Aus Lohra-Wiki

IT-Sicherheit

03.09.2015

Man sollte ja annehmen, dass sich Hersteller von Routern der Bedeutung von Geräte-Passwörten bewusst sind. Verschiedene Berichte in den Medien können daran jedoch Zweifel aufkommen lassen. Da sind Passwörter mancher Geräte fest vorgegeben und lassen sich zudem leicht ermitteln. Ein anderes Modell wird gleich ganz ohne Passwort für dessen Administrationsmenü ausgeliefert und enthält zudem diverse weitere Sicherheitslücken. Kurze Produktzyklen und vielleicht auch das Drängen in das Weihnachtsgeschäft, das in diesem Monat wieder anläuft, sorgen womöglich dafür, dass mancherorts Produktdesign größer geschrieben wird als Sicherheitsdesign. Das zeigt auch die Meldung über manche SmartTV-Geräte, die bezüglich Sicherheit ebenfalls nachrüsten sollten.

20.08.2015

Schalten Sie vielleicht auch die Annahme von Cookies in Ihrem Browser ab? An sich ist das ja keine schlechte Idee. Aber wenn Sie sich cookie-frei letztens mit Smartphone oder Tablet bei 1&1, GMX oder Web.de anmeldeten, um Ihre E-Mails zu prüfen, sollten Sie besser Ihr Passwort dort ändern. Es ist nämlich möglich, dass jemand an Ihr Konto kam. Falsche Sicherheit gaukelte auch das Update vor, dass Google verschiedenen Nexus-Modellen gegen die Stagefright-Lücke spendierte.

06.08.2015

Seit einer Woche ist in Deutschland Windows 10 erhältlich. Neben den positiven Berichten findet sich auch Kritik von Datenschützern, Einstellungen des neuen Betriebssystems seien so gesetzt, dass Windows viele Benutzerdaten an die Server von Microsoft schickt. Aber nicht nur Datenschützer, auch Kriminelle hat der Start von Windows 10 auf den Plan gerufen: Es kursiert eine gefälschte E-Mail, die vorgibt, von Microsoft zu kommen und einen erpresserischen Trojaner im Gepäck hat. Das BSI rät derweil dringend zu einem ersten Sicherheits-Update von Windows 10.

BSI-Gesetz

Inhaltsverzeichnis 1 „Sozialen Netzwerke“ 2 Aktuelle Warnung! 2.1 Aktuelle Sicherheitslücken in Routern: Heimanwender-Bereich betroffen 3 Warnungen und aktuelle Informationen 4 PRISMA 4.1 Google 4.2 BSI 4.3 Hacker 4.4 Datenschutz 4.5 Datenschutz 4.6 Informationsplattform 4.7 Kostenlos 4.8 Datenschutz 4.9 Private Cloud 4.10 Domain Name System 4.11 Facebook 4.12 Geräteschutz 4.13 E-Mail-Sicherheit 4.14 Klicksafe 4.15 Flyer für Eltern 5 Siehe auch

„Sozialen Netzwerke“

• Seien Sie zurückhaltend mit der Preisgabe persönlicher Informationen!

Tipp 1: Nicht alles, was Sie über sich wissen, müssen andere Menschen wissen. Überprüfen Sie kritisch, welche privaten Daten Sie "öffentlich" machen wollen. Bedenken Sie zum Beispiel, dass immer mehr Arbeitgeber Informationen über Bewerber im Internet recherchieren. Auch Headhunter, Versicherungen oder Vermieter könnten an solchen Hintergrundinformationen interessiert sein.

• Erkundigen Sie sich über die Allgemeinen Geschäftsbedingungen und die Bestimmungen zum Datenschutz!

Tipp 2: Mit beidem sollten Sie sich gründlich vertraut machen - und zwar bevor Sie ein Profil anlegen. Nutzen Sie unbedingt die verfügbaren Optionen des sozialen Netzwerks, mit denen die von Ihnen eingestellten Informationen und Bilder nur eingeschränkt "sichtbar" sind: Sollen nur Ihre Freunde Zugriff darauf haben oder auch die Freunde Ihrer Freunde oder alle Nutzer?

• Seien Sie wählerisch bei Kontaktanfragen - Kriminelle "sammeln" Freunde, um Personen zu schaden!

