Lohra-Wiki

IT-Sicherheit

Aus Lohra-Wiki

Dies ist eine alte Version. Zeitpunkt der Bearbeitung: 20:54, 3. Sep. 2009 durch KiWe (Diskussion | Beiträge).
Wechseln zu: Navigation, Suche

IT-Sicherheit

03.09.2009: Ob eigene Homepage, Weblog oder die Profilseite auf Myspace, StudiVZ oder Facebook: heutzutage ist es ganz leicht, seinen eigenen Internetauftritt zu gestalten. Aber welche Fotos, Grafiken, Texte und Songs darf man eigentlich verwenden, ohne dabei Rechte zu verletzen? Ein neuer Themenschwerpunkt "Fremde Inhalte auf eigenen Seiten" der EU-Initiative Klicksafe und der Internet-Plattform iRights.info gibt Antworten auf diese und viele andere Fragen.

20.08.2009: Kaum aus den Ferien zurueck, moechte man seine Urlaubsfotos oder -videos am liebsten gleich allen zeigen. Soziale Netzwerke wie Myspace, StudiVZ und andere Internetplattformen laden geradezu dazu ein, privates Bildmaterial zu veroeffentlichen. Vielen Menschen ist dabei jedoch nicht bewusst, dass die Bilder auch von Fremden eingesehen und weiterverbreitet werden koennen. Ist ein Foto einmal online, ist es oftmals schwierig, es wieder zu entfernen. Man sollte sich also gut ueberlegen, welche Bilder man online stellt - und auf peinliche Schnappschuesse dabei lieber verzichten!


Bundestag beschließt neues BSI-Gesetz


Inhaltsverzeichnis

Extraausgabe: BSI empfiehlt die Deaktivierung der ActiveX-Unterstuetzung

29.07.2009 Kritische Sicherheitsupdates fuer Microsoft Internet Explorer und Visual Studio

Am so genannten Microsoft-Patchday, dem Tag im Monat, an dem die Firma Microsoft in den vergangenen Monaten Sicherheitsupdates fuer ihre Betriebssysteme und Anwendungen veroeffentlicht, wurden auch immer wieder Luecken in so genannten ActiveX-Komponenten (engl. ActiveX-Controls) gemeldet. Die aktuelle Bereitstellung von Patches ausserhalb des regulaeren Patch-Zyklus (so genannte Out-of-Band-Releases) schliesst kritische Luecken in den aktuellen Versionen des Internet Explorers und sollten daher unverzueglich eingespielt werden.

Buerger-CERT Technische Warnung: Ausserplanmaessige Sicherheitsupdates fuer Internet Explorer und Visual Studio

Bei ActiveX-Komponenten handelt es sich um vorkompilierte Software-Komponenten, die in einer Webseite als Aktiver Inhalt eingesetzt werden koennen. Derzeit ist der Internet Explorer von Microsoft der einzige Webbrowser, der ohne weitere Zusatzprogramme ActiveX-Komponenten ausfuehrt.

ActiveX-Komponenten werden z.B. eingesetzt, um statische Webseiten um dynamische Bereiche zu erweitern. So koennen mit ActiveX-Komponenten beispielsweise auf Webseiten

- Animationen, Videosequenzen und Musikdateien wiedergegeben,

- Bildsteuerelemente und Schaltflaechen zum Anklicken dargestellt

- oder auch Interaktionen mit dem Anwender durchgefuehrt werden.

ActiveX-Komponenten in Webbrowsern stellen nach wie vor ein hohes Sicherheitsrisiko dar. Die Sicherheit von ActiveX-Komponenten muss im Wesentlichen von den Entwicklern einer solchen Komponente realisiert werden, da ActiveX kein eigenes Sicherheitsmodell mitbringt.

