Newsletter SICHER • INFORMIERT vom 12.09.2024

Ausgabe 19/2024

Smarthome nur unzureichend geschützt, mehr Schäden durch Cyberangriffe, Sextortion-Fälle häufen sich & Spam-E-Mails im Namen des BSI im Umlauf

In den Schlagzeilen

1. Smarthome nur unzureichend geschützt

Drei Viertel der Menschen in Deutschland nutzen Smarthome-Geräte. Dabei bleibt die IT-Sicherheit jedoch oft auf der Strecke: Die meisten Nutzerinnen und Nutzer ergreifen zu wenige Schutzmaßnahmen, zeigt eine repräsentative Befragung von BSI und der polizeilichen Kriminalprävention der Länder und des Bundes (ProPK). Auch das Risikobewusstsein der Bevölkerung ist nicht stark ausgeprägt: Nur eine Minderheit weiß etwa, dass auch Smarthome-Geräte mit Schadsoftware infiziert werden können oder dass Unbefugte sich mitunter Zugang zu gespeicherten oder übertragenen Daten verschaffen.

Das Informationsangebot des BSI zeigt, wie Sie sich und Ihre Smarthome-Geräte absichern können.

Lesen Sie den Kurzbericht zum Fokusthema "Smarthome".

2. Versicherungen: Mehr Schäden durch Cyberangriffe

Cyberangriffe haben im vergangenen Jahr zu Versicherungsschäden in Höhe von 180 Millionen Euro geführt, so der Gesamtverband der Deutschen Versicherungswirtschaft (GDV). Es wurden rund 4.000 Angriffe gemeldet und damit fast 19 Prozent mehr als im Jahr 2022. Nicht nur die Zahl von Hackerangriffen ist gestiegen, auch das Ausmaß der Schäden hat zugenommen: Im Schnitt fielen Kosten von rund 45.370 Euro für einen Cyberschaden an – und damit gut acht Prozent mehr als im Vorjahr.

Es berichteten (u.a.) der Stern

3. Deutsche Seehäfen zunehmend im Visier von Cyberkriminellen

Deutsche Seehäfen wie Hamburg, Bremen Wilhelmshaven und Bremerhaven sind in den Fokus von Cyberangriffen geraten. Seit Beginn des russischen Angriffskrieges auf die Ukraine habe sich die Zahl der Cyberattacken auf IT-Systeme mehr als verhundertfacht, so die Hamburger Hafenverwaltung (HPA). Bei der Abwehr von Cyberattacken kooperiert die Hafenverwaltung auch mit internationalen Partnerhäfen wie Barcelona, Singapur und Los Angeles. Es sei wichtig, dass alle Partner entlang der Lieferkette sich bestmöglich schützten und voneinander lernten.

Es berichteten (u.a.) ARD und ZDF

4. Dreiste Sextortion-Fälle häufen sich

Derzeit häufen sich Berichte über eine neue Sextortion-Kampagne. Der Begriff Sextortion setzt sich zusammen aus Sex und Extortion, zu Deutsch Erpressung. Internetnutzende werden dazu verleitet, Nacktbilder von sich zu versenden und werden anschließend damit erpresst – längst ist das eine globale Betrugsindustrie mit Milliardeneinnahmen geworden. Aktuell läuft eine Kampagne, bei der Kriminelle angeben, im Besitz kompromittierender Videos zu sein. Um der Lüge Nachdruck zu verleihen, senden sie ein Foto des Wohnortes der Betroffenen mit. Die Kriminellen kontaktieren die Opfer per E-Mail und behaupten, deren Computer mit der Spyware Pegasus infiziert zu haben, um an Webcam-Videos zu gelangen. Gefordert wird ein Lösegeld in Bitcoin.
Das Bundeskriminalamt (BKA) warnt eindringlich vor der zunehmenden Gefahr durch sexuelle Erpressung.

Es berichtete (u.a.) Heise

Wie Sie sich vor Sextortion schützen können, lesen Sie auf der Infoseite des BSI.

In diesem Video erklärt das BSI, was Sextortion ist.

5. Kurz notiert

IT-Systeme der Wertachkliniken lahmgelegt: Die Wertachkliniken in Bobingen und Schwabmünchen wurden von Cyberkriminellen schwer attackiert. Der Klinikbetrieb ist durch den Ausfall der Serversysteme massiv eingeschränkt und auf eine analoge Notfallstruktur umgestellt worden. Geplante Operationen wurden abgesagt. Es berichtete (u.a.) Heise.
Cyberkriminelle in Baden-Württemberg angeklagt: Sie sollen Briefkastenfirmen und Bankkonten für internationale Betrüger angelegt haben: Drei Verdächtige haben mutmaßlich 820 Opfer zu Zahlungen in Höhe von insgesamt fünf Millionen Euro verleitet. Die baden-württembergische Generalstaatsanwaltschaft hat Anklage erhoben. Es berichtete (u.a.) der Spiegel.
Wie Sie sicher online Ihre Bankgeschäfte tätigen, verrät Ihnen das BSI.
Bundeskriminalamt geht gegen Cybermobber vor: Die Polizei geht mit Razzien gegen Cybermobber vor. Die Gruppe "New World Order" (NWO) belästigt seit Jahren systematisch prominente Opfer aus Politik und Gesellschaft. Gegen zehn Beschuldigte wird ermittelt, zahlreiche elektronische Geräte und Speichermedien sind sichergestellt worden. Es berichtete (u.a.) der Spiegel und das ZDF
Sie möchten sich und Ihre Familie vor Belästigung, Bedrängung und Nötigung über das Internet schützen? Das BSI hat wichtige Tipps zusammengestellt.

