Liebe Leserinnen und Leser,
wie gewohnt, lesen Sie an dieser Stelle die wichtigsten Neuigkeiten über aktuelle Cyber-Vorfälle
und Sicherheitslücken. Sie erfahren aber auch, wie Sie sich davor schützen. „Awareness“ ist dabei
ein gutes Stichwort. Das steht neudeutsch für Aufmerksamkeit, Bewusstsein oder Kenntnis – und wir
liefern Ihnen dafür die nötigen Informationen.
Diesmal möchten wir aber auch etwas von Ihnen wissen: Wie finden Sie diesen Newsletter? Was mögen
Sie, was würden Sie verbessern, wovon gerne mehr (oder weniger) lesen? In unserer Rubrik „Übrigens“
am Ende dieses Newsletters laden wir Sie ein, an einer kleinen Umfrage teilzunehmen.
Wir möchten Ihre Anregungen und Kritik nutzen, um noch ein bisschen besser zu werden. Wir freuen
uns über Ihre Teilnahme!
Viel Spaß beim Lesen wünscht Ihnen
Jan Lammertz / Team BSI
Inhaltsverzeichnis
In den Schlagzeilen-----------------
1. Emotet ist zurück – wieder einmal!
2. Warnung vor Phishing-Mail mit Betreff: "Ihr Deutsche Bahn Konto wird deaktiviert"
3. Passwörter aus der Popkultur
4. Verbraucherzentrale warnt vor Angeboten mit Amazon-Retouren
5. KI-Sprachmodell
6. Das LKA Niedersachsen warnt
7. Nur jedes zehnte Unternehmen ist bestens auf Cyber-Angriffe vorbereitet
8. Kurz notiert
Up-to-date-----------------
9. Microsoft warnt vor kritischer Outlook-Lücke
10. Auch Zoom mit Sicherheitslücken
11. Samsung und Google mit Schwachstellen
12. Datenleck bei Mastodon
13. Aktuelle Warnmeldungen des Bürger-CERT
Gut zu wissen-----------------
14. Deutschland shoppt online eher unsicher
15. Handbuch für das Management von Cyber-Risiken
Praktisch sicher
Übrigens
----------------------------------------------------
In den Schlagzeilen
1. Emotet ist zurück – wieder einmal!
Zum wiederholten Male meldet sich die gefährliche Schadsoftware Emotet zurück – diesmal "in Form von bösartigen OneNote-Dateien", wie Heise Online berichtet. Die Mails tarnen sich als Antworten auf bereits bestehende E-Mail-Verläufe und drehen sich thematisch „meist um Finanzen und Rechnungen“, wie ein IT-Sicherheitsforscher von Cofense sagt. Die enthaltene Schadsoftware tarnt sich als OneNote-Anhang mit einer falschen Benachrichtigung, aus der hervorgeht, dass das Dokument angeblich geschützt sei. Ein Doppelklick auf die Schaltfläche "View" reicht dann aus, um das eingebettete Skript zu starten, das schließlich den Emotet-Schädling herunterlädt. Der Anbieter von OneNote, Microsoft, hat dem Bericht zufolge das Problem bereits erkannt und arbeitet an Lösungen.
BSI-Informationen zur Schadsoftware Emotet: (Hyperlink aufrufen)
Heise Online über die Wiederkehr von Emotet: (Hyperlink aufrufen)
VDI-Nachrichten über den "Cisco Cybersecurity Readiness Index 2023": (Hyperlink aufrufen)
2. Warnung vor Phishing-Mail mit Betreff: "Ihr Deutsche Bahn Konto wird deaktiviert"
Im Phishing-Radar der Verbraucherzentrale taucht aktuell die Meldung über eine gefälschte Mail der Deutschen Bahn auf. Die E-Mail sieht täuschend echt aus und enthält eine große Anzahl an persönlichen Daten, die vorgelegt werden, um vertrauenswürdig zu wirken. Über einen Link soll die Deaktivierung schließlich verhindert werden. Wer eine solche Mail erhält sollte auf keinen Fall auf den Link klicken und persönliche Daten eingeben. Einen Anhaltspunkt auf eine Fälschung soll die Absenderadresse liefern. Außerdem sollten Sie diese E-Mail löschen.
Woran Sie außerdem Phishing E-Mails erkennen: (Hyperlink aufrufen)
Zum Phishing-Radar der VZ: (Hyperlink aufrufen)
3. Passwörter aus der Popkultur
Es ist keine gute Idee, sich von der modernen Popkultur zu Passwörtern für seine Online-Konten inspirieren zu lassen. Zu diesem Schluss kommt jedenfalls eine Studie von Atlas VPN zu den am häufigsten wiederverwendeten Passwörtern. Die untersuchten Passwortlisten aus dem Dark Web drehten sich allein 186.000-mal um die US-Sängerin Taylor Swift und ihr neues Album "Midnights", berichtet t3n.
