Security-Infos

Laut BSI ist die Bedrohungslage extrem kritisch.Die kritische Schwachstelle Log4Shell in der weit verbreiteten Java-Bibliothek Log4j führt nach Einschätzung des BSI zu einer extrem kritischen Bedrohungslage. Die Bibliothek Log4j stellt zum Beispiel Funktionalitäten zur Protokollierung von Programmaktivitäten zur Verfügung. Diese Protokolle dienen oft der Fehlersuche und sind deshalb in Software üblich. Das BSI stuft die Sicherheitslücke Log4j in der höchsten Warnstufe Rot ein. Der Grund für die Warnung: Die Schwachstelle betrifft sehr viele Anwendungen, lässt sich leicht ausnutzen und hat möglicherweise schwere Folgen.

Wichtig: Sofern die Hersteller Ihrer IT, Ihrer Betriebssysteme oder Ihrer installierten Programme Updates zur Verfügung stellen, sollten Sie diese umgehend installieren.

Aktuelle Liste mit möglichen betroffenen Anwendungen.

Was Verbraucherinnen und Verbraucher tun können

Der Anbieter von Internet-Routern AVM („FritzBox“) warnt vor Phishing-Mails, die sich als Push-Nachrichten der FritzBox selbst tarnen und angeblich eine Anrufbeantworternachricht als Anhang haben. Tatsächlich handelt es sich bei der angehängten Datei um Schadsoftware. AVM rät, die Anhänge und Links auf keinen Fall zu öffnen.

Weitere Informationen zu den Phishing-Mails: https://avm.de/service/aktuelle-sicherheitshinweise/

Beim US-amerikanischen WordPress-Hoster GoDaddy sind die Daten von 1,2 Millionen Kundinnen und Kunden gestohlen worden, berichtet ZDNet. Betroffen sind auch Nutzerinnen und Nutzer aus Deutschland, die über WordPress ihre Webseiten verwalten. Der Angriff erfolgte bereits Anfang November, wurde aber erst zwei Wochen später entdeckt. Aufgrund der gestohlenen E-Mail-Adressen warnt das Unternehmen laut ZDNet vor einem erhöhten Risiko für Phishing-Angriffe.

Zur Meldung von ZDNet: https://www.zdnet.de/88397993/ueber-eine-million-wordpress-websites-angegriffen/

Mit sogenannten DDoS-Angriffen haben Hackerinnen und Hacker vor wenigen Tagen versucht, diverse Anbieter von E-Mail-Services zu erpressen, darunter Posteo, mailbox.org, Runbox, Fastmail und Thexyz. Bei DDoS-Attacken werden so viele Anfragen an Server geschickt, dass sie unter der Last zusammenbrechen. Die Angreiferinnen und Angreifer einer Gruppe namens "Cursed Patriarch" forderten laut Heise Online die Anbieter auf, ihnen 0,06 Bitcoin (etwa 3.200 Euro) an Lösegeld zu zahlen. Mindestens eines der betroffenen Unternehmen, Posteo, hat die Zahlung mit dem Hinweis abgelehnt, dass Unternehmen sonst noch attraktiver für weitere Angriffe würden.

Heise Online über die Angriffe auf E-Mail-Provider: https://www.heise.de/news/DDoS-Attacken-Angreifer-fordern-Bitcoins-von-verschiedenen-E-Mail-Anbietern-6229016.html

Grafik Email by Nick Youngson CC BY-SA 3.0 Alpha Stock Images