SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 02.10.2014
Nummer: NL-T14/0020

Die Themen dieses Newsletters:
1. AVM: Fritz!Box-Sicherheitslücke wird immer noch ausgenutzt
2. Apple die Erste: Auch iOS 8 kann Apps verraten, mit wem Sie telefonieren
3. Apple die Zweite: Reset von iOS 8 kann Daten auf iCloud löschen
4. Bitcoins die Erste: Erpressung nach Identitätsdiebstahl
5. Bitcoins die Zweite: "Ist 'abcd' Ihr Passwort?"
6. Apple: OS X Sicherheitsupdate zum Bash-Bug
7. Anonymisierung: Tor bald Bestandteil von Browser?
8. Elektronische Verwaltung: Studie vergleicht internationale Nutzung und Akzeptanz von digitaler Verwaltung

EDITORIAL
Guten Tag,

nutzen Sie eBay, den Amazon-Marktplatz oder andere Handels-Plattformen?
Wenn ja, sollten Sie Aufforderungen potenzieller Käufer, eine Kopie Ihres
Ausweises und weitere persönliche Daten einzureichen, nicht nachkommen.
Der vermeintliche Käufer könnte sich als Erpresser entpuppen, der Ihnen
droht, mithilfe der Ausweiskopie Ihr Bankkonto aufzulösen oder Ihren
Telefonvertrag zu kündigen.

Erscheint ein neues Betriebssystem, werden im günstigen Fall bestehende
Sicherheitslücken geschlossen. Oft werden Lücken jedoch von einer Version
auf die folgende "vererbt". Oder es tun sich ganz neue Lücken auf. Bei
Apples neuem iOS 8 ist das leider nicht anders wie unsere Rubrik
"Störenfriede" zeigt.

Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen

Ihr Buerger-CERT-Team

STÖRENFRIEDE
1. AVM: Fritz!Box-Sicherheitslücke wird immer noch ausgenutzt

Im Februar hatte das BSI vor einer Sicherheitslücke in der Fritz!Box
gewarnt. Hersteller AVM hat nun darauf
hingewiesen http://avm.de/aktuelles/kurz-notiert/2014/telefonbetrueger-suchen-gezielt-router-mit-aktiviertem-fernzugriff-die-update-versaeumt-haben/,
dass diese Sicherheitslücke immer noch ausgenutzt wird, da es nach wie
vor verwundbare Geräte gibt, die nicht aktualisiert wurden. Wenn Sie eine
Fritz!Box nutzen und das damals zur Verfügung gestellte Sicherheitsupdate
nicht eingespielt haben, dann sollten Sie dies schnellstmöglich
nachholen, damit niemand Ihre Fritz!Box missbrauchen kann, um auf Ihre
Kosten teure Telefonate zu führen.

2. Apple die Erste: Auch iOS 8 kann Apps verraten, mit wem Sie telefonieren

Apps von Drittanbietern, die für iOS 8 geschrieben sind, können Metadaten
wie die eingegebene Nummer und die Dauer des Telefonats ermitteln. Damit
ist es möglich, Ihr Telefonierverhalten zu erfassen. Zudem können Apps
auf die Zwischenablage zugreifen. Das ist insbesondere dann
problematisch, wenn Sie Zugangsdaten kopiert haben.
Das sind zwei von drei iOS-8-Sicherheitslücken, die zwei
Forscher ermitteltet
haben http://www.heise.de/security/meldung/iOS-8-verraet-Drittanbieter-Apps-mit-wem-man-telefoniert-2399812.html
und die auch schon in iOS 7 bestanden.
Je mehr Apps Sie verwenden, desto größer ist auch das Risiko
unerwünschter Nebenwirkungen wie Sicherheitslecks, gleichgültig, ob diese
von den Programmierern beabsichtigt waren oder nicht. Das BSI empfiehlt
zudem, Apps nur die Berechtigungen zu erteilen, die unbedingt notwendig
sind.

3. Apple die Zweite: Reset von iOS 8 kann Daten auf iCloud löschen

Bereitet eine Software Probleme, kann ein Zurücksetzen der Einstellungen
auf den Zustand der Auslieferung ein wirkungsvoller Nothahn sein: Das
gilt zum Beispiel für Browser ebenso wie für Betriebssysteme. Bei iOS 8
kann das allerdings dazu führen, dass nicht nur die ursprünglichen
Probleme, sondern auch die eigenen Sicherungsdateien auf Apples
iCloud-Dienst wie weggewischt sind. Es gibt mehrere Klagen von
iPhone-Nutzern auf Macrumors.com (deutscher Artikel
hier http://www.heise.de/mac-and-i/meldung/iOS-8-Einstellungs-Reset-kann-iCloud-Drive-Daten-loeschen-2405622.html),
die sich darauf beziehen. Die einfachste Vorsichtsmaßnahme ist, von den
Dateien auf der iCloud eine Sicherheitskopie anzulegen, bevor Sie iOS 8
zurücksetzen.

