SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 19.02.2015
Nummer: NL-T15/0004

Die Themen dieses Newsletters:
1. Firmware: Der schwache Punkt?
2. Online-Kriminalität: Identitätsdiebstahl nimmt stark zu
3. Linux: Multifunktionaler Trojaner entdeckt
4. Lenovo: Gefährliche Adware als Feature
5. AVG: Sicherheitsupdate für AVG Internet Security
6. Microsoft: Sicherheitsupdates Februar 2015
7. Kryptografie: Die Uhrzeit, das Internet und das nicht Banale
8. Mozilla: Signatur soll Add-Ons sicherer machen
9. IT-Sicherheit: Big Data als Beifahrer

EDITORIAL
Liebe Leserin, lieber Leser,

am 10. Februar fand der jährliche Safer Internet Day statt. Die
Initiative der Europäischen Kommission rief wieder weltweit zu
Veranstaltungen und Aktionen rund um das Thema Internetsicherheit auf.
Dass solche Aktionen weiterhin nötig sind, zeigt die jüngste Statistik
des Sicherheitsunternehmens Gemalto. Demnach stieg Datenmissbrauch
gegenüber dem Vorjahr um 49 Prozent und Datendiebstahl sogar um 71
Prozent an.

Was ebenfalls zunimmt, ist Elektronik im Auto – und damit die
Möglichkeiten, selbige zu manipulieren oder Daten aus ihr abzuschöpfen.
Da lassen sich Türen mit fremden Handys öffnen und KFZ-Versicherungen
können das Fahrverhalten des Kunden ermitteln.
Wann mehr tatsächlich besser ist, bleibt also häufig Ermessenssache.
IT-Sicherheit im Auto gerät jedenfalls mehr ins Blickfeld von
Datenschützern und IT-Unternehmen.

Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen

Ihr Buerger-CERT-Team

STÖRENFRIEDE
1. Firmware: Der schwache Punkt?

Sie verwenden einen aktuellen Virenscanner, Sie installieren
Software-Updates sobald diese erschienen sind? Das ist alles sinnvoll und
wichtig, und doch sieht dieser nicht mehr ganz frische
Kommentar von
Golem http://www.golem.de/news/imho-sichert-firmware-endlich-nachpruefbar-ab-1501-111826.html
eine Schwachstelle in der Firmware Ihres Geräts. Hersteller von Hardware,
gleichgültig welchen Betriebssystems, hätten lange übersehen, dass auch
Firmware angreifbar ist und darüber vergessen, diese abzusichern. Das
Thema bleibt vor dem Hintergrund aktuell, dass die russische
IT-Sicherheitsfirma Kaspersky Lab Informationen zu der als
Equation Group bekannten
Hacker-Gruppe http://www.zeit.de/digital/datenschutz/2015-02/equation-group-stuxnet-kaspersky
veröffentlicht hat, die Firmware infiziert hat.

2. Online-Kriminalität: Identitätsdiebstahl nimmt stark zu

Die Computerwoche zitiert das Sicherheitsunternehmen
Gemalto http://www.computerwoche.de/a/identitaetsdiebstahl-auf-dem-vormarsch,3094017,
wonach Online-Kriminalität weiter zunimmt. Bei 54 Prozent aller Angriffe
hätten es die Kriminellen auf den Diebstahl von Identitäten angelegt,
deren Auswirkungen in einem Drittel aller Fälle als "schwerwiegend" oder
"katastrophal" eingestuft werden würden.

3. Linux: Multifunktionaler Trojaner entdeckt

Für Linux geschriebene Schadsoftware ist vergleichsweise selten, doch
jetzt wurde ein Trojaner
entdeckt http://www.zdnet.de/88219238/dr-web-entdeckt-multifunktionalen-linux-trojaner/,
der als Alleskönner durchgehen kann. Über einen infizierten Rechner
lassen sich unter anderem DDoS-Angriffe durchführen, Dateien löschen und
Zugangsdaten verschicken. Für die Installation des Schädlings benötigen
Angreifer allerdings sogenannte Root-Rechte, die Administratorrechten
anderer Betriebssystemen ähnlich sind. Ein wirklich gutes Passwort
schützt Anwender also auch hier.

4. Lenovo: Gefährliche Adware als Feature

Lenovo liefert verschiedene aktuelle Notebook-Modelle mit
vorinstallierter Adware aus, die zudem den Schutz von HTTPS-Verbindungen
aushebelt.
Die vorinstallierte Software namens Superfish Visual Discovery analysiert
Websites, die der Nutzer aufruft, um als passend zum aufgerufenen Inhalt
erkannte Werbebanner einzublenden. Damit ist Superfish Visual Discovery
als Adware oder als potenziell unerwünschte Software (PUP oder Bloatware)
einzustufen.
Erheblicher ist, dass das Programm den Schutz von verschlüsselten
HTTPS-Verbindungen umgeht, um auch auf diesen Seiten Werbung anzeigen zu
können. Dieser Angriffspunkt bleibt, wie Zeit Online
schreibt http://www.zeit.de/digital/datenschutz/2015-02/superfish-lenovo-adware-hebelt-https-aus,
auch bestehen, wenn Superfish deinstalliert wird. Lenovo habe "sich
entschlossen, vorerst neue Geräte ohne Superfish auszuliefern".

