Liebe Leserinnen und Leser,
der neue Bericht zur Lage der IT-Sicherheit in Deutschland 2024 zeigt: Die Lage ist angespannt.
Dennoch wurde die Veröffentlichung des Lagebilds am 12. November in Berlin von einem bestärkenden Appell der BSI-Präsidentin Claudia Plattner begleitet: "Wir sind den Bedrohungen nicht schutzlos ausgeliefert! Wir sehen deutlich: Die Schutzmaßnahmen wirken und wir sind in der Lage, den Angriffen effektiv entgegenzutreten. Deshalb dürfen wir jetzt nicht nachlassen, sondern müssen in einer gesamtstaatlichen Anstrengung unsere Resilienz weiter erhöhen." Die folgenden Meldungen liefern Impulse zum "Dranbleiben" im digitalen Alltag. Bieten Sie Cyberkriminellen weniger Angriffsfläche, behalten Sie die Lage im Blick – und schützen Sie Ihre IT, Ihre Daten, Ihr Geld und Ihre Familie.
Eine aufschlussreiche Lektüre wünscht Ihnen
Larissa Hänzgen / Team BSI
Inhaltsverzeichnis
In den Schlagezeilen-----------------
1. Wie steht es um die IT-Sicherheit in Deutschland?
2. Ökostromanbieter gehackt
3. Digitalkompetenz? Ausbaufähig.
4. Kurz notiert
Up-to-date-----------------
5. SharePoint-Schwachstelle
6. Sicherheitslücke in Wordpress-Plug-in 7. Aktuelle Warnmeldungen des BSI
Gut zu wissen-----------------
8. Zahl der Woche: 790.000
9. Gefälschte QR-Codes an Parkautomaten
Praktisch sicher-----------------
10. Black Friday – aber sicher!
11. Kindermodus – check!
Was wichtig wird-----------------
12. Digitale Gewalt gegen Frauen
Übrigens-----------------
13. KI-Omi vs. Scam-Betrüger
----------------------------------------------------
In den Schlagezeilen
1. Wie steht es um die IT-Sicherheit in Deutschland?
Der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland 2024 vermittelt einen umfassenden Überblick über Bedrohungen im Cyberraum und hält auch für Verbraucherinnen und Verbraucher wertvolle Informationen bereit. Etwa darüber, wie sich die Phishing-Methoden von Cyberkriminellen verändern, warum Smartphones ein besonders attraktives Ziel für Angreifer sind oder wie KI-Sprachmodelle für kriminelle Zwecke missbraucht werden. Der Bericht macht deutlich: Die Notwendigkeit zu handeln ist groß. Doch mit den richtigen Maßnahmen an unterschiedlichen Stellen kann die Resilienz der CybernationDeutschland auf allen Ebenen weiter gestärkt werden.
Es berichtete (u.a.) die FAZ: (Hyperlink aufrufen)
Zum Bericht zur Lage der IT-Sicherheit in Deutschland 2024: (Hyperlink aufrufen)
2. Ökostromanbieter gehackt
50.000 Kundinnen und Kunden in Deutschland sind von einem Cyberangriff auf den Shop des Ökostromanbieters Tibber betroffen. Seit dem 11. November werden die erbeuteten Informationen, darunter Vor- und Nachnamen, E-Mail-Adressen, Informationen zu Bestellungen sowie Postleitzahlen und Wohnorte, im Darknet gehandelt. Tibber warnt vor möglichen Phishing- oder Spam-E-Mails und rät Kundinnen und Kunden zur Wachsamkeit.
Es berichtete (u.a.) Heise: (Hyperlink aufrufen)
BSI-Informationen zum Schutz gegen Phishing: (Hyperlink aufrufen)
3. Digitalkompetenz? Ausbaufähig.
Für die internationale Vergleichsstudie "International Computer and Information Literacy Study" wurden rund 5.000 deutsche Achtklässlerinnen und Achtklässler sowie Jugendliche aus mehr als 30 Ländern auf ihre IT-Tauglichkeit hin getestet. Das Ergebnis: Deutsche Schülerinnen und Schüler liegen zwar leicht über dem Mittelwert, doch ihre Digitalkompetenz ist im Vergleich zu den Vorgängeruntersuchungen rückläufig. Rund 40 Prozent der Jugendlichen verfügen der Studie zufolge nur über "rudimentäre (...) Fähigkeiten im kompetenten Umgang" mit Computern.
