Lohra-Wiki

IT-Sicherheit

Aus Lohra-Wiki

(Unterschied zwischen Versionen)
Wechseln zu: Navigation, Suche
(Update 17.09.)
(Update 29.10.)
Zeile 10: Zeile 10:
'''IT-Sicherheit'''
'''IT-Sicherheit'''
-
'''17.09.2015'''
+
'''29.10.2015'''
-
Wie viel Schaden vermieden werden könnte, wenn allen bewusst wäre, dass man Links in E-Mails nicht einfach folgt und Dateianhänge nicht einfach öffnet, zeigen zwei Artikel in unserem heutigen Newsletter. Gegen eine perfidere Art der Verteilung von Schadsoftware hilft dagegen auch keine Aufmerksamkeit: Es gibt laut dem Telekommunikationsunternehmen Cisco eine steigende Zahl Werbebanner, die von Scheinunternehmen geschaltet werden. Sie führen zu professionell gestalteten Webseiten, die bei bloßem Aufruf Schadsoftware installieren.  
+
Nutzen Sie auch Online-Banking, weil es Ihnen Zeit und Wege erspart? Für viele Bürger ist Online-Banking mittlerweile zur Selbstverständlichkeit geworden. Gerade aus diesem Grund ist es für Kriminelle ein attraktives Ziel. Sie verschaffen sich Zugang zu Online-Konten und spähen Nutzerdaten aus, um unbefugt an fremdes Geld zu kommen. Jetzt ist es Kriminellen wieder einmal gelungen, das mTAN-Verfahren mit betrügerischen Mitteln auszuhebeln. Das „m“ steht hier für mobil und das mTan-Verfahren soll unbefugte Transaktionen eigentlich erschweren: Der Bankkunde kann seine Überweisung, die er auf dem PC ausführt, erst über ein mobiles Gerät mithilfe einer mTAN, die beispielsweise per SMS auf das Handy zugestellt wird, abschließen. Doch kein Verfahren ist absolut sicher gegen kriminelle Aktivitäten. Eine Schwachstelle bleibt der Faktor Mensch. Überprüfen Sie regelmäßig, ob die Programme auf Ihrem Computer, insbesondere Ihre Antiviren-Software, auf dem aktuellen Stand sind? Jede Sicherheitslücke kann für Hacker zum Einfallstor werden. Sie als Nutzer können ihren Rechner mit unterschiedlichen Sicherheitsmaßnahmen und mit bedachtem Surfen schützen.
-
'''03.09.2015'''
+
'''15.10.2015'''
-
Man sollte ja annehmen, dass sich Hersteller von Routern der Bedeutung von Geräte-Passwörten bewusst sind. Verschiedene Berichte in den Medien können daran jedoch Zweifel aufkommen lassen. Da sind Passwörter mancher Geräte fest vorgegeben und lassen sich zudem leicht ermitteln. Ein anderes Modell wird gleich ganz ohne Passwort für dessen Administrationsmenü ausgeliefert und enthält zudem diverse weitere Sicherheitslücken. Kurze Produktzyklen und vielleicht auch das Drängen in das Weihnachtsgeschäft, das in diesem Monat wieder anläuft, sorgen womöglich dafür, dass mancherorts Produktdesign größer geschrieben wird als Sicherheitsdesign. Das zeigt auch die Meldung über manche SmartTV-Geräte, die bezüglich Sicherheit ebenfalls nachrüsten sollten.
+
Stellen Sie sich vor, Sie würden aus heiterem Himmel von einem Sportartikelhersteller verklagt, der Sie beschuldigt, seine Waren zu fälschen und zu verkaufen. Sie sind sich keiner Schuld bewusst? Vielleicht gibt es unter Ihrem Namen längst einen Online-Shop, in dem Produktfälschungen vertrieben werden. Die notwendigen persönlichen Angaben dafür plaudern viele aus freien Stücken aus, etwa in sozialen Netzwerken. Oder Ihr E-Mail-Konto wurde gehackt, weil Sie ein zu einfaches Passwort verwenden. Unter Kriminellen ist es auch beliebt, ein Online-Geschäft zu gründen und dort vordergründig Produkte günstig zu verkaufen. Im Hintergrund jedoch werden die persönlichen Angaben der Kunden missbraucht, um mit ihnen weitere Läden zu eröffnen, die gestohlene oder gefälschte Waren verkaufen. Betroffene stehen Monate der Rechtfertigungen bevor, auch ein Haftbefehl droht. Das bereits laufende Weihnachtsgeschäft ist ein zusätzlicher Anreiz für Kriminelle. Nach Recherchen des NDR kopieren Online-Betrüger derzeit massenhaft Identitäten, um sie für illegale Geschäfte zu nutzen.
-
'''20.08.2015'''
+
'''01.10.2015'''
-
Schalten Sie vielleicht auch die Annahme von Cookies in Ihrem Browser ab? An sich ist das ja keine schlechte Idee. Aber wenn Sie sich cookie-frei letztens mit Smartphone oder Tablet bei 1&1, GMX oder Web.de anmeldeten, um Ihre E-Mails zu prüfen, sollten Sie besser Ihr Passwort dort ändern. Es ist nämlich möglich, dass jemand an Ihr Konto kam. Falsche Sicherheit gaukelte auch das Update vor, dass Google verschiedenen Nexus-Modellen gegen die Stagefright-Lücke spendierte.
+
Seit 2012 ist der Oktober der "Europäische Monat der Cyber-Sicherheit" (European Cyber Security Month, ECSM). In Deutschland informiert das BSI Organisationen über den ECSM und koordiniert verschiedene Aktionen. Zu den eigenen Aktionen des BSI zählt eine Online-Umfrage zum Thema Cyber-Sicherheit auf [https://www.bsi-fuer-buerger.de/ECSM-Umfrage BSI] sowie eine Frageaktion auf [https://www.facebook.com/bsi.fuer.buerger Facebook]. Hier können Sie uns bis zum 11. Oktober Fragen zum Thema Cyber-Sicherheit stellen, die wir ab 12. Oktober beantworten.
Zeile 104: Zeile 104:
= [https://www.buerger-cert.de/archiv.aspx?param=Wmr75oC1mx2faxfVcnecb3Z19AQwXkki Warnungen und aktuelle Informationen] =
= [https://www.buerger-cert.de/archiv.aspx?param=Wmr75oC1mx2faxfVcnecb3Z19AQwXkki Warnungen und aktuelle Informationen] =
-
* '''Viren:''' Erpresser-Software Shade in Deutschland erfolgreich
+
* '''Chrome:''' Neue Malware tarnt sich als Browser
-
* '''Android:''' Mail lädt Schadsoftware auf das Telefon
+
* '''Online-Banking:''' mTan Verfahren ausgehebelt
-
* '''Malvertising:''' Kampagne blieb über Wochen unentdeckt
+
* '''Apple:''' Betrüger geben sich als Support-Mitarbeiter aus
-
* '''Microsoft:''' Update zum Patch Day
+
* '''Malvertising:''' Neue Kampagne auf deutschen Webseiten
-
* '''WordPress:''' Sicherheitsupdate schließt drei Sicherheitslücken
+
* '''Adobe:''' Sicherheitsupdates für Adobe Flash Player und Adobe AIR
-
* '''Apple:''' Sicherheitsupdate auf iTunes 12.3
+
* '''Apple:''' Versions- und Sicherheitsupdates für mehrere Produkte
 +
* '''Adobe:''' Shockwave Player erhält Sicherheitspatch
-
* '''Android:''' Schadsoftware ab Händler
+
* '''Identitätsdiebstahl:''' Kriminelle sammeln verstärkt Daten
-
* '''iOS:''' KeyRaider erbeutet Zugangsdaten und Bestechungsgelder
+
* '''Phishing:''' Vorgebliche E-Mail von Paypal nutzt persönliche Ansprache
-
* '''Router die Erste:''' Heimrouter mit schwachem Passwort
+
* '''Android die Erste:''' 87 Prozent haben kritische Sicherheitslecks
-
* '''Router die Zweite:''' Heimrouter ohne Passwort
+
* '''Android die Zweite:''' Neue Schadsoftware verbreitet sich über inoffizielle Portale
-
* '''SmartTV:''' Freie Wahl bei Angriffspunkten
+
* '''Adobe:''' BSI empfiehlt den Flash Player zu deaktivieren
-
* '''Google:''' Chrome Browser erhält Sicherheitsupdate
+
* '''Google:''' Sicherheitsupdate für den Chrome Browser
-
* '''Mozilla:''' Sicherheitsupdates für Firefox und Thunderbird
+
* '''Microsoft:''' Patchday bei Microsoft
 +
* '''Adobe:''' Patchday bei Adobe
 +
* '''Netgear:''' Sicherheitsupdate für diverse Router
-
* '''Apple:''' Neue Zero-Day-Sicherheitslücke
+
* '''Apple:''' XcodeGhost verseucht offenbar tausende Apps
-
* '''Lenovo:''' Neue Schnüffelsoftware
+
* '''Facebook:''' Hoax ruft Facebook auf den Plan
-
* '''Android:''' Googles Patch gegen Stagefright ist fehlerhaft
+
* '''Trojaner:''' Falscher Virenscanner
-
* '''E-Mail:''' GMX, 1&1 und Web.de hatten Sicherheitsproblem
+
* '''Adobe:''' Sicherheitsupdates für Flash Player und Adobe AIR
-
* '''Apple:''' Sicherheitsupdates für Safari, iOS und OS X
+
* '''Mozilla:''' Sicherheitsupdate für Mozilla Firefox
-
* '''Mozilla:''' Sicherheitsupdate für Firefox
+
* '''Microsoft:''' Sicherheitshinweis
-
* '''Microsoft und Adobe:''' Aktualisierungen nicht nur zum Patchday
+
* '''Stagefright:''' Aktuelle Informationen zur Stagefright-Lücke
Zeile 134: Zeile 137:
= PRISMA =
= PRISMA =
-
== Let's-Encrypt ==
+
== Facebook ==
-
