Neu - BSI-Newsletter mit aktuellen Sicherheitshinweisen

Der Newsletter des Bürger-CERT
Ausgabe vom 03.04.2014

Nummer: NL-T14/0007

Die Themen dieses Newsletters:
1. Sicherheitslücke in Microsoft Word: Fixit anwenden
2. Chip.de: Online-Forum gehackt
3. Firefox für Android: Schwachstelle behoben
4. E-Mail-Verschlüsselung: Deutsche Anbieter stellen um
5. Klicksafe: Neuer Internetleitfaden für Jugendliche
6. IT-Fitness: Beweg dich sicher im Internet

EDITORIAL
    Guten Tag,
    seit einigen Tagen sind Ihre E-Mails ein bisschen sicherer: Die vier
    größten E-Mail-Provider in Deutschland haben zum 1. April 2014 endgültig
    auf ein verschlüsseltes Transportverfahren umgestellt. Nutzer müssen –
    wenn noch nicht geschehen – die Einstellungen in ihrem Mailprogramm
    entsprechend anpassen.
    Fühlen Sie sich sicher im Internet und wissen, was zu tun ist, um Ihre
    Daten zu schützen? Microsoft hat jetzt mit seiner Initiative IT-Fitness
    einen neuen Online-Test herausgebracht, mit dessen Hilfe Nutzer ihren
    Kenntnisstand in Sachen sicheres Internet überprüfen können und anhand
    ihrer Testergebnisse Tipps und Empfehlungen bekommen.
    Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
    immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
    globalen Netz wünscht Ihnen
    Ihr Buerger-CERT-Team

STÖRENFRIEDE

    1. Sicherheitslücke in Microsoft Word:

    Fixit anwenden
    Nach Bekanntwerden einer Sicherheitslücke in Microsoft Word hat Microsoft
    ein sogenanntes Fixit veröffentlicht. Damit wird die Lücke zwar nicht
    dauerhaft geschlossen, die Anwendung verhindert aber, dass die
    Sicherheitslücke ausgenutzt werden kann.

    Die Lücke ist dann relevant, wenn mit Word RTF-formatierte Dateien aus
    Webinhalten und entsprechend formatierte E-Mails in Outlook dargestellt
    werden. Dies ist häufig bei Outlook bereits voreingestellt. Unter
    bestimmten Umständen kann die Lücke einem entfernten, nicht am System
    angemeldeten Angreifer aus dem Internet ermöglichen, beliebige Programme
    mit den Rechten des Benutzers ausführen zu lassen.

    Das Bürger-CERT empfiehlt dringend [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0036],
    die von Microsoft bereitgestellte "Fix it"-Lösung anzuwenden. Hilfe dabei
    gibt ein Microsoft Security Advisory [https://support.microsoft.com/kb/2953095]. Ist
    dies nicht möglich, sollte die Konfiguration in Microsoft Outlook so angepasst
    werden, dass E-Mails ausschließlich im Klartext ohne Verwendung von
    Microsoft Word als Viewer angezeigt werden.
   

2. Chip.de: Online-Forum gehackt

    Ein Hacker hat sich Zugriff auf das Online-Forum von Chip.de verschafft.
    In einer E-Mail und in einem Hinweis im Forum wurden die Nutzer darüber
    informiert, dass sich "ein unbekannter Dritter" Zugriff auf die
    Verwaltung des Chip-Forums verschafft habe. Das Forum sei sofort
    abgeschaltet und unabhängige Forensik-Experten mit der Untersuchung des
    Angriffs beauftragt worden.

    Dass der Angreifer Zugriff auf Nutzerdaten wie Login und Passwort
    bekommen habe, konnte nach ersten Ergebnissen nicht ausgeschlossen
    werden. Alle 2,5 Millionen Accounts wurden daher zurückgesetzt, sodass
    die Nutzer zunächst Ihr Passwort ändern müssen. Sie wurden aufgerufen,
    dies gegebenenfalls auch bei anderen Diensten zu tun, sofern dort
    dieselbe Passwort-Email-Kombination genutzt wird. Seit dem
    31. März 2014 ist das Chip-Forum wieder online [http://forum.chip.de/chip-online/chip-forum-online-1790797.html].

