Liebe Leserinnen und Leser,
wann haben Sie zuletzt einen Blick auf die aktuelle Bundesliga-Tabelle geworfen, im Internet neue Schuhe bestellt, Bargeld abgehoben, Ihre Jogging-Strecke getrackt oder eine Arztpraxis besucht?
Dieser Newsletter könnte dafür sorgen, dass Sie dabei in Zukunft überraschend häufig ans Thema Cybersicherheit denken werden. Auch in Bezug auf Viren und Trojaner, die anstehende Europawahl und den Smart-TV im Wohnzimmer liefern die folgenden Meldungen jede Menge Impulse. Ein aktuelles News-Update für alle, die Lust darauf haben, sich gut informiert durch den digitalen Alltag zu bewegen und persönliche Daten zuverlässig vor Cyberkriminellen zu schützen.
Eine aufschlussreiche Lektüre wünscht Ihnen
Larissa Hänzgen / Team BSI
Inhaltsverzeichnis
In den Schlagzeilen-----------------
1. Cyberangriffe auf Gesundheitseinrichtungen 2. KI ermöglicht Phishing in "nie dagewesener Qualität"
3. Cyberattacke auf traditionsreiche Schuhkette 4. Kurz notiert
Up-to-date-----------------
5. Keine Updates mehr für Google Fit
6. Schwachstelle bei CrushFTP
7. Aktuelle Warnmeldungen des BSI
Gut zu wissen-----------------
8. SPD im Visier von russischer Gruppe APT28?
9. Digitale Gesundheitsanwendungen und ihre Datensicherheit
Praktisch sicher-----------------
10. So schützen Sie Ihren Smart-TV
11. Höchste Zeit für Passkeys
12. Schutz vor Viren, Würmern und Trojanern
Was wichtig wird-----------------
13. Soziale Medien und ihr Einfluss auf die Europawahl
Übrigens-----------------
14. BSI verschärft Anforderungen an E-Mail-Sicherheitslösungen 15. Das war der 20. IT-Sicherheitskongress
----------------------------------------------------
In den Schlagzeilen
1. Cyberangriffe auf Gesundheitseinrichtungen
Kliniken, Arztpraxen und andere medizinische Einrichtungen geraten immer wieder ins Visier von Hackern. Aktuell sind die Universitätsmedizin Mainz, die Zentrale der Katholischen Jugendfürsorge der Diözese Augsburg (KJF Augsburg) sowie die Kassenärztliche Vereinigung Hessen (KVH) betroffen. Im Fall Mainz wurden E-Mail-Adressen von 280.000 Personen erbeutet und im Darknet veröffentlicht. In Augsburg sind nach einem illegalen Zugriff auf Teile der IT-Infrastruktur u.a. Personal-, Finanz-, Patienten- und Gesundheitsdaten von 18 zugehörigen und drei ehemals zur KJF gehörenden Einrichtungen und Kliniken abgegriffen worden. Bei der KVH wurden Heise online zufolge im Rahmen eines Phishing-Angriffs die E-Mails eines Mitarbeitenden aus dem Beratungscenter entwendet. Quellen (u.a.): (Hyperlink aufrufen) sowie (Hyperlink aufrufen)
Der Fall der Kassenärztlichen Vereinigung Hessen zeigt, wie Angreifende den "Faktor Mensch" als schwächstes Glied der Sicherheitskette ausnutzen. Hier erfahren Sie mehr zum sogenannten Social Engineering: (Hyperlink aufrufen)
2. KI ermöglicht Phishing in "nie dagewesener Qualität"
Der Umfang, die Geschwindigkeit und Schlagkraft von Angriffen im digitalen Raum nehmen durch Künstliche Intelligenz (KI) zu: Mittels KI lassen sich spielend leicht hochwertige Phishing-Nachrichten erstellen. Sprachmodelle sind bereits heute in der Lage, einfache Schadprogramme zu schreiben. Und KI kann weitere Teile eines Cyberangriffs automatisieren. Doch auch die Cyberabwehr profitiert von der Technologie, etwa bei der Codegenerierung, bei der Analyse von Quellcode auf Schwachstellen, bei der Detektion von Malware oder bei der Erstellung von Lagebildern zur Abwehr von Cyberbedrohungen. Quelle (u.a.): (Hyperlink aufrufen)
Einen Überblick über die Chancen und Risiken von KI in Sachen Cybersicherheit hat das BSI im Rahmen eines aktuellen Forschungsbeitrags untersucht: (Hyperlink aufrufen)
Sie möchten mehr über den Einsatz, das Training und die Schwachstellen von KI erfahren? Das BSI bringt Ihnen die Technologie näher: (Hyperlink aufrufen)