Es berichtete (u.a.) Tagesschau.de: (Hyperlink aufrufen)
Wie Sie die Digitalkompetenz Ihrer Kinder fördern und dabei einen Fokus auf Schutzeinstellungen und weitere Sicherheitsmaßnahmen legen können, erfahren Sie in unserem Wegweiser kompakt: 8 Tipps für den digitalen Familienalltag: (Hyperlink aufrufen)
4. Kurz notiert
Projekt für mehr Suchmaschinensouveränität: Die europäischen Suchmaschinen Ecosia (Deutschland) und Qwant (Frankreich) planen, einen unabhängigen europäischen Suchmaschinen-Index aufzubauen. In einem solchen Index werden Websiteinformationen hinterlegt, damit Suchmaschinen schnell und gezielt auf diese zugreifen können. Das Projekt European Search Perspective (EUSP) soll einen transparenten Datenpool schaffen und den Kontinent im digitalen Raum souveräner machen. Aktuell gibt es weltweit vier größere Suchmaschinenbetreiber, die über eigene Indizes verfügen. Das sind neben Google und Bing der russische Anbieter Yandex sowie Baidu aus China.
Es berichtete (u.a.) das Handelsblatt: (Hyperlink aufrufen)
BGH stärkt Rechtsanspruch bei Datendiebstahl: Laut einem Urteil des Bundesgerichtshofs (BGH) haben Betroffene von Datenpannen auch dann einen Anspruch auf – zumindest geringfügigen – Schadensersatz, wenn keine konkreten Beeinträchtigungen nachgewiesen werden können. Der Verlust über die Kontrolle der Daten ist ausreichend. Wen es härter getroffen hat, der bekommt mehr Geld. Der zugrundeliegende Fall betrifft einen umfangreichen Facebook-Leak vor einigen Jahren.
Es berichtete (u.a.) Zeit online: (Hyperlink aufrufen)
Stiftung Warentest informiert darüber, wie Verbraucherinnen und Verbraucher jetzt handeln können: (Hyperlink aufrufen)
----------------------------------------------------
Up-to-date
5. SharePoint-Schwachstelle
SharePoint ist Teil der Microsoft Produktpalette. Die webbasierte Plattform unterstützt Unternehmen und Teams bei der Zusammenarbeit und der Informationsverwaltung. Die nun aufgedeckte kritische Schwachstelle CVE-2024-38094 im Microsoft SharePoint Server 2016/2019 kann es Angreifern ermöglichen, schädliche Programme einzuschleusen und das System schwerwiegend zu schädigen. Im Zuge des Updates von SharePoint hat Microsoft zugleich Schwachstellen im Edge-Browser geschlossen; noch ein Grund mehr für Nutzerinnen und Nutzer, das Update zeitnah einzuspielen, falls dies nicht automatisch erfolgt.
Es berichtete (u.a.) Security Insider: (Hyperlink aufrufen)
6. Sicherheitslücke in Wordpress-Plug-in
Zahlreiche Menschen und Unternehmen nutzen WordPress, um damit Websites zu erstellen und zu verwalten. Ebenfalls beliebt: das WordPress-Plug-in "Really Simple Security", das eine einfache und benutzerfreundliche Lösung für die Website-Sicherung verspricht. In der millionenfach genutzten Zusatzsoftware wurde nun eine kritische Sicherheitslücke entdeckt, die Angreifern die Übernahme einer WordPress-Seite ermöglichen kann. Ein entsprechendes Sicherheitsupdate – Version 9.1.2 – wurde automatisch an die betroffenen Versionen verteilt, ein kurzer Check durch den Inhaber der Webseite, ob es tatsächlich eingespielt wurde, ist dennoch sinnvoll.
Es berichtete (u.a.) Heise: (Hyperlink aufrufen)
7. Aktuelle Warnmeldungen des BSI
Das BSI informiert auf seiner Website regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Tipps zum Umgang damit.
Zum BSI-Portal (Hyperlink aufrufen)
----------------------------------------------------
Gut zu wissen
8. Zahl der Woche: 790.000
Laut aktuellem Bericht zur Lage der IT-Sicherheit in Deutschland stehen Android-Geräte besonders im Fokus von Cyberkriminellen: Die Zahl neuer Android-Malware-Varianten stieg im Vergleich zu 2023 um 48 Prozent auf 790.000. Besonders verwundbar sind Smartphones, Tablets und Co. vor allem dann, wenn sie mit veralteten Software-Versionen betrieben werden, für die zum Teil gar keine Updates mehr verfügbar sind. Das betrifft rund 25 Prozent aller Android-Geräte in Deutschland.
Bericht zur Lage der IT-Sicherheit in Deutschland: (Hyperlink aufrufen)
Mehr über Software-Updates als Grundpfeiler der IT-Sicherheit erfahren Sie hier: (Hyperlink aufrufen)
9. Gefälschte QR-Codes an Parkautomaten
Nach Kleingeld suchen, um einen Parkschein zu ziehen? Das ist an vielen Parksäulen nicht mehr nötig, dort kann der Bezahlvorgang einfach via QR-Code gestartet und vorgenommen werden. Cyberkriminelle haben jedoch eine Quishing-Masche (Quishing = QR-Code + Phishing) entwickelt, die speziell auf den Service des Parkdienstleisters Easypark zugeschnitten ist. Sie bringen dafür gefälschte QR-Codes an Parkautomaten an, die auf eine täuschend echte, aber gefälschte Webseite führen.