Up-to-date

6. Android Patchday: Updates schließen hochriskante Lücken

Google hat am September-Patchday neue Android-Versionen veröffentlicht. Sie schließen hochriskante Sicherheitslücken im Handy-Betriebssystem. Der Patch 2024-09-01 dichtet elf Sicherheitslecks ab. Im Android-Framework von Android 12,12L, 13 und 14 finden sich drei Schwachstellen, die Angreifern das Ausweiten ihrer Rechte ermöglichen. Es gebe Hinweise, dass eine dieser Lücken in Framework (CVE-2024-32896) bereits in gezielten Angriffen missbraucht werde, so Google.

Es berichtete (u.a.) Heise

7. Sicherheitsupdates für mehrere Produkte des Netzwerkausrüsters Cisco

Aufgrund von mehreren Schwachstellen sind Attacken auf Cisco Expressway Edge, Duo Epic for Hyperdrive, Identity Services Engine, Meraki Systems Manager und Smart Licensing Utility vorstellbar. Sicherheitspatches schaffen Abhilfe.

Es berichtete (u.a.) Heise

8. Schwachstellen bei WPS-Office

Sicherheitsforschende haben Schwachstellen in der Office-Lösung WPS-Office identifiziert. Angreifer nutzen diese Sicherheitslücken bereits aktiv aus und können Malware auf den PC der Anwendenden übertragen.

Es berichtete (u.a.) Security Insider

Lesen Sie beim BSI nach, wie Sie sich vor Schadprogrammen schützen.

9. Aktuelle Warnmeldungen des BSI

Das BSI informiert auf seiner Webseite regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Tipps zum Umgang damit.

Zum BSI-Portal

Gut zu wissen

10. Zahl der Woche: 22

Im Cybersicherheitsmonitor des BSI 2024 geben 22 Prozent der Eltern an, ihr Kind wende sich mit Fragen rund um IT-Sicherheit und Gefahren im Internet an sie.

Das BSI versorgt Eltern mit Tipps dazu, wie Kinder und Jugendliche sicher durch den digitalen Alltag kommen.

Hier geht es zum Cybersicherheitsmonitor 2024.

11. Spam-E-Mails im Namen des BSI im Umlauf

Aktuell sind im Namen des Bundesamts für Sicherheit in der Informationstechnik (BSI) Spam-E-Mails im Umlauf, die einen "signifikanten Anstieg an Cyberbedrohungen" erwähnen sowie dazu auffordern, "Antivirus-Schutz jetzt" über einen Button zu aktivieren. Dieser Link führt möglicherweise auf eine ebenso gefälschte Webseite, wo Sie zu weiteren Handlungen, wie z.B. das Eingeben persönlicher Daten, aufgefordert werden. Diese gefälschten E-Mails ähneln optisch und inhaltlich einem Newsletter. Sie enthalten eine unpassende bzw. unübliche Ansprache und eine nicht zum BSI passende Abmeldeadresse bzw. einen weiteren Link, der ebenfalls zu gefälschten Webseiten führen könnte.

Zur Mitteilung des BSI

12. Gelingt Eindämmung der Cookie-Flut?

Die Bundesregierung hat sich auf ein Vorgehen geeinigt, um Cookie-Banner einzudämmen. Das Bundeskabinett brachte vergangene Woche einen Verordnungsentwurf auf den Weg. Internetanbieter müssen Nutzende bei jeder Inanspruchnahme eines Dienstes zum Cookie-Einsatz befragen. Über einen anerkannten Dienst zur Einwilligungsverwaltung sollen Userinnen und User in Zukunft ein transparentes Werkzeug erhalten, um Zustimmungen und Ablehnungen zu managen. Der Bundesverband Digitale Wirtschaft (BVDW) kritisiert den Entwurf und sieht noch Rechtsunsicherheiten. Der BVDW plädiert für noch präzisere Regeln.

