in Kommunen, Krankenhäusern und Unternehmen. Sie verursachten zum Teil erhebliche wirtschaftliche Schäden und bedrohten existenzgefährdend Produktionsprozesse, Dienstleistungsangebote und ihre Kundschaft. Der neue Lagebericht macht auch deutlich, dass die erfolgreiche Digitalisierung unseres Landes zunehmend gefährdet ist.

Als Konsequenz aus der Bedrohungslage fordert das BSI, der Informationssicherheit einen höheren Stellenwert beizumessen. Im Rahmen von Digitalisierungsprojekten sollte die Cyber-Sicherheit fest verankert werden sowie die gesamte Lieferkette umfassen.

Pressemitteilung des BSI zum Lagebericht.

Bericht zur Lage der IT-Sicherheit in Deutschland 2021.

9. Über die Psychologie von Passwörtern

Die meisten Menschen wissen, wie ein gutes Passwort aussehen muss, aber nur die wenigsten nutzen dieses Wissen auch, um ihre Online-Konten wirksam abzusichern. Was es mit der Psychologie der Passwörter auf sich hat, untersucht ein Bericht des Softwareunternehmens LogMeIn. So würden die meisten Benutzerinnen und Benutzer Passwörter verwenden, die persönliche Informationen enthalten, beispielsweise Namen der Kinder oder Geburts- und Adressdaten. Zwar wissen die meisten, dass diese Vorgehensweise fahrlässig ist; dennoch nutzen sie solche Codes – vor allem deshalb, weil sie sich einfache Passwörter leichter merken können, fasst Security Insider die Erkenntnisse des Berichts zusammen.

BSI-Tipps für sichere Passwörter.

Bericht über die Psychologie der Passwörter.

Kurz erklärt

10. Sandkastenspiele für sichere Browser

Um sicher im Internet surfen zu können, rät das BSI dazu, einen Browser mit Sandbox-Technologie und einer guten Versorgung mit Sicherheitsupdates zu verwenden. Eine Sandbox ist ein isolierter Bereich innerhalb einer Anwendung oder eines Betriebssystems. Selbst bei einer Infektion dieses Bereichs haben Angreiferinnen und Angreifer keinen Zugriff auf den Rest des Systems. Zudem empfehlen die Expertinnen und Experten des BSI, auf die Nutzung aktiver Inhalte zu verzichten, die über zusätzliche Programme, sogenannte Plug-Ins, zur Verfügung gestellt werden. Zudem sollten die in allen gängigen Browsern integrierten Mechanismen zum Schutz vor Phishing und Malware aktiviert sein. Wie das geht, beschreibt das BSI auf seiner Webseite.

Zeitlos wichtig

11. Die größten Irrtümer der E-Mail-Sicherheit

Im vierten Teil seiner Reihe „Sicherheits-Irrtümer im Internet“ beschäftigt sich das BSI mit zahlreichen Irrtümern rund um die E-Mail-Sicherheit: Können Anhänge auch dann Schaden anrichten, wenn Sie sie nicht öffnen? Sollten Sie auf Spam-E-Mails antworten? Kommt die E-Mail von der Adresse, die angezeigt wird? Sind Phishing-E-Mails leicht zu erkennen? Die Antworten auf all diese Fragen finden Sie hier.

Zahl der Woche

12. 500 Millionen US-Dollar

„Mehr als eine halbe Milliarde Euro haben US-Firmen allein im ersten Halbjahr 2021 nach Angriffen mit Erpressungstrojanern gezahlt“, berichtet Zeit Online. Einem Bericht des US-Finanzministeriums zufolge sind das 42 Prozent mehr als im gesamten Jahr 2020. Das BSI rät übrigens von der Zahlung von Lösegeldern ab und stattdessen zur Vorsorge mit regelmäßigen Backups. Jede Lösegeldzahlung zeige den Erfolg eines Angriffs und motiviere die Täterinnen und Täter zu weiteren Attacken. Zudem finanziere die Lösegeldzahlung die Weiterentwicklung der Schadsoftware und fördere deren Verbreitung.

Zur Meldung über den Erfolg von Ransomware-Erpressungen.

Der European Cybersecurity Month (ECSM) bietet noch bis zum 15. November eine Vielzahl von virtuellen und "echten" Veranstaltungen rund um das Thema Daten- und IT-Sicherheit an. Eine Übersicht der Veranstaltungen finden Sie hier: https://www.bsi.bund.de/DE/Service-Navi/Veranstaltungen/ECSM/Aktionen-2021/aktionen-2021_node.html

Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag: Zur Übersicht der aktuellen Themen für Verbraucherinnen und Verbraucher

Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn weiter