Bundesamt für Sicherheit in der Informationstechnik

SICHER • INFORMIERT vom 15.09.2016

Ausgabe: 19/2016

Schnell zum Abschnitt

Editorial

Liebe Leserin, lieber Leser,

in unserem Newsletter berichten wir regelmäßig über neue Ransomware, Phishing-Mails oder Trojaner und möchten Sie auf die daraus entstehenden Risiken hinweisen. Um Internetbetrügereien noch besser kennen zu lernen, können Sie an dem Anti-Phishing Training NoPhish teilnehmen, das sich an alle Internetnutzer richtet. Ziel dieses Trainings ist, Verbraucher zu sensibilisieren, indem es beispielsweise im Erkennen von Phishing-Versuchen schult.
Bürger ebenso wie Unternehmen und andere Organisationen für die zunehmenden Risiken im Internet-Zeitalter zu sensibilisieren ist auch das Ziel des im Oktober stattfindenden European Cyber Security Month. Weitere Informationen dazu finden Sie auf unserer Aktionswebseite.
Mehr Informationen zu aktuellen Cyber-Bedrohungen und wie Sie sich davor schützen können, erhalten Sie in dieser Ausgabe unseres Newsletters. Zudem finden Sie wie immer weitere Themen rund um die Sicherheit im WWW.

Wir wünschen Ihnen eine spannende Lektüre.

Ihr Bürger-CERT-Team

Störenfriede

Telekom: Phishing-Mails mit Fake-Absender

mimikama berichtet aktuell, dass Phishing-Mails im Umlauf sind, die vorgeben von der Telekom zu sein. In der Mail werden die Empfänger dazu aufgefordert, ihren E-Mail-Speicher durch Anklicken auf einen Link automatisch zu aktualisieren, da das Postfach die Speichergrenze überschritten habe. Dieser Link führt Nutzer jedoch auf eine Fake-Webseite, die der offiziellen Webseite lediglich ähnlich sieht. Geben Anwender hier ihre persönlichen Daten ein, haben sie diese an Cyber-Kriminelle weitergegeben.
Es gibt einige Schutzmaßnahmen, wie Sie sich vor Spam, Phishing & Co schützen können. Wenn Sie erfahren möchten, was konkret hinter Phishing steckt und wer davon betroffen ist, können Sie das an der TU Darmstadt entwickelte Anti-Phishing Training NoPhish absolvieren. Dort lernen Nutzer Internetbetrug zu erkennen und richtig auf Angriffe zu reagieren.

Ransomware: Crylocker kennt Ihren Standort

Die Ransomware Crylocker sammelt nach Angabe des botfrei Blogsneben Informationen zum Benutzer und seinem System auch seine Standortdaten, indem sie den infizierten Rechner über die Standortbestimmung von Google Maps lokalisiert. Wie jede Ransomware verschlüsselt Crylocker die Dateien auf dem infizierten System und fordert anschließend ein Lösegeld für die Wiederherstellung der Daten. Ist der Rechner infiziert, erhält der Nutzer auf dem Desktop eine Warnung der „Central Security Treatment Organization“, einer angeblichen Sicherheits-Organisation. Wozu die gesammelten Daten und Informationen des Opfers verwendet werden, ist bislang noch nicht bekannt.
Das BSI gibt Ihnen Tipps, wie Sie sich vor Ransomware und den Risiken, die davon ausgehen, schützen können.

Pokémon-Go: Fake-App mit Trojaner infiziert tausende Android-Geräte

Heise.de berichtet von einem Android-Schädling, der sich als Pokémon-Go-App ausgibt. Die App ist entgegen ihres Namens kein Guide für Pokémon-Go-Spieler, sondern ein Trojaner, der die Geräte rootet und mit Werbung verseucht. Nachforschungen zufolge sollen bisher rund 6.000 Geräte erfolgreich infiziert sein. Google hat die App mittlerweile aus dem Store entfernt, jedoch gelang es Cyber-Kriminellen schon mehrfach, Apps mit diesem Trojaner in den Google Play-Store einzuschleusen. Gerade beliebte Anwendungen werden gerne dazu genutzt, Schadsoftware zu verbreiten. Was Sie bei einer Infektion Ihres Geräts beachten sollten, haben wir für Sie zusammengefasst.

Schutzmaßnahmen

Apple: Sicherheitsupdates für Safari, OS X und iOS

Apple schließt mit der neuen Safari Version 9.1.3 für OS X 10.9.5 und OS X 101.10.5 eine kritische Sicherheitslücke. Darüber hinaus veröffentlicht das Unternehmen Sicherheitsupdates für OS X Yosemite und El Capitan, sowie iOS.
Anwender sollten die Sicherheitsupdates möglichst bald installieren, um eine Ausnutzung der Sicherheitslücken zu verhindern.

WordPress: Zwei Sicherheitslücken bei Version 4.6.1 gestopft

WordPress schließt mit seiner Version 4.6.1 zwei kritische Sicherheitslücken.
Webseiten-Betreiber sollten die Updates daher umgehend einspielen. Bei Installationen mit Auto-Update wurden die neuen Versionen automatisch eingespielt.

Thunderbird: Neue Version verfügbar

Mozilla stellt die neue Version Thunderbird 45.3.0 bereit, die Korrekturen für mehrere schwerwiegende Schwachstellen beinhaltet.
Daher sollten Anwender die neue Version möglichst bald installieren. Die Software kann über die Update-Seite heruntergeladen werden.

