Aktuelle Cyber- Sicherheitsthemen
und Informationen

1. Cyberattacke auf deutsche Politikerinnen und Politiker

Politische Akteure und Parteien stehen häufig im Fokus von Cyberangriffen. Insbesondere vor dem Hintergrund der bevorstehenden Europawahl ist von einem erhöhten Angriffsaufkommen auszugehen. Dies können u.a. Phishing-Angriffe sein – insbesondere mit dem Ziel, erbeutete Daten oder Dokumente zu veröffentlichen (Hack & Leak). Dabei können die veröffentlichten Informationen zusätzlich manipuliert oder gefälscht sein. Dem Bundesamt für Verfassungsschutz (BfV) und BSI liegen aktuelle Informationen zu Phishing-Angriffen eines staatlichen Akteurs u. a. gegen deutsche Parteien vor. Durch den Modus Operandi ergibt sich eine erhöhte Cyberbedrohungslage für die im Fokus stehenden Ziele. Das BSI hat im politischen Raum gezielt zu möglichen und konkreten Gefahren durch Hack-&-Leak-Angriffe sensibilisiert. Zu Details aus dem genannten Fall äußert sich das BSI nicht.

2. Darknet-Plattform abgeschaltet

In der vergangenen Woche ist dem Bundeskriminalamt (BKA) und der bei der Generalstaatsanwaltschaft Frankfurt angesiedelten Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) ein Schlag gegen eine kriminelle Handelsplattform gelungen. In Zusammenarbeit mit litauischen und US-amerikanischen Strafverfolgungsbehörden konnte die digitale Plattform "Nemesis Market" vom Netz genommen werden. Dort wurden nicht nur Betäubungsmittel und gefälschte Dokumente gehandelt. Auch digital erbeutete Daten und Cybercrime-Dienstleistungen standen zum Verkauf. Bei Zugriffsmaßnahmen in Deutschland und Litauen wurden Server und Kryptowährungen in Höhe von mehr als 90.000 Euro beschlagnahmt. Mehr als 150.000 Nutzende waren laut BKA auf der erst 2021 gegründeten Plattform registriert.

3. Datenleck bei Kita-App

Mehr als 10.000 Kitas, Schulen, Hort- und Pflegeeinrichtungen nutzen die App "Stay Informed" zum kurzen Informationsaustausch mit Eltern, Angehörigen und Mitarbeitenden. Nun sind erhebliche Datenlecks bekannt geworden. So wurde etwa das veraltete Klartext-Protokoll http für den Serverzugang verwendet; auch wurde keine Transportverschlüsselung eingesetzt. Sensible Daten wie Namen und Anschriften, Informationen über Impfungen, Konfessionen, Erziehungsberechtigte oder Herkunftsländer waren laut Stay Informed GmbH "frühestens seit dem 20.10.2021 und spätestens seit dem 18.08.2023" nicht ausreichend geschützt. Die Probleme wurden inzwischen behoben, das Unternehmen stellt online Informationen zum Sicherheitsvorfall zur Verfügung.

4. Tausende Microsoft-Exchange-Server durch kritische Schwachstellen verwundbar

Mindestens 17.000 Instanzen von Microsoft-Exchange-Servern in Deutschland sind durch eine oder mehrere kritische Schwachstellen verwundbar. Cyberkriminelle sowie staatliche Akteure nutzen mehrere dieser Schwachstellen bereits aktiv zur Verbreitung von Schadsoftware, zu Cyberspionage oder für Ransomware-Angriffe aus. Betroffen sind insbesondere Schulen und Hochschulen, Kliniken, Arztpraxen, Pflegedienste und andere medizinische Einrichtungen, Rechtsanwälte und Steuerberater, Kommunalverwaltungen sowie viele mittelständische Unternehmen. Das BSI ruft die Betreiber der Instanzen dazu auf, aktuelle Exchange-Versionen einzusetzen, verfügbare Sicherheitsupdates einzuspielen und die Instanzen sicher zu konfigurieren.

5. Firefox schließt Sicherheitslücken

Wer den Browser Firefox nutzt, sollte in Sachen Updates nicht nachlassen: Nachdem erst kürzlich die Aktualisierungen auf Firefox 124.0, Firefox ESR 115.9 und Thunderbird 115.9 erfolgten und mehrere Sicherheitsrisiken der maximalen Einstufung "hoch" geschlossen wurden, ist nun eine weitere Aktualisierung ratsam, mit der Firefox zwei kritische Bugs in der neuen Version 124.0.1 behoben hat. Beide Lücken betreffen Javascript.

6. Kehrtwende: Microsoft schließt Lücke beim Xbox Gaming Service

Durch eine Schwachstelle konnten Nutzende mit niedrigen Privilegien im Dienst Xbox Gaming Service System-Rechte erlangen. Gemeldet wurde die Sicherheitslücke von einem Nutzenden – inklusive ausführlicher Proof-of-Concept-Demonstration – also das Ausnutzen der Sicherheitslücke, ohne eine Schadfunktion auszulösen. Zunächst gab Microsoft an, es sei "keine Sicherheitsgrenze überschritten" worden. Nun hat das Unternehmen das Risiko doch als solches erkannt und die Lücke geschlossen. Mit einem CVSS-Wert von 8.8 schrammt sie dabei nur ganz knapp an der Einstufung "kritisch" vorbei.

7. Spoofing-Gefahr bei MS Edge – Update hilft

Beim sogenannten Spoofing versuchen Kriminelle, eine vertrauenswürdige Identität vorzutäuschen, um sich so Zugang zu Computern und Netzwerken zu verschaffen und vertrauliche Daten abzugreifen, Malware einzuschleusen oder Ressourcen für weitere Cyberangriffe dazuzugewinnen. Im Edge-Browser wurde nun eine Sicherheitslücke geschlossen, die das sogenannte Website Spoofing ermöglicht.

8. Zahl der Woche: 18

18 Prozent der von Cyberkriminalität Betroffenen haben einen tatsächlichen finanziellen Schaden erlitten – so der Cybersicherheitsmonitor 2023. Weitere Auswirkungen von Cybercrime: der Vertrauensverlust in entsprechende Online-Dienste (33 %), zeitlicher Schaden oder emotionale Betroffenheit (26 % und 23 %) sowie der Verlust von Daten (22 %). Insbesondere ein gehackter E-Mail-Account bietet Cyberkriminellen eine Bandbreite von Möglichkeiten. Denn das Konto dient längst nicht "nur" dem Empfang und Versand von Mails: Ob in Online-Shops, sozialen Netzwerken oder bei digitalen Behördenleistungen, überall ist der E-Mail-Account hinterlegt.

9. LKA Schleswig-Holstein warnt vor aktueller Erpressungsmasche

Was, wenn Unbefugte Zugriff auf die persönlichsten, auf dem Handy gespeicherten Daten bekommen? Ein Albtraum, mit dem Cyberkriminelle zunehmend Druck aufbauen. Vor dieser Masche warnt aktuell das LKA Schleswig-Holstein. Cyberkriminelle wenden sich demnach per Mail an ihre Opfer und fordern die Zahlung von Bitcoins. Andernfalls würden sensible Daten vom angeblich gehackten Smartphone weitergegeben und an soziale Medien versendet. Da es sich hier um eine breitgestreute Phishing-Methode handelt, ist davon auszugehen, dass die Täter keine solchen kompromittierenden Informationen besitzen. Grundsätzlich ist es ratsam, bei Erpressungen per Mail zunächst skeptisch zu sein und zu überprüfen, ob die Behauptungen plausibel sind. Unabhängig davon, ob eine Zahlung getätigt wurde oder nicht, sollte der Erpressungsversuch bei der Polizei angezeigt werden.

10. Was ist "Sextortion" – und wie schützt man sich?

Laut Cybersicherheitsmonitor 2023 waren fünf Prozent der Opfer von Cyberkriminalität mit "Sextortion" – der Erpressung mit intimen oder sexuellen Inhalten – konfrontiert. Teilweise überreden die Täterinnen und Täter ihre Opfer zuvor, etwa Nacktbilder aufzunehmen und mit ihnen zu teilen. In anderen Fällen haben sich die Erpressenden digital Zugriff zu privaten Aufnahmen verschafft – oder geben vor, auf gespeicherte Bilder und Videos zugreifen zu können. Es wird mit der Veröffentlichung und Verbreitung der Inhalte gedroht. Wer sich vor "Sextortion" schützen und für den Ernstfall vorbereitet sein möchte, dem gibt unsere Notfall-Checkliste viele hilfreiche Informationen an die Hand.

11. Mit Sicherheit unbesiegbar – das ist beim Gaming zu beachten

In der Kategorie Up-to-date haben wir das Thema schon angerissen: Auch Gamerinnen und Gamer sollten in Sachen digitale Sicherheit wachsam sein. Wer sich beim Download neuer Spiele, bei der Installation von Hard- und Software oder beim Zocken gegen virtuelle Gegner stark und sicher fühlen möchte, kann auf viele hilfreiche Tipps und Tools zurückgreifen. Das Bewusstsein für die Gefahren und die Investition von wenigen Minuten zahlen sich bereits aus.

12. Neues Phishing-Tool entdeckt

Sicherheitsforschende von Sekoia.io haben ein neues Phishing-Tool entdeckt, das im Phishing-as-a-Service-Modell vertrieben wird. Das Tool mit dem Namen "Tycoon 2FA" soll eine Weiterentwicklung des bereits bekannten Tycoons sein und zielt auf Nutzende mit aktivierter Zwei-Faktor-Authentifizierung ab. Sie werden über einen eingebetteten Link oder QR-Code auf eine gefälschte Anmeldeseite geleitet.

