In den Schlagzeilen

1. Die EU will KI regulieren

"Das EU-Parlament hat sich auf eine Position zur Regulierung von künstlicher Intelligenz geeinigt", berichtet die Tagesschau. Mit dem Gesetzentwurf möchte die EU Anwendungen verbieten, die mit hohen Risiken für die Sicherheit verbunden sind. Der sogenannte AI Act verbietet hochriskante KI-Systeme, etwa biometrische Gesichtserkennung im öffentlichen Raum in Echtzeit. Der Gesetzestext muss in den kommenden Monaten mit den Mitgliedsstaaten und der EU-Kommission weiter verhandelt werden. Der Digitalverband Bitkom begrüßt die Gesetzesinitiative, wendet sich aber gegen eine Überregulierung, also zu enge Regeln. Sam Altman, CEO des Unternehmens OpenAI, das ChatGPT entwickelt hat, hatte zuvor bereits vor existenziellen Gefahren bei unregulierter KI gewarnt. Bürgerrechtlerinnen und Bürgerrechtler hoffen, dass das KI-Gesetz Diskriminierungen und Benachteiligungen nicht weiter fortschreibt.

BSI-Positionspapier zu "Große(n) KI-Sprachmodelle(n)"

Tagesschau zur Verabschiedung des AI Act durch das EU-Parlament

2. Bundesministerium des Innern (BMI) stellt Nationale Sicherheitsstrategie vor

Das Bundesministerium des Innern (BMI) hat Mitte Juni unter dem Motto "Wehrhaft. Resilient. Nachhaltig." seine Nationale Sicherheitsstrategie vorgestellt. Mit der Vorlage beschreibt die Bundesregierung nach eigenen Worten, was die Verpflichtung zum Einhalten von Völkerrecht, der Charta der Vereinten Nationen, der souveränen Gleichheit der Staaten, der Gewaltfreiheit und dem Selbstbestimmungsrecht der Völker für unsere Gegenwart bedeutet und welche Schlüsse für die Zukunft sie daraus zieht, um die Sicherheit unseres Landes und seiner Menschen zu gewährleisten. Die Vorlage stößt laut Webseite des Deutschen Bundestags auf geteiltes Echo. Die unterschiedlichen Positionen der im Bundestag vertretenen Parteien sind nachfolgend zusammengefasst.

Webseite der Nationalen Sicherheitsstrategie

Zusammenfassung der Bundestagsdebatte zur Nationalen Sicherheitsstrategie

3. Neue Betrugsmasche: Guthaben-Auszahlung vom Gesundheitsministerium

Vor einer neuen Betrugsmasche warnt die Verbraucherzentrale NRW: Demnach sind Phishing-Mails unterwegs, die eine Erstattung in Höhe von mehreren hundert Euro durch das Bundesministerium für Gesundheit versprechen. Die Empfängerinnen und Empfänger sollen per E-Mail eine Kopie des eigenen Personalausweises zurücksenden, um die Auszahlung zu erhalten. "Damit können die kriminellen Drahtzieher hinter den Betrugsmails Identitätsdiebstahl betreiben", berichtet Heise Online. Das bedeutet, sie können damit etwa kostenpflichtige Abonnements abschließen, Nutzerkonten einrichten und Waren bestellen.

BSI über "Spam, Phishing & Co."

Heise Online über neue Phishing-Mails

4. Internet-Nutzerinnen und -Nutzer in Deutschland stärker von Cyber-Angriffen bedroht

Aus Sicht der Nutzerinnen und -Nutzer hat sich die Bedrohungslage durch Cyber-Angriffe im Internet in Deutschland in den vergangenen neun Jahren verschärft. Das ist ein Ergebnis des "DsiN-Sicherheits-Index-2023" der Initiative "Deutschland sicher im Netz". Im Mittelpunkt der Studie standen die Sozialen Medien, allerdings weisen die Studienautorinnen und -autoren darauf hin, dass sich mit der Entwicklung von KI die Bedrohungslage in Zukunft noch weiter verschärfen werde. Die Studie beruht auf den Angaben von rund 2.000 Verbraucherinnen und Verbrauchern über 16 Jahre, die von einem Meinungsforschungsinstitut zu ihrer subjektiven Sicht auf die Bedrohungen im Cyberraum befragt wurden.

