SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 14.02.2013
Nummer: NL-T13/0004

Die Themen dieses Newsletters:
1. Durch die Hintertür: Android-Schadprogramm greift auch Windows-PC an
2. Hacker-Angriff auf Twitter: Hunderttausende Passwörter gestohlen
3. Niederlande und Kanada gegen WhatsApp: Messaging bricht Datenschutz-Gesetze
4. Sicherheitsupdate für D-Link-Router: Netzwerke sind praktisch ungeschützt
5. Smartphones von Samsung orten: Ortungsdienst Dive hilft bei Diebstahl und Verlust
6. iOS 6.1 veröffentlicht: Update für iPhone-Betriebssystem
7. Mehr Sicherheit per Klick: Manuelle Aktivierung von Plug-Ins im Firefox
8. Studie unter Internetnutzern: Jeder Zweite Opfer von Online-Kriminalität
9. Safer Internet Day 2013: Der Tag des sicheren Internets

EDITORIAL
Guten Tag,
das Internet ist nicht nur für viele Erwachsene faszinierend, sondern
gerade auch für Jugendliche und Kinder. Weil Computer, Smartphones und
Tablets in den Haushalten mittlerweile allgegenwärtig sind, kommen
bereits die Kleinsten frühzeitig fast unweigerlich in Kontakt mit der
Online-Welt. Mit dem Vermitteln von Medienkompetenz beginnen Eltern
deshalb am besten schon im Vorschulalter – ein neuer Ratgeber hilft
dabei.
Mehr Infos dazu sowie weitere Meldungen rund um die Sicherheit im WWW
finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere
Stunden im globalen Netz wünscht Ihnen
Ihr BUERGER-CERT-Team

STÖRENFRIEDE
1. Durch die Hintertür: Android-Schadprogramm greift auch Windows-PC an

Der Anbieter von IT-Sicherheitssoftware Kaspersky warnt in
einem Blogeintrag [http://www.securelist.com/en/blog/805/Mobile_attacks]
vor zwei Anwendungen aus dem App-Store Google Play, die über mobile
Geräte Zugriff auf PCs erlangen möchten. Demnach laden die beiden Apps
„Superclean” und „DroidCleaner” automatisch Schadcode herunter und führen
ihn aus, sobald sie auf einem Android-Gerät installiert und mit einem
Windows-PC verbunden sind. Vorgeblich dienen die Anwendungen dazu, etwa
ungenutzte Daten von Smartphones zu löschen. Tatsächlich übertragen sie
Schadcode auf den PC, mit dessen Hilfe die Angreifer dann beispielsweise
schädliche Links öffnen, Daten sammeln und Audioaufzeichnungen
mitschneiden können. Mittlerweile sind die beiden Apps bei Google Play
nicht mehr verfügbar.

2. Hacker-Angriff auf Twitter: Hunderttausende Passwörter gestohlen

Der Kurznachrichtendienst Twitter wurde offenbar Opfer eines
Hackerangriffs, dies berichtet der Dienst im firmeneigenen
Blog http://blog.twitter.com/2013/02/keeping-our-users-secure.html.
Das Unternehmen vermutet, dass die Angreifer Zugriff auf bis zu 250.000
Nutzernamen und E-Mail-Adressen hatten. Als Vorsichtsmaßnahme hat Twitter
die Passwörter der betroffenen Konten zurückgesetzt. Jeder betroffene
Anwender erhält eine E-Mail von Twitter, in der er aufgefordert wird, ein
neues Passwort anzulegen.