Erstes Zertifikat der alternativen Zertifizierungsstelle: Wenn Sie die Webseite Ihrer Bank besuchen, werden Sie in der Adressleiste ein Schloss sehen, das eine verschlüsselte Übertragung garantiert. Die Ausstellung des dafür nötigen Zertifikats kostet Geld. Geld, dass Banken haben, andere Organisationen, bei denen Verschlüsselung ebenfalls sinnvoll wäre, jedoch nicht. Let's Encrypt ist ein Projekt der in den USA als gemeinnützig anerkannten Internet Security Research Group (ISRG). Es setzt sich zum Ziel, kostenlose Zertifikate auszugeben, um Verschlüsselung zu verbreiten. Auch wenn Let's Encrypt erst im vierten Quartal 2015 als Zertifizierungsstelle anerkannt sein möchte, liegt nunmehr ein [http://www.heise.de/security/meldung/Erstes-Zertifikat-von-Let-s-Encrypt-zum-Test-bereit-2814330.html Wurzelzertifikat] vor. Mit einem Wurzelzertifikat, auch Stammzertifikat genannt, wird die Gültigkeit aller untergeordneten Zertifikate kontrolliert. Das Wurzelzertifikat wird in den Browser installiert, unterschiedliche untergeordnete Zertifikate liegen dann auf unterschiedlichen Webservern. Ihr Browser überprüft und akzeptiert das von Ihrer Bank (zum Beispiel bei der Deutschen Telekom) gekaufte untergeordnete Zertifikat, weil der Browser von Haus aus mit einem einem entsprechenden Wurzelzertifikat (in unserem Beispiel der Deutschen Telekom) ausgestattet ist. Im Moment müssen Anwender das Wurzelzertifikat von Let's Encrypt noch manuell [https://letsencrypt.org/2015/09/14/our-first-cert.html herunterladen] (Webseite auf Englisch) und installieren. Let's Encrypt befindet sich jedoch im Gespräch mit Mozilla, Google, Apple und Microsoft, um das Wurzelzertifikat in deren Browser zu integrieren. Ziehen die Hersteller mit, kann Let's Encrypt an Betreiber von Webseiten kostenlose SSL/TLS-Zertifikate herausgeben, die von den Browsern so umstandslos akzeptiert werden, wie das Ihrer Bank. (150917)
+
'''Dritter Anlauf für Verbraucherschutz-Klage:''' Bereits zum dritten Mal zieht der Verbraucherzentrale Bundesverband gegen [http://www.vzbv.de/pressemitteilung/vzbv-klagt-gegen-facebook Facebook vor Gericht]. Nach zwei Klagen gegen den Import von Adressdaten der Nutzer und mangelnde Information über die Datenfreigabe, deren Revision beziehungsweise Berufung nächstes Jahr verhandelt werden, geht es dieses Mal um irreführende Werbung sowie Verstöße gegen deutsche und europäische Daten- und Verbraucherschutzgesetze. Nach Meinung der Verbraucherschützer sei der Slogan „Facebook ist und bleibt kostenlos“ irreführend, da die Verbraucher zwar nicht mit Geld bezahlen, dafür jedoch mit ihren Daten. Diese verkauft das Netzwerk gewinnbringend an Unternehmen, um personalisierte Werbung zu ermöglichen. Weiterer Gegenstand der Klage sind insgesamt 19 Punkte in den Allgemeinen Geschäftsbedingungen des Netzwerks, die rechtswidrig seien. Dazu gehört die Möglichkeit, dass auch Daten von Nichtnutzern beim Besuch der Facebook-Seite gespeichert und an Facebook in den USA weitergegeben werden dürfen. (151029)
-
== Ashley Madison ==
+
== BSI-Magazin ==
-
Beschämend schlechte Passwörter: Über den Hack gegen den Vermittler von ehelichen Seitensprüngen, Ashley Madison, ist viel berichtet worden. Nachdem neben der Datenbank mit Namen der Mitglieder des Portals auch eine Liste mit verwendeten Passwörtern aufgetaucht ist, gibt es auch für uns etwas zu berichten: Die schlechtesten [http://t3n.de/news/ashley-madison-hack-passwort-640543/ Passwörter] waren die beliebtesten. "123456" führt die Liste an, gefolgt von "12345" und dem nicht minder obszön einfältigen "password". Die Liste spiegelt ein Drittel der Konten von Ashley Madison, und dass diese gehackt wurden, ist bei der Wahl der Passwörter nicht überraschend. Die Meldung zeigt aber auch, dass sich komplexe Passwörter nicht ohne weiteres knacken lassen. Sie tauchen in der Liste nicht auf. Wir verweisen deshalb gerne noch einmal auf unsere [https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html Tipps], wie Sie sich komplexe Passwörter zulegen können, die sich dennoch merken lassen. (150917)
+
'''Neue Ausgabe von „Mit Sicherheit“:''' Wie lässt sich IT-Sicherheit erhöhen? Diese Frage steht im Mittelpunkt der aktuellen Ausgabe unseres Magazins [https://www.bsi.bund.de/DE/Publikationen/BSI-Magazin/BSI-Magazin_node.html „Mit Sicherheit“]. Besonders der Privatnutzer hat in der jüngsten Vergangenheit sehr hohen Wert auf die Nutzerfreundlichkeit und Bedienbarkeit seiner Geräte gelegt. Die enorme Steigerung von Cyber-Attacken rückt nun auch die Sicherheit wieder stärker in den Fokus. In der aktuellen Ausgabe von „Mit Sicherheit“ erfahren Sie Wissenswertes über Penetrationstest, das Nationale Cyber-Abwehrzentrum und den Einsatz von De-Mail in der öffentlichen Verwaltung. Zudem können Sie einen Blick hinter die Kulissen der G7-Konferenz werfen. Auch das neue IT-Sicherheitsgesetz und die damit verbundenen neuen Aufgaben des BSI werden vorgestellt. (151029)
-
== Internet der Dinge ==
+
== ECSM ==
-
Intel gründet Initiative für IT-Sicherheit in Fahrzeugen: IT-Sicherheit bei Fahrzeugen war immer wieder Thema unseres Newsletters, so auch in der letzten [https://www.buerger-cert.de/archive?type=widnewsletter&nr=NL-T15-0018#anchor7 Ausgabe]. Nun hat Intel, Branchenriese unter den Chipherstellern, eine Initiative gegründet, die [http://www.zdnet.de/88246410/intel-gruendet-initiative-fuer-verbesserte-cybersicherheit-in-fahrzeugen/ ASRB (Automotive Security Review Boards)] heißt und Cyber-Sicherheit in Fahrzeugen fördern soll. Die Experten, die sich im ASRB versammeln, sollen Sicherheitstests und Audits durchführen, um der Automobilindustrie Empfehlungen an die Hand zu geben. Der damit erfolgreichste Experte erhält einen Preis: Ein Auto. (150917)
+
'''Mehr Sicherheit bei der Nutzung von Cloud Computing:''' Cloud Computing erfreut sich steigender Beliebtheit: Die Daten in der Cloud sind jederzeit über ein beliebiges internetfähiges Endgerät zugänglich, lassen sich schnell und einfach mit anderen teilen und für die Sicherheit der Daten sorgt der Anbieter. Im Rahmen des European Cyber Security Month (ECSM), den wir Ihnen in den letzten beiden Ausgaben unseres [https://www.buerger-cert.de/archive?type=widnewsletter&nr=NL-T15-0021 Newsletters] vorgestellt haben, gibt das BSI in der Themenwoche „Cloud Computing mit Sicherheit“ vom 24. bis 31. Oktober 2015 Hinweise für die sichere Nutzung von [https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2015/ECSM_Mehr_Sicherheit_bei_Nutzung_Cloud_22102015.html Cloud-Angeboten]. Dies beginnt beim Abruf oder Transport der Daten aus beziehungsweise in die Cloud: Nutzer sollten nur geschützte Geräte und sichere Passwörter für den Zugriff auf die Cloud-Dienste nutzen. Öffentliche oder ungesicherte WLANs gilt es zu vermeiden, da es Angreifer dort besonders leicht haben, Zugangsdaten abzugreifen. Und besonders sensible Daten sollten vor der Speicherung in der Cloud verschlüsselt werden. Ausführliche Informationen zum ECSM finden Sie in englischer Sprache auf der Webseite des [https://cybersecuritymonth.eu Aktionsmonats] zum Nachlesen. (151029)
-
== Open Source ==
+
== Hacking ==
-
Tag der Software-Freiheit: Pippi Langstrumpf, deren vollen Namen wir aus Platzgründen weglassen, bärenstarke Pferde-Hochheberin, Schreck aller Bildungsspießer und Heldin unzähliger Kinder, macht sich ihre Welt, wie sie ihr gefällt. Ein bisschen von dieser Einstellung haben Entwickler Freier Software: Wenn etwas fehlt oder nicht stimmt, machen sie sich die Software-Welt eben selbst. Ohne Patente oder andere Rechte zu verletzen. Freie Software, auch Open Source genannt, ist meistens kostenlos und häufig so ausgereift, dass sie kaum hinter teurer kommerzieller Software zurückstehen muss: Sei es Linux als Betriebssystem, Gimp für die Bildbearbeitung oder LibreOffice als Sammlung typischer Büro-Programme. Ein Aspekt der Sicherheitsstrategie des BSI ist es, IT-technische Monokulturen zu vermeiden, weil sich diese leichter angreifen lassen. Das BSI unterstützt deshalb seit langem die Entwicklung Freier Software, die zu einer größeren Auswahl an Programmen führt und damit Hersteller-Unabhängigkeit fördert. Zudem verhindert Software-Vielfalt die Bildung von Monopolen und deren negativen finanziellen Auswirkungen, auch auf den Haushalt des Bundes und der Länder. Die Unterstützung des BSI zeigt sich nicht nur in der Anwendung, sondern auch in der (Mit-)Entwicklung Freier Software. Wir wissen nicht, ob es einen Pippi-Langstrumpf-Tag gibt, aber es gibt einen Tag der [http://www.softwarefreedomday.org/ Software-Freiheit] (Webseite auf Englisch). Es ist in diesem Jahr der 19. September. Weltweit werden Veranstaltungen Freie Software in den Blick der Öffentlichkeit stellen. (150917)
+
