Liebe Leserinnen und Leser,
wir hoffen, Sie sind gut ins neue Jahr gerutscht. Vielleicht hat sich der eine oder die andere von
Ihnen vorgenommen, dieses Jahr dem Thema Cybersicherheit mehr Aufmerksamkeit zu schenken? Dann sind
Sie hier genau richtig!
In den "Schlagzeilen" informieren wir Sie über unsere gemeinsame Publikation mit der französischen
Behörde ANSSI, in der die Gefahren videobasierter Identifikationssysteme beleuchtet werden und
verraten Ihnen das beliebteste unsichere Passwort 2023.
Außerdem berichten wir in der Rubrik "Praktisch Sicher" darüber, wie Sie öffentliche Hotspots
möglichst sicher nutzen können und haben zwei neue Podcastfolgen für Sie zum Start ins neue Jahr.
Viel Spaß beim Lesen und einen guten Start ins neue Jahr wünscht Ihnen
Larissa Hänzgen / Team BSI
Inhaltsverzeichnis
In den Schlagzeilen-----------------
1. Ubisoft im Fokus: Untersuchung eines möglichen Cyberangriffs auf die Sicherheitssystem
2. BSI und ANSSI veröffentlichen Publikation zu Remote Identity Proofing
3. Zwei Milliarden US-Dollar in Kryptowährungen gestohlen
4. Professionalisierung der Cyberkriminalität in 2024: Drei Prognosen
5. Neue Schwachstelle im SMTP-Protokoll entdeckt: SMTP Smuggling hebt Fälschung von Absenderadressen auf neues Niveau
6. Verbraucherzentrale warnt vor Phishing-Mails an Bankkunden
7. 123456789 das beliebteste unsichere Passwort des Jahres 2023
8. Kurz notiert
Up-to-date-----------------
9. FritzBox-Warnung: 17 Router erhalten keine Updates mehr – Sicherheitsrisiko
10. Huawei: Software-Update für drei ältere Smartphones
11. Aktuelle Warnmeldungen des BSI
Gut zu wissen-----------------
12. Zahl der Woche: 68
13. Podcast "Update Verfügbar": IT-Sicherheitskennzeichen - mehr Vertrauen in IT-Produkte
14. CYBERSNACS # Folge 24: lets talk KI: GameChanger ChatGPT
Praktisch sicher-----------------
15. Kann ich öffentlichen Hotspots vertrauen?
Was wichtig wird-----------------
16. Noch mehr Informationen und Anleitungen
----------------------------------------------------
In den Schlagzeilen
1. Ubisoft im Fokus: Untersuchung eines möglichen Cyberangriffs auf die Sicherheitssystem
Das Videospielunternehmen Ubisoft prüfte einen potenziellen Cyberangriff auf seine Sicherheitssysteme. Das Sicherheitsforschungskollektiv vx-underground veröffentlichte Screenshots von scheinbar internen Diensten des Unternehmens. In einem Tweet berichtete vx-underground, dass ein unbekannter Bedrohungsakteur sich am 20. Dezember Zugriff auf das interne Firmennetz von Ubisoft verschafft habe.
BleepingComputer über den möglichen Cyberangriff auf Ubisoft: (Hyperlink aufrufen) ENGL
PCGH über den vermeintlichen Vorfall: (Hyperlink aufrufen)
2. BSI und ANSSI veröffentlichen Publikation zu Remote Identity Proofing
Das BSI und die französische Behörde für IT-Sicherheit, Agence Nationale de la Sécurité des Systèmes d‘Information (ANSSI), haben gemeinsam eine Publikation zum Thema "Remote Identity Proofing" veröffentlicht. Die Publikation beleuchtet die Gefahren und möglichen Angriffsvektoren, die bei videobasierten Identifikationsprozessen auftreten können. In einer zunehmend digitalisierten Welt, in der Dienste vermehrt online genutzt werden, wird die Identifizierung durch videobasierte Verfahren komplexer und birgt Risiken, wie Identitätsdiebstahl. BSI und ANSSI plädieren für länderübergreifende Harmonisierung, Standards und Zertifizierung, um die Sicherheit solcher Verfahren zu erhöhen.
