In den Schlagzeilen

1. Rekordzahl an Spam- und Phishing-Mails kurz vorm Black Friday

Die in Deutschland meistgenutzten E-Mail-Webdienste web.de und GMX registrieren aktuell rund 1,65 Milliarden (!) Spammails pro Woche – ein neuer Rekordwert. Aktuell besonders beliebt bei Cyberkriminellen ist das "Paketdienst-Phishing". Dabei erhalten Nutzerinnen und Nutzer E-Mails, die denen von Paketdienstleistern täuschend ähnlich sehen. Anwenderinnen und Anwender werden damit auf gefälschte Webseiten geleitet, um vermeintlich zu wenig gezahltes Porto oder Zollgebühren nachzuzahlen. Hinzu kommen Phishing-Mails, in denen auf Schnäppchen und Rabatte hingewiesen wird. In beiden Varianten geht es darum, Log-In-Daten von Bezahldiensten abzugreifen.

Tipps des BSI zum Erkennen von Phishing-Mails

T-Online berichtet über die Rekordzahlen zur Black Week

2. Tipps für die Schnäppchenjagd

Besonders an Aktions-Tagen wie Black Friday oder Cyber Monday sollten Sie sich nicht von angeblichen Rabatten blenden lassen. Denn auch für Kriminelle haben diese Tage einen besonderen Reiz. Neben vermeintlichen Schnäppchen stoßen Sie auch vermehrt auf gefälschte Onlineshops. Das BSI empfiehlt daher, sich bereits vor dem Kauf mit dem Unternehmen hinter dem Onlineshop und den angebotenen Zahlungsmethoden auseinanderzusetzen. Auch wenn das Angebot verlockend klingt, sollten Sie sich laut Verbraucherzentrale nicht durch Marketingtricks wie ablaufende Timer unter Druck setzen lassen und vorzugsweise per Rechnung zahlen. Sollte dies nicht möglich sein, empfiehlt das BSI, eine verschlüsselte Datenübertragung zu nutzen, um (Bank-)Daten zu schützen und zudem aufs Onlineshopping aus öffentlichen WLNA-Netzen zu verzichten. Ist das Produkt doch nicht so günstig, wie gedacht oder die Qualität unzureichend, sollten Sie laut Verbraucherzentrale Ihr Widerrufsrecht nutzen. Ein wichtiger Schritt auf dem Weg zu einem möglichst sicheren Online-Einkauf ist auch die Absicherung des eigenen Onlinekontos bzw. des eigenen Accounts.

Das BSI über Account-Schutz beim Onlineshopping

Die Verbraucherzentrale Nordrhein-Westfalen mit Tipps für die sichere Schnäppchenjagd

3. Amazon warnt vor Betrug am Black Friday

Besonders beim Einkauf in neuen, unbekannten Shops sollten Sie vorsichtig sein. Amazon gibt an, dass die Zahl der Betrugsfälle rund um den Black Friday im vergangenen Jahr dreimal so hoch war, wie im Vergleichszeitraum 2021. Die aktuell häufigste Betrugsmasche ist der Einsatz von Mail-Anhängen. Die Betrügerinnen und Betrüger geben sich als Amazon aus und behaupten, dass Kontodaten aktualisiert werden müssten. Amazon empfiehlt, verdächtige Nachrichten zu melden und ihre Echtheit über die Amazon-Kanäle zu überprüfen. Weitere Betrugsmaschen versuchen es mit falschen Dringlichkeitsansprüchen und betrügerischen Kontaktaufnahmen außerhalb von Amazon. Das BSI empfiehlt, Links und E-Mail-Adressen genau zu prüfen und bei Zweifeln besondere Vorsicht walten zu lassen. Klicken Sie niemals auf Links in einer dubiosen E-Mail und öffnen Sie keine Anhänge. Kein seriöser Anbieter fordert Sie per E-Mail auf, vertrauliche Zugangsdaten preiszugeben – auch nicht um der Sicherheit willen.

