Lohra-Wiki

IT-Sicherheit

Aus Lohra-Wiki

(Unterschied zwischen Versionen)
Wechseln zu: Navigation, Suche
(Extraausgabe: 08.02.)
(Update 14.2.)
Zeile 9: Zeile 9:
'''IT-Sicherheit'''
'''IT-Sicherheit'''
 +
 +
'''14.02.2013'''
 +
 +
Das Internet ist nicht nur für viele Erwachsene faszinierend, sondern gerade auch für Jugendliche und Kinder. Weil Computer, Smartphones und Tablets in den Haushalten mittlerweile allgegenwärtig sind, kommen bereits die Kleinsten frühzeitig fast unweigerlich in Kontakt mit der Online-Welt. Mit dem Vermitteln von Medienkompetenz beginnen Eltern deshalb am besten schon im Vorschulalter – ein neuer Ratgeber hilft dabei.
'''31.01.2013'''
'''31.01.2013'''
Zeile 17: Zeile 21:
Das Betriebssystem Windows XP wurde von Microsoft im Jahre 2001 auf den Markt gebracht. Heute, zwölf Jahre später, läuft es noch auf vielen privat genutzten Computern. Am 8. April 2014 wird Microsoft die Unterstützung für das System einstellen, also auch keine Sicherheitsupdates mehr bereitstellen. Cyber-Kriminelle haben es dann noch leichter als bisher Windows XP-Anwender anzugreifen. Für einen Wechsel auf ein aktuelleres Betriebssystems sollte man sich rechtzeitig Gedanken machen.  
Das Betriebssystem Windows XP wurde von Microsoft im Jahre 2001 auf den Markt gebracht. Heute, zwölf Jahre später, läuft es noch auf vielen privat genutzten Computern. Am 8. April 2014 wird Microsoft die Unterstützung für das System einstellen, also auch keine Sicherheitsupdates mehr bereitstellen. Cyber-Kriminelle haben es dann noch leichter als bisher Windows XP-Anwender anzugreifen. Für einen Wechsel auf ein aktuelleres Betriebssystems sollte man sich rechtzeitig Gedanken machen.  
-
 
-
'''20.12.2012'''
 
-
 
-
Smartphones und Tablets sind in diesem Jahr die beliebtesten Hightech-Geschenke zu Weihnachten: Jeder fünfte Deutsche wünscht sich ein Smartphone, 18 Prozent der Bundesbürger würden sich über ein Tablet freuen [http://www.bitkom.org/74258_74253.aspx Quelle:Bitcom]. Doch der sichere Umgang mit der Technik will gelernt sein, auch gilt es rechtliche Aspekte beim Surfen und Downloaden zu beachten. Sich hierüber schlau zu machen – auch dafür sollte an den Feiertagen ein wenig Zeit übrig sein.
 
Zeile 129: Zeile 129:
= [https://www.buerger-cert.de/archiv.aspx?param=Wmr75oC1mx2faxfVcnecb3Z19AQwXkki Warnungen und aktuelle Informationen] =
= [https://www.buerger-cert.de/archiv.aspx?param=Wmr75oC1mx2faxfVcnecb3Z19AQwXkki Warnungen und aktuelle Informationen] =
 +
 +
* '''Durch die Hintertür:''' Android-Schadprogramm greift auch Windows-PC an
 +
* '''Hacker-Angriff auf Twitter:''' Hunderttausende Passwörter gestohlen
 +
* '''Niederlande und Kanada gegen WhatsApp:''' Messaging bricht Datenschutz-Gesetze
 +
* '''Sicherheitsupdate für D-Link-Router:''' Netzwerke sind praktisch ungeschützt
 +
* '''Smartphones von Samsung orten:''' Ortungsdienst Dive hilft bei Diebstahl und Verlust
 +
* '''iOS 6.1 veröffentlicht:''' Update für iPhone-Betriebssystem
 +
* '''Mehr Sicherheit per Klick:''' Manuelle Aktivierung von Plug-Ins im Firefox
* '''Neue Variante von Schadsoftware:''' Rechner aus Gründen unbefugter Netzaktivitäten gesperrt
* '''Neue Variante von Schadsoftware:''' Rechner aus Gründen unbefugter Netzaktivitäten gesperrt
Zeile 139: Zeile 147:
* '''Google liefert Updates:''' Fünf Sicherheitslöcher in Google Chrome geschlossen
* '''Google liefert Updates:''' Fünf Sicherheitslöcher in Google Chrome geschlossen
* '''Mozilla muss nachbessern:''' Update für neuesten Firefox
* '''Mozilla muss nachbessern:''' Update für neuesten Firefox
-
 
-
* '''Keine Post vom Ministerium:''' Phishing-E-Mails fordern Kreditkartenverifizierung
 
-
* '''Gefährlicher Anhang:''' Viren in falscher ImmobilienScout24-Rechnung
 
-
* '''Wurm drin:''' Dia-Scanner als Trojanisches Pferd
 
-
* '''Zu lange Adressen:''' Browser-Plugin des Foxit Readers mit Sicherheitslücke
 
-
* '''Nutzerkonten-Wirrwarr bei Dawanda.de:''' Sicherheitspanne bei Online-Kaufhaus
 
-
* '''Hacker-Angriff auf Spieleportal:''' Uplay-Konten teilweise gesperrt
 
-
* '''Notfall-Patch für Java 7:''' Oracle schließt kritische Sicherheitslücke
 
-
* '''Hilfe für IE-Anwender:''' Kritische Schwachstelle im Internet Explorer behoben
 
