Moritz Tremmel

Nach einem Helene-Fischer-Konzert in Frankfurt wurden ihre Daten 83 Mal von Polizisten abgefragt. Nach stichprobenartigen Kontrollen wird klar: Hessens Polizeibeamte interessieren sich auch privat für ihre Mitbürger. Tausendfach.

In New York nutzt die Polizei eine Datenbank mit Bildern auch von Minderjährigen mit einer Gesichtserkennungs-Software. Der Einsatz ist umstritten. Andere Städte verbieten ihren Behörden die Technik generell.

Warnungen vor extrem gefährlichen Sicherheitslücken erreichen uns fast täglich. Doch häufig sind diese halb so wild oder existieren schlicht gar nicht. Wir erklären, wie wir damit umgehen.
Von Moritz Tremmel und Sebastian Grüner

Google-Mitarbeiter werten keine Sprachaufnahmen des Google Assistant mehr aus der EU aus. Dies erklärte das Unternehmen dem Hamburger Datenschutzbeauftragten im Rahmen eines Verwaltungsverfahrens. Das gilt allerdings nur vorübergehend.

Die größten Schwachstellen in technischen Systemen sind bis heute Menschen. Social Engineers machen sich ihre Sorglosigkeit zunutze - und finden auf sozialen Netzwerken alles, was sie für einen erfolgreichen Angriff brauchen.
Von Moritz Tremmel

Sicherheitsforschern ist es gelungen, Steuerungsbefehle an Überwachungskameras und Philips-Hue-Lampen zu schicken. Die Geräte übertragen Daten und Befehle standardmäßig auf eine unsichere Weise.

Mit Visa-Karten können kleinere Beträge bis zu einem Limit ohne PIN und Unterschrift bezahlt werden. Sicherheitsforscher konnten auch größere Beträge ohne Autorisierung abbuchen. Das soll sogar mit Visa-Karten im Smartphone-Wallet funktionieren.

Immer mehr Datenlecks werden dem Datenschutzbeauftragten Baden-Württembergs gemeldet. Bisher verhängte er in zehn Fällen Bußgelder. Besonders besorgt ist er über den unzureichenden Schutz von Arztpraxen.

Forscher der Universität Michigan haben das staatliche Internetüberwachungsprojekt in Kasachstan untersucht. Durch Scans entdeckten sie 37 überwachte Domains, die mit der TLS-Erweiterung SNI ausgefiltert werden.

Die US-Bank Capital One wurde durch einen "Konfigurationsfehler" bei einem Cloud-Anbieter gehackt. Sensible Daten von Millionen Bankkunden sind betroffen. Durch den Tipp eines Github-Nutzers konnte eine Verdächtige festgenommen werden.

Ein Modul für die Pentesting-Software Canvas kann die gefährliche Sicherheitslücke Bluekeep ausnutzen. Auch eine Schadsoftware scannt bereits nach verwundbaren Systemen.

Facebooks Werbedatenbank Ad Library soll Transparenz über Wahlwerbung und -beeinflussung schaffen. Sie ist aber so fehlerhaft, dass Forscher sie als "kaputt" bezeichnen. Zudem hat Facebook kurz vor der Europawahl etliche Anzeigen aus Frankreich entfernt.

Mit der Firmware Logitacker und einem USB-Funk-Stick für rund 10 Euro lassen sich kabellose Mäuse und Tastaturen von Logitech leicht hacken. Angreifer können mit der Software Schadcode per Funk eintippen lassen. Logitech wird nur ein Teil der Sicherheitslücken schließen.

Facebook stimmte der Strafe zu, wollte aber keine Schuld eingestehen. Selbst innerhalb der Handelsaufsicht FTC wird die Strafe als zu lasch kritisiert.

Verschlüsselung bedeute eine rechtsfreie Zone, die Kriminelle gerne nutzen, argumentiert der US-Justizminister. Deshalb brauche es dringend Hintertüren für die Strafverfolgungbehörden. Kritiker halten dagegen und warnen vor Missbrauch.

In den vergangenen Jahren wurden mehrere Industriegrößen wie Siemens, BASF und Henkel von der Hackergruppe Winnti attackiert. Sicherheitsforscher konnten die Angriffe aus Schadsoftware-Samples von Winnti herauslesen.