SCHUTZMASSNAHMEN
5. AVG: Sicherheitsupdate für AVG Internet Security

Bei AVG Internet Security handelt es sich um das für Windows Systeme
verfügbare Antivirenprogramm der Firma AVG. AVG hat
Sicherheitsupdates https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0013
für die Versionen AVG Internet Security 2013.3495 und AVG Internet
Security 2015.5315 veröffentlicht.

6. Microsoft: Sicherheitsupdates Februar 2015

Mit dem Februar-Patchday stellt Microsoft Sicherheitsupdates für mehrere
Produkte zur Verfügung, unter anderem für Windows, Microsoft Office und
den Internet Explorer
(1 https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0014,
2 https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T15-0015).

Zwar empfiehlt das BSI insgesamt die Installation der Sicherheitsupdates,
doch auch in diesem Monat kam es bei einer Reihe von Anwendern zu
Problemen. Bei einigen hängte sich der Windows-Rechner
während der Installation
auf http://www.heise.de/security/meldung/Vorsicht-Microsoft-Patch-legt-Rechner-lahm-2545913.html,
während in anderen Fällen zum Beispiel Office 2003 einige Schrifttypen
nunmehr unsauber anzeigt. Letzteres liegt daran, dass ein Patch die
Kantenglättung mancher Schriftarten zerstört. Microsoft Office 2010 und
andere Programme, die keinen Gebrauch von der systemseitigen
Kantenglättung machen, sind nicht betroffen. Microsoft ist der
Sachverhalt bekannt, das erstgenannte und deutlich größere Problem ist
bereits behoben.

PRISMA
7. Kryptografie: Die Uhrzeit, das Internet und das nicht Banale

Moderne Betriebssysteme bieten die Möglichkeit, die Uhr, die der Computer
anzeigt, über das Internet zu stellen. Das NTP-Protokoll, das dafür
verwendet wird, wurde bereits Mitte der achtziger Jahre entwickelt und
genügt heutigen Ansprüchen an IT-Sicherheit nicht mehr. Nun muss die
Uhrzeit nicht verschlüsselt übertragen werden, sie ist schließlich nicht
geheim. Doch NTP kann für Angriffe genutzt werden.
Golem http://www.golem.de/news/openbsd-sichere-uhrzeit-mit-ntp-und-https-1502-112370.html
beschäftigt sich mit der Frage eines Nachfolgers.

8. Mozilla: Signatur soll Add-Ons sicherer machen

Add-Ons, auch als Browser-Plugins bekannt, erweitern einen Browser oft um
sinnvolle Funktionen. Gleichzeitig bildet jede zusätzliche Software auch
ein potenzielles Einfallstor für Online-Kriminelle, weshalb das BSI dazu
rät, nicht (mehr) gebrauchte Software und Add-Ons wieder zu
deinstallieren. Um wenigstens weitgehend auszuschließen, dass solche
Add-Ons Schadsoftware installieren, möchte die Mozilla Foundation den
offenen Internetbrowser Firefox in Zukunft etwas weniger
offen http://www.sueddeutsche.de/digital/mozilla-addons-kritik-an-geplanten-digitalen-signaturen-1.2356364
gestalten: Add-Ons sollen sich nur noch installieren lassen, wenn diese
zuvor von Mozilla überprüft und signiert wurden.

9. IT-Sicherheit: Big Data als Beifahrer

Autos sollen uns vor allem sicher von A nach B bringen. Die
Verkehrssicherheit nahm seit den Herren Daimler, Benz und Horch auch
stets zu. Sicher ist allerdings auch, dass heute Elektronik in Autos
verbaut wird als wären es Raumschiffe: Head-Up-Display hier, Bildschirm
dort, GPS, Internet – und die Türen öffnen und schließen sich ebenfalls
längst elektronisch. Eventuell auch von anderen Personen als den
Besitzern, wie
Tesla http://www.spiegel.de/auto/aktuell/tesla-model-s-von-hackern-fremdgesteuert-a-982481.html
und
BMW http://www.zeit.de/mobilitaet/2015-01/bmw-hacker-sicherheit
bereits feststellen mussten. Zudem sammelt die Elektronik Daten, die der
Blechkamerad Herstellern, Versicherungen oder gänzlich unbefugten
Personen ausplaudern kann. Der Bundesverband der Verbraucherzentralen hat
dazu ein Grundsatzpapier
veröffentlicht http://www.vzbv.de/pressemeldung/gier-nach-autodaten,
das vor Datensammelwut und Manipulation warnt. Golem sieht Autos gleich
als "fahrende
Sicherheitslücken" http://www.golem.de/news/datensicherheit-und-datenschutz-autos-sind-fahrende-sicherheitsluecken-1502-112258.html.
Das Thema wird also diskutiert – im Juni dieses Jahres auch in Köln auf
der Konferenz „IT Security for Vehicles“ https://www.bsi.bund.de/SharedDocs/Termine/DE/2015/VDI-IT-Sicherheit-in-Autos.html,
auf der auch das BSI vertreten sein wird.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de