-
* '''Webcam-Entführung:''' Facebook schließt Sicherheitslücke im Video-Upload
 
-
* '''Support-Ende für Windows XP:''' Betriebssystem wird unsicherer
 
Zeile 157: Zeile 154:
= PRISMA =
= PRISMA =
 +
 +
== Studie unter Internetnutzern ==
 +
 +
'''Jeder Zweite Opfer von Online-Kriminalität:'''
 +
Rund die Hälfte der Internetnutzer in Deutschland ist schon einmal zum Opfer von Online-Angriffen geworden. 55 Prozent der Männer und 39 Prozent der Frauen gaben dies in einer repräsentativen Studie der GfK an. Bei 26 Prozent der 1000 Befragten wurde Schadsoftware installiert, elf Prozent mussten für eine vermeintliche Gratis-Dienstleistung doch bezahlen und neun Prozent haben online für eine Leistung bezahlt, die sie später nicht bekommen haben. Nach Einschätzung der Hälfte der Befragten bleibt die Sicherheitslage im Internet in etwa gleich, jedoch geht ein Drittel der Internetnutzer von einer Verschlechterung der Sicherheitslage aus. Die Studie wurde im Auftrag von FriendScout24 angefertigt. Auf seiner Website bietet das Unternehmen die Ergebnisse zum Download an [http://presse.friendscout24.de/media/pressemitteilungen/51122e016e68e53df7000008/downloads/1/datei/FRS24_Studie_Safer-Internet-Day-2013.pdf (PDF)]. (130214)
 +
 +
== Safer Internet Day 2013 ==
 +
 +
'''Der Tag des sicheren Internets:'''
 +
Anlässlich des Safer Internet Day am 5. Februar haben viele deutsche Verbände und Institutionen Aktionen durchgeführt. Hervorzuheben ist das Buch „Spielen und Lernen: Online sein“, das klicksafe.de an diesem Tag veröffentlicht hat. Es steht als kostenloses [http://www.klicksafe.de/service/materialien/broschueren-ratgeber/spielen-und-lernen-online-sein/ PDF] zur Verfügung und soll die digitale Medienkompetenz von Kindern im Alter von vier bis acht Jahren fördern sowie Eltern sensibilisieren, auf die Online-Aktivitäten ihrer Kinder zu achten. Weitere Themen am Safer Internet Day waren Cybermobbing unter Jugendlichen, rechtliche Themen wie Abofallen und Urheberrecht sowie Datenschutz in Zeiten von „Big Data“. Eine Zusammenfassung hat die Redaktion von [http://www.heise.de/security/meldung/Safer-Internet-Day-Mehr-Aufmerksamkeit-fuer-Online-Sicherheit-1797419.html heise Security] erstellt. Der [http://www.saferinternetday.org Safer Internet Day] wurde von der EU initiiert. Er findet jedes Jahr im Februar statt, um vor allem bei Kindern und Jugendlichen für einen sicheren und verantwortungsvollen Umgang mit dem Netz zu werben. (130214)
== Sony muss Strafe zahlen ==
== Sony muss Strafe zahlen ==
Zeile 192: Zeile 199:
'''Ist Ihre Internetseite sicher?:'''  
'''Ist Ihre Internetseite sicher?:'''  
Der Verband der deutschen Internetwirtschaft – kurz eco – hat die „Initiative-S“ ins Leben gerufen. Auf der Website [https://www.initiative-s.de/ initiative-s] kann jedes Unternehmen prüfen, ob über seine Domain Schadcode verteilt wird. Der Dienst soll vor allem kleinen und mittelständischen Unternehmen helfen, die Sicherheit ihres Internetangebotes zu erhöhen. Häufig hätten kleinere Unternehmen nicht genug technische und personelle Ressourcen, um ihre Internetpräsenzen abzusichern, heißt es auf der Webseite. Der Ablauf der Prüfung ist denkbar einfach: Unternehmen können auf www.initiative-s.de den Webseiten-Check kostenlos durchführen. Dazu muss lediglich die Domain in eine Maske eingegeben und eine Referenz-E-Mail-Adresse hinterlegt werden. Anschließend wird der Webauftritt auf Malware überprüft. Wird ein Schadprogramm identifiziert, bekommt das Unternehmen eine E-Mail mit einer Anleitung zur Beseitigung des Schadcodes. Wer weitere Hilfe bei diesen Schritten benötigt, wird von Experten telefonisch unterstützt. (121206)
Der Verband der deutschen Internetwirtschaft – kurz eco – hat die „Initiative-S“ ins Leben gerufen. Auf der Website [https://www.initiative-s.de/ initiative-s] kann jedes Unternehmen prüfen, ob über seine Domain Schadcode verteilt wird. Der Dienst soll vor allem kleinen und mittelständischen Unternehmen helfen, die Sicherheit ihres Internetangebotes zu erhöhen. Häufig hätten kleinere Unternehmen nicht genug technische und personelle Ressourcen, um ihre Internetpräsenzen abzusichern, heißt es auf der Webseite. Der Ablauf der Prüfung ist denkbar einfach: Unternehmen können auf www.initiative-s.de den Webseiten-Check kostenlos durchführen. Dazu muss lediglich die Domain in eine Maske eingegeben und eine Referenz-E-Mail-Adresse hinterlegt werden. Anschließend wird der Webauftritt auf Malware überprüft. Wird ein Schadprogramm identifiziert, bekommt das Unternehmen eine E-Mail mit einer Anleitung zur Beseitigung des Schadcodes. Wer weitere Hilfe bei diesen Schritten benötigt, wird von Experten telefonisch unterstützt. (121206)
-
 
-
== Tipps zur E-Mail-Sicherheit ==
 
-
 
-
'''Mehr Vertraulichkeit für die „digitale Postkarte“:'''
 
