Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Newsletter SICHER • INFORMIERT vom 10.05.2024

Ausgabe 10/2024

So war der 20. Deutsche IT-Sicherheitskongress, Soziale Medien und ihr Einfluss auf die Europawahl, Cyberangriffe auf Gesundheitseinrichtungen & BSI verschärft Anforderungen an E-Mail-Sicherheitslösungen

In den Schlagzeilen

1. Cyberangriffe auf Gesundheitseinrichtungen

Kliniken, Arztpraxen und andere medizinische Einrichtungen geraten immer wieder ins Visier von Hackern. Aktuell sind die Universitätsmedizin Mainz, die Zentrale der Katholischen Jugendfürsorge der Diözese Augsburg (KJF Augsburg) sowie die Kassenärztliche Vereinigung Hessen (KVH) betroffen. Im Fall Mainz wurden E-Mail-Adressen von 280.000 Personen erbeutet und im Darknet veröffentlicht. In Augsburg sind nach einem illegalen Zugriff auf Teile der IT-Infrastruktur u.a. Personal-, Finanz-, Patienten- und Gesundheitsdaten von 18 zugehörigen und drei ehemals zur KJF gehörenden Einrichtungen und Kliniken abgegriffen worden.

Bei der KVH wurden Heise online zufolge im Rahmen eines Phishing-Angriffs die E-Mails eines Mitarbeitenden aus dem Beratungscenter entwendet.

Der Fall der Kassenärztlichen Vereinigung Hessen zeigt, wie Angreifende den "Faktor Mensch" als schwächstes Glied der Sicherheitskette ausnutzen. Hier erfahren Sie mehr zum sogenannten Social Engineering.

2. KI ermöglicht Phishing in "nie dagewesener Qualität"

Der Umfang, die Geschwindigkeit und Schlagkraft von Angriffen im digitalen Raum nehmen durch Künstliche Intelligenz (KI) zu: Mittels KI lassen sich spielend leicht hochwertige Phishing-Nachrichten erstellen. Sprachmodelle sind bereits heute in der Lage, einfache Schadprogramme zu schreiben. Und KI kann weitere Teile eines Cyberangriffs automatisieren. Doch auch die Cyberabwehr profitiert von der Technologie, etwa bei der Codegenerierung, bei der Analyse von Quellcode auf Schwachstellen, bei der Detektion von Malware oder bei der Erstellung von Lagebildern zur Abwehr von Cyberbedrohungen.

Einen Überblick über die Chancen und Risiken von KI in Sachen Cybersicherheit hat das BSI im Rahmen eines aktuellen Forschungsbeitrags untersucht.

Sie möchten mehr über den Einsatz, das Training und die Schwachstellen von KI erfahren?

3. Cyberattacke auf traditionsreiche Schuhkette

Ein Cyberangriff hat die IT-Systeme des 1905 gegründeten Schuhhändlers Salamander lahmgelegt. Die Probleme bestehen bereits seit Mitte April 2024. Mittlerweile konnten die Geschäftsprozesse in den rund 60 Filialen wieder in Gang gebracht werden; der Onlineshop ist jedoch weiterhin nicht erreichbar. Die Startseite informiert Nutzende lediglich darüber, dass "mit Hochdruck" an der Behebung der Probleme gearbeitet werde, ein konkretes Zeitfenster wird nicht benannt.

Was können Verbraucherinnen und Verbraucher tun, um persönliche Daten beim Onlineshopping bestmöglich zu schützen?

4. Kurz notiert

Datenleck bei der Lufthansa: Nutzende konnten im April 2024 via Website und App kurzzeitig auf die Buchungsdaten fremder Fluggäste zugreifen. Auch die Airlines Air Dolomiti und Swiss waren betroffen. Die Fehlkonfiguration wurde zwar rasch behoben – doch im Fall der Air Dolomiti wurden die Daten durch Apples KI-Assistent Siri fälschlicherweise in fremde Kalender-Apps importiert. Vereinzelt tauchten unbekannte Buchungen inklusive der damit verbundenen Daten auch Wochen später noch in den Kalendern von anderen Nutzenden auf, obwohl die Lufthansa das Datenleck längst geschlossen hatte.

• Bargeld adé? Schweden rudert zurück: Das Land galt lange als Vorreiter beim digitalen Zahlungsverkehr. Doch bereits seit 2020 deutet sich eine Kehrtwende an. Nun betont auch Schwedens Nationalbank, die Riksbank, in ihrem Jahresbericht 2024 den bleibenden Stellenwert von Bargeld. Als Grund führt das Finanzinstitut Sicherheitsbedenken an, da der digitale Zahlungsverkehr etwa durch Cyberattacken unterbrochen werden könne.