Hier finden Sie den Link zur Publikation: (Hyperlink aufrufen)
3. Zwei Milliarden US-Dollar in Kryptowährungen gestohlen
Sicherheitsanalysen von De.Fi und TRM Labs zeigen, dass im Jahr 2023 rund 2 Milliarden US-Dollar durch Kryptowährungs-Hackerangriffe entwendet wurden. Dies verdeutliche die anhaltenden Schwachstellen und Herausforderungen im dezentralen Finanzökosystem. Obwohl die Schadenssumme hoch ist, hat sie sich im Vergleich zu den Vorjahren fast halbiert. Die zehn größten Hacks machten fast 70 Prozent der gestohlenen Gelder aus.
Golem berichtet über die Verluste durch Hacks: (Hyperlink aufrufen)
4. Professionalisierung der Cyberkriminalität in 2024: Drei Prognosen
Basierend auf mehr als einer Milliarde ausgewerteter Datenpunkte prognostizieren die Elastic Security Labs drei Trends für die Cyberkriminalität im Jahr 2024:
1. Angreifende nutzen verstärkt Open Source.
2. Neben Open Source verwenden Angreifende Malware-as-a-Service (MaaS), um eigene Wissens- und Produktionslücken zu schließen.
3. Hackerinnen und Hacker manipulieren oder deaktivieren immer häufiger Sicherheitssensoren.
Hier finden Sie den Report von Elastic Global Threat: (Hyperlink aufrufen)
It-daily.net berichtet über den Report: (Hyperlink aufrufen)
5. Neue Schwachstelle im SMTP-Protokoll entdeckt: SMTP Smuggling hebt Fälschung von Absenderadressen auf neues Niveau
Die Sicherheitsforscherinnen und -forscher von SEC Consult haben eine Schwachstelle im Simple Mail Transfer Protocol (SMTP) identifiziert und sie als "SMTP Smuggling" bezeichnet. Durch geringfügig manipulierte Eingabedaten gelang es den Forscherinnen und Forschern, Mail-Absender zu fälschen und somit beispielsweise als Administrator oder Administratorin aufzutreten. Diese Eigenschaft umgeht herkömmliche Sicherheitsverfahren zur Erkennung von gefälschten Absendern, die unter Umständen versagen können und somit Phishing-Mails mit einem vertrauenswürdig erscheinenden Absender ermöglicht. Die Schwachstelle wurde bereits Ende Juli entdeckt und im Rahmen einer vertrauensvollen Offenlegung (responsible disclosure) mit Microsoft, Cisco und GMX geteilt. Einige Anbieter haben bereits reagiert. Wer jedoch das Cisco Secure E-Mail Gateway einsetzt, bleibt ohne manuelle Konfigurationsänderungen anfällig für SMTP Smuggling.
Heise Online über die Lücke im E-Mail-Protokoll: (Hyperlink aufrufen)
6. Verbraucherzentrale warnt vor Phishing-Mails an Bankkunden
Die Verbraucherzentrale warnt Kundinnen und Kunden der ING Bank, Deutsche Bank, Sparkasse und Comdirect vor betrügerischen Phishing-Mails, die aktuell im Umlauf sind. Inhaltlich geht es darin etwa um eine Zustimmung zu angeblich notwendigen vertraglichen Anpassungen, fehlende Datenbestätigungen sowie die Reaktivierung des photoTAN-Verfahrens. Die gefälschten E-Mails wirken auf den ersten Blick seriös, enthalten jedoch klare Anzeichen für Betrugsversuche. Empfängerinnen und Empfänger sollten auf fehlende persönliche Anrede, dubiose Absenderadressen und Einschüchterungstaktiken sowie vermeintlichen Zeitdruck achten. Die Verbraucherzentrale und das BSI raten dazu, keine persönlichen Informationen preiszugeben, Links nicht zu öffnen und im Zweifelsfall die eigene Bank direkt zu kontaktieren.
