bei Computer-Problemen - DIREKT die Profis rufen: 02429 909-904
 

IT-Nachrichten für Düren und Umgebung:
Sicherheitsbericht vom 11.05.2023




bsi

Liebe Leserinnen und Leser,

im Rahmen des 19. Deutschen IT-Sicherheitskongresses standen die letzten zwei Tage im Zeichen der
Cyber-Sicherheit. Live-Vorträge und virtuelle Messestände machten IT-Sicherheit erlebbar und
ermöglichten einen umfassenden fachlichen Einblick in aktuelle Themen der Cyber-Sicherheit. Der
Kongress beleuchtete unter dem Motto "Digital sicher in eine nachhaltige Zukunft" Trends und
Entwicklungen im Bereich der IT-Sicherheit als Voraussetzung für eine gelungene Digitalisierung.

Ob wir uns in Zukunft noch Passwörter merken müssen, wird sich noch zeigen. Große Anbieter haben
aber schon angekündigt, Passwörter durch sogenannte Passkeys zu ersetzen. Mehr dazu lesen Sie "In
den Schlagzeilen".

Viel Spaß beim Lesen wünscht Ihnen

Jan Lammertz / Team BSI

Inhaltsverzeichnis
In den Schlagzeilen-----------------
1. Künstliche Intelligenz kann Passwörter erraten
2. Login ohne Passwörter? Vielleicht demnächst!
3. Verbraucher wollen besseres Identitätsmanagement
4. Multi-Faktor-Authentisierung unsicher?
5. Frisch getauft, schon bedroht
6. Gefakte ChatGPT-Apps zielen auf Facebook-Business-Accounts
7. Kurz notiert


Up-to-date-----------------
8. Neue Malware kontrolliert Windows-Geräte
9. Highspeed-Updates für Apple-Geräte
10. Aktuelle Warnmeldungen des BSI


Gut zu wissen-----------------
11. So schützen Sie Computer und Smartphones auf Reisen
12. Was ist eigentlich... Face Swapping?


Praktisch sicher-----------------
13. So schützen Sie sich vor Schadsoftware


Übrigens

----------------------------------------------------
In den Schlagzeilen


1. Künstliche Intelligenz kann Passwörter erraten

Die Restwärme von Fingern, die auf einer Tastatur ein Passwort eingetippt haben, kann Passwörter verraten, haben Forschende der Universität Glasgow herausgefunden. Sie haben eine Tastatur kurz nach dem Eintippen mit einer Wärmebildkamera aufgenommen und die Bilder von künstlicher Intelligenz analysieren lassen. Die KI konnte Passwörter zwischen sechs und acht Zeichen mit einer Genauigkeit von 92 und 80 Prozent ermitteln, heißt es bei Golem. Die Trefferquote fällt mit der Länge der Passwörter: Bei 16-stelligen Codes liegt sie nur noch bei 55 Prozent. Auch die Tippgeschwindigkeit und die Zeit zwischen Eingabe und Aufnahme beeinflussen den Erfolg der KI.

BSI-Empfehlungen zu sicheren Passwörtern: (Hyperlink aufrufen)

Bericht über Wärmebilderkennung bei Golem: (Hyperlink aufrufen)



2. Login ohne Passwörter? Vielleicht demnächst!

Wenn es nach Google, Apple oder Microsoft geht, sind die Tage unsicherer oder schwer zu merkender Passwörter gezählt. Unter anderem diese drei Unternehmen wollen sie durch sogenannte Passkeys ersetzen, eine Art von kryptografischem Schlüssel, der durch biometrische Sicherheitsmerkmale unterstützt wird. Passwörter kommen in dieser Konstruktion nicht mehr vor. Der Passkey ersetzt die klassische Methode per Passwort aber noch nicht. Wer sich weiterhin mit dem Passwort anmelden möchte, kann das tun. Dennoch bietet Google seit Anfang Mai die Möglichkeit an, sich über einen auf dem Smartphone gespeicherten Passkeys bei seinem Konto und damit bei vielen mit Google verbundenen Services anzumelden. Dem BSI zufolge bilden Passkeys zwar den Stand der Technik für Passwort-loses Authentisieren ab, es bestehen jedoch noch Herausforderungen, etwa die häufige Bindung der Schlüssel an konkrete Produkte und Ökosysteme, die eine plattformunabhängige Nutzung erschwerten. Bis dahin empfiehlt das BSI weiterhin die Zwei-Faktor-Authentisierung (2FA).