• Noch immer machen sich viele Nutzende für Cyberkriminelle leicht angreifbar, indem sie auf besonders naheliegende Passwörter zurückgreifen. Auch Fußballfans bilden dabei keine Ausnahme. Im Gegenteil: Eine von der Telekom veröffentlichte Liste mit Passwörtern, die abgegriffen und im Darknet veröffentlicht wurden, liest sich fast wie eine aktuelle Fan-Statistik: Das Passwort "Bayer04Lev" ist immer beliebter, "FCBayern" ist hingegen aus den Top 40 geflogen und "Schalke04" führt das Passwort-Negativranking an. Übertroffen nur vom zeit- und vereinslosen "Passwort1".

Up-to-date

5. Keine Updates mehr für Google Fit

Die Aktivitätstracking-App von Google bekommt keine neuen Funktionen und wurde zuletzt auch nicht mehr aktualisiert. Grund ist der Umstieg Googles auf Fitbit-Apps sowie auf die Android Health Plattform. Um Sicherheitsrisiken durch fehlende Updates zu vermeiden, empfiehlt sich der Umstieg auf alternative Fitnesstracking-Angebote.

Sie nutzen Wearables, um Ihre Herzfrequenz, Ihren Schlaf oder Ihre Schrittzahl zu kontrollieren? So gewährleisten Sie dabei die Sicherheit Ihrer Daten.

6. Schwachstelle bei CrushFTP

Eine Schwachstelle in der Datenübertragungssoftware CrushFTP ermöglicht es Angreifenden, die komplette Kontrolle über einen verwundbaren CrushFTP Server zu erlangen. Die Sicherheitslücke wird bereits aktiv ausgenutzt und stellt eine massive Bedrohung für die Datenvertraulichkeit dar. In den Versionen von CrushFTP 10.7.1 oder 11.1.0 sind diese Schwachstelle behoben; es empfiehlt sich ein rasches Update.

7. Aktuelle Warnmeldungen des BSI

Das BSI informiert auf seiner Webseite regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Informationen sowie Tipps zum Umgang damit. Hier finden Sie alle Hinweise dazu, wo derzeit Lücken bei der IT-Sicherheit auftauchen.

Gut zu wissen

8. SPD im Visier von russischer Gruppe APT28?

Im Sommer vergangenen Jahres wurden die E-Mail-Konten der SPD-Parteizentrale gehackt. Microsoft-Sicherheitslücken hatten den Angriff möglich gemacht. In der vergangenen Woche wurden nun die Ermittlungen der Bundesregierung zum Fall abgeschlossen. Das Ergebnis: Hinter der Attacke steht die Gruppe APT28, die vom russischen Geheimdienst GRU gesteuert wird. Der deutsche Verfassungsschutz stuft APT28 als einen der "aktivsten und gefährlichsten Cyberakteure weltweit" ein; der Angriff auf die SPD soll Teil einer europaweiten Angriffswelle gewesen sein.

Hier erfahren Sie mehr über die sogenannten APT-Gruppen, ihre Ziele und Aktivitäten in Deutschland

9. Digitale Gesundheitsanwendungen und ihre Datensicherheit

Im Jahr 2020 wurden die sogenannten "Digitalen Gesundheitsanwendungen" (DiGA) eingeführt, um Versicherte dabei zu unterstützen, Krankheiten zu erkennen, zu überwachen, zu behandeln oder zu lindern. Die kostenpflichtigen Apps und Browser-Angebote werden von Ärztinnen und Ärzten ebenso verschrieben wie beispielsweise Medikamente. Damit sich Patientinnen und Patienten bei der Nutzung auf den Schutz ihrer besonders sensiblen Gesundheitsdaten verlassen können, hat das BSI die "Anforderungen an die Cybersicherheit von Anwendungen im Gesundheitswesen" überarbeitet und veröffentlicht.

Praktisch sicher

10. So schützen Sie Ihren Smart-TV

Smarte Fernsehgeräte sind ans Internet angeschlossen und bieten – wie alle Komponenten im sogenannten "Internet der Dinge" – einen potenziellen Angriffspunkt für Cyberkriminelle. So wurde beispielsweise vor wenigen Tagen bekannt, dass eine Sicherheitslücke bei Android-TVs Hackern den Zugriff auf persönliche, im Google-Konto hinterlegte Daten wie E-Mails oder Bilder erlauben könnte. Um ein Gerät auszuspähen oder es mit Schadsoftware zu infizieren, ist meist mindestens eine Schwachstelle erforderlich. Mit regelmäßigen Sicherheitsupdates, der Verwendung sicherer Apps oder der Deaktivierung unnötiger Dienste und Funktionen können Sie Angreifenden zuvorkommen und Ihr smartes Heimnetzwerk aktiv schützen.

