Liebe Leserinnen und Leser,
Sie werden uns kennenlernen – jedenfalls wenn Sie möchten! In den nächsten zwei Wochen finden Sie
uns auf gleich zwei spannenden Veranstaltungen.
Auf der weltgrößten Spielemesse Gamescom vom 23. bis 27. August in Köln präsentiert das BSI ganz
praktische Möglichkeiten, sich mit dem wichtigen Thema Cybersicherheit spielerisch
auseinanderzusetzen. Sie finden uns mit einem eigenen Stand in der Halle 10.2 auf dem Platz B-016.
Dort zeigen wir ein eigens für die Gamescom entwickeltes Virtual-Reality-Spiel und unsere
Deepfake-Installation, die Gesichter von Besucherinnen und Besuchern in Echtzeit digital
verfremdet. Und wir präsentieren uns als potenzieller Arbeitgeber und freuen uns sehr darauf, Sie
kennenzulernen.
Eine Woche vorher (vom 18. bis 20. August) treffen Sie uns in Berlin zum Tag der offenen Tür der
Bundesregierung, an dem wir unsere Informationsangebote zum sicheren digitalen Alltag im
Bundesministerium des Innern und für Heimat (BMI) präsentieren und Ihnen gerne Sicherheitstipps an
die Hand geben. Informieren Sie sich zu Beispiel über das IT-Sicherheitskennzeichen oder schlüpfen
Sie im VR-Spiel in die Rolle eines Hackers. Die neusten Infos aus dem Themenbereich Cybersicherheit
finden Sie vorab und wie gewohnt auch hier.
Viel Spaß beim Lesen wünscht Ihnen
Jan Lammertz / Team BSI
Inhaltsverzeichnis
In den Schlagzeilen-----------------
1. BSI will Sicherheit von Open-Source-Software erhöhen
2. BSI formuliert Regeln für sichere Software-Lieferketten
3. Hacker konnten Standortdaten von Feuerwehrautos abgreifen
4. Kurz notiert
Up-to-date-----------------
5. Mehrere Drucker von HP und Samsung weisen schwere Sicherheitslücken auf
6. Exchange-Server: Gepatcht und doch nicht gepatcht
7. Aktuelle Warnmeldungen des BSI
Gut zu wissen-----------------
8. Neuer Podcast "Update verfügbar": Was ist KI, was kann sie und wo geht es hin?
Praktisch sicher-----------------
9. Die besten Sicherheitstipps für Gamerinnen und Gamer
Was wichtig wird-----------------
10. Tag der offenen Tür bei der Bundesregierung
----------------------------------------------------
In den Schlagzeilen
1. BSI will Sicherheit von Open-Source-Software erhöhen
Das BSI hat im Rahmen des Projekts "Codeanalyse von Open Source Software (CAOS)" den Programmcode von Open-Source-Projekten auf Schwachstellen untersucht. Dabei entdeckte das Forschungsteam zwei als „kritisch“ eingestufte Sicherheitslücken in der Videokonferenz-Software BigBlueButton mit Versionsnummern kleiner als 2.4.7 und der dazu gehörenden Benutzeroberfläche Greenlight vor 2.11.1. Beide Lücken hätten es Angreiferinnen oder Angreifern ermöglicht, Schadcode zu injizieren. In den neueren Versionen der beiden Anwendungen sind die Lücken geschlossen.
Weitere Ergebnisse der CAOS-Analyse von Videokonferenzsystemen finden Sie hier:
(Hyperlink aufrufen)
Heise Online über Lücken unter anderem bei BigBlueButton: (Hyperlink aufrufen)
2. BSI formuliert Regeln für sichere Software-Lieferketten
Das BSI hat eine Richtlinie für Software Bills of Materials (SBOM) herausgegeben. Ziel der Regeln ist es, Unternehmen und die öffentliche Verwaltung dabei zu unterstützen, Software-Lieferketten besser abzusichern und die Auswirkungen von Sicherheitsdebakeln wie Log4j abzumildern. 2021 war eine kritische Schwachstelle in der Java-Bibliothek Log4j bekanntgeworden, die in zahlreichen Software-Projekten eingesetzt wurde. Darüber wäre es möglich gewesen, eine Vielzahl von Anwendungen zu infiltrieren. Mit der SBOM sollen solche Gefahren eingedämmt werden.