BSI-Informationen zu 2FA: (Hyperlink aufrufen)

WDR-Bericht über Passkeys bei Google: (Hyperlink aufrufen)


3. Verbraucher wollen besseres Identitätsmanagement

Die Aktivitäten der großen Anbieter rund um passwortloses Anmelden treffen den Wunsch von Verbraucherinnen und Verbrauchern nach mehr Komfort bei der Verwaltung ihrer Online-Konten. Der Report "The Future of Identity" von Entrust jedenfalls sei ein Beleg dafür, dass Passwörter ausgedient haben, schreibt Security Insider. Den meisten Usern falle es schwer, sich an Passwörter zu erinnern. Deshalb nutzten sie entweder immer das gleiche Kennwort, verwendeten ein unsicheres oder setzten es häufig zurück. Rund die Hälfte der Befragten hält dem Bericht zufolge biometrische Verfahren für sicherer, also beispielsweise die Identifizierung über Fingerabdruck oder Iris-Scan.

Security Insider über Studie zu Passwörtern: (Hyperlink aufrufen)


4. Multi-Faktor-Authentisierung unsicher?

Unterdessen berichtet Heise Online, wie Cyber-Kriminelle die Multi-Faktor-Authentisierung (MFA) aushebelten. Eine relativ einfache Strategie sei "MFA-Fatigue" (das "Fatigue" steht hier für Erschöpfung). Dabei versuchen Angreifende, sich mit bereits erbeuteten Zugangsdaten einzuloggen. Potenzielle Opfer bekommen eine Push-Nachricht oder einen Anruf auf ihr Smartphone, um die Anmeldung zu bestätigen. Das wiederholen die Angreifenden einfach so lange, bis die Opfer schließlich genervt auf den Button für "Bestätigen" klicken – in der Hoffnung, dass dann Ruhe herrsche. Natürlich ist das Gegenteil der Fall, denn ab dann haben die Cyber-Kriminellen vollen Zugriff auf die Konten ihrer Opfer. Allein Microsoft hat im August 2022 mehr als 40.000 Fatigue-Angriffe auf Kundinnen und Kunden seiner Azure Active Directory (AD) registriert – mit steigender Tendenz.

Weitere Beispiele über das Aushebeln der Multi-Faktor-Authentisierung finden Sie im Artikel bei Heise Online: (Hyperlink aufrufen)


5. Frisch getauft, schon bedroht

Die Korvette "Emden", das zweite von insgesamt fünf neuen Marineschiffen, wurde erst Anfang Mai in Hamburg getauft, steht den Seestreitkräften aber dennoch vorerst nicht zur Verfügung. Der Grund: IT-Probleme. Flottillenadmiral Andreas Czerwinski sagte dem NDR: "Das Boot ist nicht zulassungsfähig und anfällig gegenüber Hacker-Angriffen." Deshalb müsse nun bei der "Emden“" ebenso nachgebessert werden, wie bei ihrem Schwesterschiff "Köln". Das aber werde nach Schätzung der Marine zwei bis zweieinhalb Jahre dauern.