Zum DsiN-Sicherheits-Index 2023

Süddeutsche Zeitung über die Bedrohungslage bei Cyber-Angriffen in Deutschland

5. TÜV prüft IT-Sicherheit

Mehr als jedes zehnte Unternehmen in Deutschland (11%) ist im vergangenen Jahr Opfer eines Cyber-Angriffs geworden, das hat der Technische Überwachungsverein TÜV in seiner "Cybersecurity Studie" ermittelt. Besonders häufig seien Phishing-Attacken und der Einsatz von Erpressungssoftware (Ransomware). Auch Angriffe über Social Engineering spielten eine wichtige Rolle. Hier werden die Mitarbeitenden eines Unternehmens über soziale Kontakte manipuliert. Hochgerechnet kam es 2022 zu rund 50.000 Cyber-Angriffen, Sabotageakten oder Hardwarediebstählen, das berichtet unter anderem die Wochenzeitung Die Zeit. Auch über die Folgen gibt die Studie Auskunft: 42 Prozent der Unternehmen erlitten finanzielle Einbußen, 38 Prozent konnten ihre Dienste für Mitarbeitende sowie 29 Prozent für ihre Kunden nicht weiter anbieten. In 13 Prozent der Fälle fiel sogar die Produktion aus, bei weiteren 13 Prozent wurden sensible Daten gestohlen.

Cybersecurity-Studie des TÜV

Die Zeit zu den Ergebnissen der Studie

6. Test-Hackerinnen und -Hacker entdecken Sicherheitslücken im Darknet

Auch die Schwarz-Gruppe, zu der unter anderem die Lebensmittelkette Lidl gehört, hat sich mit den Auswirkungen von Cyber-Angriffen auf Unternehmen beschäftigt. Für ihren Report hat die Gruppe 213 Organisationen aus dem öffentlichen und privaten Sektor auf ihre Angriffsfläche für Cyber-Attacken analysiert und dafür auch Stichproben von Daten aus dem sogenannten Darknet gesammelt. Speziell hat sich die Schwarz-Gruppe dabei auf 20 Vorstände großer Unternehmen konzentriert. Das Ergebnis: "Im Schnitt war jeder der 20 Vorstände von 16 Datenlecks betroffen, im Höchstfall von 70. Telefonnummern, Mail-, Privat-, IP-Adressen – alles auffindbar", berichtet Business Insider. Bei rund zwei Dritteln habe es zudem Passwörter im Klartext gegeben, in zwei Fällen sogar Daten von sensiblen Seiten, darunter Glücksspiel-, Dating- oder Porno-Websites.

Cyber-Security-Report der Schwarz-Gruppe

Business-Insider über den Cyber-Security-Report

7. Kurz notiert

• Vodafone informiert seine Kundinnen und Kunden über ein Datenleck
• Pharmaunternehmen Eisai von Ransomware-Attacke betroffen
• Nach Cyber-Angriff – IT-Systeme bei Deutsche Leasing seit mehr als einer Woche abgeschaltet
• Neue Angriffsmethode nutzt vertrauenswürdige Beziehungen zwischen Partnerorganisationen aus, um Multifaktor-Authentisierung zu umgehen
• Medizinischer Dienst Bremen und Niedersachsen durch Cyberattacke lahmgelegt
• Rheinische Post Mediengruppe – Zeitungen erscheinen nach Hackerangriff als Notausgaben
• Microsoft bestätigt Cyberangriff auf seine Clouddienste

Up-to-date

8. Android-Update gegen Hosentaschenanrufe

Seit der Verteilung von Android 13 im Herbst 2022 kommt es zur starken Häufung von sogenannten Butt-Dials, also "Hosentaschenanrufen". Die Mitarbeiterinnen und Mitarbeiter in den Leitstellen können solche Anrufe aber nicht einfach selbst beenden. Erst wenn sicher sei, dass es sich nicht um einen Notfall handele, werde das Gespräch unterbrochen. Diese Zeit fehle dann für echte Notrufe. Deswegen bitten die Leitstellen die Betroffenen dringend, Updates zu machen, um aus Versehen getätigte Notrufe zu vermeiden.