Tipps vom BSI gegen Phishing

t3n über das Betrugspotenzial beim Onlineshopping

4. Umfrage zu gehackten Online-Accounts: Was Betroffene erwarten

Eine repräsentative Umfrage der Verbraucherzentrale zeigt, dass bei 30 Prozent der Internetnutzerinnen und -nutzer in Deutschland bereits mindestens ein persönliches Online-Konto gehackt wurde. Social-Media- und E-Mail-Accounts wurden mit 63 Prozent am häufigsten angegriffen. Allerdings konnten auch 86 Prozent der Betroffenen die Kontrolle über ihren Account zurückgewinnen. Dennoch wünschen sich die Betroffenen mehr Hilfe zur Selbsthilfe, einschließlich der Möglichkeit, ihre Konten selbst zu sperren oder Passwortänderungen vorzunehmen. Nur 56 Prozent der Befragten verwenden unterschiedliche Passwörter für ihre Accounts, und nur die Hälfte der Befragten (49 Prozent) weiß im Falle eines Hacking-Angriffs, wie sie sich verhalten sollen.

Notfall-Plan des BSI für gehackte E-Mail-Konten

Zur Umfrage der Verbraucherzentrale

5. Bericht über Sicherheitslücken in rheinland-pfälzischen Gesundheitsämtern

Die IT-Systeme von Gesundheitsämtern in Rheinland-Pfalz weisen massive Sicherheitslücken auf. Das ergab eine Recherche von Zeit Online. Obwohl die Probleme bekannt seien, würden diese von Verantwortlichen verdrängt. Als Grundproblem, das zu den Sicherheitslücken führt, nennt der Bericht das knappe Budget der Gesundheitsämter. Lokale Administratorinnen und Administratoren seien häufig keine ausgebildeten IT-Spezialistinnen und Spezialisten, sondern Verwaltungsangestellte. Weitere Schwachstellen lägen in der eingesetzten Software Mikropro Health. Diese Plattform wird im ganzen Bundesland verwendet und entspräche nicht dem aktuellen Stand der Technik. So habe beispielsweise jeder mit Zugriff auf den Quellcode der Software Einsicht und Zugang zu Namen und Passwörtern der Nutzerinnen und Nutzer der Einrichtungen.

Das BSI Lagebild Gesundheit 2022 stellt die Sicherheitslage im Gesundheitswesen dar

Bericht von Zeit Online

Heise Online über Sicherheitslücken in Gesundheitsämtern

6. Expertenkreis "Cyber-Sicherheit im Weltraum" gegründet

Am 10. November fand im BSI die Eröffnungsveranstaltung für den Expertenkreis Cybersicherheit im Weltraum statt. Teilnehmende waren Vertreterinnen und Vertreter aus Industrie, Forschung und Behörden mit Bezug zur Raumfahrt und Informationssicherheit. Ziel des Expertenkreises ist es, Maßnahmen zur Stärkung der Cybersicherheit und der Resilienz von Weltraumsystemen zu erarbeiten. Durch den Austausch zwischen Raumfahrt- und Cybersicherheitsexpertinnen und -experten sollen Lösungen für zukünftige Herausforderungen im Bereich Cybersicherheit im Weltraum entwickelt werden.

Weitere Informationen zum Expertenkreis

7. Trend Micro: Diese Daten sind bei Hackerinnen und Hackern besonders beliebt

Der Anbieter von Cybersicherheitslösungen, Trend Micro, klärt in einem kürzlich veröffentlichten Bericht darüber auf, dass Kryptowährungen, Daten aus Webbrowsern sowie Kreditkartennummern und Zugangsdaten das häufigste Ziel von Hackerinnen und Hackern sind. Zugangsdaten der Webseiten Google, Microsoft, Instagram und Facebook werden besonders häufig gestohlen. Der Bericht nennt außerdem die Länder, die besonders häufig von Datendiebstahl betroffen sind: Portugal, Brasilien und Griechenland. Deutschland liegt auf Platz 16 dieser Liste. Darum empfiehlt auch das BSI, unterschiedliche Passwörter für verschiedene Dienste und Webseiten zu vergeben sowie die Zwei-Faktor-Authentisierung zu nutzen.

