Aktuelle Sicherheitsmeldungen

  • 15.04.2019: Sicherheitslücken bei verschiedenen VPN-Clients

    Mithilfe eines sogenannten VPN-Tunnels (Virtuelles Privates Netzwerk) kann man eine verschlüsselte Verbindung so aufbauen, als ob sich das Gerät sich im gleichen Netzwerk wie die Gegenstelle befände. Dies wird beispielsweise von Unternehmen genutzt, damit Mitarbeiter von außerhalb auf das firmeninterne Netzwerk zugreifen können.

    Darüber hinaus werden VPN-Verbindungen gerne genutzt, um die eigene Internetverbindung zusätzlich abzusichern: Weder Internetanbieter noch andere Geräte im Netzwerk können den verschlüsselten Datenverkehr auslesen. So kann man beispielsweise auch öffentliches WLAN im Café bedenkenlos nutzen.

    Nun haben Sicherheitsforscher ausgerechnet bei mehreren VPN-Clients, also den Programmen, die man zum Aufbau einer entsprechenden Verbindung nutzt, schwerwiegende Sicherheitslücken gefunden. Betroffen sind die Clients von Palo Alto Networks, Pulse Secure, F5 Networks sowie das Programm Cisco AnyConnect.

    Das Problem: Diese Anwendungen speichern Anmeldeinformationen der VPN-Verbindung nicht verschlüsselt, sondern unverschlüsselt auf der Festplatte oder im Arbeitsspeicher. Theoretisch ist es deshalb möglich, dass ein Angreifer diese Daten entwendet um selbst Zugriff zum Netzwerk zu erhalten. Von Palo Alto wurde bereits ein Sicherheitsupdate bereitgestellt – Nutzer sollten dies umgehend installieren.

    Liste der betroffenen Clients (Englisch)

  • 12.04.2019: Alexa – Sprachaufnahmen werden abgehört und ausgewertet

    Amazons Assistent Alexa lässt sich mithilfe von Sprachbefehlen steuern. So kann man das Gerät beispielsweise nach dem Wetter fragen, Informationen im Internet suchen, Musik abspielen und vieles mehr. Ausgelöst werden entsprechende Befehle mit dem Schlüsselwort „Alexa“ - nur wenn dieser Begriff fällt, soll der Assistent aktiv werden.

    Dies ist aber nur möglich, wenn das Mikrofon von Alexa permanent aktiv ist und zuhört. Sprachaufnahmen werden indes nur angefertigt, wenn tatsächlich das Schlüsselwort fällt – zumindest in der Theorie. Praktisch ist das System aber fehleranfällig: Zum einen werden Sprachaufnahmen gemacht, obwohl „Alexa“ nicht gefallen ist, zum anderen werden Sprachbefehle nicht richtig verstanden.

    Wie sich nun herausstellte, lässt Amazon einen Teil der Sprachaufnahmen von Mitarbeitern abhören und auswerten um das System zu verbessern. Dass dies der Fall ist, wird jedoch in der Datenschutzerklärung des Dienstes nicht klar ersichtlich. Besonders problematisch ist der Umstand, dass auch Aufnahmen abgehört werden, die ohne Schlüsselwort angefertigt wurden.

    Der Konzern betont, dass die Aufnahmen anonym ausgewertet werden und alle Informationen vertraulich behandelt werden. Nutzer von Alexa können der Verwendung ihrer Sprachaufnahmen zur Verbesserung widersprechen, in dem sie in der Alexa-App auf dem Smartphone zum Menüpunkt „Einstellungen“ --> „Alexa-Konto“ --> „Alexa-Datenschutz“ navigieren und dort zwei Regler deaktivieren: Einer erlaubt Amazon die Verwendung von Daten zur Entwicklung neuer Funktionen, der andere zur Verbesserung der Spracherkennung.

    Auch Google und Apple, die Hersteller der Assistenten Google Assistant und Siri haben inzwischen bestätigt, dass menschliche Prüfer eingesetzt werden, um die Spracherkennung der Dienste zu verbessern. Dank Anonymisierung sollen auch hier die Mitarbeiter keine Rückschlüsse auf die Identität der Nutzer ziehen können.

    Beim Google Assistant lässt sich die Speicherung von Sprachaufnahmen ebenfalls deaktivieren. Navigieren Sie hierzu in ihrem Google-Konto zum Punkt „Meine Aktivitäten“ --> „Sprache & Audio“ und schalten Sie den Regler unter „Einstellungen ändern“ auf „pausiert“. Bei Siri kann die Übertragung in die Cloud in den iOS-Einstellungen deaktiviert werden: „Einstellungen“ --> „iCloud“ --> „Speicher verwalten“ --> „Siri“ --> „Deaktivieren und löschen“.