BSI-FAQ für Software-Hersteller über SBOM: (Hyperlink aufrufen)
Heise Online über die richtigen Zutaten für das Absichern der Software-Lieferkette: (Hyperlink aufrufen)
3. Hacker konnten Standortdaten von Feuerwehrautos abgreifen
Hackerinnen und Hacker konnten einem ZDF-Bericht zufolge die Standortdaten von Feuerwehrautos abgreifen – metergenau, rund um die Welt. Möglich ist das über einen von der österreichischen Firma Rosenbauer angebotenen Software-Tracker, mit der Organisationen ihre Fahrzeuge überwachen und miteinander vernetzen können. Hackerinnen und Hacker des Kollektivs "zerforschung", das für das Aufspüren von Sicherheitslücken bekannt ist, besorgten sich die App, legten sich ein Kundenkonto an und begannen damit, die Anwendung zu analysieren. In kürzester Zeit sei es ihnen gelungen, Ortungsdaten auch ohne Befugnis abzufragen, berichtet ein Mitglied der Gruppe. Auch eine Kundenliste der Firma und Informationen über die Art der eingesetzten Feuerwehrautos sei zugänglich gewesen. Rosenbauer habe das Datenleck bestätigt und den Fehler behoben, heißt es beim ZDF.
ZDF über Datenleck bei Feuerwehr-Tracker: (Hyperlink aufrufen)
4. Kurz notiert
• Kriminelle locken Sparkassen-Kundinnen und -Kunden mit Cashback-Masche: (Hyperlink aufrufen)
• Cyber-Angriff auf Trinkwasserverband Stade, Wasserversorgung ist nicht betroffen: (Hyperlink aufrufen)
• Tausende sensible Daten bei Angriff auf Münchner Verlagsgruppe gestohlen: (Hyperlink aufrufen)
----------------------------------------------------
Up-to-date
5. Mehrere Drucker von HP und Samsung weisen schwere Sicherheitslücken auf
Diverse Drucker der Hersteller HP und Samsung wiesen mit dem Bedrohungsgrad "hoch" deklarierte Sicherheitslücken auf, meldet t3n. Eine Liste der betroffenen Modelle ist unten verlinkt. Über die Schwachstellen sei es Cyber-Kriminellen möglich, sich seitwärts in ein Netzwerk vorzuarbeiten und dort weitere Aktivitäten zu starten.
t3n über Sicherheitslücken bei HP- und Samsung-Druckern: (Hyperlink aufrufen)
Liste mit betroffenen Druckern und Tipps zum Schließen der Sicherheitslücken finden Sie hier: (Hyperlink aufrufen)
6. Exchange-Server: Gepatcht und doch nicht gepatcht
Microsoft hat vor wenigen Tagen kritische Sicherheitsupdates zurückgezogen, die das Unternehmen selbst erst kurz zuvor veröffentlicht hatte. Grund dafür sind nach Angaben des Konzerns Set-up-Probleme auf nicht-englischsprachigen Servern. Weitere Details hat das Unternehmen nicht genannt. Tatsächlich gibt es Golem zufolge Berichte, nach denen die fehlgeschlagenen Updates in einigen Fällen dazu geführt hätten, dass die Exchange-Server ohne manuelle Eingriffe ihren Dienst nicht mehr ordnungsgemäß verrichten konnten. Ein Patch des Patches ist bislang nicht verfügbar.
Golem über gescheiteren Exchange-Server-Patch: (Hyperlink aufrufen)
(Hyperlink aufrufen)
7. Aktuelle Warnmeldungen des BSI
Das BSI informiert auf seiner Webseite regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Informationen sowie Tipps zum Umgang damit.