13. So stärkt das BSI die IT-Sicherheit von Arztpraxen

Immer häufiger werden medizinische Einrichtungen zum Ziel von Cyberkriminellen. Mit zwei aktuellen Studien hat das BSI eine Datengrundlage geschaffen, um den Schutz von Arztpraxen "durch pragmatischere Vorgaben gezielt zu verbessern und so die Digitalisierung des Gesundheitswesens weiter voranzutreiben", fasst BSI-Präsidentin Claudia Plattner zusammen. Auf der Gesundheits-IT-Fachmesse DMEA, die vom 9. bis zum 11. April in Berlin stattfindet, können sich Teilnehmende über die aktuellen BSI-Aktivitäten rund um die Telematikinfrastruktur (TI) des Gesundheitswesens, vernetzte Medizinprodukte sowie die Cybersicherheit in Praxen und im Rettungsdienst informieren.

1. BSI-Präsidentin warnt vor Cyberbedrohungen

"Die Gefährdungslage ist so hoch wie nie", so brachte es BSI-Präsidentin Claudia Plattner vor wenigen Tagen auf einer Veranstaltung des Digitalverbandes Bitkom auf den Punkt. Die Frage sei nicht, ob ein Angriff erfolgreich sei, sondern nur noch wann. Ransomware, Desinformationskampagnen, aber auch Sicherheitslücken in Unternehmen und Behörden wurden in ihrem Vortrag als drängendste Probleme benannt. Allein im Jahr 2022 entstand der deutschen Wirtschaft durch Cyberattacken ein Schaden von 206 Milliarden Euro. Höchste Zeit also, aktiv zu werden. Parallel zur Arbeit des BSI, das bei der Vorbeugung vor Cyberangriffen und in der Notsituation nach einer Attacke helfen kann, kommt es auch auf das Engagement der Unternehmen selbst an. Claudia Plattner verwies in diesem Zusammenhang auf die "Allianz für Cyber-Sicherheit" des BSI, ein Netzwerk, in dem sich bereits knapp 8000 Firmen zur Stärkung der Cyberresilienz zusammengeschlossen haben.

2. EU will Infrastruktur besser vor Cyberattacken schützen

Ein neues Warnsystem soll Bedrohungen frühzeitig erkennen und Kritische Infrastrukturen (KRITIS) wie Krankenhäuser, Energieversorger oder Verkehrsknotenpunkte europaweit besser schützen, darauf hat sich die EU in der vergangenen Woche geeinigt. Das Warnsystem für Cybersicherheit ist Teil des europäischen Cybersolidaritätsgesetzes, für dessen Maßnahmen etwa 1,1 Milliarden Euro veranschlagt werden. Es soll den Informationsaustausch fördern und dazu beitragen, Bedrohungen innerhalb der EU frühzeitig zu erkennen und die richtigen Maßnahmen zu ergreifen.

3. Apple schießt rund 70 Lücken in macOS 14.4

Apple-Nutzende sollten weiter dranbleiben: Nach Updates für iOS und iPadOS steht nun macOS im Fokus. Neben kleineren Funktionserweiterungen und Bugfixes betreffen die Aktualisierungen auch zwei heikle Schwachstellen, die wohl bereits aktiv für Angriffe ausgenutzt wurden. Für macOS 14 Sonoma steht die Version 14.4 zum Download bereit, für die beiden älteren macOS-Versionen Ventura und Monterey greifen Nutzende auf die Updates 13.6.5 und 12.7.4 zurück. Außerdem gibt es für sie ein Update, das den Browser Safari (mitsamt WebKit) auf Version 17.4 aktualisiert.

4. Sicherheitsupdates für Chrome und Edge

"Ein anonymer Angreifer kann mehrere Schwachstellen in Google Chrome und Microsoft Edge ausnutzen, um einen nicht näher spezifizierten Angriff durchzuführen", warnte das BSI Anfang des Monats. Browser-Updates von Apple und Microsoft schaffen Abhilfe: Das Edge-Update bringt in der neuesten Version 122.0.2365.80 alle entsprechenden Änderungen mit, um die Schwachstellen zu beheben. Das Gleiche gilt für das Chrome-Update auf Version 122.0.6261.111/.112. Für eine Schwachstelle im Edge-Browser für Android, die den Browser anfällig macht für Spoofing, liegt noch kein Update vor.

5. Zahl der Woche: 43

m besten Fall schließen Updates Sicherheitslücken, bevor Cyberkriminelle sie ausnutzen können. Immerhin 43 Prozent der Verbraucherinnen und Verbraucher installieren laut Cybersicherheitsmonitor 2023 regelmäßig Updates. Doch es geht noch besser: 46 Prozent der Nutzenden haben die automatische Installation von Updates aktiviert. So landen mit Sicherheit die neuesten Updates auf dem jeweiligen Gerät.

6. In der EU gelten ab sofort die Regeln des Digital Markets Act

Nachrichten zwischen verschiedenen Messanger-Anbietern verschicken, frei über Browser, Suchmaschinen oder die Verknüpfung verschiedener Dienste untereinander entscheiden – all das und mehr garantiert der Digital Markets Act, das europäische Gesetz über digitale Märkte. Seit 7. März 2024 müssen sich sechs führende Tech-Unternehmen – Apple, Amazon, Microsoft, Alphabet, Meta und Bytedance (TikTok) – an die neuen Vorgaben halten. Diese zentralen Plattformen, die Gatekeeper, sollen für mehr Geräteneutralität, Interoperabilität sowie Datenportabilität und ein höheres Maß an Wettbewerb auf den digitalen Märkten sorgen.

7. Malware auf dem Smartphone oder Tablet – was nun?

Wenn das Handy oder Tablet nicht mehr das tut, was es soll, und mit Malware infiziert wurde, sorgt das für einen echten Schreckmoment. Was in einem solchen Fall zu tun ist: wurde vor dem Auftreten des verdächtigen Geräteverhaltens beispielsweise eine bestimmte App installiert, dann sollte diese deinstalliert werden. Auch ein Zurücksetzen auf die Werkseinstellungen kann helfen. Darüber hinaus unverzichtbar: ein aktuelles Antivirus-Programm.

8. Stark, stärker, Passkeys!

Nutzen Sie noch Passwörter? Es gibt längst was Besseres! Passkeys sind Passwörtern in vielerlei Hinsicht überlegen: Sie können nicht zu simpel oder zu kurz sein, sie können nicht vergessen werden, sie werden schnell und automatisiert erstellt und schützen immer genau einen Account. Außerdem ist es unwahrscheinlicher, dass Passkeys durch Phishing oder Datendiebstahl verloren gehen.

9. Adlerauge, sei wachsam: So erkennen Sie Scam-Nachrichten

Täuschend echt – und doch gefährlich. Kriminelle geben sich in gefälschten E-Mails als Paketdienstleister, Banken oder Behörden aus, um Geld oder Informationen zu erbeuten. Den Betrug zu erkennen, wird immer schwieriger. Dennoch gibt es einige Merkmale, die auf betrügerische Nachrichten wie Phishing bzw. Scam-Mails sowie gefälschte Websites hindeuten. So sollten etwa Links und Formulare zur Abfrage persönlicher Daten stutzig machen. Auch ein dringender Handlungsbedarf oder Drohungen haben in seriösen Nachrichten nichts zu suchen.

10. CYBERSNACS #26: Krisenkommunikation – Schaden begrenzen, Reputation erhalten

"Die Frage ist nicht, ob Unternehmen Opfer eines Cyberangriffs werden, sondern wann es passiert", das betont in der aktuellen Folge CYBERSNACS auch Janka Kreißl von Dunkelblau, einem Unternehmen, das sich auf Krisenkommunikation und Krisenmanagement spezialisiert hat. In der Ausnahmesituation eines Cyberangriffs müsse einkalkuliert werden, dass Dinge schieflaufen und Zeit kosten können. Janka Kreißl empfiehlt Unternehmen darum, nicht zu viel nach außen zu versprechen und keine zu hohen Erwartungen zu schüren. Präventionsarbeit sei wichtig. Neugierig, ob und wie Unternehmen für Krisenkommunikation ein Konzept in der Schublade vorhalten können?

1. Onlinezugangsgesetz 2.0

Mit der Neuauflage des Onlinezugangsgesetzes 2.0 (OZG) macht sich Deutschland auf den Weg, Bürgerinnen und Bürgern den Gang zum Amt zu ersparen und stattdessen digitale Dienste anzubieten. Das OZG 2.0 gibt den Bürgerinnen und Bürgern sowie Unternehmen und Organisationen das Recht, digitale Verwaltungsleistungen des Bundes vom Jahr 2028 an beim Verwaltungsgericht einzuklagen. Für Bundesinnenministerin Nancy Faeser ist das Gesetz „ein echter Fortschritt. So machen wir unser Leben einfacher und sicherer. Das ist ein sehr wichtiges digitales Upgrade für Deutschland.“

2. Ransomware-Bande LockBit zerschlagen

Bei einer gemeinsamen Strafverfolgungsaktion haben internationale Ermittler die Hackergruppe Lockbit zerschlagen. Das ist der Erfolg einer engen Kooperation zwischen der britischen National Crime Agency (NCA), dem amerikanischen Federal Bureau of Investigation (FBI) und Europol. "Die Software sei 2022 die ‚weltweit am häufigsten eingesetzte Ransomware-Variante‘ gewesen und auch 2023 "bislang weiterhin produktiv", zitierte die BBC die Behörde.

