GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: | zum Seitenende |
|
Autor | Mitteilung |
Nubira Moderator Beiträge: 15134 | Gesendet: 16:22 - 20.03.2014 SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 20.03.2014 Nummer: NL-T14/0006 Die Themen dieses Newsletters: 1. Verschlüsselung Fehlanzeige: Android Apps 2. Sicherheitslücke in Routern von O2: WLAN 3. Berichte über neue Sicherheitsmängel: WhatsApp 4. BSI und Polizeiliche Kriminalprävention stellen neues Medienpaket vor: Verklickt: 5. Update auf iOS 7.1: Apple 6. Sicherheitsupdate für Google Chrome und Firefox: Browser 7. Microsoft und Adobe schließen Lücken: Patchdays 8. EU-Parlament beschließt Neuregelung: Datenschutz 9. Signatur von Bürger-CERT-Mails: In eigener Sache EDITORIAL Guten Tag, mobile Sicherheit rückt immer stärker in den Fokus: Kaum eine Woche vergeht ohne neue Meldungen zu Sicherheitslücken bei Smartphones und Apps. Gleichzeitig beschäftigen sich auch die Hersteller immer mehr mit den Bedürfnissen ihrer Kunden in dieser Hinsicht und äußern sich zu Datenschutz- und Sicherheitsaspekten. Auch der Büger-CERT-Newsletter informiert diese Woche wieder über die Sicherheit bei Android Apps und dem Messengerdienst WhatsApp. Am heutigen Donnerstag stellt das BSI gemeinsam mit der Polizeilichen Kriminalprävention der Länder und des Bundes ein neues Angebot für Jugendliche und Lehrkräfte vor. Der Film "Verklickt!" und das dazugehörige Begleitheft infomieren Jugendliche über Gefahren bei der Internetnutzung und geben ihnen Schutzmöglichkeiten an die Hand. Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im globalen Netz wünscht Ihnen Ihr Buerger-CERT-Team STÖRENFRIEDE 1. Verschlüsselung Fehlanzeige: Android Apps Sicherheitsforscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) haben die 10.000 beliebtesten Android-Apps untersucht http://www.aisec.fraunhofer.de/de/medien-und-presse/pressemitteilungen/2014/20140403_10000_apps.html und dabei gravierende Mängel bei Sicherheit und Datenschutz festgestellt. Demnach übertragen 69 Prozent der getesteten Programme die Daten unverschlüsselt in die Cloud. Weitere 26 Prozent der Programme geben zwar vor, eine sichere Verbindung zum Internet aufzubauen, sind aber so unzureichend programmiert, dass diese Verbindung leicht angreifbar ist. Die Forscher bemängelten außerdem, dass 91 Prozent der getesteten Apps bereits bei der Installation eine Berechtigung für den Aufbau einer Internetverbindung verlangen, ohne dass der Nutzer weiß, wozu diese Verbindung genutzt wird. Gleich beim Start werden bei einem Großteil der Apps ungefragt persönliche Daten verschickt. 2. Sicherheitslücke in Routern von O2: WLAN In einigen Standard-WLAN-Routern des Anbieters O2 wurde ein Sicherheitsmangel festgestellt. Das Unternehmen hat bereits eine eigene Informationsseite [url]http://hilfe.o2online.de/t5/Sicherheit-Archiv/WLAN-Schl%C3%BCssel-Sicherheitshinweis-zu-den-Boxen-6431-4421-1421/ta-p/588924]/url] zur Verfügung gestellt und damit begonnen, seine Kunden zu informieren. Es gebe aktuelle Hinweise, dass das bei den Routern eingesetzte Verfahren zur Generierung des WLAN-Schlüssels ein Risiko für eventuelle Zugriffe durch Unbefugte darstelle. Das voreingestellte Passwort könne möglicherweise mit geringem Zeitaufwand geknackt werden, sodass ein Angreifer Zugriff auf das Heimnetz und den Datenverkehr bekäme. Kunden sollten daher, sofern sie noch das voreingestellte Passwort nutzen, dieses schnellstmöglich ändern. Sicherheitstipps zum Betrieb eines privaten W_LAN finden Sie auch auf den BSI für Bürger Webseiten https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheitstipps/sicherheitstipps_node.html 3. Berichte über neue Sicherheitsmängel: WhatsApp Ein niederländischer Sicherheitsforscher berichtet http://bas.bosschert.nl/steal-whatsapp-database/#more-1 über eine neue Sicherheitslücke im Messengerdienst WhatsApp. Demnach kann unter Android eine App mit entsprechenden Rechten installiert werden, über die Unbefugte dann auf die WhatsApp-Datenbank zugreifen und den kompletten Chat-Verlauf lesen können. WhatsApp hinterlegt seine Daten auf der SD-Karte des Smartphones. Erteilt ein Nutzer unbedacht einer anderen Anwendung die Berechtigung, kann diese unbemerkt auf den Speicher zugreifen. Ein WhatsApp-Sprecher wies die Vorwürfe zurück http://techcrunch.com/2014/03/13/whatsapp-says-reports-of-security-flaw-are-overstated-and-not-accurate/. Es handele sich um ein allgemeines Problem mit Schadsoftware, das nicht in der Verantwortung von WhatsApp liege. SCHUTZMASSNAHMEN 4. BSI und Polizeiliche Kriminalprävention stellen neues Medienpaket vor: Verklickt: Der Alltag junger Menschen spielt sich zu einem großen Teil online ab – der damit verbundenen Risiken sind sie sich aber häufig nicht bewusst. Mit dem Film "Verklickt!", der am 20. März 2014 in Stuttgart vorgestellt wurde, will die Polizeiliche Kriminalprävention der Länder und des Bundes in Zusammenarbeit mit dem BSI Jugendliche auf Gefahren bei der Internetnutzung aufmerksam machen und ihnen Schutzmöglichkeiten an die Hand geben. Der Film ist Teil eines Medienpakets, das auch ein pädagogisches Begleitheft enthält und soll vorrangig im Schulunterricht ab Klassenstufe 7 eingesetzt werden. Mehr Informationen finden Sie auch auf der Webseite der Polizeilichen Kriminalprävention http://www.polizei-beratung.de/startseite-und-aktionen/verklickt.html. Dort kann das Medienpaket auch bestellt werden. 