Im Gegensatz zu Webtechnologien wie Java-Applets oder Silverlight-Applikationen, laufen ActiveX-Komponenten nicht in einer virtuellen Maschine oder Sandbox, sondern werden als nativer Programm-Code ausgefuehrt und verfuegen damit ueber dieselben Rechte wie jede andere ausgefuehrte Anwendung des angemeldeten Benutzers. Eine ActiveX-Komponente ist somit ein ausfuehrbares Windows-Programm, die Zugriff auf das Dateisystem, die Registry und alle weiteren Ressourcen des Betriebssystems hat. Eine ActiveX-Komponente birgt dementsprechend die selben Gefahren wie der Start eines (unbekannten) Programms.

Ueber schaedliche oder fehlerhafte ActiveX-Komponenten kann Schadcode eines Angreifers in der Regel ohne Umstaende weitere Programme aus dem Internet nachladen und diese Programme in der Registry als Autostart-Programme oder selbststartende Dienste registrieren, so dass der schaedliche Code von diesem Zeitpunkt an den Rechner unter seiner Kontrolle hat.

Neben Benutzer-Abfragen im Webbrowser, die den Anwender vor der Ausfuehrung einer ActiveX-Komponente warnen, stellt Microsoft mit den so genannten "Kill-Bits" eine Funktion zur Blockade einzelner ActiveX-Komponenten bereit. Stellt sich z.B. heraus, dass eine ActiveX-Komponente fuer den Internet Explorer fehlerhaft ist, kann diese durch das Setzen des "Kill-Bits" deaktiviert werden. Aber auch dieser Mechanismus scheint nicht in allen Faellen zu funktionieren und muss mit dem aktuellen Update vom 28.07.2009 nachgebessert werden.

Das Buerger-CERT empfiehlt daher, grundsaetzlich auf Aktive Inhalte im Internet und besonders auf den Einsatz von ActiveX zu verzichten.

Aufgrund der aktuellen Sicherheitsvorfaelle, der aktuellen Problematik der "Kill-Bits" und dem unvollstaendigen Sicherheitsmodell von ActiveX, empfiehlt das Buerger-CERT die ActiveX-Unterstuetzung im Internet Explorer ueber die Einstellungen unter Internet-Optionen zu deaktivieren, wenngleich es damit zu Einschraenkungen bei der Nutzung von Webseiten kommen kann.


Warnungen und aktuelle Informationen

Themen der letzten Newsletter

  • Gefaehrliches Paket: Wieder gefaelschte UPS- und DHL-Mails in Umlauf
  • Gar nicht cool: Wurm Koobface wieder in Facebook aktiv
  • Ausgespaeht und abgezockt: Betrueger locken World of Warcraft-Spieler in die Phishing-Falle
  • Schweinerei: Betrueger nutzen Angst vor Schweinegrippe zur Telefon-Abzocke
  • Still und leise: Google schliesst kritische Luecken in Chrome
  • Buerotauglich: Neue Version von OpenOffice herausgegeben
  • Sichere Seiten: Thunderbird in Version 2.0.0.23 veroeffentlicht
  • Schnell patchen!: Update fuer Windows Live Messenger erschienen
  • Nicht verschluesselt: Schwachstelle in mehreren Browsern entdeckt
  • Abgezockt: Gefaelschte Facebook-Anwendungen locken in die Abo-Falle
  • Unsicherer Chat: Sicherheitsluecke im Instant Messenger Pidgin
  • Geld her!: Nutzer mithilfe manipulierter Werbeanzeigen erpresst
  • Nicht locken lassen: "Nigeria Connection" schlaegt wieder zu
  • Wenn schon, denn schon: Microsoft schliesst 19 Sicherheitsluecken
  • Sicher surfen: Apple Safari in Version 4.0.3 erschienen
  • 18 Luecken geschlossen: Apple veroeffentlicht Mac OS X Version 10.5.8

