Newsletter SICHER • INFORMIERT vom 21.11.2024

Ausgabe 24/2024

Ausbaufähige Digitalkompetenz, gefälschte QR-Codes an Parkautomaten, digitale Gewalt gegen Frauen & wie steht es um die IT-Sicherheit in Deutschland?

In den Schlagzeilen

1. Wie steht es um die IT-Sicherheit in Deutschland?

Der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland 2024 vermittelt einen umfassenden Überblick über Bedrohungen im Cyberraum und hält auch für Verbraucherinnen und Verbraucher wertvolle Informationen bereit. Etwa darüber, wie sich die Phishing-Methoden von Cyberkriminellen verändern, warum Smartphones ein besonders attraktives Ziel für Angreifer sind oder wie KI-Sprachmodelle für kriminelle Zwecke missbraucht werden. Der Bericht macht deutlich: Die Notwendigkeit zu handeln ist groß. Doch mit den richtigen Maßnahmen an unterschiedlichen Stellen kann die Resilienz der CybernationDeutschland auf allen Ebenen weiter gestärkt werden.

Es berichtete (u.a.) die FAZ
Zum Bericht zur Lage der IT-Sicherheit in Deutschland 2024

2. Ökostromanbieter gehackt

50.000 Kundinnen und Kunden in Deutschland sind von einem Cyberangriff auf den Shop des Ökostromanbieters Tibber betroffen. Seit dem 11. November werden die erbeuteten Informationen, darunter Vor- und Nachnamen, E-Mail-Adressen, Informationen zu Bestellungen sowie Postleitzahlen und Wohnorte, im Darknet gehandelt. Tibber warnt vor möglichen Phishing- oder Spam-E-Mails und rät Kundinnen und Kunden zur Wachsamkeit.

Es berichtete (u.a.) Heise
BSI-Informationen zum Schutz gegen Phishing

3. Digitalkompetenz? Ausbaufähig.

Für die internationale Vergleichsstudie "International Computer and Information Literacy Study" wurden rund 5.000 deutsche Achtklässlerinnen und Achtklässler sowie Jugendliche aus mehr als 30 Ländern auf ihre IT-Tauglichkeit hin getestet. Das Ergebnis: Deutsche Schülerinnen und Schüler liegen zwar leicht über dem Mittelwert, doch ihre Digitalkompetenz ist im Vergleich zu den Vorgängeruntersuchungen rückläufig. Rund 40 Prozent der Jugendlichen verfügen der Studie zufolge nur über "rudimentäre (...) Fähigkeiten im kompetenten Umgang" mit Computern.

Es berichtete (u.a.) Tagesschau.de

Wie Sie die Digitalkompetenz Ihrer Kinder fördern und dabei einen Fokus auf Schutzeinstellungen und weitere Sicherheitsmaßnahmen legen können, erfahren Sie in unserem Wegweiser kompakt: 8 Tipps für den digitalen Familienalltag

4. Kurz notiert

Projekt für mehr Suchmaschinensouveränität: Die europäischen Suchmaschinen Ecosia (Deutschland) und Qwant (Frankreich) planen, einen unabhängigen europäischen Suchmaschinen-Index aufzubauen. In einem solchen Index werden Websiteinformationen hinterlegt, damit Suchmaschinen schnell und gezielt auf diese zugreifen können. Das Projekt European Search Perspective (EUSP) soll einen transparenten Datenpool schaffen und den Kontinent im digitalen Raum souveräner machen. Aktuell gibt es weltweit vier größere Suchmaschinenbetreiber, die über eigene Indizes verfügen. Das sind neben Google und Bing der russische Anbieter Yandex sowie Baidu aus China.
Es berichtete (u.a.) das Handelsblatt
BGH stärkt Rechtsanspruch bei Datendiebstahl: Laut einem Urteil des Bundesgerichtshofs (BGH) haben Betroffene von Datenpannen auch dann einen Anspruch auf – zumindest geringfügigen – Schadensersatz, wenn keine konkreten Beeinträchtigungen nachgewiesen werden können. Der Verlust über die Kontrolle der Daten ist ausreichend. Wen es härter getroffen hat, der bekommt mehr Geld. Der zugrundeliegende Fall betrifft einen umfangreichen Facebook-Leak vor einigen Jahren.
Es berichtete (u.a.) Zeit online
Stiftung Warentest informiert darüber, wie Verbraucherinnen und Verbraucher jetzt handeln können