BSI: Mit diesen Passwörtern sind Sie wirklich sicher: (Hyperlink aufrufen)
t3n über den Promimalus bei Passwörtern: (Hyperlink aufrufen)
4. Verbraucherzentrale warnt vor Angeboten mit Amazon-Retouren
Betrügerinnen und Betrüger böten auf verschiedenen Plattformen technische Geräte wie Smartphones, Notebooks oder Spielekonsolen als angebliche „Amazon-Pakete“ palettenweise zum Kauf an, warnt die Verbraucherzentrale. Die Paletten seien bereits ab 30 Euro im Internet zu bekommen. Tatsächlich aber, so die Verbraucherschützer, gingen Kundinnen und Kunden in der Regel leer aus und das Geld sei auch weg. Zwar gebe es solche Palettenverkäufe aus Retouren tatsächlich – allerdings nur für Wiederverkäufer und nicht an Endkundinnen und -kunden, heißt es.
BSI: So erkennen Sie sichere Online-Shops: (Hyperlink aufrufen)
Zum Betrug mit Palettenverkäufen: (Hyperlink aufrufen)
5. KI-Sprachmodell
Das KI-Sprachmodell "ChatGPT" ist in letzter Zeit immer wieder in den Schlagzeilen gewesen. Es erstellt Texte auf individuelle Fragen und kann in verständlicher Sprache kommunizieren. ChatGPT wird damit umgehend auch zum Objekt von Cyber-Kriminellen, die den Bot für Straftaten einsetzen. So haben Forscherinnen und Forscher des Sicherheitsunternehmens Check Point Research bereits kurz nach dem Start von ChatGPT Ende November 2022 gezeigt, wie sich die KI zum Verfassen glaubwürdiger Phishing-E-Mails oder für das Programmieren von Schadcode nutzen lässt, berichtet n-tv. Die KI mache Betrugsversuche professioneller, weil zum Beispiel Phishing-Mails weniger Fehler enthielten und insgesamt seriöser wirkten. „Wie genau sich der Aufstieg von ChatGPT und anderen KIs auf die Sicherheit im Internet auswirken wird“, so das vorläufige Fazit bei n-tv, "ist noch nicht klar".
BSI mit Hintergrundinformationen zu Social- und Chatbots: (Hyperlink aufrufen)
n-tv: "Wird ChatGPT zum gefährlichen Hacker-Werkzeug?": (Hyperlink aufrufen)
6. Das LKA Niedersachsen warnt
Wahrscheinlich noch ganz ohne den Einsatz künstlicher Intelligenz arbeiten Betrügerinnen und Betrüger in Niedersachsen. Sie verschicken Kurzmitteilungen auf Smartphones (SMS), in denen sie sich als Paket- oder Onlineshopping-Dienst ausgeben und über einen Fehler bei der Paketzustellung schreiben. Die Kurzmitteilungen enthalten einen oder mehrere schädliche Links, die Kundinnen und Kunden auf eine Phishing-Website führen. Dort versuchen die Cyber-Kriminellen, beispielsweise persönliche sowie Zahlungsdaten abzugreifen. Das Landeskriminalamt Niedersachsen warnt vor diesen Betrugsversuchen und empfiehlt neben einem aktuellen Betriebssystem den Einsatz einer Antivirensoftware. Für den Fall, dass Opfer der Methode bereits Kontodaten preisgegeben hätten, empfiehlt die Polizei, Anzeige zu erstatten und die eigene Bank zu kontaktieren.
BSI-Infos über Phishing & Smishing: (Hyperlink aufrufen)
Zur aktuellen LKA-Warnung: (Hyperlink aufrufen)
7. Nur jedes zehnte Unternehmen ist bestens auf Cyber-Angriffe vorbereitet
Gerade einmal elf Prozent der deutschen Unternehmen sind "bestmöglich" auf Cyber-Angriffe vorbereitet. Das ist ein Ergebnis des "Cisco Cybersecurity Readiness Index 2023". Damit befindet sich Deutschland weltweit gesehen nur im Mittelfeld, berichten die VDI-Nachrichten. Europaweit reicht es dagegen für Platz zwei hinter Großbritannien. Am besten abgesichert sind in Deutschland im weltweiten Vergleich Endgeräte (weltweit Platz zehn) und Netzwerke (Platz elf). "Die globale Studie zeigt, dass deutsche Unternehmen großen Aufholbedarf in Sachen IT-Sicherheit haben", kommentiert Michael von der Horst, Managing Director Cybersecurity bei Cisco Deutschland.