Tipp 3: Bei Personen, die Sie nicht aus der "realen" Welt kennen, sollten Sie kritisch prüfen, ob Sie diese in Ihre Freundesliste aufnehmen wollen. Der oder die Unbekannte könnte auch böswillige Absichten haben. Kriminelle könnten zum Beispiel ausspionieren, wann Ihre Wohnung leer steht. "Unechte Profile" werden nachweislich dazu genutzt, Personen zu schaden - sei es aus Rache, Habgier oder anderen Beweggründen.

• Melden Sie "Cyberstalker", die Sie unaufgefordert und dauerhaft über das soziale Netzwerk kontaktieren.

Tipp 4: Dafür können Sie sich meistens direkt an die Betreiber des jeweiligen sozialen Netzwerkes wenden. Diese können der Sache nachgehen und gegebenenfalls das unseriöse Profil löschen. In besonderen Fällen sollten Sie auch die Polizei für eine Strafverfolgung informieren.

• Verwenden Sie für jedes soziale Netzwerk ein unterschiedliches und sicheres Passwort!

Tipp 5: Seien Sie sich aber auch darüber bewusst, dass Ihre Daten auf fremden Rechnern gespeichert sind. Das heißt die Sicherheit Ihrer Daten hängt nicht nur von Ihnen ab, sondern auch von den Betreibern des sozialen Netzwerks: wird deren Server gehackt, sind Ihre Daten nicht mehr sicher. Wenn Missbrauch bekannt wird, informieren Sie auch Ihre Freunde.

• Geben Sie keine vertraulichen Informationen über Ihren Arbeitgeber und Ihre Arbeit preis!

Tipp 6: Berufliche Informationen haben in sozialen Netzwerken nichts verloren. Auch Wirtschaftsspione haben soziale Netzwerke fuer sich entdeckt und versuchen dort, wertvolle Informationen abzuschöpfen. Das kann Ihre Firma Geld und Sie den Job kosten.

• Prüfen Sie kritisch, welche Rechte Sie den Betreibern sozialer Netzwerke an den von Ihnen eingestellten Bildern und Texten einräumen!

Tipp 7: Keine Leistung ohne Preis: Die Eintrittskarte in soziale Netzwerke kostet Sie die Preisgabe von Informationen. Viele Firmen sind bereit, für diese Daten Geld zu bezahlen, um gezielt Werbung verschicken zu können. Geben Sie den sozialen Netzwerken die Rechte an Ihren Bildern, können diese theoretisch von den Betreibern weiterverkauft werden. Prüfen Sie auch, ob das gewährte Nutzungsrecht womöglich bestehen bleibt, wenn Sie Ihr Profil löschen.

• Wenn Sie "zweifelhafte" Anfragen von Bekannten erhalten, erkundigen Sie sich außerhalb sozialer Netzwerke nach der Vertrauenswürdigkeit dieser Nachricht!

Tipp 8: Identitätsdiebstahl ist ein Risiko des digitalen Zeitalters. Eine fremde Person kann mit Hilfe eines gehackten Accounts, eine fremde Identität übernehmen und deren Freunde täuschen. Betrüger können zum Beispiel Nachrichten verschicken, in denen sie eine Notsituation beschreiben und um finanzielle Hilfe bitten. Mit Hilfe des angelesenen Wissens über die gestohlene Identität kann dabei die Vertrauenswürdigkeit untermauert werden.

• Klicken Sie nicht wahllos auf Links – Soziale Netzwerke werden verstärkt dazu genutzt, um Phishing zu betreiben!

Tipp 9: Auf einen Link ist schnell geklickt. Aber Vorsicht: die Zieladresse könnte eine gefälschte Startseite eines sozialen Netzwerkes sein. Geben Sie dort Ihren Benutzernamen und Kennwort ein, werden die Daten direkt an die Betrüger weitergeleitet. Besonders beliebt sind bei solchen Attacken so genannte Kurz-URLs, bei denen der Nutzer die eigentliche Zieladresse nicht erkennen kann.

• Sprechen Sie mit Ihren Kindern über deren Aktivitäten in sozialen Netzwerken und klären Sie sie über die Gefahren auf!