3. Post-Quanten-Kryptografie

Anbieter von Messengerdiensten sind schon eher dafür sensibilisiert und jetzt wechselt auch Apples iMessage auf eine Post-Quanten-Kryptografie, wie zuvor schon der Anbieter Signal. Vereinfacht gesagt, soll es eine Art Risikomanagement gegen Gefahren sein, die sich aus den technologischen Fortschritt leistungsstarker Quantentechnologie mit kriminellen Absichten ergeben.

4. Malwarekampagne nutzt Google Play Store zur Verbreitung

Fachleute der Cybersicherheitsfirma Threatfabric haben eigenen Angaben zufolge Malware-Kampagnen beobachtet, bei denen europäische Nutzerinnen und Nutzer im Visier stehen. In den vergangenen vier Monaten kam es zu mehr als 100.000 Installationen des Anatsa-Banking-Trojaners, inzwischen sind Varianten auch im Google Play Store aufgetaucht. Banking-Trojaner fangen die Kommunikation von Verbraucherinnen und Verbrauchern mit ihren Bank ab, um an PINs und TANs zu gelangen.

5. Vorsicht bei Reisebuchungen im Internet

Buchen Sie Reisen und Urlaube gerne über Online-Portale? Achten Sie dabei unbedingt auf Sicherheit, denn die Online-Reisebuchung kann risikobehaftet sein: Fake-Websites, überraschende Gebühren oder gefälschte Tickets sind nur einige Beispiele der Gefahr. Im vergangenen Jahr sind rund 20 Millionen Menschen Opfer von diversen Formen der Cyberkriminalität in Zusammenhang mit Reisebuchungen geworden, wie aus Daten der Online-Plattform Statista hervorgeht.

6. Zertifikate für Smart-Meter-Gateways

Inzwischen haben fünf Hersteller alle nötigen Nachweise für den Smart-Meter-Rollout erbracht. Mit dem Gesetz zum Neustart der Digitalisierung der Energiewende soll der Rollout von intelligenten Messsystemen deutlich beschleunigt werden. So werden die Weichen gestellt für eine sichere Integration steuerbarer Erzeugungs- und Verbrauchseinrichtungen. Das Smart-Meter-Gateway (SMGW) als sichere Kommunikationsplattform hilft dabei, das Stromnetz zu entlasten und Energie effizient und auch kostengünstig zu nutzen.

7. Zahl der Woche: 10

Unter Verbraucherinnen und Verbrauchern hat nur etwa jede und jeder Zehnte bereits von Versuchen Krimineller gehört, die eingebauten Regeln einer KI-Anwendung zu umgehen und diese zu manipulieren. Das hat der Cybersicherheitsmonitor 2023 ergeben. In der Praxis kann das zum Beispiel so aussehen: Ein Smart Speaker nutzt KI, um gesprochene Sprache zu erkennen. Deshalb können wir ihm Befehle zurufen. Kriminelle manipulieren den Smart Speaker etwa so, dass er vorgibt, die mündliche Eingabe eines Passwortes sei notwendig. Das Passwort fangen Kriminelle ab und nutzen es für ihre Zwecke.

8. Neue Podcast-Folge: Passkey statt Passwort – was steckt dahinter?

Passkeys sind eine Alternative zum Login mit Passwörtern. Bei Passkeys basiert die Autorisierung auf einem kryptografischen Verfahren. Dazu werden zwei digitale Schlüssel erzeugt: Der eine liegt bei den Nutzenden, der zweite bei den Anbietern von Webseiten und Diensten. Bei jedem Login werden Aufgaben erstellt, die nur mit dem eigenen geheimen Schlüssel zu lösen sind. Neben einer im Hintergrund ablaufenden Berechnung bestätigt man den Zugriff zusätzlich z.B. über ein biometrisches Merkmal wie Fingerabdruck oder Gesichtsscan. Die wohl größten Vorteile der Technologie für Nutzerinnen und Nutzer liegen darin, dass sie in Zukunft zum einen keine Passwörter mehr erstellen und verwalten müssen.

9. Updates ganz bequem

Regelmäßige Aktualisierungen von Programmen und Betriebssystemen sind das A und O für die Sicherheit Ihrer Geräte. Glücklicherweise können Ihre Geräte das für Sie selbstständig übernehmen – vorausgesetzt Sie aktivieren die automatischen Updates auf Computer, Smartphone und Co. Schritt für Schritt zeigen wir Ihnen, wie Sie mühelos automatische Aktualisierungen auf Ihrem Gerät einrichten.

10. Cybersnacs Folge #25: KI made in Germany

Was hat KI mit Souveränität, Technologie mit Politik zu tun? In der ersten CYBERSNACS-Folge dieses Jahres spricht Salsabil Hamadache mit BSI-Präsidentin Claudia Plattner und Aleph Alpha CEO Jonas Andrulis über KI made in Germany. Eine so wichtige Zukunftstechnologie wie KI sollte auch in Deutschland entwickelt und gefördert werden, darin sind sich unsere Gäste einig. Denn: Wir vertrauen der KI enorm wertvolle Daten an und brauchen Sicherheit und Unabhängigkeit in der KI – vor allem in kritischen Sektoren wie der Gesundheit und natürlich auch in der Cybersicherheit. Welche Zukunftspotenziale unsere Gäste auf dem Radar haben und warum KI-Modelle transparent und erklärbar sein sollten, erfahren Sie in der neuesten Folge CYBERSNACS!

1. Grenzüberschreitende Zusammenarbeit zur Abwehr russischer Cyberattacken

Mit einem gemeinsamen Warnmechanismus wollen sich laut Medienberichten Deutschland, Frankreich und Polen besser vor digitalen Desinformationskampagnen und Cyberangriffen aus Russland schützen und die Verteidigungs- und Sicherheitsarchitektur in Europa stabilisieren. Nicht nur angesichts des russischen Angriffskriegs auf die Ukraine werden weiterhin gezielte Operationen befürchtet. Die Europawahl und die Olympischen Spiele in Paris könnten die angespannte Cybersicherheitslage 2024 zusätzlich verschärfen. Das russische Vorgehen stellt eine Bedrohung für die europäische Stabilität dar, das unterstrichen Außenministerin Annalena Baerbock und ihre Amtskollegen Stéphane Séjourné und Radosław Sikorski im Rahmen einer Pressekonferenz am 12. Februar in Paris.

2. Vorsicht beim Verkauf via Kleinanzeigen

Sie sind als private Verkaufende auf dem Portal Kleinanzeigen aktiv? Dann sollten Sie aktuell besonders achtsam mit Ihren Daten umgehen: Das LKA Niedersachsen warnt vor einer Phishing-Masche, mit der Cyberkriminelle ihre Opfer dazu bringen, auf Geldwäsche-Bankkonten zu überweisen. Das Vorgehen im Überblick: Eine vermeintliche Kaufinteressentin bzw. ein Kaufinteressent lockt die Verkaufenden in den mutmaßlichen Support-Chat des Portals. Dort wird das Opfer gebeten, über einen gefälschten Link Bankdaten mittels TAN-Bestätigung einzugeben. Die TAN-Eingabe sei notwendig, um das Konto als Empfängerkonto für die Bezahlung zu verifizieren. Der Vorgang muss wegen angeblicher Probleme mehrmals wiederholt werden. Durch die TAN-Bestätigung landen die Abbuchungen direkt auf den Konten der Cyberkriminellen.

3. Canon warnt vor Schwachstellen in Multifunktions- und Laserdruckern

Canon hat sieben kritische Sicherheitslücken in bestimmten SOHO-Multifunktions- und Laserdruckern öffentlich gemacht. Sofern ein Produkt ohne Router mit dem Internet verbunden ist, können Angreifende ohne vorherige Authentifizierung bösartige Codes ins Zielsystem einzuschleusen, ohne dass der Benutzer dies bemerkt oder erlaubt. Auch das Lahmlegen mittels Denial-of-Service ist möglich. Canon stellt aktualisierte Firmware-Versionen zur Verfügung und empfiehlt u.a., dass die Drucker eine private IP-Adresse zugewiesen bekommen sollten.

4. Neues AnyDesk Codesigning-Zertifikat

Nachdem das BSI Anfang Februar 2024 einen Cybersicherheitsvorfall beim Remote-Screen-Sharing-Anbieter AnyDesk meldete, veröffentlicht das Unternehmen nun weitere Informationen und Handlungsempfehlungen. Die genauen Hintergründe zum Vorfall, der sich wohl schon im Dezember 2023 ereignete, sind weiterhin unklar. AnyDesk geht zwar offiziell nicht davon aus, dass Zugangsdaten abgeflossen sind, die Passwörter wurden dennoch präventiv zurückgesetzt. AnyDesk liefert außerdem neue Anwendungsversionen mit einem neuen Codesigning-Zertifikat aus. Die neuen Versionen 7.0.15 sowie 8.0.8 für Windows und 8.0.0 für macOS sind bereits auf aktuellem Stand. Aktualisierungen für Custom Client und On-Premise-Versionen will das Unternehmen, das Nutzenden einen plattformübergreifenden (Fern-)Zugriff auf vernetzte Geräte ermöglicht, ebenfalls bereitstellen.