SCHUTZMASSNAHMEN

    3. Firefox für Android: Schwachstelle behoben
    In Firefox für Android wurde eine Schwachstelle
    behoben [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0037].
    Das Update schließt eine Sicherheitslücke, durch die ein Angreifer
    vertrauliche Informationen aus dem Benutzerprofil auslesen kann. Dies
    könnte weiterführende, gezielte Angriffe erleichtern.
    Das Bürger-CERT empfiehlt daher, Firefox für Android schnell auf die
    neueste Version zu aktualisieren.

    4. E-Mail-Verschlüsselung: Deutsche Anbieter stellen um
    Zum 1. April 2014 haben die vier größten deutschen E-Mail-Anbieter ihren
    Mailverkehr endgültig auf eine verschlüsselte Übertragung umgestellt.
    E-Mail-Kunden von T-Online, Freenet, Web.de und GMX.de können nun nur
    noch E-Mails mit ihrem Mailprogramm empfangen, wenn Sie dort die
    Verschlüsselungsmethoden SSL beziehungsweise STARTTLS aktiviert haben.
    Damit wird die E-Mail zwar nicht auf dem Server der Anbieter, aber
    während des Transportwegs verschlüsselt.
    Nutzer, die die verschlüsselte Übertragung noch nicht aktiviert haben,
    wurden in den vergangenen Wochen von den Anbietern per Mail informiert.
    Die Hinweise zu den nötigen Einstellungen finden Sie unter folgenden
    Links:
    - T-online [http://kommunikationsdienste.t-online.de/email/verschluesselung/]
    - Web.de [https://hilfe.web.de/sicherheit/ssl.html#mailprotokolle]
    - GMX.de [https://hilfe.gmx.net/sicherheit/ssl.html#mailprotokolle]
    - Freenet [http://email.freenet.de/sicherheit/SSL]
    Nutzer, die ihre Mails lediglich über die Webseite ihres Anbieters
    abrufen (Webmail), müssen keine Einstellungen ändern – die Mails werden
    in diesem Fall automatisch verschlüsselt übertragen.

PRISMA

    5. Klicksafe: Neuer Internetleitfaden für Jugendliche
    Unter dem Titel "Das Web, wie wir’s uns wünschen" hat die Initiative
    klicksafe gemeinsam mit Google und Unitymedia KabelBW einen neuen
    Internetleitfaden für Jugendliche vorgestellt. Das
    Handbuch richtet sich an 13- bis 16-Jährige und enthält Tipps und
    Übungen, unter anderem zu Themen wie digitale Spuren, Online-Reputation
    sowie Rechte und Pflichten in der digitalen Welt. Der in acht Sprachen
    erschienene Leitfaden ist das Ergebnis eines europaweiten
    Kooperationsprojektes von European Schoolnet, Insafe, Google und Liberty
    Global und wurde gemeinsam mit Jugendlichen entwickelt. Die deutsche
    Broschüre entstand mit Unterstützung von klicksafe und ist
    kostenlos im Internet abrufbar [http://www.klicksafe.de/service/materialien/broschueren-ratgeber/the-web-we-want/].
   

    6. IT-Fitness: Beweg dich sicher im Internet
    Unter dem Motto "Beweg dich sicher im Internet!" hat Microsoft
    Deutschland seine Initiative
    IT-Fitness [http://www.it-fitness.de] neu aufgelegt. Herzstück der
    Initiative ist ein Selbsttest, bei dem die Nutzer ihr Wissen über
    Gefahren und richtiges Verhalten im Internet überprüfen können. Innerhalb
    von zwei Jahren sollen damit zwei Millionen Anwender ihr Wissen zum Thema
    testen und fit im Umgang mit PC, Tablets und Smartphones werden, um sich
    souverän und sicher durchs Netz zu bewegen. Ein umfangreiches Glossar
    erklärt die wichtigsten Begriffe und eine individuell auf das
    Testergebnis zugeschnittene Linkliste liefert ergänzend praktische Tipps
    und Erklärungen. So erhält der Nutzer die Gelegenheit, Wissenslücken zu
    füllen und bekommt Unterstützung, dieses Wissen auch praktisch
    anzuwenden.

-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.
Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de