PRISMA

80 Prozent der Nutzer verwenden veraltete Flash-Versionen

Schlechte Update-Quote: Das IT-Sicherheitsunternehmen Trusteer untersuchte die Flash-Versionen von rund 2,5 Millionen Rechnern. Mit erschreckendem Ergebnis: Rund 80 Prozent der ueberprueften Flash-Versionen waren nicht auf dem aktuellen Stand und somit verwundbar. Somit haben Angreifer etwa die Moeglichkeit, mithilfe von praeparierten Flash-Applikationen auf Webseiten Schadcode auf fremde Rechner zu schleusen. Ausserdem waren auf fast 84 Prozent der Rechner verwundbare Adobe Reader-Versionen zu finden. Das BSI raet Anwendern dringend dazu, saemtliche verwendete Software regelmaessig zu aktualisieren, um das Risiko einer Infektion mit Schadprogrammen moeglichst gering zu halten. Tipps zum sicheren Patch-Management finden Sie auf der BSI-Webseite.

Die einhundert gefaehrlichsten Webseiten im Netz

Offen fuer alles: Das IT-Sicherheitsunternehmen Symantec hat die "Top 100 der schmutzigsten Webseiten" veroeffentlicht. Bei den genannten Webseiten genuegt bereits der Besuch von einem verwundbaren Rechner, um sich mit Schadcode zu infizieren. Bei 52 Prozent der Webseiten handle es sich um eigentlich harmlose Webauftritte, die jedoch von Betruegern missbraucht wuerden, um Schadcode zu verbreiten. Darunter sind zum Beispiel Seiten, die sich mit Rechtsfragen, mit Themen zur Jagd oder zu Catering beschaeftigen. Die restlichen 48 Prozent seien Webseiten, die Inhalte fuer Erwachsene enthielten. 40 der 100 Webseiten sollen nach Angabe der Experten jeweils mehr als 20.000 Bedrohungen enthalten.

Themenschwerpunkt zu Rechten im Netz veroeffentlicht

Fotos, Videos & Co.: "Wie zitiere ich richtig im Blog?" oder "Darf man Fotos anderer Personen in sein Social-Networking-Profil hochladen?" sind Fragen, die unter anderem im aktuellen Themenschwerpunkt "Fremde Inhalte auf eigenen Seiten" der EU-Initiative Klicksafe und dem Internetportal iRights.info beantwortet werden. Ob eigene Homepage, Weblog oder das Profil auf Facebook - Nutzern bieten sich die verschiedensten Moeglichkeiten, eigene Online-Praesenzen zu gestalten. Doch welche Fotos, Songs und Videos darf ich verwenden, ohne etwa Urheberrechte zu verletzen? Der Themenschwerpunkt klaert nicht nur rechtliche Hintergruende, sondern gibt auch Tipps, wo Inhalte im Netz zu finden sind, die frei genutzt werden koennen. "Fremde Inhalte auf eigenen Seiten" steht auf der Klicksafe-Seite bereit.

Spammer setzen in der Wirtschaftskrise auf Eigenwerbung

Kundenakquise: Nicht nur Unternehmen sind in der Wirtschaftskrise von fehlenden Kunden betroffen - auch den Spamversendern scheinen in der Krise die Auftraggeber wegzubrechen. Wie der Spam-Report des IT-Unternehmens Kaspersky fuer das erste Halbjahr 2009 zeigt, versandten die Spammer wesentlich mehr "Eigenwerbung" als im gleichen Zeitraum des Vorjahres. 16,6 Prozent der versandten Mails sollen das Thema Eigenwerbung zum Inhalt gehabt haben - 2008 waren es lediglich 4,3 Prozent. Die Experten fuehren dies darauf zurueck, dass die Spammer in Zeiten der Krise einen Teil ihrer Stammkundschaft verloren haben und die frei gewordenen Ressourcen nun zur Akquise neuer Auftraggeber verwenden.