-
Die Sicherheit von E-Mails kommt nach wie vor zu kurz“, schreibt das IT-Fachmagazin [http://www.computerwoche.de/security/2515185/ Computerwoche] – und gibt Hinweise, wie man E-Mails sicher verschicken und empfangen kann. Dazu zählt zum Beispiel der Hinweis, dass in E-Mails keine vertraulichen Daten wie die von Bankkonten und Kreditkarten gehören. Denn E-Mails sind standardmäßig nicht verschlüsselt und deshalb wie eine Postkarte öffentlich einsehbar. Abhilfe kann das Verschlüsseln von E-Mails schaffen. Dafür gibt es zum Beispiel das Programm [https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/Gpg4win_neue_Version_15032011.html Gpg4win], das das BSI empfiehlt. Auch den Hinweis, dass Anwender E-Mails nicht im HTML-Modus anzeigen lassen sollten, liefert der lesenswerte Computerwoche-Artikel über E-Mail-Sicherheit. Mehr Informationen zum Thema E-Mail-Verschlüsselung finden Sie auch auf der [https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/Verschluesseltkommunizieren/Einsatzbereiche/einsatzbereiche_node.html BSI-Website]. (121011)
 
-
 
-
== Nachrichten, die sich selbst zerstören ==
 
-
 
-
'''Dienst „Burn Note“ bietet Verfallsdatum für Textnachrichten:'''
 
-
Nachrichten, die sich nach gewisser Zeit selbst zerstören - das kannte man bis jetzt nur aus der Fernsehserie bzw. der Kinofilmreihe „Mission Impossible“. Mit dem Onlinedienst „Burn Note“ kann sich nun jeder Anwender wie ein Geheimagent fühlen. Auf der Website burnnote.com können Anwender einen Text eingeben. Auf den Text erhält der Empfänger Zugriff über eine Kurz-URL, die er nur einmal aufrufen kann. Der Absender kann etwa festlegen, nach welcher Zeit der Text gelöscht wird, ob er kopiert werden darf oder ob der Text in kurz sichtbaren Fragmenten unterteilt dargestellt werden soll, um das Mitlesen durch Unbefugte zu erschweren. Nach Angaben der Betreiber werden die Nachrichten nur so lange auf den Burn-Note-Servern verschlüsselt gespeichert, bis die Nachricht abgerufen wurde. Wird sie gar nicht abgerufen, wird sie nach 72 Stunden automatisch gelöscht. Der Dienst kann anonym genutzt werden. Wer einen Account anlegt, erhält Nachricht darüber, sobald ein Empfänger eine URL geöffnet hat. Der weist [http://www.golem.de/news/burnnote-diese-nachricht-zerstoert-sich-in-3-minuten-selbst-1205-91911.html IT-Newsdienst golem.de] darauf hin, dass Burn Note eine verschlüsselte Kommunikation nicht ersetzen kann, aber eine Alternative für den Versand privater Nachrichten sei, die, wie es heißt, nicht „allzu sicher sein müssen“. Wie Sie E-Mails sicher verschlüsselt versenden können, erfahren Sie auf der [https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/Verschluesseltkommunizieren/verschluesselt_kommunizieren_node.html Website BSI] im Kapitel „Verschlüsselt kommunizieren“. (120607)
 
== „Pulse“ ==
== „Pulse“ ==

Version vom 22:37, 16. Feb. 2013


IT-Sicherheit

14.02.2013

Das Internet ist nicht nur für viele Erwachsene faszinierend, sondern gerade auch für Jugendliche und Kinder. Weil Computer, Smartphones und Tablets in den Haushalten mittlerweile allgegenwärtig sind, kommen bereits die Kleinsten frühzeitig fast unweigerlich in Kontakt mit der Online-Welt. Mit dem Vermitteln von Medienkompetenz beginnen Eltern deshalb am besten schon im Vorschulalter – ein neuer Ratgeber hilft dabei.

31.01.2013

Die sogenannte Social-Engineering-Methode war bei Hackern einmal groß in Mode: Angreifer klonten E-Mails und Webseiten, die den Originalen verblüffend ähnlich waren. Sie wollten damit Nutzer zu einer Handlung bewegen, etwa PINs und Transaktionsnummern einzugeben oder einen Anhang oder Link zu öffnen. Datenschützer und IT-Experten warnten wiederholt: Keine Anhänge öffnen, die man nicht kennt, keine Rechnungen bezahlen, von denen man nicht weiß, woher sie stammen. Trotz der Warnungen bleibt die Masche für Angreifer scheinbar nach wie vor attraktiv.

17.01.2013

Das Betriebssystem Windows XP wurde von Microsoft im Jahre 2001 auf den Markt gebracht. Heute, zwölf Jahre später, läuft es noch auf vielen privat genutzten Computern. Am 8. April 2014 wird Microsoft die Unterstützung für das System einstellen, also auch keine Sicherheitsupdates mehr bereitstellen. Cyber-Kriminelle haben es dann noch leichter als bisher Windows XP-Anwender anzugreifen. Für einen Wechsel auf ein aktuelleres Betriebssystems sollte man sich rechtzeitig Gedanken machen.


BSI-Gesetz


Inhaltsverzeichnis

„Sozialen Netzwerke“

  • Seien Sie zurückhaltend mit der Preisgabe persönlicher Informationen!

Tipp 1: Nicht alles, was Sie über sich wissen, müssen andere Menschen wissen. Überprüfen Sie kritisch, welche privaten Daten Sie "öffentlich" machen wollen. Bedenken Sie zum Beispiel, dass immer mehr Arbeitgeber Informationen über Bewerber im Internet recherchieren. Auch Headhunter, Versicherungen oder Vermieter könnten an solchen Hintergrundinformationen interessiert sein.

  • Erkundigen Sie sich über die Allgemeinen Geschäftsbedingungen und die Bestimmungen zum Datenschutz!

