In den Schlagzeilen

1. BKA warnt vor mehr Cyber-Kriminalität

Dem Bundeskriminalamt (BKA) zufolge verschwimmen die Grenzen zwischen kriminellen und möglicherweise staatlich gesteuerten Cyber-Gruppierungen immer mehr, wie BKA-Präsident Holger Münch auf der Herbsttagung seiner Behörde erklärte. In Bezug auf den Angriffskrieg Russlands gegen die Ukraine sagte Münch: "Dieser Krieg wird auch im digitalen Raum geführt." Dabei bestehe das Risiko, dass sich Cyber-Angriffe auf Staaten auswirkten, die keine Kriegspartei sind. In dem Krieg sieht der BKA-Präsident das Potenzial, "nach der Corona-Pandemie als weiterer Katalysator für Cybercrime zu dienen".

Infos der Allianz für Cyber-Sicherheit über die Auswirkungen des russischen Angriffs auf die Ukraine finden Sie beim BSI

Meldung über die BKA-Warnungen lesen Sie im CIO-Magazin

2. Black Friday und Cyber Monday: Vorsicht beim Online-Shopping!

83 Prozent der Befragten geben im Digitalbarometer 2022 an, dass ihnen IT-Sicherheit beim Online-Banking sehr wichtig sei. Beim Online-Shopping waren es 62 Prozent der Befragten. Warum das so wichtig ist, zeigt ein Bericht aus der Schweiz: "Cyber-Gauner", heißt es bei IT-Markt.ch, hätten 42.000 Domainnamen registriert, um Markennamen für kriminelle Geschäfte zu missbrauchen. Über gefälschte Webseiten verbreiteten sie nicht nur Schadsoftware, sondern verdienten durch Werbeanzeigen auch direkt Geld. Zu den missbrauchten Markennamen gehören demnach Unternehmen wie Coca-Cola, McDonald's, Knorr, Unilever oder Emirates. Um sich vor dem Besuch gefälschter Webseiten zu schützen, ist es sinnvoll, Webseiten nicht über Links in Mails oder SMS anzusteuern, sondern direkt über die Adressleiste des Internet-Browsers aufzurufen.

Wie Sie Ihr Onlineshopping "einfach aBSIchern", erfahren Sie auf der Webseite des BSI

IT-Markt.ch-Bericht über gefälschte Webseiten

3. eBay-Kleinanzeigen-Betrüger verhaftet

Von betrügerischen Angeboten bleibt auch eBay-Kleinanzeigen nicht verschont, berichtet das Online Magazin Golem: Die bayerische Polizei hat Mitte November drei Männer festgenommen, die mit Grafikkarten- und Playstation-Angeboten fast eine Million Euro auf dem Online-Marktplatz erbeutet haben sollen. Die drei Verdächtigen sollen über eine weitere Gruppe Bankkonten eröffnet und diese Konten für die Abwicklungen von Zahlungen genutzt haben – ohne die Absicht, die verkauften Waren auch tatsächlich zu liefern. Dabei hätten sie Ebay-Kleinanzeigen-Konten von Dritten genutzt, deren Zugangsdaten offenbar im Vorfeld gehackt worden sind. Die Ermittelnden stießen insgesamt auf rund hundert Kontoverbindungen und fast 2.000 Zahlungseingänge mit einer Gesamtsumme von rund 900.000 Euro.

Golem-Bericht über Betrüger auf eBay-Kleinanzeigen

4. LKA warnt vor Betrug mit Kredit- und Debitkarten

Das Landeskriminalamt (LKA) Niedersachsen warnt vor einer Betrugsmasche, bei der über Phishing Kreditkarteninformationen ergaunert werden. Anschließend würden die Daten via NFC auf Smartphones der Kriminellen für Zahlungen freigeschaltet, berichtet Heise Online. Die sogenannte Near-Field-Communication (NFC) ermöglicht die verschlüsselte Übertragung beispielsweise von Zahlungsdaten per Funk im Nahbereich von wenigen Zentimetern. Die Kriminellen gelangen über Phishing-Mails an die Karteninfos und fordern die Besitzerinnen und Besitzer anschließend per Telefon auf, diese Daten mit einer Push-TAN zu bestätigen. Über die TAN wird dann das mobile Gerät der Kriminellen für NFC-Zahlungen freigeschaltet. Banken weisen darauf hin, dass sie niemals per Telefon oder Nachrichten ihre Kundinnen und Kunden dazu auffordern, sensible Daten oder TANs zu nennen. Wer dennoch auf einen solchen Betrug reingefallen ist, sollte sich umgehend bei seiner Bank melden und zudem Anzeige bei der Polizei erstatten.

BSI-Empfehlungen für das kontaktlose Bezahlen

Heise Online über Betrugsmaschen via NFC

5. Jede und jeder Vierte nutzt veraltete Anwendungen

Trotz der zunehmenden Bedrohung durch Cybercrime vernachlässigen viele Bürgerinnen und Bürger die IT-Sicherheit ihrer Geräte und Anwendungen. Auch das geht aus dem Digitalbarometer 2022 von ProPK und BSI hervor. Mehr als jede und jeder Vierte (27 %) nutzt demnach auf dem eigenen Computer veraltete Programme, für die es keine Updates und Patches mehr gibt. Auch bei mobilen Geräten gebe es „Update-Lücken“: 31 Prozent der Befragten aktualisierten ihre Smartphone-Apps oder das mobile Betriebssystem nur dann, wenn neue Funktionen angekündigt würden. Acht Prozent spielen solche Updates nach eigenen Angaben sogar überhaupt nicht ein.