'''Deutsches Team ist Vizemeister der European Cyber Security Challenge:''' Gibt es Hacking auch für einen guten Zweck? Ja, wenn es um die Förderung von zukünftigen Fachkräften für IT-Sicherheitsunternehmen und -Organisationen geht. Denn wer Cyber-Angriffe erfolgreich abwehren will, muss die Fähigkeiten der anderen Seite, der Angreifer also, kennen und ebenso beherrschen. Da kluge Köpfe zur Bekämpfung von Cyber-Bedrohungen immer wichtiger werden, veranstaltete die Europäische Agentur für Netz- und Informationssicherheit ENISA am 21. Oktober im schweizerischen Luzern die [http://www.europeancybersecuritychallenge.eu/ European Cyber Security Challenge]. Sechs Teams IT-begeisterter Schüler und Studenten aus Deutschland, England, Österreich, Rumänien, aus der Schweiz und aus Spanien traten im Hacking-Wettbewerb gegeneinander an. Neben technischem Können zählten auch Teamgeist und gute Präsentationsfähigkeit bei der Bewertung der Nachwuchstalente. Das zehnköpfige Team aus Deutschland wurde hierbei Vize-Europameister. Im Vorfeld des europäischen Wettbewerbs hatten sich die IT-Nachwuchstalente des deutschen Teams auf nationaler Ebene bei der [http://www.cybersecuritychallenge.de/cscg/ Cyber Security Challenge Germany] für das Europa-Finale der Initiative qualifiziert. (151029)
-
== Google ==
+
== Passwortschutz ==
-
'''Sicherheitschef fordert Standards für das Internet der Dinge:''' In Ausgabe 35 des Magazins [http://www.spiegel.de/netzwelt/web/google-sicherheitschef-fordert-standards-fuer-das-internet-der-dinge-a-1049334.html Der Spiegel] findet sich ein Interview mit Gerhard Eschelbeck, der bei Google verantwortlich für IT-Sicherheit und Datenschutz ist. Darin fordert er gemeinsame Sicherheitsstandards für das Internet der Dinge. Es müsse sich dringend ändern, dass jeder Hersteller "allein vor sich hin (wurschelt) und entscheidet, was sicher ist und wie viel Aufwand dafür betrieben wird." In die Schlagzeilen geriet das Internet der Dinge zuletzt wegen gehackter [http://www.sueddeutsche.de/auto/auto-aus-der-ferne-gehackt-der-fahrer-ist-machtlos-1.2577174 Autos], [http://www.gulli.com/news/26379-narkosegeraet-in-einem-krankenhaus-konnte-gehackt-werden-2015-08-09 Narkosegeräte], möglicherweise auch [http://www.heise.de/tp/artikel/44/44953/1.html Flugzeuge] und mehr [http://www.heise.de/newsticker/meldung/VW-Wegfahrsperre-Volkswagen-Hack-endlich-veroeffentlicht-2778632.html Autos]. Um die dringend benötigte Sicherheit zu gewährleisten, müsse über "eine einheitliche Zertifizierung für die Sicherheit solcher Geräte" nachgedacht werden, so Eschelbeck. Das BSI erteilt [https://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/zertifizierungundanerkennung_node.html Zertifikate und Anerkennungen] gemäß § 9 des BSI-Gesetzes zum Beispiel auf der Grundlage der Common Criteria oder ITSEC. Auch Hersteller von zum Beispiel Automobilen oder deren Zubehör können auf dieser Grundlage einzelne Komponenten oder auch komplette Systeme durch das BSI zertifizieren lassen. Verpflichtet sind sie dazu jedoch nicht. (150903)
+
'''Schülerin verkauft sichere Passwörter an Nutzer:''' Sichere Passwörter sind wichtig für jeden, der sich im Internet bewegt. Vielen Nutzern ist es jedoch zu mühsam und zeitaufwändig, sichere Passwörter für sämtliche Nutzerkonten von unterschiedlichen Online-Diensten, die ein Log-in erfordern, zu erstellen. Eine elfjährige Schülerin im US-amerikanischen New York hat diese Nachlässigkeit gewissermaßen als Marktlücke entdeckt und bessert sich ihr Taschengeld mit der Erstellung sicherer Passwörter auf, wie das [http://www.gulli.com/news/26704-11-jaehrige-verkauft-passwoerter-nach-diceware-methode-2015-10-27 Onlineportal gulli.com] berichtet. Für zwei US-Dollar pro Stück verkauft das Mädchen die Passwörter, die sie selbst mithilfe der sogenannten Diceware-Methode erstellt. Bei diesem Verfahren werden anhand von Würfeln und Wortlisten Passwörter generiert. Wie Sie den Überblick über Ihre Passwörter behalten und sich möglichst einfach zu merkende aber sichere Zugangsdaten für Online-Dienste anlegen können, haben wir für Sie in einer Übersicht auf [https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter.html BSI] zusammengestellt. (151029)
-
== Hacker ==
+
== Unternehmen ==
-
Mehr als nur versalzene Kekse: Angriffe auf industrielle Anlagen häufen sich. Das könnte laut eines von [http://www.spiegel.de/netzwelt/web/erpressung-durch-cyberattacken-angriffsziel-industrieanlage-a-1048034.html Spiegel Online] zitierten Experten auch daran liegen, dass IT-Experten und Produktionsfachleute unterschiedlich vorgehen, wenn diese eine Risikoanalyse erstellen: "Für Produktionstechniker gehörten Fehlfunktionen zum Alltag, bösartige Manipulationen hingegen nicht. Entsprechend löchrig fällt aus IT-Sicht das Schutzkonzept aus." Statt vielleicht einer Tagesproduktion versalzener Kekse gibt es dann in der Keksfabrik den Stillstand. Der Artikel nennt auch Jeff Moss, unter anderem Gründer der Hackerkonferenzen Black Hat, der eine gesetzliche Meldepflicht für Cyber-Angriffe fordert. In Deutschland ist diese mit dem neuen IT-Sicherheitsgesetz bezogen auf Unternehmen der Kritischen Infrastrukturen bereits umgesetzt. Unter Kritische Infrastrukturen fallen zum Beispiel die Energieversorgung, Telekommunikation und Verkehr. (150820)
+
'''WLAN schwächstes Glied in der IT-Sicherheit:''' Einer Studie der [http://www.computerwoche.de/a/wlan-ist-das-schwaechste-glied-in-der-unternehmenssicherheit,3216676 Computerwoche] zufolge stellen WLAN-Netzwerke das größte Sicherheitsrisiko für IT-Infrastrukturen in Unternehmen dar. Bisher hätte die drahtlose Übertragung von Daten keine Priorität bei den Investitionen in IT-Sicherheit besessen. Zudem haben in Deutschland 33 Prozent der befragten IT-Verantwortlichen nicht einmal die grundlegendste Sicherheitsmaßnahme in Form einer Benutzerauthentifizierung eingerichtet. Ergänzend ließe sich hinzufügen, dass viele Unternehmen auch Schulungen zur IT-Sicherheit eher vernachlässigen als pflegen. Auch vor dem Hintergrund, dass viele Angestellte mobile Geräte sowohl privat als auch dienstlich nutzen, ist das für Betriebsgeheimnisse riskant. Das BSI hat deshalb zwei von vier Themen des Europäischen Monats der Cyber-Sicherheit der IT-Sicherheit in Unternehmen gewidmet: "Cyber-Sicherheit für Arbeitnehmer – wie verhalte ich mich am Arbeitsplatz" und "Cyber-Sicherheit als Managementaufgabe – wie schafft man ein Umfeld für IT-Sicherheit". (151001)
== Datenschutz ==
== Datenschutz ==
-
'''Zeige mir, wie du tippst, ich sage dir, wer du bist:''' Die Erkennung von Personen anhand von biometrischen Merkmalen wie Fingerabdrücken oder dem Aussehen der Iris ist ein vielversprechender Ansatz, um der Crux der Passwort-Vergabe zu entkommen: Passwörter werden vergessen, sind häufig schlecht gewählt und müssen regelmäßig gewechselt werden. Mit einer weiteren biometrischen Eigenschaft lassen sich aber womöglich Personen auch dann erkennen, wenn diese sich darüber nicht bewusst sind: Jeder Mensch tippt offenbar anders. Damit ließen sich sogar Nutzer des Anonymisierungsdienstes TOR identifizieren. Die Technik dazu ist bereits erstaunlich fortgeschritten, wie Zeit Online beschreibt [http://www.zeit.de/digital/datenschutz/2015-07/tastatur-verhalten-analyse-profiling-behaviosec]. (150806)
+
Windows 10 in Zukunft nicht mehr plauderhaft?: Die Leidenschaft von Windows 10, Daten zu sammeln und an Microsoft weiterzugeben, hatte für ??Link corrupted?? gesorgt. Auf Microsofts Agenda scheint nun zu stehen, von [http://blogs.windows.com/bloggingwindows/2015/09/28/privacy-and-windows-10/ Rechtfertigungen] (auf Englisch) zur Nachbesserung zu wechseln: Microsoft hat ein neues Update für Windows 10 angekündigt, in dem Nutzer festlegen können, dass gar keine Daten mehr an das Unternehmen geschickt werden. Sollte das Update erscheinen, werden Privatanwender allerdings keinen Nutzen davon haben – zumindest nicht sofort. Denn wie gulli.com [http://www.gulli.com/news/26602-microsoft-kuendigt-windows-10-update-an-das-datensammelwut-beenden-soll-2015-09-30 berichtet], soll sich die Aktualisierung auf die Enterprise-Edition von Windows 10 beziehen. Anwender der Versionen Home und Pro blieben außen vor. Es ist jedoch nicht auszuschließen, dass Microsoft auch gegenüber Privatanwendern ein Einsehen hat. Zu wünschen wäre es. (151001)
-
== Datenschutz ==
+
== Let's-Encrypt ==
-
+
 