Tipp 2: Mit beidem sollten Sie sich gründlich vertraut machen - und zwar bevor Sie ein Profil anlegen. Nutzen Sie unbedingt die verfügbaren Optionen des sozialen Netzwerks, mit denen die von Ihnen eingestellten Informationen und Bilder nur eingeschränkt "sichtbar" sind: Sollen nur Ihre Freunde Zugriff darauf haben oder auch die Freunde Ihrer Freunde oder alle Nutzer?

  • Seien Sie wählerisch bei Kontaktanfragen - Kriminelle "sammeln" Freunde, um Personen zu schaden!

Tipp 3: Bei Personen, die Sie nicht aus der "realen" Welt kennen, sollten Sie kritisch prüfen, ob Sie diese in Ihre Freundesliste aufnehmen wollen. Der oder die Unbekannte könnte auch böswillige Absichten haben. Kriminelle könnten zum Beispiel ausspionieren, wann Ihre Wohnung leer steht. "Unechte Profile" werden nachweislich dazu genutzt, Personen zu schaden - sei es aus Rache, Habgier oder anderen Beweggründen.

  • Melden Sie "Cyberstalker", die Sie unaufgefordert und dauerhaft über das soziale Netzwerk kontaktieren.

Tipp 4: Dafür können Sie sich meistens direkt an die Betreiber des jeweiligen sozialen Netzwerkes wenden. Diese können der Sache nachgehen und gegebenenfalls das unseriöse Profil löschen. In besonderen Fällen sollten Sie auch die Polizei für eine Strafverfolgung informieren.

  • Verwenden Sie für jedes soziale Netzwerk ein unterschiedliches und sicheres Passwort!

Tipp 5: Seien Sie sich aber auch darüber bewusst, dass Ihre Daten auf fremden Rechnern gespeichert sind. Das heißt die Sicherheit Ihrer Daten hängt nicht nur von Ihnen ab, sondern auch von den Betreibern des sozialen Netzwerks: wird deren Server gehackt, sind Ihre Daten nicht mehr sicher. Wenn Missbrauch bekannt wird, informieren Sie auch Ihre Freunde.

  • Geben Sie keine vertraulichen Informationen über Ihren Arbeitgeber und Ihre Arbeit preis!

Tipp 6: Berufliche Informationen haben in sozialen Netzwerken nichts verloren. Auch Wirtschaftsspione haben soziale Netzwerke fuer sich entdeckt und versuchen dort, wertvolle Informationen abzuschöpfen. Das kann Ihre Firma Geld und Sie den Job kosten.

  • Prüfen Sie kritisch, welche Rechte Sie den Betreibern sozialer Netzwerke an den von Ihnen eingestellten Bildern und Texten einräumen!

Tipp 7: Keine Leistung ohne Preis: Die Eintrittskarte in soziale Netzwerke kostet Sie die Preisgabe von Informationen. Viele Firmen sind bereit, für diese Daten Geld zu bezahlen, um gezielt Werbung verschicken zu können. Geben Sie den sozialen Netzwerken die Rechte an Ihren Bildern, können diese theoretisch von den Betreibern weiterverkauft werden. Prüfen Sie auch, ob das gewährte Nutzungsrecht womöglich bestehen bleibt, wenn Sie Ihr Profil löschen.

  • Wenn Sie "zweifelhafte" Anfragen von Bekannten erhalten, erkundigen Sie sich außerhalb sozialer Netzwerke nach der Vertrauenswürdigkeit dieser Nachricht!

Tipp 8: Identitätsdiebstahl ist ein Risiko des digitalen Zeitalters. Eine fremde Person kann mit Hilfe eines gehackten Accounts, eine fremde Identität übernehmen und deren Freunde täuschen. Betrüger können zum Beispiel Nachrichten verschicken, in denen sie eine Notsituation beschreiben und um finanzielle Hilfe bitten. Mit Hilfe des angelesenen Wissens über die gestohlene Identität kann dabei die Vertrauenswürdigkeit untermauert werden.

  • Klicken Sie nicht wahllos auf Links – Soziale Netzwerke werden verstärkt dazu genutzt, um Phishing zu betreiben!

Tipp 9: Auf einen Link ist schnell geklickt. Aber Vorsicht: die Zieladresse könnte eine gefälschte Startseite eines sozialen Netzwerkes sein. Geben Sie dort Ihren Benutzernamen und Kennwort ein, werden die Daten direkt an die Betrüger weitergeleitet. Besonders beliebt sind bei solchen Attacken so genannte Kurz-URLs, bei denen der Nutzer die eigentliche Zieladresse nicht erkennen kann.

  • Sprechen Sie mit Ihren Kindern über deren Aktivitäten in sozialen Netzwerken und klären Sie sie über die Gefahren auf!

Tipp 10: Viele Kinder und Jugendliche sind sich oft nicht bewusst, welche Gefahren in sozialen Netzwerken lauern - Spaß geht ihnen häufig vor Sicherheit. Die Stärkung der "Medienkompetenz" ist eine neue Aufgabe, die Eltern in der Erziehung übernehmen müssen. Aber auch mit anderen Familienangehörigen und Freunden sollten Sie sich über Risiken und Bedenken austauschen.

  • Das Netz vergisst nichts
Informationen, die Sie über soziale Netzwerke verbreiten, bleiben für immer im Netz. Selbst wenn Sie Ihren Account löschen, so ist es doch fast unmöglich, Verlinkungen und Kommentare in anderen Profilen zu entfernen. Veröffentlichen Sie also keine Informationen, bei denen es Ihnen später Leid tun könnte.
  • IT-Sicherheit ist Datensicherheit

Fazit: Wichtiger Bestandteil des Datenschutzes ist, dass Sie Ihren Computer generell vor unerwünschten Angreifern absichern. Ob Sie alle nötigen Maßnahmen für den Basisschutz getroffen haben, können Sie anhand einer Checkliste auf der BSI-Web-Seite überprüfen.