Heise Online über Butt-Dial-Notrufe mit Android-Smartphones

9. Mehr Privatsphäre bei Apple

Apple hat angekündigt, unter anderem seine Betriebssysteme iOS 17 und macOS 14 auch im Bereich Privatsphären- und Datenschutz nachzurüsten. Laut Heise online gehören zu den wichtigsten Neuerungen Verbesserungen beim privaten Surfen mit Safari, die Erweiterung der Communication Safety, ein umfassenderer Lockdown-Modus sowie mehr App-Datenschutz.

Heise Online über Sicherheitsverbesserungen bei Apple-Betriebssystemen

10. Passwort-Manager Bitwarden unsicher

Bis vor Kurzem konnten lokale Prozesse unter Windows biometrisch gesicherte Passwort-Tresore (Vaults) von Bitwarden öffnen. Dadurch waren biometrische Schlüssel für alle lesbar, das berichtet Heise Online. Die Entwicklerinnen und Entwickler von Bitwarden haben das Problem aber nach eigenen Angaben in der Zwischenzeit gelöst, indem sie den Bitwarden-Master-Schlüssel vor dem Abspeichern verschlüsseln. Damit ist der Schlüssel zwar weiterhin lesbar, allerdings bleiben die dort enthaltenen Informationen unbenutzbar.

Heise Online über unsichere Passwort-Schlüssel bei Bitwarden

11. Kritische Schwachstelle in Microsoft SharePoint Server

Das BSI weist auf einen Patch für das Schließen einer als kritisch eingestuften Sicherheitslücke für Microsoft SharePoint Server hin. Letzterer enthalte eine Elevation of Privilege Lücke, deren Ausnutzung als eher wahrscheinlich einzustufen sei. In einem PDF schlägt das BSI unter anderem Maßnahmen vor, wie die Ausnutzung der Schwachstelle verhindert werden kann.

BSI zur kritischen Sicherheitslücke bei SharePoint Server

12. Schwachstellen in Zoom geschlossen

In der Webvideokonferenz-Software Zoom sind mehrere hochriskante Lücken geschlossen worden, berichtet Heise Online. Mit verfügbaren Updates bessern die Entwicklerinnen und Entwickler der Software insgesamt zwölf sicherheitsrelevante Fehler aus, darunter sechs hochriskante. Die Updates sind über die Zoom-Webseite verfügbar.

Heise Online über Sicherheitsprobleme bei Zoom

Security-Bulletin von Zoom mit aktuellen Informationen zu Sicherheitslücken

13. Aktuelle Warnmeldungen des BSI

Das BSI informiert auf seiner Webseite regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Informationen sowie Tipps zum Umgang damit.

Das BSI-Portal

Gut zu wissen

14. Vorsicht vor Fakeshops!

Wussten Sie eigentlich, dass günstig shoppen richtig teuer werden kann? Ein neues Smartphone, angesagte Sneaker oder ein schnelles E-Bike können trotz eines vermeintlich günstigen Preises am Ende sehr viel teurer werden als in anderen Shops. Dann nämlich, wenn die Käuferinnen und Käufer nach dem Bezahlen keine Ware erhalten. Aktuell gibt es besonders viele Fake-Angebote für Fahrradequipment und Aktivitäten im Garten. Darauf weist die Verbraucherzentrale Hamburg hin. Auf ihrer Webseite fassen die Verbraucherschützerinnen und -schützer auch zusammen, wie Sie solche Fakeshops erkennen. Sieben Tipps für sichere Bestellungen im Internet runden das Informationsangebot ab.

