GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: | zum Seitenende |
|
Autor | Mitteilung |
Nubira Moderator Beiträge: 15134 | Gesendet: 16:23 - 25.06.2015 SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 25.06.2015 Nummer: NL-T15/0013 Die Themen dieses Newsletters: 1. mTAN-Trojaner wieder unterwegs: Android 2. Notebooks ohne automatische Aktualisierung von Windows: Samsung 3. Sicherheitsupdate für den Browser Chrome: Google 4. Update für den Flash Player: Adobe 5. Sicherheitslücke in der Tastatur-App: Samsung 6. Nicht alle Fitnesstracker sind fit im Datenschutz: Datenschutz 7. Deutsche fürchten sich eher als sich zu schützen: Studie 8. Empfehlungen für den Betrieb von ownCloud: Private Cloud 9. BSI, DENIC und Heise Online laden zum DNSSEC-Tag: Domain Name System EDITORIAL Liebe Leserin, lieber Leser, Kommt der Sommer, gehen Fettpolster - so soll es nach Meinung vieler Jogger, Kanuten und anderer fitnessbewusster Menschen jedenfalls sein. Fitnessarmbänder, die Aufschluss über verbrannte Kalorien, gelaufene Kilometer aber auch geschlafene Stunden geben, liegen im Trend. Über Datenschutz lässt sich das offenbar nicht sagen, sonst würden ihn mehr Hersteller der Trendarmreifen ernst nehmen. Neun Modelle hat das Prüflabor AV Test unter die Lupe genommen. Die Ergebnisse reichen von gut bis grausig, wobei gerade für ein Gerät die Typenbezeichnung "Plaudertasche" durchaus treffend gewesen wäre, würde es nicht schon "Charge" heißen. Natürlich kann man sich fragen, wie geheim die Pulsrate ist oder ob Sie fünf oder sechs Kilometer gelaufen sind. Aber wenigstens sollten Sie wissen, was Sie anderen über sich erzählen. Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im globalen Netz wünscht Ihnen Ihr Buerger-CERT-Team STÖRENFRIEDE 1. mTAN-Trojaner wieder unterwegs: Android 2013 war ein für Android geschriebener Trojaner unterwegs, der mobile Transaktionsnummern (mTAN) für das Online-Banking abgriff. In einer neuen Variante ist dieser Schädling nun wieder im Umlauf http://www.computerbase.de/2015-06/malware-mtan-trojaner-infiziert-android-smartphones/. Für diese neue Variante ist die Erkennungsrate von Anti-Virenprogrammen im Moment noch sehr gering. Als "Vertriebsweg" haben die Online-Kriminellen gut gefälschte E-Mails und gefälschte Webseiten der Postbank gewählt. Diese fordern dazu auf, ein Sicherheitszertifikat zu installieren. Tatsächlich handelt es sich dabei jedoch um den Trojaner, der fortan SMS und mTAN an Online-Kriminelle verschickt. Es ist anzunehmen, dass die Postbank nicht der einzige vorgebliche Absender bleibt. Bleiben Sie bei unverhofften E-Mails bekannter Institutionen kritisch. Banken, PayPal, Spediteure oder Amazon werden Sie in der Regel nicht in unverlangten E-Mails auffordern, ein Programm zu installieren. Selbstverständlich sollten Sie auch Ihren Virenschutz regelmäßig aktualisieren. 2. Notebooks ohne automatische Aktualisierung von Windows: Samsung Zumindest einige Notebooks von Samsung wurden mit einem Programm ausgeliefert, das die Gerätetreiber von Samsung automatisch aktualisiert. Das wäre eine gute Idee, würde es nicht zugleich die Sicherheitsaktualisierungen von Windows 8.1 abschalten. Wie Golem berichtet http://www.golem.de/news/bloatware-samsung-deaktiviert-sicherheitsupdates-von-windows-1506-114846.html lädt das SW Updater genannte Tool eine Datei mit dem Namen Disable_Windowsupdate.exe nach und speichert es in einem versteckten Verzeichnis. Von dort wird das Programm mit jedem Neustart ausgeführt und schaltet die automatische Windows-Update-Funktion kommentarlos ab. Samsung begründet den Schritt damit, dass Windows-Updates Samsung-Treiber gegen Standardtreiber ersetzen würden. Danach würde zum Beispiel USB 3.0 nicht mehr funktionieren. Hier wäre jedoch von Samsung eine andere Lösung zu erwarten gewesen als eine, welche die Sicherheit des gesamten Systems kompromittiert. SCHUTZMASSNAHMEN 3. Sicherheitsupdate für den Browser Chrome: Google Googles Chrome Browser hat in den Versionen für Windows, Linux und OS X ein Sicherheitsupdate erhalten https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0044, das mehrere erhebliche Sicherheitslücken schließt. 