Liebe Leserinnen und Leser,
die regelmäßige Lektüre unseres Newsletters nährt manchmal den Verdacht, dass die Cyber-Welt voller
Gefahren steckt. Oft stimmt das leider, aber auch nicht immer.
In dieser Ausgabe berichten wir Ihnen zum Beispiel davon, dass Cyber-Kriminelle den Schaden, den
sie verursacht haben, wiedergutgemacht haben. (Noch) keine Selbstverständlichkeit, aber es kommt
vor.
Und wir beschäftigen uns in unserer Rubrik "Gut zu wissen" mit sogenannten White Hats, ethisch
korrekten Hackerinnen und Hackern, die in fremde IT-Systeme eindringen – und damit Kriminellen
zuvorkommen. Damit leisten White Hats einen wichtigen Beitrag zu mehr IT-Sicherheit, wie auch
unsere Meldung zum Tesla-Hack "In den Schlagzeilen" zeigt.
Aber wissen Sie, was auch "gut zu wissen" ist? Dass wir Augen und Ohren offenhalten, was sonst in
der Cyber-Welt noch so passiert, und Ihnen mit Tipps und Tricks zur Seite stehen.
Viel Spaß beim Lesen wünscht Ihnen
Jan Lammertz / Team BSI
Inhaltsverzeichnis
In den Schlagzeilen-----------------
1. Gutschrift auf Finanzplattform eingegangen
2. Zwei Minuten reichen, um einen Tesla zu hacken
3. Zwei-Faktor-Authentisierung: Hilft sie oder hilft sie nicht?
4. Erneut Bundesländer angegriffen
5. Google und Amnesty decken Cybercrime auf
6. Europol zerschlägt Genesis Market
7. Auch Flyhosting jetzt offline
8. ChatGPT – prompt auch von Cyber-Kriminellen genutzt
9. Kurz notiert
Up-to-date-----------------
10. Microsoft Exchange Server: Do or die!
11. Azure: minus eins
12. Alarmstufe Orange wegen Trojaner in 3CX-Softphone-App
13. Nvidia schließt Sicherheitslücken
14. Aktuelle Warnmeldungen des BSI
Gut zu wissen-----------------
15. Was ist eigentlich Ethical Hacking?
16. Podcast #29: Phishing, Smishing, Quishing & Co.
Praktisch sicher-----------------
17. Schon mal gehackt worden?
Was wichtig wird
Übrigens
----------------------------------------------------
In den Schlagzeilen
1. Gutschrift auf Finanzplattform eingegangen
Unbekannte Hackerinnen oder Hacker haben rund 177 Millionen US-Dollar – nein, nicht erbeutet: zurückgezahlt! Bei einem Angriff auf die Finanzplattform Euler Finance waren insgesamt 197 Millionen US-Dollar erbeutet worden. Fast 90 Prozent dieser Summe wurden nun zurückerstattet, berichtet t3n. In Medienberichten werden die Angreifenden im Umfeld der Gruppe Lazarus vermutet; mehrere Sicherheitsfirmen und andere öffentliche Quellen ordnen Lazarus Nordkorea zu. Warum die als Kryptowährungen erbeutete Summe zum Großteil zurückgezahlt wurde, ist bisher unklar.
BSI-Informationen zu Blockchain und Kryptowährungen: (Hyperlink aufrufen)
t3n über die Rückgabe der Beute eines Cyber-Angriffs: (Hyperlink aufrufen)
2. Zwei Minuten reichen, um einen Tesla zu hacken
Bei der Hacking-Konferenz Pwn2Own 2023 im kanadischen Vancouver hat ein Forschungsteam keine zwei Minuten benötigt, um ein Tesla Model 3 zu hacken. Allerdings handelte es sich bei der Attacke nicht um eine Straftat, sondern um eine Challenge der Konferenz, die mit einem neuen Tesla Model 3 und insgesamt 350.000 Dollar belohnt wurde. Solche Hacks dienen dazu, die Sicherheitsvorkehrungen digitaler Geräte und Anlagen zu verbessern.
