bei Computer-Problemen - DIREKT die Profis rufen: 02429 909-904
 

IT-Nachrichten für Düren und Umgebung:
Sicherheitsbericht vom 12.04.2018




bsi

Liebe Leserin, lieber Leser,

unsere Welt wird immer vernetzter. Auf der diesjhrigen Hannover Messe vom 23. bis 27. April werden viele Neuigkeiten rund um Industrie 4.0 prsentiert. Auch in unserem Privatleben halten intelligente Gerte immer mehr Einzug. Das beginnt mit dem Smart Home und geht bis hin zu am Krper getragenen Mini-Computern, den Wearables. Die smarten Technologien bringen zwar viele neue, spannende Funktionen, aber eben auch einige Risiken mit sich. Mit welchen Fragen sich das BSI unter anderem im Kontext der Industrie 4.0 auseinandersetzt und wie vernetzte Gerte dort, ebenso wie im intelligenten Zuhause, abgesichert werden knnen, erfahren Sie whrend der Messe in Halle 8 am Stand C13 des BSI in Halle 8. Mehr zu aktuellen Gefahren im WWW, was Sie dagegen tun knnen und welche Updates Sie jetzt vornehmen sollten, lesen Sie der aktuellen Ausgabe unseres Newsletters.

Wir wnschen Ihnen eine spannende Lektre!

Ihr Brger-CERT-Team


----------------------------------------------------
Strenfriede


1. Backdoor: Apple Schadsoftware stiehlt Daten

Aktuell versenden Cyber-Kriminelle per E-Mail mit einem Schadcode infizierte Word-Dokumente. Aktiviert man die Makros im beigefgten Word-Dokument auf einem Mac-Rechner, wird ber eine ausgenutzte Backdoor der Schadcode aktiv und greift Daten ber das System ab, bertrgt diese verschlsselt an einen Befehlsserver und folgt dessen Anweisungen. Es werden allerdings nur Mac-Rechner infiziert, auf denen die Programmiersprache Perl installiert ist. ZDNet zufolge gibt sich der Absender der Datei als die vietnamesische Organisation HDMC aus. Der Schadcode ist in der Lage, die Macs langfristig zu kompromittieren, zu berwachen und Daten abzugreifen.

Da es keine Seltenheit ist, dass Betrger ber E-Mail-Anhnge versuchen, Schadsoftware auf Rechnern einzuschleusen, sollten Sie im Umgang mit E-Mails stets vorsichtig sein. Wenn Sie sich nicht sicher sind, ob es sich um eine serise Nachricht handelt, knnen Sie beispielsweise ber das Internet den Absender recherchieren und nachhaken. Weitere Tipps zum Erkennen von unechten E-Mails: (siehe Hyperlink)

Zum Beitrag von ZDNet: Trend Micro warnt vor Word-Dateien mit Mac-Backdoor: (siehe Hyperlink)


2. Hack: Malware in Online Shop-Plattformen geschleust

Betrgern ist es ber einen Brute-Force-Angriff mit Standard-Passwrtern gelungen, sich unberechtigten Zugriff auf mehr als 1.000 Online Shops zu verschaffen, die auf der E-Commerce-Software Magento basieren. Bei dieser Methode werden einfache Passwrter automatisiert und systematisch ausprobiert, um Accounts zu hacken. ber die geknackten Administratorkonten der Online-Shops spielten sie Schadsoftware ein, mit der sie die Kreditkartendaten von Kundinnen und Kunden stehlen konnten, berichtet Heise Security. Zudem wurden Nutzerinnen und Nutzer auf Phishing-Webseiten umgeleitet.

