bei Computer-Problemen - DIREKT die Profis rufen: 02429 909-904
 

IT-Nachrichten für Düren und Umgebung:
Sicherheitsbericht vom 14.12.2022




bsi

Liebe Leserinnen und Leser,

Weihnachten steht bald vor der Tür, aber bevor es soweit ist, stehen möglicherweise noch die an
oder anderen vorweihnachtlichen Einkäufe an. In Zeiten der umfassenden Vernetzung unseres Alltags
stehen Smart Toys hoch im Kurs, die nicht nur Kinder mit intelligenten Funktionen und Interaktionen
bezaubern sollen.

Aber Vorsicht: Hinter solchem Spielzeug steckt nicht selten veritable Abhörtechnik. Audio- und
Videoschnipsel, die über Mikrofone und Kameras eingesprochen wurden, können dann ohne unser Wissen
auf externen Servern landen In die Vorweihnachtszeit gehört es daher auch, sich diese Spielzeuge
genau anzuschauen und sie so zu schützen, dass Ihre und die Daten Ihrer Lieben sicher sind. Wie Sie
das machen, erfahren Sie in unseren Rubriken "Gut zu wissen" und "Praktisch sicher". Und dann
können Sie sich richtig auf Weihnachten freuen!

Wir werden uns am 05.01.2023 wieder lesen. Mein Team und ich wünschen Ihnen bis dahin besinnliche,
geruhsame und sichere Weihnachtstage sowie ein frohes neues Jahr!

Ihr
Jan Lammertz / Team BSI

Inhaltsverzeichnis
In den Schlagzeilen-----------------
1. Alarmstufe Rot-Gelb-Grün!
2. Sparkassen warnen vor SMS, die auf eine Phishing-Seite führt
3. Die größten Sicherheitsprobleme sitzen in den Unternehmen
4. Unsichtbare Herausforderung
5. 487 Millionen WhatsApp-Nummern zum Kauf angeboten
6. Cyberangriff auf das EU-Parlament
7. Kurz notiert


Up-to-date-----------------
8. Cybercrime bei Chrome
9. Patch now!
10. Aktuelle Warnmeldungen des Bürger-CERT


Gut zu wissen-----------------
11. Smart: Update Verfügbar
12. Was ist eigentlich eine "Intermettierende Verschlüsselung"?


Praktisch sicher-----------------
13. BSI Basistipps: Smart Toys sicher einrichten


Übrigens...

----------------------------------------------------
In den Schlagzeilen


1. Alarmstufe Rot-Gelb-Grün!

Anonyme IT-Expertinnen und -Experten haben den Rundfunksendern BR, NDR und dem Computermagazin ct gezeigt, wie einfach es ist, Ampeln zu manipulieren, um zum Beispiel eine grüne Welle zu schalten oder Rotsignale zu verlängern. Zwar konnten auch die Fachleute bei ihrem Feldversuch nicht alle Ampeln einer Kreuzung gleichzeitig auf grün oder rot schalten, heißt es in dem Bericht von BR24. Aber über das künstliche Verlängern von Ampelphasen sei es möglich, Staus zu erzeugen oder gleich Chaos zu verursachen. Für die Manipulation nutzten die Expertinnen und Experten das analoge Funksignal, das zum Beispiel von Bussen oder Straßenbahnen verwendet wird, um schneller durch den Verkehr zu kommen. Das Signal ist nicht verschlüsselt. "Jeder, der etwas von Funktechnik verstehe, könne diese Ampeln steuern", zitiert BR24 die IT-Fachleute. Würden die Kommunen auf digitale Funktechnik umstellen, könnten sie diese Schwachstelle schließen.

BR24 zum Ampel-Hack: (Hyperlink aufrufen)


2. Sparkassen warnen vor SMS, die auf eine Phishing-Seite führt

Wieder einmal sind gefälschte SMS im Umlauf, die dazu aufrufen, eine vermeintlich endende "S-pushTAN Verbindung" zu erneuern. Über einen in der SMS enthaltenen Link sollen Empfängerinnen und Empfänger dann eine Webseite aufrufen, auf der persönliche Daten eingegeben werden. Wir raten: NICHT auf den Link in der SMS klicken und KEINE Daten auf dieser Webseite eingeben. Betrüger wollen nur die Herausgabe der Zugangsdaten zum Online-Banking provozieren, um sie etwa für ihre Bezahlzwecke oder das Abheben von Bargeld zu missbrauchen.
Ein aktueller Screenshot, wie die SMS aussehen könnte und weitere Informationen unter: (Hyperlink aufrufen)

Infos rund um den Schutz vor Phishing: (Hyperlink aufrufen)


3. Die größten Sicherheitsprobleme sitzen in den Unternehmen

"Die größte Gefahr für Computersicherheit geht nicht von virtuellen Hackerangriffen aus", sagt der Sicherheitsexperte Michael Resch vom Höchstleistungsrechenzentrum Stuttgart (HLRS) in einem Interview mit der ARD-Tagesschau. "Das größte Problem sind immer die Menschen. Entweder die, die illegal eindringen, oder die, die von innen heraus agieren." Tatsächlich, so der Experte, sei ein IT-System von innen am besten zu knacken – zum Beispiel von einer Person, die sich über eine Einrichtung so ärgere, dass sie ihr schaden wolle.

