SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 29.08.2013
Nummer: NL-T13/0018

Die Themen dieses Newsletters:
1. Außerhalb von Google Play auf dem Vormarsch: Android-Schädlinge
2. Bitcoin: Schwachstelle unter Android
3. Wartung eingestellt: Lücke in Java 5 und 6 wird ausgenutzt
4. Zurück aus dem Urlaub: Technik auf dem neuesten Stand?
5. Mixed-Content-Blocker: Firefox-Update
6. Standardmäßige Verschlüsselung: Mehr Sicherheit bei Google Cloud Storage
7. Windows XP End of Life: Microsoft warnt vor zukünftigen Sicherheitslücken
8. Soziale Netze: Das BSI bei Facebook und Xing

EDITORIAL
Guten Tag,

wenn Sie in diesen Tagen aus dem Urlaub zurückkehren, sollten Sie Ihrem
PC, Tablet und Smartphone einen Moment besondere Aufmerksamkeit gönnen:
Schon bei einem Kurzurlaub verpasst man das ein oder andere
Sicherheitsupdate, das es jetzt zu installieren gilt. Das zeigen nicht
zuletzt die Aktualisierungen von Mozilla und die Update-Empfehlungen für
ältere Java-Versionen, über die wir in diesem Newsletter berichten.
Außerdem Thema: Schadsoftware für Android und die Sicherheit von Windows
XP, dessen Support in einigen Monaten abläuft.

Übrigens: Seit vergangener Woche ist das BSI auch bei Facebook vertreten.
Wir freuen uns, Sie zusätzlich auf diesem Weg über aktuelle Themen der
Internet- und IT-Sicherheit zu informieren und Ihre Fragen zu
beantworten.

Informationen zu diesen Themen und weitere Meldungen rund um die
Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende
Lektüre und sichere Stunden im globalen Netz wünscht Ihnen

Ihr Buerger-CERT-Team

STÖRENFRIEDE
1. Außerhalb von Google Play auf dem Vormarsch: Android-Schädlinge

Mobile Geräte mit dem Betriebssystem Android werden immer beliebter – und
das nicht nur bei den Nutzern. Denn je mehr Geräte im Umlauf sind, desto
interessanter werden diese auch für Online-Kriminelle, die außerhalb des
Google Play Stores ihr Unwesen treiben. So berichtete die russische
IT-Sicherheitsfirma Kaspersky
Lab http://www.cio.de/android-tipps/2927017/ kürzlich, dass die Zahl
entdeckter Schädlinge zur Jahresmitte auf über 100 000 kletterte.
Installieren Sie daher Apps nur aus vertrauenswürdigen Quellen – etwa den
im Smartphone voreingestellten App-Stores und Markets der Hersteller.
Weitere Tipps zum Thema Apps finden Sie auf BSI für
Bürger https://www.bsi-fuer-buerger.de/BSIFB/DE/MobileSicherheit/BasisschutzApps/basisschutzApps.html.

2. Bitcoin: Schwachstelle unter Android

Bitcoin.org http://bitcoin.org/en/alert/2013-08-11-android
warnt davor, dass alle Bitcoin-Wallet-Apps unsicher seien und gestohlen
werden könnten. Grund dafür ist, dass Androids in Java realisierte
Verschlüsselung (Java Cryptography Architecture, kurz: JCA) zu schwache
Zufallszahlen verwendet. Damit ist potenziell nicht nur die digitale
Währung Bitcoin betroffen, sondern alle Apps, die auf Android Smartphones
Verschlüsselung einsetzen. Google hat nach eigener Aussage inzwischen
Patches für seine Partner bereitgestellt, die sicherstellen sollen, dass
ausreichend sichere Zahlen hergestellt werden. Dabei ist allerdings zu
beachten, dass sich das Problem nicht ohne Weiteres durch ein Update der
JCA oder auch der Apps beheben lässt, schreibt heise
Security http://www.heise.de/security/meldung/Androids-Verschluesselung-angreifbar-1936181.html.
Um weitere Diebstähle zu vermeiden, müssten zusätzlich alle erratbaren
Schlüssel gelöscht werden.

SCHUTZMASSNAHMEN
3. Wartung eingestellt: Lücke in Java 5 und 6 wird ausgenutzt

Sollten Sie noch die Versionen 5 oder 6 von Java verwenden, ist ein
Update auf die aktuellste Version derzeit besonders zu empfehlen. So
berichtet heise http://www.heise.de/newsticker/meldung/Exploit-fuer-ungepatchte-Luecke-in-Java-6-aufgetaucht-1944261.html
unter Berufung auf die Sicherheitsfirma F-Secure von einer Lücke in den
Java-Versionen 5 und 6, die bereits ausgenutzt wird. Java-Hersteller
Oracle hat die Wartung jedoch für diese Java-Versionen eingestellt. Laut
heise betrifft die Lücke nur im Browser ausgeführte Java-Anwendungen
sowie von Webstart ausgeführte Programme. Die in Unternehmen weit
verbreiteten Server-Installationen von Java sollen demnach nicht
gefährdet sein.