Werden Sie aufmerksam, wenn Sie Benachrichtigungen ber angebliche Bestellungen in Online-Shops erhalten oder fremde Buchungen auf Ihrer Kreditkartenabrechnung entdecken, und wenden sich an den jeweiligen Dienstleister. Auerdem ist es empfehlenswert, sichere Passwrter zu verwenden und diese regelmig zu verndern. Wie Sie ein sicheres Passwort erstellen? Unsere Tipps finden Sie unter der Rubrik "Passwrter": (siehe Hyperlink)

Zum Artikel von Heise Security: Mindestens 1000 gehackte Shops mit Malware entdeckt: (siehe Hyperlink)


3. Social Media: Basisschutz im Umgang mit Facebook und Co.

Der aktuelle Facebook-Fall, bei dem weltweit Millionen Nutzerdaten ber eine heruntergeladene App an eine Dritte gelangten und ausgewertet wurden, macht deutlich, dass Datensparsamkeit in Online-Profilen grundstzlich ratsam ist. Einem Bericht von t3n zufolge sollen hierzulande etwa 310.000 Facebook-Profile betroffen sein. Um einem Missbrauch der eigenen Daten vorzubeugen, sollten Sie sich genau berlegen, welche Informationen Sie in sozialen Netzwerken teilen. In unseren zehn Tipps auf BSI fr Brger erfahren Sie, welche Risiken Facebook & Co. mit sich bringen und wie Sie soziale Netzwerke sicher nutzen knnen: (siehe Hyperlink)

Zur Meldung von t3n: Die wichtigsten Antworten zum Facebook-Datenskandal: (siehe Hyperlink)


4. Sicherheitslcke: Wenn die Uhr zur "Wanze" wird

In der GPS-Tracking-Smartwatch Paladin des Herstellers Vidimensio klafften ber einen lngeren Zeitraum Sicherheitslcken, die jetzt geschlossen wurden, wie Heise Security schildert. ber diese war es mglich, die Uhrtrger abzuhren und zu verfolgen. Mittels Webanfrage ohne Passworteingabe oder Anmeldung konnten Angreifer aus dem Internet unbemerkt eine beliebige Telefonnummer anrufen. Der Angerufene konnte dann hren, was in der Umgebung der Uhr geschieht. Wenn Sie eine Paladin-Smartwatch besitzen, sollten Sie umgehend das nun verfgbare Update installieren. Immer wieder treten bei smarten Gerten aufgrund von fehlenden Authentifizierungen Datenschutz-Lcken auf. Dadurch haben Cyber-Kriminelle unter anderem die Mglichkeit, die anfallenden Daten auszuwerten und beispielsweise Bewegungsprofile zu erstellen. Deshalb sollten Sie nur Wearables verwenden, die eine entsprechende IT-Sicherheit gewhrleisten. Dazu sind auch regelmige Updates unabdingbar. Wenn dies herstellerseitig nicht gegeben ist, sollten Sie auf die Nutzung des Gertes verzichten. Hufig ist bei smarten Gerten zwischen Komfort und Nutzen sowie Aspekten der Sicherheit abzuwgen. Einige Hilfestellungen dazu geben die Tipps zur Sicherheit vernetzter Gerte: (siehe Hyperlink)

Zum Bericht von Heise Security Nach ct-Recherchen: Tracking-Smartwatch jetzt ohne Abhrfunktion: (siehe Hyperlink)


5. CEO-Betrug: Akutes Risiko fr Mitarbeiter und Unternehmen

Aktuell versuchen Betrger wieder verstrkt, Mitarbeiterinnen und Mitarbeiter in zahlreichen Unternehmen durch geflschte E-Mails dazu zu bringen, Geldbetrge vom Firmenkonto zu berweisen. Laut Heise Security geben sich die Kriminellen als Chef oder anderer Vorsetzer aus. An die notwendigen Informationen gelangen die Betrger, indem sie per Social Engineering so viele Informationen wie mglich ber ein Unternehmen und einzelne Mitarbeiter zusammentragen. Dadurch wirken die E-Mails oft tuschend echt. Um nicht Opfer einer solchen Betrugsmasche zu werden, sollten Sie stets mit gesundem Menschenverstand agieren und auergewhnliche Nachrichten und Auftrge hinterfragen. In Unternehmen sollten insbesondere Mitarbeiter mit Finanzverantwortung besonders achtsam sein. Unser Drei-Sekunden-E-Mail-Check weit Sie auf kritische Punkte hin. (siehe Hyperlink)

Zum Artikel auf Heise Security: CERT Bund warnt gegenwrtig vor der "Chef-Masche": (siehe Hyperlink)