Golem über den Zwei-Minuten-Hack auf den Tesla Model 3: (Hyperlink aufrufen)
3. Zwei-Faktor-Authentisierung: Hilft sie oder hilft sie nicht?
Dem Magazin CSO-Online zufolge kommt es in jüngster Zeit trotz Zwei-Faktor-Authentisierung (2FA) vermehrt zu Sicherheitsvorfällen. So seien unter anderem der Social-News-Aggregator Reddit und der Fahrdienstleister Uber Opfer von Cyber-Attacken geworden, bei denen die mehrfache Absicherung der Konten über Passwörter, TANs oder biometrische Merkmale ausgehebelt wurde. Die Frage, ob 2FA wirklich sicher ist, ist also berechtigt. Die Antwort liegt allerdings weniger in der Methode als in ihrem Umfeld: Wenn Zugangsdaten über Phishing oder Social Engineering entwendet und in einer relativ ungesicherten Umgebung eingesetzt werden, hilft auch die Mehrfachsicherung nur bedingt. Es ist daher die Aufgabe der IT-Abteilungen, so CSO Online, die Authentisierung Phishing-sicher anzulegen und Netzwerke über Zero-Trust-Architekturen vor unautorisierten Zugriffen zu schützen.
CSO Online über Cyber-Angriffe trotz Mehrfachabsicherungen: (Hyperlink aufrufen)
BSI zum Thema Zwei-Faktor-Authentisierung: (Hyperlink aufrufen)
4. Erneut Bundesländer angegriffen
Zum wiederholten Male haben Cyber-Kriminelle über DDoS-Attacken Internetseiten von Ministerien und Polizei in mehreren Bundesländern attackiert, berichtet Zeit Online. Betroffen davon waren unter anderem das Landesportal von Schleswig-Holstein, die Polizei in Brandenburg sowie Ministerien in Mecklenburg-Vorpommern, Sachsen-Anhalt und Niedersachsen. Unmittelbarer Schaden sei zumindest in ihrem Bundesland dabei nicht entstanden, zitiert das Online-Portal Sachsen-Anhalts Digitalministerin Lydia Hüskens (FDP). Angeblich habe sich die "prorussische Hackergruppe" NoName057 (16) zu den Angriffen bekannt, heißt es in dem Bericht.
BSI-Bericht zur Lage der IT-Sicherheit in Deutschland 2022: (Hyperlink aufrufen)
Zeit Online über Angriffe auf Internetseiten in verschiedenen Bundesländern: (Hyperlink aufrufen)
5. Google und Amnesty decken Cybercrime auf
Betriebssysteme wie Android und iOS sowie der Internet-Browser Chrome und der Samsung Internet Browser seien zunehmend Angriffen kommerzieller Spyware ausgesetzt, meldet Heise Online unter Berufung auf die Googles Threat Analysis Group (TAG). Das Security-Lab von Amnesty International hatte Google auf eine dieser Kampagnen aufmerksam gemacht, die vor allem per SMS verschickte Links auf infizierte Webseiten nutzten. Zum Teil werden die Weiterleitungen dem Bericht zufolge von Cyber-Kriminellen genutzt. Allerdings hat Googles TAG auch Regierungsstellen als mögliche Kunden von Spyware ausgemacht, die entgegen internationalen Rechtsnormen zum Ausspähen von Opposition, Dissidentinnen und Dissidenten, Menschenrechtsaktivistinnen und -aktivisten oder Journalistinnen und Journalisten genutzt werden könnte.
BSI mit Fragen und Antworten zu Schadsoftware: (Hyperlink aufrufen)
Heise Online über die Entdeckung neuer Spyware: (Hyperlink aufrufen)
6. Europol zerschlägt Genesis Market
Die europäische Polizeibehörde Europol hat eine der größten Hacker-Plattformen der Welt geschlossen, auf der gestohlene Zugangsdaten verkauft wurden, berichtet der Stern. Allein in Deutschland, wo das Bundeskriminalamt BKA unterstützte, gab es bei einer bundesweiten Razzia Ermittlungen gegen 58 Verdächtige. Insgesamt seien bei 208 Durchsuchungen in Deutschland, den USA, Kanada, Australien, Großbritannien und über zehn weiteren europäischen Ländern 119 Verdächtige festgenommen worden.