5. Update auf iOS 7.1: Apple Apple hat ein Update https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0024 für sein Betriebssystem iOS herausgegeben, das mehrere Sicherheitslücken schließt. Die aktuelle Version 7.1 sollte auf allen iPhones, iPod touchs und iPads über die App-Store Update Funktion eingespielt werden. 6. Sicherheitsupdate für Google Chrome und Firefox: Browser Google hat in den vergangenen zwei Wochen gleich mehrere Updates https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0030 für seinen Browser Google Chrome zur Verfügung gestellt. Aktuell ist die Version 33.0.1750.152 für Linux und Mac OS bzw. 33.0.1750.154 für Microsoft Windows. Nutzer, die ihre Software noch nicht aktualisiert haben, sollten dies nachholen, um die Sicherheitslücken zu schließen. Auch bei Mozilla gibt es Aktualisierungen: Der Browser Firefox liegt jetzt in der Version 28 https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0031vor. Auch Mozillas Mailprogramm Thunderbird und das Programmpaket Seamonkey wurden aktualisiert. 7. Microsoft und Adobe schließen Lücken: Patchdays Microsoft stellt mit dem März Patchday 2014 mehrere Sicherheitsupdates [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0026] für unterschiedliche Produkte, unter anderem für den Internet Explorer und das Windows-Betriebssystem, zur Verfügung. Adobe veröffentlichte zum Patchday eine neue Version seines Flash Players https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0025 und schloss damit zwei kritische Sicherheitslücken. Um die regelmäßige Aktualisierung der verwendeten Programme sicherzustellen, empfiehlt das Bürger-CERT die automatische Update-Funktion innerhalb der Programme zu aktivieren. Andernfalls sollten die Aktualisierungen manuell eingespielt werden. PRISMA 8. EU-Parlament beschließt Neuregelung: Datenschutz Das Europäische Parlament hat dem Entwurf für eine neue EU-Datenschutzgrundverordnung http://www.europarl.europa.eu/news/de/news-room/content/20140307IPR38204/html/MEPs-tighten-up-rules-to-protect-personal-data-in-the-digital-era zugestimmt, die bei Verstößen strengere Strafen und einen besseren Schutz der Privatsphäre vorsieht. Die Neuregelung soll den Schutz personenbezogener Daten verbessern und den Datenverkehr innerhalb der EU erleichtern. Kern der neuen Verordnung ist eine Strafregelung, die bis zu fünf Prozent des Jahresumsatzes oder maximal 100 Millionen Euro als Strafe bei Datenschutzverstößen festsetzen. Zudem müssen EU-Bürger der Nutzung ihrer persönlichen Daten ausdrücklich zustimmen. Die Neuregelung ersetzt die bis heute gültige Gesetzgebung aus dem Jahr 1995 sowie nationale Regelungen. Anders als bei der bestehenden Richtlinie können Mitgliedsstaaten in ihrer nationalen Gesetzgebung keine höheren Datenschutzstandards mehr festschreiben. 9. Signatur von Bürger-CERT-Mails: In eigener Sache Heise Security http://www.heise.de/-2145053.html berichtete in der vergangenen Woche über Probleme bei der Verwendung der S/MIME Signatur des Bürger-CERT-Newsletters. Mail-Clients und Webmailer bemängeln demnach die vom BSI verwendete Signatur als ungültig, da sie das Zertifikat nicht überprüfen können. Der Hintergrund: Auf Wunsch versieht das BSI die Newsletter-Mails mit einer S/MIME-Signatur. Sie bietet ein zusätzliches Sicherheitsmerkmal und soll Empfänger davor schützen, auf gefälschte Warnungen hereinzufallen. Das S/MIME-Zertifikat ist von der Verwaltungs-PKI https://www.bsi.bund.de/DE/Themen/weitereThemen/VerwaltungsPKIVPKI/AllgInformationen/allginformationen_node.html ausgestellt - so wie auch andere S/MIME-Zertifikate im BSI. Um die Gültigkeit des Zertifikats verifizieren zu können, müssen Benutzer das Root-Zertifikat der Verwaltungs-PKI manuell importieren. Weitere Informationen finden Sie auf der BürgerCERT-Webseite unter "Fragen & Antworten“ https://www.buerger-cert.de/faq sowie im Impressum. Eine Besonderheit gibt es bei der Benutzung von Webmail-Diensten: Hier können Benutzer ggf. Root-Zertifikate nicht selbst importieren. Eine Möglichkeit wäre hier, zu prüfen, ob GMX bzw. auch andere Anbieter das Root-Zertifikat zentral aktivieren können. ----------------------------------------------------------------------- Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - SICHER • INFORMIERT vom 20.03.2014 - | zum Seitenanfang |
|
Version 3.1 | Load: 0.002521 | S: 1_2 |