In den Schlagzeilen

1. Alarmstufe Rot: Extrem kritische Bedrohungslage durch Log4Shell

Die kritische Schwachstelle Log4Shell in der weit verbreiteten Java-Bibliothek Log4j führt nach Einschätzung des BSI zu einer extrem kritischen Bedrohungslage. Die Bibliothek Log4j stellt zum Beispiel Funktionalitäten zur Protokollierung von Programmaktivitäten zur Verfügung. Diese Protokolle dienen oft der Fehlersuche und sind deshalb in Software üblich. Das BSI stuft die Sicherheitslücke Log4j in der höchsten Warnstufe Rot ein. Der Grund für die Warnung: Die Schwachstelle betrifft sehr viele Anwendungen, lässt sich leicht ausnutzen und hat möglicherweise schwere Folgen.

Meldungen über erste erfolgreiche Angriffe liegen bereits vor. Welche Produkte insgesamt angegriffen werden können, ist derzeit nicht vollständig überschaubar. Es gibt bereits Sicherheitsupdates der Java-Bibliothek, allerdings müssen alle betroffenen Produkte ebenfalls ein Update erhalten.

Wichtig: Sofern die Hersteller Ihrer IT, Ihrer Betriebssysteme oder Ihrer installierten Programme Updates zur Verfügung stellen, sollten Sie diese umgehend installieren.

BSI-Warnung vor der Schwachstelle Log4Shell

Zur laufend aktualisierten Übersichtsseite des BSI

Aktuelle Liste mit betroffenen Anwendungen

Was Verbraucherinnen und Verbraucher tun können: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Schwachstelle-log4Shell-Java-Bibliothek/log4j_node.html

2. 113 Millionen E-Mail-Konten offen im Netz

Bei dem mit WordPress und Slack verbundenen Onlinedienst Gravatar waren laut Spiegel die Daten von mehr als 113 Millionen E-Mail-Konten im Netz sichtbar. Über den Dienst können Anwenderinnen und Anwender ihre Profilbilder auf unterschiedlichen Webseiten nutzen. Das IT-Sicherheitsunternehmen G Data warnt, dass solche Daten für Phishing-Angriffe und Betrugsversuche genutzt werden könnten. Berichte über das Schließen der Lücke liegen nicht vor (Stand 13.12.).

BSI-Tipps zum Schutz von Online-Accounts

Bericht beim Spiegel

3. Weihnachten – das Fest der Diebe?

Das BSI warnt für die bevorstehenden Weihnachtsfeiertage vor einem erhöhten Risiko für Cyberangriffe auf Unternehmen und Organisationen. Offenbar werden derzeit viele Spam-Mails mit Links zu Emotet verschickt. Mit der Ransomware werden Unternehmensserver verschlüsselt und Lösegelder erpresst. Das BSI rät Unternehmen und Organisationen eindringlich dazu, angemessene IT-Sicherheitsmaßnahmen umzusetzen.

BSI-Warnung vor Ransomware-Angriffen in der Vorweihnachtszeit

4. Visa, Mastercard und Co.: Bankdaten im Darknet

Das Computermagazin PC-WELT berichtet über eine Analyse von NordVPN, einem Anbieter für sichere Internetverbindungen. Der Dienstleister hat vier Millionen Zahlungskartendaten analysiert, die im Darknet zum Verkauf angeboten wurden. Die illegal erbeuteten Daten ließen sich Menschen aus 140 Ländern zuordnen, darunter 31.000 aus Deutschland. Der Preis für die Karten lag der Analyse zufolge bei durchschnittlich 9,70 US-Dollar, deutsche Karten würden im Schnitt für 17,89 US-Dollar gehandelt. So könnten Hackerinnen und Hacker mit dem Verkauf nur einer einzigen Datenbank bis zu 40 Millionen US-Dollar umsetzen, kommentiert ein Sprecher von NordVPN.

Sicherheitstipps beim Onlinebanking und TAN-Verfahren

PC-Welt-Bericht über Bankdaten im Darknet

Kurz notiert

Mindestens 150 Millionen US-Dollar in Kryptogeld haben Cyberkriminelle bei einem Angriff auf die Börse Bitmart erbeutet. Meldung auf faz.net

Klinikum Braunschweig wehrt Cyber-Attacke ab. Meldung auf ndr.de

Die bayerische Krankenhausgesellschaft (BKG) ist Opfer von Cyberkriminellen geworden. Alle E-Mail-Konten wurden vorübergehend abgeschaltet. Meldung auf heise.de

Bleiben Sie up-to-date

5. Aktuelle Warnmeldungen des Bürger-CERT

Das "Computer Emergency Response Team" des BSI informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es Meldungen zum AMD Prozessor; zu Google Android (9, 10, 11, 12); Google Chrome (< 94.0.4606.71); Mozilla Firefox (< 95), Mozilla Firefox ESR (< 91.4.0) und Mozilla Thunderbird (< 91.4.0); sowie Trend Micro AntiVirus < 2022 (v17.7), Trend Micro Internet Security < 2022 (v17.7) und Trend Micro Maximum Security < 2022 (v17.7).