3. Cyberattacke auf traditionsreiche Schuhkette
Ein Cyberangriff hat die IT-Systeme des 1905 gegründeten Schuhhändlers Salamander lahmgelegt. Die Probleme bestehen bereits seit Mitte April 2024. Mittlerweile konnten die Geschäftsprozesse in den rund 60 Filialen wieder in Gang gebracht werden; der Onlineshop ist jedoch weiterhin nicht erreichbar. Die Startseite informiert Nutzende lediglich darüber, dass "mit Hochdruck" an der Behebung der Probleme gearbeitet werde, ein konkretes Zeitfenster wird nicht benannt. Quelle (u.a.): (Hyperlink aufrufen)
Was können Verbraucherinnen und Verbraucher tun, um persönliche Daten beim Onlineshopping bestmöglich zu schützen? Hier erfahren Sie mehr: (Hyperlink aufrufen)
4. Kurz notiert
• Datenleck bei der Lufthansa: Nutzende konnten im April 2024 via Website und App kurzzeitig auf die Buchungsdaten fremder Fluggäste zugreifen. Auch die Airlines Air Dolomiti und Swiss waren betroffen. Die Fehlkonfiguration wurde zwar rasch behoben – doch im Fall der Air Dolomiti wurden die Daten durch Apples KI-Assistent Siri fälschlicherweise in fremde Kalender-Apps importiert. Vereinzelt tauchten unbekannte Buchungen inklusive der damit verbundenen Daten auch Wochen später noch in den Kalendern von anderen Nutzenden auf, obwohl die Lufthansa das Datenleck längst geschlossen hatte. Quelle (u.a.): (Hyperlink aufrufen)
• Bargeld adé? Schweden rudert zurück: Das Land galt lange als Vorreiter beim digitalen Zahlungsverkehr. Doch bereits seit 2020 deutet sich eine Kehrtwende an. Nun betont auch Schwedens Nationalbank, die Riksbank, in ihrem Jahresbericht 2024 den bleibenden Stellenwert von Bargeld. Als Grund führt das Finanzinstitut Sicherheitsbedenken an, da der digitale Zahlungsverkehr etwa durch Cyberattacken unterbrochen werden könne.
(Hyperlink aufrufen)
• Noch immer machen sich viele Nutzende für Cyberkriminelle leicht angreifbar, indem sie auf besonders naheliegende Passwörter zurückgreifen. Auch Fußballfans bilden dabei keine Ausnahme. Im Gegenteil: Eine von der Telekom veröffentlichte Liste mit Passwörtern, die abgegriffen und im Darknet veröffentlicht wurden, liest sich fast wie eine aktuelle Fan-Statistik: Das Passwort "Bayer04Lev" ist immer beliebter, "FCBayern" ist hingegen aus den Top 40 geflogen und "Schalke04" führt das Passwort-Negativranking an. Übertroffen nur vom zeit- und vereinslosen "Passwort1". Quelle (u.a.): (Hyperlink aufrufen)
----------------------------------------------------
Up-to-date
5. Keine Updates mehr für Google Fit
Die Aktivitätstracking-App von Google bekommt keine neuen Funktionen und wurde zuletzt auch nicht mehr aktualisiert. Grund ist der Umstieg Googles auf Fitbit-Apps sowie auf die Android Health Plattform. Um Sicherheitsrisiken durch fehlende Updates zu vermeiden, empfiehlt sich der Umstieg auf alternative Fitnesstracking-Angebote. Quelle (u.a.): (Hyperlink aufrufen)
Sie nutzen Wearables, um Ihre Herzfrequenz, Ihren Schlaf oder Ihre Schrittzahl zu kontrollieren? So gewährleisten Sie dabei die Sicherheit Ihrer Daten: (Hyperlink aufrufen)
6. Schwachstelle bei CrushFTP
Eine Schwachstelle in der Datenübertragungssoftware CrushFTP ermöglicht es Angreifenden, die komplette Kontrolle über einen verwundbaren CrushFTP Server zu erlangen. Die Sicherheitslücke wird bereits aktiv ausgenutzt und stellt eine massive Bedrohung für die Datenvertraulichkeit dar. In den Versionen von CrushFTP 10.7.1 oder 11.1.0 sind diese Schwachstelle behoben; es empfiehlt sich ein rasches Update. (Hyperlink aufrufen)
7. Aktuelle Warnmeldungen des BSI
Das BSI informiert auf seiner Webseite regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Informationen sowie Tipps zum Umgang damit. Hier finden Sie alle Hinweise dazu, wo derzeit Lücken bei der IT-Sicherheit auftauchen:
(Hyperlink aufrufen)