Deutsche sind sich der Risiken im Internet bewusst

Gut aufgepasst!: Eine Umfrage des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) zeigt, dass deutsche Internetnutzer ein stark ausgepraegtes Bewusstsein fuer die Risiken im Internet haben. Im Auftrag der EU wurden in den 27 Mitgliedsstaaten insgesamt 12.800 Personen, die von zu Hause im Internet surfen, befragt. Auf die Frage, welche von sechs Gefahrenquellen sie kennen, zeigen die Deutschen im Vergleich zu anderen Laendern ein ueberdurchschnittlich hohes Bewusstsein fuer die Risiken: 98 Prozent wussten um Schadsoftware wie Viren (EU-Schnitt: 97 Prozent), 98 Prozent um Spam (95 Prozent), 97 Prozent um Phishing (92 Prozent), 93 Prozent um den Diebstahl elektronischer Daten oder Identitaeten (90 Prozent), 92 Prozent um moegliche Gefahren fuer Kinder (92 Prozent) und 85 Prozent um die Moeglichkeit, dass ihr Rechner von fremden Personen uebernommen und Teil eines Bot-Netzes werden kann (81 Prozent). Internet-Nutzer in Finnland, Grossbritannien und Portugal waren aehnlich gut informiert. Am geringsten war das Risikobewusstsein in Belgien, Rumaenien und Bulgarien.

Online-Uebersetzungsdienste zum effektiveren Spamversand missbraucht

Sprachgewandt: Der aktuelle Intelligence-Report des IT-Sicherheitsunternehmens Message-Labs zeigt, dass Spammer immer haeufiger auf automatische Online-Uebersetzungsdienste zurueck greifen, um ihre Mails in moeglichst vielen Sprachen verschicken zu koennen. So sei in manchen Laendern - wie etwa Deutschland, Frankreich und den Niederlanden - ein Spam-Anstieg von bis zu 95 Prozent zu verzeichnen. Mithilfe der Uebersetzungstools koennen Spammer auf einfache Art und Weise englischsprachige Mails in andere Sprachen uebersetzen - auch wenn die Qualitaet der Uebersetzungen zu wuenschen uebrig laesst. In Deutschland seien mittlerweile 46 Prozent der Spam-Mails in deutscher Sprache verfasst, so die Experten.

Offenes WLAN-Netz fuehrte zu Polizei-Einsatz

Lieber verschluesseln: Dass man sein WLAN-Netz prinzipiell verschluesseln sollte, zeigt ein aktuelles Beispiel aus Recklinghausen: Wie die IT-News-Seite Heise berichtet, stuermte ein Sondereinsatzkommando der Polizei die Wohnung eines Internetnutzers, weil von seinem Internetanschluss aus eine Amokdrohung verbreitet worden war. Im Nachhinein stellte sich heraus, dass ein Nachbar das ungesicherte WLAN-Netz des Mannes zum Surfen im Internet genutzt hatte. In einem Chat hatte der Nachbar dann die - nicht ernst gemeinte – Amokdrohung geaeussert. Eine andere Chatteilnehmerin hatte dies der Polizei mitgeteilt, die daraufhin den Sondereinsatz veranlasste. Der Betreiber des WLAN-Netzes fordert nun Schadenersatz fuer seine zerstoerte Tuer und den erlittenen Schrecken. Ob er damit Erfolg haben wird, ist fraglich: Vergangene Gerichtsurteile kamen schon haeufiger zu dem Schluss, dass Betreiber von WLAN-Netzen fuer darueber begangene Rechtsverletzungen haften muessen. Nuetzliche Tipps fuer die sichere Nutzung von WLAN gibt es auf der BSI-Webseite.

Praeventionsfilm zu Gewaltvideos auf Schuelerhandys

Schluss mit "Happy Slapping": Mit dem Handy gefilmte Gewaltvideos - so genannte "Happy Slapping"-Filme - sind bei Schuelern schon seit laengerem ein ernst zu nehmendes Thema. In Kooperation mit der Polizeilichen Kriminalpraevention der Laender und des Bundes hat das "Informationszentrum Mobilfunk e.V." nun einen Kurzfilm zur Verwendung in Schulen erstellt. Mithilfe des Films "Handygewalt" soll das Bewusstsein von Jugendlichen fuer die Gewaltthematik geschaerft werden. Denn viele Taeter sind sich weder der Strafbarkeit ihres Handelns noch des Leids ihrer Opfer bewusst. Der Kurzfilm ergaenzt das Medienpaket "Abseits?!", das speziell zur Gewaltpraevention an Schulen konzipiert und im vergangenen Monat neu aufgelegt wurde. Mehr Infos zum Medienpaket gibt es auf der Polizei-Beratungsseite Polizei-Beratungsseite. Dort kann der Film auch online angeschaut werden.