Up-to-date

5. SharePoint-Schwachstelle

SharePoint ist Teil der Microsoft Produktpalette. Die webbasierte Plattform unterstützt Unternehmen und Teams bei der Zusammenarbeit und der Informationsverwaltung. Die nun aufgedeckte kritische Schwachstelle CVE-2024-38094 im Microsoft SharePoint Server 2016/2019 kann es Angreifern ermöglichen, schädliche Programme einzuschleusen und das System schwerwiegend zu schädigen. Im Zuge des Updates von SharePoint hat Microsoft zugleich Schwachstellen im Edge-Browser geschlossen; noch ein Grund mehr für Nutzerinnen und Nutzer, das Update zeitnah einzuspielen, falls dies nicht automatisch erfolgt.

Es berichtete (u.a.) Security Insider

6. Sicherheitslücke in Wordpress-Plug-in

Zahlreiche Menschen und Unternehmen nutzen WordPress, um damit Websites zu erstellen und zu verwalten. Ebenfalls beliebt: das WordPress-Plug-in "Really Simple Security", das eine einfache und benutzerfreundliche Lösung für die Website-Sicherung verspricht. In der millionenfach genutzten Zusatzsoftware wurde nun eine kritische Sicherheitslücke entdeckt, die Angreifern die Übernahme einer WordPress-Seite ermöglichen kann. Ein entsprechendes Sicherheitsupdate – Version 9.1.2 – wurde automatisch an die betroffenen Versionen verteilt, ein kurzer Check durch den Inhaber der Webseite, ob es tatsächlich eingespielt wurde, ist dennoch sinnvoll.

Es berichtete (u.a.) Heise

7. Aktuelle Warnmeldungen des BSI

Das BSI informiert auf seiner Website regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Tipps zum Umgang damit.

Zum BSI-Portal

Gut zu wissen

8. Zahl der Woche: 790.000

Laut aktuellem Bericht zur Lage der IT-Sicherheit in Deutschland stehen Android-Geräte besonders im Fokus von Cyberkriminellen: Die Zahl neuer Android-Malware-Varianten stieg im Vergleich zu 2023 um 48 Prozent auf 790.000. Besonders verwundbar sind Smartphones, Tablets und Co. vor allem dann, wenn sie mit veralteten Software-Versionen betrieben werden, für die zum Teil gar keine Updates mehr verfügbar sind. Das betrifft rund 25 Prozent aller Android-Geräte in Deutschland.

Zum Bericht zur Lage der IT-Sicherheit in Deutschland

Mehr über Software-Updates als Grundpfeiler der IT-Sicherheit erfahren Sie hier

9. Gefälschte QR-Codes an Parkautomaten

Nach Kleingeld suchen, um einen Parkschein zu ziehen? Das ist an vielen Parksäulen nicht mehr nötig, dort kann der Bezahlvorgang einfach via QR-Code gestartet und vorgenommen werden. Cyberkriminelle haben jedoch eine Quishing-Masche (Quishing = QR-Code + Phishing) entwickelt, die speziell auf den Service des Parkdienstleisters Easypark zugeschnitten ist. Sie bringen dafür gefälschte QR-Codes an Parkautomaten an, die auf eine täuschend echte, aber gefälschte Webseite führen.

