Thema: BSI diverses ...

[SiLæncer]

Das Problem mit dem Zwang zum wahrscheinlich abhörbaren Verschlüsselungsverfahren RC4 weitet sich aus. Auch diverse Banken erlauben keine sichere Verschlüsselung und das österreichische Online-Finanzamt hat soeben erst in aller Eile nachgebessert. Auch das BSI will seine Server jetzt zügig umstellen.

heise Security berichtete darüber, dass das Portal der Bundesverwaltung bund.de und insbesondere das BSI Verschlüsselung ausschließlich mit dem unsicheren Verschlüsselungsverfahren erfordern. Dabei schreibt die BSI-Richtlinie zum Einsatz von TLS zwingend vor, dass auch AES unterstützt werden muss. Im Gefolge der Nachricht erreichten uns zahlreiche Hinweise von Lesern, dass etliche Banken, darunter die Volksbanken Raiffeisenbanken, eine ähnlich unsichere Konfiguration mit RC4 und ohne Forward Secrecy erzwingen. Das mag daran liegen, dass deren IT-Dienstleister, die Fiducia, bei den betreuten Seiten voll und ausschließlich auf das geknackte RC4 setzt. Auch die Comdirect gestattet AES-Verschlüsselung nur in Kombination mit TLS 1.1/1.2, das allerdings nicht alle Browser beherrschen; Forward Secrecy bietet die Bank mit keinem Browser.

Der ganze Artikel

Quelle : www.heise.de

[Hans Vader]

Im Firefox - Browser kann man die Benutzung der RC4 - Verfahren bequem verbieten:

about:config in der Adresszeile aufrufen.
Nach RC4 suchen und "Wert" nach false umschalten.

Das war es  ....

[SiLæncer]

Internetnutzer sollten auf den Webseiten des BSI dringend prüfen, ob ihre E-Mail-Adressen und dazugehörige Passwörter von Botnetzen abgegriffen wurden. Betroffen sind mehrere Millionen E-Mail-Adressen.

Dem Bundesamt für Sicherheit in der Informationstechnik wurden von Forschern und Strafverfolgern Daten übergeben, die auf millionenfachen Identitätsdiebstahl hinweisen. Insgesamt sollen 16 Millionen digitale Identitäten betroffen sein. Nutzer können auf einer vom BSI eingerichteten Webseite überprüfen, ob sie betroffen sind.

Auf der Website des BSI können Internetnutzer ihre E-Mail-Adresse eingeben und erhalten daraufhin einen Prüfcode. Bekommen sie daraufhin eine E-Mail an die angegebene Adresse mit entsprechendem Prüfcode im Betreff, bedeutet das, dass Botnetze Daten zu dieser E-Mail-Adresse gesammelt haben. In der Mail des BSI werden den Betroffenen Tipps gegeben, wie sie ihren Computer reinigen und Zugangsdaten unter Umständen besser gestalten und sichern können. Ist die eingegebene E-Mail-Adresse nicht betroffen, so erhält der Nutzer keine Benachrichtigung.

Der ganze Artikel

Quelle : www.heise.de

[Jürgen]

Kleiner Hinweis zur bei heise erwähnten Server-Überlastung:

Kommt es nach der Eingabe der eMail-Adresse zu einer Server-Fehlermeldung, bevor der jeweilige Prüfcode angezeigt wird, sollte man einfach die Seite aktualisieren (z.B. per F5) und die eventuelle Nachfrage des Browsers zur erneuten Übertragung der Eingaben bestätigen. Ohne den Prüfcode wäre nämlich die ganze Aktion sinnlos, und beim zweiten Versuch klappt's erfahrungsgemäß doch.

Allerdings sollte sich jeder Nutzer zunächst seine eigenen Gedanken machen, ob er eventuell mehrere eMail-Adressen innerhalb einer Sitzung eingeben möchte, die er sonst aus Sicherheitsgründen streng getrennt handhabt.
Ich selbst mag nicht wirklich dazu raten, denn weder dem Bund noch seinen Organen schenke ich in dieser Zeit allzu großes Vertrauen.
Immerhin haben die Bundesregierungen regelmäßig Kenntnis von den größten Spionageaktionen der "Verbündeten" gehabt und diese teils auch erlaubt oder gar aktiv befördert.
Und Datenschutzbeauftragte waren oder gaben sich ahnungslos...