3. Niederlande und Kanada gegen WhatsApp: Messaging bricht Datenschutz-Gesetze

Wie golem.de
berichtet http://www.golem.de/news/adressbuchabgleich-whatsapp-wird-von-datenschuetzern-kritisiert-1301-97225.html,
steht der Instant-Messaging-Dienst WhatsApp in der Kritik von
niederländischen und kanadischen Datenschutzbehörden. Der Dienst verstoße
gegen Datenschutzgesetze der Länder, weil er die Adressbücher seiner
Nutzer automatisch abgleiche, dabei werde nicht zwischen Daten von
Nutzern und Nichtnutzern unterschieden. Die Nutzer müssten aber selbst
entscheiden können, welche Daten sie mit WhatsApp teilen möchten und
welche nicht, sagte ein Vertreter der niederländischen
Datenschutzbehörde. Dem Bericht zufolge hat sich WhatsApp bereiterklärt,
Nutzer in Zukunft zu fragen, ob und in welchem Umfang Whatsapp auf das
Adressbuch zugreifen dürfe. Die Behörden wollen das Vorgehen von WhatsApp
weiter beobachten und behalten sich rechtliche Schritte gegen das
Unternehmen vor.

SCHUTZMASSNAHMEN
4. Sicherheitsupdate für D-Link-Router: Netzwerke sind praktisch ungeschützt

Router des Herstellers D-Link haben ein Sicherheitsproblem. Dies
berichten u.a.
golem.de http://www.golem.de/news/sicherheitsluecke-d-link-informiert-provider-ueber-gefaehrliche-router-1302-97473.html
und
heise.de http://www.heise.de/security/meldung/Sicherheitsalarm-fuer-D-Link-Router-1796519.html.
Konkret handelt es sich um die Modelle DIR-300 Revision B, DIR-600
Revision B1 und B2 sowie DIR-600 Revision B5. Offenbar ist es Angreifern
relativ mühelos möglich, etwa über das Internet Zugriff auf die Router zu
erlangen und damit die Kontrolle über ein angeschlossenes Netzwerk zu
übernehmen. Für die betroffenen Modelle hat D-Link bereits
Sicherheitsupdates zum Download
bereitgestellt http://more.dlink.de/sicherheit/firmware.html und
fordert Besitzer der betroffenen Geräte auf, diese zu installieren. Ob
Besitzer eines D-Link-Routers betroffen sind, lässt sich durch einen
Abgleich der Versionsnummer klären. Der Typenaufkleber befindet sich auf
der Unter- oder Rückseite des Routers.

5. Smartphones von Samsung orten: Ortungsdienst Dive hilft bei Diebstahl und Verlust

Die IT-Zeitschrift connect.de gibt Besitzern von Samsung-Smartphones eine
detaillierte
Anleitung http://www.connect.de/ratgeber/samsung-galaxy-handy-orten-sperren-loeschen-1472350.html
an die Hand, wie sie mit Hilfe des Samsung-Ortungsdienstes Dive ihr Gerät
bei Verlust selber orten und sperren oder darauf Daten löschen können. Um
den Dienst nutzen zu können, ist ein Kundenkonto bei Google
Voraussetzung. Ohne dieses Konto ist eine Ortung und ein Fernzugriff auf
das Smartphone nicht möglich. Zudem muss noch ein Kundenkonto bei Samsung
eingerichtet werden, damit über die Website
samsungdive.com http://www.samsungdive.com/DiveMain.do
der tatsächliche Fernzugriff gesteuert werden kann. Über Dive können
Anwender dann beispielsweise Nachrichten auf dem Display anzeigen lassen,
das Gerät auf die Werkseinstellungen zurücksetzen, Bewegungsprofile des
Geräts erstellen, den Klingelton aktivieren und die Zugangssperren
aufheben.

6. iOS 6.1 veröffentlicht: Update für iPhone-Betriebssystem

Apple hat ein Update für das Betriebssystem für mobile Geräte iOS
veröffentlicht. Die Version iOS 6.1 schließt dabei zahlreiche
Sicherheitslücken http://support.apple.com/kb/HT5642?viewlocale=de_DE.
In rund 20 Fällen sei es Angreifern möglich, durch diese Lücken Schadcode
auf Geräte zu übertragen. Das Update ist für die Geräte iPhone 3GS und
neuer, iPod touch der vierten Generation und neuer sowie für das iPad 2
und neuer verfügbar. Für das iPhone 4S wurde ein gesondertes Update auf
Version iOS 6.1.1 herausgegeben. Dieses behebt Verbindungsprobleme, die
durch das Einspielen der Version iOS 6.1 auf dem iPhone entstehen können.
Das Update kann über iTunes bezogen werden und über das mobile Gerät
selbst, in dem Nutzer dem Pfad folgen: Einstellungen -> Allgemein ->
Softwareaktualisierung.

