Liebe Leserinnen und Leser,
mit unserem Newsletter versorgen wir Sie alle zwei Wochen mit den aktuellsten Nachrichten und geben
Ihnen Tipps für Ihren digitalen Alltag. Dass es jedoch nicht nur lesenswerte, sondern auch
sehenswerte Informationen zum Thema IT-Sicherheit gibt, zeigen wir Ihnen in der Rubrik "Gut zu
wissen".
Dort finden Sie Hinweise zu drei Dokumentationen, die das Thema Cyber-Kriminalität und die
Hintergründe ausführlich beleuchten. Das Besondere: In einer der Dokumentationen hat auch das BSI
einen Auftritt. Gezeigt wird unter anderem die Vorfallsbearbeitung im Lagezentrum und wie man sich
einen MIRT-Einsatz vorstellen kann. Reinschauen lohnt sich also!
Wenn in der IT etwas nicht funktioniert, sind längst nicht immer Kriminelle am Werk. Mehr dazu
lesen Sie in dieser Ausgabe in der Rubrik "In den Schlagzeilen". Bleiben Sie immer informiert!
Viel Spaß beim Lesen wünscht Ihnen
Jan Lammertz / Team BSI
Inhaltsverzeichnis
In den Schlagzeilen-----------------
1. Nicht so sicher: Passwort-Manager gewährt Einblicke
2. Discord: Kundendaten geleakt
3. Sicherheitsforschende: Bösartige HTML-Anhänge in E-Mails beliebt
4. E-Mail legt Landratsamt lahm
5. Facebook-Bug sorgt für neue Freunde
6. Kurz notiert
Up-to-date-----------------
7. iOS 16.5 – Update behebt eine Reihe von Fehlern
8. Google-Update dichtet Sicherheitslücke in Chrome-Browser ab
9. Letztmaliges Sicherheitsupdate: Support für Windows 10 21H2 endet
10. Aktuelle Warnmeldungen des BSI
Gut zu wissen-----------------
11. Doku I: "Der unsichtbare Krieg" und ein Besuch beim BSI
12. Doku II: Wie gelingt der Schutz vor Cybercrime?
13. Doku III: So nutzen Kriminelle das Internet für sich
14. Das Portal mobilsicher.de ist zurück
Praktisch sicher-----------------
15. Was ist Data Mining?
----------------------------------------------------
In den Schlagzeilen
1. Nicht so sicher: Passwort-Manager gewährt Einblicke
Ein Passwort-Manager sollte Passwörter sicher speichern. Bei KeePass ist das nun offenbar doch nicht der Fall. So berichtet unter anderem PCWelt, dass eine neu entdeckte Sicherheitslücke das Abrufen des Master-Passworts im Klartext ermögliche – und zwar selbst dann, wenn die Datenbank gesperrt oder das Programm geschlossen sei. Eine Lösung soll demnach bereits in Arbeit, aber wohl frühestens Anfang Juni verfügbar sein. Ein Sicherheitsforscher hatte auf die Sicherheitslücke aufmerksam gemacht, die es Angreifenden ermöglicht, einen sogenannten Speicher-Dump durchzuführen – also eine Kopie des Speicherinhalts zu erstellen –, um große Teile des Master-Passworts auszulesen. Noch fehlende Zeichen des Kennwortes ließen sich anschließend erraten.
Das BSI über Passwort-Manager: (Hyperlink aufrufen)
Bericht über die KeePass-Sicherheitslücke bei PCWelt: (Hyperlink aufrufen)
2. Discord: Kundendaten geleakt
Der Online-Dienst Discord, der nach eigenen Angaben mehr als 250 Millionen registrierte Nutzende zählt und Instant-Messaging ermöglicht, wurde gehackt. Das berichtet das Magazin Heise. Die Angreifenden sollen dabei Kundendaten wie E-Mailadressen und Kundenservice-Nachrichten gestohlen haben. An die Daten gelangten sie demnach über den kompromittierten Account eines Drittanbieter-Support-Agents. Discord kontaktiert die Betroffenen derzeit per E-Mail über den Sicherheitsvorfall. Der betroffene Support-Account wurde inzwischen deaktiviert und auf Malware überprüft. Das Unternehmen hat zudem angegeben, seine Server nun besser gegen Angriffe gesichert zu haben.