55 Händler hat die Deutsche Umwelthilfe (DUH) überprüft: Jeder zweite verstößt gegen die gesetzliche Verpflichtung zur Rücknahme von alten Elektrogeräten. Kontrollen gebe es keine, die DUH will die Verbraucherrechte zur Not mit Klagen durchsetzen.

50 Terabyte NSA-Daten wurden bei dem ehemaligen Geheimdienstmitarbeiter Harold T. Martin III 2016 entdeckt. Nun wurde er zu neun Jahren Gefängnis verurteilt. Ob ein Zusammenhang mit den Leaks von The Shadow Brokers besteht, konnte nicht endgültig geklärt werden.

Rund 7,5 TByte Daten konnten Hacker bei dem Dienstleister Sytech erbeuten. Darin enthalten sind geheime Forschungsarbeiten und Programme für den russischen Geheimdienst FSB. Unter anderem will dieser Tor-Nutzer deanonymisieren.

Sind seit Jahren nicht mehr geänderte, im Browser hinterlegte Zugangsdaten geleakt worden? Ab Firefox 70 soll der Browser dies mit Firefox Monitor und Have I been pwned überprüfen - und im Fall des Falles den Nutzer warnen.

Forscher haben mehr als 22.000 Pornowebseiten auf Trackingdienste untersucht - und dort auch Google und Facebook gefunden. Diese geben jedoch an, die Daten nicht zu verwenden.

Ein Fehler auf der Petitionsplattform WeAct von Campact ermöglichte den Zugriff auf die Daten der Unterstützer. Rund 1,8 Millionen Unterzeichner sind betroffen. Die Nichtregierungsorganisation hat die Hintergründe des Fehlers veröffentlicht.

Wer sich im Aktionszeitraum des Prime Day die Browser-Erweiterung Amazon Assistant installiert hat, erhält 10 Euro von Amazon. Doch die Software überwacht das Surf-Verhalten des Kunden.

Keine E-Mail, kein Internet, keine Patientendatenbank: Eine Ransomware hat das Netzwerk von etlichen Krankenhäusern und Altenpflegeeinrichtungen im Südwesten Deutschlands befallen. Unklar ist, ob ein Lösegeld gefordert wurde.

Duckduckgo erweitert seine Suchmaschine um einen Kartendienst. Hierzu wird auf Kartenmaterial von Apple zurückgegriffen, die IP-Adresse des Nutzers soll Apple allerdings nicht erhalten.

Der EU-Rat diskutiert die Ausweitung der Fluggastdatenspeicherung auf Bahn, Bus und Schiff. Datenschützer und Juristen kritisieren den Vorstoß. Die Datenspeicherung sei bereits in ihrer jetzigen Form unverhältnismäßig und führe effektiv zu weniger Sicherheit.

Facebooks geplante Digitalwährung Libra kommt in der Politik nicht gut an. Bei einer Anhörung vor dem US-Senat verteidigt Facebook-Manager David Marcus die Währung. Bundesregierung und Bundesbank wollen sie lieber verhindern.

Angreifer haben auf die Daten von rund 67.000 Vitrado-Nutzern zugreifen können. Diese sollten besser ihr Bankkonto im Auge behalten, rät die Freenet-Tochter.

Das Android-Berechtigungsmodell lässt sich mit Tricks umgehen. Eine Studie fand 1.325 Apps, die auch ohne eine Berechtigung an die entsprechenden Daten gelangen.

In fünf Wochen dürfen US-Bundesbehörden keine chinesischen Überwachungskameras mehr einsetzen - doch diese sind nur schwer zu identifizieren. Rund 60 Prozent der Kameras enthalten zudem Huawei-Chips.

Jeder 500. Sprachbefehl wird von Google-Mitarbeitern ausgewertet. Ein Leak aus Belgien zeigt, dass sich darunter auch viele ungewollt aufgenommene Gespräche und Telefonanrufe befinden - mit privaten und intimen Inhalten.

Mit einer neuen Methode können Daten von Air-Gapped-Computern, die nicht an das Internet angeschlossen sind, ausgeleitet werden. Dafür verwendet ein Sicherheitsforscher die LEDs einer Tastatur.