7. Mehr Sicherheit per Klick: Manuelle Aktivierung von Plug-Ins im
Firefox

In Zukunft werden Nutzer des Firefox-Browsers beim Surfen den Start von
Browser-Plug-Ins wie Java und Silverlight explizit per Mausklick erlauben
müssen. Mit dieser Maßnahme möchte Firefox-Hersteller Mozilla die
Internetsicherheit und die Stabilität des Browsers erhöhen,
heißt es im firmeneigenen
Blog https://blog.mozilla.org/security/2013/01/29/putting-users-in-control-of-plugins/.
Der Anwender kann durch dieses „Click-to-play“ genannte Prinzip selbst
entscheiden, wann er in welchem Zusammenhang welche Plug-Ins zulassen
möchte und welche nicht. Eine Ausnahme ist Flash, dass als einziges
Plug-In in Firefox automatisch aktiviert wird. Das BSI empfiehlt
grundsätzlich so genannte aktive Inhalte möglichst auszuschalten, wenn
sie nicht dringend benötigt werden. Hinter den Aktiven Inhalten können
sich leicht Schadprogramme verbergen. Mehr Informationen zu diesem Thema
erhalten Sie auf der Website BSI FÜR
BÜRGER SicherheitImNetz.

PRISMA
8. Studie unter Internetnutzern: Jeder Zweite Opfer von Online-Kriminalität

Rund die Hälfte der Internetnutzer in Deutschland ist schon einmal zum
Opfer von Online-Angriffen geworden. 55 Prozent der Männer und 39 Prozent
der Frauen gaben dies in einer repräsentativen Studie der GfK an. Bei 26
Prozent der 1000 Befragten wurde Schadsoftware installiert, elf Prozent
mussten für eine vermeintliche Gratis-Dienstleistung doch bezahlen und
neun Prozent haben online für eine Leistung bezahlt, die sie später nicht
bekommen haben. Nach Einschätzung der Hälfte der Befragten bleibt die
Sicherheitslage im Internet in etwa gleich, jedoch geht ein Drittel der
Internetnutzer von einer Verschlechterung der Sicherheitslage aus. Die
Studie wurde im Auftrag von FriendScout24 angefertigt. Auf seiner Website
bietet das Unternehmen die Ergebnisse zum Download an (PDF)
pressemitteilungen.

9. Safer Internet Day 2013: Der Tag des sicheren Internets

Anlässlich des Safer Internet Day am 5. Februar haben viele deutsche
Verbände und Institutionen Aktionen durchgeführt. Hervorzuheben ist das
Buch „Spielen und Lernen: Online sein“, das klicksafe.de an diesem Tag
veröffentlicht hat. Es steht als kostenloses
PDF http://www.klicksafe.de/service/materialien/broschueren-ratgeber/spielen-und-lernen-online-sein/
zur Verfügung und soll die digitale Medienkompetenz von Kindern im Alter
von vier bis acht Jahren fördern sowie Eltern sensibilisieren, auf die
Online-Aktivitäten ihrer Kinder zu achten.
Weitere Themen am Safer Internet Day waren Cybermobbing unter
Jugendlichen, rechtliche Themen wie Abofallen und Urheberrecht sowie
Datenschutz in Zeiten von „Big Data“. Eine Zusammenfassung hat die
Redaktion von heise
Security http://www.heise.de/security/meldung/Safer-Internet-Day-Mehr-Aufmerksamkeit-fuer-Online-Sicherheit-1797419.html
erstellt. Der Safer Internet
Day http://www.saferinternetday.org wurde von der EU initiiert. Er
findet jedes Jahr im Februar statt, um vor allem bei Kindern und
Jugendlichen für einen sicheren und verantwortungsvollen Umgang mit dem
Netz zu werben.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de