NDR-Bericht über IT-Probleme bei der gerade getauften Korvette "Emden": (Hyperlink aufrufen)


6. Gefakte ChatGPT-Apps zielen auf Facebook-Business-Accounts

Der Mutterkonzern von Facebook, Meta, warnt vor gefälschten Anwendungen, die das momentan sehr populäre ChatGPT nutzen. Seit März hat Meta rund zehn Malware-Familien entdeckt, die die generative KI nutzen, um Geschäftskonten im Internet zu kompromittieren. Außerdem identifizierte Meta mehr als 1.000 URLs, die eine Verbindung zu ChatGPT vorgeben, aber tatsächlich auf Seiten mit Malware führten. Als Reaktion auf die neuen und speziell auf Facebook-Geschäftskonten ausgerichteten "Malware-Stämme" hat das Unternehmen neue Sicherheitsfunktionen eingeführt.

CSO Online über ChatGPT-Missbrauch bei Facebook-Geschäftskonten: (Hyperlink aufrufen)


7. Kurz notiert

a. Deutscher Autoersatzteilespezialist Bilstein gehackt: (Hyperlink aufrufen)
b. Daten von Lux Automation im Darknet aufgetaucht: (Hyperlink aufrufen)
c. Sicherheitslücke mit mehr als 16.000 Datensätzen von Lehrkräften in NRW könnte schon seit über 20 Jahren bestanden haben: (Hyperlink aufrufen)


----------------------------------------------------
Up-to-date


8. Neue Malware kontrolliert Windows-Geräte

Forschende von Elastic Security Labs haben einen Trojaner namens Lobshot entdeckt, der über Google Ads verbreitet wird und eine Software für den Fernzugriff auf die Rechner installiert. Dabei bedienen sich die Cyber-Kriminellen der legitimen Fernverwaltungs-Software AnyDesk. Die Security-Expertinnen und -Experten gehen davon aus, dass Lobshot vor allem für finanzielle Zwecke eingesetzt wird. Die Schadsoftware erlaubt es aber auch, infizierte Rechner über Maus und Tastatur zu steuern. Die gefälschte Webseite ähnelt der echten, ist aber anhand der URL zu erkennen.

Bericht über Lobshot bei CSO Online: (Hyperlink aufrufen)


9. Highspeed-Updates für Apple-Geräte

Updates sind nervig, kosten Zeit und blockieren für eine gewisse Zeit oft die Geräte, auf denen sie ausgeführt werden – so die Aussage vieler Nutzenden. Apple fährt daher künftig eine andere Strategie, wie Der Spiegel berichtet: Statt der bisher üblichen, oft mehreren hundert Megabyte großen Sicherheitsupdates verteilt Apple seine "schnelle Sicherheitsmaßnahmen" nun in kleineren Datenpäckchen, die sich in Sekunden bis Minuten herunterladen und installieren lassen. Damit will Apple nicht nur für mehr Bequemlichkeit sorgen, sondern auch für mehr Tempo, um "wichtige Sicherheitsverbesserungen zwischen Softwareupdates" schneller an die Nutzerinnen und Nutzer zu verteilen.

Der Spiegel über "schnelle Sicherheitsmaßnahmen" bei Apple (Hyperlink aufrufen)



10. Aktuelle Warnmeldungen des BSI

Das BSI informiert auf seiner Webseite regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Informationen sowie Tipps zum Umgang damit.

Das BSI-Portal erreichen Sie über: (Hyperlink aufrufen)


----------------------------------------------------
Gut zu wissen


11. So schützen Sie Computer und Smartphones auf Reisen

Das Magazin "WirtschaftsWoche" gibt Tipps, wie Sie auf (Dienst-)Reisen Ihre mobilen Geräte vor fremden Blicken und Zugriffen schützen können. Der Schutz beginnt bei einer Risikobewertung vor Reiseantritt, die auch von Joachim Wagner, dem stellvertretenden Pressesprecher des BSI, empfohlen wird. Die Bewertung gilt vor allem für Firmengeräte, ist aber auch für Privatleute interessant: Wohin geht die Reise, welche Möglichkeiten für Internetzugriffe gibt es und wie werden sie geschützt, sind Fragen, die es hier zu beantworten gilt. Noch mehr Schutzmaßnahmen bietet die im Artikel vorgestellte Checkliste, die vor jeder Auslandsreise abgearbeitet werden sollte.