5. Cybersicherheit in der Schule und zu Hause

Anlässlich des Safer Internet Days Anfang Februar konzentriert sich das BSI in diesem Monat verstärkt auf die Vermittlung von Basiswissen und Kompetenzen im Bereich Cybersicherheit an der Schule und in der Familie. Hier wie dort gehören digitale Medien inzwischen selbstverständlich dazu und werden bereits von den Jüngsten genutzt. Wer Kinder und Jugendliche begleitet, steht vor der Herausforderung, den bewussten Umgang mit digitalen Medien zu fördern und eine sichere Online-Umgebung zu schaffen. Das BSI hat ein praktisches Medienpaket mit Know-how und vielen Impulsen für Eltern sowie Lehrerinnen und Lehrer zusammengestellt.

6. Zahl der Woche: 2,9

Im Durchschnitt nur 2,9 Maßnahmen zum Schutz vor Cyberangriffen nutzen die 16-22-Jährigen. Sie sind damit die Altersgruppe, die durchschnittlich am wenigsten Maßnahmen ergreift. Im Cybersicherheitsmonitor 2023 sind alle anderen Altersgruppen mehr auf ihre Sicherheit bedacht: Internetnutzende ab 70 Jahre kommen im Schnitt sogar auf 4,2 Schutzmaßnahmen. Um ihre Sicherheit im digitalen Alltag zu erhöhen, müssen Kinder und Jugendliche früh erfahren, warum Schutzmaßnahmen wichtig sind und wie sie sich sicher im Internet bewegen können.

7. Digitale Gewalt gegen Frauen hat drastische Folgen

Cybermobbing, Cyberstalking und / oder die nicht einvernehmliche Weitergabe von intimen bzw. KI-generierten Bildern kann sich auf die psychische Gesundheit Betroffener und ihr gesamtes Leben negativ auswirken. Eine neue EU-Richtlinie soll Frauen besser vor Cyberkriminalität schützen.

8. Sieben Merkmale sicherer Onlineshops

Beim Einkauf in vermeintlich seriösen Onlineshops können Verbraucherinnen und Verbraucher böse Überraschungen erleben. Zum Beispiel, wenn die Ware per Vorkasse bezahlt wird, aber nie zu Hause eintrifft. Wenn persönliche Daten nicht ausreichend verschlüsselt werden und in die Hände von Cyberkriminellen gelangen. Oder wenn ein Fakeshop für teures Geld minderwertige Produkte versendet. Das BSI empfiehlt, sich bereits vor dem Kauf in einem Onlineshop mit dem Unternehmen, den angebotenen Zahlungsmethoden, Zertifizierungen und Nutzerrezensionen kritisch auseinanderzusetzen.

9. Basisschutz für Kinder und Jugendliche – so funktioniert’s!

In der KIM-Studie 2022 gab knapp die Hälfte aller Eltern an, dass ihr Kind alleine ins Internet darf. Um diese junge Nutzergruppe vor jugendgefährdenden Inhalten zu schützen, den Kauf bzw. die Installation von Apps zu beschränken oder das ungewollte Abschließen von Abos zu verhindern, können Eltern einiges tun. So lassen sich zum Beispiel Altersbeschränkungen vergeben, Jugendschutzeinstellungen vornehmen und Authentifizierungen für Käufe auf den in der Familie genutzten Geräten einrichten.

10. Umsetzung der neu beschlossenen Strategie für die Internationale Digitalpolitik

Am 7. Februar 2024 hat das Bundeskabinett die Strategie für Internationale Digitalpolitik verabschiedet. Sie gibt einen verbindlichen Handlungsrahmen vor und soll internationale Standards etwa für den Einsatz von Künstlicher Intelligenz, den Datenschutz oder die Bekämpfung von Cyberkriminalität vorantreiben. Neun Grundsätze stehen im Zentrum, sie betreffen unter anderem grenzüberschreitende Datenflüsse, eine sichere globale digitale Infrastruktur und den Online-Schutz der Grund- und Menschenrechte. Die neue Strategie ist laut Bundesministerium für Digitales und Verkehr "Auftakt und Grundlage für einen fortlaufenden Prozess, in dem jedes Ressort die Umsetzung der Strategie aktiv vorantreiben wird".

11. Neue Podcast-Folge "Update verfügbar" - ein Muss für alle Eltern

In ihrem Buch "Wir verlieren unsere Kinder" warnt die Schuldirektorin und Autorin Silke Müller vor einer Gewaltspirale, die Mobbing und Cybergrooming auf eine neue Stufe hebt. Das BSI-Moderatorenteam Ute Lange und Michael Münz spricht mit Silke Müller über ihre Prognose und die Möglichkeiten, dieser gefährlichen Entwicklung in der Familie entgegenzuwirken. Ein Muss für alle Eltern, die ihre Kinder im digitalen Alltag schützen möchten.

1. Amazon-Kundinnen und Kunden als Opfer von Lieferbetrug

Amazon-Kundinnen und -Kunden melden, dass sie zwar teure Produkte bestellt, aber minderwertige Ware erhalten haben, berichtet Heise Online. Mutmaßlich tauschen Betrügerinnen und Betrüger die Ware aus. Obwohl gewerbliche Versender normalerweise für das Transportrisiko haften, verweigert Amazon die Schadensregulierung und erwartet, dass Kundinnen und Kunden die ursprünglich bestellten, aber nicht erhaltenen Artikel zurücksenden, bevor eine Rückerstattung erfolgt.

2. Achtung vor Betrug: Gefälschte Temu-Zustellungsmitteilungen im Umlauf

Das Landeskriminalamt Niedersachsen warnt vor betrügerischen Zustellungsmitteilungen, die sich an Nutzerinnen und Nutzer der chinesischen Shopping-App Temu richten. Die gefälschten Phishing-Nachrichten, per E-Mail oder SMS versendet, stehen in keinem Zusammenhang mit tatsächlichen Bestellungen. Kundinnen und Kunden werden aufgefordert, Pakete über die originale Webseite/App des Shoppingportals oder Transportdienstleisters zu verfolgen. Das BSI empfiehlt außerdem, niemals auf Links in einer dubiosen Mail oder SMS zu klicken und keine persönlichen Daten wie Passwörter, Kreditkarten- oder Transaktionsnummern via E-Mail preiszugeben – egal, wie vertrauenserweckend die betreffende E-Mail erscheint.

3. Erster Berliner Cybersicherheitsgipfel

Etwa 200 Teilnehmerinnen und Teilnehmer nahmen am 28. November 2023 am ersten Berliner Cybersicherheitsgipfel teil. Organisiert wurde die Veranstaltung vom Nationalen Cyber-Sicherheitsrat der Bundesregierung. Vertreter aus Wirtschaft, Wissenschaft, Staat und Zivilgesellschaft diskutierten über Cybersicherheit und gaben Impulse für die Weiterentwicklung der Nationalen Cybersicherheitsstrategie aus dem Jahr 2021. BSI-Präsidentin Claudia Plattner betonte in ihrer Keynote, dass die gesamte Gesellschaft an der Cybernation Deutschland mitwirken solle. Das Thema Cybersicherheit sei noch nicht flächendeckend angekommen.

4. Bluetooth-Sicherheitsrisiko: Neue Angriffstechnik Bluffs gefährdet Milliarden von Geräten

Ein Sicherheitsforscher der Eurecom Universität und Forschungseinrichtung für Telekommunikation und Multimedia, Daniele Antonioli, hat kürzlich sechs neue Angriffstechniken auf Bluetooth-Verbindungen vorgestellt und diese unter der Bezeichnung Bluffs (Bluetooth Forward and Future Secrecy) zusammengefasst. Die Techniken ermöglichen sogenannte Man-in-the-Middle-Angriffe, bei denen Angreifende entweder psychisch oder logisch zwischen zwei Kommunikationspartnern steht und ihnen falsche (Geräte-)Identitäten vortäuscht, um Zugang zu Smartphones, Laptops oder Tablets zu bekommen. Um mobile Geräte anzugreifen, die über Bluetooth kommunizieren, ist lediglich die Nähe zu den Geräten notwendig. Das BSI rät dazu Drahtlosschnittstellen, wie Bluetooth oder W-LAN zu deaktivieren, wenn Sie diese nicht benötigen.

5. Cyberkriminelle nutzen gezielte Hotel-Malware für Datendiebstahl bei Booking.com

Bei einer neuen Phishing-Masche verschicken Cyberkriminelle über Booking.com täuschend echte E-Mails an die Kundinnen und Kunden der Buchungsplattform, um Daten von Zahlungsmitteln sowie Zugangsdaten abzufischen. Die Mails seien nur schwer als Betrug zu erkennen, schreibt Heise Online über die Betrugsmasche, die mindestens seit März 2023 genutzt wird. Booking.com betont, dass die eigene Infrastruktur nicht kompromittiert wurde, und weist darauf hin, dass Nutzerinnen und Nutzer besondere Vorsicht walten lassen sollten, wenn Zahlungsdaten auf unüblichen Wegen abgefragt würden, etwa per E-Mail, Chatnachricht, SMS, WhatsApp oder Telefon.

6. Gefälschte Updates bedrohen Apple-Nutzer mit Malware

Cyberkriminelle installieren derzeit gefährliche Malware auf Apple-Geräten, indem sie falsche Updates vortäuschen. Die betrügerischen Aktivitäten zielen darauf ab, Nutzerinnen und Nutzer zur Installation von schädlicher Software zu verleiten, die sich als Updates für Safari- und Chrome-Browser tarnt. Die verbreitete Schadsoftware, bekannt als Atomic Stealer, stiehlt Daten, darunter auch Passwörter.