So habe ich lediglich eine einzige meiner Adressen prüfen lassen, die ohnehin aufgrund massiven Spam-Befalls nicht mehr genutzt und demnächst ganz abgestellt wird.
Gesammelte Adressen gebe ich auch so nicht preis!

Jürgen

[SiLæncer]

Der millionenfache Diebstahl von E-Mail/Passwort-Kombinationen war dem BSI bereits seit Dezember bekannt. Das Amt habe aber erst ein Prüfverfahren aufsetzen wollen, das dem Ansturm gerecht wird, sagte BSI-Präsident Hange. Das hat aber nicht ganz geklappt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wusste bereits seit Dezember von dem millionenfachen Diebstahl von E-Mail/Passwort-Kombinationen. Das hat BSI-Präsident Michael Hange dem Bayerischen Rundfunk bestätigt. "Die Vorbereitungen, ein Verfahren aufzusetzen, dass datenschutzgerecht ist und einer derart großen Zahl von Anfragen gewachsen ist, bedurfte einer Vorbereitungszeit", sagte er. Trotzdem ist die Seite, auf der Nutzer prüfen können, ob ihre Mailadresse betroffen ist, weiterhin nur sporadisch zu erreichen.

Der ganze Artikel

Quelle : www.heise.de

[Jürgen]

Vorhin in der Tagesschau wurde schon von 14 Millionen Anfragen und 900 000 Treffern berichtet.

Es steht nur zu hoffen, dass die so entstehende Sammlung von gültigen bzw. aktiven Adressen nicht von der NSA oder ähnlichen charakterlich defizitären Elementen samt IP-Adressen abgefischt wird.
Immerhin ist "unsere" Bundes-Angie gegen solche Handlungen, die nicht direkt sie selbst betreffen, noch nicht vernehmbar vorgegangen.
Und einen zweiten Snowden gibt's wohl nicht... 

Jürgen

[SiLæncer]

Das BSI beschreitet neue Wege und stellt eine Webseite bereit, die verrät, ob man Opfer von Identitätsdiebstahl geworden ist. Dabei zeigt sich vor allem, dass es noch viel Optimierungspotenzial gibt.

Das Bundesamt für Sicherheit in der Informationstechnik sitzt also auf einem Berg geklauter Zugangsdaten und lässt uns alle daran teilhaben – 16 Millionen "digitale Identitäten" sind betroffen. Freilich kann das BSI den Identitätsklau nicht rückgängig machen, aber immerhin verrrät man auf Anfrage, ob sich eine bestimmte unter dem sichergestellten Diebesgut befindet. Auch wenn Bundesinnenminister Thomas de Maizièrea das für eine "vorzügliche Aktion" hält, bleibt fragwürdig, ob das BSI damit sich und den Opfern einen Gefallen getan hat.

Während sich die Nachricht von dem millionenfachen Datenklau über die Medien wie ein Lauffeuer verbreitete, zeigte sich, dass das BSI das öffentliche Interesse – und die daraus resultierenden Anforderungen an die Infrastruktur – hoffnungslos unterschätzt hatte. Wer, aufgescheucht durch Funk und Fernsehen, die eigens eingerichtete Prüfseite des BSI aufrief, wurde oft nicht bedient, da die Server unter der Last der Anfragen zusammenbrachen.

Wer sich dann schließlich doch durchgekämpft hat, muss einwilligen, dass seine bei der Prüfung anfallenden personenbezogenen Daten "erhoben, verarbeitet und genutzt werden dürfen" – auf den Datenklau folgt die Datenspende. Auch danach ist noch kein Entwarnung in Sicht. Entwarnung stand so nämlich gar nicht im Konzept des BSI. Rückmeldung bekommt nur, wer betroffen ist -- und das per Mail.

