SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 20.03.2014
Nummer: NL-T14/0006

Die Themen dieses Newsletters:
1. Verschlüsselung Fehlanzeige: Android Apps
2. Sicherheitslücke in Routern von O2: WLAN
3. Berichte über neue Sicherheitsmängel: WhatsApp
4. BSI und Polizeiliche Kriminalprävention stellen neues Medienpaket vor: Verklickt:
5. Update auf iOS 7.1: Apple
6. Sicherheitsupdate für Google Chrome und Firefox: Browser
7. Microsoft und Adobe schließen Lücken: Patchdays
8. EU-Parlament beschließt Neuregelung: Datenschutz
9. Signatur von Bürger-CERT-Mails: In eigener Sache

EDITORIAL
Guten Tag,

mobile Sicherheit rückt immer stärker in den Fokus: Kaum eine Woche
vergeht ohne neue Meldungen zu Sicherheitslücken bei Smartphones und
Apps. Gleichzeitig beschäftigen sich auch die Hersteller immer mehr mit
den Bedürfnissen ihrer Kunden in dieser Hinsicht und äußern sich zu
Datenschutz- und Sicherheitsaspekten. Auch der Büger-CERT-Newsletter
informiert diese Woche wieder über die Sicherheit bei Android Apps und
dem Messengerdienst WhatsApp.

Am heutigen Donnerstag stellt das BSI gemeinsam mit der Polizeilichen
Kriminalprävention der Länder und des Bundes ein neues Angebot für
Jugendliche und Lehrkräfte vor. Der Film "Verklickt!" und das
dazugehörige Begleitheft infomieren Jugendliche über Gefahren bei der
Internetnutzung und geben ihnen Schutzmöglichkeiten an die Hand.

Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen

Ihr Buerger-CERT-Team

STÖRENFRIEDE
1. Verschlüsselung Fehlanzeige: Android Apps

Sicherheitsforscher des Fraunhofer-Instituts für Angewandte und
Integrierte Sicherheit (AISEC) haben die 10.000
beliebtesten Android-Apps
untersucht http://www.aisec.fraunhofer.de/de/medien-und-presse/pressemitteilungen/2014/20140403_10000_apps.html
und dabei gravierende Mängel bei Sicherheit und Datenschutz festgestellt.
Demnach übertragen 69 Prozent der getesteten Programme die Daten
unverschlüsselt in die Cloud. Weitere 26 Prozent der Programme geben zwar
vor, eine sichere Verbindung zum Internet aufzubauen, sind aber so
unzureichend programmiert, dass diese Verbindung leicht angreifbar ist.
Die Forscher bemängelten außerdem, dass 91 Prozent der getesteten Apps
bereits bei der Installation eine Berechtigung für den Aufbau einer
Internetverbindung verlangen, ohne dass der Nutzer weiß, wozu diese
Verbindung genutzt wird. Gleich beim Start werden bei einem Großteil der
Apps ungefragt persönliche Daten verschickt.

2. Sicherheitslücke in Routern von O2: WLAN

In einigen Standard-WLAN-Routern des Anbieters O2 wurde ein
Sicherheitsmangel festgestellt. Das Unternehmen hat bereits eine eigene
Informationsseite [url]http://hilfe.o2online.de/t5/Sicherheit-Archiv/WLAN-Schl%C3%BCssel-Sicherheitshinweis-zu-den-Boxen-6431-4421-1421/ta-p/588924]/url]
zur Verfügung gestellt und damit begonnen, seine Kunden zu informieren.

Es gebe aktuelle Hinweise, dass das bei den Routern eingesetzte Verfahren
zur Generierung des WLAN-Schlüssels ein Risiko für eventuelle Zugriffe
durch Unbefugte darstelle. Das voreingestellte Passwort könne
möglicherweise mit geringem Zeitaufwand geknackt werden, sodass ein
Angreifer Zugriff auf das Heimnetz und den Datenverkehr bekäme. Kunden
sollten daher, sofern sie noch das voreingestellte Passwort nutzen,
dieses schnellstmöglich ändern.

Sicherheitstipps zum Betrieb eines privaten W_LAN finden Sie auch auf den
BSI für Bürger
Webseiten https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheitstipps/sicherheitstipps_node.html

3. Berichte über neue Sicherheitsmängel: WhatsApp

Ein niederländischer Sicherheitsforscher
berichtet http://bas.bosschert.nl/steal-whatsapp-database/#more-1 über
eine neue Sicherheitslücke im Messengerdienst WhatsApp. Demnach kann
unter Android eine App mit entsprechenden Rechten installiert werden,
über die Unbefugte dann auf die WhatsApp-Datenbank zugreifen und den
kompletten Chat-Verlauf lesen können.

WhatsApp hinterlegt seine Daten auf der SD-Karte des Smartphones. Erteilt
ein Nutzer unbedacht einer anderen Anwendung die Berechtigung, kann diese
unbemerkt auf den Speicher zugreifen.
Ein WhatsApp-Sprecher wies die Vorwürfe
zurück http://techcrunch.com/2014/03/13/whatsapp-says-reports-of-security-flaw-are-overstated-and-not-accurate/.
Es handele sich um ein allgemeines Problem mit Schadsoftware, das nicht
in der Verantwortung von WhatsApp liege.