7. Chrome macht dicht

Tatsächlich hat Google in Chrome sieben Sicherheitslücken geschlossen. Nutzerinnen und Nutzer des Browsers sollten auf die neueste Version aktualisieren, da die Sicherheitslücken bereits aktiv von Angreifenden ausgenutzt würden. Die als "hoch" eingestuften Schwachstellen könnten eine Kompromittierung von PCs verursachen.

8. Zahl der Woche: 15

Nur etwa jede/r sechste Bürgerin und Bürger (15%) informiert sich regelmäßig über aktuelle Entwicklungen in der Cybersicherheit. Das ist das Ergebnis der von BSI und der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK) gemeinsam durchgeführten Bürgerbefragung zur Cybersicherheit 2023. Die gute Nachricht: Als Abonnentin, Abonnent unseres Newsletters und regelmäßige(r) Webseiten-Besucher(in) gehören Sie dazu! IT@KALAYCI informiert

9. Podcast Cybersnacs, Folge 23: Let's talk KI – Sicherheit durch Prüfbarkeit?

Künstliche Intelligenz ist längst zum Teil der gesellschaftlichen Debatte geworden, weil sie unsere Lebenswelt stark verändert. Deswegen widmet sich das Team des Podcasts Cybersnacs in den aktuellen Folgen vertieft diesem Thema. Der Podcast wird von der vom BSI initiierten "Allianz für Cybersicherheit" produziert. Im dritten Teil der Reihe ("Let's talk KI") erklärt Patrick Gilroy vom TÜV-Verband, wieso es Regeln braucht, um KI-Innovationen im Einklang mit EU-Werten voranzutreiben. Mit dem "AI Act" soll dafür ein klarer Rechtsrahmen geschaffen werden. Um nachzuweisen, dass KI-Akteure sich an die Regeln halten, sind sie schon jetzt dazu angehalten, ihre KI prüfbar zu machen. Denn vor dem Hintergrund des Verbraucherschutzes ist diese Transparenz wichtig: Verbraucherinnen und Verbraucher sollten sich darauf verlassen können, dass die Qualität der KI-Produkte getestet wurde.

10. Neue Folge des BSI-Podcasts "Update verfügbar": Alles zur Online-Ausweisfunktion

Die Online-Ausweisfunktion im Personalausweis bietet mehr Möglichkeiten, als viele denken. Mit der im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) entwickelte AusweisApp kann man Behördengänge bequem von zu Hause aus erledigen, und das sicher und schnell. In einem Gespräch mit dem BSI-Experten Niels Räth werden die Funktionsweise und Sicherheit der Technologie erklärt.

11. So schützen Sie sich vor digitalem Identitätsdiebstahl und gehackten Accounts

Cyberkriminelle stehlen digitale Identitäten durch die Übernahme von E-Mail-Konten oder die Erstellung gefälschter Profile. Die Täterinnen und Täter nutzen dann die gestohlenen Daten für betrügerische Aktivitäten, vom illegalen Warenverkauf bis zum Missbrauch von Vertrauen.

Um sich zu schützen, sollten Sie …
ein starkes Passwort vergeben und für jeden Dienst ein eigenes Passwort verwenden.
wenn möglich, die Zwei-Faktor-Authentisierung für einen noch besseren Schutz aktivieren.
nur so viel über sich preisgeben, wie unbedingt notwendig. Verwenden Sie zum Beispiel unterschiedliche Namen in Ihren Accounts, das erschwert es Cyberkriminellen, ein Profil von Ihnen zu erstellen.
eine Displaysperre einrichten, um Ihre Geräte zu sichern.
E-Mails und Webseiten genau prüfen, bevor Sie auf Links klicken.
in öffentlichen WLAN-Netzen vorsichtig unterwegs sind. Insbesondere sollten Sie darauf verzichten, darüber finanzielle Transaktionen zu tätigen.
Ihrer elektronischen Geräte regelmäßig updaten. Verwenden Sie zudem aktuelle Virenscanner, um Angriffe möglichst frühzeitig zu erkennen.

Übrigens ...

Jede/r Vierte ist bereits von Cyberkriminalität betroffen

Der jährlich neu erhobene "CyMon – Der Cybersicherheitsmonitor" von BSI und ProPK gibt Aufschluss über das Informations- und Schutzverhalten der Bevölkerung und über ihre Betroffenheit von Cyberangriffen. Dabei zeigt sich: Mehr als jede/r Vierte (27%) ist schon einmal von Cyberkriminalität betroffen gewesen. Dabei haben 18 Prozent bereits einen direkten finanziellen Schaden erlitten. Auch künstliche Intelligenz bereitet den Menschen Sorgen; eine Mehrheit der Befragten (65 %) befürchten gefälschte oder manipulierte Dokumente und Medien.

1. Rekordzahl an Spam- und Phishing-Mails kurz vorm Black Friday

Die in Deutschland meistgenutzten E-Mail-Webdienste web.de und GMX registrieren aktuell rund 1,65 Milliarden (!) Spammails pro Woche – ein neuer Rekordwert. Aktuell besonders beliebt bei Cyberkriminellen ist das "Paketdienst-Phishing". Dabei erhalten Nutzerinnen und Nutzer E-Mails, die denen von Paketdienstleistern täuschend ähnlich sehen. Anwenderinnen und Anwender werden damit auf gefälschte Webseiten geleitet, um vermeintlich zu wenig gezahltes Porto oder Zollgebühren nachzuzahlen. Hinzu kommen Phishing-Mails, in denen auf Schnäppchen und Rabatte hingewiesen wird. In beiden Varianten geht es darum, Log-In-Daten von Bezahldiensten abzugreifen.

2. Tipps für die Schnäppchenjagd

Besonders an Aktions-Tagen wie Black Friday oder Cyber Monday sollten Sie sich nicht von angeblichen Rabatten blenden lassen. Denn auch für Kriminelle haben diese Tage einen besonderen Reiz. Neben vermeintlichen Schnäppchen stoßen Sie auch vermehrt auf gefälschte Onlineshops. Das BSI empfiehlt daher, sich bereits vor dem Kauf mit dem Unternehmen hinter dem Onlineshop und den angebotenen Zahlungsmethoden auseinanderzusetzen. Auch wenn das Angebot verlockend klingt, sollten Sie sich laut Verbraucherzentrale nicht durch Marketingtricks wie ablaufende Timer unter Druck setzen lassen und vorzugsweise per Rechnung zahlen. Sollte dies nicht möglich sein, empfiehlt das BSI, eine verschlüsselte Datenübertragung zu nutzen, um (Bank-)Daten zu schützen und zudem aufs Onlineshopping aus öffentlichen WLNA-Netzen zu verzichten. Ist das Produkt doch nicht so günstig, wie gedacht oder die Qualität unzureichend, sollten Sie laut Verbraucherzentrale Ihr Widerrufsrecht nutzen. Ein wichtiger Schritt auf dem Weg zu einem möglichst sicheren Online-Einkauf ist auch die Absicherung des eigenen Onlinekontos bzw. des eigenen Accounts.

3. Amazon warnt vor Betrug am Black Friday

Besonders beim Einkauf in neuen, unbekannten Shops sollten Sie vorsichtig sein. Amazon gibt an, dass die Zahl der Betrugsfälle rund um den Black Friday im vergangenen Jahr dreimal so hoch war, wie im Vergleichszeitraum 2021. Die aktuell häufigste Betrugsmasche ist der Einsatz von Mail-Anhängen. Die Betrügerinnen und Betrüger geben sich als Amazon aus und behaupten, dass Kontodaten aktualisiert werden müssten. Amazon empfiehlt, verdächtige Nachrichten zu melden und ihre Echtheit über die Amazon-Kanäle zu überprüfen. Weitere Betrugsmaschen versuchen es mit falschen Dringlichkeitsansprüchen und betrügerischen Kontaktaufnahmen außerhalb von Amazon. Das BSI empfiehlt, Links und E-Mail-Adressen genau zu prüfen und bei Zweifeln besondere Vorsicht walten zu lassen. Klicken Sie niemals auf Links in einer dubiosen E-Mail und öffnen Sie keine Anhänge. Kein seriöser Anbieter fordert Sie per E-Mail auf, vertrauliche Zugangsdaten preiszugeben – auch nicht um der Sicherheit willen.

4. Umfrage zu gehackten Online-Accounts: Was Betroffene erwarten

Eine repräsentative Umfrage der Verbraucherzentrale zeigt, dass bei 30 Prozent der Internetnutzerinnen und -nutzer in Deutschland bereits mindestens ein persönliches Online-Konto gehackt wurde. Social-Media- und E-Mail-Accounts wurden mit 63 Prozent am häufigsten angegriffen. Allerdings konnten auch 86 Prozent der Betroffenen die Kontrolle über ihren Account zurückgewinnen. Dennoch wünschen sich die Betroffenen mehr Hilfe zur Selbsthilfe, einschließlich der Möglichkeit, ihre Konten selbst zu sperren oder Passwortänderungen vorzunehmen. Nur 56 Prozent der Befragten verwenden unterschiedliche Passwörter für ihre Accounts, und nur die Hälfte der Befragten (49 Prozent) weiß im Falle eines Hacking-Angriffs, wie sie sich verhalten sollen.