Jugend-Broschuere klaert ueber rechtsextreme Internet-Propaganda auf

"Geh Nazis nicht ins Netz!": Was kann man gegen Cyberbullying tun? Wie reagiert man am besten, wenn man im Internet rassistisch beleidigt wird? Antworten auf diese und andere Fragen gibt die neue Broschuere "Klickt's? Geh Nazis nicht ins Netz!", die von Jugendschutz.net in Kooperation mit der Hessischen Landeszentrale fuer politische Bildung herausgegeben wurde. Die Broschuere richtet sich an 12- bis 15-Jaehrige und soll die Jugendlichen fuer Internet-Propaganda von Rechtsextremen sensibilisieren. An konkreten Beispielen wird gezeigt, wo die Gefahren im Netz lauern, wie die rechtliche Lage ist und was der Einzelne tun kann, um sich gegen Rechtsextremismus zu wehren. Die Broschuere steht auf der Jugendschutz.net-Webseite als PDF zum kostenlosen Download bereit oder kann bei der Hessischen Landeszentrale fuer politische Bildung bestellt werden.

93 Prozent der 11- bis 14-Jaehrigen nutzen das Internet

Eltern aufgepasst!: Eine kuerzlich veroeffentlichte Studie des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien Bitkom zeigt, dass bereits 71 Prozent der Sieben- bis Zehnjaehrigen zu Hause das Internet nutzen. Bei den 11- bis 14-Jaehrigen sind es 93 Prozent, bei den Jugendlichen im Alter von 15 bis 17 Jahren sogar 99 Prozent. Besonders beliebt sind dabei Messaging-Dienste – diese werden von 90 Prozent der 10- bis 17-Jaehrigen verwendet. Jeder Zweite stellt auch eigene Fotos ins Internet. Laut der Studie haben viele Eltern die Internet-Nutzungszeiten ihrer Kinder im Blick - jeder Zweite Nutzer zwischen 7 und 17 Jahren darf nur zeitlich begrenzt im Netz surfen. 38 Prozent der Eltern sprechen mit ihren Kindern ueber deren Online-Erfahrungen. Jeder Sechste mischt sich allerdings ueberhaupt nicht in die Internetnutzung seiner Kinder ein. 32 Prozent der Eltern sagen, dass ihnen Informationen zum Kinderschutz im Internet fehlen. Tipps zum Thema "Schutz von Kindern im Internet" gibt es zum Beispiel auf der BSI-Webseite.

BSI gibt Tipps fuer Laptop, Handy & Co.

Sicher in den Urlaub: Der Urlaub sollte die schoenste Zeit des Jahres sein - und damit das auch so bleibt, hat das BSI in seinem aktuellen Brennpunkt "Sicher unterwegs mit Handy, Laptop & Co." viele nuetzliche Tipps fuer eine sichere Reise zusammengestellt. So sollten Sie etwa nur IT-Geraete mit in die Ferien nehmen, die Sie unbedingt benoetigen. Teure Laptops und Handys locken Diebe an - und bei Diebstahl entsteht nicht nur ein materieller Verlust, sondern es gehen unter Umstaenden auch private Daten verloren. Schuetzen Sie die mitgenommenen Geraete unbedingt vor Fremdzugriff - durch Passwort- oder PIN-Abfragen. Ausserdem sollten Sie alle drahtlosen Schnittstellen wie zum Beispiel Bluetooth und Infrarot nur fuer die Zeit aktivieren, in der Sie sie brauchen. Mehr Infos zum sicheren Reisen finden Sie auf der BSI-Webseite.