  • 11.04.2019: Gefälschte Mahnungen verbreiten Schadsoftware

    Spam-E-Mails mit gefälschten Mahnungen sind schon lange eine beliebte Methode bei Betrügern, um Schadsoftware zu verbreiten. Der Trick: Empfänger erhalten eine angebliche Mahnung, wundern sich, woher diese stammt und öffnen – so die Hoffnung der Absender – die mit Schadsoftware infizierte Rechnung im Anhang.

    Dabei sind die E-Mails oft überzeugend gestaltet: In einwandfreiem Deutsch verfasst, sind sie offiziellen E-Mails namhafter Hersteller oder Anbieter nachempfunden und nicht auf den ersten Blick als Fälschung erkennbar. Die echten Unternehmen haben nichts mit der Betrugsmasche zu tun.

    Darüber hinaus gibt es Mahnungen, die im Namen von Phantasie-Firmen wie Docdata Payments, DirectPay24 oder OnlinePay24 verschickt warden. Eine umfangreiche Liste bekannter Absender-E-Mail-Adressen sowie Unternehmensnamen finden Sie in den Links unten.

    Sicherheitsbarometer rät grundsätzlich, bei unerwarteten E-Mails vorsichtig zu sein – nicht nur bei Mahnungen, sondern auch bei angeblichen Kontosperrungen, drohenden Inkasso-Verfahren und ähnlichen Szenarien, die Empfänger verunsichern sollen. Öffnen Sie bei verdächtigen Mails keine Links oder Anhänge. Prüfen Sie im Zweifel die Echtheit einer Nachricht, indem Sie den Absender über eine öffentlich bekannte Telefonnummer kontaktieren.

    Beispiel-Mails und Liste bekannter Absender bei onlinewarnungen.de

  • 08.04.2019: DNS-Hijacking gefährdet Gmail, Netflix und PayPal-Nutzer

    Nutzer von Gmail, Netflix und PayPal werden unter bestimmten Umständen nicht auf die echten Seiten der Anbieter geleitet, sondern auf Fälschungen von Kriminellen. Das Ziel: Persönliche Daten der Nutzer (Benutzernamen, Passwörter, Kontaktdaten, Bank- oder Kreditkartendaten etc.) abgreifen.

    Hintergrund ist sogenanntes DNS-Hijacking: Webseiten im Internet sind genau genommen nicht direkt über eine eingegebene URL wie www.sicher-im-netz.de erreichbar, sondern nur über die IP-Adresse des Servers, auf dem sie liegt. Damit der genutzte Webbrowser bzw. Rechner aber herausfinden kann, wie die IP-Adresse einer bestimmten URL lautet, gibt es ein öffentliches Verzeichnis mit dem Namen Domain Name Service (DNS). Hier kann jedes Gerät wie in einem Telefonbuch „nachschlagen“, welche IP-Adresse zu einer URL gehört.

    Nun haben Angreifer jedoch genau diese Einträge auf verschiedenen Router-Modellen manipuliert. Sprich: Der jeweilige Rechner schlägt eine URL wie www.paypal.com nach, findet aber eine IP-Adresse, die zu einer gefälschten Seite führt. Diese sieht auf den ersten Blick aus wie die echte Seite des Anbeiters, alle eingegebenen Daten landen jedoch bei den Betrügern.

    Es ist bekannt, dass bestimmte Router-Modelle von D-Link betroffen sind (DSL-2640B, DSL-2740R, DSL-2780B sowie DSL-526B). Darüber hinaus sind möglicherweise auch andere Geräte betroffen, insbesondere ältere. Sicherheitsbarometer rät deshalb Nutzern mit älteren Modellen, sicherheitshalber mithilfe des Router Checker von F-Secure (Link unten) zu prüfen, ob sie betroffen sind.

    Router Checker von F-Secure

  • 05.04.2019: "Falsche Freunde" in sozialen Netzwerken

    Gefälschte Profile in sozialen Netzwerken sind seit Jahren eine beliebte Methode, um an persönliche Daten zu gelangen und/oder betrügerischen Aktivitäten nachzugehen. Die Masche: Betrüger suchen sich ein bestehendes Profil, bauen dies so genau wie möglich nach (einschließlich Profilbild) und schreiben dann alle Freunde an. Diese nehmen die Anfrage oft ungeprüft an – schließlich kennt man Bild und Profil bereits.