Der Stern über die Razzia gegen Genesis Market: (Hyperlink aufrufen)
7. Auch Flyhosting jetzt offline
Im Rahmen einer gemeinsamen Ermittlung haben die bei der Generalstaatsanwaltschaft Frankfurt/Main ansässige "Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT)" und das Hessische Landeskriminalamt (HLKA) den in Deutschland ansässigen Hoster Flyhosting vom Netz genommen. Nach Erkenntnissen der Behörden sollen IT-Systeme des Unternehmens in der Vergangenheit bei DDoS-Angriffen zum Einsatz gekommen sein. Bei der Aktion wurden Ende März insgesamt acht Durchsuchungsbeschlüsse vollstreckt, heißt es bei Golem. Tatverdächtig sind demnach Jugendliche und junge Erwachsene aus Nordrhein-Westfalen, Brandenburg, Niedersachsen und dem Landkreis München.
BSI-Infos über DDoS-Angriffe im Cyber-Raum: (Hyperlink aufrufen)
Golem über die Razzia gegen Flyhosting: (Hyperlink aufrufen)
8. ChatGPT – prompt auch von Cyber-Kriminellen genutzt
Die europäische Polizeibehörde Europol hat die Auswirkungen von ChatGPT auf die Cyber-Sicherheit untersucht – und macht sich Sorgen. Über ChatGPT ist es sehr einfach, mit Texteingaben ("Prompts") neue Texte, Bilder und Grafiken zu erzeugen oder Fragen aus nahezu beliebigen Fachgebieten beantworten zu lassen. ChatGPT ist sogar in der Lage, funktionierenden Programm-Code in unterschiedlichen Sprachen wie Python, Java, C++ oder JavaScript zu generieren. Zwar hat die KI eine Reihe von Sicherheitsfunktionen eingebaut, wie CSO Online berichtet. Damit soll die "böswillige Nutzung" verhindert werden. Dennoch können Cyber-Kriminelle den Bot nutzen – etwa für Recherchen zu Straftaten und möglichen Opfern oder zum Erzeugen von Schadprogrammen. Zudem sind die sprachlichen Fähigkeiten von ChatGPT dazu geeignet, Phishing-Mails noch besser zu formulieren und so potenzielle Opfer noch eher dazu zu verführen, auf Links zu Schadsoftware zu klicken.
CSO Online, "Wie Cyber-Gangster generative AI nutzen": (Hyperlink aufrufen)
9. Kurz notiert
a. Angriff auf Dortmunder IT-Dienstleister Materna: (Hyperlink aufrufen)
b. Automationsspezialist Hahn Group von Cyber-Attacke betroffen: (Hyperlink aufrufen)
c. Hannoversche Verkehrsbetriebe ÜSTRA angegriffen: (Hyperlink aufrufen)
----------------------------------------------------
Up-to-date
10. Microsoft Exchange Server: Do or die!
Unternehmen, die noch Versionen von Microsoft Exchange im Einsatz haben, für die es keine Sicherheits-Updates mehr gibt, werden von Microsoft jetzt praktisch zu einer Aktualisierung auf eine neue Version gezwungen. IT-Verantwortliche erhalten einen Report von Microsoft und haben danach 30 Tage Zeit für ein Upgrade. Anschließend greifen alle zehn Tage härtere Maßnahmen, bis Exchange Online nach neunzig Tagen jegliche Annahme von E-Mails verweigert, so Heise Online. Zum Start richtet sich die Aktion ausschließlich gegen Exchange Server 2007, wird aber am Ende alle Exchange-Versionen betreffen, für die der End-of-Support (EoS) bereits eingetroffen ist.