Adware-Hersteller verliert Klage gegen Kaspersky

Sauber bleiben: Wie die IT-News-Seite Heise berichtet, kann das IT-Sicherheitsunternehmen Kaspersky vom Adware-Hersteller Zango nicht fuer die Einstufung von dessen Software als "potenziell unerwuenscht" belangt werden. Zango ging vor Gericht, weil die Programme des Unternehmens nicht reibungslos funktionieren, wenn auf dem genutzten Rechner gleichzeitig die Kaspersky Internet Security Software installiert ist. Die Software stuft die Zango-Programme als potenzielle Spyware ein und hindert den Nutzer an deren Download oder blendet Warnhinweise ein. Das Gericht lehnte die Klage ab, da Kaspersky als Provider eines interaktiven Computerdienstes unter den "Communications Decency Act" ("Kommunikations-Anstands-Gesetz") falle. Somit hat Kaspersky Immunitaet, was das Einstufen von potenziell anstoessiger oder belaestigender Software angeht. Mehr Infos zu Spyware finden Sie auf der BSI-Webseite.

Falsche Promi-Todesnachrichten ueber Schwachstelle in Twitpic verbreitet

Makaberer Scherz: Eine Schwachstelle im Twitter-Dienst Twitpic ermoeglichte Angreifern, die Twitter-Accounts von mehreren Prominenten zu hacken. Dies berichtet die IT-Seite ZDNET-News. Im Anschluss verbreiteten die Kriminellen ueber die geknackten Promi-Accounts Todesmeldungen von Britney Spears, Jeff Goldblum, P. Diddy und anderen Prominenten. Der Text lautete etwa: "Britney has passed today. It is a sad day for everyone. More news to come." ("Britney ist heute gestorben. Es ist ein trauriger Tag fuer alle. Bald mehr Infos dazu."). Twitpic ist ein Dienst eines Drittanbieters, ueber den Twitter-Nutzer Bilder veroeffentlichen und austauschen koennen. Dazu muss der Nutzer eine E-Mail mit einem Foto unter Angabe einer PIN verschicken. Die Hacker haetten jede moegliche PIN-Kombination ausprobiert, bis sie die richtige gefunden haetten, erklaerten die Betreiber von Twitpic. Das Unternehmen hat die Schwachstelle inzwischen beseitigt.

Elternratgeber zum Umgang mit sozialen Netzwerken erschienen

SchuelerVZ, MySpace & Co: SchuelerVZ, MySpace und Facebook sind soziale Netzwerke, die vor allem bei Kindern und Jugendlichen beliebt sind. Aber wie gut kennen sich Eltern mit den "Social Communities" aus? Worauf muessen Sie achten, wenn Ihre Kinder in solchen Netzwerken unterwegs sind? Die EU-Initiative Klicksafe hat einen neuen Ratgeber zum Thema "Sicherer in Social Communities" veroeffentlicht, der sich gezielt an Eltern richtet. Die Broschuere klaert ueber die Risiken von sozialen Netzwerken im Internet auf und gibt Tipps und Hinweise zum sicheren Umgang. Der Ratgeber steht auf der Klicksafe-Seite als PDF zum Download bereit.

Broschuere mit Internet-Tipps fuer Jugendliche erschienen

Chatten, Mailen, Downloaden: Die EU-Initiative klicksafe.de hat eine neue Broschuere fuer Jugendliche herausgegeben. Der Flyer "10 Internet-Tipps fuer Jugendliche" bietet Antwort auf aktuelle Fragen rund um das Surfen im World Wide Web: Wie gehe ich mit persoenlichen Daten um? Was muss ich beim Herunterladen von Musik oder Videos beachten? Sind einige Fragen, die in der Broschuere beantwortet werden. Der Flyer steht auf der Klicksafe-Seite als PDF zum Download bereit oder kann per Post bestellt werden. Mehr Infos zum Thema Kinder- und Jugendschutz im Internet auf der BSI-Webseite


Unter Buerger-Cert haben Sie die Möglichkeit, den Newsletter zu abonnieren

Siehe auch

Aktuelle Ereignisse · Hilfe · Hilfreichen Links

Ansichten
Persönliche Werkzeuge