Das BSI-Portal erreichen Sie über: (Hyperlink aufrufen)
----------------------------------------------------
Gut zu wissen
8. Neuer Podcast "Update verfügbar": Was ist KI, was kann sie und wo geht es hin?
In der 33. Folge des BSI-Podcasts "Update verfügbar" beschäftigt sich das Moderationsduo um Ute Lange und Michael Münz mit Künstlicher Intelligenz (KI). Auch wenn aktuell Lösungen wie ChatGPT oder Bard die öffentliche Debatte prägen: Die Geschichte von KI geht bis in die 1950er Jahre zurück. Christian Temath, Geschäftsführer der Kompetenzplattform KI.NRW, klärt mit Lange und Münz alle wichtigen Fragen rund um das Thema KI, schätzt ein, wo wir beim Thema KI stehen, worauf wir achten müssen und was uns in (naher) Zukunft erwarten wird.
BSI-Podcast "Update verfügbar", #33: Künstliche Intelligenz - Was es ist, was es kann und wo es hingeht: (Hyperlink aufrufen)
----------------------------------------------------
Praktisch sicher
9. Die besten Sicherheitstipps für Gamerinnen und Gamer
Die Gamescom in Köln (mehr dazu unter "Was wichtig wird") wirft ihre Schatten voraus. Auch das BSI ist vor Ort, aber wir haben hier schon einmal die wichtigsten Tipps für Spielerinnen und Spieler aufgeschrieben, die immer gelten – auch außerhalb der Messe.
• Laden Sie Spiele nur aus offiziellen Quellen herunter! Dazu zählen die App Stores der Smartphone-Hersteller und die großen Software-Shops, die mit Entwicklerinnen und Entwicklern zusammenarbeiten. Ein unbekannter Ursprung, ein konkurrenzlos günstiger Preis oder ein fehlendes Impressum können auf eine unseriöse Quelle hinweisen.
• Schützen Sie Ihre Accounts! Cyber-Kriminelle versuchen womöglich, Ihren Account zu knacken. Wie Sie starke Passwörter bilden, die Zwei-Faktor-Authentisierung bei verschiedenen Konsolen aktivieren und was noch hilft, verlinken wir unter diesem Beitrag.
• Augen auf bei In-App-Käufen! Sichern Sie solche am besten zusätzlich durch ein Passwort, um nicht in Kostenfallen zu tappen – auch nicht unbeabsichtigt.
• Legen Sie ein separates Benutzerkonto an! Das Konto, das Sie für Games verwenden, sollte nur über eingeschränkte Rechte verfügen. Dadurch hat eine Schadsoftware nicht gleich Admin-Berechtigungen. Außerdem sollten Sie auf diesem Benutzerkonto nur die nötigsten Daten hinterlegen.
• Laden Sie Updates herunter, sobald diese verfügbar sind! Oft schließen Hersteller auf diesem Weg Sicherheitslücken, bevor Cyber-Kriminelle sie ausnutzen können.
Mehr Tipps des BSI zu den „Spielregeln für digitale Sicherheit“ beim Gaming finden Sie hier: (Hyperlink aufrufen)
Hinweise zur Zwei-Faktor-Authentisierung für mehr Datensicherheit: (Hyperlink aufrufen)
----------------------------------------------------
Was wichtig wird
10. Tag der offenen Tür bei der Bundesregierung
Unter dem Motto "Die Regierung lädt ein" öffnen am 19. und 20. August 2023 das Bundeskanzleramt, die Bundesministerien und das Bundespresseamt in Berlin ihre Türen für interessierte Besucherinnen und Besucher. Im Bundesministerium des Innern und für Heimat (BMI) wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) zwischen 10 und 18 Uhr Informationsangebote für einen sicheren digitalen Alltag präsentieren. Stellen Sie Ihre Fragen zu Risiken im Internet, informieren Sie sich über entsprechende Schutzmaßnahmen und das IT-Sicherheitskennzeichen oder schlüpfen Sie im VR-Spiel "Mission: Weakpoint" in die Rolle eines Hackers.
Im Bundesministerium für Wirtschaft und Klimaschutz (BMWK) kann an einem Stand des BSI die Schlüsseltechnologie für die Digitalisierung der Energiewende "Smart-Meter-Gateway" in einer interaktiven Simulation erkundet werden.
Weitere Informationen des BSI zum Tag der offenen Tür finden Sie hier: (Hyperlink aufrufen)
SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)
Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de