4. Update für den Flash Player: Adobe Adobe hat außerhalb der Patch-Day-Routine ein Sicherheitsupdate für den Flash Player https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0045 veröffentlicht. Notwendig wurde das Vorgehen, weil die Sicherheitslücke bereits ausgenutzt wird. 5. Sicherheitslücke in der Tastatur-App: Samsung Eine Sicherheitslücke in der App, die in Samsungs S-Reihe das Einspielen von Schadsoftware erlaubt, soll geschlossen http://www.heise.de/security/meldung/Samsung-will-kritische-Luecke-in-Galaxy-Smartphones-rasch-schliessen-2717333.html werden. Die Aktualisierung soll über ein sogenanntes Over-The-Air-Update erfolgen. Derzeit liegen noch keine Information von Samsung vor, welche Geräte überhaupt betroffen sind. PRISMA 6. Nicht alle Fitnesstracker sind fit im Datenschutz: Datenschutz Fitnessarmbänder können unter anderem Schritte und Kalorien zählen und verraten ihrem Besitzer, was für die Plackerei herausspringt. Günstigstenfalls motivieren sie, sich mehr zu bewegen, was manche Krankenkassen honorieren. Im schlechteren Fall plaudert das Trendarmband Ihre Fitnessdaten jedem Smartphone mit eingeschaltetem Bluetooth in der Nähe aus. So hält es das "Charge" benannte Band der Firma FitBit. Es fragt dabei weder nach einer Authentifizierung, noch verschlüsselt es Daten. Aber auch andere Armbänder schnitten im Prüflabor von AV Test http://www.av-test.org/de/news/news-single-view/test-fitness-armbaender-legen-daten-offen/ nicht besonders gut ab. 7. Deutsche fürchten sich eher als sich zu schützen: Studie Deutsche haben gegenüber früheren Jahren ein stärkeres Gefühl der Unsicherheit, wenn sie sich im Internet aufhalten, nutzen häufig jedoch nicht einmal grundlegende Möglichkeiten des Schutzes. Auf dieses widersinnig erscheinende Ergebnis lässt sich eine neue Studie des Vereins Deutschland sicher im Netz e.V. https://www.sicher-im-netz.de/news/verunsicherung-deutscher-onliner-steigt zusammenfassen. Unter dem Stichwort „Digitale Sorglosigkeit“ hatte auch das BSI diesen Umstand im letzten „Bericht zur Lage der IT-Sicherheit in Deutschland“ thematisiert. Ein auch vom BSI immer wieder genanntes Sicherheitsproblem ist die Verwendung ein und desselben Passwortes für verschiedene Dienste. Wie Sie ein gutes Passwort gestalten, erfahren Sie auf BSI für Bürger https://www.bsi-fuer-buerger.de/Passwoerter. 8. Empfehlungen für den Betrieb von ownCloud: Private Cloud Statt einem fremden Dienstleister eigene Daten anzuvertrauen, richten Unternehmen, aber auch versierte Privatpersonen, zunehmend eine eigene Cloud ein. Ein beliebtes Programm zu diesem Zweck ist ownCloud. Unter dem Namen "Betrieb und Sicherheit von ownCloud" hat das BSI deshalb ein kostenfreies Dokument https://www.bsi.bund.de/DE/Themen/CloudComputing/Dossiers/Anwender/AnwenderProfessionals/AnwenderProfessionals.html?notFirst=true&docId=6259948 mit zahlreichen Hinweisen zur Absicherung des privaten Cloudspeichers. Die Vorschläge richten sich in erster Linie an Unternehmen, sind aber auch für Privatanwender interessant. 9. BSI, DENIC und Heise Online laden zum DNSSEC-Tag: Domain Name System Nutzer des Internets erwarten, dass leicht merkbare Internetadressen wie „www.bsi.bund.de“ zuverlässig in die richtige IP-Adresse, die einer langen Telefonnummer ähnelt, umgewandelt werden. Dafür verantwortlich ist das Domain Name System (DNS), das jedoch keinen Schutz seines Inhaltes kennt. So ist es zum Beispiel möglich, Seitenaufrufe auf gefälschte Seiten umzuleiten. An dieser Stelle kommt DNSSEC (Domain Name System Security Extensions) ins Spiel. DNSSEC sichert Internetverbindungen gegen Manipulationen ab. Das BSI, die deutsche Registrierungsstelle für Domains (DENIC) http://www.denic.de/ und Heise Online http://heise.de/-2723932l möchten am 30. Juni einer breiten Öffentlichkeit diese Sicherheitstechnik näher bringen. Dafür können Sie Vorträge zum Thema über einen Web-Stream verfolgen und im Forum von Heise Online diskutieren. Weitere Informationen finden Sie auf der verlinkten Seite von Heise Online und in Kürze auch auf BSI.bund.de. ----------------------------------------------------------------------- Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - SICHER • INFORMIERT vom 25.06.2015 - | zum Seitenanfang |
|
Version 3.1 | Load: 0.001832 | S: 1_2 |