----------------------------------------------------
Gut zu wissen
8. SPD im Visier von russischer Gruppe APT28?
Im Sommer vergangenen Jahres wurden die E-Mail-Konten der SPD-Parteizentrale gehackt. Microsoft-Sicherheitslücken hatten den Angriff möglich gemacht. In der vergangenen Woche wurden nun die Ermittlungen der Bundesregierung zum Fall abgeschlossen. Das Ergebnis: Hinter der Attacke steht die Gruppe APT28, die vom russischen Geheimdienst GRU gesteuert wird. Der deutsche Verfassungsschutz stuft APT28 als einen der "aktivsten und gefährlichsten Cyberakteure weltweit" ein; der Angriff auf die SPD soll Teil einer europaweiten Angriffswelle gewesen sein. Quelle (u.a.): (Hyperlink aufrufen)
Hier erfahren Sie mehr über die sogenannten APT-Gruppen, ihre Ziele und Aktivitäten in Deutschland: (Hyperlink aufrufen)
9. Digitale Gesundheitsanwendungen und ihre Datensicherheit
Im Jahr 2020 wurden die sogenannten "Digitalen Gesundheitsanwendungen" (DiGA) eingeführt, um Versicherte dabei zu unterstützen, Krankheiten zu erkennen, zu überwachen, zu behandeln oder zu lindern. Die kostenpflichtigen Apps und Browser-Angebote werden von Ärztinnen und Ärzten ebenso verschrieben wie beispielsweise Medikamente. Damit sich Patientinnen und Patienten bei der Nutzung auf den Schutz ihrer besonders sensiblen Gesundheitsdaten verlassen können, hat das BSI die „Anforderungen an die Cybersicherheit von Anwendungen im Gesundheitswesen“ überarbeitet und veröffentlicht: (Hyperlink aufrufen)
----------------------------------------------------
Praktisch sicher
10. So schützen Sie Ihren Smart-TV
Smarte Fernsehgeräte sind ans Internet angeschlossen und bieten – wie alle Komponenten im sogenannten "Internet der Dinge" – einen potenziellen Angriffspunkt für Cyberkriminelle. So wurde beispielsweise vor wenigen Tagen bekannt, dass eine Sicherheitslücke bei Android-TVs Hackern den Zugriff auf persönliche, im Google-Konto hinterlegte Daten wie E-Mails oder Bilder erlauben könnte. Quelle (u.a.): (Hyperlink aufrufen) Um ein Gerät auszuspähen oder es mit Schadsoftware zu infizieren, ist meist mindestens eine Schwachstelle erforderlich. Mit regelmäßigen Sicherheitsupdates, der Verwendung sicherer Apps oder der Deaktivierung unnötiger Dienste und Funktionen können Sie Angreifenden zuvorkommen und Ihr smartes Heimnetzwerk aktiv schützen.
Wie das im Einzelnen gelingt, erfahren Sie hier: (Hyperlink aufrufen)
In der neuen IT-Sicherheitskampagne zeigt das BSI, wie man smarte Technik #einfachaBSIchern kann: (Hyperlink aufrufen)
11. Höchste Zeit für Passkeys
Am 1. Mai war Welt-Passwort-Tag. Doch Grund zum Feiern gibt es nicht, denn passwortgesicherte Zugänge sind gefährdet. Gerade erst vermeldete das auf Identitäts- und Zugriffsmanagement spezialisierte Unternehmen Okta eine stark steigende Zahl von Brute-Force-Angriffen. Quelle (u.a.): (Hyperlink aufrufen) Bei dieser Angriffsmethode probieren Cyberkriminelle so lange verschiedene Passwörter aus, bis das richtige Kennwort getroffen wird. Nicht nur im Falle von Fußballfans lassen sich also Passwörter, wie in unserer Rubrik „Kurz notiert“ angedeutet, allzu leicht knacken oder erraten. Die gute Nachricht: Es gibt längst etwas Sichereres als Passwörter. Zeit für einen Welt-Passkey-Tag!
