Schlagwort: Bundesamt für Sicherheit in der Informationstechnik

Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Phishing mit Energiepauschale

9. September 2022

Das BSI warnt momentan auf seinem Twitter-Account vor Phishing-Mails, die dem Empfänger die Auszahlung der Energiepauschale versprechen. Diese Mails sollen Betreffe wie: „Jetzt Energiepauschale sichern!/ Wir überweisen die Energiepauschale /Bereit für Ihren Energiebonus?“ enthalten. In dem vom BSI veröffentlichten Beispiel sieht die Phishing-Mail aus, als wäre ihr Absender die Sparkasse. In dem Schreiben wird über die Auszahlung der Energiepauschale informiert. Dort steht u.a. folgendes geschrieben: „Um ihre Identät sowie den Anspruch auf eine Auszahlung feststellen zu können, benötigen wir eine Bestätigung Ihrer bereits angegebenen Daten […]. Gebe Sie noch heute Ihre aktuellen Daten auf unser Homepage an und erhalten Sie innerhalb der nächsten vier Wochen ihre Auszahlung der Energiepauschale[…]“.

Das BSI weist ausdrücklich darauf hin, dass unter keinen Umständen hier Daten angegeben werden sollen. Phishing-Mails sind E-Mails die vorgeben, von einem vertrauenswürdigen Absender zu stammen. Tatsächlich stecken hinter Phishing-E-Mails Kriminelle, die die Empfänger solcher E-Mails zur Weitergabe ihrer Daten, meist ihrer Zahlungsdaten verleiten wollen.

Um die immer professioneller werdenden Phishing-Mails von echten unterscheiden zu können, verweist das BSI auf seine Website. Dort wird erklärt, woran man Phishing-Mails gut erkennen kann. Es lohnt sich häufig auch, die E-Mails besonders sorgfältig zu lesen. So können u.a. Rechtschreibfehler wie in dieser Mail („Identät“) eine Phishing-Mail entlarven.

Krankenkassen müssen Video-Ident-Verfahren abschalten

12. August 2022

Den deutschen Krankenkassen ist die Identifikation ihrer Versicherten per Video-Ident-Verfahren durch die zuständige Gematik GmbH untersagt worden. Bei der Gesellschaft handelt es sich um einen Digitalisierungsdienstleister der deutschen Gesundheitsbranche. Nachdem der Chaos Computer Club (CCC) Sicherheitsmängel im Video-Ident-Verfahren festgestellt hatte, werden diese nun nicht mehr von deutschen Krankenkassen eingesetzt.

Angriff mit geringem Aufwand durchführbar

Mithilfe des Video-Ident-Verfahrens können sich Nutzer:innen ausweisen, indem sie ihre Ausweispapiere mit ihrer Smartphone- oder Computer-Kamera erfassen und zeitgleich ihr Gesicht zeigen. Bei einem Anruf in einem Video-Ident-Callcenter müssen die Anrufer:innen dann den Ausweis in der Hand halten, ihn bewegen und auf Anordnung auch bestimmte Stellen des Ausweises mit dem Finger abdecken. Anschließend werden die Daten von einer Software erfasst. Die Angaben werden dann durch die Support-Mitarbeiter:innen sowie von Algorithmen überprüft, sodass End-Kundinnen und Kunden ihre Identität beweisen können. Nach der Freigabe können sie sich dann beispielsweise auf einer Onlineplattform einloggen.

Der CCC stellte nun fest, dass genau dieses Vorgehen problematisch sei. Mit gefälschten Ausweispapieren und etwas Videobearbeitung ließen sich so Sicherheitsmerkmale fälschen. „Dazu werden Bildausschnitte aus einem Video in ein zweites Video übertragen“, erläuterte der CCC. So könne man beispielsweise das biometrische Passbild eines Dokuments im Videobild in Echtzeit durch ein anderes digital ersetzen.  Der CCC konnte das Ident-Verfahren so überlisten und eine elektronische Patientenakte (ePA) für eine fremde Person anlegen. Die betroffene Person war eingeweiht und einverstanden. Anschließen konnte auf Diagnosen, Rezepte und Bescheinigungen zugegriffen werden.

Insgesamt konnten die Verfahren von sechs nationalen und internationalen Anbietern überlistet werden. Wie genau der CCC dabei vorgegangen ist, ist ausführlich dokumentiert und lässt sich auf der Webseite des CCC nachlesen.

