Einzelartikel aus „https://bruecke-unter-dem-main.de - Frankfurter Netzzeitschrift“

Nachrichten. Kultur – Politik – Wissenschaft

Aktueller Bürger-Newsletter des Bundesamts für Sicherheit in der Informationstechnik (BSI)

Ausgabe vom 1. August 2024

 

OpenAI testet SearchGPT - X sammelt ungefragt Daten - Sicherheitslücke bei WhatsApp - So läuft’s beim Digitalen Verbraucherschutz – Weitere Sicherheitstipps

 

 

OpenAI testet SearchGPT

 

Internetsuchmaschinen wie Google, Bing und Yahoo bekommen Konkurrenz. Das Softwareunternehmen OpenAI erweitert seinen auf Künstlicher Intelligenz (KI) basierenden Chatbot ChatGPT derzeit um eine zusätzliche Funktion. SearchGPT soll Nutzerinnen und Nutzern die Suche im Internet erleichtern und schnelle Antworten mit klaren Quellen, Links und Angaben zum Ursprung der Informationen ausliefern. Derzeit läuft die Testphase von SearchGPT.

 

 

X sammelt ungefragt Daten

 

Welche Daten dürfen für das Training von KI verwendet werden? Darüber wird zwischen Entwicklern, Diensteanbietern und Datenschutzinstitutionen derzeit intensiv diskutiert. Neuester Aufhänger: X verwendet die Daten von Nutzenden ungefragt zum Training des hauseigenen Chatbots Grok. Wer das ändern möchte, muss in die Tiefen der Profil-Einstellungen vordringen und über das Dropdown-Menü unter "Mehr" zu "Einstellungen und Datenschutz" > "Datenschutz und Sicherheit" > "Grok" navigieren. Bisher kann die Datensammel-Option nur in den Browser- Versionen, einschließlich der Mobilansichten, deaktiviert werden. In den Android- und iOS-Apps fehlt die Option bislang.

 

 

Sicherheitslücke bei WhatsApp

 

Python- und PHP-Anhänge könnten von Cyberkriminellen dazu missbraucht werden, Sicherheitswarnungen zu umgehen und so über die WhatsApp-Desktopversion für Windows Schadcode zu verbreiten. Besonders gefährdet sind öffentliche und private Chatgruppen, die gleich mehrere Nutzende mit anfälligen Systemvoraussetzungen erreichen. Nutzende sollten aktuelle Updates im Blick behalten.

 

 

So läuft’s beim Digitalen Verbraucherschutz

 

Phishing ist weiterhin eine der größten Bedrohungen für Verbraucherinnen und Verbraucher. Im Durchschnitt besitzt jede Nutzerin bzw. jeder Nutzer 78 (!) Onlinekonten. Passwort-Manager sind ein attraktives Angriffsziel für Cyberkriminelle.

 

 

Weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag finden Sie hier:

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/verbraucherinnen-und-verbraucher_node.html

 

Frühere Meldungen aus dem Juli 2024

 

Weltweite IT-Ausfälle

 

Weltweit kommt es derzeit zu IT-Ausfällen in zahlreichen Branchen. Auch in Deutschland gibt es betroffene Unternehmen, darunter Betreiber Kritischer Infrastrukturen. Eine Ursache dafür ist offenbar ein fehlerhaftes Update einer IT-Security-Lösung des Herstellers Crowdstrike (Falcon). Diese wird von zahlreichen weiteren IT-Diensten genutzt, die in der Folge ausfallen. Nach aktuellem Erkenntnisstand aus den Äußerungen der betroffenen Unternehmen gibt es keine Hinweise auf einen Cyberangriff. Die Vorfälle werden laufend weiter bewertet.

 

BSI-Präsidentin zu Cyberbedrohung: "Mach halt mal die Tür zu"

 

BSI-Präsidentin Claudia Plattner betont im Gespräch mit heise security die Wichtigkeit der schnellen Reaktion auf Sicherheitslücken und einer effektiven Cyberabwehr durch bessere Prävention. "Wichtig ist uns, dass wir einen koordinierten Prozess haben, der dazu führt, dass wir Schwachstellen schließen", so Plattner. "Jede Schwachstelle kann potenziell ausgenutzt werden. Vom BSI aus ist die Haltung glasklar. Wir versuchen, jede Schwachstelle sofort zu schließen. Da kann man sich auch drauf verlassen", so die BSI-Präsidentin weiter. Weitere Details zur Prävention, welche Rolle die Cloud für die IT spielt, der Zusammenarbeit des BSI mit der Branche und Probleme mit Exchange erläutert Claudia Plattner im ausführlichen Video-Interview mit heise security.