Mehr Infos zu den Zwangs-Upgrades bei Microsoft Exchange Server: (Hyperlink aufrufen)
11. Azure: minus eins
Microsoft selbst hat eine "schwerwiegende Azure-Lücke" geschlossen, über die Cyber-Kriminelle Sucherergebnisse von Bing.com in Echtzeit manipulieren konnten. Über die Lücke seien auch Office-365-Konten angreifbar gewesen, so ZDnet. Microsoft hat die Lücke geschlossen und zugleich die Sicherheit von Azure Active Directory verbessert.
ZDnet über Lücke bei Microsoft Azure: (Hyperlink aufrufen)
12. Alarmstufe Orange wegen Trojaner in 3CX-Softphone-App
Das BSI hat wegen eines Trojaners in der Telefonie-Software von 3CX die zweithöchste Warnstufe "3/Orange" ausgerufen. Die Warnung steht für "Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs." Die Software zum Telefonieren vom Rechner aus wird täglich von weltweit rund zwölf Millionen Anwenderinnen und Anwendern genutzt. Betroffen sind die Windows-Versionen 18.12.407 und 18.12.416 sowie die Versionen für OSX mit den Versionsnummern 18.11.1213, 18.12.402, 18.12.407 & 18.12.416. Wer die infizierten Apps in Betrieb hatte, sollte die betroffenen Systeme unverzüglich von allen Netzen trennen und sich auf die Suche nach möglichen Hinterlassenschaften machen, rät Heise Online in seinem Bericht.
Heise Online über Warnstufe Orange bei Software von 3CX: (Hyperlink aufrufen)
Zur BSI-Warnung: (Hyperlink aufrufen)
13. Nvidia schließt Sicherheitslücken
Heise Online berichtet auch über "teils hochriskante Sicherheitslecks" in Treibern und Verwaltungssoftware des GPU-Anbieters Nvidia. Der Anbieter hat in der Zwischenzeit aber aktualisierte Software zur Schließung der Lücken veröffentlicht.
Heise Online mit weiteren Infos zu Sicherheitslücken bei Nvidia: (Hyperlink aufrufen)
14. Aktuelle Warnmeldungen des BSI
Das BSI informiert auf seiner Webseite regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Informationen sowie Tipps zum Umgang damit.
Das BSI-Portal erreichen Sie über: (Hyperlink aufrufen)
----------------------------------------------------
Gut zu wissen
15. Was ist eigentlich Ethical Hacking?
Nicht jede Hackerin und jeder Hacker verfolgt böse Absichten mit Versuchen, sich in fremde Computer-Netze zu hacken. Sogenannte White Hats ("Weißhüte") sind Menschen, die Ethical Hacking betreiben, also moralisch einwandfrei arbeiten. Ihre Angriffe finden im Auftrag von Unternehmen und Institutionen statt, die IT-Systeme auf ihre Sicherheit überprüfen lassen möchten. Ziel dieser Hacks ist es, Schwachstellen vor Cyber-Kriminellen zu finden – und vor ihnen zu schließen. Methoden und Werkzeuge entsprechen dabei durchaus denen, die ihre Gegenspielerinnen und -spieler nutzen, die sogenannten Black Hats. Alles läuft wie bei einem echten Angriff ab, nur das Ergebnis ist ein anderes: Statt zum Beispiel Lösegeldforderungen zu stellen, informieren die Ethical Hacker ihre Auftraggeber, damit sie Lücken und Schwachstellen schließen können.
Mehr Infos über Ethical Hacking finden Sie beim BSI auf Instagram: (Hyperlink aufrufen)
16. Podcast #29: Phishing, Smishing, Quishing & Co.
In der neusten Folge unseres Podcasts "Update verfügbar" informiert das BSI-Moderatorenduo Ute Lange und Michael Münz über unterschiedliche Methoden, um an die persönlichen Daten von Nutzerinnen und Nutzer zu gelangen, um diese für Straftaten zu nutzen: Phishing, Smishing oder Quishing haben im Grunde dasselbe Ziel, unterscheiden sich aber durch die Anwendungen und Geräte, die dafür genutzt werden. Was es mit diesen Varianten auf sich hat, wie Sie sich schützen können und was das BKA damit zu tun hat, erfahren Sie im BSI-Podcast "Update verfügbar".
