bei Computer-Problemen - DIREKT die Profis rufen: 02429 909-904
 

IT-Nachrichten für Düren und Umgebung:
Sicherheitsbericht vom 09.07.2020




bsi

Liebe LeserInnen,

immer mehr Geräte sind mit dem Internet verbunden – laut einer Prognose von Statista sollen es in
diesem Jahr weltweit mehr als 20 Milliarden werden. Doch längst nicht alle davon sind sicher. Im
aktuellen Newsletter berichten wir zum Beispiel von TV-Geräten und Routern, die nicht nur unsere
Daten weitergeben, sondern es auch mit der IT-Sicherheit nicht so genau nehmen. Das gilt leider
auch für harmlos erscheinende Anwendungen wie die Video-App TikTok: Hier wird Datenschutz allen
Regeln zum Trotz leider oft klein geschrieben. Damit Sie Bescheid wissen, informieren wir Sie an
dieser Stelle regelmäßig über passende Tipps für mehr Sicherheit.

Unter "Zahl der Woche" erfahren Sie in dieser Ausgabe, wie Sie mit der Zwei-Faktor-Authentisierung
Ihre Geräte und Online-Konten besser schützen können. Und mit Blick auf den Beitrag zu Social
Engineering in unserer Rubrik "Kurz erklärt" ist mein Rat – wie schon in der Vergangenheit – an
Sie: Bleiben Sie wachsam!

Viel Spaß beim Lesen wünscht Ihnen

Jan Lammertz / Team BSI-für-Bürger
Inhalt

In den Schlagzeilen-----------------
1. Fraunhofer-Studie: Home-Router sind unsicher
2. Laptops werden im Kammergericht wieder zu Schreibmaschinen
3. Ransomeware EvilQuest: Der Name ist Programm
4. Hack bei Foodora
5. Mangelhafte IT-Sicherheit auch bei Fernsehgeräten
6. TikTok: Video-App mit Sicherheitslücken


Bleiben Sie up-to-date-----------------
7. Aktuelle Warnmeldungen des Bürger-CERT
8. Update: Mindeststandards des BSI für Web-Browser


Gut zu wissen-----------------
9. Wo rohe Kräfte sinnlos walten: Brute-Force-Angriffe
10. EIDI: Schnelle Informationen nach digitalem Identitätsdiebstahl


Kurz erklärt-----------------
11. Was ist eigentlich Social Engineering?


Zahl der Woche-----------------
12. Zwei Faktoren – mehr Sicherheit

----------------------------------------------------
In den Schlagzeilen


1. Fraunhofer-Studie: Home-Router sind unsicher

Das Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) hat die Firmware von 127 aktuell erhältlichen Home-Routern untersucht. Das Ergebnis: In jeder Basis-Software fanden die ExpertInnen "das eine oder andere Problem", wie Heise Online meldet. Zudem ließen viele Hersteller wichtige Sicherheitsupdates schleifen und lieferten Router mit schwachen voreingestellten und oft nicht änderbaren Passwörtern aus, kritisiert das FKIE. Getestet wurden Geräte von Asus, AVM, D-Link, Linksys, Netgear, TP-Link und Zyxel.

Das BSI veröffentlichte kürzlich eine technische Richtlinie mit den Anforderungen an IT-Sicherheit für Router im Endkundenbereich: (Hyperlink aufrufen)

Heise Online über unsichere Router: (Hyperlink aufrufen)


2. Laptops werden im Kammergericht wieder zu Schreibmaschinen

Noch immer behindert die Schadsoftware Emotet die Arbeit des Berliner Kammergerichts, berichtet der Tagesspiegel. Ganze neun Monate nach der Virus-Attacke auf das Computersystem des Gerichts ist ein Großteil der rund 150 RichterInnen weiterhin nur eingeschränkt arbeitsfähig. Besonders das in Corona-Zeiten so wichtige Arbeiten aus dem Homeoffice sei aufgrund fehlender sicherer Verbindungen (VPN) nur sehr eingeschränkt möglich. So könnten die modernen Notebooks der RichterInnen im Moment nur als bessere Schreibmaschinen eingesetzt werden. Wann die sicheren Verbindungen stehen, ist derzeit noch nicht absehbar.

Informationen von BSI für Bürger über Emotet: (Hyperlink aufrufen)

Zur Meldung vom Tagesspiegel: (Hyperlink aufrufen)


3. Ransomeware EvilQuest: Der Name ist Programm

Es passiert eher selten, dass Ransomware ausfindig gemacht wird, die explizit Apple-Computer zum Ziel hat. Nun haben IT-SicherheitsexpertInnen eine solche Schadsoftware für das Apple-Betriebssystem OSX entdeckt. "EvilQuest" verschlüsselt die Festplatte eines befallenen Rechners mit dem Ziel, Lösegeld für die Entschlüsselung zu erpressen. Das Schadprogramm wird offensichtlich über Raubkopien kommerzieller Software verteilt, die NutzerInnen über russische Webseiten und Foren beziehen. In Gefahr schwebt also vor allem, "wer sich aus dubiosen Quellen mit nicht lizenzierter Software" versorgt, schreibt der Spiegel.