Verbraucherzentrale Hamburg mit Tipps gegen Fakeshops

der Verbraucherzentrale NRW Fakeshop-Finder

15. Was ist Polymorphe Malware?

Das Webportal "tom’s Hardware" weist einem Bericht bei Golem zufolge darauf hin, dass sich die generative KI-Lösung ChatGPT auch für Cyber-Kriminelle als "nützliches Werkzeug" erweise. So lasse sich über den Chatbot zum Beispiel eine polymorphe Malware entwickeln,
die sich vor gängigen Abwehrmaßnahmen verstecken könnte.

Als polymorph gilt eine Schadsoftware dann, wenn sie ihr Erscheinungsbild oder ihre Signaturdateien ständig verändert, darunter zum Beispiel ihren Dateinamen, die Dateigröße und den Speicherort der Software. Die Funktionalität der Programme bleibt aber unverändert. Das macht sie für Virenschutzprogramme schwer erkennbar: Sobald sein Virenschutzprogramm die Schadsoftware aufspürt, verändert diese ihren Namen und andere Attribute und ist dann wieder unsichtbar.

Zwar bietet der Anbieter von ChatGPT, Open AI, Filter an, um solche Anwendungen zu unterbinden. Allerdings haben Sicherheitsexpertinnen und -experten bereits Anfang des Jahres nachgewiesen, dass sich solche Filter auch aushebeln lassen. So könnten Kriminelle mit Entwicklerkenntnissen dem Chatbot einzelne, auf den ersten Blick harmlose Codebausteine entlocken und diese anschließend zu einer vollwertigen Schadsoftware zusammenfügen, heißt es bei Golem.

In seinem Papier über "Große KI-Sprachmodelle" geht das BSI auch auf die Gefahren polymorpher Schadsoftware ein

Golem über die neuen Herausforderungen für Sicherheitslösungen durch polymorphe Malware

Praktisch sicher

16. Tipps & Tricks zu Updates

Eine der mit Abstand besten Schutzmaßnahmen gegen Schadsoftware und Viren, die im schlimmsten Fall Daten aus dem eigenen Rechner abschöpfen oder verschlüsseln, um Lösegelder zu erpressen, sind und bleiben regelmäßige Updates und Patches.

Dennoch nutzen viele Menschen diese einfachen Schutzmaßnahmen oft nicht oder zu spät, weil sie lästig sind, Arbeit oder Freizeitbeschäftigungen unterbrechen und meist sogar einen Neustart von Rechnern oder mobilen Geräten verlangen.

Statt einer langen Schritt-für-Schritt-Anleitung können wir Ihnen daher am besten hier nur einen Tipp geben: Wenn Ihnen Ihr Gerät oder Ihr Betriebssystem ein Update anbietet, zögern Sie nicht und installieren Sie es, denn es behebt akute Sicherheitsprobleme, die beim Anbieter oder Hersteller bekannt geworden sind. Erst nach dem Update sind Ihre Geräte wieder sicher.

Mehr Informationen über Updates erhalten Sie beim BSI

Übrigens

In Deutschland laufen noch rund drei Millionen PCs mit einem Betriebssystem, für das vom Anbieter keine Updates und Sicherheits-Patches mehr angeboten werden. Damit sind diese Rechner hochgradig anfällig für Angriffe von außen. Das geht aus einer Studie des Sicherheitsunternehmens ESET hervor, die im vergangenen Jahr veröffentlicht wurde. Ein Großteil der Rechner, rund 2,7 Millionen Geräte, laufen mit Windows 7 von Microsoft. In der Liste finden sich aber auch die ebenfalls veralteten Systeme Windows Vista, Windows XP und Windows 8, die zusammen noch auf rund 450.000 PCs laufen.

Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag.

10 Basistipps für mehr Sicherheit in Ihren digitalen Alltag

Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn weiter