    Damit tappt man jedoch in die Falle: Im Chat wird man vom „Doppelgänger“ des Freundes angeschrieben und in anfangs harmlose Gespräche verwickelt, um keinen Argwohn zu wecken. Doch irgendwann will der Chatpartner unter einem Vorwand persönliche Daten haben (Anschrift, Geburtsdatum, Telefonnummer etc.).

    Preisgegebene Daten werden anschließend von den Betrügern an Datenhändlern weiterverkauft oder für weitere Betrügerein genutzt. Gerne wird beispielsweise die Telefonnummer genutzt, um Bestellungen aufzugeben, die per Telefonrechnung bezahlt werden können.

    Sicherheitsbarometer rät, in sozialen Netzwerken Freundschaftsanfragen sorgfältig zu prüfen. Werden Sie skeptisch, wenn nach persönlichen Daten gefragt wird. Überprüfen Sie zudem Ihre Privatsphäreeinstellungen: Stellen Sie insbesondere sicher, dass ihre Freundesliste nicht öffentlich sichtbar ist und Freundschaftsanfragen nur von Freunden von Freunden gestellt werden können. Weitere Tipps finden Sie im verlinkten Leitfaden.

  • 04.04.2019: App-Entwickler speicherten Facebook-Daten ungeschützt im Netz

    Sicherheitsforscher haben zwei Datenbanken entdeckt, in denen Entwickler von Apps für Facebook diverse Nutzerdaten ungeschützt gespeichert hatten. Betroffen sind Datensätze von Cultura Colectiva sowie der App „At the Pool“.

    In ersterem Fall sind 540 Millionen Kontonamen, Kommentare und „Gefällt mir“-Angaben auf einem frei zugänglichen Webserver abgelegt worden. Der zweite Datensatz betrifft „nur“ 22.000 Nutzer – ist aber folgenreicher, da hier sogar Passwörter im Klartext öffentlich zugänglich waren.

    Es gibt bislang keine Hinweise darauf, dass die Daten in die Hände Unbefugter gelangt sind – dennoch empfiehlt Sicherheitsbarometer insbesondere Nutzern von „At the Pool“ das Passwort sicherheitshalber zu ändern. Wurde das Passwort auch an anderer Stelle verwendet, sollte es auch dort geändert werden. Verwenden Sie aus diesem Grund nie das gleiche Passwort für mehrere Zugänge – wird ein Zugang kompromittiert, sind gleich weitere Konten gefährdet.

  • 22.03.2019: Millionen von Facebook-Zugangsdaten wurden im Klartext gespeichert

    Facebook hat bekanntgegeben, dass bei einer internen Überprüfung festgestellt wurde, dass die Zugangsdaten von Millionen von Nutzern intern im Klartext gespeichert. So waren sie für bestimmte Facebook-Mitarbeiter einsehbar. Betroffen sind insbesondere Hunderte Millionen Nutzer von facebook Lite, aber auch reguläre Facebook-Nutzer und Instagram-Nutzer.

    Der Konzern will die Betroffenen über die Panne informieren und gibt vorerst Entwarnung: Es gebe keine Hinweise darauf, dass die Daten in Hände Dritter gelangt sein können. Laut Facebook wurde die Schwachstelle behoben, sodass gespeicherte Passwörter nicht mehr intern ausgelesen werden können.

    Sicherheitsbarometer rät betroffenen Nutzern, die Zugangsdaten sicherheitshalber zu ändern. Wurde das Facebook-Passwort auch an anderer Stelle verwendet, sollte auch dort das Passwort geändert werden.

    Sicherheitsbarometer rät aus diesem Grund, nie das gleiche Passwort für mehrere Zugänge zu verwenden – wird ein Zugang kompromittiert, sind gleich weitere Konten gefährdet. Darüber hinaus sollten alle Nutzer zusätzliche Sicherheitsfunktionen wie die Zwei-Faktor-Authentifizierung bei Diensten aktivieren, die dies wie Facebook unterstützen.
    Hilfe-Seite zum Ändern des Passworts bei Facebook
    Hilfe-Seite zur Zwei-Faktor-Authentifizierung bei Facebook

  • 18.03.2019: Unheimlicher Kettenbrief Momo verängstigt Kinder

    Gruselige Kettenbriefe machen in sozialen Netzwerken immer wieder die Runde – derzeit warnt die Polizei insbesondere vor „Momo“: So heißt das Mädchen mit gruseligem Gesicht, dass angeblich vor ein paar Jahren bei einem Autounfall gestorben ist und jetzt Kindern beim Schlafen zusieht, wenn diese ihre Nachricht nicht an 15 Kontakte weiterleiten.