Tipp 10: Viele Kinder und Jugendliche sind sich oft nicht bewusst, welche Gefahren in sozialen Netzwerken lauern - Spaß geht ihnen häufig vor Sicherheit. Die Stärkung der "Medienkompetenz" ist eine neue Aufgabe, die Eltern in der Erziehung übernehmen müssen. Aber auch mit anderen Familienangehörigen und Freunden sollten Sie sich über Risiken und Bedenken austauschen.

• Das Netz vergisst nichts

Informationen, die Sie über soziale Netzwerke verbreiten, bleiben für immer im Netz. Selbst wenn Sie Ihren Account löschen, so ist es doch fast unmöglich, Verlinkungen und Kommentare in anderen Profilen zu entfernen. Veröffentlichen Sie also keine Informationen, bei denen es Ihnen später Leid tun könnte.

• IT-Sicherheit ist Datensicherheit

Fazit: Wichtiger Bestandteil des Datenschutzes ist, dass Sie Ihren Computer generell vor unerwünschten Angreifern absichern. Ob Sie alle nötigen Maßnahmen für den Basisschutz getroffen haben, können Sie anhand einer Checkliste auf der BSI-Web-Seite überprüfen.

↑ nach oben

Aktuelle Warnung!

Aktuelle Sicherheitslücken in Routern: Heimanwender-Bereich betroffen

Router des Herstellers AVM ("Fritz-Boxen")

In den vergangenen Tagen sind Missbrauchsfälle im Zusammenhang mit Routern des Herstellers AVM mit aktiviertem Fernzugriff bekannt geworden. Dabei haben die Täter von außen auf den Router zugegriffen und kostenpflichtige Telefonnummern im außereuropäischen Ausland angerufen. Der Hersteller empfiehlt die Deaktiverung des Fernzugriffs, sofern dieser zuvor durch den Anwender aktiviert wurde. Eine entsprechende Anleitung und weitere Informationen hat AVM veröffentlicht. Das BSI sieht keinen Zusammenhang mit den kompromittierten 16 Millionen Adressen.

Das BSI empfiehlt allen Nutzern eines Routers, in regelmäßigen Abständen auf den Webseiten des Herstellers zu prüfen, ob eine aktualisierte Firmware für das eingesetzte Modell angeboten wird und dieses bei Verfügbarkeit umgehend einzuspielen. Sofern ein automatisierter Update-Mechanismus angeboten wird, sollte dieser aktiviert werden.

↑ nach oben

Warnungen und aktuelle Informationen

• Android: Schadsoftware ab Händler
• iOS: KeyRaider erbeutet Zugangsdaten und Bestechungsgelder
• Router die Erste: Heimrouter mit schwachem Passwort
• Router die Zweite: Heimrouter ohne Passwort
• SmartTV: Freie Wahl bei Angriffspunkten
• Google: Chrome Browser erhält Sicherheitsupdate
• Mozilla: Sicherheitsupdates für Firefox und Thunderbird

• Apple: Neue Zero-Day-Sicherheitslücke
• Lenovo: Neue Schnüffelsoftware
• Android: Googles Patch gegen Stagefright ist fehlerhaft
• E-Mail: GMX, 1&1 und Web.de hatten Sicherheitsproblem
• Apple: Sicherheitsupdates für Safari, iOS und OS X
• Mozilla: Sicherheitsupdate für Firefox
• Microsoft und Adobe: Aktualisierungen nicht nur zum Patchday

• Apple: Adware nutzt Sicherheitslücke in OS X aus
• Android: Keine Erleichterung bei der Stagefright-Lücke
• Windows: Angebliche Post von Microsoft installiert Trojaner
• Symantec: Sicherheitsschwachstellen in Endpoint Security
• Microsoft: Kritisches Sicherheitsupdate für Windows

↑ nach oben

Links zu IT-Themen · Hilfe, Tipps und Tricks · Computer-Glossar · BSI-Startseite · Blog botfrei