Informationen und Tipps zum Umgang mit diesen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT

6. Banken sind aktuell beliebtes Phishing-Ziel

Derzeit kursieren bei den Kundinnen und Kunden von Sparkassen und Volksbanken gut getarnte Phishing-Mails, warnt die Verbraucherzentrale NRW. E-Mails mit dem Betreff "Wichtige Mitteilung" könnten Phishing-Versuche sein. Die Verbraucherzentrale rät daher, solche E-Mails ungelesen zu löschen und auf keinen Fall auf die Links in den Nachrichten zu klicken.

Hinweise und Tipps zum Erkennen von Phishing-E-Mails

Bericht der Verbraucherzentrale NRW

7. Google führt Zwei-Faktor-Authentisierung für alle ein

Seit November 2021 führt Google für 150 Millionen Nutzerkonten eine Zwei-Faktor-Authentisierung ein. Neben dem Passwort fragt Google nach einem zweiten Merkmal, etwa nach einem Fingerabdruck- oder Gesichts-Scan per Smartphone oder einem per SMS verschickten Code. Google informiert seine Nutzerinnen und Nutzer über die Umstellung vorab per E-Mail.

Bericht bei Heise Online

Das BSI zur Zwei-Faktor-Authentisierung

Gut zu wissen

8. Arne Schönbohm zu Sicherheit in vernetzten Fahrzeugen

Je mehr Fahrzeuge mit Software ausgestattet und über das Internet vernetzt sind, desto wichtiger wird der Schutz vor Cyberangriffen. In einem Interview mit automotiveIT fordert BSI-Präsident Arne Schönbohm daher Automobilhersteller auf, die Absicherung der Fahrzeuge zwingend zu stärken. Allerdings, so Schönbohm, sei das Bewusstsein für die Bedeutung der Cyber-Sicherheit in der Automobilindustrie schon gewachsen. Besonders positiv bewertet der BSI-Präsident sogenannte Over-the-Air-Updates, bei denen über das Internet, also ohne Werkstattbesuch, "Sicherheitslücken schnell und flächendeckend in den Fahrzeugen geschlossen werden können".

Interview mit Arne Schönbohm

9. Vernetzter Alltag? Mit Sicherheit!

Die zunehmende Verbreitung vernetzter Alltagsgegenstände erschwert es vielen Verbraucherinnen und Verbrauchern, die Sicherheitseigenschaften von Geräten und Diensten gut einschätzen zu können. Für die ersten zwei Produktkategorien "Breitbandrouter" und "E-Mail-Dienste" können sich Hersteller ab sofort beim BSI um ein IT-Sicherheitskennzeichen bewerben. Das freiwillige Kennzeichen macht die grundlegenden Sicherheitseigenschaften digitaler Produkte auf einen Blick erkennbar und schafft damit mehr Transparenz für Verbraucherinnen und Verbraucher.

BSI-Infos zum IT-Sicherheitskennzeichen

Praktisch sicher

10. Log4Shell: Was bedeutet die Schwachstelle für Verbraucherinnen und Verbraucher?

Die Sicherheitslücke Log4Shell in der weit verbreiteten Bibliothek Log4j für Java-Anwendungen gefährdet IT-Systeme weltweit und hat möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von Log4j zentral alle Systemzustände, beispielsweise zur Fehlersuche, protokollieren. Die größte Gefahr stellt die Schwachstelle für Betreiber von Servern und Rechenzentren dar. Dennoch können auch Sie als Verbraucherinnen und Verbraucher betroffen sein, zum Beispiel wenn auf privaten Geräten verwundbare Log4j-Versionen eingesetzt werden. Selbst wenn nicht, können Sie geschädigt werden, indem Ihre Daten gestohlen werden, wichtige Dienste ausfallen oder Ihre Systeme infiziert werden. Unsere eindringliche Empfehlung ist es daher, Updates umgehend zu installieren, sobald IT-Hersteller diese zur Verfügung stellen.

Informationen und Erklärungen zu Log4Shell für Verbraucherinnen und Verbraucher

Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag.

10 Basistipps für mehr Sicherheit in Ihren digitalen Alltag

Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn weiter