Den Smart-TV wirksam absichern.

In der neuen IT-Sicherheitskampagne zeigt das BSI, wie man smarte Technik #einfachaBSIchern kann

11. Höchste Zeit für Passkeys

Am 1. Mai war Welt-Passwort-Tag. Doch Grund zum Feiern gibt es nicht, denn passwortgesicherte Zugänge sind gefährdet. Gerade erst vermeldete das auf Identitäts- und Zugriffsmanagement spezialisierte Unternehmen Okta eine stark steigende Zahl von Brute-Force-Angriffen. Bei dieser Angriffsmethode probieren Cyberkriminelle so lange verschiedene Passwörter aus, bis das richtige Kennwort getroffen wird. Nicht nur im Falle von Fußballfans lassen sich also Passwörter, wie in unserer Rubrik „Kurz notiert“ angedeutet, allzu leicht knacken oder erraten. Die gute Nachricht: Es gibt längst etwas Sichereres als Passwörter. Zeit für einen Welt-Passkey-Tag!

Wieso, weshalb, warum? Alles Wissenswerte zum Thema Passkeys. Außerdem in unserem Podcast "Update verfügbar", Folge #40

12. Schutz vor Viren, Würmern und Trojanern

Wie schützt man sich vor Schadsoftware? Was tun, wenn der eigene Rechner infiziert oder gespeicherte Dateien in falsche Hände gelangt sind? Was können Antivirenprogramme leisten? All das und viel mehr verrät in der aktuellen Ausgabe von "Update verfügbar" Letitia Kernschmidt vom BSI.

Hier geht’s direkt zur neuen Folge #42

Lieber schwarz auf weiß? Auch auf unserer Website können Sie in aller Ruhe nachlesen, wie sich Würmer von Viren unterscheiden, was Schadsoftware genau anrichten kann oder warum die sogenannte Backdoor-Funktion besonders tückisch ist.

Was wichtig wird

13. Soziale Medien und ihr Einfluss auf die Europawahl

In genau einem Monat, am 9. Juni 2024, findet die Europawahl statt. Derzeit prüft die Europakommission, inwieweit Meta, TikTok und X den politischen Diskurs möglicherweise unrechtmäßig beeinflussen, etwa durch die Verbreitung von Falschinformationen, aber auch durch das Einschränken politischer Inhalte. In jedem Fall sollten Nutzende in den kommenden Wochen besonders wachsam sein.

Wie Sie sich und andere vor Falschinformationen schützen.

Sie sind selbst politisch aktiv? Das BSI gibt Empfehlungen im Umgang mit den sozialen Medien.

Übrigens

14. BSI verschärft Anforderungen an E-Mail-Sicherheitslösungen

Der sichere E-Mail-Transport schützt vor unberechtigtem Mitlesen und vor Manipulation persönlicher, aber auch offizieller Nachrichtenverläufe. Insbesondere Landes- und Bundesbehörden sowie Kommunalverwaltungen und kommunale Betriebe müssen auf sichere E-Mail-Kommunikation achten, um u.a. die Daten von Bürgerinnen und Bürgern zu schützen. Vor diesem Hintergrund hat das BSI seine Empfehlungen und Richtlinien in Bezug auf die E-Mail-Sicherheit präzisiert und verschärft.

Sie haben als Verbraucherin bzw. Verbraucher Fragen zur sicheren Nutzung von E-Mail-Programmen und zum Schutz Ihrer Kommunikation? Hier erhalten Sie alle wichtigen Informationen.

15. Das war der 20. IT-Sicherheitskongress

Mit 10.450 Teilnehmenden richtete das BSI den 20. IT-Sicherheitskongress am 7. und 8. Mai vor einem digitalen Rekordpublikum aus. Das Motto des Kongresses "Cybernation Deutschland: Kooperation gewinnt" unterstrich deshalb, dass IT-Sicherheit nicht im Alleingang möglich ist. Das gemeinsame Ziel: Ein einheitlich hohes Schutzniveau in Deutschland und Europa. Alle Fachvorträge und Diskussionen sind noch bis zum 9. Juni 2024 online zugänglich.

Zur Rückschau in der Pressemitteilung des BSI

Inhalte nachträglich anschauen sowie die Kongressdokumentation


Weitere Informationen & Feedback

Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag.

10 Basistipps für mehr Sicherheit in Ihren digitalen Alltag

Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn gerne an Freunde und Familie weiter

Weitere Informationen

Zurück zu Bundesamt für Sicherheit in der Informationstechnik