PRISMA

Google

Sicherheitschef fordert Standards für das Internet der Dinge: In Ausgabe 35 des Magazins Der Spiegel findet sich ein Interview mit Gerhard Eschelbeck, der bei Google verantwortlich für IT-Sicherheit und Datenschutz ist. Darin fordert er gemeinsame Sicherheitsstandards für das Internet der Dinge. Es müsse sich dringend ändern, dass jeder Hersteller "allein vor sich hin (wurschelt) und entscheidet, was sicher ist und wie viel Aufwand dafür betrieben wird." In die Schlagzeilen geriet das Internet der Dinge zuletzt wegen gehackter Autos, Narkosegeräte, möglicherweise auch Flugzeuge und mehr Autos. Um die dringend benötigte Sicherheit zu gewährleisten, müsse über "eine einheitliche Zertifizierung für die Sicherheit solcher Geräte" nachgedacht werden, so Eschelbeck. Das BSI erteilt Zertifikate und Anerkennungen gemäß § 9 des BSI-Gesetzes zum Beispiel auf der Grundlage der Common Criteria oder ITSEC. Auch Hersteller von zum Beispiel Automobilen oder deren Zubehör können auf dieser Grundlage einzelne Komponenten oder auch komplette Systeme durch das BSI zertifizieren lassen. Verpflichtet sind sie dazu jedoch nicht. (150903)

BSI

Das BSI auf der D-A-CH Security: D-A-CH Security bietet eine interdisziplinäre Übersicht zum aktuellen Stand der IT-Sicherheit in Industrie, Dienstleistung, Verwaltung und Wissenschaft in Deutschland, Österreich und der Schweiz. Insbesondere werden Aspekte aus den Bereichen Forschung und Entwicklung, Lehre, Aus- und Weiterbildung vorgestellt, relevante Anwendungen aufgezeigt sowie neue Technologien und daraus resultierende Produktentwicklungen konzeptionell dargestellt. Diverse Referenten des BSI vertreten das Bundesamt auf der D-A-CH Security und stellen eine Vielzahl aktueller Themen vor. Diskutiert werden unter anderem das IT-Notfallmanagement sowie die Sicherheit von Instant Messengern und elektronischen Gesundheitskarten. (150903)

Hacker

Mehr als nur versalzene Kekse: Angriffe auf industrielle Anlagen häufen sich. Das könnte laut eines von Spiegel Online zitierten Experten auch daran liegen, dass IT-Experten und Produktionsfachleute unterschiedlich vorgehen, wenn diese eine Risikoanalyse erstellen: "Für Produktionstechniker gehörten Fehlfunktionen zum Alltag, bösartige Manipulationen hingegen nicht. Entsprechend löchrig fällt aus IT-Sicht das Schutzkonzept aus." Statt vielleicht einer Tagesproduktion versalzener Kekse gibt es dann in der Keksfabrik den Stillstand. Der Artikel nennt auch Jeff Moss, unter anderem Gründer der Hackerkonferenzen Black Hat, der eine gesetzliche Meldepflicht für Cyber-Angriffe fordert. In Deutschland ist diese mit dem neuen IT-Sicherheitsgesetz bezogen auf Unternehmen der Kritischen Infrastrukturen bereits umgesetzt. Unter Kritische Infrastrukturen fallen zum Beispiel die Energieversorgung, Telekommunikation und Verkehr. (150820)

Datenschutz

Zeige mir, wie du tippst, ich sage dir, wer du bist: Die Erkennung von Personen anhand von biometrischen Merkmalen wie Fingerabdrücken oder dem Aussehen der Iris ist ein vielversprechender Ansatz, um der Crux der Passwort-Vergabe zu entkommen: Passwörter werden vergessen, sind häufig schlecht gewählt und müssen regelmäßig gewechselt werden. Mit einer weiteren biometrischen Eigenschaft lassen sich aber womöglich Personen auch dann erkennen, wenn diese sich darüber nicht bewusst sind: Jeder Mensch tippt offenbar anders. Damit ließen sich sogar Nutzer des Anonymisierungsdienstes TOR identifizieren. Die Technik dazu ist bereits erstaunlich fortgeschritten, wie Zeit Online beschreibt [1]. (150806)

Datenschutz

Windows 10 und Ihre Privatsphäre: Microsoft ist von Datenschützern dafür gerügt worden, dass Windows 10 eine große Zahl Nutzerdaten an Microsoft schickt. Zeit Online [2] hat sich des Themas angenommen und aufgelistet, an welcher Stelle Sie welche Option ein- oder ausschalten müssen, um Windows das Plauderhafte abzugewöhnen. (150806)

