SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 03.04.2014
Nummer: NL-T14/0007

Die Themen dieses Newsletters:
1. Sicherheitslücke in Microsoft Word: Fixit anwenden
2. Chip.de: Online-Forum gehackt
3. Firefox für Android: Schwachstelle behoben
4. E-Mail-Verschlüsselung: Deutsche Anbieter stellen um
5. Klicksafe: Neuer Internetleitfaden für Jugendliche
6. IT-Fitness: Beweg dich sicher im Internet

EDITORIAL
Guten Tag,

seit einigen Tagen sind Ihre E-Mails ein bisschen sicherer: Die vier
größten E-Mail-Provider in Deutschland haben zum 1. April 2014 endgültig
auf ein verschlüsseltes Transportverfahren umgestellt. Nutzer müssen –
wenn noch nicht geschehen – die Einstellungen in ihrem Mailprogramm
entsprechend anpassen.

Fühlen Sie sich sicher im Internet und wissen, was zu tun ist, um Ihre
Daten zu schützen? Microsoft hat jetzt mit seiner Initiative IT-Fitness
einen neuen Online-Test herausgebracht, mit dessen Hilfe Nutzer ihren
Kenntnisstand in Sachen sicheres Internet überprüfen können und anhand
ihrer Testergebnisse Tipps und Empfehlungen bekommen.

Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen

Ihr Buerger-CERT-Team

STÖRENFRIEDE
1. Sicherheitslücke in Microsoft Word: Fixit anwenden

Nach Bekanntwerden einer Sicherheitslücke in Microsoft Word hat Microsoft
ein sogenanntes Fixit veröffentlicht. Damit wird die Lücke zwar nicht
dauerhaft geschlossen, die Anwendung verhindert aber, dass die
Sicherheitslücke ausgenutzt werden kann.

Die Lücke ist dann relevant, wenn mit Word RTF-formatierte Dateien aus
Webinhalten und entsprechend formatierte E-Mails in Outlook dargestellt
werden. Dies ist häufig bei Outlook bereits voreingestellt. Unter
bestimmten Umständen kann die Lücke einem entfernten, nicht am System
angemeldeten Angreifer aus dem Internet ermöglichen, beliebige Programme
mit den Rechten des Benutzers ausführen zu lassen.

Das Bürger-CERT empfiehlt
dringend https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0036,
die von Microsoft bereitgestellte "Fix it"-Lösung anzuwenden. Hilfe dabei
gibt ein Microsoft Security
Advisory https://support.microsoft.com/kb/2953095. Ist dies nicht
möglich, sollte die Konfiguration in Microsoft Outlook so angepasst
werden, dass E-Mails ausschließlich im Klartext ohne Verwendung von
Microsoft Word als Viewer angezeigt werden.

2. Chip.de: Online-Forum gehackt

Ein Hacker hat sich Zugriff auf das Online-Forum von Chip.de verschafft.
In einer E-Mail und in einem Hinweis im Forum wurden die Nutzer darüber
informiert, dass sich "ein unbekannter Dritter" Zugriff auf die
Verwaltung des Chip-Forums verschafft habe. Das Forum sei sofort
abgeschaltet und unabhängige Forensik-Experten mit der Untersuchung des
Angriffs beauftragt worden.

Dass der Angreifer Zugriff auf Nutzerdaten wie Login und Passwort
bekommen habe, konnte nach ersten Ergebnissen nicht ausgeschlossen
werden. Alle 2,5 Millionen Accounts wurden daher zurückgesetzt, sodass
die Nutzer zunächst Ihr Passwort ändern müssen. Sie wurden aufgerufen,
dies gegebenenfalls auch bei anderen Diensten zu tun, sofern dort
dieselbe Passwort-Email-Kombination genutzt wird. Seit dem
31. März 2014 ist das Chip-Forum wieder
online http://forum.chip.de/chip-online/chip-forum-online-1790797.html.

