Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Newsletter SICHER • INFORMIERT vom 31.08.2023

Ausgabe 18/2023

Das BSI auf der IAA Mobility, Warnung vor betrügerischen E-Mails zu Steuerthemen, Microsoft warnt vor massiven Social-Engineering-Angriffen auf Microsoft Teams & Sicherheitsrisiken beim Gaming

In den Schlagzeilen

1. Bedrohungsszenarien zum Anfassen auf der IAA

Auf seinem Stand F31 in Halle B1 zeigt das BSI mit insgesamt drei Exponaten, wie aktuelle Bedrohungsszenarien konkret aussehen.

Wer hat sich schon Mal gefragt, wie ein Auto Schilder erkennen kann? Dahinter steckt oft eine KI: Auf der Messe haben Besucherinnen und Besuchern die Möglichkeit, in die Rolle des Angreifers zu schlüpfen und durch leichte, für Menschen unverdächtige Änderungen am Schild, das KI-System zu einer Fehlfunktion zu verleiten. Während der Fahrt, mitten in der Kurve fällt die Servolenkung aus: Ein Horrorszenario. Am Fahrsimulator kann so ein Eingriff in das Fahrverhalten simuliert werden. Angriffe auf funkgesteuerte Schließsysteme oder das Infotainment-Systeme sind auch möglich, aber weniger lebensgefährlich. An einer nachgebauten Ladestation für E-Autos können Besucherinnen und Besucher selbst Attacken auf den Ladevorgang durchführen.

Weitere Informationen des BSI zur IAA Mobility finden Sie hier.

BSI zu Chancen und Risiken beim vernetzten Fahren.

2. Warnung vor betrügerischen E-Mails zu Steuerthemen

Cyberkriminelle versenden im Namen des Bundesministeriums der Finanzen gefälschte E-Mails. Darauf weist das Landeskriminalamt Niedersachsen hin. In ihren Nachrichten drohen Cyberkriminelle mit Haft- und Geldstrafen für vermeintliche Steuervergehen und fordern die Empfängerinnen und Empfänger auf,eine angehängte Datei zu öffnen und Kontodaten und weitere persönliche Informationen zu übermitteln. Betroffene sollten diese Mails löschen und umgehend ihre Bank kontaktieren sowie Anzeige erstatten, falls sie auf die Mails geantwortet haben.

BSI-Informationen über Betrug mit gefälschten Mails und Telefonnummern.

Meldung des LKA Niedersachsen über gefälschte Steuer-Mails.

3. BKA-Bericht 2022: Unternehmen verlieren über 200 Milliarden Euro durch Cyberangriffe

Das Bundeskriminalamt (BKA) hat seinen Bericht über Cybercrime für 2022 veröffentlicht. Trotz eines Rückgangs von 6,5 Prozent bei erfassten Straftaten in Deutschland bleibt Cybercrime ein Milliardengeschäft für Onlinekriminelle. Ransomware-Angriffe stehen an erster Stelle, bei denen erbeutete Daten zur Erpressung genutzt werden. Die Gesamtschäden durch Cyberangriffe belaufen sich auf etwa 203 Milliarden Euro. Phishing-Mails bleiben der Hauptangriffsvektor, wobei die Zahl der individuell angepassten Nachrichten und damit auch die Qualität der Angriffe zunimmt.

Bericht des BKA.

Heise Online über die Auswirkungen der IT-Attacken auf deutsche Firmen.

4. Cyberkriminelle nutzen Google-Bard-Anzeigen zur Verbreitung von Malware

Google Bard ist der hauseigene Chatbot von Google. Hackerinnen und Hacker nutzen diesen Chatbot, um Malware über Anzeigen zu verbreiten. Sie tarnen ihre Anzeigen als echte Werbung für den KI-Service von Google, um die Nutzerinnen und Nutzer auf infizierte Webseiten zu leiten und dort ihre privaten Daten auszuspähen. Die Anzeigen sind aktuell an auffälligen Grammatikfehlern und ungewöhnlichen Schreibstilen zu erkennen. Nutzerinnen und Nutzer sollten daher aufmerksam sein und nicht auf Anzeigen klicken, die ihnen verdächtig vorkommen.

Cryptopolitan über die Verbreitung von Malware über Google Bard.