 

Zur Heise-Meldung: https://www.heise.de/hintergrund/BSI-Chefin-Sicherheitsluecken-sofort-schliessen-9802982.html

 

Geleakte Taylor-Swift-Tickets

 

Nachdem die international operierende Hackergruppe ShinyHunters kürzlich Daten von 560 Millionen Ticketmaster-Nutzenden abgegriffen und im Darknet für 500.000 Dollar zum Kauf angeboten hatte, wurden nun 170.000 Barcodes veröffentlicht, aus denen sich angeblich funktionierende Tickets für die "Eras"-Tour von Taylor Swift generieren lassen. Bereits im Mai wurden bei Eventim hunderte Accounts gehackt, um Karten für die restlos ausverkauften Shows der US-amerikanischen Musikerin zu erbeuten. Ticketmaster verweist zwar auf Anti-Betrugsmaßnahmen, wie zum Beispiel rotierende Barcodes, die Cyberkriminellen stellten jedoch kürzlich 39.000 von Ticketmaster geleakte Print-at-home-Tickets für insgesamt 154 anstehende Konzerte und Events online. Herausfordernde Zeiten für Musikfans, deren Vorfreude mit einem ungültigen Ticket am Einlass enden könnte.

 

Santander warnt vor Phishing

 

Die Santander Bank ruft Kundinnen und Kunden aktuell zu gesteigerter Wachsamkeit auf. Im Mittelpunkt steht die Warnung vor Phishing-E-Mails, die zur Installation einer vermeintlichen Sicherheits-App auffordern – hinter der sich allerdings eine Schadsoftware verbirgt. Die Bank empfiehlt den Login des Onlinebankings nur über die offizielle Seite aufzurufen und die Banking-App ausschließlich über den App-Stores oder Google Play herunterzuladen.

 

Achtung vor Jobangeboten per WhatsApp

 

Aktuell häufen sich die Meldungen über betrügerische WhatsApp-Nachrichten, in denen lukrative Jobs angeboten werden. Cyberkriminelle ködern ihre Opfer zunächst mir attraktiven Jobangeboten, für die wenig bis gar keine Erfahrungen notwendig sind und zum Teil sogar kleinen Anfangszahlungen möglich sind. Anschließend verlangen sie aber persönliche Informationen und Zahlungen für verschiedene Bearbeitungsgebühren, Schulungen oder Ausrüstung und Software. https://www.it-daily.net/shortnews/whatsapp-betrug-neue-warnung-vor-dubiosen-jobangeboten

Zig Millionen Daten abgegriffen: Der Anbieter AT&T ist gemessen am Umsatz das drittgrößte Telekommunikationsunternehmen der Welt und der zweitgrößte Mobilfunkanbieter in den Vereinigten Staaten. Nun musste der Konzern ein massives Datenleck einräumen. Nahezu alle Kundinnen und Kunden, die AT&T zwischen dem 1. Mai 2022 und dem 31. Oktober 2022 sowie am 2. Januar 2023 nutzten, scheinen betroffen zu sein (https://www.att.com/support/article/my-account/000102979). Verantwortlich für den Datenklau sind wohl Sicherheitslücken beim Cloud-Anbieter Snowflake.

 

Schwachstellen bei Firefox

 

Nutzende, die den freien Browser zum Surfen im Netz verwenden, sollten zeitnah ein Update durchführen, um Hackern zuvorzukommen. Es wurden mehrere Sicherheitslücken geschlossen, die es Angreifenden unter anderem ermöglichen können, Schadcode auszuführen, Sicherheitsmechanismen zu umgehen und Daten zu manipulieren. Hier finden Sie die Warnmeldung des CERT Bund: https://wid.cert-bund.de/portal/wid/buergercert/details?uuid=eea0ecde-adc4-426d-bc87-b4d8b124b4b4

Zur Firefox-Veröffentlichung: https://www.mozilla.org/en-US/security/advisories/mfsa2024-29/

 

Apple warnt vor Spyware-Attacke

 

Apple wendet sich mit einer Warnung an Nutzende in 92 Ländern, die mutmaßlich aufgrund ihrer Identität oder ihres Berufs im Fokus von Cyberkriminellen stehen. Mittels eines Söldner-Spyware-Angriffs kann es den Angreifenden gelingen, das mit der persönlichen Apple-ID verknüpfte iPhone aus der Ferne zu kompromittieren. Um sich vor der Schadsoftware zu schützen, sollten Betroffene ihr Smartphone in den 2022 durch Apple eingeführten Lockdown- bzw. Blockierungsmodus versetzen und alle Apple-Geräte auf die aktuelle iOS-Version aktualisieren. Auch Messaging- und Cloud-Apps werden über den App-Store am besten auf den neuesten Stand gebracht. Es berichtete (u.a.) Golem: https://www.golem.de/news/spyware-apple-warnt-iphone-nutzer-in-98-laendern-2407-186977.html

 

Outlook-Nutzende sollten patchen

 

Fachkräfte warnen vor einer Zero-Click-Schwachstelle, die es Angreifenden auch ohne Authentifizierung ermöglichen könnte, Schadcode in fremden Outlook-Konten auszuführen. Um sich vor Datenabfluss, unbefugten Zugriffen und anderen bösartigen Aktivitäten zu schützen, ist ein Update erforderlich. Ein Patch für CVE-2024-38021 steht seit dem 9. Juli 2024, dem offiziellen MS-Patchday, bereit. Insgesamt wurden im Juli 142 Schwachstellen in verschiedenen Produkten behoben.

