SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 25.06.2015
Nummer: NL-T15/0013

Die Themen dieses Newsletters:
1. mTAN-Trojaner wieder unterwegs: Android
2. Notebooks ohne automatische Aktualisierung von Windows: Samsung
3. Sicherheitsupdate für den Browser Chrome: Google
4. Update für den Flash Player: Adobe
5. Sicherheitslücke in der Tastatur-App: Samsung
6. Nicht alle Fitnesstracker sind fit im Datenschutz: Datenschutz
7. Deutsche fürchten sich eher als sich zu schützen: Studie
8. Empfehlungen für den Betrieb von ownCloud: Private Cloud
9. BSI, DENIC und Heise Online laden zum DNSSEC-Tag: Domain Name System

EDITORIAL
Liebe Leserin, lieber Leser,

Kommt der Sommer, gehen Fettpolster - so soll es nach Meinung vieler
Jogger, Kanuten und anderer fitnessbewusster Menschen jedenfalls sein.
Fitnessarmbänder, die Aufschluss über verbrannte Kalorien, gelaufene
Kilometer aber auch geschlafene Stunden geben, liegen im Trend. Über
Datenschutz lässt sich das offenbar nicht sagen, sonst würden ihn mehr
Hersteller der Trendarmreifen ernst nehmen. Neun Modelle hat das
Prüflabor AV Test unter die Lupe genommen. Die Ergebnisse reichen von gut
bis grausig, wobei gerade für ein Gerät die Typenbezeichnung
"Plaudertasche" durchaus treffend gewesen wäre, würde es nicht schon
"Charge" heißen. Natürlich kann man sich fragen, wie geheim die Pulsrate
ist oder ob Sie fünf oder sechs Kilometer gelaufen sind. Aber wenigstens
sollten Sie wissen, was Sie anderen über sich erzählen.

Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen

Ihr Buerger-CERT-Team

STÖRENFRIEDE
1. mTAN-Trojaner wieder unterwegs: Android

2013 war ein für Android geschriebener Trojaner unterwegs, der mobile
Transaktionsnummern (mTAN) für das Online-Banking abgriff. In einer neuen
Variante ist dieser Schädling nun wieder im
Umlauf http://www.computerbase.de/2015-06/malware-mtan-trojaner-infiziert-android-smartphones/.
Für diese neue Variante ist die Erkennungsrate von Anti-Virenprogrammen
im Moment noch sehr gering. Als "Vertriebsweg" haben die
Online-Kriminellen gut gefälschte E-Mails und gefälschte Webseiten der
Postbank gewählt. Diese fordern dazu auf, ein Sicherheitszertifikat zu
installieren. Tatsächlich handelt es sich dabei jedoch um den Trojaner,
der fortan SMS und mTAN an Online-Kriminelle verschickt. Es ist
anzunehmen, dass die Postbank nicht der einzige vorgebliche Absender
bleibt.
Bleiben Sie bei unverhofften E-Mails bekannter Institutionen kritisch.
Banken, PayPal, Spediteure oder Amazon werden Sie in der Regel nicht in
unverlangten E-Mails auffordern, ein Programm zu installieren.
Selbstverständlich sollten Sie auch Ihren Virenschutz regelmäßig
aktualisieren.

2. Notebooks ohne automatische Aktualisierung von Windows: Samsung

Zumindest einige Notebooks von Samsung wurden mit einem Programm
ausgeliefert, das die Gerätetreiber von Samsung automatisch aktualisiert.
Das wäre eine gute Idee, würde es nicht zugleich die
Sicherheitsaktualisierungen von Windows 8.1 abschalten. Wie
Golem
berichtet http://www.golem.de/news/bloatware-samsung-deaktiviert-sicherheitsupdates-von-windows-1506-114846.html
lädt das SW Updater genannte Tool eine Datei mit dem Namen
Disable_Windowsupdate.exe nach und speichert es in einem versteckten
Verzeichnis. Von dort wird das Programm mit jedem Neustart ausgeführt und
schaltet die automatische Windows-Update-Funktion kommentarlos ab.
Samsung begründet den Schritt damit, dass Windows-Updates Samsung-Treiber
gegen Standardtreiber ersetzen würden. Danach würde zum Beispiel USB 3.0
nicht mehr funktionieren. Hier wäre jedoch von Samsung eine andere Lösung
zu erwarten gewesen als eine, welche die Sicherheit des gesamten Systems
kompromittiert.

SCHUTZMASSNAHMEN
3. Sicherheitsupdate für den Browser Chrome: Google

Googles Chrome Browser hat in den Versionen für Windows, Linux und OS X
ein Sicherheitsupdate
erhalten https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0044,
das mehrere erhebliche Sicherheitslücken schließt.

