In den Schlagzeilen

1. Meta-Anschuldigung

Der Facebook- und WhatsApp-Konzern Meta hat chinesische Entwicklerinnen und Entwickler verklagt, weil sie "im großen Stil" Whatsapp-Accounts gekapert hätten, um darüber Spam zu verschicken. Das berichtet t3n und spricht von über einer Million betroffener Accounts. Für das Abgreifen der Accountdaten wurden WhatsApp-Klone wie "HeyMods", "Highlight Mobi" und "HeyWhatsApp" für Android-Geräte benutzt. WhatsApp warnt davor, diese Apps zu installieren.

BSI-Tipps: So vermeiden Sie "Spam, Phishing & Co."

t3n über Klage gegen chinesische Entwickler

2. BSI bestätigt Sicherheitseigenschaften iPhone und iPad

Das BSI hat die allgemeinen Sicherheitseigenschaften und die Möglichkeiten zur sicheren Nutzung der Apple-Geräte iPhone und iPad sowie der Betriebssysteme iOS und iPadOS untersucht. Die Prüfung kommt zu dem Ergebnis, dass die in handelsüblichen iPhones und iPads integrierten Applikationen für E-Mail, Kalender und Kontakte auch bei der Verarbeitung von Verschlusssachen der Kategorie „Nur für den Dienstgebrauch“ eine Ergänzung des bestehenden Portfolios sicherer, mobiler Lösungen darstellen.

Pressemitteilung: BSI bestätigt Sicherheitseigenschaften von iPhone und iPad

3. Neuartige Malware auf Windows- und Linux-Rechnern entdeckt

Sicherheitsforscherinnen und -forscher warnen vor einer Cross-Plattform-Malware namens "Chaos", die sich gleichermaßen auf Windows- und Linux-Rechnern ausbreiten könne und bereits Hunderte von Geräten infiziert habe. Die Malware befalle Geräte, um sie für Kryptomining und DDoS-Attacken zu nutzen.. Expertinnen und Experten empfehlen, "sämtliche Router, Server und andere Geräte mit den neuesten Updates (zu) versorgen". Zudem sollten Geräte mit starken Passwörtern und, wenn möglich, mit FIDO2-basierter Authentifizierung (Zwei-Faktor-Authentisierung) geschützt werden.

BSI über Zwei-Faktor-Authentisierung

Bericht bei t3n über Chaos-Malware

4. Kurz notiert

• Cyber-Angriff auf Toyota: Vermutlich sind Daten von 300.000 Kundinnen und Kunden betroffen
• Hackerinnen und Hacker greifen verstärkt Kritische Infrastrukturen in Europa an – auch Cyber-Attacken auf Energie-Unternehmen häufen sich
• Babynahrungshersteller Hipp ist Opfer eines Cyber-Angriffs geworden
• BKA kann nach zwei Jahren Banking-Betrüger verhaften

Up-to-date

5. BSI warnt vor Sicherheitslücken in Microsoft Exchange

Ende September hatte das BSI vor zwei gravierenden Sicherheitslücken im Microsoft-Exchange-Server gewarnt, den viele Unternehmen zur Verwaltung ihres E-Mail-Verkehrs nutzen.. Bei den Fehlern handelt es sich um sogenannte Zero-Day-Exploits. Das sind unbekannte Lücken, für die es noch keine Sicherheits-Updates gibt. In der Zwischenzeit, meldet Heise Online, habe Microsoft aber Patches dazu veröffentlicht. Zudem bietet das Unternehmen auf seiner Webseite Richtlinien für den Umgang mit den Sicherheitsproblemen an.

Heise-Online-Bericht über Sicherheitslücken bei Microsoft-Exchange

Weitere Informationen und Tipps zum Umgang mit Schwachstellen sowie aktuelle Warnmeldungen des BSI-Bürger-CERT

6. Social Engineering auf LinkedIn

"Laut Microsoft führen staatliche Hacker derzeit Angriffe auf LinkedIn durch", berichtet das IT-Fachmagazin Golem. Die staatlichen Kriminellen würden gezielt Nutzerinnen und Nutzer des zu Microsoft gehörenden Netzwerks über Social Engineering angreifen und sie anschließend zur Installation von bestimmten Open-Source-Programmen überreden, die Schadsoftware enthielten. Die Angriffe stammten mutmaßlich von staatlicher Seite. Dabei handele es sich laut Microsoft "um gewöhnliche Cyber-Spionage und Versuche, Geld oder Daten zu stehlen, oder einfach nur um die Sabotage von Unternehmensnetzwerken". Hinter den Angriffen vermutet Microsoft die Hackergruppe Zinc, die mutmaßlich von Nordkorea aus aktiv ist.