5. Bericht über Sicherheitslücken in rheinland-pfälzischen Gesundheitsämtern

Die IT-Systeme von Gesundheitsämtern in Rheinland-Pfalz weisen massive Sicherheitslücken auf. Das ergab eine Recherche von Zeit Online. Obwohl die Probleme bekannt seien, würden diese von Verantwortlichen verdrängt. Als Grundproblem, das zu den Sicherheitslücken führt, nennt der Bericht das knappe Budget der Gesundheitsämter. Lokale Administratorinnen und Administratoren seien häufig keine ausgebildeten IT-Spezialistinnen und Spezialisten, sondern Verwaltungsangestellte. Weitere Schwachstellen lägen in der eingesetzten Software Mikropro Health. Diese Plattform wird im ganzen Bundesland verwendet und entspräche nicht dem aktuellen Stand der Technik. So habe beispielsweise jeder mit Zugriff auf den Quellcode der Software Einsicht und Zugang zu Namen und Passwörtern der Nutzerinnen und Nutzer der Einrichtungen.

6. Expertenkreis "Cyber-Sicherheit im Weltraum" gegründet

Am 10. November fand im BSI die Eröffnungsveranstaltung für den Expertenkreis Cybersicherheit im Weltraum statt. Teilnehmende waren Vertreterinnen und Vertreter aus Industrie, Forschung und Behörden mit Bezug zur Raumfahrt und Informationssicherheit. Ziel des Expertenkreises ist es, Maßnahmen zur Stärkung der Cybersicherheit und der Resilienz von Weltraumsystemen zu erarbeiten. Durch den Austausch zwischen Raumfahrt- und Cybersicherheitsexpertinnen und -experten sollen Lösungen für zukünftige Herausforderungen im Bereich Cybersicherheit im Weltraum entwickelt werden.

7. Trend Micro: Diese Daten sind bei Hackerinnen und Hackern besonders beliebt

Der Anbieter von Cybersicherheitslösungen, Trend Micro, klärt in einem kürzlich veröffentlichten Bericht darüber auf, dass Kryptowährungen, Daten aus Webbrowsern sowie Kreditkartennummern und Zugangsdaten das häufigste Ziel von Hackerinnen und Hackern sind. Zugangsdaten der Webseiten Google, Microsoft, Instagram und Facebook werden besonders häufig gestohlen. Der Bericht nennt außerdem die Länder, die besonders häufig von Datendiebstahl betroffen sind: Portugal, Brasilien und Griechenland. Deutschland liegt auf Platz 16 dieser Liste. Darum empfiehlt auch das BSI, unterschiedliche Passwörter für verschiedene Dienste und Webseiten zu vergeben sowie die Zwei-Faktor-Authentisierung zu nutzen.

8. Microsofts Authenticator mit neuem Schutz gegen Ermüdungsangriffe

Microsoft verbessert die Sicherheit seines Authenticators, der für die Mehr-Faktor-Authentisierung verwendet wird. Die App unterdrückt nun verdächtige Anfragen, um sogenannte Ermüdungsangriffe zu verhindern. In der Vergangenheit ermüdeten Angreiferinnen und Angreifer ihre Opfer so lange mit Anfragen, bis sie schließlich Zugriff erhielten. Die aktualisierte Funktion fordert Nutzerinnen und Nutzer auf, die Authenticator-App zu öffnen und eine angezeigte Zahl einzugeben, anstatt verdächtige Anfragen direkt anzuzeigen. Dies soll die Sicherheit erhöhen und die Effektivität von Cyberangriffen erschweren.

9. Google löscht ab Dezember inaktive Gmail-Konten

Von Dezember an wird Google inaktive Gmail-Konten löschen, die seit mindestens zwei Jahren nicht genutzt wurden. Die Löschung erfolge aus Sicherheitsgründen, da viele inaktive Konten nicht durch eine Zwei-Faktor-Authentifizierung geschützt seien und alte oder wiederverwendete Passwörter nutzen würden. Betroffene Nutzerinnen und Nutzer erhalten im Vorfeld mehrere Benachrichtigungen und können ihr Konto aktiv halten, indem sie bestimmte Aktivitäten durchführen, wie beispielsweise das Lesen oder Senden einer Mail. Organisationen wie Schulen oder Unternehmen sind von dieser Maßnahme nicht betroffen.

10. Sicherheitslücken in Aruba Access Points: Kritische Schwachstellen ermöglichen Ausführung von Schadcode

Aruba Access Points sind von kritischen Sicherheitslücken betroffen, die es Angreiferinnen und Angreifern ermöglichen, Schadcode auszuführen. Die drei als kritisch eingestuften Schwachstellen erlauben es entfernten Angreiferinnen und Angreifern, ohne Authentifizierung eigenen Code auf Systemebene auszuführen. Um die Access Points zu sichern, empfiehlt Aruba das Installieren von Sicherheitspatches. Bisher sind allerdings noch keine Attacken bekannt geworden.

11. WhatsApp-Backups künftig zu Lasten des Google-Speicherkontingents

Laut Digitalbarometer 2022 von BSI und Polizeilicher Kriminalprävention (ProPK) legen nur 26 Prozent der Befragten regelmäßig Sicherheitskopien ihrer Daten an, um sich vor Datenverlust zu schützen. Auf dem Gerät gespeicherte Daten können jedoch durch Verlust, Diebstahl oder Hardwarebeschädigung des Gerätes verloren gehen. Zudem werden Smartphones oft gewechselt oder durch neue ersetzt. Eine gängige Methode ist die automatische Sicherung von Daten in der Cloud des jeweiligen Herstellers - wie etwa die von WhatsApp, die in der Google-Cloud gespeichert werden. Die WhatsApp-Mutter Meta hat jetzt Änderungen ab Dezember 2023 bei der Speicherung von WhatsApp-Backups im Google-Cloudspeicher angekündigt. Zukünftig sollen Backups der WhatsApp-Chats auf das jeweilige Google-Datenspeichervolumen des Benutzers angerechnet werden. Für Verbraucherinnen und Verbraucher bedeutet dies, dass dadurch das Speichervolumen früher erschöpft ist, insbesondere bei intensiver WhatsApp-Nutzung. Die weitere Speicherung von Backups oder anderen Daten ist dann nicht mehr möglich. Abhilfe schafft dann nur die Reduktion des Backup-Volumens oder die kostenpflichtige Erweiterung des Cloudspeichers.

12. Welche Online-Bezahlmethode ist die sicherste?

Verbraucherinnen und Verbraucher sollten laut BSI bei der Wahl von Bezahlsystemen beim Onlineshopping zwischen Komfort und Sicherheit abwägen Verschiedene Bezahlverfahren, wie das Bezahlen per Kreditkarte, Sofortüberweisung, Vorkasse, Lastschrift und Bezahlfunktionen von Betriebssystemen haben alle ihre spezifischen Vor- und Nachteile, wie das BSI erläutert. Als besonders sicher gilt aber der Kauf auf Rechnung.

13. Fakeshopfinder der Verbraucherzentrale

Mit dem Fakeshopfinder der Verbraucherzentrale können Sie prüfen, wie seriös der Onlineshop ist, bei dem Sie, zum Beispiel am Black Friday, einkaufen möchten.

14. Woran Sie sichere Onlineshops erkennen

Kriminelle, die sich hinter Fakeshops verbergen, locken oft mit ungewöhnlich günstigen Angeboten, verlangen häufig das Bezahlen per Vorkasse, liefern dann jedoch entweder minderwertige, beschädigte – oder auch gar keine Waren. Um sich vor solchen Betrügereien zu schützen, empfiehlt das BSI, sich vor dem Kauf kritisch mit dem Onlineshop, den angebotenen Zahlungsmethoden und seriös wirkenden Rezensionen von Nutzerinnen und Nutzern auseinanderzusetzen. Seriöse Onlineshops erkennen Sie an dem Zusammenspiel verschiedener Merkmal, wie:
ein eindeutiger Bestellbutton
eine sichere Verbindung (Vorhängeschloss in der Browserzeile)
verschiedene Kontaktmöglichkeiten
ein vollständiges Impressum
realistische Preise
Gütesiegel
unterschiedliche Zahlungsmöglichkeiten

15. Die SOS-Karte: Schutz beim Onlineshopping

Die SOS-Karte des BSI gibt Ratschläge für das richtige Verhalten im Ernstfall, wenn Sie Waren nicht erhalten, auf Fakeshops reingefallen sind oder jemand in Ihrem Namen Bestellungen aufgibt. Dann sollten Sie umgehend Ihre Bank und die Polizei kontaktieren. Die SOS-Karte des BSI informiert Sie über weitere Maßnahmen bei unbefugten Zugriffen und gibt Ihnen Tipps für künftiges Onlineshopping.

1. BSI warnt vor steigender Ransomware-Bedrohung

Die Cybersicherheitslage in Deutschland bleibt angespannt, wie der am 2. November vorgelegte Bericht zur Lage der IT-Sicherheit in Deutschland zeigt. Ransomware-Angriffe gelten weiterhin als die größte Bedrohung, begleitet von einer wachsenden Professionalisierung der Cyberkriminellen und der Zunahme von Sicherheitslücken. "Die Cyberkriminalität, vor allem aber auch die Zeitenwende, die wir erleben, erfordert eine strategische Neuaufstellung", so Bundesinnenministerin Nancy Faeser. BSI-Präsidentin Claudia Plattner fordert dafür "die Schaffung einer bundesweiten Zentralstelle für Cybersicherheit". Der Bericht verdeutlicht die Dimension der Bedrohungen: So registriert die Cybersicherheitsbehörde im Schnitt täglich rund 250.000 neue Schadprogramm-Varianten sowie 70 neue Sicherheitslücken. Ransomware-Angriffe verursachen dem Bericht zufolge erhebliche wirtschaftliche Schäden, besonders in kleinen Unternehmen und Kommunen. Cyberspionage und politisch motivierte Angriffe, unterstützt durch künstliche Intelligenz, erhöhen das Risiko von Desinformation und Cybermobbing.