Das BSI rät davon ab, auf Erpressungen mit Lösegeldzahlungen einzugehen: (Hyperlink aufrufen)

Der Spiegel über Ransomware auf Apple-Computern: (Hyperlink aufrufen)


4. Hack bei Foodora

Beim mittlerweile von Takeaway aufgekauften Lieferdienst Foodora sind offenbar bereits 2016 die Daten von rund 200.000 deutschen NutzerInnen gehackt worden. Insgesamt wurden weltweit sogar rund 480.000 KundInnen ausgespäht. Aber erst jetzt sind diese Daten mit Namen, Telefonnummern, Adressen und Passwörtern im Darknet aufgetaucht, meldet die Süddeutsche Zeitung. Da Foodora in Deutschland mittlerweile nicht mehr existiert, können die NutzerInnen Ihr Passwort bei dem Lieferdienst nicht ändern, auf (Hyperlink aufrufen) aber prüfen, ob sie betroffen sind.

Bewährte Tipps des BSI für sichere Passwörter: (Hyperlink aufrufen)

Süddeutsche Zeitung zum Hack bei Foodora: (Hyperlink aufrufen)


5. Mangelhafte IT-Sicherheit auch bei Fernsehgeräten

Moderne TV-Geräte sind fast so selbstverständlich mit dem Internet verbunden wie PCs und Smartphones. Allerdings sammeln vernetzte Fernsehgeräte nicht nur massenhaft Daten ohne das Wissen ihrer NutzerInnen, wie das Bundeskartellamt feststellt. Auch mit der IT-Sicherheit der Geräte beispielsweise über regelmäßige Updates und Patches nehmen es die Anbieter offensichtlich nicht so genau. Die Wettbewerbsbehörde fordert daher von den Herstellern, eine größere Transparenz über die datenschutzkonforme Nutzung von Daten zu gewährleisten. Beim Gesetzgeber mahnt die Behörde einen klar geregelten Anspruch auf Updates an.

Lesen Sie bei BSI für Bürger mehr über die sichere Nutzung von Smart-TVs: (Hyperlink aufrufen)

Heise Online über Mängel bei Datenschutz und IT-Sicherheit von TV-Geräten: (Hyperlink aufrufen)


6. TikTok: Video-App mit Sicherheitslücken

Weltweit mehr als 800 Millionen Menschen nutzen derzeit die Video-App TikTok für kurze Videos und lippensynchrone Musikdarbietungen. Die App steht allerdings unter anderem aufgrund ihres Umgangs mit Daten- und Jugendschutz sowie wegen der Zensur politischer und religiöser Themen in der Kritik. Nun hat es ein Webentwickler geschafft, fremde Profile in TikTok komplett zu übernehmen – über Informationen, die die Video-App selbst herausgab. Danach konnte der Entwickler in fremden Profilen zum Beispiel Videos veröffentlichen oder löschen, wie Netzpolitik.org berichtet. TikTok bestätigte die Lücke und gibt an, sie in der Zwischenzeit geschlossen zu haben. Zudem gebe es keine Hinweise darauf, dass der Fehler ausgenutzt worden sei.

Zehn Tipps des BSI zum sicheren Umgang mit sozialen Netzwerken: (Hyperlink aufrufen)

Netzpolitik.org über die TikTok-Lücke: (Hyperlink aufrufen)


----------------------------------------------------
Bleiben Sie up-to-date


7. Aktuelle Warnmeldungen des Bürger-CERT

Das "Computer Emergency Response Team" des BSI ("Bürger-CERT") informiert regelmäßig über Schwachstellen in Hard- und Software. Aktuell gibt es Meldungen unter anderem zu Mozilla Firefox for iOS ( 27); Avast Antivirus ( free 20.4), AVG Technologies Anti-Virus ( free 20.4); Mozilla Firefox ( 78.0), Mozilla Firefox for Android ( 68.10.0); Check Point Zone Alarm ( 15.8.109.18436); sowie zum Android/Pixel Patchday im Juli (Google Android 10, 9, 8.0, 8.1).