Informationsplattform

Jugend.Support: Auf Jugend.Support geht es um die Themen Cybermobbing, Sexuelle Belästigung, Gewalt und Selbstgefährdung. Neben den Informationen, was unter den einzelnen Themengebieten zu verstehen ist, geht es auch um die Folgen und wie man sich davor schützen kann. Behandelt werden ebenfalls die rechtlichen Aspekte und die Frage, wo Hilfe zu bekommen ist. Die Themen Datenschutz und Privatsphäre sowie die erforderlichen Einstellungen in häufig genutzten Sozialen Netzwerken fehlen im Angebot des Bundesministeriums für Familie, Senioren, Frauen und Jugend nicht. (150709)

Kostenlos

BSI Sicherheitstipps: Die beliebten Broschüren des BSI mit den Sicherheitstipps zu den Themen „Sicher unterwegs mit Smartphone, Tablet & Co“; „Soziale Netzwerke“; „Surfen, aber sicher!“ und „In die Cloud - aber sicher!“ können wieder kostenlos bestellt werden. Die Lieferung von Einzelexemplaren, insbesondere an Privatpersonen, erfolgt frei Haus. Für Einzelpersonen ist das Limit auf fünf Exemplare begrenzt, Mittler und Träger politischer Bildung sowie öffentliche Einrichtungen und Unternehmen erhalten maximal 50 Exemplare. (150709)

Datenschutz

Nicht alle Fitnesstracker sind fit im Datenschutz: Fitnessarmbänder können unter anderem Schritte und Kalorien zählen und verraten ihrem Besitzer, was für die Plackerei herausspringt. Günstigstenfalls motivieren sie, sich mehr zu bewegen, was manche Krankenkassen honorieren. Im schlechteren Fall plaudert das Trendarmband Ihre Fitnessdaten jedem Smartphone mit eingeschaltetem Bluetooth in der Nähe aus. So hält es das "Charge" benannte Band der Firma FitBit. Es fragt dabei weder nach einer Authentifizierung, noch verschlüsselt es Daten. Aber auch andere Armbänder schnitten im Prüflabor von AV Test nicht besonders gut ab. (150625)

Private Cloud

Empfehlungen für den Betrieb von ownCloud: Statt einem fremden Dienstleister eigene Daten anzuvertrauen, richten Unternehmen, aber auch versierte Privatpersonen, zunehmend eine eigene Cloud ein. Ein beliebtes Programm zu diesem Zweck ist ownCloud. Unter dem Namen "Betrieb und Sicherheit von ownCloud" hat das BSI deshalb ein kostenfreies Dokument mit zahlreichen Hinweisen zur Absicherung des privaten Cloudspeichers. Die Vorschläge richten sich in erster Linie an Unternehmen, sind aber auch für Privatanwender interessant. (150625)

Domain Name System

BSI, DENIC und Heise Online laden zum DNSSEC-Tag: Nutzer des Internets erwarten, dass leicht merkbare Internetadressen wie „www.bsi.bund.de“ zuverlässig in die richtige IP-Adresse, die einer langen Telefonnummer ähnelt, umgewandelt werden. Dafür verantwortlich ist das Domain Name System (DNS), das jedoch keinen Schutz seines Inhaltes kennt. So ist es zum Beispiel möglich, Seitenaufrufe auf gefälschte Seiten umzuleiten. An dieser Stelle kommt DNSSEC (Domain Name System Security Extensions) ins Spiel. DNSSEC sichert Internetverbindungen gegen Manipulationen ab. Das BSI, die deutsche Registrierungsstelle für Domains (DENIC) [3] und Heise Online möchten am 30. Juni einer breiten Öffentlichkeit diese Sicherheitstechnik näher bringen. Dafür können Sie Vorträge zum Thema über einen Web-Stream verfolgen und im Forum von Heise Online diskutieren. Weitere Informationen finden Sie auf der verlinkten Seite von Heise Online und in Kürze auch auf BSI.bund.de. (150625)