4. Zurück aus dem Urlaub: Technik auf dem neuesten Stand?

Wenn Sie in diesen Tagen aus dem Urlaub zurückkehren, sollten Sie Ihrem
PC, Tablet und Smartphone ein kurzen
Check https://www.bsi-fuer-buerger.de/BSIFB/DE/Wissenswertes_Hilfreiches/Service/Aktuell/Meldungen/IT-Sicherheit-und-Urlaub_2013.html
gönnen: Schon während eines Kurzurlaubs kann sich viel tun und es ist
möglich, dass Ihre Geräte nicht mehr dem aktuellen Stand der Sicherheit
entsprechen. Installieren Sie verpasste Sicherheitsupdates für Ihr
Betriebssystem, Ihr Virenschutzprogramm, Ihre Firewall oder andere
Software sofort nach. Wer nach dem Urlaub einen überquellenden virtuellen
Briefkasten vorfindet, sollte alle E-Mails aufmerksam durchgehen und
löschen, was verdächtig nach Spam oder Schadsoftware aussieht.

5. Mixed-Content-Blocker: Firefox-Update

Mozilla hat die Version 23 seines
Firefox-Browsers http://www.mozilla.org/en-US/firefox/23.0/releasenotes/
veröffentlicht. Neben einigen neuen und überarbeiteten Funktionen gibt es
auch Erweiterungen bei der Sicherheit: Ein sogenannter
Mixed-Content-Blocker ist nun standardmäßig im Browser aktiviert. Er
verhindert, dass beim Besuch von HTTPS-Seiten auch unverschlüsselte
HTTP-Inhalte ausgeliefert werden. Dadurch wird das Risiko verringert,
beim Besuch solcher Mixed-Content-Seiten Opfer von
„Man-in-the-Middle"-Angriffen zu werden. Durch ein kleines graues
Schutzschild in der Adresszeile wird der Nutzer über geblockte Inhalte
informiert und kann die Blockade für einzelne Seiten auch selbst wieder
aufheben, wenn gewünscht.

Nicht mehr so einfach abschalten lässt sich bei der neuen Version
JavaScript: Die Option zum Aus- und Einschalten wurde aus den
Einstellungen entfernt. JavaScript bleibt damit zunächst bei allen
Nutzern automatisch eingeschaltet. Im Konfigurationsdialog about:config
lässt sich dies aber weiterhin ändern. Alternativ kann die
Browser-Erweiterung No
Script https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/SozialeNetze/Basisschutz/SicherePC/DerSicherePC.html
genutzt werden, mit der der Nutzer selbst bestimmen kann, bei welchen
(vertrauenswürdigen) Webseiten JavaScript, Java und anderen Plugins
ausgeführt werden.

6. Standardmäßige Verschlüsselung: Mehr Sicherheit bei Google Cloud
Storage

Google führt für seinen Cloud Storage-Dienst eine kostenlose automatische
serverseitige
Verschlüsselung http://googlecloudplatform.blogspot.de/2013/08/google-cloud-storage-now-provides.html
ein. Neu hinzugefügte Dateien werden beim Hochladen zu Cloud Storage und
vor der Speicherung ab sofort auf einem Laufwerk verschlüsselt. Schon
länger abgelegte Dateien sollen in den kommenden Monaten sukzessive
verschlüsselt werden. Die Nutzer müssten keine eigenen Einstellungen
vornehmen, um den Service zu nutzen, so Google. Es ändere sich auch
nichts beim Zugriff auf den Dienst oder bei der Performance.

PRISMA
7. Windows XP End of Life: Microsoft warnt vor zukünftigen
Sicherheitslücken

Der Support für Windows XP endet in wenigen Monaten: Ab April 2014 wird
es keine Updates und Patches mehr geben. Dennoch läuft das aus dem Jahr
2011 stammende Betriebssystem laut statistischem
Bundesamt http://de.statista.com/statistik/daten/studie/158102/umfrage/marktanteile-von-betriebssystemen-in-deutschland-seit-2009/
immerhin noch auf rund 15 Prozent der deutschen PCs. Weltweit sind es
sogar noch über 20 Prozent.

Microsoft
warnte http://blogs.technet.com/b/security/archive/2013/08/15/the-risk-of-running-windows-xp-after-support-ends.aspx
daher seine Kunden eindringlich vor Sicherheitsproblemen nach dem „End of
Life“ des Betriebssystems: Hacker würden systematisch prüfen, ob
Sicherheitslücken neuerer Betriebssysteme auch bei XP vorhanden sind, die
dann nicht mehr durch Security Updates geschlossen werden.

8. Soziale Netze: Das BSI bei Facebook und Xing

Millionen Deutsche nutzen soziale Netzwerke: In einer repräsentativen
Umfrage von TNS Emnid, die das BSI in Auftrag gegeben hat, gaben über die
Hälfte der Befragten an, in sozialen Netzwerken aktiv zu sein. Daher
möchten wir Sie auch dort mit wichtigen Informationen rund um die Themen
Internet- und IT-Sicherheit informieren:

Bei Facebook hat das BSI ein
Unternehmensprofil https://www.facebook.com/bsi-fuer-buerger.
Wer bei Facebook registriert ist und bei der BSI-Seite „Gefällt mir"
wählt, erhält regelmäßig Neuigkeiten, Tipps und Hinweise zu
IT-Sicherheitsthemen. Außerdem gibt es die Möglichkeit, das BSI direkt zu
kontaktieren und mit uns zu diskutieren.

Bei der Business-Plattform Xing existiert ein
Arbeitgeberprofil https://www.xing.com/companies/bundesamtfÜrsicherheitinderinformationstechnik
des BSI. Wer Mitglied bei Xing ist und die Unternehmensseite abonniert,
erhält regelmäßig Informationen, unter anderem auch zu Stellenangeboten
oder Job-Messen, bei denen BSI-Mitarbeiter vor Ort sind.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de