Zur Pressemitteilung des bmdv
Es berichtete (u.a.) Golem

Praktisch sicher

13. Podcast "Update verfügbar": #47: Smarthome: Ist vernetztes Wohnen sicheres Wohnen?

Die Vorteile eines Smarthomes liegen auf der Hand: Sie können Rollläden, Türen und Fenster von unterwegs steuern und mit dem Smart-TV haben Sie Zugriff auf verschiedene Streamingplattformen. Der Schutz darf aber nicht zu kurz kommen: Damit nicht Dritte Ihre persönlichen Daten abgreifen oder die Geräte gar unter ihre Kontrolle bringen können, sind zum Beispiel Updates das A und O. Noch mehr Expertentipps für ein sicheres Smarthome gibt es in der neuesten Folge "Update verfügbar": der Geschäftsführer der Polizeilichen Kriminalprävention Joachim Schneider und BSI-Referatsleiterin Karin Wilhelm informieren, worauf Smarthome-Bewohnerinnen und -Bewohner achten sollten. Ute Lange und Michael Münz haben die zwei auf der IFA getroffen: Dort haben sie auch das Fokusthema Smarthome des Cybersicherheitsmonitors 2024 vorgestellt. Jetzt reinhören!

In der BSI-Mediathek
Auf YouTube
Und überall, wo es Podcasts gibt!

14. Digitale Kinderspielzeuge haben oft mangelhaften Datenschutz

Die Digitalisierung hat längst die Kinderzimmer erreicht. Sogenannte „Smart Toys“ ermöglichen Interaktion im Spiel, dann begrüßt der Teddy das Kind mit Namen oder ein Rennauto wird per App gesteuert. Viele Geräte verfügen über Kameras, Mikrofone und Sensoren und sind mit einer Funkschnittstelle versehen, wodurch sich via Bluetooth oder WLAN-Daten übertragen lassen. Was viele Erziehungsberechtigte nicht wissen – die digitale Ausstattung ermöglicht es auch, dass Profile der spielenden Kinder erstellt werden. Einer Studie der Universität Basel unter Leitung von Isabel Wagner, Professorin für Cyber Security, zufolge weist digitales Spielzeug große Lücken im Schutz der Privatsphäre auf. Dazu wurden zwölf „Smart Toys“ getestet.

Es berichtete (u.a.). Heise

Sie wollen wissen, wie Ihr Kind sicher mit einem digitalen Spielzeug umgehen kann? Das BSI hat wichtige Tipps zusammengestellt.

15. Telekom-Kundschaft durch Phishing gefährdet

Cyberkriminelle haben es derzeit auf die Kundschaft der Deutschen Telekom abgesehen: Die Verbraucherzentrale Nordrhein-Westfalen warnt vor einer erheblichen Anzahl an Phishing-Mails. Unter dem Betreff "Ihre Telekom Festnetz-Rechnung August 2024" werden Kundinnen und Kunden aufgefordert, eine angebliche Rechnung über 425,83 Euro zu bezahlen. Diese Aufforderung erfolgt über einen mit "Rechnung herunterladen" beschrifteten Link – und ist ein Betrugsversuch.

Es berichtete (u.a.) Golem und Chip

Das BSI informiert darüber, wie Phishing-Mails zu erkennen sind.

16. BSI entdeckt schwere Sicherheitslücken in Mastodon, einige kleinere in Matrix

In einem gemeinsamen Projekt zur Stärkung der Sicherheit von Open Source Software haben das BSI und die Münchner Firma MGM Security Partners den Quellcode des Messenger-Dienstes Matrix und der Social-Media-Anwendung Mastodon überprüft. Mastodon wies im vergangenen Jahr in der Version 4.1.6 zwei als hochriskant eingestufte Sicherheitslücken auf. Damit konnten Angreifer gezielt Benutzende und die Anwendung kompromittieren. Das BSI hatte die Informationen über diese kritische Schwachstelle weitergeleitet, so dass die Programmierenden sofort in die Schwachstellenanalyse gehen und reagieren konnten. Das Projekt zur "Codeanalyse von Open Source Software" wird fortgeführt.

Mehr Informationen in der Pressemitteilung des BSI.

Was wichtig wird

17. 36. Cyber-Sicherheits-Tag in Berlin

Unter der Überschrift "Stronger Together – Mehr Resilienz durch Kooperation" lädt das BSI gemeinsam mit der Deutschen Industrie- und Handelskammer (DIHK) und den Beiräten der Allianz für Cyber-Sicherheit am 26. September 2024 von 10.30 bis 17 Uhr ins Haus der Deutschen Wirtschaft in Berlin ein. Starke Netzwerke und gute Kooperationen sind entscheidend, um die digitale Zukunft der Wirtschaft zu gestalten.

Sie wollen wissen, was auf der Agenda steht? Mehr Infos finden Sie hier

Übrigens

18. Das BSI auf der Jobmesse in Dresden

Sie wollen einen sinnstiftenden Job, spannende Themen und supernette Kolleginnen und Kollegen? Dann informieren Sie sich auf der Jobmesse in Dresden am 19. September 2024 über das Arbeiten im BSI, über Praktika und Abschlussarbeiten oder den direkten Einstieg nach dem Studium. Lernen Sie unser #TeamBSI im Rudolf-Harbig-Stadion (Lennéstr. 12) live und in Farbe kennen. Sie schaffen es nicht nach Dresden?

Auch online können Sie sich über Ihre Karrierechancen im BSI informieren.