SCHUTZMASSNAHMEN
4. BSI und Polizeiliche Kriminalprävention stellen neues Medienpaket vor:
Verklickt:

Der Alltag junger Menschen spielt sich zu einem großen Teil online ab –
der damit verbundenen Risiken sind sie sich aber häufig nicht bewusst.
Mit dem Film "Verklickt!", der am 20. März 2014 in Stuttgart vorgestellt
wurde, will die Polizeiliche Kriminalprävention der Länder und des Bundes
in Zusammenarbeit mit dem BSI Jugendliche auf Gefahren bei der
Internetnutzung aufmerksam machen und ihnen Schutzmöglichkeiten an die
Hand geben.
Der Film ist Teil eines Medienpakets, das auch ein pädagogisches
Begleitheft enthält und soll vorrangig im Schulunterricht ab Klassenstufe
7 eingesetzt werden. Mehr Informationen finden Sie auch auf der
Webseite der Polizeilichen
Kriminalprävention http://www.polizei-beratung.de/startseite-und-aktionen/verklickt.html.
Dort kann das Medienpaket auch bestellt werden.

5. Update auf iOS 7.1: Apple

Apple hat ein
Update https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0024
für sein Betriebssystem iOS herausgegeben, das mehrere Sicherheitslücken
schließt. Die aktuelle Version 7.1 sollte auf allen iPhones, iPod touchs
und iPads über die App-Store Update Funktion eingespielt werden.

6. Sicherheitsupdate für Google Chrome und Firefox: Browser

Google hat in den vergangenen zwei Wochen gleich mehrere
Updates https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0030
für seinen Browser Google Chrome zur Verfügung gestellt. Aktuell ist die
Version 33.0.1750.152 für Linux und Mac OS bzw. 33.0.1750.154 für
Microsoft Windows. Nutzer, die ihre Software noch nicht aktualisiert
haben, sollten dies nachholen, um die Sicherheitslücken zu schließen.
Auch bei Mozilla gibt es Aktualisierungen: Der Browser Firefox liegt
jetzt in der Version
28 https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0031vor.
Auch Mozillas Mailprogramm Thunderbird und das Programmpaket Seamonkey
wurden aktualisiert.

7. Microsoft und Adobe schließen Lücken: Patchdays

Microsoft stellt mit dem März Patchday 2014 mehrere
Sicherheitsupdates [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0026]
für unterschiedliche Produkte, unter anderem für den Internet Explorer
und das Windows-Betriebssystem, zur Verfügung. Adobe veröffentlichte zum
Patchday eine neue Version seines Flash
Players https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0025
und schloss damit zwei kritische Sicherheitslücken.
Um die regelmäßige Aktualisierung der verwendeten Programme
sicherzustellen, empfiehlt das Bürger-CERT die automatische
Update-Funktion innerhalb der Programme zu aktivieren. Andernfalls
sollten die Aktualisierungen manuell eingespielt werden.

PRISMA
8. EU-Parlament beschließt Neuregelung: Datenschutz

Das Europäische Parlament hat dem Entwurf für eine neue
EU-Datenschutzgrundverordnung http://www.europarl.europa.eu/news/de/news-room/content/20140307IPR38204/html/MEPs-tighten-up-rules-to-protect-personal-data-in-the-digital-era
zugestimmt, die bei Verstößen strengere Strafen und einen besseren Schutz
der Privatsphäre vorsieht. Die Neuregelung soll den Schutz
personenbezogener Daten verbessern und den Datenverkehr innerhalb der EU
erleichtern.
Kern der neuen Verordnung ist eine Strafregelung, die bis zu fünf Prozent
des Jahresumsatzes oder maximal 100 Millionen Euro als Strafe bei
Datenschutzverstößen festsetzen. Zudem müssen EU-Bürger der Nutzung ihrer
persönlichen Daten ausdrücklich zustimmen.
Die Neuregelung ersetzt die bis heute gültige Gesetzgebung aus dem Jahr
1995 sowie nationale Regelungen. Anders als bei der bestehenden
Richtlinie können Mitgliedsstaaten in ihrer nationalen Gesetzgebung keine
höheren Datenschutzstandards mehr festschreiben.

9. Signatur von Bürger-CERT-Mails: In eigener Sache

Heise Security http://www.heise.de/-2145053.html
berichtete in der vergangenen Woche über Probleme bei der Verwendung der
S/MIME Signatur des Bürger-CERT-Newsletters. Mail-Clients und Webmailer
bemängeln demnach die vom BSI verwendete Signatur als ungültig, da sie
das Zertifikat nicht überprüfen können.

Der Hintergrund: Auf Wunsch versieht das BSI die Newsletter-Mails mit
einer S/MIME-Signatur. Sie bietet ein zusätzliches Sicherheitsmerkmal und
soll Empfänger davor schützen, auf gefälschte Warnungen hereinzufallen.
Das S/MIME-Zertifikat ist von der Verwaltungs-PKI
https://www.bsi.bund.de/DE/Themen/weitereThemen/VerwaltungsPKIVPKI/AllgInformationen/allginformationen_node.html
ausgestellt - so wie auch andere S/MIME-Zertifikate im BSI. Um die
Gültigkeit des Zertifikats verifizieren zu können, müssen Benutzer das
Root-Zertifikat der Verwaltungs-PKI manuell importieren. Weitere
Informationen finden Sie auf der BürgerCERT-Webseite unter
"Fragen & Antworten“ https://www.buerger-cert.de/faq
sowie im Impressum.

Eine Besonderheit gibt es bei der Benutzung von Webmail-Diensten: Hier
können Benutzer ggf. Root-Zertifikate nicht selbst importieren. Eine
Möglichkeit wäre hier, zu prüfen, ob GMX bzw. auch andere Anbieter das
Root-Zertifikat zentral aktivieren können.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de