Es berichtete (u.a.) Golem: (Hyperlink aufrufen)
Easypark weist unter anderem darauf hin, dass echte QR-Codes immer direkt zur App des Unternehmens oder einer Download-Möglichkeit für diese führen: (Hyperlink aufrufen)
Mehr Informationen zum Betrug via QR-Code inklusive weiterer Beispiele: (Hyperlink aufrufen)
----------------------------------------------------
Praktisch sicher
10. Black Friday – aber sicher!
Rund um den Black Friday am 29. November rollt im digitalen Raum wieder eine Welle von Schnäppchenangeboten auf Nutzerinnen und Nutzer zu. Manche Deals lohnen sich tatsächlich – andere können gefährlich werden. Gerade erst hat eine niederländische Plattform ein Netzwerk von gefälschten Onlineshops aufgedeckt, das speziell auf den Black Friday abzielt.
Es berichtete (u.a.) Golem: (Hyperlink aufrufen)
Um seriöse Angebote von Fakeshops zu unterscheiden und sich vor Geld- und Datenverlust zu schützen, heißt es: Auf Nummer sicher gehen. Auch wenn das Angebot noch so attraktiv ist, nehmen Sie sich Zeit und prüfen Sie, ob der Anbieter die sieben Merkmale für sicheres Onlineshopping erfüllt: (Hyperlink aufrufen)
Zusätzliche Impulse liefert ein kostenloser Onlinevortrag der Verbraucherzentrale NRW e.V. und des BSI am 25. November: (Hyperlink aufrufen)
11. Kindermodus – check!
Mangelnde Digitalkompetenz junger "Digital Natives" war in den Schlagzeilen dieses Newsletters bereits Thema. Doch selbst wenn Kinder sensibilisiert sind – das Internet hält Sicherheitsrisiken und Kostenfallen bereit, die für minderjährige Nutzerinnen und Nutzer allein kaum zu bewältigen sind. Die gute Nachricht: Mit den richtigen Jugendschutzeinstellungen lassen sich zahlreiche Risiken ganz automatisch minimieren.
Schritt für Schritt zu Jugendschutzeinstellungen bei Apps, Spielen & Co: (Hyperlink aufrufen)
----------------------------------------------------
Was wichtig wird
12. Digitale Gewalt gegen Frauen
Cybermobbing, Cyberstalking, Revenge Porn, Sextortion, Love Scamming – digitale Gewalt hat viele Gesichter und trifft besonders häufig Frauen. Nicht selten wird reale Gewalt durch Herabsetzung, Belästigung, Diskriminierung und Nötigung im digitalen Raum fortgesetzt. Der Internationale Tag gegen Gewalt an Frauen am 25. November - auch bekannt als Orange Day - sensibilisiert unter anderem für Formen digitaler Gewalt. Das am 19. November vom BKA veröffentlichte Bundeslagebild "Geschlechtsspezifisch gegen Frauen gerichtete Straftaten 2023" führt auf, dass die Zahl der polizeilich erfassten Straftaten im Bereich digitaler Gewalt im Vergleich zu 2022 um 25 Prozent gestiegen ist. Wie eine "Technische Anlaufstelle für Betroffene von digitaler Gewalt in Partnerschaften" für unterstützende Beratung Betroffener unter anderem mit notwendiger technischer Expertise ausgestaltet werden könnte, zeigt der gleichnamige Ergebnisbericht auf, den das BSI im Rahmen des "Dialogs für Cybersicherheit" in Austausch und Zusammenarbeit mit unterschiedlichen gesellschaftlichen Akteuren veröffentlicht hat.
Zur BKA-Mitteilung: (Hyperlink aufrufen)
Zum Ergebnisbericht "Technische Anlaufstelle für Betroffene von digitaler Gewalt in Partnerschaften": (Hyperlink aufrufen)
----------------------------------------------------
Übrigens
13. KI-Omi vs. Scam-Betrüger
Mit sogenannten Scam-Anrufen versuchen Kriminelle, sensible Informationen wie Passwörter, PINs und Kreditkartendaten zu erbeuten oder ihr Opfer zu einer Geldüberweisung zu drängen. Häufig wird diese Masche gezielt bei Seniorinnen und Senioren angewendet. Ein britischer Mobilfunkprovider hat eine Technik entwickelt, um gegen diese Form des Telefonbetrugs vorzugehen. Die KI-Omi "Daisy" kann Betrüger zwar nicht dingfest machen – aber hinhalten. Das Sprachprogramm soll sie so lange wie möglich in ein Gespräch verwickeln, damit in dieser Zeit keine echten Menschen betrogen werden können.
Es berichtete (u.a.) Heise: (Hyperlink aufrufen)
SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)
Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de