Wieso, weshalb, warum? Alles Wissenswerte zum Thema Passkeys erfahren Sie unter diesem Link (Hyperlink aufrufen) und in unserem Podcast "Update verfügbar", Folge #40: (Hyperlink aufrufen).
12. Schutz vor Viren, Würmern und Trojanern
Wie schützt man sich vor Schadsoftware? Was tun, wenn der eigene Rechner infiziert oder gespeicherte Dateien in falsche Hände gelangt sind? Was können Antivirenprogramme leisten? All das und viel mehr verrät in der aktuellen Ausgabe von "Update verfügbar" Letitia Kernschmidt vom BSI.
Hier geht’s direkt zur neuen Folge #42: (Hyperlink aufrufen)
Sie mögen’s lieber schwarz auf weiß? Auch auf unserer Website können Sie in aller Ruhe nachlesen, wie sich Würmer von Viren unterscheiden, was Schadsoftware genau anrichten kann oder warum die sogenannte Backdoor-Funktion besonders tückisch ist: (Hyperlink aufrufen)
----------------------------------------------------
Was wichtig wird
13. Soziale Medien und ihr Einfluss auf die Europawahl
In genau einem Monat, am 9. Juni 2024, findet die Europawahl statt. Derzeit prüft die Europakommission, inwieweit Meta, TikTok und X den politischen Diskurs möglicherweise unrechtmäßig beeinflussen, etwa durch die Verbreitung von Falschinformationen, aber auch durch das Einschränken politischer Inhalte. In jedem Fall sollten Nutzende in den kommenden Wochen besonders wachsam sein.
Quelle (u.a.): (Hyperlink aufrufen)
Wie Sie sich und andere vor Falschinformationen schützen, erfahren Sie unter anderem hier: (Hyperlink aufrufen)
Sie sind selbst politisch aktiv? Das BSI gibt Empfehlungen im Umgang mit den sozialen Medien: (Hyperlink aufrufen)
----------------------------------------------------
Übrigens
14. BSI verschärft Anforderungen an E-Mail-Sicherheitslösungen
Der sichere E-Mail-Transport schützt vor unberechtigtem Mitlesen und vor Manipulation persönlicher, aber auch offizieller Nachrichtenverläufe. Insbesondere Landes- und Bundesbehörden sowie Kommunalverwaltungen und kommunale Betriebe müssen auf sichere E-Mail-Kommunikation achten, um u.a. die Daten von Bürgerinnen und Bürgern zu schützen. Vor diesem Hintergrund hat das BSI seine Empfehlungen und Richtlinien in Bezug auf die E-Mail-Sicherheit präzisiert und verschärft: (Hyperlink aufrufen)
Sie haben als Verbraucherin bzw. Verbraucher Fragen zur sicheren Nutzung von E-Mail-Programmen und zum Schutz Ihrer Kommunikation? Hier erhalten Sie alle wichtigen Informationen: (Hyperlink aufrufen).
15. Das war der 20. IT-Sicherheitskongress
Mit 10.450 Teilnehmenden richtete das BSI den 20. IT-Sicherheitskongress am 7. und 8. Mai vor einem digitalen Rekordpublikum aus. Das Motto des Kongresses "Cybernation Deutschland: Kooperation gewinnt" unterstrich deshalb, dass IT-Sicherheit nicht im Alleingang möglich ist. Das gemeinsame Ziel: Ein einheitlich hohes Schutzniveau in Deutschland und Europa. Alle Fachvorträge und Diskussionen sind noch bis zum 9. Juni 2024 online zugänglich.
Zur Rückschau in der Pressemitteilung des BSI: (Hyperlink aufrufen)
Inhalte nachträglich anschauen sowie die Kongressdokumentation: (Hyperlink aufrufen)
SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)
Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de