-
'''Windows 10 und Ihre Privatsphäre:''' Microsoft ist von Datenschützern dafür gerügt worden, dass Windows 10 eine große Zahl Nutzerdaten an Microsoft schickt. Zeit Online [http://www.zeit.de/digital/datenschutz/2015-08/privatsphaere-windows-10-einstellungen-deaktivieren] hat sich des Themas angenommen und aufgelistet, an welcher Stelle Sie welche Option ein- oder ausschalten müssen, um Windows das Plauderhafte abzugewöhnen. (150806)
+
Erstes Zertifikat der alternativen Zertifizierungsstelle: Wenn Sie die Webseite Ihrer Bank besuchen, werden Sie in der Adressleiste ein Schloss sehen, das eine verschlüsselte Übertragung garantiert. Die Ausstellung des dafür nötigen Zertifikats kostet Geld. Geld, dass Banken haben, andere Organisationen, bei denen Verschlüsselung ebenfalls sinnvoll wäre, jedoch nicht. Let's Encrypt ist ein Projekt der in den USA als gemeinnützig anerkannten Internet Security Research Group (ISRG). Es setzt sich zum Ziel, kostenlose Zertifikate auszugeben, um Verschlüsselung zu verbreiten. Auch wenn Let's Encrypt erst im vierten Quartal 2015 als Zertifizierungsstelle anerkannt sein möchte, liegt nunmehr ein [http://www.heise.de/security/meldung/Erstes-Zertifikat-von-Let-s-Encrypt-zum-Test-bereit-2814330.html Wurzelzertifikat] vor. Mit einem Wurzelzertifikat, auch Stammzertifikat genannt, wird die Gültigkeit aller untergeordneten Zertifikate kontrolliert. Das Wurzelzertifikat wird in den Browser installiert, unterschiedliche untergeordnete Zertifikate liegen dann auf unterschiedlichen Webservern. Ihr Browser überprüft und akzeptiert das von Ihrer Bank (zum Beispiel bei der Deutschen Telekom) gekaufte untergeordnete Zertifikat, weil der Browser von Haus aus mit einem einem entsprechenden Wurzelzertifikat (in unserem Beispiel der Deutschen Telekom) ausgestattet ist. Im Moment müssen Anwender das Wurzelzertifikat von Let's Encrypt noch manuell [https://letsencrypt.org/2015/09/14/our-first-cert.html herunterladen] (Webseite auf Englisch) und installieren. Let's Encrypt befindet sich jedoch im Gespräch mit Mozilla, Google, Apple und Microsoft, um das Wurzelzertifikat in deren Browser zu integrieren. Ziehen die Hersteller mit, kann Let's Encrypt an Betreiber von Webseiten kostenlose SSL/TLS-Zertifikate herausgeben, die von den Browsern so umstandslos akzeptiert werden, wie das Ihrer Bank. (150917)
== Informationsplattform ==
== Informationsplattform ==
Zeile 172: Zeile 175:
== Kostenlos ==
== Kostenlos ==
-
BSI Sicherheitstipps: Die beliebten Broschüren des BSI mit den Sicherheitstipps zu den Themen „Sicher unterwegs mit Smartphone, Tablet & Co“; „Soziale Netzwerke“; „Surfen, aber sicher!“ und [https://www.bsi-fuer-buerger.de/BSIFB/DE/Wissenswertes_Hilfreiches/Service/Broschueren/broschueren_node.html „In die Cloud - aber sicher!“] können wieder kostenlos bestellt werden. Die Lieferung von Einzelexemplaren, insbesondere an Privatpersonen, erfolgt frei Haus. Für Einzelpersonen ist das Limit auf fünf Exemplare begrenzt, Mittler und Träger politischer Bildung sowie öffentliche Einrichtungen und Unternehmen erhalten maximal 50 Exemplare. (150709)
+
'''BSI Sicherheitstipps:''' Die beliebten Broschüren des BSI mit den Sicherheitstipps zu den Themen „Sicher unterwegs mit Smartphone, Tablet & Co“; „Soziale Netzwerke“; „Surfen, aber sicher!“ und [https://www.bsi-fuer-buerger.de/BSIFB/DE/Wissenswertes_Hilfreiches/Service/Broschueren/broschueren_node.html „In die Cloud - aber sicher!“] können wieder kostenlos bestellt werden. Die Lieferung von Einzelexemplaren, insbesondere an Privatpersonen, erfolgt frei Haus. Für Einzelpersonen ist das Limit auf fünf Exemplare begrenzt, Mittler und Träger politischer Bildung sowie öffentliche Einrichtungen und Unternehmen erhalten maximal 50 Exemplare. (150709)
== Private Cloud ==
== Private Cloud ==
-
Empfehlungen für den Betrieb von ownCloud: Statt einem fremden Dienstleister eigene Daten anzuvertrauen, richten Unternehmen, aber auch versierte Privatpersonen, zunehmend eine eigene Cloud ein.  Ein beliebtes Programm zu diesem Zweck ist ownCloud. Unter dem Namen "Betrieb und Sicherheit von ownCloud" hat das BSI deshalb ein kostenfreies [https://www.bsi.bund.de/DE/Themen/CloudComputing/Dossiers/Anwender/AnwenderProfessionals/AnwenderProfessionals.html?notFirst=true&docId=6259948 Dokument] mit zahlreichen Hinweisen zur Absicherung des privaten Cloudspeichers. Die Vorschläge richten sich in erster Linie an Unternehmen, sind aber auch für Privatanwender interessant. (150625)
+
'''Empfehlungen für den Betrieb von ownCloud:''' Statt einem fremden Dienstleister eigene Daten anzuvertrauen, richten Unternehmen, aber auch versierte Privatpersonen, zunehmend eine eigene Cloud ein.  Ein beliebtes Programm zu diesem Zweck ist ownCloud. Unter dem Namen "Betrieb und Sicherheit von ownCloud" hat das BSI deshalb ein kostenfreies [https://www.bsi.bund.de/DE/Themen/CloudComputing/Dossiers/Anwender/AnwenderProfessionals/AnwenderProfessionals.html?notFirst=true&docId=6259948 Dokument] mit zahlreichen Hinweisen zur Absicherung des privaten Cloudspeichers. Die Vorschläge richten sich in erster Linie an Unternehmen, sind aber auch für Privatanwender interessant. (150625)
== Geräteschutz ==
== Geräteschutz ==