5. Daten von 2,6 Millionen Duolingo-Nutzerinnen und -Nutzern in Hackerforum aufgetaucht

In einem Hackerforum sind persönliche Daten von etwa 2,6 Millionen Duolingo-Nutzerinnen und -Nutzern aufgetaucht. Die gestohlenen Informationen enthalten Namen, E-Mail-Adressen und interne Daten wie erlernte Sprachen und Kurse. Sie könnten Cyberkriminellen gezielte Phishing-Angriffe ermöglichen.Die gestohlenen Duolingo-Daten wurden bereits im Januar 2023 zum Verkauf angeboten. Sicherheitsforscherinnen und -forscher haben herausgefunden, dass die Schnittstelle zu den Duolingo-Daten noch immer angreifbar ist, was es Hackerinnen und Hackern ermöglicht, Daten automatisiert abzurufen und zu speichern.

Empfehlungen und Informationen des BSI zur Online-Kommunikation in sozialen Netzwerken.

Golem über die Duolingo-Daten in Hackerforen.

6. Microsoft warnt vor massiven Social-Engineering-Angriffen auf Microsoft Teams

Wie Security Insider berichtet, hat Microsoft vor aggressiven Angriffen auf seine Videokonferenzlösung Teams gewarnt, bei denen vermeintlich aus Russland stammende Cyberkriminelle versuchen, an Anmeldedaten von Teams-Benutzerinnen und -Benutzern zu gelangen. Die Angreiferinnen und Angreifer spähen über Social Engineering ihre potenziellen Opfer aus. Ihre Angriffe führen sie dann mit Phishing-Mails durch, um an Zugangsdaten zu gelangen, die sie zur Kompromittierung von Microsoft-Abos, der Übertragung von Ransomware und zum Datendiebstahl nutzen. Die Angriffe seien auch für geschulte Anwenderinnen und Anwender nur schwer zu erkennen, schreibt Security Insider. MFA (Multi-Factor Authentication) biete einen guten, jedoch nicht vollumfänglichen Schutz vor massiven Phishing-Attacken. Durch das sogenannte MFA-Bombing, bei welchem die Angreiferinnen und Angreifer immer wieder Anfragen versenden, kann es dazu kommen, dass die Anwenderinnen und Anwender überfordert sind und die Anfragen einfach akzeptieren. Das BSI empfiehlt, mehrere Faktoren als Schutzbarrieren einzurichten und gleichzeitig MFA-Anfragen mit Misstrauen zu betrachten bis festgestellt werden kann, dass die Anfrage von der Nutzerin oder dem Nutzer selbst stammt.

BSI zum Umgang mit Spam, Phishing & Co.

Security Insider über die Hackerangriffe auf Microsoft Teams.

7. Phishing-Angriffe über Amazon Web Services

Laut Checkpoint werden Amazon Web Services zum Versenden von Phishing-Mails genutzt, um gefälschte E-Mails authentischer wirken zu lassen. ZDNet berichtet zudem, dass dabei eine scheinbar legitime Passwortrücksetzung per E-Mail angefragt wird. Hinter dem Link verbirgt sich jedoch eine gefälschte Anmeldeseite mit bereits eingetragener E-Mail-Adresse, um Nutzerinnen und Nutzer zur Eingabe ihres Passworts zu verleiten. Sicherheitsforscherinnen und -forscher empfehlen Achtsamkeit bei Absender-Adressen und URLs sowie die Nutzung von KI-gestützten Sicherheitslösungen, die Dokumente, Dateien und Websites prüfen, um solche Angriffe zu erkennen und zu verhindern.

Das BSI informiert darüber, wie Sie Phishing-Mails erkennen können.

ZDNet über Phishing-Angriffe über Amazon Web Services (AWS).

8. Kurz notiert:

Up-to-date

9. Microsoft veröffentlicht überarbeitetes Exchange-Server-Update nach Fehlfunktionen

Wie Heise berichtet, hat Microsoft eine überarbeitete Version des August-Sicherheits-Updates für die Exchange-Server 2016 und 2019 veröffentlicht. Das ursprüngliche Patch führte auf nicht englischsprachigen Servern zu Problemen. Die neue Version "Aug SUv2" soll die Lokalisierungsprobleme beheben. Admins, die das erste Update erfolgreich durchgeführt haben, müssen keine weiteren Schritte unternehmen, können aber das neue Update installieren. Bei Installationsschwierigkeiten des ursprünglichen Updates oder erfolgreichen Workarounds ist die Installation der neuen Version erforderlich. Microsoft reagiert mit der überarbeiteten Version nun doch auf verschiedene Berichte über die Server-Fehlfunktionen.

Heise Online über den Re-Release des Exchange-Server-Updates.