    Insbeondere das unheimliche Gesicht – im Original übrigens eine Figur eines japanischen Künstlers – kann auf Kinder verstörend wirken. Darüber hinaus geht Momo weiter als übliche Kettenbriefe: Das Bild und verschiedene Nachrichten wurden von Trittbrettfahrern auch anderswo verbreitet, so unter anderem unvermittelt mitten in YouTube-Videos, die sich vorgeblich an Kinder richten.

    Sicherheitsbarometer empfiehlt Eltern und Lehrkräften, frühzeitig mit Kindern über solche und ähnliche Kettenbriefe und Phänomene zu sprechen und sie entsprechend aufzuklären: Sie sollten verstehen, dass es sich um schlechte Scherze handelt und entsprechende Nachrichten einfach gelöscht werden sollten. Darüber hinaus sollten befreundete Absender solcher Nachrichten ebenfalls aufgeklärt werden.

    Ratgeber zu Kettenbriefen der Polizei Niedersachsen

  • 12.03.2019: Phishing – Gefälschte E-Mails im Namen der BaFin

    Phishing bleibt eine der größten Gefahrenquellen im Netz: Betrüger versenden weiterhin massenhaft professionell und zumindest auf den ersten Blick überzeugend gefälschte E-Mails im Namen von Banken, Unternehmen oder öffentlichen Einrichtungen.

    Im Anhang oder hinter Links versteckt: Schadsoftware oder der Versuch, persönliche Daten abzugreifen. Um die Empfänger zu verunsichern oder unvorsichtig werden zu lassen, werden in der Nachricht angeblich nicht bezahlte Rechnungen, bevorstehende Pfändungen, offene Bußgelder oder gar rechtliche Schritte angekündigt.

    Aktuell warnt das CERT des Bundes vor gefälschten E-Mails im Namen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFiN). Mit Verweis auf einer angeblichen neuen Verordnung zur Datenverarbeitung werden die Empfänger dazu aufgerufen, ihre bei ihrer Bank vorliegenden Daten zu verifizieren. Tatsächlich führt der Link jedoch auf eine ebenso gefälschte Webseite, die persönliche und sensible Daten abfragt und an Betrüger weiterleitet.

    Sicherheitsbarometer rät deshalb zu großer Vorsicht, wenn Sie unerwartete E-Mails bekommen – prüfen Sie sorgfältig, ob es sich um eine Fälschung handeln könnte und kontaktieren Sie im Zweifelsfall den angeblichen Absender über eine offizielle Telefonnummer um sich zu vergewissern. Öffnen Sie bei verdächtigen Nachrichten keinesfalls Anhänge oder Links.

    Schützen Sie darüber hinaus Ihren Rechner vor Schadsoftware: Halten Sie Software und Betriebssystem auf dem aktuellen Stand, nutzen Sie einen aktuellen Virenscanner und legen Sie regelmäßige Datensicherungen an, mit deren Hilfe Sie im Fall der Fälle Daten wiederherstellen können.

    Grundregeln des BSI zum Schutz vor Phishing
    Checkliste für Phishing-Opfer

  • 07.03.2019: Android – Neues Update schließt kritische Sicherheitslücken

    Zum Patchday wurde für Android-Geräte ein neues Update veröffentlicht, das zahlreiche Sicherheitslücken schließt. Darunter befinden sich auch elf Schwachstellen, die als „kritisch“ eingestuft werden: Mit Ihrer Hilfe ist es für Angreifer unter bestimmten Voraussetzungen möglich, aus der Ferne Schadcode auf Android-Geräte aufzuspielen.

    Neuere Google-Geräte bekommen das Update sofort, Nutzer von Smartphones anderer Hersteller müssen warten, bis diese das Update für eigene Geräte selbst veröffentlicht, sofern Updates bereitgestellt werden.

    Sicherheitsbarometer empfiehlt in jedem Fall, Updates so bald wie möglich zu installieren. Darüber hinaus sollten auch auf Smartphones grundsätzliche Schutzvorkehrungen getroffen werden. Sicherheitsbarometer rät zusätzlich, Apps nur aus vertrauenswürdigen Quellen zu beziehen, Sicherheits-Apps zu nutzen, regelmäßige Datensicherungen vorzunehmen und verdächtige Seiten beim Browsen im Internet zu vermeiden.

    Anleitung zum Installieren von Updates bei Android

Die Beiträge werden in Zusammenarbeit mit Microsoft erstellt und mit freundlicher Genehmigung von Deutschland sicher im Netz e. V. zur Verfügung gestellt.