Aktuelle Hinweise des BSI über die Cyber-Sicherheitslage finden Sie unter: (Hyperlink aufrufen)
8. Kurz notiert
a. Mutmaßlicher Hackerangriff auf die Stadt Rastatt: (Hyperlink aufrufen)
b. Schifffahrtsagentur Royal Dirkzwager mit Ransomware erpresst: (Hyperlink aufrufen)
c. Münchner Helmholtz-Zentrum Opfer einer Cyber-Attacke: (Hyperlink aufrufen)
----------------------------------------------------
Up-to-date
9. Microsoft warnt vor kritischer Outlook-Lücke
Bereits seit April 2022 hätten Angreiferinnen oder Angreifer aus Russland europäische Unternehmen und Organisationen über eine schwere Sicherheitslücke in Outlook attackiert, meldet Microsoft. Die Lücke mit der Identifikationsnummer CVE-2023-23397 hat demnach einen Schweregrad mit dem Wert 9,8 von 10, wird also als „kritisch“ eingestuft und wurde aktiv ausgenutzt, so Der Spiegel. Besonders perfide: Schon das Entgegennehmen der Mail über einen Mail-Server kann einen Angriff auslösen; eine Interaktion durch die Nutzerinnen und Nutzer ist dafür nicht nötig. Betroffen waren laut Microsoft alle vom Unternehmen noch unterstützten Windows-Desktop-Versionen von Outlook. Ein Patch zum Schließen der Lücke ist verfügbar.
Der Spiegel über eine kritische Lücke in Outlook: (Hyperlink aufrufen)
Informationen und Patches bei Microsoft: (Hyperlink aufrufen)
10. Auch Zoom mit Sicherheitslücken
In der Online-Konferenzsoftware Zoom sind ebenfalls "hochriskante Lücken" entdeckt worden, die vom Anbieter der Software aber bereits aktiv geschlossen wurden. Über die Lücken sei es möglich gewesen, Nutzerinnen und Nutzern Schadcode unterzujubeln oder die Rechte im System auszuweiten. Aktualisierungen stehen hier ebenfalls bereit.
Heise Online über kritische Lücken in Zoom: (Hyperlink aufrufen)
Security-Bulletins von Zoom zu den Lücken: (Hyperlink aufrufen)
11. Samsung und Google mit Schwachstellen
Sicherheitsforscherinnen und -forscher des Projekts Google Zero haben eine Reihe von Schwachstellen in der Hardware diverser Geräte gefunden, darunter im Samsung Galaxy S22 und Galaxy A71, aber auch in aktuellen Pixel-Smartphones von Google sowie Modellen weiterer Hersteller. Zudem könnten auch Smartwatches, Wearables sowie per Mobilfunk vernetzte Autos angegriffen werden, berichtet Der Spiegel. Um Schadsoftware auf die Geräte zu spielen, reiche es schon, die Telefonnummer eines Geräts zu kennen. Samsung hat bereits erste Updates entwickelt, die aber noch nicht allen Anwenderinnen und Anwendern bereitstünden. Google hat den Patch bereits mit dem monatlichen Sicherheitsupdate für März bereitgestellt.
Der Spiegel über Sicherheitslücken auf mobilen Geräten: (Hyperlink aufrufen)
12. Datenleck bei Mastodon
Bei der Twitter-Alternative Mastodon ist ein Datenleck bekannt geworden, das nicht durch einen Angriff von außen verursacht wurde, sondern durch einen Konfigurationsfehler des Anbieters. Über die Lücke war es theoretisch möglich, alle auf files.mastodon.social hochgeladenen Daten einzusehen, darunter das öffentliche Profil, die eigenen Favoriten und Bookmarks sowie Posts und Medienanhänge. E-Mail-Adressen oder andere persönliche Identifikationsdaten seien aber nicht einsehbar gewesen, heißt es bei Heise Online. Die Lücke wurde überdies bereits im Februar wieder geschlossen, Aktionen durch die Nutzerinnen und Nutzer seien nicht nötig.