2. GenAI-Phishing erzeugt "höchst überzeugende" E-Mails

Eine Umfrage von Abnormal Security und eine Analyse von IBM X-Force zeigen, dass Generative AI (GenAI) eine wichtige Rolle bei der Erstellung von Phishing-Mails spielt. Die Studie demonstriert, wie ein generatives KI-Modell mit fünf einfachen Anweisungen eine "äußerst überzeugende" Phishing-Mail erstellt. Diese sei kaum zu unterscheiden von einem Menschen geschriebenen Text. Die Ergebnisse eines Tests, welche E-Mails häufiger angeklickt werden, zeigen aktuell einen nur geringen Vorsprung der menschgemachten Mail (14 Prozent Öffnungsquote gegen elf Prozent bei der KI-Variante). Die anhaltenden Verbesserungen bei künstlicher Intelligenz geben jedoch Anlass zur Sorge, dass es in Zukunft noch ausgefeiltere Phishing-Angriffe geben wird.

3. Sicherheitskonzept von Dall-E in ChatGPT enthüllt: Experimente zeigen strikte Grenzen für den Bildgenerator

Experimente von KI-Forschenden haben gezeigt, dass der KI-Bildgenerator DALL·E 3 von OpenAI strengen Sicherheitsbeschränkungen folgt. So verbieten die kürzlich geleakten Regeln beispielsweise die Erstellung von Bildern von Politikerinnen und Politikern oder Personen des öffentlichen Lebens, obwohl das System grundsätzlich dazu in der Lage zu sein scheint. Wie golem berichtet, sollen die Regeln stereotypische Darstellungen und Vorurteile sowie Urheberrechtsverletzungen vermeiden. Die KI darf nur Werke verwenden, die älter als 100 Jahre sind.

4. IT-Sicherheitskennzeichen kann jetzt digital beantragt werden

Das IT-Sicherheitskennzeichen des BSI kann ab sofort digital über das Onlinezugangsportal des Bundes beantragt werden. Das vereinfacht den Antragsprozess für Hersteller, da Papierausfertigungen entfallen und der gesamte Verwaltungsablauf digital erfolgt. Das IT-Sicherheitskennzeichen ermöglicht Verbraucherinnen und Verbrauchern, die Sicherheitseigenschaften vernetzter Geräte anhand aufgedruckter QR-Codes zu überprüfen. Herstellern bietet das Kennzeichen Anreize, frühzeitig Sicherheitsstandards in ihre Produkte zu integrieren.

5. Ransomware legt IT-Dienstleister von mehr als 70 Kommunen lahm

Der IT-Dienstleister Südwestfalen-IT ist vor einer Woche gehackt worden, wie der Dienstleister via Notfallseite selbst mitteilt. Die Ermittlungen bestätigten, dass Ransomware eingesetzt wurde, um Daten zu verschlüsseln und Lösegelder zu erpressen. Das Lahmlegen der Infrastruktur des Dienstleisters wirkt sich direkt auf die Rathäuser aus, die Kunden von Südwestfalen-IT sind. Viele Verwaltungen in NRW arbeiten daher derzeit nur eingeschränkt oder sind ganz geschlossen. In mehr als 70 betroffenen Kommunen im Ruhrgebiet und darüber hinaus wird an alternativen Lösungen gearbeitet, darunter Notfall-Homepages und der verstärkte Einsatz von Papierdokumenten.

6. Mehrheit der Unternehmen verschweigt IT-Sicherheitsvorfälle

82 Prozent der deutschen Unternehmen haben in den vergangenen zwölf Monaten erlittene IT-Sicherheitsvorfälle geheim gehalten. Da zeigt eine Ipsos-Studie im Auftrag des TÜV-Verbandes. Zwar glauben 83 Prozent der befragten Unternehmen, dass solche Vorfälle öffentlich gemacht werden sollten, um das Bewusstsein für Cyberangriffe zu schärfen. Allerdings befürchten fast drei Viertel, dass ihr Ruf geschädigt wird, wenn sie selbst über Sicherheitsvorfälle sprechen. Marc Fliehe vom TÜV-Verband sagt dazu: "Täter und Opfer werden in der Wahrnehmung oft vertauscht. Auch wenn ein Unternehmen ein hohes Maß an Sicherheitsvorkehrungen trifft, kann es Opfer eines Cyberangriffs werden."

7. Beliebter Lego-Marktplatz Bricklink offline

Der bei Lego-Fans beliebte Marktplatz Bricklink ist war offline. Laut Heise online wurden sowohl Käufer- als auch Verkäufer-Accounts von Hackerinnen und Hackern übernommen, woraufhin die Administratoren die Verkaufsplattform vom Netz nahmen, um Ursachenforschung zu betreiben. Wie Heise online berichtet, reaktivierten die Cyberkriminellen den Shop jedoch mit betrügerischen Angeboten und hinterließen mit gekaperten Nutzerkonten positive Bewertungen für die nicht existierenden Artikel. Um Zahlungsdienstleister zu umgehen, sollten die durch besonders günstige Preise geköderten Nutzerinnen und Nutzer den Kaufpreis direkt an ebenfalls übernommene Bankkonten zahlen. Bricklink selbst bestätigte die unautorisierte Kontenzugriffe mit einer Wartungsseite. Inzwischen ist die Seite wieder online.

8. Kurz notiert

Hackerangriff beeinträchtigt IT-Systeme der Hochschule Hannover. Messe Essen und kommunaler IT-Dienstleister ebenfalls von Ransomware-Angriff betroffen

9. Google-Chrome-Update schließt zwei Sicherheitslücken

Google hat ein Chrome-Update veröffentlicht, das zwei kritische Sicherheitslücken behebt, die bereits aktiv ausgenutzt wurden. Eine der Lücken ermöglichte es Angreifenden, Schadcode auszuführen, während die andere ein "Use-After-Free"-Problem ausnutzt, ein Fehler bei der Speicherverwaltung. Nutzerinnen und Nutzern wird dringend empfohlen, auf die neueste Chrome-Version zu aktualisieren, um sich vor potenziellen Angriffen zu schützen.

10. Sicherheitsupdates: Firefox behebt Schwachstellen

Auch Mozilla hat Sicherheitslücken in den aktuellen Firefox-Versionen behoben, darunter potenziell gefährliche Clickjacking-Schwachstellen, die unbeabsichtigte Browser-Eingabeaufforderungen ermöglichten. Deshalb rät das BSI auch hier, die Browser auf die neuesten Versionen zu aktualisieren, um sich vor möglichen Angriffen zu schützen.

11. Android-Geräte warnen vor der Google-App als Malware

Nutzerinnen und Nutzer von Huawei, Honor und Vivo berichten über Trojaner-Warnungen, die nach einem Google-App-Update auftreten. Obwohl verschiedene Antivirenprogramme die App nicht als schädlich einstufen, empfehlen einige Geräte-eigene Optimizer und iManager, die Google-App zu deinstallieren. Allerdings scheint es sich höchstwahrscheinlich um einen Fehlalarm zu handeln, da keine echte Bedrohung durch Google bekannt ist, so golem.

12. RCE-Exploit für Wyze Cam v3

Der Sicherheitsforscher Peter Geissler hat einen Proof of Concept (PoC) veröffentlicht, der zwei Schwachstellen in der Wyze-Cam-v3-Firmware nutzt und eine Reverse-Shell öffnet. Darüber wird ein Gerät für einen Angriff ferngesteuert. Die Schwachstelle erlaubt es Angreifenden, Wyze-Cam-v3-Kameras zu übernehmen, um sie in dauerhafte Hintertüren zu verwandeln. Wyze hat gegen den Missbrauch ein Firmware-Update veröffentlicht.

13. Mehr Sicherheit bei E-Mails

Das BSI hat ein neues Zertifizierungsverfahren für sichere E-Mail-Dienstanbieter vorgestellt. "Ich freue mich, dass wir Nutzerinnen und Nutzern so eine praktische Orientierungshilfe für die Suche nach einem sicheren E-Mail-Dienst an die Hand geben können", so BSI-Präsidentin Claudia Plattner. Ein Prüflabor, die OpenSource Security GmbH, wurde für die Zertifizierung von E-Mail-Providern nach diesem Verfahren anerkannt. Die anschließende Zertifizierung durch das BSI gilt für fünf Jahre ab Erteilungsdatum.

14. Das BSI startet Umfrage zur IT-Sicherheitspraxis

Das BSI initiierte im Rahmen des European Cyber Security Months (ECSM) eine Umfrage durch das Cyber-Sicherheitsnetzwerk (CSN), die bis zum 31. Oktober 2023 lief. Unternehmen und Organisationen wurden dort per Selbsteinschätzungstest zu ihrer IT-Sicherheit befragt, um individuelle Angebote zur Erhöhung der Sicherheit erstellen zu können. Die anonymisierten Antworten sollen die BSI- und CSN-Angebote weiter verbessern. Die Umfrageergebnisse werden im dritten Forum des Cyber-Sicherheitsnetzwerks präsentiert.

15. "Update verfügbar" #36: Gesichtserkennung, Fingerabdruck und Co. – Die Welt der Biometrie erklärt

In der 36. Folge des BSI-Podcasts "Update verfügbar" dreht sich alles ums Thema Biometrie. Dazu haben Ute Lange und Michael Münz mit dem BSI-Experten Ralph Breithaupt die wichtigsten Fragen aus der Welt der Biometrie geklärt und verraten, wie biometrische Daten in mobilen Endgeräten bestmöglich geschützt und eingesetzt werden können.