10. Update für Google Chrome behebt hochriskante Sicherheitslücken

Google schließt mit einem Update für seinen Chrome-Webbrowser gleich fünf Sicherheitslücken, von denen vier als hochriskant eingestuft wurden, so Heise Online. Die betroffenen Versionen sind Chrome 116.0.5845.114 für Android, 116.0.5845.118 für iOS, 116.0.5845.110 für Linux und Mac sowie 116.0.5845.110/.111 für Windows. Da die gleichen Schwachstellen auch im Chromium-Projekt vorhanden sind, werden wohl bald auch andere Browser wie Microsoft Edge ebenfalls bald aktualisiert. Zudem plant Google, Chrome demnächst wöchentlich zu aktualisieren, um Sicherheitsupdates schneller bereitzustellen.

Heise Online über das Update für Google Chrome.

Gut zu wissen

11. Sicherheitsrisiken beim Gaming

Online-Games bieten eine Menge Spaß, bergen aber auch Risiken für Spielerinnen und Spieler. Im Rahmen der Gamescom hat das BSI mit Gameswelt über die Nachteile und versteckten Gefahren von Accountsharing gesprochen.

BSI x Gameswelt Accountsharing und Kryptowährungen

Nicht erst seitdem die neuste Generation Künstlicher Intelligenz mit faszinierenden Ergebnissen Schlagzeilen macht, ist KI in aller Munde. Insbesondere in Videospielen ist KI schon seit vielen Jahren ein wichtiger Bestandteil, zum Beispiel, um mit NPCs zu interagieren oder um Spielwelten zu generieren. Pirmin Schwiertz von Gameswelt und BSI-Expertin Annika Rüll gehen gemeinsam Fragen auf den Grund wie "Was ist generative KI?", "Wo liegen die Grenzen von KI?" und "Wie könnte Künstliche Intelligenz Gaming verändern?"

BSI x Gameswelt Künstliche Intelligenz

12. "Update verfügbar" #34: "Mehrspieler, aber Einzelkämpfer?! Alles zum Account-Sharing"

In der 34. Folge des BSI-Podcasts "Update verfügbar" präsentieren Ute Lange und Michael Münz in Zusammenarbeit mit Felix Rick vom Videospiel-Magazin Gameswelt eine neue Folge zum Thema Account-Sharing im Gaming. Unter anderem erfahren Sie, warum Gaming-Accounts niemals geteilt werden sollten.

BSI-Podcast "Update verfügbar" #34

Praktisch sicher

13. Top 5 Sicherheitstipps fürs Gaming

  • Spiele nur aus offiziellen Quellen herunterladen! Dazu zählen die App-Stores der Smartphone-Hersteller und die großen Software-Shops, die mit den Entwicklerinnen und Entwicklern zusammenarbeiten.
  • Accounts schützen! Cyberkriminelle versuchen womöglich, Ihren Account zu knacken. Starke Passwörter und die Zwei-Faktor-Authentisierung bieten Schutz.
  • Augen auf bei In-App-Käufen! Sichern Sie solche am besten mit einem Passwort, um nicht in Kostenfallen zu tappen – auch nicht unbeabsichtigt.
  • Separates Benutzerkonto anlegen! Das Konto, das für Games verwendet wird, sollte nur über eingeschränkte Rechte verfügen.
  • Updates herunterladen, sobald diese verfügbar sind! Oft schließen Hersteller auf diesem Weg Sicherheitslücken, bevor Cyberkriminelle sie ausnutzen können.

Mehr Spielregeln für digitale Sicherheit.

Schritt für Schritt zur Zwei-Faktor-Authentisierung für Gaming-Accounts.

Was wichtig wird

14. Das BSI auf der IAA Mobility

Vom 5. bis 8. September haben Sie in Halle B1 am Stand F 31 Gelegenheit, das BSI auf der IAA Mobility in München zu treffen, um sich über die Herausforderungen und Chancen der Cybersicherheit im Automobilbereich zu informieren. Das BSI zeigt dort, wie wichtig es ist, Fahrzeuge vor potenziellen Cyberberohungen zu schützen und im digitalen Zeitalter die Sicherheit der Mobilität zu fördern.

Alle Infos zur IAA

Weitere Informationen & Feedback

Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag.

10 Basistipps für mehr Sicherheit in Ihren digitalen Alltag

Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn gerne an Freunde und Familie weiter

Weitere Informationen

Zurück zu Bundesamt für Sicherheit in der Informationstechnik