Der ganze Artikel

Quelle : www.heise.de

[dada]

In diesem Zusammenhang bekam ich heute eine Email:
"Dear Customer,


Your credit card has been successfully processed.

FLIGHT NUMBER DT7803832015
ELECTRONIC 3763996351
DATE & TIME / JAN 26, 2014, 05:38 AM
ARRIVING / Washington
TOTAL PRICE / 479.18 USD

Please download and print your ticket from the following URL :
htttps://www.delta.com/flifo/servlet/DeltaDLTicket?airline_code=DL&flight_number=DT7803832015&order_date=01/26/2014&request=main

For more information regarding your order, contact us by visiting :
htttps://www.delta.com/content/www/en_US/support/talk-to-us.html


Thank you
Delta Airlines."

Meine Kreditkarte wurde bisher nicht belastet, den Flug habe ich nie gebucht, den Link für das Ticket habe ich natürlich nicht geklickt, bei Delta habe ich nach meiner Buchung gesucht, aber da war natürlich nichts. Washington wäre schon passend, weil ich da oft gelandet bin, aber ein Abflugort wurde in der Mail nicht genannt. Meine Nachfrage bei BSI war heute negativ. Würde mich wirklich interessieren, wohin der obere Link führt...
Sachen gibt's

hab schnell noch die links inaktiviert

[SiLæncer]

Nicht jede E-Mail-Warnung des Bundesamts für Sicherheit in der Informationstechnik lässt auf einen geknackten Online-Zugang schließen. Laut BSI könnte der Datenberg "fiktive" Adressen enthalten, und die sogar mehrfach.

Die Anfang der Woche in den Blickpunkt der Öffentlichkeit gerückte Datensammlung des BSI enthält offenbar eine Menge Datenmüll. Die behördliche E-Mail mit der entsprechenden Warnung ist bei diversen von der iX-Redaktion eingerichteten Freemailer-Adressen eingegangen, die lediglich dem Einsammeln von Spam dienen, darunter bei web.de und freenet.

Nicht geschützt

Von einem Identitätsdiebstahl kann in diesen Fällen keine Rede sein, denn die iX setzt die Spamfallen rein passiv ein und niemals als Benutzernamen für Online-Dienste. Bereits nach einer Handvoll Stichproben lagen mehrere positive Ergebnisse vor. Außerdem trafen etliche E-Mails ein, die offenbar von unbekannten Dritten auf der Test-Webseite des BSI ausgelöst worden waren. Manche Accounts erhielten sogar mehrere E-Mails innerhalb weniger Minuten. Wie ein weiterer Test mit dem Kommandozeilen-Werkzeug wget ergab, ist die BSI-Webseite zudem offenbar nicht gegen automatisierte Abfragen geschützt.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Wie jetzt bekannt wurde, wusste das Bundesamt für Sicherheit in der Informationstechnik seit August vom Datenklau durch Botnetze. Das BSI hatte die Öffentlichkeit erst Mitte Januar informiert. Die grüne Opposition spricht von einer "skandalösen Wendung".

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wusste seit August vom Identitätsdiebstahl durch Botnetze, war sich aber zuerst nicht über die Ausmaße des Fundes im Klaren und hatte die Öffentlichkeit erst im Januar informiert. Das geht aus einer Anfrage des grünen Bundestagsabgeordneten Konstantin von Notz hervor. Das Innenministerium bestätigt in der Antwort auf die Anfrage, die zuständige Staatsanwaltschaft und das BKA habe einen Probedatensatz mit Adressen aus dem Bundestag und der Bundesverwaltung an das BSI zur Prüfung übermittelt. Die Staatsanwaltschaft war auf die Daten im August zufällig im Rahmen eines Strafverfahrens gestoßen.