WirtschaftsWoche über IT-Ausrüstung auf Reisen: (Hyperlink aufrufen)

BSI-Information zu IT-Sicherheit auf Reisen: (Hyperlink aufrufen)


12. Was ist eigentlich... Face Swapping?

Über seinen Instagram-Auftritt informiert das BSI regelmäßig zu aktuellen Themen rund um die Cyber-Sicherheit. Ganz neu: Informationen über das sogenannte Face Swapping, also das Vertauschen von Gesichtern. Dabei handelt es sich um ein Werkzeug für sogenannte Deep Fakes, also für nur schwer bis gar nicht erkennbare Fälschungen. Beim Face Swapping werden Bilder von Prominenten genutzt und so täuschend echt manipuliert, dass sie mit bekannter Mimik und Stimme völlig neue Inhalte transportieren, die oft für Falschnachrichten („Fake News) verwendet werden. Das kann mit der Absicht geschehen, politischen Gegnern zu schaden, wird aber auch zur Rufschädigung genutzt, etwa durch gefälschte Pornografie- oder Gewaltdarstellungen. Leicht zu erkennen sind solche Fälschungen nicht. Hier hilft nur ein gesundes Misstrauen gegenüber überraschenden Darstellungen und den oft damit verbundenen Fake News: lieber eine Quelle mehrfach überprüfen, bevor eine Meldung für wahr gehalten und weiterverbreitet wird!

Mehr BSI-Informationen über aktuelle Themen bei Instagram: (Hyperlink aufrufen)


----------------------------------------------------
Praktisch sicher


13. So schützen Sie sich vor Schadsoftware

Es gibt unterschiedliche Arten von Schadsoftware, die oft sogar mehrere Funktionen hat, etwa das Ausspähen von Passwörtern oder das Verschlüsseln von Daten mit dem Ziel, Lösegelder zu erpressen. Ebenso vielfältig sind die Möglichkeiten, sich solche Programme "einzufangen" – über E-Mails, SMS, auf Webseiten oder bei Downloads. Die folgenden Tipps helfen Ihnen, sich und Ihre Geräte zu schützen:
Halten Sie Ihre Geräte, Betriebssysteme und Anwendungen auf dem neuesten Stand und installieren Sie zeitnah alle Sicherheits-Updates und Virenschutzprogramme. Das ist der Basisschutz für Ihre Geräte.
Seien Sie achtsam, wenn Sie in Mails oder sozialen Netzwerken per SMS oder auf Webseiten auf Links klicken sollen. Oft steckt dahinter Schadsoftware. Wenn Sie sich nicht sicher sind oder keine Nachricht erwarten, fragen Sie sicherheitshalber auf anderem Wege bei der Absenderin oder dem Absender nach.
Seien Sie besonders kritisch, wenn Sie Mails mit ausführbaren Programmdateien mit den Endungen .exe, aber auch .bat, .com oder .vbs erhalten. Sie können Schadsoftware direkt auf Ihren Geräten installieren.


Mehr Tipps und Informationen über Schadsoftware erhalten Sie in einer ausführlichen Broschüre der Verbraucherzentrale Nordrhein-Westfalen und dem BSI: (Hyperlink aufrufen)


----------------------------------------------------
Übrigens

Wer als Privatperson Opfer eines Internetbetrugs wird, riskiert im Schnitt einen Schaden in Höhe von 674 Euro. Das ist eine Erkenntnis, die das BSI gemeinsam mit der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK) für das Digitalbarometer 2022 gewonnen hat. In acht von zehn Fällen müssen Betroffene von Cyber-Angriffen einen Schaden hinnehmen – den Verlust von Daten, beschädigtes Vertrauen, zeitliche Einschränkungen oder echte finanzielle Einbußen.

Weitere Informationen finden Sie in der Bürgerbefragung zur Cyber-Sicherheit 2022: (Hyperlink aufrufen)

SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)









Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de