↑ nach oben

Aktuelle Warnung!

Betrüger versenden E-Mails im Namen des Bundeszentralamts für Steuern

Aktuell versuchen Betrüger per E-Mail an Konto- und Kreditkarteninformationen von Steuerzahlern zu gelangen. Ihre Masche: Sie geben sich per E-Mail als „Bundeszentralamt für Steuern (BZSt)“ aus und geben vor, die betroffenen Bürger hätten zuviel Einkommensteuer gezahlt. Um diese nun zurückzuerhalten, müsse ein in der E-Mail angehängtes Antragsformular ausgefüllt werden, bei dem unter anderem Angaben zu Kontoverbindung und Kreditkarte sowie Sicherheitscode gemacht werden sollen.

Das BZSt warnt davor, auf solche oder ähnliche E-Mails zu reagieren.

Benachrichtigungen über Steuererstattungen werden nicht per Mail verschickt und Kontenverbindungen nie in dieser Form abgefragt. Zuständig für die Rückerstattung von überzahlten Steuern ist zudem nicht das BZSt, sondern das jeweils zuständige Finanzamt.

Fremdes Foto auf Facebook-Pinnwand: Ein Klick und Hunderte Euro sind weg

Extraausgabe

08.02.2013 Sicherheitslücken in Adobe Flash Player

Ausführen beliebigen Schadcodes: Adobe hat eine neue Version für seinen Flash Player bereitgestellt, die zwei kritische Sicherheitslücken stopft. Über diese Lücken ist es in älteren Versionen möglich, beliebige Kommandos auf dem Rechner mit den Rechten des Benutzers auszuführen.

Angreifer sind bereits dabei, diese Lücke weiträumig zu nutzen. Hierfür werden zum einen aktiv Word-Dokumente mit eingebetteten Flash-Daten per E-Mail versendet, die nach Öffnen der Datei den Rechner infizieren. Zum anderen lässt sich eine der bekanntgewordenen Lücken sogar für sog. Drive-By-Exploits verwenden, d.h. dass ohne weitere Aktion des Benutzers bereits der Besuch einer infizierten Webseite ausreicht, um den Rechner in die Gewalt des Angreifers zu bringen. Es wird daher dringend empfohlen, auf die aktuelle Version zu wechseln.

06.02.2013 Kritische Schwachstelle in D-LINK Router DIR-300 und D-LINK Router DIR-600

Ausführen beliebiger Befehle in D-LINK Routern möglich: Durch die Ausnutzung mehrerer Schwachstellen in den D-Link-Routern DIR-300 und DIR-600 ist es einem externen Angreifer möglich, beliebige Befehle mit Administratorrechten auszuführen, um z.B. Informationen offenzulegen oder um Einstellungen zu ändern. Für einige der Schwachstellen liegt ein Machbarkeitsnachweis der Sicherheitslücken vor. Der Code ist im Internet verfügbar.

Es wird empfohlen die angebotenen aktuellen Firmware-Versionen der D-Link-Modelle DIR-300 Rev.B (Firmware 2.14b01), DIR-600 Rev.B1 und B2 (Firmware 2.15b01 [1]) oder DIR-600 Rev.B5 (Firmware 2.15b01) schnellstmöglich zu installieren.

11.01.2013 Kritische Schwachstelle in Ruby on Rails

Angriffscode zur Remotecode-Ausführung veröffentlicht: Durch die Ausnutzung einer neuen Schwachstelle in der XML-Auswertung im Web-Application Framework Ruby on Rails kann ein Angreifer entsprechende Systeme (Server, Applikationen) aus der Ferne kompromittieren und damit beliebigen Code ausführen und Authentisierungsverfahren umgehen.

Die Schwachstelle ist aufgrund der weiten Verbreitung von Ruby on Rails und der sich einem Angreifer bietenden Möglichkeiten besonders kritisch. Die Verfügbarkeit eines Metasploit-Moduls für deren automatisierte Ausnutzung macht einen zeitnahen Anstieg von Angriffen auf ungepatchte Ruby on Rails Webseiten wahrscheinlich.

Das BSI empfiehlt mit besonderer Dringlichkeit allen Administratoren des Frameworks, die von Ruby on Rails angebotenen Updates schnellstmöglich zu installieren. Nicht verwundbar sind nur die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15. Verfügbar sind diese unter der Seite des Herstellers.

↑ nach oben

Warnungen und aktuelle Informationen

  • Durch die Hintertür: Android-Schadprogramm greift auch Windows-PC an
  • Hacker-Angriff auf Twitter: Hunderttausende Passwörter gestohlen
  • Niederlande und Kanada gegen WhatsApp: Messaging bricht Datenschutz-Gesetze
  • Sicherheitsupdate für D-Link-Router: Netzwerke sind praktisch ungeschützt
  • Smartphones von Samsung orten: Ortungsdienst Dive hilft bei Diebstahl und Verlust
  • iOS 6.1 veröffentlicht: Update für iPhone-Betriebssystem
  • Mehr Sicherheit per Klick: Manuelle Aktivierung von Plug-Ins im Firefox
  • Neue Variante von Schadsoftware: Rechner aus Gründen unbefugter Netzaktivitäten gesperrt
  • Spammer missbrauchen ELSTER: Angebliche Steuerbescheide enthalten Schadcode
  • Gefälschte Kurznachrichten: Spam bei Twitter jetzt auch in privaten Nachrichten
  • WhatsApp Ziel von Spammern: Unerwünschte Werbung für Pornografie
  • Java mit Problemen: Sicherheitslücke im Update
  • Gefährliche Reiseinformationen: Trojaner im Namen der Lufthansa
  • Falsche Rechnungen vom Möbelhaus: Ikea warnt vor Betrugsversuch
  • Google liefert Updates: Fünf Sicherheitslöcher in Google Chrome geschlossen
  • Mozilla muss nachbessern: Update für neuesten Firefox