Die Warnung der Verbraucherzentrale: (Hyperlink aufrufen)
BSI über Schutz gegen Phishing: (Hyperlink aufrufen)
7. 123456789 das beliebteste unsichere Passwort des Jahres 2023
Aktuell kommt noch kaum ein Onlinedienst ohne Passwörter aus und mit jedem neuen Account steigt die Zahl der Passwörter, die man sich merken muss. Bei der Wahl eines Passwortes sind der eigenen Kreativität kaum Grenzen gesetzt. Dennoch vergeben viele Nutzerinnen und Nutzer einfache Passwörter, die sich leicht merken lassen, aber ebenso leicht zu knacken sind. Auch für das vergangene Jahr hat das Hasso Plattner Institut (HPI) wieder die zehn häufigsten geleakten Passwörter ausgewertet. Damit man sich nicht unzählige Passwörter merken muss oder in Verlegenheit gerät, einfache Passwörter zu vergeben, kann ein Passwort-Manager bei der Verwaltung helfen.
Zur Auswertung des HPI: (Hyperlink aufrufen)
Das BSI über sichere Passwörter: (Hyperlink aufrufen)
8. Kurz notiert
• Weihnachtliche IT-Ausfälle in drei deutschen Kliniken durch Ransomware: (Hyperlink aufrufen)
• Cyberangriff auf Easypark: Angreifende hatten Zugriff auf Kundendaten: (Hyperlink aufrufen)
• EZB testet IT-Sicherheit von Banken: Cyber-Stresstest der EZB soll Schwachstellen aufdecken: (Hyperlink aufrufen)
----------------------------------------------------
Up-to-date
9. FritzBox-Warnung: 17 Router erhalten keine Updates mehr – Sicherheitsrisiko
Die FritzBox des Herstellers AVM kann zum Sicherheitsrisiko werden, wenn sie nicht regelmäßig mit Updates versorgt wird. AVM hat 17 ältere Fritzbox-Modelle aus dem Support ausgeschlossen, sodass sie keine Firmware-Updates mehr erhalten. Ohne diese Updates sind die Router anfälliger für Hacker-Angriffe. Betroffene Modelle, darunter FRITZ!Box 7582, FRITZ!Box 7580 und FRITZ!Box 7360 sollten besser ausgemustert werden, um die Sicherheit des Netzwerks zu gewährleisten.
Hier finden Sie die vollständige Liste der betroffenen Modelle: (Hyperlink aufrufen)
Wegweiser kompakt: 8 Tipps für ein sicheres Heimnetzwerk: (Hyperlink aufrufen)
10. Huawei: Software-Update für drei ältere Smartphones
Huawei hat unerwartet Software-Updates für drei ältere Modelle veröffentlicht: Mate 20, Mate 20 Pro und P30 Pro. Obwohl das P30 Pro bereits vier Jahre alt ist, erhält es ein etwa 200 MB großes Update, das die Kommunikation in einigen Situationen verbessern soll. Nutzerinnen und Nutzer älterer Huawei-Smartphones sollten beachten, dass diese nicht mehr auf dem neuesten Stand bezüglich Sicherheitsupdates sind. Ein Wechsel zu einem neueren Smartphone-Modell, das weiterhin mit Sicherheitsupdates versorgt wird, kann eine Lösung sein.
GIGA berichtet über das Huawei-Update: (Hyperlink aufrufen)
11. Aktuelle Warnmeldungen des BSI
Das BSI informiert auf seiner Webseite regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Informationen sowie Tipps zum Umgang damit.
Das BSI-Portal erreichen Sie über: (Hyperlink aufrufen)
----------------------------------------------------
Gut zu wissen
12. Zahl der Woche: 68
Laut BSI-Cybersicherheitsmonitor 2023 halten 68 Prozent der Befragten Cybersicherheit beim Onlineshopping für besonders wichtig. Beim Onlinebanking sind es 87 Prozent. Wer im Internet einkauft, gibt viele sensible Daten, wie die Postadresse und Kreditkarteninformationen an den Onlineshop weiter. Wir haben deshalb zusammengefasst, woran Sie sichere Onlineshops erkennen.