Version vom 22:04, 9. Nov. 2015


IT-Sicherheit

29.10.2015

Nutzen Sie auch Online-Banking, weil es Ihnen Zeit und Wege erspart? Für viele Bürger ist Online-Banking mittlerweile zur Selbstverständlichkeit geworden. Gerade aus diesem Grund ist es für Kriminelle ein attraktives Ziel. Sie verschaffen sich Zugang zu Online-Konten und spähen Nutzerdaten aus, um unbefugt an fremdes Geld zu kommen. Jetzt ist es Kriminellen wieder einmal gelungen, das mTAN-Verfahren mit betrügerischen Mitteln auszuhebeln. Das „m“ steht hier für mobil und das mTan-Verfahren soll unbefugte Transaktionen eigentlich erschweren: Der Bankkunde kann seine Überweisung, die er auf dem PC ausführt, erst über ein mobiles Gerät mithilfe einer mTAN, die beispielsweise per SMS auf das Handy zugestellt wird, abschließen. Doch kein Verfahren ist absolut sicher gegen kriminelle Aktivitäten. Eine Schwachstelle bleibt der Faktor Mensch. Überprüfen Sie regelmäßig, ob die Programme auf Ihrem Computer, insbesondere Ihre Antiviren-Software, auf dem aktuellen Stand sind? Jede Sicherheitslücke kann für Hacker zum Einfallstor werden. Sie als Nutzer können ihren Rechner mit unterschiedlichen Sicherheitsmaßnahmen und mit bedachtem Surfen schützen.

15.10.2015

Stellen Sie sich vor, Sie würden aus heiterem Himmel von einem Sportartikelhersteller verklagt, der Sie beschuldigt, seine Waren zu fälschen und zu verkaufen. Sie sind sich keiner Schuld bewusst? Vielleicht gibt es unter Ihrem Namen längst einen Online-Shop, in dem Produktfälschungen vertrieben werden. Die notwendigen persönlichen Angaben dafür plaudern viele aus freien Stücken aus, etwa in sozialen Netzwerken. Oder Ihr E-Mail-Konto wurde gehackt, weil Sie ein zu einfaches Passwort verwenden. Unter Kriminellen ist es auch beliebt, ein Online-Geschäft zu gründen und dort vordergründig Produkte günstig zu verkaufen. Im Hintergrund jedoch werden die persönlichen Angaben der Kunden missbraucht, um mit ihnen weitere Läden zu eröffnen, die gestohlene oder gefälschte Waren verkaufen. Betroffene stehen Monate der Rechtfertigungen bevor, auch ein Haftbefehl droht. Das bereits laufende Weihnachtsgeschäft ist ein zusätzlicher Anreiz für Kriminelle. Nach Recherchen des NDR kopieren Online-Betrüger derzeit massenhaft Identitäten, um sie für illegale Geschäfte zu nutzen.

01.10.2015

Seit 2012 ist der Oktober der "Europäische Monat der Cyber-Sicherheit" (European Cyber Security Month, ECSM). In Deutschland informiert das BSI Organisationen über den ECSM und koordiniert verschiedene Aktionen. Zu den eigenen Aktionen des BSI zählt eine Online-Umfrage zum Thema Cyber-Sicherheit auf BSI sowie eine Frageaktion auf Facebook. Hier können Sie uns bis zum 11. Oktober Fragen zum Thema Cyber-Sicherheit stellen, die wir ab 12. Oktober beantworten.


BSI-Gesetz


Inhaltsverzeichnis

„Sozialen Netzwerke“

  • Seien Sie zurückhaltend mit der Preisgabe persönlicher Informationen!

Tipp 1: Nicht alles, was Sie über sich wissen, müssen andere Menschen wissen. Überprüfen Sie kritisch, welche privaten Daten Sie "öffentlich" machen wollen. Bedenken Sie zum Beispiel, dass immer mehr Arbeitgeber Informationen über Bewerber im Internet recherchieren. Auch Headhunter, Versicherungen oder Vermieter könnten an solchen Hintergrundinformationen interessiert sein.

  • Erkundigen Sie sich über die Allgemeinen Geschäftsbedingungen und die Bestimmungen zum Datenschutz!