↑ nach oben

Links zu IT-Themen · Hilfe, Tipps und Tricks · Computer-Glossar · BSI-Startseite · Blog botfrei

PRISMA

Studie unter Internetnutzern

Jeder Zweite Opfer von Online-Kriminalität: Rund die Hälfte der Internetnutzer in Deutschland ist schon einmal zum Opfer von Online-Angriffen geworden. 55 Prozent der Männer und 39 Prozent der Frauen gaben dies in einer repräsentativen Studie der GfK an. Bei 26 Prozent der 1000 Befragten wurde Schadsoftware installiert, elf Prozent mussten für eine vermeintliche Gratis-Dienstleistung doch bezahlen und neun Prozent haben online für eine Leistung bezahlt, die sie später nicht bekommen haben. Nach Einschätzung der Hälfte der Befragten bleibt die Sicherheitslage im Internet in etwa gleich, jedoch geht ein Drittel der Internetnutzer von einer Verschlechterung der Sicherheitslage aus. Die Studie wurde im Auftrag von FriendScout24 angefertigt. Auf seiner Website bietet das Unternehmen die Ergebnisse zum Download an (PDF). (130214)

Safer Internet Day 2013

Der Tag des sicheren Internets: Anlässlich des Safer Internet Day am 5. Februar haben viele deutsche Verbände und Institutionen Aktionen durchgeführt. Hervorzuheben ist das Buch „Spielen und Lernen: Online sein“, das klicksafe.de an diesem Tag veröffentlicht hat. Es steht als kostenloses PDF zur Verfügung und soll die digitale Medienkompetenz von Kindern im Alter von vier bis acht Jahren fördern sowie Eltern sensibilisieren, auf die Online-Aktivitäten ihrer Kinder zu achten. Weitere Themen am Safer Internet Day waren Cybermobbing unter Jugendlichen, rechtliche Themen wie Abofallen und Urheberrecht sowie Datenschutz in Zeiten von „Big Data“. Eine Zusammenfassung hat die Redaktion von heise Security erstellt. Der Safer Internet Day wurde von der EU initiiert. Er findet jedes Jahr im Februar statt, um vor allem bei Kindern und Jugendlichen für einen sicheren und verantwortungsvollen Umgang mit dem Netz zu werben. (130214)

Sony muss Strafe zahlen

Folgen des Lecks im Playstation-Netzwerk: Sony muss 250.000 britische Pfund Strafe zahlen, weil es das Playstation-Netzwerk nicht ausreichend abgesichert hat. Das hat die britische IT- und Datenschutzbehörde (UK's Information Commissioner's Office) entschieden, teilt das Blog „Naked Security“ des IT-Sicherheitsdienstleisters Sophos mit. Das Playstation-Spiele-Netzwerk war 2011 mehrere Tage offline. Auch wurden die persönlichen Daten wie Name, Adresse, Geburtsdatum und Kreditkartennummer von Millionen von Anwendern entwendet. Der britische Datenschützer David Smith teilte als Begründung mit, Sony sei zu fahrlässig mit den Daten umgegangen und hätte trotz besseren Wissens für nicht genügend Absicherung gesorgt. (130131)

Ein Passwort reicht doch aus?:

Bequeme Internetnutzer: In einer repräsentativen Umfrage des Forschungsunternehmens TNS Emnid im Auftrag des (BSI) vergeben über die Hälfte der befragten Internetnutzer nicht für jeden Online-Dienst ein eigenes Passwort. Damit machen sie es den Kriminellen leicht, an die Daten der Nutzer zu kommen und schlimmstenfalls in deren Namen Straftaten zu verüben. Mit geringem Aufwand gelingt es den Cyber-Kriminellen Passworte die in Wörterbüchern vorkommen oder aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen (z.B. "asdfgh" oder 1234abcd") zu knacken. Ein starkes Passwort besteht aus Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen und sollte regelmäßig gewechselt werden. (130131)

USB-Stick statt PIN

Google schlägt Alternative zu Passwörtern vor: Wie das IT-Nachrichtenportal zdnet.de berichtet, schlagen zwei Google-Mitarbeiter eine Alternative zu Passwörtern vor. Passwörter seien nicht mehr zeitgemäß, so schreiben die Mitarbeiter in einem Aufsatz. Alternativen seien etwa USB-Tokens – also USB-Sticks, die Anwender immer dabei haben und als Authentifizierung verwenden. Der Stick würde in den Computer gesteckt, ein Passwort sei dann nicht mehr notwendig. In der Zukunft könnten aber auch andere Geräte sicher eine Identität nachweisen. Zum Beispiel ein Ring, der per Bluetooth oder Near-Field-Communication (NFC) mit dem Gerät kommuniziert, auf dem sich der Anwender einloggen will. (130131)