Bericht zum Fall Discord bei Heise: (Hyperlink aufrufen)
3. Sicherheitsforschende: Bösartige HTML-Anhänge in E-Mails beliebt
Bei E-Mails mit Anhängen ist stets Vorsicht geboten – besonders, wenn diese von einem unbekannten Absender stammen. Wie die Online-Seite CSO berichtet, haben Forschende des Sicherheitsunternehmens Barracuda nun festgestellt, dass Kriminelle vermehrt auf bösartige HTML-Dateien zurückgreifen. Diese machen inzwischen die Hälfte aller per E-Mail verschickten HTML-Anhänge aus und können von Kriminellen beispielsweise für das Phishing von Anmeldedaten oder das heimliche Herunterladen von Malware genutzt werden.
BSI klärt zu Sicherheitsirrtümern beim Umgang mit E-Mails auf: (Hyperlink aufrufen)
Bericht über bösartige HTML-Anhänge von CSO: (Hyperlink aufrufen)
4. E-Mail legt Landratsamt lahm
Welche Folgen der unvorsichtige Umgang mit E-Mail-Anhängen haben kann, hat das Landratsamt Ludwigsburg erlebt. Wie die Stuttgarter Nachrichten berichten, hatte dort ein Mitarbeiter eine E-Mail mit einem infizierten Anhang geöffnet. "Daraufhin sei die IT-Infrastruktur heruntergefahren worden", berichtet das Blatt. Die Behörde war zwei Tage offline. Inzwischen sollen alle Bereiche zwar wieder am Netz sein, allerdings gab es bis zuletzt noch Einschränkungen.
Bericht zu dem Fall aus dem Landratsamt bei den Stuttgarter Nachrichten: (Hyperlink aufrufen)
5. Facebook-Bug sorgt für neue Freunde
Offenbar keine Kriminellen, sondern schlichtweg ein Fehler in der Facebook-App sorgte dafür, dass das Social Network automatisch Freundschaftsanfragen an Profile verschickte, die Nutzerinnen oder Nutzer zuvor besucht hatten. Das berichtet das Online-Magazin t3n. Der Vorfall ließ manche Nutzende demnach zunächst glauben, sie seien gehackt worden. Der Bug trat dabei ausschließlich in der App auf, nicht in der Browser-Version. Facebook soll das Problem mittlerweile wieder behoben haben.
Bericht über den Facebook-Bug bei t3n: (Hyperlink aufrufen)
6. Kurz notiert
a. Datenleck in der Cloud: Standortdaten von Toyota-Fahrzeugen waren jahrelang einsehbar: (Hyperlink aufrufen)
b. Falsche Konfiguration lässt Asus-Router abstürzen: (Hyperlink aufrufen)
c. Cyber-Angriff auf Werkstattkette ATU: (Hyperlink aufrufen)
----------------------------------------------------
Up-to-date
7. iOS 16.5 – Update behebt eine Reihe von Fehlern
Apple hat mit iOS 16.5 eines der wahrscheinlich letzten Updates für sein Betriebssystem veröffentlicht, bevor mit iOS 17 die nächste größere Aktualisierung folgt. Darüber berichtet unter anderem t3n. Das Update wartet dabei allerdings nicht mit einer Vielzahl neuer Features auf, sondern soll vor allem eine ganze Reihe von Fehlern beheben. Dazu gehören unter anderem Probleme mit Carplay und Spotlight.
Bericht über iOS 16.5 bei t3n: (Hyperlink aufrufen)
8. Google-Update dichtet Sicherheitslücke in Chrome-Browser ab
Wer den Webbrowser Chrome nutzt, sollte unbedingt das aktuelle Update installieren, das Google veröffentlicht hat, denn es schließt mindestens eine kritische Sicherheitslücke, wie Heise berichtet. Insgesamt sollen damit sogar zwölf Sicherheitslücken geschlossen werden. Ohne die Aktualisierung könnte die schwerwiegendste Schwachstelle es Angreifenden durch einen Fehler im Programmcode ermöglichen, Schadcode einzuschleusen.