Risiko den Behörden bekannt

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte das Verfahren schon vor Jahren als heikel eingestuft. Durch die Corona-Pandemie wurde das Verfahren zuletzt immer häufiger genutzt. Laut einem Sprecher des BSI nehme man die Situation auch über die Anwendung bei den Krankenkassen hinaus sehr ernst. Das Verfahren werde „sehr sorgfältig“ geprüft. Diese Prüfung beziehe sich auch auf die Fortsetzung der Nutzung dieser Technologie.

In der Pressemitteilung des CCC warnt Martin Tschirsich, ein Sicherheitsforscher des CCC, vor der Nutzung. „Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Videoident zu setzen, wo durch Missbrauch potentiell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten“.

Welche Video-Ident-Anbieter dabei überlistet wurden, hat der CCC nicht veröffentlich. Stattdessen forderte man in einer Pressemitteilung, die Verfahren generell nicht mehr dort einzusetzen, wo ein hohes Schadenspotential bestehe. Darunter fiele beispielsweise der Zugriff auf intimste Gesundheitsdaten, so der CCC.

Alternative seit 10 Jahren vorhanden

Es sei besonders bitter, dass sichere ID-Methoden wie die elektronische Ausweisfunktion des Personalausweises nicht genutzt werden, erklärt der CCC. Diese ließe sich schon seit über zehn Jahren zur digitalen Identifizierung verwenden.

Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor ‚Spoofing‘

3. Juni 2022

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt mit einer Meldung vom 02.06.2022 vor ‚Spoofing‘-Angriffen, die mit der Rufnummer des BSI erfolgen sollen. Verwendet werden dabei zum Beispiel die Nummern +49 228 9582 44 oder 0228 9582. Das BSI warnt eindringlich davor, Anrufenden persönliche Daten mitzuteilen oder Aufforderungen nachzukommen.

Das ‚Spoofing‘ ist, ähnlich wie das ‚Smishing‘ ein bekanntes Betrugskonzept. Der Begriff (auf deutsch übersetzt etwa: Manipulation, Verschleierung, Vortäuschung) umfasst Handlungen, bei denen sich Kriminelle am Telefon oder per E-Mail als jemand anders ausgeben, um so direkt oder indirekt an Daten der Angerufenen zu gelangen. Meist treten die Anrufer dabei als Vertreter oder Mitarbeiter einer Behörde, eines Unternehmens oder anderer seriöser Institutionen (z.B. Banken oder Vereine) auf. Die Angerufenen werden dann entweder im Gespräch selbst gebeten, gewisse Daten herauszugeben oder werden auf eine entsprechende Website verwiesen. Bei Mails sind häufig Trojaner und Viren im Anhang in Dokumenten versteckt. Meist sind die Angreifer auf die Herausgabe von Kontodaten oder Bargeld aus.

Perfide an der Betrugsmasche ist, dass bei solchen Anrufen meist eine falsche Rufnummer übermittelt und angezeigt wird (sog. Call-ID-Spoofing). So kann dann z.B. die Nummer einer Behörde den Angerufenen angezeigt werden, obwohl diese mit dem Anruf nichts zu tun hat. Dadurch soll zum einen der Eindruck von Seriösität und Vertrauen erweckt werden, zum anderen soll so die Identität der Anrufer verschleiert werden. Vorgekommen ist in der Vergangenheit z.B. schon, dass die 110 als Anrufer angezeigt wurde, obwohl dies eine reine Einwahlnummer ist und die Polizei von dieser Nummer aus niemanden anrufen kann. Bei Mails wird der Absender manipuliert, sodass es dem Empfänger scheint, als habe eine offizielle Stelle oder ein Bekannter ihn kontaktiert. Weitere Informationen zur Manipulation von Rufnummern sind auf der Website der Bundesnetzagentur zu finden.

Verhaltenstipps: Sollten Sie einen Anruf oder eine Mail bekommen, bei denen Sie sich nicht sicher sind, ob ein ‚Spoofing‘-Angriff vorliegt, sollten sie zunächst die Kommunikation einstellen, d.h. auflegen oder nicht mehr antworten, den Kontakt ggf. blockieren. Unbekannte Links oder Anhänge sollten sie niemals öffnen. Danach sollten Sie die Behörde, das Unternehmen oder die Institution, von der der Anruf/ die Mail angeblich ausging über einen offiziellen Weg kontaktieren und sich nach der Authentizität der Anfrage erkundigen. Geben Sie niemals persönliche Daten raus, bevor Sie bestätigt haben, dass es sich nicht um eine kriminelle Anfrage handelt!
Falls Sie in diesem konkreten Fall einen Anruf des angeblichen BSI bereits engegengenommen haben, sollten Sie das Service-Center des BSI mit der Rufnummer 0800 274 1000 kontaktieren.

Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft ‚Warnstufe Rot‘ für Software-Modul Log4j aus

14. Dezember 2021

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rief am 11.12.2021 die ‚Warnstufe Rot‘ für das Java-Software-Modul Log4j aus. Dort wurde eine Sicherheitslücke entdeckt, die den Namen „Log4Shell“ trägt.

Das Software-Modul Log4j ist auf vielen Computern in der Java-Software zu finden. Es handelt sich um eine Protokollierungs-Bibliothek, sie protokolliert Ereignisse im Serverbetrieb. Dies dient beispielsweise einer Fehlersuche.

Die Sicherheitslücke hat zur Folge, dass es Angreifern möglich wird, ihren Softwarecode auf fremde Server zu spielen. Dies kann bereits durch das Eingeben spezieller Befehle in einen Chat mit dem Opfer möglich sein. Sodann können die Angreifer auf deren Servern Schadsoftware installieren und sogar das gesamte System übernehmen. So erhält der Angreifer Kontrolle über das System des Opfers und damit auch Zugriff auf die dort gespeicherten Daten. Besonders gefährdet sind laut BSI momentan Betreiber von Servern und Rechenzentren, aber auch Privatleute können dieses Software-Modul auf ihren Computern haben. Global könnten eventuell mehrere Milliarden Computer betroffen sein.

Welche Systeme und Produkte genau betroffen sind, ist zum jetzigen Zeitpunkt noch unklar. Momentan werden Massenscans durchgeführt, um angreifbare Systeme und bereits erfolgte Angriffe aufzuspüren. Aktuell wird davon ausgegangen, dass die Sicherheitslücke die Log4j- Versionen von 2.0 bis 2.14.1. betrifft.

Das BSI veröffentlicht auf seiner Homepage regelmäßig Updates zu der Entwicklung der Sicherheitslücke bei Log4j sowie Handlungsempfehlungen und Antworten auf die geläufigsten Fragen. Betroffene, die mithilfe dieser Sicherheitslücke angegriffen wurden, sind angehalten sich beim BSI zu melden. Teilweise bieten System-Hersteller erste Updates auf die aktuelle Version 2.15.0 von Log4j an, diese sollten umgehend installiert werden.

Bundesamt für Sicherheit in der Informationstechnik warnt vor SMS-Phishing

13. April 2021

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt momentan vor dem sogenannten „Smishing“ (Phishing per SMS). Dabei erhalten die Betroffenen eine SMS mit einem Link, den sie anklicken sollen. Aktuell geben sich die Absender der SMS vor allem als Logistikunternehmen aus, die dem Betroffenen ein Paket zustellen möchten. Dazu sei es notwendig, dem Link zu folgen und eine Paketverfolgungsapp herunterzuladen. Beispiele für den Wortlaut der SMS veröffentlichte z.B. das Landeskriminalamt Niedersachsen. Das Klicken auf den Link führt bei Android-Nutzern dazu, dass die Schadsoftware FluBot heruntergeladen wird. Bei Nutzern von iOS findet kein Download statt, stattdessen landen Sie auf einer Phishing-Seite.

Ziel dieser Smishing-Angriffe und dem daraus resultierenden Download von FluBot ist das Ausspähen der Daten der Betroffenen. Bei FluBot handelt es sich laut der Sicherheitssoftware-Firma ESET um einen Banking-Trojaner, der erstmals Ende 2020 auftrat. Wird er installiert, kann er u.a. SMS schreiben und lesen, Anrufe durchführen und die Kontaktliste einsehen. Dabei fängt FluBot SMS mit Einmalpasswörtern ab, die bei der Zwei-Faktor-Authentifizierung benötigt werden und verbreitet sich per SMS an die Kontaktliste des Betroffenen weiter. Sicherheitsexperte Lukas Stefanko von ESET veröffentlichte hierzu ein Twitter-Video, auf dem der Ablauf erkennbar ist.

Das BSI empfiehlt also dringend, solche SMS zu ignorieren und den Absender zu sperren. Eine Installation von Schadsoftware ist nur bei Folgen des Links möglich. Für Betroffene, die den Link bereits angeklickt haben, gibt es ebenfalls Hilfestellung. So sollen sie schnellstmöglich den Flugmodus ihres Gerätes einstellen, ihren Mobilfunkprovider informieren, sowie Strafanzeige erstatten. Hierfür sollte das Smartphone zu Beweiszwecken vorgelegt werden. Auch Kontobewegungen sollten überprüft werden. Danach wird empfohlen, das Gerät auf seine Werkseinstellungen zurück zu setzen.