17. So schützen Sie sich vor Quishing

Quishing ist die Zusammensetzung aus QR und Phishing. Hierbei werden die Empfänger dazu aufgefordert, einen QR-Code zu scannen. Die Vorwände sind meist ähnlich, wie beim Phishing und hinter dem QR-Code verbirgt sich dann zum Beispiel ein Link auf eine Fake-Website, wie wir ihn vom Phishing kennen – nur eben anders verpackt. Eine weitere Behauptung ist auch oft ein Dokument oder eine Rechnung, die mithilfe des QR-Codes leicht heruntergeladen werden kann. Dahinter verbirgt sich jedoch ein mit Schadsoftware verseuchtes Dokument.
Da sich der Link erst nach dem Scannen des QR-Codes ergibt, wird der Link von automatischen Mail-Scannern evtl. nicht erkannt. In der Folge wird eine betrügerische Mail wahrscheinlich eher zugestellt und nicht in den Spam-Ordner verschoben.
Da es keinen Unterschied außer der "Verpackung" des Links als QR-Code zu Phishing gibt, gelten die entsprechenden Verhaltensweisen zum Schutz vor Phishing auch gegen Quishing - also gesundes Misstrauen, Datensparsamkeit, keine Links oder Anhänge von unbekannten Absendern öffnen bzw. die QR-Codes nicht einscannen, regelmäßig Updates machen und, wenn möglich, die Zwei-Faktor-Authentisierung einrichten.

Übrigens...

Der Bericht zur Lage der IT-Sicherheit in Deutschland listet spannende Zahlen auf, zum Beispiel diese: Zwei Drittel aller Spam-Mails sind nicht nur lästig, sondern waren echte Angriffsversuche mit Ransomware oder Betrugsmaschen. Und sogar 84 Prozent aller betrügerischen Mails waren darauf ausgelegt, Authentisierungsdaten für Banken und Sparkassen-Zugänge zu erbeuten.
Von solchen Versuchen sind nicht nur Privatleute betroffen; das BSI fängt Tag für Tag im Durchschnitt auch 750 Mails in deutschen Regierungsnetzen ab, die nicht nur materielle Schäden verursachen können, sondern auch die Sicherheit Deutschlands bedrohen.

1. BSI-Präsidentin möchte die "Cybernation Deutschland" bauen

Die Präsidentin des BSI, Claudia Plattner, hat ihre Vision einer "Cybernation Deutschland" vorgestellt, um so die Cybersicherheit im Land zu stärken. Sie betonte vor kurzem auf der Sicherheitsmesse it-sa in Nürnberg, dass Deutschland seine Cyberresilienz erhöhen müsse. Dies erfordere eine enge Zusammenarbeit aller Akteure in Bund und den Ländern sowie die effiziente Nutzung von Cybersicherheits-Know-how. Das BSI soll dazu beitragen, ein "lebendiges Cyber-Ökosystem in Deutschland aufzubauen".

2. BSI und Land Sachsen-Anhalt vertiefen Kooperation zur Stärkung der Cybersicherheit

Das BSI und das Land Sachsen-Anhalt haben eine Kooperationsvereinbarung zur Intensivierung ihrer Zusammenarbeit in neun Kooperationsfeldern unterzeichnet. Die Vereinbarung zielt darauf ab, die Informationssicherheit zu stärken, den Austausch von Cybersicherheitsinformationen zu fördern und gemeinsame Sensibilisierungsmaßnahmen sowie gegenseitige Hospitationen durchzuführen. Dieser Schritt unterstreicht die Bedeutung der länderübergreifenden Zusammenarbeit angesichts der zunehmenden Cyberbedrohungen.

3. Hackerwettbewerb der ESA fördert Cybersicherheit für Raumfahrtmissionen

Die Europäische Raumfahrtbehörde (ESA) hat einen Hackerwettbewerb veranstaltet, bei dem 40 Studentinnen und Studenten Cyberangriffe auf kleine Roboterfahrzeuge, so genannte "Rover" simulierten. Der Wettbewerb soll die Bedeutung der Cybersicherheit für Raumfahrtmissionen hervorheben und junge Talente in diesem Bereich fördern. Die Teams mussten ihre Rover vor Angriffen schützen und gleichzeitig Fahrzeuge gegnerischer Teams angreifen.

4. BSI veröffentlicht Checklisten für Kommunen

Das BSI hat Checklisten für Kommunen veröffentlicht, um ihnen den Einstieg in den IT-Grundschutz zu erleichtern. Mit diesen Checklisten können Gemeinden einfache Prüffragen und Hilfsmittel nutzen, um grundlegende Anforderungen der Informationssicherheit umzusetzen. Ziel ist es, Kommunen bei der Einführung anerkannter Informationssicherheitsstandards zu unterstützen und ein Schutzniveau aufzubauen, das später erweitert werden kann. Dies soll dazu beitragen, Cyberangriffe zu verhindern und in ihren Auswirkungen zu minimieren.

5. Passkeys nun bei Amazon verfügbar

Ein Passkey ist ein digitaler Berechtigungsnachweis, der als Authentifizierungsmethode für eine Website oder Anwendung verwendet wird. Amazon betont aber, dass die Zwei-Faktor-Authentifizierung auch dann erforderlich ist, wenn Passkeys verwendet werden, obwohl sie eigentlich als Alternative zu herkömmlichen Authentisierungsmethoden gedacht sind. Nutzerinnen und Nutzer können Passkeys nun in ihren Amazon-Konten aktivieren und auf Cloud-Service-Konten speichern.

Kurz notiert

Hackerinnen und Hacker haben Webseiten mehrerer deutscher Städte lahmgelegt, darunter Köln, Dortmund, Frankfurt und Nürnberg. Die Datenverzeichnisse der Philosophischen Fakultät der Universität Düsseldorf waren mindestens drei Jahre lang ungeschützt zugänglich; Hinweise auf Datendiebstahl liegen aber nicht vor.

6. Ransomware-Angriffe auf ungepatchte WS_FTP-Server

Der Hersteller Progress hat Sicherheitslücken in seinem WS_FTP-Server geschlossen, von denen einige als kritisch eingestuft waren. Bereits vor der Veröffentlichung der Updates haben Angreifende offenbar versucht, die Schwachstellen mit Ransomware-Angriffen auszunutzen. Das IT-Sicherheitsunternehmen Sophos jedenfalls warnt, dass Ransomware-Gruppen speziell diese Schwachstellen ins Visier nehmen. Die schon erfolgten, aber letztlich erfolglosen Angriffe ordnet Sophos der "Reichsadler Cybercrime Group" zu, einer kriminellen Vereinigung, die darüber versucht, Bitcoins zu erpressen. Heise Online berichtet über die Lücken und rät IT-Verantwortlichen, die verfügbaren Updates für den WS_FTP-Server so schnell wie möglich einzuspielen.

7. Sicherheitsupdate für WordPress verfügbar

Die neueste WordPress-Version 6.3.2 enthält Sicherheitsupdates, die sieben mittelschwere Schwachstellen beheben. Zusätzlich sollten Administratorinnen und Administratoren das tagDiv-Composer-Plug-in und das Newspaper Theme aktualisieren, um ihre Webseiten vor möglichen Attacken zu schützen.

8. CYBERSNACS # Folge 22: let's talk KI: wie moralisch ist der Algorithmus?

Das Thema KI trendet. Seit Chat GPT ist es Teil der gesellschaftlichen Debatte und verändert unsere Lebenswelt. Deswegen widmet sich das Team des Podcast der Allianz für Cyber-Sicherheit "CYBERSNACS" in den aktuellen vier Folgen vertieft dem Thema KI. In der zweiten Folge der Reihe beschäftigen sich Salsabil Hamadache und Agnieszka Pawlowska mit Entscheidungsprozessen: Künstliche Intelligenz unterstützt bei Auswahlverfahren in Top-Unis, soll Ärztinnen und Ärzte in der Diagnostik unterstützen und prognostiziert Aktienverläufe. Viele vertrauen auf die KI, da sie als objektiv und reliabel eingeschätzt wird. Zu Gast ist Prof. Matthias Uhl (Technische Hochschule Ingolstadt). Er spricht darüber, welche Gefahren lauern, wenn wir uns übermäßig auf die KI als ethischen Ratgeber verlassen. Vor allem, weil die KI genau die diskriminierenden Strukturen erlernt, die sie bei uns Menschen beobachtet.

9. Wie funktionieren Blockchains?

Vielleicht haben Sie es schon einmal gehört: Kryptowährungen basieren auf so genannten Blockchains. Diese Blockchains bestehen aus einzelnen Datensätzen, die wie auf einer Kette (engl. Chain) aufgereiht gespeichert werden. So entsteht eine chronologisch geordnete Kette aus Datensätzen, aus denen einzelne Glieder nicht entnommen werden können. Die Daten in der Kette werden nicht zentral, sondern in zahlreichen Datenkopien gespeichert. Das verhindert, dass einzelne Kettenglieder verändert werden können. Für Kryptowährungen heißt das: Die Historie der in der Blockchain dokumentierten Zahlungsvorgänge wird auf vielen Rechnern abgespeichert. Banken als unabhängige Instanz sind in dieser dezentralen Infrastruktur nicht mehr nötig. Aufgrund ihrer Struktur gelten Blockchains bislang als manipulationssicher.