Zum Bericht in der Saarbrücker Zeitung

Zur Studie von Trend Micro (auf Englisch)

8. Kurz notiert

• Ransomware-Angriffe auf KaDeWe und Meindl
• Targobank sperrt Kontenzugänge nach Cyberangriffen
• Cyberangriff legt Deutsche Energie-Agentur lahm
• Auch Rostocker Straßenbahn wurde Opfer eines Angriffs

Up-to-date

9. Microsofts Authenticator mit neuem Schutz gegen Ermüdungsangriffe

Microsoft verbessert die Sicherheit seines Authenticators, der für die Mehr-Faktor-Authentisierung verwendet wird. Die App unterdrückt nun verdächtige Anfragen, um sogenannte Ermüdungsangriffe zu verhindern. In der Vergangenheit ermüdeten Angreiferinnen und Angreifer ihre Opfer so lange mit Anfragen, bis sie schließlich Zugriff erhielten. Die aktualisierte Funktion fordert Nutzerinnen und Nutzer auf, die Authenticator-App zu öffnen und eine angezeigte Zahl einzugeben, anstatt verdächtige Anfragen direkt anzuzeigen. Dies soll die Sicherheit erhöhen und die Effektivität von Cyberangriffen erschweren.

Heise Online über das Update bei Authenticator

10. Google löscht ab Dezember inaktive Gmail-Konten

Von Dezember an wird Google inaktive Gmail-Konten löschen, die seit mindestens zwei Jahren nicht genutzt wurden. Die Löschung erfolge aus Sicherheitsgründen, da viele inaktive Konten nicht durch eine Zwei-Faktor-Authentifizierung geschützt seien und alte oder wiederverwendete Passwörter nutzen würden. Betroffene Nutzerinnen und Nutzer erhalten im Vorfeld mehrere Benachrichtigungen und können ihr Konto aktiv halten, indem sie bestimmte Aktivitäten durchführen, wie beispielsweise das Lesen oder Senden einer Mail. Organisationen wie Schulen oder Unternehmen sind von dieser Maßnahme nicht betroffen.

T-Online über das Löschen von Google-Konten

11. Sicherheitslücken in Aruba Access Points: Kritische Schwachstellen ermöglichen Ausführung von Schadcode

Aruba Access Points sind von kritischen Sicherheitslücken betroffen, die es Angreiferinnen und Angreifern ermöglichen, Schadcode auszuführen. Die drei als kritisch eingestuften Schwachstellen erlauben es entfernten Angreiferinnen und Angreifern, ohne Authentifizierung eigenen Code auf Systemebene auszuführen. Um die Access Points zu sichern, empfiehlt Aruba das Installieren von Sicherheitspatches. Bisher sind allerdings noch keine Attacken bekannt geworden.

Heise Online über Sicherheitsupdates bei Aruba

12. WhatsApp-Backups künftig zu Lasten des Google-Speicherkontingents

Laut Digitalbarometer 2022 von BSI und Polizeilicher Kriminalprävention (ProPK) legen nur 26 Prozent der Befragten regelmäßig Sicherheitskopien ihrer Daten an, um sich vor Datenverlust zu schützen. Auf dem Gerät gespeicherte Daten können jedoch durch Verlust, Diebstahl oder Hardwarebeschädigung des Gerätes verloren gehen. Zudem werden Smartphones oft gewechselt oder durch neue ersetzt. Eine gängige Methode ist die automatische Sicherung von Daten in der Cloud des jeweiligen Herstellers - wie etwa die von WhatsApp, die in der Google-Cloud gespeichert werden. Die WhatsApp-Mutter Meta hat jetzt Änderungen ab Dezember 2023 bei der Speicherung von WhatsApp-Backups im Google-Cloudspeicher angekündigt. Zukünftig sollen Backups der WhatsApp-Chats auf das jeweilige Google-Datenspeichervolumen des Benutzers angerechnet werden.
Für Verbraucherinnen und Verbraucher bedeutet dies, dass dadurch das Speichervolumen früher erschöpft ist, insbesondere bei intensiver WhatsApp-Nutzung. Die weitere Speicherung von Backups oder anderen Daten ist dann nicht mehr möglich. Abhilfe schafft dann nur die Reduktion des Backup-Volumens oder die kostenpflichtige Erweiterung des Cloudspeichers.

Datensicherung Schritt-für-Schritt erklärt

WhatsApp zu den Änderungen

13. Aktuelle Warnmeldungen des BSI

Das BSI informiert auf seiner Webseite regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Informationen sowie Tipps zum Umgang damit.