Für den grundsätzlichen Umgang mit Smishing-Angriffen hat ESET Hinweise veröffentlicht. So wird empfohlen, sein Smartphone-Betriebssystem stets auf dem neusten Stand zu halten, nur Apps aus offiziellen App-Stores zu downloaden und ein Anti-Viren-Programm zu installieren.

Ein Zusammenhang der Smishing-Vorkommnisse mit dem jüngsten Datenschutzleck bei Facebook kann zurzeit nicht nachgewiesen werden.

BSI-Studie zu Windows 10

21. November 2019

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt zur Überprüfung von Windows 10 das Projekt „SiSyPHuS Win10“ (Studie zu Systemintegrität, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10) durch. Es sollen die sicherheitskritischen Funktionen einer Nutzung von Windows 10 bewertet und Rahmenbedingungen und Empfehlungen für einen sicheren Einsatz von Windows 10 erstellt werden.

Das BSI hat die Ergebnisse des ersten Teilbereichs der Studie nun veröffentlicht. In diesem ersten Projektteil werden die Telemetriefunktionen von Windows10 analysiert. Nach Einschätzung des BSI werden trotz verschiedener Konfigurations-Level stetig Daten übertragen. Eine vollständige Unterbindung der Erfassung und Übertragung von Telemetriedaten durch Windows sei zwar technisch möglich, für den einfachen Nutzer allerdings nur schwer umzusetzen.

Zu diesem Zusammenhang haben die Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ein Prüfschema für Unternehmen, die das Microsoft Betriebssystem Windows 10 benutzen, veröffentlicht. Kernpunkt ist die regelmäßige Übertragung von Nutzerdaten in die USA. Die Aufsichtsbehörden stellen fest, dass eine vollständige Unterbindung des Datentransfers „aktuell nicht möglich“ sei. Nach Ansicht der Aufsichtsbehörden sollte zunächst sichergestellt und dokumentiert werden, welche personenbezogenen Daten an Microsoft übermittelt werden. Allerdings ist dies wegen des fortlaufenden Veränderns und Hinzufügens von Funktionalität durch Microsoft nicht möglich. Generell lasse sich die Frage, ob Windows 10 datenschutzkonform ist, nicht beantworten. Nach Einschätzung der deutschen Aufsichtsbehörden müssten die verantwortlichen Nutzer in Unternehmen und Behörden eben „das Restrisiko“ so minimieren, dass es „tragbar“ sei.

Datensatz mit gestohlenen Login-Informationen aufgetaucht

18. Januar 2019

Im Internet ist ein 87 Gigabyte großer Datensatz mit gestohlenen Login-Informationen aufgetaucht. Betroffen sind 773 Millionen E-Mailadressen und über 21 Millionen Passwörter.

Die Daten stammen nach ersten Informationen nicht aus einem einzelnen Hack, sondern sind aus verschiedenen zusammengetragen worden. Der Datensatz enthält Informationen von 12.000 Domains und verschiedenen Web-Diensten.

Die Existenz des Datensatzes wurde von dem australischen IT-Sicherheitsexperten Troy Hunt auf seiner Homepage publik gemacht, der den Datensatz als Collection #1. Der Experte schreibt, dass er zunächst von Bekannten auf den Datensatz aufmerksam gemacht worden ist und die Daten ursprünglich bei einem Filehosting-Anbieter verfügbar waren, wo sie inzwischen aber nicht mehr zu finden sind.

Sie haben die Möglichkeit selbst zu überprüfen, ob Ihre Daten betroffen sind. Zur Prüfung muss lediglich die eigene Adresse in das Suchfeld eingegeben und auf „pwned?“ geklickt werden. Der von dem australischen Sicherheitsforscher Troy Hunt veröffentlichte Dienst zur Überprüfung wird von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) für vertrauenwürdig gehalten. Sollten Sie betroffen sein, wird empfohlen schnellstmöglich das Passwort zu ändern.

Neue Cyber-Attacke durch Ransomware

28. Juni 2017

Nachdem bereits vor etwas mehr als einem Monat zahlreiche Unternehmen und private Nutzer Opfer des Trojaners WannaCry geworden sind, findet momentan wohl eine neue Cyber-Angriffswelle statt. Arne Schönbohm, der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), teilte mit, dass es sich nach ersten Erkenntnissen um eine Angriffswelle mit der Schadsoftware Petya handele die Schwachstellen ausnutze, die bereits die Ransomware WannaCry ausgenutzt hätte.