Support-Ende für Windows XP

Betriebssystem wird unsicherer: Ab 8. April 2014 wird Microsoft für das Betriebssystem Windows XP keine Updates mehr veröffentlichen. Das bedeutet praktisch das Ende von Windows XP, wie die IT-Zeitschrift ct.de berichtet. Ohne Updates würde das Betriebssystem so unsicher, dass es nicht mehr zu benutzen sei. Zwar vergehen bis zu diesem Tag noch über ein Jahr – doch für viele Privatanwender als auch Unternehmen kann es sinnvoll sein, diesen Termin im Blick zu haben und ihre Planung in Sachen Hardware- und Software-Kauf danach auszurichten. Denn erstens sind viele alte Hardware-Produkte mit den aktuellen Betriebssystemen Windows 7 und 8 nicht kompatibel, sodass man sich überlegen muss, ob neue Hardware angeschafft wird, wenn auf die neuen Betriebssysteme umgerüstet wird. Zweitens könnte auch ein früheres Upgrade sinnvoll sein. Denn Windows XP ist unsicherer als die Versionen 7 und 8: Die Schutzprogramme von Microsoft mussten im ersten Halbjahr 2012 bei XP-Nutzern doppelt so häufig aktiv werden wie bei den aktuellen Versionen, berichtet ct.de. (120117)

Aufklärung nicht nur für Eltern

Infos zum Datenschutz und Recht im Internet: „Eltern haften für ihre Kinder“ - im Cyberspace gilt dieser Satz nicht immer. Zwei aktuelle Broschüren der Initiative klicksafe.de informieren Eltern darüber, wann und in welchem Umfang sie für das Verhalten ihrer Kinder im Netz juristisch verantwortlich sind und welche Maßnahmen sie ergreifen können, um Ärger zu vermeiden. Der Flyer „Datenschutz-Tipps für Eltern – So sind persönliche Daten im Internet sicher“ klärt Eltern darüber auf, welche Folgen die unbedachte Weitergabe und Verbreitung persönlicher Daten im Internet haben kann. Auch gibt es Hilfestellungen für das korrekte Verhalten im Fall der Fälle. Die Broschüre „Spielregeln im Internet 2“ behandelt Rechtsfragen im Internet umfassender. Auf 68 Seiten werden u.a. folgende Themen abgehandelt: Veröffentlichen und Zitieren im WWW, sicheres Kaufen und Verkaufen im Netz, Umgang mit digitaler Musik, Abofallen, Marken- und Urheberrecht. Der Flyer und die Broschüre können unter den genannten Weblinks kostenlos heruntergeladen oder als Print-Produkt bestellt werden. (121220)

HSTS ist da

Neuer Standard soll SSL-Verschlüsselungen sichern: Mit einer SSL/TLS-Verschlüsselung kann die Internetverbindung zwischen einem Client und einem Server abgesichert werden, etwa beim Online-Banking. Die Verschlüsselung soll unter anderem sicherstellen, dass die übertragenen Daten von Unbefugten nicht abgefangen werden können. Allerdings kann diese Absicherung durch sogenannte Man-in-the-Middle-Angriffe ausgehebelt werden. Der neue technische Standard HTTP Strict Transport Security (HSTS) soll dies nun verhindern. Anders als bei TLS-verschlüsselten Internetverbindungen (HTTPS) ist bei Verbindungen via HSTS bereits der erste Verbindungsaufbau zwischen Server und Browser verschlüsselt. Angreifer können sich dadurch nicht mehr unbemerkt in die Kommunikation einklinken. Vorrausetzung für den neuen Standard ist, dass sowohl der Webseiten-Server als auch der Browser HSTS verarbeiten können. Die aktuellen Versionen von Chrome und Firefox enthalten laut pc-magazin Listen mit Webseiten, die Verbindungen per HSTS aufbauen können. (121206)

Initiative-S

Ist Ihre Internetseite sicher?: Der Verband der deutschen Internetwirtschaft – kurz eco – hat die „Initiative-S“ ins Leben gerufen. Auf der Website initiative-s kann jedes Unternehmen prüfen, ob über seine Domain Schadcode verteilt wird. Der Dienst soll vor allem kleinen und mittelständischen Unternehmen helfen, die Sicherheit ihres Internetangebotes zu erhöhen. Häufig hätten kleinere Unternehmen nicht genug technische und personelle Ressourcen, um ihre Internetpräsenzen abzusichern, heißt es auf der Webseite. Der Ablauf der Prüfung ist denkbar einfach: Unternehmen können auf www.initiative-s.de den Webseiten-Check kostenlos durchführen. Dazu muss lediglich die Domain in eine Maske eingegeben und eine Referenz-E-Mail-Adresse hinterlegt werden. Anschließend wird der Webauftritt auf Malware überprüft. Wird ein Schadprogramm identifiziert, bekommt das Unternehmen eine E-Mail mit einer Anleitung zur Beseitigung des Schadcodes. Wer weitere Hilfe bei diesen Schritten benötigt, wird von Experten telefonisch unterstützt. (121206)

„Pulse“

Online-Tool prüft Sicherheit von SSL-Verschlüsselungen: Viele Websites sind mit dem Protokoll Secure Sockets Layer (SSL) verschlüsselt, etwa Portale zum Online-Banking. Doch dass die Verschlüsselung wirklich sauber implementiert und dadurch wirksam ist, ist allein durch das Vorhandensein der Verschlüsselung noch nicht garantiert. Deshalb hat die Initiative „Trustworthy Internet Movement“ – nach eigenen Angaben unabhängig und nicht profitorientiert – jetzt eine Website mit dem Namen „Pulse“ vorgestellt, die Fehler in der SSL-Verschlüsselung aufdecken soll. So berichtet es unter anderem das IT-News-Portal ZDNet. Es zitiert den Gründer von Trustworthy Internet Movement Philippe Courtot mit der Aussage: „Es war frustrierend zu sehen, bei wie vielen Sites SSL nicht korrekt umgesetzt wurde.“ Auf der Website Pulse können Nutzer eine Internetadresse eingeben und diese auf korrekte SSL-Implementierung hin prüfen lassen. Pulse prüft aber auch selbst kontinuierlich Websites. (120510)