Alle Folgen, auch die aktuelle, finden Sie in der Mediathek des BSI: (Hyperlink aufrufen)
----------------------------------------------------
Praktisch sicher
17. Schon mal gehackt worden?
Nicht jeder Angriff von Cyber-Kriminellen wird sofort erkannt. Mitunter agieren Hackerinnen und Hacker im Hintergrund, um ihre Aktionen so lang wie möglich geheim zu halten. Diese Taktik bietet sich zum Beispiel dann an, wenn möglichst viele Daten von Angriffszielen abgegriffen werden sollen. Hierbei kann es sich auch um ausspionierte Zugangsdaten für Online-Dienste handeln.
Über die folgenden Seiten können Sie selbst überprüfen, ob Ihre Daten bereits in einem Datensatz im Internet aufgetaucht bzw. geleaked worden sind. Aber Vorsicht: Die aufgeführten Seiten arbeiten mit historischen Belegen und IT-Sicherheitsproblemen der Vergangenheit. Tauchen Ihre Accounts dort in Übersichten auf, heißt das nicht, dass Sie frisch Opfer einer Straftat geworden sind oder noch werden können. Ob Ihre Anwendungen und Geräte akut gefährdet sind, können die Seiten ebenso wenig beantworten wie Fragen nach einer individuellen Sicherheitsstrategie. Sprechen Sie darüber immer mit Fachleuten, zum Beispiel aus Ihrem Unternehmen oder informieren Sie sich dazu auf der Website des BSI.
Die Webseite Have I Been Pwned (Auf Deutsch etwa "Wurde ich kompromittiert?") checkt, ob Ihre E-Mail-Adresse schon einmal im Zusammenhang mit einem Datendiebstahl aufgefallen ist. Sollte das der Fall gewesen sein, sollten Sie das Passwort Ihres Kontos ändern, sofern nicht schon geschehen.
(Hyperlink aufrufen).
Mit dem HPI Identity Leak Checker des Hasso-Plattner-Instituts können Sie prüfen, ob Ihre persönlichen Identitätsdaten schon einmal im Internet veröffentlicht wurden. Eine Antwort erhalten Sie per E-Mail. Sollten Passwörter bestimmter Konten betroffen sein, die Sie länger nicht geändert haben, sollten Sie diese unbedingt ändern.
(Hyperlink aufrufen)
Der Leakchecker der Uni Bonn überprüft ebenfalls, ob von einem bestimmten Konto schon einmal persönliche Daten entwendet wurden. Auch hier erhalten Sie das Ergebnis innerhalb weniger Sekunden per E-Mail und können bei Bedarf umgehend reagieren.
(Hyperlink aufrufen)
----------------------------------------------------
Was wichtig wird
Der 19. Deutsche IT-Sicherheitskongress steht vor der Tür – am 10. und 11. Mai findet der Kongress als digitale Konferenz mit virtuellen Messeständen und Veranstaltungen statt. Der Kongress beleuchtet unter dem Motto "Digital sicher in eine nachhaltige Zukunft" Trends und Entwicklungen im Bereich der IT-Sicherheit als Voraussetzung für eine gelungene Digitalisierung. Die Teilnahme ist kostenlos.
Hier können Sie sich zum 19. Deutschen IT-Sicherheitskongress anmelden: (Hyperlink aufrufen)
Das vollständige Programm der Veranstaltung finden Sie hier: (Hyperlink aufrufen)
----------------------------------------------------
Übrigens
Haben Sie schon an unserer kleinen Umfrage teilgenommen, mit der wir Ihre Meinung zu diesem Newsletter erfahren möchten: Was können wir besser machen, von was möchten Sie mehr lesen, wovon weniger? Wir würden uns sehr freuen, wenn Sie sich ein paar Minuten Zeit für unsere Fragen nehmen würden. Vielen Dank für Ihre Teilnahme!
(Hyperlink aufrufen)
SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)
Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de