Bericht von heise über die Sicherheitslücke bei Chrome: (Hyperlink aufrufen)
9. Letztmaliges Sicherheitsupdate: Support für Windows 10 21H2 endet
Mit dem Juni-Patchday endet der Support für Windows 10 Version 21H2. Das berichtet ZDNET und beruft sich dabei auf entsprechende Angaben von Windows. Mit dem Juni-Patchday erhalten Nutzerinnen und Nutzer letztmalig ein Sicherheitsupdate. Ab Juli werde dann Windows 10 22H2 benötigt, schreibt die Onlineseite. Zwar sei ein Betrieb weiterhin möglich, allerdings mit Sicherheitsrisiken verbunden. Microsoft kündigte demnach an, Windows 10 Version 21H2 ab sofort automatisch per Windows Update auf die Version 22H2 zu aktualisieren.
Der Bericht zum Supportende bei ZDNET: (Hyperlink aufrufen)
10. Aktuelle Warnmeldungen des BSI
Das BSI informiert auf seiner Webseite regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Informationen sowie Tipps zum Umgang damit.
Das BSI-Portal erreichen Sie über: (Hyperlink aufrufen)
----------------------------------------------------
Gut zu wissen
11. Doku I: "Der unsichtbare Krieg" und ein Besuch beim BSI
Als Leserinnen und Leser dieses Newsletters wissen Sie, welchen Schaden Cyber-Angriffe anrichten können. Die Arte-Dokumentation "Der unsichtbare Krieg" beleuchtet das ganze Ausmaß der Cyber-Kriminalität. Die Filmmacherinnen und -macher waren dafür unter anderem auch bei uns im BSI zu Besuch. Die Ausstrahlung erfolgte bereits am 24. Mai, doch die Dokumentation ist weiterhin in der Mediathek verfügbar.
Beitrag "Der unsichtbare Krieg" in der Arte-Mediathek: (Hyperlink aufrufen)
12. Doku II: Wie gelingt der Schutz vor Cybercrime?
Eine zweite Dokumentation, die sich der Welt der Cyber-Verbrechen verschrieben hat, ist am 15. Juni um 20:15 beim Fernsehsender 3sat oder bereits ab dem 12. Juni in der ZDF-Mediathek zu sehen. Die Dokumentation "Cybercrime: Wie können wir uns schützen?" von WissenHoch2 zeigt, dass Cyber-Crime jeden treffen kann, und wie unser immer stärker digitalisierter Alltag beständig neue Angriffsflächen bietet.
Beitrag "Cybercrime: Wie können wir uns schützen" ab dem 12. Juni in der ZDF-Mediathek: (Hyperlink aufrufen)
13. Doku III: So nutzen Kriminelle das Internet für sich
Cyber-Kriminelle nutzen das Internet, um meistens möglichst anonym ihre Taten zu begehen. Ihr Treiben hat die Dokumentation "Skrupellos! Kriminelle Maschen: Tatort Internet" Anfang Mai auf ZDF Info unter die Lupe genommen. Die Dokumentation ist weiterhin in der Mediathek verfügbar.
Zur Dokumentation "Skrupellos! Kriminelle Maschen: Tatort Internet" in der ZDF-Mediathek: (Hyperlink aufrufen)
14. Das Portal mobilsicher.de ist zurück
Diese Nachricht dürfte vor allem für alle Handynutzerinnen und -nutzer interessant sein: Das Portal mobilsicher.de meldet sich aus der Pause zurück. Bei mobilsicher.de handelt es sich um ein werbefreies Informationsportal, das aus Mitteln des Bundesministeriums für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz gefördert wird. Zu den Themen gehören neben Sicherheit und Privacy auch Nachhaltigkeit.
Informationen zu mobilsicher.de: (Hyperlink aufrufen)
----------------------------------------------------
Praktisch sicher
15. Was ist Data Mining?
Data Mining, also das Datenschürfen, findet sich inzwischen in immer mehr Anwendungen und ist besonders für Cyber-Kriminelle attraktiv. Beim Data Mining werden große Datenmengen analysiert, um bessere Voraussagen zu treffen. Allerdings enthalten diese Datenberge, in denen beim Data Mining geschürft wird, oftmals auch persönliche Daten. Daher sollten gerade Unternehmen, die Data Mining nutzen, besonderes Augenmerk auf die Sicherheit legen. Für Verbraucherinnen und Verbraucher wiederum heißt es, besonders sparsam mit den eigenen persönlichen Daten umzugehen.
Mehr Informationen zu Data Mining auf dem Instagram-Kanal vom BSI: (Hyperlink aufrufen)
SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)
Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de