SCHUTZMASSNAHMEN
3. Firefox für Android: Schwachstelle behoben

In Firefox für Android wurde eine Schwachstelle
behoben https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0037.
Das Update schließt eine Sicherheitslücke, durch die ein Angreifer
vertrauliche Informationen aus dem Benutzerprofil auslesen kann. Dies
könnte weiterführende, gezielte Angriffe erleichtern.
Das Bürger-CERT empfiehlt daher, Firefox für Android schnell auf die
neueste Version zu aktualisieren.

4. E-Mail-Verschlüsselung: Deutsche Anbieter stellen um

Zum 1. April 2014 haben die vier größten deutschen E-Mail-Anbieter ihren
Mailverkehr endgültig auf eine verschlüsselte Übertragung umgestellt.
E-Mail-Kunden von T-Online, Freenet, Web.de und GMX.de können nun nur
noch E-Mails mit ihrem Mailprogramm empfangen, wenn Sie dort die
Verschlüsselungsmethoden SSL beziehungsweise STARTTLS aktiviert haben.
Damit wird die E-Mail zwar nicht auf dem Server der Anbieter, aber
während des Transportwegs verschlüsselt.
Nutzer, die die verschlüsselte Übertragung noch nicht aktiviert haben,
wurden in den vergangenen Wochen von den Anbietern per Mail informiert.
Die Hinweise zu den nötigen Einstellungen finden Sie unter folgenden
Links:
-
T-online http://kommunikationsdienste.t-online.de/email/verschluesselung/
-
Web.de https://hilfe.web.de/sicherheit/ssl.html#mailprotokolle
-
GMX.de https://hilfe.gmx.net/sicherheit/ssl.html#mailprotokolle
- Freenet http://email.freenet.de/sicherheit/SSL

Nutzer, die ihre Mails lediglich über die Webseite ihres Anbieters
abrufen (Webmail), müssen keine Einstellungen ändern – die Mails werden
in diesem Fall automatisch verschlüsselt übertragen.

PRISMA
5. Klicksafe: Neuer Internetleitfaden für Jugendliche

Unter dem Titel "Das Web, wie wir’s uns wünschen" hat die Initiative
klicksafe gemeinsam mit Google und Unitymedia KabelBW einen neuen
Internetleitfaden für Jugendliche vorgestellt. Das
Handbuch richtet sich an 13- bis 16-Jährige und enthält Tipps und
Übungen, unter anderem zu Themen wie digitale Spuren, Online-Reputation
sowie Rechte und Pflichten in der digitalen Welt. Der in acht Sprachen
erschienene Leitfaden ist das Ergebnis eines europaweiten
Kooperationsprojektes von European Schoolnet, Insafe, Google und Liberty
Global und wurde gemeinsam mit Jugendlichen entwickelt. Die deutsche
Broschüre entstand mit Unterstützung von klicksafe und ist
kostenlos im Internet
abrufbar http://www.klicksafe.de/service/materialien/broschueren-ratgeber/the-web-we-want/.

6. IT-Fitness: Beweg dich sicher im Internet

Unter dem Motto "Beweg dich sicher im Internet!" hat Microsoft
Deutschland seine Initiative
IT-Fitness http://www.it-fitness.de neu aufgelegt. Herzstück der
Initiative ist ein Selbsttest, bei dem die Nutzer ihr Wissen über
Gefahren und richtiges Verhalten im Internet überprüfen können. Innerhalb
von zwei Jahren sollen damit zwei Millionen Anwender ihr Wissen zum Thema
testen und fit im Umgang mit PC, Tablets und Smartphones werden, um sich
souverän und sicher durchs Netz zu bewegen. Ein umfangreiches Glossar
erklärt die wichtigsten Begriffe und eine individuell auf das
Testergebnis zugeschnittene Linkliste liefert ergänzend praktische Tipps
und Erklärungen. So erhält der Nutzer die Gelegenheit, Wissenslücken zu
füllen und bekommt Unterstützung, dieses Wissen auch praktisch
anzuwenden.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de