Nach Prüfung der persönlichen Daten der Betroffenen stellte das BSI fest, dass eine größere Datenmenge betroffen sein musste. Daraufhin führte die Behörde im September weitere Gespräche mit den Ermittlungsbehörden und erhielt schließlich am 19. Dezember die Erlaubnis, die Betroffenen zu informieren. Wie und zu welchem Zeitpunkt das BSI die Öffentlichkeit informiert hatte, ist laut Innenministerium der Tatsache geschuldet, dass die Daten aus einem laufenden Ermittlungsverfahren stammen. Auch musste das BSI während des Prozesses Stillschweigen bewahren, um die Ermittlungen nicht zu gefährden.

Wie heise online berichtete, mussten die zu veröffentlichenden Daten ebenfalls aus Datenschutzgründen genau geprüft werden. Der Prüfungsprozess musste laut Innenministerium sorgfältig mit den Ermittlungsbehörden abgestimmt werden. Auch habe man die Webseite des BSI-Sicherheitstests gegen Hackerangriffe abhärten müssen. Aus der Kombination all dieser Faktoren ergibt sich laut Innenministerium die viermonatige Verzögerung.

Konstantin von Notz spricht angesichts der neuen Informationen von einer "skandalösen Wendung im 16-millionenfachen Identitätsdiebstahl von E-Mailadressen" und betont: "Statt einer umgehenden Warnung der Betroffenen zur Ermöglichung von Selbstschutzmaßnahmen passierte schlicht … nichts. Dies ist damit der größte IT-Sicherheitsskandal bundesdeutscher Stellen seit dem Bekanntwerden der Snowden-Papiere." Es könne nicht sein, dass in der Öffentlichkeit der Eindruck entstehe, dass ausgerechnet diejenigen staatlichen Stellen, die zur Gewährleistung der Sicherheit der Bürgerinnen und Bürger tätig sind, gemeinschaftlich und gezielt daran arbeiteten, die Aufklärung des Herganges zum Zweck der Verhinderung eines erneuten vergleichbaren Zwischenfalles, zu verhindern.

Quelle : www.heise.de

[SiLæncer]

Das BSI verwendet für verschiedene Mail-Dienste wie das Bürger-CERT eine S/MIME-Signatur, die Mail-Clients und Webmailer als unsicher markieren.

Das Bundesamt für Sicherheit in der Informationstechn9ik betreibt mit dem Bürger-CERT einen Informationsdienst, der Abonnenten per E-Mail über Entwicklungen im Bereich Sicherheit und akute Sicherheitsprobleme auf dem Laufenden hält. Auf Wunsch versieht das BSI die Mails mit einer S/MIME-Signatur. Sie soll Empfänger davor schützen, auf gefälschte Warnungen hereinzufallen. Leider bemängeln Mail-Clients und Webmailer die vom BSI verwendete Signatur als ungültig, da sie das Zertifikat nicht überprüfen können.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Das Bundesamt für Sicherheit in der Informationstechnik hat weitere Details darüber verlauten lassen, wie es betroffene Nutzer im Fall der 18 Millionen entwendeten Online-Konten informieren will.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) arbeitet nach eigenen Angaben "derzeit mit Hochdruck" daran, die Besitzer der E-Mail-Adressen zu informieren, deren Daten die Staatsanwaltschaft Verden im Zuge von Ermittlungen erhalten hat. Von den 18 Millionen E-Mail-Adressen sollen mehrere Millionen deutschen Nutzern gehören. Das BSI will Betroffene jetzt in Zusammenarbeit mit den "großen E-Mail-Providern" direkt kontaktieren.

Ungefähr 30 Prozent der deutschen E-Mail-Adressen seien allerdings bei anderen Providern oder von den Nutzern selbst gehostet. Für diese Betroffenen will das BSI einen Warndienst einrichten. Wie genau die Behörde vorgehen will, soll am Montag bekanntgegeben werden. Bis dahin verweist das BSI auf grundlegende Regeln zur Vermeidung von Identitätsdiebstählen. Wer sein E-Mail-Passwort für viele Seiten im Netz gleichzeitig verwendet, sollte den Vorfall eventuell schon mal zum Anlass nehmen, diese Passwörter zu ändern.