4. Update für den Flash Player: Adobe

Adobe hat außerhalb der Patch-Day-Routine ein
Sicherheitsupdate für den Flash
Player https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0045
veröffentlicht. Notwendig wurde das Vorgehen, weil die Sicherheitslücke
bereits ausgenutzt wird.

5. Sicherheitslücke in der Tastatur-App: Samsung

Eine Sicherheitslücke in der App, die in Samsungs S-Reihe das Einspielen
von Schadsoftware erlaubt, soll
geschlossen http://www.heise.de/security/meldung/Samsung-will-kritische-Luecke-in-Galaxy-Smartphones-rasch-schliessen-2717333.html
werden. Die Aktualisierung soll über ein sogenanntes Over-The-Air-Update
erfolgen. Derzeit liegen noch keine Information von Samsung vor, welche
Geräte überhaupt betroffen sind.

PRISMA
6. Nicht alle Fitnesstracker sind fit im Datenschutz: Datenschutz

Fitnessarmbänder können unter anderem Schritte und Kalorien zählen und
verraten ihrem Besitzer, was für die Plackerei herausspringt.
Günstigstenfalls motivieren sie, sich mehr zu bewegen, was manche
Krankenkassen honorieren. Im schlechteren Fall plaudert das Trendarmband
Ihre Fitnessdaten jedem Smartphone mit eingeschaltetem Bluetooth in der
Nähe aus. So hält es das "Charge" benannte Band der Firma FitBit. Es
fragt dabei weder nach einer Authentifizierung, noch verschlüsselt es
Daten. Aber auch andere Armbänder schnitten im Prüflabor von
AV
Test http://www.av-test.org/de/news/news-single-view/test-fitness-armbaender-legen-daten-offen/
nicht besonders gut ab.

7. Deutsche fürchten sich eher als sich zu schützen: Studie

Deutsche haben gegenüber früheren Jahren ein stärkeres Gefühl der
Unsicherheit, wenn sie sich im Internet aufhalten, nutzen häufig jedoch
nicht einmal grundlegende Möglichkeiten des Schutzes. Auf dieses
widersinnig erscheinende Ergebnis lässt sich eine neue Studie des Vereins
Deutschland sicher im Netz
e.V. https://www.sicher-im-netz.de/news/verunsicherung-deutscher-onliner-steigt
zusammenfassen. Unter dem Stichwort „Digitale Sorglosigkeit“ hatte auch
das BSI diesen Umstand im letzten „Bericht zur Lage der IT-Sicherheit in
Deutschland“ thematisiert. Ein auch vom BSI immer wieder genanntes
Sicherheitsproblem ist die Verwendung ein und desselben Passwortes für
verschiedene Dienste. Wie Sie ein gutes Passwort gestalten, erfahren Sie
auf BSI für
Bürger https://www.bsi-fuer-buerger.de/Passwoerter.

8. Empfehlungen für den Betrieb von ownCloud: Private Cloud

Statt einem fremden Dienstleister eigene Daten anzuvertrauen, richten
Unternehmen, aber auch versierte Privatpersonen, zunehmend eine eigene
Cloud ein. Ein beliebtes Programm zu diesem Zweck ist ownCloud. Unter
dem Namen "Betrieb und Sicherheit von ownCloud" hat das BSI deshalb ein
kostenfreies
Dokument https://www.bsi.bund.de/DE/Themen/CloudComputing/Dossiers/Anwender/AnwenderProfessionals/AnwenderProfessionals.html?notFirst=true&docId=6259948
mit zahlreichen Hinweisen zur Absicherung des privaten Cloudspeichers.
Die Vorschläge richten sich in erster Linie an Unternehmen, sind aber
auch für Privatanwender interessant.

9. BSI, DENIC und Heise Online laden zum DNSSEC-Tag: Domain Name System

Nutzer des Internets erwarten, dass leicht merkbare Internetadressen wie
„www.bsi.bund.de“ zuverlässig in die richtige IP-Adresse, die einer
langen Telefonnummer ähnelt, umgewandelt werden. Dafür verantwortlich ist
das Domain Name System (DNS), das jedoch keinen Schutz seines Inhaltes
kennt. So ist es zum Beispiel möglich, Seitenaufrufe auf gefälschte
Seiten umzuleiten. An dieser Stelle kommt DNSSEC (Domain Name System
Security Extensions) ins Spiel. DNSSEC sichert Internetverbindungen gegen
Manipulationen ab.
Das BSI, die deutsche Registrierungsstelle für Domains
(DENIC) http://www.denic.de/ und Heise
Online http://heise.de/-2723932l möchten am 30. Juni einer breiten
Öffentlichkeit diese Sicherheitstechnik näher bringen. Dafür können Sie
Vorträge zum Thema über einen Web-Stream verfolgen und im Forum von Heise
Online diskutieren. Weitere Informationen finden Sie auf der verlinkten
Seite von Heise Online und in Kürze auch auf BSI.bund.de.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de