Tipp 2: Mit beidem sollten Sie sich gründlich vertraut machen - und zwar bevor Sie ein Profil anlegen. Nutzen Sie unbedingt die verfügbaren Optionen des sozialen Netzwerks, mit denen die von Ihnen eingestellten Informationen und Bilder nur eingeschränkt "sichtbar" sind: Sollen nur Ihre Freunde Zugriff darauf haben oder auch die Freunde Ihrer Freunde oder alle Nutzer?

  • Seien Sie wählerisch bei Kontaktanfragen - Kriminelle "sammeln" Freunde, um Personen zu schaden!

Tipp 3: Bei Personen, die Sie nicht aus der "realen" Welt kennen, sollten Sie kritisch prüfen, ob Sie diese in Ihre Freundesliste aufnehmen wollen. Der oder die Unbekannte könnte auch böswillige Absichten haben. Kriminelle könnten zum Beispiel ausspionieren, wann Ihre Wohnung leer steht. "Unechte Profile" werden nachweislich dazu genutzt, Personen zu schaden - sei es aus Rache, Habgier oder anderen Beweggründen.

  • Melden Sie "Cyberstalker", die Sie unaufgefordert und dauerhaft über das soziale Netzwerk kontaktieren.

Tipp 4: Dafür können Sie sich meistens direkt an die Betreiber des jeweiligen sozialen Netzwerkes wenden. Diese können der Sache nachgehen und gegebenenfalls das unseriöse Profil löschen. In besonderen Fällen sollten Sie auch die Polizei für eine Strafverfolgung informieren.

  • Verwenden Sie für jedes soziale Netzwerk ein unterschiedliches und sicheres Passwort!

Tipp 5: Seien Sie sich aber auch darüber bewusst, dass Ihre Daten auf fremden Rechnern gespeichert sind. Das heißt die Sicherheit Ihrer Daten hängt nicht nur von Ihnen ab, sondern auch von den Betreibern des sozialen Netzwerks: wird deren Server gehackt, sind Ihre Daten nicht mehr sicher. Wenn Missbrauch bekannt wird, informieren Sie auch Ihre Freunde.

  • Geben Sie keine vertraulichen Informationen über Ihren Arbeitgeber und Ihre Arbeit preis!

Tipp 6: Berufliche Informationen haben in sozialen Netzwerken nichts verloren. Auch Wirtschaftsspione haben soziale Netzwerke fuer sich entdeckt und versuchen dort, wertvolle Informationen abzuschöpfen. Das kann Ihre Firma Geld und Sie den Job kosten.

  • Prüfen Sie kritisch, welche Rechte Sie den Betreibern sozialer Netzwerke an den von Ihnen eingestellten Bildern und Texten einräumen!

Tipp 7: Keine Leistung ohne Preis: Die Eintrittskarte in soziale Netzwerke kostet Sie die Preisgabe von Informationen. Viele Firmen sind bereit, für diese Daten Geld zu bezahlen, um gezielt Werbung verschicken zu können. Geben Sie den sozialen Netzwerken die Rechte an Ihren Bildern, können diese theoretisch von den Betreibern weiterverkauft werden. Prüfen Sie auch, ob das gewährte Nutzungsrecht womöglich bestehen bleibt, wenn Sie Ihr Profil löschen.

  • Wenn Sie "zweifelhafte" Anfragen von Bekannten erhalten, erkundigen Sie sich außerhalb sozialer Netzwerke nach der Vertrauenswürdigkeit dieser Nachricht!

Tipp 8: Identitätsdiebstahl ist ein Risiko des digitalen Zeitalters. Eine fremde Person kann mit Hilfe eines gehackten Accounts, eine fremde Identität übernehmen und deren Freunde täuschen. Betrüger können zum Beispiel Nachrichten verschicken, in denen sie eine Notsituation beschreiben und um finanzielle Hilfe bitten. Mit Hilfe des angelesenen Wissens über die gestohlene Identität kann dabei die Vertrauenswürdigkeit untermauert werden.

  • Klicken Sie nicht wahllos auf Links – Soziale Netzwerke werden verstärkt dazu genutzt, um Phishing zu betreiben!

Tipp 9: Auf einen Link ist schnell geklickt. Aber Vorsicht: die Zieladresse könnte eine gefälschte Startseite eines sozialen Netzwerkes sein. Geben Sie dort Ihren Benutzernamen und Kennwort ein, werden die Daten direkt an die Betrüger weitergeleitet. Besonders beliebt sind bei solchen Attacken so genannte Kurz-URLs, bei denen der Nutzer die eigentliche Zieladresse nicht erkennen kann.

  • Sprechen Sie mit Ihren Kindern über deren Aktivitäten in sozialen Netzwerken und klären Sie sie über die Gefahren auf!

Tipp 10: Viele Kinder und Jugendliche sind sich oft nicht bewusst, welche Gefahren in sozialen Netzwerken lauern - Spaß geht ihnen häufig vor Sicherheit. Die Stärkung der "Medienkompetenz" ist eine neue Aufgabe, die Eltern in der Erziehung übernehmen müssen. Aber auch mit anderen Familienangehörigen und Freunden sollten Sie sich über Risiken und Bedenken austauschen.

  • Das Netz vergisst nichts
Informationen, die Sie über soziale Netzwerke verbreiten, bleiben für immer im Netz. Selbst wenn Sie Ihren Account löschen, so ist es doch fast unmöglich, Verlinkungen und Kommentare in anderen Profilen zu entfernen. Veröffentlichen Sie also keine Informationen, bei denen es Ihnen später Leid tun könnte.
  • IT-Sicherheit ist Datensicherheit

Fazit: Wichtiger Bestandteil des Datenschutzes ist, dass Sie Ihren Computer generell vor unerwünschten Angreifern absichern. Ob Sie alle nötigen Maßnahmen für den Basisschutz getroffen haben, können Sie anhand einer Checkliste auf der BSI-Web-Seite überprüfen.

↑ nach oben

Aktuelle Warnung!

Aktuelle Sicherheitslücken in Routern: Heimanwender-Bereich betroffen

Router des Herstellers AVM ("Fritz-Boxen")

In den vergangenen Tagen sind Missbrauchsfälle im Zusammenhang mit Routern des Herstellers AVM mit aktiviertem Fernzugriff bekannt geworden. Dabei haben die Täter von außen auf den Router zugegriffen und kostenpflichtige Telefonnummern im außereuropäischen Ausland angerufen. Der Hersteller empfiehlt die Deaktiverung des Fernzugriffs, sofern dieser zuvor durch den Anwender aktiviert wurde. Eine entsprechende Anleitung und weitere Informationen hat AVM veröffentlicht. Das BSI sieht keinen Zusammenhang mit den kompromittierten 16 Millionen Adressen.

Das BSI empfiehlt allen Nutzern eines Routers, in regelmäßigen Abständen auf den Webseiten des Herstellers zu prüfen, ob eine aktualisierte Firmware für das eingesetzte Modell angeboten wird und dieses bei Verfügbarkeit umgehend einzuspielen. Sofern ein automatisierter Update-Mechanismus angeboten wird, sollte dieser aktiviert werden.