Bei dieser Art von Cyberattacken werden Dateien auf den betroffenen Computersystemen verschlüsselt und der Nutzer wird zur Zahlung eines Lösegelds aufgefordert, damit die Daten wieder entschlüsselt werden. Die Zahlung des Lösegeldes garantiert jedoch nicht, dass die Daten tatsächlich wieder entschlüsselt werden. Unter anderem deswegen rät das BSI betroffenen Unternehmen auch dazu, nicht auf Lösegeldforderungen einzugehen.

Die ersten Attacken mit der Petya-Ransomware ereigneten sich nach aktuellem Informationsstand in der Ukraine und betrafen dort verschiedene Unternehmen wie beispielsweise die Zentralbank, den internationalen Flughafen Kiew-Borispyl und die U-Bahn. Auch das Kernkraftwerk Tschernobyl wurde von dem Cyberangriff betroffen. Die technischen Systeme des Kraftwerks sollen aber weiterhin normal funktionieren. Lediglich die Kontrolle der Radioaktivität müsse manuell stattfinden. Neben diesen Unternehmen sind auch die Deutsche Post in der Ukraine, das russische Ölunternehmen Rosneft oder die dänische Reederei Maersk von der Attacke betroffen.

Die Verbreitung von WannaCry konnte dadurch wesentlich verlangsamt werden, dass eine in den Code eingebettete Kill-Switch-Funktion entdeckt wurde. Wie sich die aktuelle Petya-Ransomware genau verbreitet und ob auch sie über einen solchen eingebauten Notschalter verfügt ist aktuell noch nicht ersichtlich.

Veraltete Softwaresysteme ermöglichen Datenzugriff bei über 1000 Online-Shops

13. Januar 2017

Laut des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind über 1000 Online-Shops Opfer von Angriffen auf ihre Kunden- und Zahlungsinformationen geworden. Ursache ist der Einsatz der veralteten Online-Shop-Software Magento Version, welche Sicherheitslücken aufweist, die es den Angreifern ermöglichen, beliebige Codes in die Online-Shops einzubringen. Vielen Shop-Betreibern, die die veraltete Software-Version einsetzen, ist die Problematik entweder nicht bewusst, oder – im schlimmsten Fall – wird von ihnen ganz einfach ignoriert, so das BSI.

Dabei forderte das CERT-Bund des BSI die zuständigen Provider bereits im Oktober 2016 auf, die von der Infektion betroffenen Kunden über die Problematik unverzüglich zu unterrichten, als sich nach einer Untersuchung von hunderttausenden Magento-Shops herausstellte, dass weltweit fast 6000 Shops von der Infektion betroffen waren. In Deutschland selbst stieg die Zahl bisher auf 500 betroffene Shops.

Trotz dieser Information über das Ausmaß der Infektion, steigt die Zahl der infizierten deutschen Shops weiter an.

Nach Hinweis des BSI, sind die Betreiber von Online-Shops nach § 13 Absatz 7 des Telemediengesetzes (TMG) verpflichtet, „ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.“

 

 

 

Klage gegen D-Link eingereicht

6. Januar 2017

Die US-Handelskommission, Federal Trade Commission (FTC), hat beim US-Bundesbezirksgericht von Nord-Kalifornien Klage gegen D-Link eingereicht. D-Link ist Hersteller von Internet of Things (IoT)-Geräten und soll seine Produkte, im Gegensatz zu dem durch Werbung vermittelten Schutzgrad, nicht ausreichend vor Angriffen schützen. IoT-Geräte sind Geräte, die drahtlos an ein Netzwerk angeschlossen, Daten erfassen, speichern, verarbeiten und übertragen können, wie beispielsweise Smart Lighting.

FTC vermutet, dass die Verbraucher in ihrer Privatsphäre gefährdet sind, weil D-Link seinem Werbeversprechen nicht standhält. Viele Geräte, die von D-Link vertrieben werden, vor allem IP-Kameras und Router, sind mit geringem Aufwand zu hacken und eröffnen dem Angreifer so leichten Zugang zu sensiblen Kundendaten.

Die Sicherheitsproblematik betrifft jedoch nicht nur D-Link. Auch andere Hersteller der Branche haben Sicherheitsprobleme zu bewältigen. IoT-Geräte sind bei nicht ausreichender Überprüfung anfällig für Sicherheitslücken.

Nicht nur IoT-Geräte ziehen in immer mehr Haushalte ein, auch die damit einhergehende Gefahr für die Privatsphäre der Nutzer.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) forderte kürzlich die Hersteller zu mehr Sicherheitsmaßnahmen auf, zeitgleich veröffentlichte das BSI einen Leitfaden, der sich an die Nutzer solcher Geräte richtet.

1 2