Heise Online über Datenlücke bei Mastodon: (Hyperlink aufrufen)
13. Aktuelle Warnmeldungen des Bürger-CERT
Über weitere aktuelle Lücken und Schwachstellen in Hard- und Software informiert das „Computer Emergency Response Team“ des BSI regelmäßig auf seiner Webseite. Informationen und Tipps zum Umgang mit diesen Schwachstellen sowie aktuelle Warnmeldungen des Bürger-CERT finden Sie hier:
(Hyperlink aufrufen)
----------------------------------------------------
Gut zu wissen
14. Deutschland shoppt online eher unsicher
Deutschland shoppt im Netz – aber nicht immer sicher. Das hat das BSI im Rahmen einer Studie zum Online-Shopping herausgefunden. Demnach kaufen satte 91 Prozent wenigstens „gelegentlich“ im Internet ein, 55 Prozent sogar mindestens ein- oder mehrmals pro Monat. Immerhin jede/r Vierte hat dabei bereits negative Erfahrungen gemacht. Die Erkenntnisse des BSI untermauern diese Erfahrungen: Bei der Untersuchung etwa von Software-Produkten für Onlineshops auf Schwachstellen wurden insgesamt 78 Sicherheitslücken gefunden – teilweise mit gravierenden Auswirkungen auf das IT-Sicherheitsniveau von Daten der Verbraucherinnen und Verbraucher. Zudem wurden in sieben von zehn Shop-Softwareprodukten JavaScript-Bibliotheken identifiziert, die verwundbar gegenüber bekannten Schwachstellen waren.
Ausführliche Informationen zur BSI-Studie und einen Link zum Download finden Sie hier: (Hyperlink aufrufen)
15. Handbuch für das Management von Cyber-Risiken
Speziell an Unternehmensleitungen wendet sich ein aktualisiertes Handbuch, das das BSI gemeinsam mit der Internet Security Alliance (ISA) herausgegeben hat. Der Ratgeber "Management von Cyber-Risiken"“ soll dabei helfen, die Bedeutung von IT-Sicherheit auf der Führungsetage zu vermitteln und in die Risikomanagement-Strategie zu integrieren. Die neue Ausgabe enthält unter anderem ein Kapitel über eine Unternehmenskultur, die die IT-Sicherheit durchgehend berücksichtigt und so die Resilienz des Unternehmens erhöht. Ebenfalls neu ist ein Toolkit des BSI in Form von Handlungsanweisungen für Unternehmensverantwortliche.
Zum kostenlosen Download des Handbuchs für Cybersicherheit: (Hyperlink aufrufen)
----------------------------------------------------
Praktisch sicher
Manchmal ist es Unwissen, mitunter Sorglosigkeit, oft auch einfach Nachlässigkeit, die dazu führen, dass Menschen auf Links klicken, ihre Geräte offen rumliegen lassen oder Sicherheitsupdates nicht einspielen. Eine der wichtigsten Aufgaben des BSI ist es daher, die Aufmerksamkeit auf die Risiken im Internet zu lenken und Schutzmaßnahmen aufzuzeigen.
So erhöhen Sie das Bewusstsein für die Gefahren im Internet:
• Verfolgen Sie Medienberichte über Cyber-Angriffe. Sie vermitteln Ihnen ein Bild von aktuellen und gängigen Angriffsszenarien sowie Abwehrmaßnahmen. Sie sorgen dafür, dass das Thema die Aufmerksamkeit erhält, die es verdient.
• Nehmen Sie in Ihrem Unternehmen an Schulungen zur IT-Sicherheit teil, so sie denn angeboten werden. Darüber bekommen Sie Tipps zum richtigen Verhalten für ihren digitalen Alltag.
• Schauen Sie sich IT-Notfallkarten an, wie sie zum Beispiel das BSI anbietet. (Den Link finden Sie unten.) So wissen Sie, wie Sie sich bei einem echten Sicherheitsvorfall verhalten sollten.
• Gewöhnen Sie sich ein paar einfache Maßnahmen an: Sperren Sie Ihren Rechner, wenn Sie Ihren Arbeitsplatz verlassen. Klappen Sie auf Reisen den Monitor Ihres Notebooks herunter, um fremde Blicke abzuwehren. Seien Sie stets aufmerksam und misstrauisch, wenn jemand etwas von Ihnen möchte, das Ihnen merkwürdig vorkommt. Es könnte ein Hinweis auf einen möglichen Angriff sein.
Zum Download der IT-Notfallkarte des BSI: (Hyperlink aufrufen)
----------------------------------------------------
Übrigens
Zum Schluss laden wir Sie zur Teilnahme an einer kurzen Umfrage ein, damit wir diesen Newsletter noch ein bisschen besser auf Ihre Bedürfnisse anpassen können. Wir würden uns freuen, wenn Sie uns dabei helfen und sich fünf Minuten Zeit für ein paar Fragen nehmen, die wir online an Sie haben. Vielen Dank für Ihre Teilnahme!
Die Fragen und Antwortmöglichkeiten finden Sie bei unserem Partner Info GmbH, der die Umfrage in unserem Auftrag durchführt: (Hyperlink aufrufen)
---
Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag: (Hyperlink aufrufen)
SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)
Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de