↑ nach oben

Warnungen und aktuelle Informationen

  • Chrome: Neue Malware tarnt sich als Browser
  • Online-Banking: mTan Verfahren ausgehebelt
  • Apple: Betrüger geben sich als Support-Mitarbeiter aus
  • Malvertising: Neue Kampagne auf deutschen Webseiten
  • Adobe: Sicherheitsupdates für Adobe Flash Player und Adobe AIR
  • Apple: Versions- und Sicherheitsupdates für mehrere Produkte
  • Adobe: Shockwave Player erhält Sicherheitspatch
  • Identitätsdiebstahl: Kriminelle sammeln verstärkt Daten
  • Phishing: Vorgebliche E-Mail von Paypal nutzt persönliche Ansprache
  • Android die Erste: 87 Prozent haben kritische Sicherheitslecks
  • Android die Zweite: Neue Schadsoftware verbreitet sich über inoffizielle Portale
  • Adobe: BSI empfiehlt den Flash Player zu deaktivieren
  • Google: Sicherheitsupdate für den Chrome Browser
  • Microsoft: Patchday bei Microsoft
  • Adobe: Patchday bei Adobe
  • Netgear: Sicherheitsupdate für diverse Router
  • Apple: XcodeGhost verseucht offenbar tausende Apps
  • Facebook: Hoax ruft Facebook auf den Plan
  • Trojaner: Falscher Virenscanner
  • Adobe: Sicherheitsupdates für Flash Player und Adobe AIR
  • Mozilla: Sicherheitsupdate für Mozilla Firefox
  • Microsoft: Sicherheitshinweis
  • Stagefright: Aktuelle Informationen zur Stagefright-Lücke


↑ nach oben

Links zu IT-Themen · Hilfe, Tipps und Tricks · Computer-Glossar · BSI-Startseite · Blog botfrei

PRISMA

Facebook

Dritter Anlauf für Verbraucherschutz-Klage: Bereits zum dritten Mal zieht der Verbraucherzentrale Bundesverband gegen Facebook vor Gericht. Nach zwei Klagen gegen den Import von Adressdaten der Nutzer und mangelnde Information über die Datenfreigabe, deren Revision beziehungsweise Berufung nächstes Jahr verhandelt werden, geht es dieses Mal um irreführende Werbung sowie Verstöße gegen deutsche und europäische Daten- und Verbraucherschutzgesetze. Nach Meinung der Verbraucherschützer sei der Slogan „Facebook ist und bleibt kostenlos“ irreführend, da die Verbraucher zwar nicht mit Geld bezahlen, dafür jedoch mit ihren Daten. Diese verkauft das Netzwerk gewinnbringend an Unternehmen, um personalisierte Werbung zu ermöglichen. Weiterer Gegenstand der Klage sind insgesamt 19 Punkte in den Allgemeinen Geschäftsbedingungen des Netzwerks, die rechtswidrig seien. Dazu gehört die Möglichkeit, dass auch Daten von Nichtnutzern beim Besuch der Facebook-Seite gespeichert und an Facebook in den USA weitergegeben werden dürfen. (151029)

BSI-Magazin

Neue Ausgabe von „Mit Sicherheit“: Wie lässt sich IT-Sicherheit erhöhen? Diese Frage steht im Mittelpunkt der aktuellen Ausgabe unseres Magazins „Mit Sicherheit“. Besonders der Privatnutzer hat in der jüngsten Vergangenheit sehr hohen Wert auf die Nutzerfreundlichkeit und Bedienbarkeit seiner Geräte gelegt. Die enorme Steigerung von Cyber-Attacken rückt nun auch die Sicherheit wieder stärker in den Fokus. In der aktuellen Ausgabe von „Mit Sicherheit“ erfahren Sie Wissenswertes über Penetrationstest, das Nationale Cyber-Abwehrzentrum und den Einsatz von De-Mail in der öffentlichen Verwaltung. Zudem können Sie einen Blick hinter die Kulissen der G7-Konferenz werfen. Auch das neue IT-Sicherheitsgesetz und die damit verbundenen neuen Aufgaben des BSI werden vorgestellt. (151029)

ECSM

Mehr Sicherheit bei der Nutzung von Cloud Computing: Cloud Computing erfreut sich steigender Beliebtheit: Die Daten in der Cloud sind jederzeit über ein beliebiges internetfähiges Endgerät zugänglich, lassen sich schnell und einfach mit anderen teilen und für die Sicherheit der Daten sorgt der Anbieter. Im Rahmen des European Cyber Security Month (ECSM), den wir Ihnen in den letzten beiden Ausgaben unseres Newsletters vorgestellt haben, gibt das BSI in der Themenwoche „Cloud Computing mit Sicherheit“ vom 24. bis 31. Oktober 2015 Hinweise für die sichere Nutzung von Cloud-Angeboten. Dies beginnt beim Abruf oder Transport der Daten aus beziehungsweise in die Cloud: Nutzer sollten nur geschützte Geräte und sichere Passwörter für den Zugriff auf die Cloud-Dienste nutzen. Öffentliche oder ungesicherte WLANs gilt es zu vermeiden, da es Angreifer dort besonders leicht haben, Zugangsdaten abzugreifen. Und besonders sensible Daten sollten vor der Speicherung in der Cloud verschlüsselt werden. Ausführliche Informationen zum ECSM finden Sie in englischer Sprache auf der Webseite des Aktionsmonats zum Nachlesen. (151029)

Hacking

Deutsches Team ist Vizemeister der European Cyber Security Challenge: Gibt es Hacking auch für einen guten Zweck? Ja, wenn es um die Förderung von zukünftigen Fachkräften für IT-Sicherheitsunternehmen und -Organisationen geht. Denn wer Cyber-Angriffe erfolgreich abwehren will, muss die Fähigkeiten der anderen Seite, der Angreifer also, kennen und ebenso beherrschen. Da kluge Köpfe zur Bekämpfung von Cyber-Bedrohungen immer wichtiger werden, veranstaltete die Europäische Agentur für Netz- und Informationssicherheit ENISA am 21. Oktober im schweizerischen Luzern die European Cyber Security Challenge. Sechs Teams IT-begeisterter Schüler und Studenten aus Deutschland, England, Österreich, Rumänien, aus der Schweiz und aus Spanien traten im Hacking-Wettbewerb gegeneinander an. Neben technischem Können zählten auch Teamgeist und gute Präsentationsfähigkeit bei der Bewertung der Nachwuchstalente. Das zehnköpfige Team aus Deutschland wurde hierbei Vize-Europameister. Im Vorfeld des europäischen Wettbewerbs hatten sich die IT-Nachwuchstalente des deutschen Teams auf nationaler Ebene bei der Cyber Security Challenge Germany für das Europa-Finale der Initiative qualifiziert. (151029)

Passwortschutz

Schülerin verkauft sichere Passwörter an Nutzer: Sichere Passwörter sind wichtig für jeden, der sich im Internet bewegt. Vielen Nutzern ist es jedoch zu mühsam und zeitaufwändig, sichere Passwörter für sämtliche Nutzerkonten von unterschiedlichen Online-Diensten, die ein Log-in erfordern, zu erstellen. Eine elfjährige Schülerin im US-amerikanischen New York hat diese Nachlässigkeit gewissermaßen als Marktlücke entdeckt und bessert sich ihr Taschengeld mit der Erstellung sicherer Passwörter auf, wie das Onlineportal gulli.com berichtet. Für zwei US-Dollar pro Stück verkauft das Mädchen die Passwörter, die sie selbst mithilfe der sogenannten Diceware-Methode erstellt. Bei diesem Verfahren werden anhand von Würfeln und Wortlisten Passwörter generiert. Wie Sie den Überblick über Ihre Passwörter behalten und sich möglichst einfach zu merkende aber sichere Zugangsdaten für Online-Dienste anlegen können, haben wir für Sie in einer Übersicht auf BSI zusammengestellt. (151029)

Unternehmen

WLAN schwächstes Glied in der IT-Sicherheit: Einer Studie der Computerwoche zufolge stellen WLAN-Netzwerke das größte Sicherheitsrisiko für IT-Infrastrukturen in Unternehmen dar. Bisher hätte die drahtlose Übertragung von Daten keine Priorität bei den Investitionen in IT-Sicherheit besessen. Zudem haben in Deutschland 33 Prozent der befragten IT-Verantwortlichen nicht einmal die grundlegendste Sicherheitsmaßnahme in Form einer Benutzerauthentifizierung eingerichtet. Ergänzend ließe sich hinzufügen, dass viele Unternehmen auch Schulungen zur IT-Sicherheit eher vernachlässigen als pflegen. Auch vor dem Hintergrund, dass viele Angestellte mobile Geräte sowohl privat als auch dienstlich nutzen, ist das für Betriebsgeheimnisse riskant. Das BSI hat deshalb zwei von vier Themen des Europäischen Monats der Cyber-Sicherheit der IT-Sicherheit in Unternehmen gewidmet: "Cyber-Sicherheit für Arbeitnehmer – wie verhalte ich mich am Arbeitsplatz" und "Cyber-Sicherheit als Managementaufgabe – wie schafft man ein Umfeld für IT-Sicherheit". (151001)