Im Bericht zur Lage der IT-Sicherheit in Deutschland geht das BSI auf unterschiedliche Bedrohungsszenarien ein: (Hyperlink aufrufen)

Tagesschau-Interview mit Michael Resch: (Hyperlink aufrufen)


4. Unsichtbare Herausforderung

Eine TikTok-Challenge namens "#InvisibleChallenge" wird einem Bericht von Heise Online zufolge derzeit von Cyber-Kriminellen genutzt, um über eine Malware Zugangsdaten etwa zu Discord und Kryptogeld abzuluchsen. Bei der Challenge tanzen TikTok-Nutzerinnen und -Nutzer nackt vor der Kamera. Ein Filter entfernt dabei den Körper, so dass nur eine verschwommene Kontur übrigbleibt. Die WASP genannte Malware behauptet, diesen Filter entfernen zu können. Die Malware wird über einen Discord-Server verbreitet, dem bereits mehr als 30.000 Mitglieder beigetreten sein sollen.

Heise Online über eine TikTok-Schadsoftware: (Hyperlink aufrufen)


5. 487 Millionen WhatsApp-Nummern zum Kauf angeboten

In einem Hackerforum werden derzeit die Mobilfunknummern von rund 487 Millionen WhatsApp-Nutzerinnen und -Nutzern zum Verkauf angeboten. Darunter sollen auch sechs Millionen Nummern aus Deutschland sein, berichtet die Berliner Zeitung unter Berufung auf einen Artikel des Portals Cybernews. Wofür die Nummern verwendet werden können, ist derzeit noch unklar. WhatsApp, Teil des Meta-Konzerns, kommentierte den Vorfall nicht.

Berliner Zeitung über frei verkäufliche WhatsApp-Nummern: (Hyperlink aufrufen)

BSI-Empfehlungen zum Schutz von Benutzerkonten bei TikTok, Facebook & Co: (Hyperlink aufrufen)


6. Cyberangriff auf das EU-Parlament

Nachdem das EU-Parlament eine Resolution zum Krieg Russlands gegen die Ukraine verabschiedet hatte, gab es bereits Ende November einen Cyber-Angriff auf die Webseite des Parlaments. Zu dem Angriff bekannt habe sich "eine kremlnahe Hackergruppe", so CSO-Online. Wegen zahlreicher Angriffe im Rahmen einer DDoS-Attacke sei die Webseite eine Zeitlang nur eingeschränkt nutzbar gewesen. Bei einer solchen Attacke werden Webseiten mit einer Flut von Datenanfragen quasi außer Gefecht gesetzt.

CSO-Online zum Hack des EU-Parlaments: (Hyperlink aufrufen)


7. Kurz notiert

• Baumarktkette Obi gehackt, aber wohl keine sensiblen Daten abgeschöpft: (Hyperlink aufrufen)
• Lösegeld nicht bezahlt, Cyber-Angriff auf Klinikum Lippe dennoch beendet: (Hyperlink aufrufen)
• Gymnasium in Hannover ist Opfer von Cyber-Kriminellen geworden: (Hyperlink aufrufen)


----------------------------------------------------
Up-to-date


8. Cybercrime bei Chrome

Mit einem ungeplanten Sicherheitsupdate für den Webbrowser Chrome hat Google Anfang Dezember auf eine hochriskante Sicherheitslücke reagiert, die bereits aktiv angegriffen worden sei, berichtet Heise Online. Die Lücke betrifft die JavaScript-Engine V8, über die es möglich sei, Nutzerinnen und Nutzern Schadcode unterzuschieben. Mit der Aktualisierung auf Google Chrome 108.0.5359.79 für Android, 108.0.5359.94 für Linux und Mac sowie 108.0.5359.94/.95 für Windows beheben die Entwicklerinnen und Entwickler diesen sicherheitsrelevanten Fehler. User sollten ihren Browser baldmöglich patchen. Von diesem Notfall-Patch abgesehen, hat Google mit dem Update auf die Version 108 insgesamt 28 Sicherheitslücken geschlossen, von denen acht mit einem hohen Risiko einhergingen.