6. Virenschutz: Android-Trojaner stiehlt Messenger-Daten

Sicherheitsexperten haben eine Android-Malware aufgesprt, die Daten aus Messenger-Apps abgreift. Im Visier des Trojaners sind folgende Apps: Tencent WeChat, Weibo, Voxer Walkie Talkie Messenger, Telegram Messenger, Gruveo Magic Call, Twitter, Line, Coco, BeeTalk, TalkBox Voice Messenger, Viber, Momo, Facebook Messenger und Skype, wie chip.de berichtet. Nutzerinnen und Nutzer knnen sich davor schtzen, indem sie Virenschutz-Programme verwenden. Diese sind auch fr mobile Gerte verfgbar, insbesondere solche, die Android-basiert sind. Denn gerade das Betriebssystem Android ist immer wieder anfllig fr Malware, auch in Deutschland. Grtes Problem dabei ist die fehlende Aktualitt der Betriebssysteme von Android-Smartphones. Um sich zu schtzen, sollten Sie deshalb stets darauf achten, dass Ihr Android-Smartphone auf dem aktuellen Stand ist und Apps immer nur aus dem offiziellen Google Playstore herunterladen. Zudem sollten Sie dafr sorgen, dass ein Basisschutz vorhanden ist, beispielsweise in Form von einer Antiviren-Lsung. Erfahren Sie auf BSI fr Brger mehr zu Android Malware und wie Sie ihr vorbeugen knnen: (siehe Hyperlink)

Zum Bericht auf chip.de: Android-Trojaner spht Messenger aus: (siehe Hyperlink)


----------------------------------------------------
Schutzmanahmen


7. Microsoft: Zahlreiche Programme erhalten Sicherheitsupdates

Microsoft hat Schwachstellen in den Browsern Edge und Internet Explorer sowie in den Office Produkten und dem Betriebssystem Windows geschlossen. Die Sicherheitslcken werden zum Teil als riskant eingestuft. Welche Programmversionen jeweils betroffen sind und weiterfhrende Informationen zur Art der Schwachstellen knnen Sie den einzelnen Sicherheitshinweisen des Brger-CERT entnehmen. Wichtig ist, dass die Updates so bald wie mglich installiert werden.

Microsoft Internet Explorer: (siehe Hyperlink)
Microsoft Edge: (siehe Hyperlink)
Microsoft Office: (siehe Hyperlink)
Microsoft Windows - mehrere Schwachstellen: (siehe Hyperlink)
Microsoft Windows - weitere Schwachstelle: (siehe Hyperlink)


8. Digital Editions: Schutz fr den e-Reader verfgbar

Adobe hat ein Sicherheitsupdate fr seinen e-Reader Adobe Digital Editions verffentlicht. Wer das Programm bis einschlielich Version 4.5.7 und frher nutzt, sollte es mglichst zeitnah auf die gepatchte Version 4.5.8 aktualisieren, unabhngig davon, ob es auf einem Desktop-Rechner oder Mobilgert eingesetzt wird. Das Sicherheitsupdate ist fr Macintosh, Windows, iOS und Android verfgbar. Aufgrund einer Schwachstelle in den frheren Versionen kann nicht ausgeschlossen werden, dass Unberechtigte an gespeicherte Informationen des Programms gelangen. Im Brger-CERT Sicherheitshinweis finden Sie alle ntigen Informationen zur Installation: (siehe Hyperlink)


9. Malware Protection Engine: Schwachstelle im Herzstck von Microsofts Sicherheitsprodukten

Die Microsoft Malware Protection Engine weist eine Sicherheitslcke auf, die es einem Angreifer ermglicht, beliebigen Programmcode mit Administratorrechten auszufhren. Das Programm ist Bestandteil verschiedener Microsoft-Sicherheitsprodukte und dient dazu, Viren und Spyware zu scannen und zu entfernen. Um sich zu schtzen, sollten Sie umgehend die Sicherheitsupdates des Herstellers installieren. Weitere Informationen finden Sie im Warnhinweis des Brger-CERT: (siehe Hyperlink)