Zum BSI-Portal

Gut zu wissen

14. Welche Online-Bezahlmethode ist die sicherste?

Verbraucherinnen und Verbraucher sollten laut BSI bei der Wahl von Bezahlsystemen beim Onlineshopping zwischen Komfort und Sicherheit abwägen Verschiedene Bezahlverfahren, wie das Bezahlen per Kreditkarte, Sofortüberweisung, Vorkasse, Lastschrift und Bezahlfunktionen von Betriebssystemen haben alle ihre spezifischen Vor- und Nachteile, wie das BSI erläutert. Als besonders sicher gilt aber der Kauf auf Rechnung.

Das BSI über Bezahlverfahren beim Online-Shopping

15. Fakeshopfinder der Verbraucherzentrale

Mit dem Fakeshopfinder der Verbraucherzentrale können Sie prüfen, wie seriös der Onlineshop ist, bei dem Sie, zum Beispiel am Black Friday, einkaufen möchten.

Zum Fakeshopfinder der Verbraucherzentrale

Praktisch sicher

16. Woran Sie sichere Onlineshops erkennen

Kriminelle, die sich hinter Fakeshops verbergen, locken oft mit ungewöhnlich günstigen Angeboten, verlangen häufig das Bezahlen per Vorkasse, liefern dann jedoch entweder minderwertige, beschädigte – oder auch gar keine Waren. Um sich vor solchen Betrügereien zu schützen, empfiehlt das BSI, sich vor dem Kauf kritisch mit dem Onlineshop, den angebotenen Zahlungsmethoden und seriös wirkenden Rezensionen von Nutzerinnen und Nutzern auseinanderzusetzen. Seriöse Onlineshops erkennen Sie an dem Zusammenspiel verschiedener Merkmal, wie:

• ein eindeutiger Bestellbutton
• eine sichere Verbindung (Vorhängeschloss in der Browserzeile)
• verschiedene Kontaktmöglichkeiten
• ein vollständiges Impressum
• realistische Preise
• Gütesiegel
• unterschiedliche Zahlungsmöglichkeiten

Das BSI über sichere Onlineshops

Das BSI auf Instagram mit Tipps zum sicheren Onlineshopping

17. Die SOS-Karte: Schutz beim Onlineshopping

Die SOS-Karte des BSI gibt Ratschläge für das richtige Verhalten im Ernstfall, wenn Sie Waren nicht erhalten, auf Fakeshops reingefallen sind oder jemand in Ihrem Namen Bestellungen aufgibt. Dann sollten Sie umgehend Ihre Bank und die Polizei kontaktieren. Die SOS-Karte des BSI informiert Sie über weitere Maßnahmen bei unbefugten Zugriffen und gibt Ihnen Tipps für künftiges Onlineshopping.

Zur SOS-Karte

Übrigens...

Im Februar 2022 hat das BSI das erste IT-Sicherheitskennzeichen für vernetzte Produkte und Dienste vergeben. So macht das BSI für die Dauer von zwei Jahren die Sicherheitseigenschaften schon vor dem Kauf von IT-Produkten transparent und für Verbraucherinnen und Verbrauchern verständlich. Um das IT-Sicherheitskennzeichen bekannter zu machen, hat das BSI am 20. November eine Kampagne unter dem Hashtag #Deutschlandcheckts gestartet, um das Vertrauen in Produkte und Hersteller zu erhöhen. Dafür finden Verbraucherinnen und Verbraucher in Zukunft das IT-Sicherheitskennzeichen auf Produktverpackungen oder im Onlineshop, zum Beispiel bei E-Mail-Diensten. Auf dem IT-Sicherheitskennzeichen befindet sich ein QR-Code, über den Sie auf die Webseite des BSI gelangen. Dort finden Sie aktuelle Sicherheitsinformationen und Updates für die Laufzeit des Kennzeichens.

Detaillierte Informationen zu den Leistungen des IT-Sicherheitskennzeichen

Weitere Informationen & Feedback

Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag.

10 Basistipps für mehr Sicherheit in Ihren digitalen Alltag

Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn gerne an Freunde und Familie weiter