So erkennen Sie sichere Online-Shops: (Hyperlink aufrufen)
13. Podcast "Update Verfügbar": IT-Sicherheitskennzeichen - mehr Vertrauen in IT-Produkte
Das IT-Sicherheitskennzeichen des BSI schafft Transparenz über die IT-Sicherheit vernetzter Geräte. Das Moderationsduo Ute Lange und Michael Münz spricht mit BSI-Experte Paul Trinks über Produkte, die das IT-Sicherheitskennzeichen bereits erhalten haben, die Sicherheitsversprechen dahinter und die Resonanz der Hersteller.
Hier kommen Sie zur Podcastfolge über das IT-Sicherheitskennzeichen in der BSI-Mediathek: (Hyperlink aufrufen)
"Update verfügbar" auf:
Spotify: (Hyperlink aufrufen)
Deezer: (Hyperlink aufrufen)
iTunes: (Hyperlink aufrufen)
YouTube: (Hyperlink aufrufen)
Im Feed: (Hyperlink aufrufen)
14. CYBERSNACS # Folge 24: lets talk KI: GameChanger ChatGPT
Von Kochrezepten über Hausarbeiten bis hin zu Schadcode – ChatBots wie ChatGPT haben auf so ziemlich jede Frage eine entsprechende Antwort. Möglich machen es große Sprachmodelle (Large Language Models), welche sich fortschrittlichen Algorithmen und natürlicher Sprachverarbeitung bedienen. In der aktuellen Folge von CYBERSNACS, dem Podcast der Allianz für Cyber-Sicherheit, sprechen die Hosts Simona Autolitano und Agnieszka Pawlowska mit den BSI-Expertinnen Andrea Ibisch und Anna Wilhelm über Chancen und Risiken im Umgang mit ChatGPT und Co. Neugierig?
Lets talk KI! – jetzt hier zum Reinhören: (Hyperlink aufrufen)
----------------------------------------------------
Praktisch sicher
15. Kann ich öffentlichen Hotspots vertrauen?
Die Datenübertragung zwischen Ihrem Gerät und einem öffentlichen Hotspot ist häufig unverschlüsselt. Dabei können Daten abgefangen und Schadstoffsoftware in Ihre Geräte eingeschleust werden. Wir haben für Sie die wichtigsten Tipps zum Umgang mit öffentlichen Hotspots zusammengestellt:
Informieren Sie sich vor der Nutzung über das Sicherheitsniveau der Hotspots. Fragen Sie zum Beispiel beim Anbieter nach oder lesen Sie die Beschreibung des Hotspot-Angebots.
Verzichten Sie auf die Übertragung sensibler Daten. Sie können diese lokal auf Ihrem Gerät verschlüsseln oder über ein virtuelles privates Netzwerk (VPN) übertragen.
Schalten Sie die WLAN-Funktion Ihres Smartphones nur ein, wenn Sie sie benötigen. Bei einigen Geräten können Sie erweiterte Sicherheitseinstellungen für die Einwahl in ein öffentliches WLAN einrichten.
Nachdem Sie die Verbindung zum öffentlichen Hotspot getrennt haben, löschen Sie den Hotspot aus der Liste der bevorzugten WLANs. So wählen Sie sich nicht unfreiwillig wieder ein, sobald Sie in der Nähe des Hotspots sind.
Sicherheitstipps des BSI für privates und öffentliches WLAN: (Hyperlink aufrufen)
Der BSI-Instagram-Post zu öffentlichen Hotspots: (Hyperlink aufrufen)
----------------------------------------------------
Was wichtig wird
16. Noch mehr Informationen und Anleitungen
Pünktlich zum Start ins neues Jahr werden wir in den nächsten Wochen auf allen unseren Kanälen noch mehr praktische Tipps und Empfehlungen zum Basisschutz im digitalen Alltag veröffentlichen. In den sozialen Netzwerken, auf der Website und natürlich im Newsletter halten wir Sie stets auf dem Laufenden. Bleiben Sie aufmerksam und sicher informiert!
SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)
Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de