Nach mehreren Angriffen auf OpenPGP-Schlüssel auf Schlüsselservern zieht GnuPG die Reißleine und akzeptiert keine Signaturen mehr von diesen. Damit dürfte sich auch das Web of Trust erledigt haben.

Über das Krankenhausnetzwerk lassen sich Befehle an Anästhesie- und Beatmungsgeräte des Herstellers GE senden. Eine Sicherheitslücke ermöglicht unter anderem, Dosierung und Typ des Narkosemittels zu ändern.

Der Landesdatenschutzbeauftragte aus Hessen warnt vor Microsofts Cloud: Der Zugriff von Dritten könne nicht ausgeschlossen werden, daher dürften Schulen die Software Office 365 nicht einsetzen. Das ist aber nicht der einzige Grund.

Nutzer der Software Zoom können auf dem Mac ungefragt zu Videokonferenzen hinzugefügt werden - mitsamt Videostream. Selbst das Deinstallieren der Software schützt davor nicht.

Das Github-Konto von Canonical wurde zwischenzeitlich von Angreifern übernommen, diese hätten die dort gehostete Software verändern können. Ubuntus Infrastruktur soll nicht betroffen sein.

Mit der Datenschutzgrundverordnung können Datenschutzverstöße und Datenlecks teurer werden. Die Fluggesellschaft British Airways gibt sich überrascht und will Widerspruch gegen eine Strafzahlung einlegen.

Gleich mehrere Sicherheitslücken in kabellosen Tastaturen und Mäusen von Logitech ermöglichen nicht nur das Mitlesen der Eingaben, es kann auch Schadcode an den Rechner übermittelt werden. Logitech möchte nicht alle Lücken schließen.

Die Daten von Millionen Smart-Home-Geräten und ihren Eigentümern waren öffentlich über das Internet abrufbar. Mit den Zugangsdaten hätten Angreifer die Konten und Geräte übernehmen können. Auch Einbrecher hätten leichtes Spiel gehabt.

Keine Strafe von 250.000 Euro und trotzdem wieder online: Die einstweilige Verfügung gegen die Veröffentlichung des Glyphosat-Gutachtens wurde vom Kölner Landgericht kassiert - wegen Formfehlern. Frag den Staat will weiter klagen.

Die Betreiber von Plattformen im Darknet können laut einer Studie bereits nach geltendem Recht geahndet werden, wenn dort mit Illegalem gehandelt wird. Ein eigens dafür geschaffener Straftatbestand könne jedoch den Betrieb von Plattformen im Internet und Anonymisierungsdiensten gefährden.

Fast jeder Dritte nutzt laut einer Umfrage der KKH eine Gesundheitsapp oder einen Fitnesstracker. Deutlich mehr haben Bedenken beim Datenschutz. Die Krankenkasse KKH findet die Bedenken durchaus berechtigt.

Die russische Suchmaschine Yandex ist laut Reuters mit der westlichen Schadsoftware Regin angegriffen worden. Die Angreifer hatten es auf technische Informationen abgesehen.

Ein Prototyp eines Lasers kann Menschen anhand ihrer Herzsignatur erkennen. Die Technik soll akkurater als Gang- oder Gesichtserkennung sein.

Google möchte die Apps im Play Store automatisch optimieren - braucht dazu aber Zugriff auf die Signierschlüssel der App-Entwickler. Kritiker sehen darin ein Sicherheitsproblem.

Ein NSA-Mitarbeiter arbeitet an einer Sicherheitsfunktion für X86-Prozessoren in Coreboot. Das ist nicht unumstritten.

Heimliche Videoaufnahmen in Airbnb-Wohnungen sind verboten, dennoch entdecken Mieter in ihren Unterkünften immer wieder versteckte Überwachungskameras. Es kann sich also lohnen, gezielt nach solchen Kameras zu suchen. Wir erklären, wie man das am besten macht.
Von Moritz Tremmel

Persönlichkeitsänderung per Klick: Mit dem Mozilla-Experiment Track This können Nutzer Tracking-Dienste mit falschen Informationen füttern. Das klappt nicht nur im Firefox-Browser.

Die Subdomain eaplayinvite.ea.com des Spieleherstellers Electronic Arts ist von Sicherheitsfirmen übernommen worden. Über einen weiteren Angriff konnten die Firmen auch an Nutzerdaten gelangen.