Es berichtete (u.a.) Golem
Easypark weist unter anderem darauf hin, dass echte QR-Codes immer direkt zur App des Unternehmens oder einer Download-Möglichkeit für diese führen
Mehr Informationen zum Betrug via QR-Code inklusive weiterer Beispiele

Praktisch sicher

10. Black Friday – aber sicher!

Rund um den Black Friday am 29. November rollt im digitalen Raum wieder eine Welle von Schnäppchenangeboten auf Nutzerinnen und Nutzer zu. Manche Deals lohnen sich tatsächlich – andere können gefährlich werden. Gerade erst hat eine niederländische Plattform ein Netzwerk von gefälschten Onlineshops aufgedeckt, das speziell auf den Black Friday abzielt.

Es berichtete (u.a.) Golem
Um seriöse Angebote von Fakeshops zu unterscheiden und sich vor Geld- und Datenverlust zu schützen, heißt es: Auf Nummer sicher gehen. Auch wenn das Angebot noch so attraktiv ist, nehmen Sie sich Zeit und prüfen Sie, ob der Anbieter die sieben Merkmale für sicheres Onlineshopping erfüllt.
Zusätzliche Impulse liefert ein kostenloser Onlinevortrag der Verbraucherzentrale NRW e.V. und des BSI am 25. November

11. Kindermodus – check!

Mangelnde Digitalkompetenz junger "Digital Natives" war in den Schlagzeilen dieses Newsletters bereits Thema. Doch selbst wenn Kinder sensibilisiert sind – das Internet hält Sicherheitsrisiken und Kostenfallen bereit, die für minderjährige Nutzerinnen und Nutzer allein kaum zu bewältigen sind. Die gute Nachricht: Mit den richtigen Jugendschutzeinstellungen lassen sich zahlreiche Risiken ganz automatisch minimieren.

Zur Anleitung: Schritt für Schritt zu Jugendschutzeinstellungen bei Apps, Spielen & Co

Was wichtig wird

12. Digitale Gewalt gegen Frauen

Cybermobbing, Cyberstalking, Revenge Porn, Sextortion, Love Scamming – digitale Gewalt hat viele Gesichter und trifft besonders häufig Frauen. Nicht selten wird reale Gewalt durch Herabsetzung, Belästigung, Diskriminierung und Nötigung im digitalen Raum fortgesetzt. Der Internationale Tag gegen Gewalt an Frauen am 25. November - auch bekannt als Orange Day - sensibilisiert unter anderem für Formen digitaler Gewalt. Das am 19. November vom BKA veröffentlichte Bundeslagebild "Geschlechtsspezifisch gegen Frauen gerichtete Straftaten 2023" führt auf, dass die Zahl der polizeilich erfassten Straftaten im Bereich digitaler Gewalt im Vergleich zu 2022 um 25 Prozent gestiegen ist. Wie eine "Technische Anlaufstelle für Betroffene von digitaler Gewalt in Partnerschaften" für unterstützende Beratung Betroffener unter anderem mit notwendiger technischer Expertise ausgestaltet werden könnte, zeigt der gleichnamige Ergebnisbericht auf, den das BSI im Rahmen des "Dialogs für Cybersicherheit" in Austausch und Zusammenarbeit mit unterschiedlichen gesellschaftlichen Akteuren veröffentlicht hat.

Zur BKA-Mitteilung
Zum Ergebnisbericht "Technische Anlaufstelle für Betroffene von digitaler Gewalt in Partnerschaften"

Übrigens

13. KI-Omi vs. Scam-Betrüger

Mit sogenannten Scam-Anrufen versuchen Kriminelle, sensible Informationen wie Passwörter, PINs und Kreditkartendaten zu erbeuten oder ihr Opfer zu einer Geldüberweisung zu drängen. Häufig wird diese Masche gezielt bei Seniorinnen und Senioren angewendet. Ein britischer Mobilfunkprovider hat eine Technik entwickelt, um gegen diese Form des Telefonbetrugs vorzugehen. Die KI-Omi "Daisy" kann Betrüger zwar nicht dingfest machen – aber hinhalten. Das Sprachprogramm soll sie so lange wie möglich in ein Gespräch verwickeln, damit in dieser Zeit keine echten Menschen betrogen werden können.

Es berichtete (u.a.) Heise