 

Zum Patch: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38021

 

 

Aktuelle Warnmeldungen des BSI

 

Das BSI informiert auf seiner Webseite regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Tipps zum Umgang damit.

 

Zum BSI-Portal https://wid.cert-bund.de/portal/wid/kurzinformationen

 

Und hier die Meldungen vom 09.07.2024

 

EU-Kommission sieht Verstöße bei Meta gegen den Digital Markets Act

 

Geld oder Daten – die Nutzenden sozialer Netzwerke vor diese Wahl zu stellen, verstößt mutmaßlich gegen europäisches Verbraucherschutz- und Wettbewerbsrecht. In einer vorläufigen Stellungnahme wirft die EU-Kommission dem Meta-Konzern vor, mit seinem für Facebook und Instagram eingeführten Bezahlmodell die Preisgabe persönlicher Informationen von den Nutzenden zu erzwingen. Durch die erhobenen Datenmengen verschaffe sich Meta darüber hinaus einen unzulässigen Wettbewerbsvorteil gegenüber Konkurrenzunternehmen. Bereits im Frühjahr hatte der Europäische Datenschutzausschuss (EDSA) das Abo-Modell aus Verbraucherschutzgründen für unzulässig erklärt.

 

 

Zwei Sicherheitslücken bei Google Quick Share

 

Quick Share ermöglicht Nutzenden die drahtlose Datenübertragung zwischen Geräten, die die Software installiert haben. Eine nun aufgedeckte Sicherheitslücke erlaubt es, den Annehmen-Dialog in Quick Share für Windows zu umgehen und eine Datei ohne Nutzerbestätigung zu senden. Eine weitere Schwachstelle macht es Angreifenden möglich, sich via temporärem WLAN-Hotspot in eine Man-in-the-Middle-Position zu bringen und sich damit unrechtmäßig in die Kommunikation zwischen den Geräten bzw. Nutzenden einzuschalten. Ein Update auf die Version 1.0.1724.0 schließt beide Lücken.

 

 

Mehrere Sicherheitslücken bei WordPress

 

Das Content-Management-System WordPress wird von vielen Unternehmen, aber auch von Einzelpersonen für die Gestaltung und Befüllung eigener Websites und Onlineshops genutzt. Nun wurden gleich mehrere Schwachstellen aufgedeckt, die es Angreifenden ermöglichen, Benutzende umzuleiten, die Website zu verändern oder Phishing-Angriffe durchzuführen. Es steht bereits ein Update (Version 6.5.5) zur Verfügung. Die neue Version 6.6 ist für Mitte Juli angekündigt.

 

 

BSI-Warnung vor Kaspersky-Virenschutzsoftware bleibt relevant

 

Bereits im März 2022 warnte das BSI gemäß §7 BSI-Gesetz (BSIG) vor der Virenschutzsoftware des russischen Herstellers Kaspersky. Nachdem die US-Regierung Ende Juni 2024 weitreichende Maßnahmen gegen den russischen Softwarehersteller Kaspersky verkündet hat und ab 20. Juli 2024 keine neuen Verkäufe in den USA mehr abwickelt werden dürfen, bleibt die Warnung weiterhin relevant – auch wenn hierzulande kein Vertriebsverbot im Raum steht.

 

 

Suchen Sie noch die Frequenz oder streamen Sie schon?

 

Als erstes Bundesland hat Schleswig-Holstein das Ende des analogen UKW-Radios beschlossen. Ab 2031 können Sender nur noch digital empfangen werden. Die zum Empfang notwendigen Geräte sind bereits heute fester Bestandteil des "Internet of Things" (IoT) und aus vielen Haushalten nicht mehr wegzudenken. Smart Speaker und Streaming-Geräte sollten allerdings bewusst eingesetzt werden, um Sicherheitsrisiken zu minimieren. Welche vernetzten Geräte nutzen Sie zum Streamen und zum Radiohören?

 

 

IT-sicher in den Sommerurlaub

 

Ob Ferienhaus im Allgäu oder Strandurlaub am Mittelmeer: Damit Ihre Geräte und Daten unterwegs sicher sind und auch zuhause alles glatt läuft, lohnt sich schon vor dem Sommerurlaub ein kurzer IT-Sicherheitscheck: Sind die Sicherheits- und Verschlüsselungsfunktionen von Smartphone, Tablet und Co. auf dem neuesten Stand? Haben Sie Ihre Daten durch Back-ups gesichert? Ist das Heim-WLAN abgestellt?
 

https://wid.cert-bund.de/portal/wid/kurzinformationen