„Virenscanner-Batallion“

Online-Tool prüft Internetseiten auf betrügerische Inhalte: Schadsoftware installiert sich auf dem Computer im Vorbeisurfen – das gehört zu den häufigsten Infektionsmethoden. So reicht es manchmal aus, eine infizierte Website zu besuchen, dass sich ein Trojaner auf dem System des Anwenders einnistet. Um dieser Form der Infektion entgegenzuwirken, weist das Blog des „Anti-Botnet-Beratungszentrums“ des Verbands der deutschen Internetwirtschaft eco auf einen Service des Community-Projekts „Security Incident Reporting Service“ (SIRT) hin. Dessen „Virenscanner-Batallion“, so ist auf dem Blog zu lesen, würde Internseiten auf Drive-by-Downloads, Phishing, Malware, etc. hin untersuchen. Anwender können jede beliebige Internetadresse in das Suchfeld eingeben. Senden sie die URL ab, erscheint der Hinweis „Vielen Dank! Die Webseite wird überprüft.“ Wird das System SIRT fündig, wird die Sicherheitsabteilung des Providers benachrichtigt, bei der die Website gehostet ist. Sollte sich der Verdacht des Befalls mit Schadsoftware bestätigen, wird der entsprechende Inhalt entfernt. Der Anwender hat also keinen unmittelbaren Nutzen, wenn er SIRT eine verdächtige Website mitteilt – er hilft aber, das Internet insgesamt auf lange Sicht sicherer zu machen. (120510)

Eltern-Leitfaden "Kinder sicher im Netz begleiten" erschienen

Wissen rund ums WWW: Nur wenn Eltern sich mit den Neuen Medien beschaeftigen und hier Kompetenzen erwerben, koennen sie auch ihren Kindern helfen, sich sicher im Internet zu bewegen - das ist die Meinung der Initiative Klicksafe der Landesmedienanstalten Rheinland-Pfalz und Nordrhein-Westfalen. Nun hat Klicksafe den Leitfaden "Internetkompetenz fuer Eltern - Kinder sicher im Netz begleiten" veroeffentlicht. Er kann auf klicksafe.de als PDF-Datei kostenlos heruntergeladen werden. Auf 34 Seiten erfahren Eltern das Wesentliche u.a. zu den Themen "Social Web", "Online Games", "Problematische Inhalte und Jugendschutz", "Filter und technischer Schutz" und "Kostenfallen im Netz". Abgerundet wird der Leitfaden durch Fallbeispiele, Handlungsempfehlungen und eine Checkliste. (111013)

Webseite fuer Kinder und Eltern

surfen-ohne-risiko.net: Das Bundesfamilienministerium geht mit einem neuen Internetangebot fuer Eltern und Kinder online: Auf surfen-ohne-risiko koennen Familien sich ueber den sicheren Umgang mit dem World Wide Web informieren. Mithilfe eines speziellen Moduls ist es ausserdem moeglich, sich eine individuelle Startseite zu erstellen: Kindgerechte Nachrichten, Kinderchat, Kindermail, Surf-Tipps und Spiele koennen ganz einfach per Mausklick wie auf einer Magnetwand zusammengestellt werden. In verschiedenen Quizzes zu den Themenbereichen "Surfen", "Chatten" und "Spielen" koennen Kinder und Eltern ausserdem ihr eigenes Wissen testen. Kurzfilme zu den genannten Bereichen klaeren ueber verschiedene Gefahren auf. (110303)

Broschüre rund um Rechtsfragen im Netz

Rechte und Pflichten: "Darf ich Fotos anderer Personen auf Facebook veroeffentlichen?", "Wie reagiere ich, wenn ich eine Abmahnung geschickt bekomme?" Diese und andere Fragen beantwortet die Broschuere "Spielregeln im Internet - Durchblicken im Rechte-Dschungel" der EU-Initiative klicksafe und des Online-Portals iRights.info. Die Experten klaeren in acht Themenschwerpunkten ueber Rechte und Pflichten auf, die man als Internetnutzer hat, und geben nuetzliche Tipps. Schwerpunkte sind beispielsweise Datenschutz in sozialen Netzwerken, Cyberbullying oder Internet-Downloads. Die Broschuere steht auf der Klicksafe-Seite als PDF zum Download bereit oder kann dort als Printversion bestellt werden. (101125)

Anti-Botnet-Beratungszentrum online

www.botfrei.de: Der Verband der deutschen Internetwirtschaft (eco) hat ein Anti-Botnet-Beratungszentrum eingerichtet. Internetnutzer, deren Rechner mit einem so genannten "Bot", also einem zentral fernsteuerbaren Botnetz-Schadprogramm, infiziert sind, finden auf der Internetseite Botfrei Hilfe. Dort gibt es Anleitungen und Programme, mit denen der Computer von den Schadprogrammen befreit werden kann. Eine telefonische Hotline unterstuetzt ausserdem Nutzer, die zusaetzliche Beratung benoetigen. Das Projekt wird vom BSI technisch unterstuetzt. Teilnehmende Internet-Zugangs-Provider informieren Kunden, deren Rechner vermutlich Teil eines Botnetzes sind - Betroffene selbst bemerken die Infektion in der Regel nicht. Auf botfrei.de finden Nutzer auch ausfuehrliche Informationen zur Vorbeugung und nachhaltigen Sicherung ihres Rechners. Mehr Infos zu Botnetzen gibt es auch auf der BSI-Webseite. (100930)

↑ nach oben

Unter Buerger-Cert haben Sie die Möglichkeit, den Newsletter zu abonnieren

Siehe auch

Aktuelle Ereignisse · Hilfe · Verbraucherberatung · Ortsrecht · Recht · Hilfreiche Links

Ansichten
Persönliche Werkzeuge