Momentan ist nicht bekannt, woher der Datensatz mit E-Mail-Adressen und Passwörtern stammt, den das BSI von den Verdener Staatsanwälten erhalten hat. Es wird vermutet, dass ein Zusammenhang zu dem Fall von massenhaftem Identitätsdiebstahl besteht, der im Januar bekannt wurde. Das BSI war bei diesem ersten Fall für seine Informationspolitik gegenüber den Betroffenen in die Kritik geraten.

Quelle : www.heise.de

[SiLæncer]

Das BSI geht nach dem Fund von 18 Millionen Mail-Adressen und Passwörtern einen Schritt weiter als beim vorigen Mal: Die Mail-Provider sollen Ihre Kunden über das Sicherheitsproblem informieren – das geschieht offenbar per E-Mail an den gehackten Account.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt die Daten der von dem millionenfachen Identitätsdiebstahl betroffenen Nutzer an die jeweiligen Provider weiter. Diese sollen ihre Kunden dann über das Sicherheitsproblem informieren. Dies gab das BSI am heutigen Montag bekannt. Diese Idee hat allerdings einen Haken: Die Nutzer werden per Mail informiert – an ihren potenziell gehackten Account.

Insgesamt 21 Millionen Datensätze, bestehend aus jeweils einer E-Mail-Adresse und einem Passwort, hat die Staatsanwaltschaft Verden (Aller) dem BSI überlassen. Nach "technischer Analyse und Bereinigung" verblieben noch 18 Millionen Datensätze, drei Millionen davon lassen sich deutschen Mail-Providern zuordnen. Bei den Providern handelt es sich um Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de. Die Deutsche Telekom erklärte, dass sich 87.000 T-Online-Kunden unter den Opfern befinden, bei Vodafone sind es 80.000 Betroffene.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Seit dem heutigen Nachmittag werden vom sogenannten Datendiebstahl betroffene Kunden von GMX und Web.de aufgefordert, ihr Mail-Passwort zu ändern. Bis dahin sind sie für den Versand von E-Mails gesperrt.

Die United-Internet-Töchter GMX und Web.de haben offenbar heute begonnen, solche Konten zu sperren, die sich auf der vergangene Woche aufgetauchten Liste von 18 Millionen E-Mail-Adressen befinden. Adressen, die hier auftauchen, haben die beiden Provider für den Mailversand gesperrt, insbesondere auch für automatisierte Weiterleitungen an andere Adressen. Gerade bei Web.de mit einem knapp bemessenen Speicherplatz für den Posteingang betrifft das zahlreiche Kunden. Betroffene, die sich über die Web-Oberfläche von GMX oder Web.de einloggen, werden dort aufgefordert, ihr Passwort zu ändern und ein Captcha einzugeben.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

18 Millionen Zugangsdaten und drei Monate später. Auch im zweiten Anlauf sorgt der Passwort-Test des BSI vor allem für zwei Dinge: Verwirrung und Raum für Verbesserungen.

Als hätte ich es geahnt, lädt das BSI die Bürger der Bundesrepublik Deutschland erneut zum Passwort-Selbsttest. Okay, es ist nicht nur ein Monat vergangen, sondern drei. Man sollte meinen, dass diese Zeit ausreicht, um das viel kritisierte Verfahren zu verbessern. Und ja, tatsächlich hat sich etwas getan. Allerdings hat das BSI die Kritikpunkte nicht aus dem Weg geräumt, sondern neue geschaffen.

So hat sich das Bundesamt etwa dazu herabgelassen, die Mail-Adressen in einigen Fällen an die entsprechenden Provider durch zu reichen, damit diese ihre Kunden informieren können. Angeblich können so bereits 70 Prozent der Betroffenen informiert werden – allerdings nicht 70 Prozent von den 18 Millionen, sondern von drei Millionen, die eine Mail-Adresse bei den eindeutig aus Deutschland stammenden, kooperierenden Providern wie etwa der Deutschen Telekom, GMX oder Vodafone haben.

Der ganze Artikel

Quelle : www.heise.de