Android: Sicherheitslücken bei Nexus-Geräten und Smartphones geschlossen

Google schließt für Google Nexus-Geräte und Smartphones mit Google Android insgesamt 56 Sicherheitslücken, von denen sieben vom Hersteller als kritisch eingestuft werden. Bisher stehen Sicherheitsupdates für Google Nexus-Geräte, Google Android One und für Smartphones mit dem Betriebssystem „BlackBerry powered by Android“ bereit. Die Sicherheitslücken ermöglichen es einem Cyber-Kriminellen Informationen auszuspähen, zusätzliche Berechtigungen zu erlangen, die Verfügbarkeit bestimmter Dienste und das gesamte Gerät zu beeinträchtigen sowie beliebige Befehle und Programme auszuführen sowie damit dauerhaft die Kontrolle über ein Gerät zu übernehmen.
Nutzer sollten Google Android 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 und 7.0 auf die Version 2016-09-06 über die automatische Update-Funktion innerhalb des Produktes aktualisieren, sobald diese Version für das Gerät verfügbar ist. Für Smartphones mit dem Betriebssystem „BlackBerry powered by Android“ ist das Update „Android Security Patch Level September 6, 2016“ sofort verfügbar.

Adobe: Sicherheitsupdates für den Flash Player und Digital Editions

Für den Adobe Flash Player steht ein Sicherheitsupdate auf die Version 23.0.0.162 bereit. Zudem schließt Adobe mit einem Sicherheitsupdate mehrere Sicherheitslücken in Adobe Digital Editions. Die Software wird zur Ansicht und Verwaltung von Ebooks und anderen digitalen Veröffentlichungen benutzt. Anwender sollten zügig die neuen Versionen installieren.

Microsoft: Patchday September

Mit dem Patchday im September bringt Microsoft Sicherheitsupdates für mehrere Produkte heraus. Dabei werden Programme wie der Internet Explorer, der Browser Edge sowie verschiedene Office-Pakete aktualisiert. Weiterhin werden auch zusätzliche Sicherheitsanfälligkeiten beim Adobe Flash Player behoben. Anwender können sich über die Microsoft Windows Update Seite alle Updates herunterladen, sofern sie nicht die automatische Update-Funktion nutzen.

Google: Chrome Browser bekommt Sicherheitsupdate

Der kostenfreie Webbrowser Chrome erhält ein Update, um bestehende Sicherheitslücken zu schließen. Der Browser ist für Windows (ab Windows XP), Mac OS X, Linux, Android und iOS verfügbar. Die Sicherheitslücken können unter anderem dazu ausgenutzt werden, Sicherheitsvorkehrungen zu umgehen und sensible Daten auszuspähen. Anwender können sich die neueste Version des Browsers herunterladen.

Prisma

Google: Chrome warnt vor nicht verschlüsselten Webseiten

Die neue Version des Google Webbrowsers, die im Januar 2017 veröffentlicht wird, soll auf nicht SSL-verschlüsselte Webseiten hinweisen. Dazu soll in der Version 56 von Chrome der neue Warnhinweis „no secure“ auftauchen. Das Unternehmen möchte damit zunächst unverschlüsselte Seiten erkenntlich machen, die Felder für Passwörter oder Kreditkarteninformationen anthalten. In späteren Versionen soll Chrome standardmäßig vor allen HTTP-Verbindungen warnen.

Cyber Security Challenge: Finale und Recruiting Messe am 28. September in Berlin

Auf der Recruiting Messe am 28. September in Berlin treffen Unternehmen aus den unterschiedlichsten Branchen auf Schüler, Studenten und Auszubildende, die eine Karriere im Bereich der IT-Sicherheit anstreben. Die Veranstaltung zeigt die Zukunftschancen im IT-Security-Bereich auf. Verschiedene Firmen und Organisationen präsentieren sich zudem als Arbeitgeber für angehende Cyber-Security-Experten – so auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Gleichzeitig kämpfen an diesem Tag auf dem parallel stattfindenden Hackerwettbewerb Cyber Security Challenge Germany die Finalisten um den Sieg.

ECSM: Europaweiter Monat zur IT-Sicherheit

Der European Cyber Security Month (ECSM) ist ein Aktionsmonat zum Thema Cyber-Sicherheit, der europaweit im Oktober stattfindet. Unter Federführung der europäischen IT-Sicherheitsbehörde ENISA (European Union Agency for Network and Information Security) bieten Mitgliedstaaten der Europäischen Union während des Aktionsmonats verschiedene Veranstaltungen und Informationen an, um Verbraucher sowie Unternehmen und Organisationen für das Thema Cyber-Sicherheit zu sensibilisieren. Mehr als 40 Partner nehmen am ECSM in Deutschland teil. Die Aktionswebseite gibt einen Überblick zu den bereits geplanten Aktionen. Wer sich mit einer eigenen Aktion beteiligen möchte, kann diese weiterhin beim Projektbüro melden.

Semesterstart: Sicher durch das vernetzte Unileben

Das Wintersemester steht vor der Tür und Studierende strömen wieder in die Universitäten und Hörsäle. Selbstverständlich arbeitet, kommuniziert und recherchiert ein Großteil der Studenten online. Trotz des sorglosen Studentenlebens sollten sie einige Sicherheitshinweise für sicheres Surfen an der Uni beachten. Wichtige Punkte sind neben Basisschutz durch sichere Passwörter und Virenschutz auch das regelmäßige Erstellen von Sicherheits-Backups. Viele Unis ermöglichen zudem über VPN-Verbindungen den abgesicherten Zugriff auf ihr Netzwerk und damit verbundene Services.