Facebook

Netzwerk führt stärkere Verschlüsselung ein: Verschlüsselung mithilfe von Schlüsselpaaren funktioniert bekanntlich so: Wenn jemand Ihnen eine verschlüsselte Nachricht zuschicken möchte, benötigt dieser zum Verschließen der Nachricht Ihren öffentlichen Schlüssel. Mit dem nur Ihnen bekannten privaten Schlüssel schließen Sie diese dann auf. Möchten Sie verschlüsselt antworten, benötigen Sie den öffentlichen Schlüssel Ihres Partners. Dass Verschlüsselung nicht weiter verbreitet ist, liegt sicherlich auch an dem Problem der Verteilung und Verwaltung öffentlicher Schlüssel. Als möglicher Verteiler könnte nun Facebook, mit nach eigenem Angaben rund 1,4 Milliarden aktiven Nutzern das größte soziale Netzwerk der Welt, aushelfen. Denn Facebook möchte künftig E-Mails an seine Nutzer verschlüsseln. Nutzer des Netzwerkes können dafür in ihrem Profil ihren öffentlichen Schlüssel hinterlegen. Statusmails von Facebook an den Nutzer werden dann automatisch verschlüsselt und von Facebook signiert. Lassen Facebook-Nutzer zu, dass ihr Schlüssel öffentlich einsehbar ist, könnte das der Verbreitung von Verschlüsselung insgesamt dienlich sein, weil über Facebook erkennbar wird, wer Verschlüsselung nutzt und wie dessen öffentlicher Schlüssel lautet. (150611)

Geräteschutz

Tipps zum Schützen Ihrer mobilen Geräte: Die Zeitschrift PC-Welt hat Tipps zum Schutz von iOS- und Android- Geräten veröffentlicht. Bei der Gelegenheit: Kennen Sie unsere Tipps zum Basisschutz für Smartphone und Co. und unseren Basisschutz für Apps? (150611)

E-Mail-Sicherheit

Einfallstor für Schadprogramme: In seinem Quartalsthema Thema Q2/2015: E-Mail- Sicherheit beschäftigt sich das BSI auf der Seite der Allianz für Cyber-Sicherheit mit den Bedrohungen der E-Mailkommunikation. E-Mails werden sowohl im beruflichen als auch im privaten Kontext häufig eingesetzt und sind – im Gegensatz zum analogen Brief - von überall abruf- und verschickbar. Dieser Fakt sorgt dafür, dass E-Mails als ein beliebtes Einfallstor für digitale Schädlinge aller Art angesehen werden. Über die digitale Post können sich Schadprogramme wie Viren, Würmer und Trojanische Pferde verbreiten. Unser Quartalsthema richtet sich schwerpunktmäßig an professionelle Nutzer und Administratoren von E-Mail-Diensten. Einige nützliche Tipps und Anregungen für Privatanwender sind jedoch auch dabei. Mehr Informationen zu den Risiken des E-Mail-Verkehrs und Empfehlungen, wie Sie sich schützen können, finden Sie natürlich auch auf der Seite des BSI. (150528)

Klicksafe

Internetleitfaden für Jugendliche: Unter dem Titel "Das Web, wie wir’s uns wünschen" hat die Initiative klicksafe gemeinsam mit Google und Unitymedia KabelBW einen neuen Internetleitfaden für Jugendliche vorgestellt. Das Handbuch richtet sich an 13- bis 16-Jährige und enthält Tipps und Übungen, unter anderem zu Themen wie digitale Spuren, Online-Reputation sowie Rechte und Pflichten in der digitalen Welt. Der in acht Sprachen erschienene Leitfaden ist das Ergebnis eines europaweiten Kooperationsprojektes von European Schoolnet, Insafe, Google und Liberty Global und wurde gemeinsam mit Jugendlichen entwickelt. Die deutsche Broschüre entstand mit Unterstützung von klicksafe und ist kostenlos im Internet abrufbar. (140403)

Flyer für Eltern

Sicherer in sozialen Netzwerken: klicksafe hat seinen Flyer „Sicherer in Sozialen Netzwerken:Tipps für Eltern“ in einer vollständig aktualisierten Version veröffentlicht. Der Flyer informiert Eltern über soziale Netzwerke und Gemeinschaften im Internet sowie über die damit verbundenen Risiken. Zusätzlich finden Eltern Tipps, wie das Thema mit Kindern besprochen werden kann. Der Flyer kann auf der klicksafe-Webseite heruntergeladen oder bestellt werden. (140206)

↑ nach oben

Unter Buerger-Cert haben Sie die Möglichkeit, den Newsletter zu abonnieren

Siehe auch

Aktuelle Ereignisse · Hilfe · Verbraucherberatung · Ortsrecht · Recht · Hilfreiche Links