BSI-Informationen über "Social Engineering"

Golem über Angriffe auf LinkedIn

Gut zu wissen

7. Windows 11 warnt jetzt auch vor schlechtem Umgang mit Passwörtern

Aufmerksame Leserinnen und Leser kennen unsere wiederkehrenden Hinweise zum sicheren Umgang mit Passwörtern sicher schon. Jetzt warnt auch das aktuelle Microsoft-Betriebssystem Windows 11 seine Anwenderinnen und Anwender, berichtet Silicon.de. Das „22H2-Update“ aus dem zweiten Halbjahr 2022 enthält eine neue Sicherheitsfunktion namens "Enhanced Phishing Protection", die laut Microsoft erkennt, wenn ein Passwort in eine unsichere App oder Website eingegeben wird. Windows reagiert darauf mit einer Warnmeldung und informiert zudem die Administratoren in Unternehmensnetzwerken. Die neue Sicherheitsfunktion erkennt auch, wenn Passwörter für mehrere Konten wiederverwendet werden und warnt, sobald ein Kennwort im Klartext in einer App wie Notepad gespeichert werden soll.

Silicon.de über neue Warnfunktionen bei Windows 11

8. BSI: IT-Sicherheitskennzeichen für smarte Verbrauchergeräte verfügbar

Ab sofort können Hersteller für die meisten Produkte im Smart Home und im Internet der Dinge beim BSI ein Kennzeichen für IT-Sicherheit beantragen. Dieses IT-Sicherheitskennzeichen soll Verbraucherinnen und Verbraucher bei der Auswahl smarter Alltagsgegenstände und IT-Produkte unterstützen. Dazu zählen neben Breitbandroutern und E-Mail-Diensten seit Anfang Mai auch intelligente und vernetzte Fernsehgeräte, Kameras, Lautsprecher, Spielzeuge sowie Reinigungs- und Gartenroboter. Nun hat das BSI die Produktkategorie "smarte Verbraucherprodukte" auch für intelligente Thermostate, fernsteuerbare Rollläden und andere Geräte im "Internet of Things" (IoT) geöffnet.

Neueste BSI-Pressemitteilung zum IT-Sicherheitskennzeichen

BSI-Informationen zum IT-Sicherheitskennzeichen

Praktisch sicher

9. Wenn die Vorgesetzten nach Geld fragen

Der sogenannte CEO-Fraud ist eine Betrugsmasche, für die Cyber-Kriminelle in die Rolle von Vorgesetzten schlüpfen, die ihre Beschäftigten zu Geldüberweisungen oder kriminellen Handlungen verleiten. Die Methode gehört zum sogenannten Social Engineering, bei dem Nutzerinnen und Nutzer gezielt nach persönlichen Vorlieben und Verhältnissen ausgespäht werden. Das BSI gibt auf seiner Webseite Tipps, wie Sie solche Betrügereien verhindern können. Eine der wichtigsten:

Prüfen Sie Ihre E-Mails kritisch! Kontrollieren Sie Absender, Betreff und Anhang vor dem Anklicken. Sind Sie skeptisch, fragen Sie direkt bei den (vermeintlichen) Absendern nach – am besten telefonisch mit einer Nummer, die nicht in der Mail angegeben wird.

Mehr BSI-Tipps zur IT-Sicherheit am Arbeitsplatz

Was wichtig wird

10. Dritter IT-Grundschutz-Tag 2022

Schon mal vormerken: Am 10. November findet in der Penck Kunsthalle (Ostra-Allee 33 in 01067 Dresden) der 3. IT-Grundschutz-Tag 2022 statt. Die Veranstaltung von BSI und der SoftEd Systems GmbH widmet sich dem Themenkomplex „Sicherheit für das Netz der Zukunft: 5G im BSI IT-Grundschutz Kontext“. Außerdem stehen aktuelle Entwicklungen und Neuheiten im IT-Grundschutz im Fokus. Die Veranstaltung beginnt um 9.30 Uhr, der Eintritt ist frei. Allerdings ist die Zahl der Teilnehmerinnen und Teilnehmer begrenzt – also sichern Sie sich schnell einen Platz.

Infos des BSI zum IT-Grundschutz-Tag

Formular zur Anmeldung

Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag.

10 Basistipps für mehr Sicherheit in Ihren digitalen Alltag

Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten

Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn weiter