Das Digitalbarometer von BSI und ProPK zum Download

Bericht von Heise Online zum Digitalbarometer 2022

6. Kurz notiert

• Angriff auf die Stadtwerke Donauwörth erfolgreich verhindert
• Kreisverwaltung in Ludwigshafen bleibt nach Cyber-Angriff lahmgelegt
• Mitglied der Cyber-Gang LockBit verhaftet

Up-to-date

7. Aktuelle Warnmeldungen des Bürger-CERT

Das "Computer Emergency Response Team" des BSI informiert regelmäßig über Schwachstellen in Hard- und Software. Informationen und Tipps zum Umgang mit diesen Schwachstellen sowie aktuelle Warnmeldungen des Bürger-CERT

8. Patch as patch can

Im November hat Microsoft im Rahmen seines Patchdays zwei Updates veröffentlicht, die aber nicht nur Fehler behoben, sondern auch neue verursacht haben – allerdings ausschließlich bei Windows-Servern, die als Domain-Controller zum Einsatz kommen. Kurze Zeit später erklärte Microsoft, dass die Probleme mit kumulativen und Standalone-Updates nun gelöst seien, so Heise Online. Dort sind auch die Links zu den Updates zu finden.

Heise Online zum Patch der Microsoft-Patches

Gut zu wissen

9. Was sind MFA-Fatigue-Attacken?

Allein im vergangenen Jahr haben acht von zehn Menschen in Deutschland (79 %) Schäden durch Cyber-Angriffe hinnehmen müssen. Das ist ein weiteres Ergebnis aus dem Digitalbarometer 2022. Bei drei von zehn Befragten handelte es sich um zeitliche Schäden (29 %), bei jeder und jedem vierten um den Verlust von Daten (25 %). Einen direkten finanziellen Schaden hatte nur jeder und jede Siebte zu beklagen (13 %).

Über eine neue Betrugsmasche informiert unterdessen der japanische Software-Anbieter Trend Micro: Die Social-Engineering-Taktik „MFA-Fatigue“ verfolgt das Ziel, die sogenannte Multi-Faktor-Authentisierung auszuhebeln, durch die Anwendungen und Geräte über Passwörter hinaus durch zusätzliche Mechanismen geschützt werden. Bei MFA-Fatigue fordern Cyber-Kriminelle wiederholt und teilweise automatisiert eine Authentifizierung an – solange, bis das Opfer aus purer Ermüdung irgendwann die Anforderung bestätigt. Untermauert werden die Anforderungen mit teils detaillierten und firmeninternen Informationen, die über Social Engineering gewonnen werden, also über das gezielte Ausspähen vertraulicher und privater Informationen. Angewandt wurde MFA-Fatigue offenbar erfolgreich bei einem Angriff auf den Fahrdienstleister Uber im September dieses Jahres. Der Schutz gegen MFA-Fatigue ist vergleichsweise einfach: Die Authentisierungsanfrage erfolgt nur, wenn zuvor ein Passwort zu einem geschützten Account eingegeben wurde. Haben nicht Sie das getan, handelt es sich mutmaßlich um einen Angriff, und Sie sollten das Passwort sofort ändern.

Trend Micro über MFA-Fatigue-Attacken

10. Gerade rechtzeitig zu Black Friday und Cyber Monday: Multimedia-Angebote des BSI zum Schutz beim Online-Shopping

Die aktuelle Folge unseres Podcasts "Update verfügbar" beschäftigt sich ausführlich mit gefälschten Online-Einkaufsmöglichkeiten, sogenannten Fake Shops. Diese und alle weiteren Folgen des Podcasts.

In einer Folge unserer Reihe "einfach aBSIchern" können Sie sich auf YouTube einen Beitrag zum sicheren Online-Shopping anschauen.

Auf dem BSI-Kanal bei YouTube finden Sie zudem Expertenvideos zum kontaktlosen Bezahlen via NFC

Dort laden wir Sie auch zur ersten Folge unseres neuen, interaktiven Videoformats ein: "Safe or Sorry? Entscheide Du!"

Schließlich war das BSI beim Hessischen Rundfunk (HR) zu Gast: In der Sendung "hr-iNFO Netzwelt" berichtet Hanna Heuer als Referentin für Cyber-Sicherheit beim BSI über die Ergebnisse des Digitalbarometers 2022. Hören Sie auch hier gerne mal rein.

Was wichtig wird

Der Black Friday am 25., der Cyber Monday am 28. November und die ganze Cyber Week in der kommenden Woche locken Verbraucherinnen und Verbraucher mit einer Vielzahl von Sonder- und Spezialangeboten. Wir hoffen, dass Sie diese Offerten mit Vorsicht genießen können und sich zugleich vor unlauteren und betrügerischen Avancen schützen. Woran erkenne ich sichere Onlineshops?

Übrigens...

Was würden Sie tun, wenn Sie Opfer einer Cyber-Straftat würden? Die Reaktionen der Betroffenen auf Kriminalität im Internet fallen im Digitalbarometer 2022 sehr unterschiedlich aus: Die meisten Geschädigten halfen sich selbst (37 %), erstatteten Anzeige bei der Polizei (27 %) oder baten Freunde und Familie um Hilfe (20 %). Lediglich vier Prozent wussten überhaupt nicht, was sie machen sollten.

Weitere Ergebnisse und den Kurzbericht zum Digitalbarometer 2022

Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag.

10 Basistipps für mehr Sicherheit in Ihren digitalen Alltag

Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn weiter