4. Bitcoins die Erste: Erpressung nach Identitätsdiebstahl

Die Polizei Niedersachsen berichtet von einer neuen Masche
der Erpressung http://www.polizei-praevention.de/aktuelles/aktuelles-detailansicht/erpressung-nach-identitaetsdiebstahl.html.
Darin fordert ein vermeintlicher Käufer den Verkäufer auf, Bankverbindung
und eine Kopie des Personalausweises einzureichen, damit der Kauf
„sicher“ vonstatten gehen könne. Nach Erhalt der persönlichen Daten wird
der Händler erpresst: Der Kriminelle droht, diese zum Beispiel für die
Kündigung des Bankkontos oder des Telefonvertrages einzusetzen, wenn
nicht ein bestimmter Betrag in Bitcoins (1 Bitoin entspricht zur Zeit
mehr als 300 Euro) überwiesen wird.

5. Bitcoins die Zweite: "Ist 'abcd' Ihr Passwort?"

Es gibt noch mehr, die ihre Bitcoins oder Euros haben möchten. Zur Zeit
werden E-Mails verschickt, in denen im Betreff ein Passwort steht –
zusammen mit der Frage, ob dieses von Ihnen verwendet wird. Ein
selbsternannter "Undercover-Engel" http://www.heise.de/security/meldung/Undercover-Engel-warnt-Opfer-von-Passwortklau-2408702.html
gibt an, er habe das Passwort "in den 'dunklen Ecken' des Internets
gekauft". Aus reiner Nächstenliebe wolle er darauf aufmerksam machen,
dass mit einem Ihrer Passwörter Handel betrieben wird – und bittet dafür
um Bitcoin-Spenden.
Gehören Sie zu den Empfängern derartiger Post, sollten Sie vor allem
überall dort das Passwort ändern, wo Sie das im Betreff der Mail
angegebene verwenden. Dieses, zumal Ihr Passwort womöglich noch bekannter
geworden ist, nachdem es unverschlüsselt im Betreffsfeld einer E-Mail
stand.

SCHUTZMASSNAHMEN
6. Apple: OS X Sicherheitsupdate zum Bash-Bug

Von dem in der Presse bereits ausführlich vorgestellten Bash-Bug sind
auch Anwender von Apples Betriebssystem OS X betroffen. Apple hat darauf
reagiert und empfiehlt dringend, die zur Verfügung gestellten Updates zu
installieren. Weitere Informationen und einen Link, von wo aus Sie das
Update herunterladen können, finden Sie auf den Seiten des
BürgerCERT https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0093.
Es findet sich jedoch auch Kritik, dass der Patch nur zwei
von drei bekannten
Lücken http://www.zdnet.de/88206984/apple-veroeffentlicht-unvollstaendigen-shellshock-patch-fuer-os-x/
schließt.

PRISMA
7. Anonymisierung: Tor bald Bestandteil von Browser?

Tor https://www.torproject.org/ ist eine freie Software,
die Online-Verbindungen anonymisiert. Tor verschleiert die individuelle
IP-Adresse eines Nutzers, indem es seine Seitenaufrufe über verschiedene,
zufällig ausgewählte sogenannte Proxyserver leitet. Diese Server bilden
das Tor-Netzwerk. Die Entwickler möchten damit Anwender vor der Analyse
Ihres Online-Verhaltens schützen. Andrew Lewman, Executive Director von
Tor, möchte den Dienst nun erheblich populärer machen. Die
Zeit Online http://www.zeit.de/digital/internet/2014-10/tor-integration-browser-firefox
sieht vor allem den Browser Firefox als Kandidat, den Zugang zum
Tor-Netzwerk fest zu integrieren. Damit wäre, wie es im Artikel heißt,
"eines der mächtigsten Programme zum Schutz der Privatsphäre plötzlich
ein Mainstream-Produkt."

8. Elektronische Verwaltung: Studie vergleicht internationale Nutzung und Akzeptanz von digitaler Verwaltung

Seit 2010 veröffentlichen die Initiative D21 e.V. und ipima jährlich eine
"Monitor" genannte Studie zur Nutzung von Online-Angeboten
der Verwaltungsbehörden http://www.egovernment-monitor.de/
("eGovernment"). Unter anderem vergleicht die Studie in den Disziplinen
Nutzung, Zufriedenheit, Treibern und Barrieren Deutschland mit
Österreich, der Schweiz und Schweden. In den drei Vergleichsländern ist
demnach die Zufriedenheit der Bürger mit eGovernment-Angeboten höher.
Auch seien nur wenigen Deutschen die Angebote ihrer Behörden bekannt.
Dennoch würden von durchschnittlich fünf Behördenkontakten pro Person und
Jahr 2,4 online stattfinden.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de