10. Apple: Sicherheitsupdates fr mehrere Produkte verfgbar

Die Betriebssysteme Apple iOS und Mac OS X sowie das Multimedia-Verwaltungsprogramm iTunes weisen mehrere Schwachstellen auf. Damit ist es Cyber-Kriminellen unter anderem mglich das System zu blockieren oder Sicherheitsvorkehrungen auszutricksen. Wir empfehlen Ihnen die zeitnahe Installation der vom Hersteller zur Verfgung gestellten Sicherheitsupdates. Die jeweiligen Links zum Download sowie weiterfhrende Informationen zu den entsprechenden Schwachstellen stehen in den einzelnen Sicherheitshinweisen des Brger-CERT:

Apple iOS: (siehe Hyperlink)
Apple Mac OS X: (siehe Hyperlink)
Apple iTunes: (siehe Hyperlink)


11. Android: Sicherheitslcken gefhrden Gerte

Die Google Android Versionen 6.0, 6.01, 7.0, 7.1.1, 7.1.2, 8.0 und 8.1 weisen mehrere Sicherheitslcken auf, die es ermglichen, beliebigen Programmcode auf einem Gert auszufhren. Zudem knnen aufgrund der Schwachstellen Daten ausgelesen, das Gert sowie darauf installierte Apps zum Absturz gebracht werden. Um die Sicherheitslcken zu schlieen, sollten Sie die Sicherheitsupdates des Herstellers zeitnah einspielen: (siehe Hyperlink)


----------------------------------------------------
Prisma


12. Internet der Dinge: Smarte Gerte sicher vernetzen

Immer mehr Nutzerinnen und Nutzer setzen im Alltag auf smarte Gerte. Sie lassen sich mit anderen intelligenten Gerte im Internet der Dinge vernetzen und knnen unser Leben dadurch komfortabler machen. So sorgt intelligente vernetzte Haustechnik im Smart Home beispielsweise dafr, dass sich die Heizung zu einem vorgegebenen Zeitpunkt einschaltet oder sich die Rolllden automatisch schlieen. Allerdings bringt das Internet der Dinge auch einige Risiken mit sich. Wie Nutzerinnen und Nutzer die Vorteile von IoT-Gerten sicher nutzen knnen, erfahren Sie auf BSI fr Brger: (siehe Hyperlink)


13. Daten in der Cloud: Sensible Informationen frei zugnglich

Im Internet sind rund 1,5 Milliarden Dokumente mit sensiblen Informationen aufgrund von falsch konfigurierten Servern und Cloud-Diensten frei zugnglich. Dazu gehren Gehaltsabrechnungen, Steuerbescheide, aber auch medizinische Daten, wie auf ZDNet zu lesen ist. Demnach ist es jedem mit geringen technischen Kenntnissen mglich, auf die sensiblen Daten zuzugreifen. Neben Informationen von privaten Anwenderinnen und Anwendern lassen sich auch Patente einfach abgreifen.
"Die hohe Anzahl und Sensibilitt der ffentlich zugnglichen Daten ist erschreckend. Der Bericht zeigt erneut, wie sorglos manche Dienstleister mit sensiblen Daten ihrer Kunden umgehen", betonte BSI-Prsident, Arne Schnbohm. "Unternehmen, die mit sensiblen Daten agieren, mssen ihrer Verantwortung zum Schutz dieser Daten endlich gerecht werden. Anbieter von Online-Dienstleistungen wie Cloud- oder Server-Dienstleistungen mssen es ihren Kunden durch entsprechende Vorkonfigurationen noch einfacher machen, die grundlegenden Sicherheitsprinzipien einzuhalten. Wir stehen erst am Anfang der Digitalisierung und mssen begreifen, dass Informationssicherheit die Voraussetzung fr ihr Gelingen ist." Allen Anwenderinnen und Anwendern wird empfohlen, die IT-Sicherheit bei der Nutzung von Cloud-Diensten auch selbst im Blick zu behalten: (siehe Hyperlink)

Zur Meldung auf ZDNet: Falsch konfigurierte Server und Cloud-Dienste geben 1,5 Milliarden vertrauliche Daten preis: (siehe Hyperlink)

SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)









Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de