Datenschutz

Windows 10 in Zukunft nicht mehr plauderhaft?: Die Leidenschaft von Windows 10, Daten zu sammeln und an Microsoft weiterzugeben, hatte für ??Link corrupted?? gesorgt. Auf Microsofts Agenda scheint nun zu stehen, von Rechtfertigungen (auf Englisch) zur Nachbesserung zu wechseln: Microsoft hat ein neues Update für Windows 10 angekündigt, in dem Nutzer festlegen können, dass gar keine Daten mehr an das Unternehmen geschickt werden. Sollte das Update erscheinen, werden Privatanwender allerdings keinen Nutzen davon haben – zumindest nicht sofort. Denn wie gulli.com berichtet, soll sich die Aktualisierung auf die Enterprise-Edition von Windows 10 beziehen. Anwender der Versionen Home und Pro blieben außen vor. Es ist jedoch nicht auszuschließen, dass Microsoft auch gegenüber Privatanwendern ein Einsehen hat. Zu wünschen wäre es. (151001)

Let's-Encrypt

Erstes Zertifikat der alternativen Zertifizierungsstelle: Wenn Sie die Webseite Ihrer Bank besuchen, werden Sie in der Adressleiste ein Schloss sehen, das eine verschlüsselte Übertragung garantiert. Die Ausstellung des dafür nötigen Zertifikats kostet Geld. Geld, dass Banken haben, andere Organisationen, bei denen Verschlüsselung ebenfalls sinnvoll wäre, jedoch nicht. Let's Encrypt ist ein Projekt der in den USA als gemeinnützig anerkannten Internet Security Research Group (ISRG). Es setzt sich zum Ziel, kostenlose Zertifikate auszugeben, um Verschlüsselung zu verbreiten. Auch wenn Let's Encrypt erst im vierten Quartal 2015 als Zertifizierungsstelle anerkannt sein möchte, liegt nunmehr ein Wurzelzertifikat vor. Mit einem Wurzelzertifikat, auch Stammzertifikat genannt, wird die Gültigkeit aller untergeordneten Zertifikate kontrolliert. Das Wurzelzertifikat wird in den Browser installiert, unterschiedliche untergeordnete Zertifikate liegen dann auf unterschiedlichen Webservern. Ihr Browser überprüft und akzeptiert das von Ihrer Bank (zum Beispiel bei der Deutschen Telekom) gekaufte untergeordnete Zertifikat, weil der Browser von Haus aus mit einem einem entsprechenden Wurzelzertifikat (in unserem Beispiel der Deutschen Telekom) ausgestattet ist. Im Moment müssen Anwender das Wurzelzertifikat von Let's Encrypt noch manuell herunterladen (Webseite auf Englisch) und installieren. Let's Encrypt befindet sich jedoch im Gespräch mit Mozilla, Google, Apple und Microsoft, um das Wurzelzertifikat in deren Browser zu integrieren. Ziehen die Hersteller mit, kann Let's Encrypt an Betreiber von Webseiten kostenlose SSL/TLS-Zertifikate herausgeben, die von den Browsern so umstandslos akzeptiert werden, wie das Ihrer Bank. (150917)

Informationsplattform

Jugend.Support: Auf Jugend.Support geht es um die Themen Cybermobbing, Sexuelle Belästigung, Gewalt und Selbstgefährdung. Neben den Informationen, was unter den einzelnen Themengebieten zu verstehen ist, geht es auch um die Folgen und wie man sich davor schützen kann. Behandelt werden ebenfalls die rechtlichen Aspekte und die Frage, wo Hilfe zu bekommen ist. Die Themen Datenschutz und Privatsphäre sowie die erforderlichen Einstellungen in häufig genutzten Sozialen Netzwerken fehlen im Angebot des Bundesministeriums für Familie, Senioren, Frauen und Jugend nicht. (150709)

Kostenlos

BSI Sicherheitstipps: Die beliebten Broschüren des BSI mit den Sicherheitstipps zu den Themen „Sicher unterwegs mit Smartphone, Tablet & Co“; „Soziale Netzwerke“; „Surfen, aber sicher!“ und „In die Cloud - aber sicher!“ können wieder kostenlos bestellt werden. Die Lieferung von Einzelexemplaren, insbesondere an Privatpersonen, erfolgt frei Haus. Für Einzelpersonen ist das Limit auf fünf Exemplare begrenzt, Mittler und Träger politischer Bildung sowie öffentliche Einrichtungen und Unternehmen erhalten maximal 50 Exemplare. (150709)

Private Cloud

Empfehlungen für den Betrieb von ownCloud: Statt einem fremden Dienstleister eigene Daten anzuvertrauen, richten Unternehmen, aber auch versierte Privatpersonen, zunehmend eine eigene Cloud ein. Ein beliebtes Programm zu diesem Zweck ist ownCloud. Unter dem Namen "Betrieb und Sicherheit von ownCloud" hat das BSI deshalb ein kostenfreies Dokument mit zahlreichen Hinweisen zur Absicherung des privaten Cloudspeichers. Die Vorschläge richten sich in erster Linie an Unternehmen, sind aber auch für Privatanwender interessant. (150625)

Geräteschutz

Tipps zum Schützen Ihrer mobilen Geräte: Die Zeitschrift PC-Welt hat Tipps zum Schutz von iOS- und Android- Geräten veröffentlicht. Bei der Gelegenheit: Kennen Sie unsere Tipps zum Basisschutz für Smartphone und Co. und unseren Basisschutz für Apps? (150611)

E-Mail-Sicherheit

Einfallstor für Schadprogramme: In seinem Quartalsthema Thema Q2/2015: E-Mail- Sicherheit beschäftigt sich das BSI auf der Seite der Allianz für Cyber-Sicherheit mit den Bedrohungen der E-Mailkommunikation. E-Mails werden sowohl im beruflichen als auch im privaten Kontext häufig eingesetzt und sind – im Gegensatz zum analogen Brief - von überall abruf- und verschickbar. Dieser Fakt sorgt dafür, dass E-Mails als ein beliebtes Einfallstor für digitale Schädlinge aller Art angesehen werden. Über die digitale Post können sich Schadprogramme wie Viren, Würmer und Trojanische Pferde verbreiten. Unser Quartalsthema richtet sich schwerpunktmäßig an professionelle Nutzer und Administratoren von E-Mail-Diensten. Einige nützliche Tipps und Anregungen für Privatanwender sind jedoch auch dabei. Mehr Informationen zu den Risiken des E-Mail-Verkehrs und Empfehlungen, wie Sie sich schützen können, finden Sie natürlich auch auf der Seite des BSI. (150528)

Klicksafe

Internetleitfaden für Jugendliche: Unter dem Titel "Das Web, wie wir’s uns wünschen" hat die Initiative klicksafe gemeinsam mit Google und Unitymedia KabelBW einen neuen Internetleitfaden für Jugendliche vorgestellt. Das Handbuch richtet sich an 13- bis 16-Jährige und enthält Tipps und Übungen, unter anderem zu Themen wie digitale Spuren, Online-Reputation sowie Rechte und Pflichten in der digitalen Welt. Der in acht Sprachen erschienene Leitfaden ist das Ergebnis eines europaweiten Kooperationsprojektes von European Schoolnet, Insafe, Google und Liberty Global und wurde gemeinsam mit Jugendlichen entwickelt. Die deutsche Broschüre entstand mit Unterstützung von klicksafe und ist kostenlos im Internet abrufbar. (140403)

Flyer für Eltern

Sicherer in sozialen Netzwerken: klicksafe hat seinen Flyer „Sicherer in Sozialen Netzwerken:Tipps für Eltern“ in einer vollständig aktualisierten Version veröffentlicht. Der Flyer informiert Eltern über soziale Netzwerke und Gemeinschaften im Internet sowie über die damit verbundenen Risiken. Zusätzlich finden Eltern Tipps, wie das Thema mit Kindern besprochen werden kann. Der Flyer kann auf der klicksafe-Webseite heruntergeladen oder bestellt werden. (140206)


↑ nach oben

Unter Buerger-Cert haben Sie die Möglichkeit, den Newsletter zu abonnieren

Siehe auch

Aktuelle Ereignisse · Hilfe · Verbraucherberatung · Ortsrecht · Recht · Hilfreiche Links

Ansichten
Persönliche Werkzeuge