Heise Online über Sicherheitslücke bei Google Chrome: (Hyperlink aufrufen)


9. Patch now!

CSO-Online hat eine Übersicht über weitere aktuelle Schwachstellen veröffentlicht, die sofort gepatcht werden sollten: (Hyperlink aufrufen)


10. Aktuelle Warnmeldungen des Bürger-CERT

Über weitere Schwachstellen in Hard- und Software informiert regelmäßig auch das "Computer Emergency Response Team" des BSI. Informationen und Tipps zum Umgang mit diesen Schwachstellen sowie aktuelle Warnmeldungen des Bürger-CERT finden Sie hier: (Hyperlink aufrufen)


----------------------------------------------------
Gut zu wissen


11. Smart: Update Verfügbar

In Folge #26 beschäftigt sich das BSI in seinem Podcast "Update Verfügbar" mit vernetzten Spielzeugen: "Smart Toys – wenn der Teddy gefährlich wird". Diese Spielzeuge, die es auch in diesem Jahr zu Weihnachten unter vielen Weihnachtsbäumen geben wird, sind oft mit dem Internet verbunden und verfügen über unterschiedliche Sensoren, über die sie sensible Daten aufzeichnen und versenden können, etwa eine Kamera oder ein Mikrofon. Im Podcast bespricht das Moderationsteam Ute Lange und Michael Münz mit Martin Gobbin von Stiftung Warentest, welche Schutzvorkehrungen Sie treffen können, um sich und Ihren Liebsten die Freude am Spiel zu erhalten und gleichzeitig die eigenen Daten zu schützen. "Manchmal ist die dumme Version einfach die schlauere Wahl", sagt Martin Gobbin zum Beispiel. "Dann können diese Gefahren nicht passieren."

"Update Verfügbar", Folge #26, "Smart Toys – wenn der Teddy gefährlich wird": (Hyperlink aufrufen)


12. Was ist eigentlich eine "Intermettierende Verschlüsselung"?

Auf eine neue Form der Datenverschlüsselung macht IT-daily aufmerksam: Bei der „Intermettierenden Verschlüsselung“ werden Daten bei einer Ransomware-Attacke nicht vollständig, sondern nur teilweise verschlüsselt. Damit umgingen die Angreifenden Erkennungssysteme, heißt es in dem Bericht. Zudem sei diese Methode schneller als eine vollständige Verschlüsselung von Daten. Und einem Bericht der Funkschau zufolge geraten über diese Methode zunehmend auch Back-up-Daten in den Fokus von Cyber-Kriminellen. „Dagegen helfen robuste Strategien der Datensicherung, die eine schnelle und vollständige Datenwiederherstellung ermöglichen“, rät das IT-Magazin.

IT-daily über "Intermettierende Verschlüsselung": (Hyperlink aufrufen)

Funkschau über Angriffe auf Daten in Back-ups: (Hyperlink aufrufen)


----------------------------------------------------
Praktisch sicher


13. BSI Basistipps: Smart Toys sicher einrichten

Das BSI versorgt Sie über seinen Podcast nicht nur mit dem Basiswissen über Smart Toys, sondern über seine Social-Media-Kanäle auch mit den wichtigsten Basistipps:
• Überzeugen Sie sich schon beim Kauf, ob der Hersteller über die gesamte zu erwartende Nutzungsdauer Updates anbieten wird, zum Beispiel, um Schwachstellen zu schließen und Programmfehler zu beheben.
• Achten Sie vor dem Kauf darauf, dass das Spielzeug selbst und zugehörige Dienste, zum Beispiel mobile Apps, Mechanismen zum Schutz von Daten anbieten. Solche Informationen erhalten Sie zum Beispiel über die App-Stores Ihres Geräts.
• Richten Sie Ihr Smart Toy in einer sicheren Umgebung ein, zum Beispiel im Gäste-WLAN Ihres Heimnetzwerks. Nutzen Sie auf keinen Fall ungeschützte, öffentliche Netze. Wenn möglich, beschränken Sie den Zugang des Spielzeugs ins Internet über einen Passwortschutz für das entsprechende WLAN.
• Überschreiben Sie voreingestellte Passwörter oder Zugangs-Codes zum Hersteller immer mit eigenen, sicheren Kennwörtern.

In nur einer Minute können Sie sich beim BSI über die möglichen Risiken von Smart Toys bezüglich Datenschutz und IT-Sicherheit informieren: (Hyperlink aufrufen)

Beim BSI finden Sie aber auch ausführlichere Informationen zum Thema: „Smarte Spielzeuge - Lernhilfen oder Spione?“: (Hyperlink aufrufen)


----------------------------------------------------
Übrigens...

Wir haben hier noch den ultimativen Vorweihnachtstipp für Sie: Zwar werden auf der weltweit größten Spielwarenmesse in Nürnberg jedes Jahr rund eine Million Spielzeuge präsentiert, darunter etwa 60.000 Neuheiten – und davon sicher auch viele Smart Toys. Dennoch rät das Erziehungsmagazin eltern dazu, der Versuchung zu widerstehen, zu viel Spielzeug zu kaufen und stattdessen auf wenige hochwertige Spielzeuge zu setzen.

Mehr eltern-Tipps für den Spielzeugkauf finden Sie hier: (Hyperlink aufrufen)

Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag: (Hyperlink aufrufen)

Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten: (Hyperlink aufrufen)

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn Familie, Freundinnen und Freunden oder Kolleginnen und Kollegen: (Hyperlink aufrufen)

SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)









Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de