Informationen und Tipps zum Umgang mit diesen gefährlichen Schwachstellen sowie weitere aktuelle Warnmeldungen des Bürger-CERT finden Sie hier: (Hyperlink aufrufen)


8. Update: Mindeststandards des BSI für Web-Browser

Das BSI hat die Mindeststandards für Web-Browser aktualisiert. Sie sind nach wie vor das wichtigste Tool für das Surfen im Internet, doch können darüber auch Daten aus nicht vertrauenswürdigen Quellen geladen werden. Solche Daten können schädlichen Code (Viren, Trojaner, Spyware) enthalten und den Computer unbemerkt infizieren. Um das zu verhindern, fordert das BSI zum Beispiel von den Anbietern die vertrauenswürdige Kommunikation über Zertifikate sowie die Beachtung aktueller Sicherheitsstandards.

Weitere BSI-Informationen zu den Mindeststandards für Web-Browser: (Hyperlink aufrufen)


----------------------------------------------------
Gut zu wissen


9. Wo rohe Kräfte sinnlos walten: Brute-Force-Angriffe

Um Login-Daten oder Passwörter für Accounts abzugreifen, nutzen viele Hacker sogenannte Brute-Force-Attacken. Im Grunde genommen versuchen sie dabei schlicht durch die wiederholte und systematische Eingabe aller möglichen Zeichenkombinationen, Usernamen und Passwörter zu erraten. Diese Methode ist sehr zeit- und ressourcenaufwändig: Laut dem Security-Anbieter "Cloudflare" müssen 15 Millionen Versuche pro Sekunde (!) gestartet werden, um ein siebenstelliges Passwort in rund neun Minuten zu knacken. Ein Passwort mit 13 Zeichen zu ermitteln, bräuchte 350.000 Jahre, so die Computerwoche. Dennoch versuchen Hacker über Automatisierungs-Tools, Skripte oder Bots, Zugang zu geschützten Systemen zu bekommen. Der beste Schutz vor solchen Attacken sind unter anderem lange Passwörter.

Im Glossar auf BSI für Bürger erklären wir nicht nur, was hinter einem Brute-Force-Angriff steckt, sondern viele weitere Begriffe rund um IT-Sicherheit: (Hyperlink aufrufen)

Computerwoche über Brute-Force-Attacken: (Hyperlink aufrufen)


10. EIDI: Schnelle Informationen nach digitalem Identitätsdiebstahl

Cyberkriminelle sammeln im großen Maßstab Kundendaten, die sie illegal bei Webportalen, in Onlineshops oder über soziale Netzwerke abgreifen. Das Projekt EIDI (Effektive Information von Betroffenen nach digitalem Identitätsdiebstahl) an der Universität Bonn verfolgt das Ziel, die Opfer solcher Datendiebstähle automatisch und proaktiv zu informieren.

Lesen Sie im Security-Insider ein Interview über den Stand bei EIDI: (Hyperlink aufrufen)


----------------------------------------------------
Kurz erklärt


11. Was ist eigentlich Social Engineering?

Beim Social Engineering nutzen Cyber-Kriminelle den "Faktor Mensch" als vermeintlich schwächstes Glied der Sicherheitskette aus. BSI-Experte Stefan Becker erklärt in unserem Video, wie Cyber-Kriminelle persönliche Kontakte zu Menschen nutzen, um sie dazu zu verleiten, eigenständig Daten preiszugeben, Schutzmaßnahmen zu umgehen oder selbstständig Schadprogramme auf ihren Systemen zu installieren.

Sehen Sie sich hier das gesamte BSI-Video "Social Engineering – der Mensch als Schwachstelle" an: (Hyperlink aufrufen)


----------------------------------------------------
Zahl der Woche


12. Zwei Faktoren – mehr Sicherheit

Lange Passwörter sind, wie wir oben geschrieben haben, sehr viel schwerer zu knacken als kurze. Nach aktuellen Sicherheitsstandards bietet ein Passwort allein dennoch nicht mehr den bestmöglichen Schutz. Deswegen gibt es die Zwei-Faktor-Authentisierung: Dabei wird neben einem Passwort ein zweiter Faktor für die Anmeldung benötigt– etwa der Fingerabdruck auf dem Smartphone, ein Iris-Scan oder eine einmalig gültige Transaktionsnummer (TAN) wie etwa beim Onlinebanking. Für Hacker und Kriminelle ist die Zwei-Faktor-Authentisierung eine weitere Hürde, die es ihnen erheblich erschwert, Zugang zu fremden Accounts zu erlangen. Fast alle modernen mobilen Geräte sowie nahezu allen großen Onlinedienste bieten die Zwei-Faktor-Authentisierung an. Beim Onlinebanking ist sie bereits verpflichtend. Also, worauf warten Sie?

Bei BSI für Bürger finden Sie ein Erklärvideo und weitere Informationen zu der Zwei-Faktor-Authentisierung: (Hyperlink aufrufen)

SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)









Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de