Am Nutzen von Anti-Viren-Software scheiden sich die Geister. Für die Geheimdienste NSA und GCHQ stellten Virenscanner aber nicht nur ein Problem dar, sondern auch eine nützliche Datenquelle. Ein deutscher Anbieter könnte betroffen gewesen sein.
Die Linksfraktion veröffentlicht im Zusammenhang mit dem Bundestags-Hack eine Analyse von Malware, die auf ihren Servern gefunden wurde. Darin wird eine Verbindung zur russischen Organisation APT28 nahegelegt. Doch wirklich überzeugend sind die Belege dafür nicht.
Die wachsende Verbreitung von Owncloud hat das Bundesamt für Sicherheit in der Informationstechnik veranlasst, Vorschläge zur Absicherung für den privaten Cloudspeicher bereitzustellen.
Der frühere BND-Chef Uhrlau will von den unzulässigen NSA-Selektoren in seiner Amtszeit jahrelang nichts mehr erfahren haben. Was bei der Satellitenüberwachung in Bad Aibling passierte, interessierte die BND-Spitze offenbar nicht. Ein Versäumnis sieht Uhrlau darin nicht.
Im Bundestag muss keine Hardware ausgetauscht werden und die Spur nach Russland ist mehr als mager. Die an der Analyse beteiligten Spezialisten der Firma BFK halten viele Medienberichte über den Hackerangriff für "absurd übertrieben". Ein Protokoll aus dem IuK-Ausschuss des Bundestages gibt Aufschluss.
Deutschland gibt sich eines der weltweit ersten IT-Sicherheitsgesetze. Betreiber kritischer Infrastrukturen müssen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit vermeiden. Der IT-Mittelstand ist dagegen, die Provider freuen sich über die Änderungen.
Der Angriff auf die IT-Systeme des Bundestags hat offenbar nicht so große Folgen wie bislang befürchtet. Zwar sollen Teile des Systems neu aufgesetzt werden, jedoch ohne die Hardware auszutauschen. Über die Hacker gibt es erste Spekulationen.
Nur 15 Rechner sollen von dem Hacker-Angriff auf den Bundestag betroffen sein. Das berichtet der Unionsabgeordnete Thomas Jarzombek und beruft sich auf das BSI.
Der IT-Angriff auf die Rechner des Bundestags hat Parallelen zu einer ausländischen Geheimdienstattacke im Jahr 2014. Damals sollen es China oder die NSA gewesen sein.
IMHO Was könnte kritischer sein als die Infrastruktur der deutschen Volksvertretung? Der Hackerangriff auf den Bundestag zeigt: Das geplante IT-Sicherheitsgesetz muss auch für öffentliche Einrichtungen gefährliche Angriffe meldepflichtig machen.
Experten vermuten hinter dem aktuellen Angriff auf Rechner im Bundestag einen ausländischen Geheimdienst. Das gehe aus einer ersten Analyse der verwendeten Malware vor.
Der IT-Branchenverband Eco hält die geplante Vorratsdatenspeicherung für einen "Mittelstandskiller". Auf Provider könnten hohe Kosten zukommen, falls die Vorgaben technisch überhaupt umsetzbar seien.
Gegen immer neue Fälle von Identitätsdiebstahl soll ein Gesetz zur Datenhehlerei helfen. Kritiker befürchten jedoch, dass es investigativen Journalismus erschweren würde - und sogar zu einem Verbot von Leaking-Plattformen führen könnte.
Behörden tun es, Krankenhäuser oder Versicherungen tun es - aber die richtige Methode kennt keiner: Wie Akten so eingescannt werden, dass sie anschließend sicher noch gültig sind, regelt kein Gesetz. An der Unsicherheit ändern die jüngsten Richtlinien des BSI nur wenig.
Wie gefährlich ist es, mit beschreibbaren USB-Sticks und SD-Karten Fotos und Dateien ausdrucken zu lassen? Golem.de hat zusammen mit dem Sicherheitsunternehmen Kaspersky getestet, ob auch Windows-XP-Terminals ohne Virenscanner sicher sind.
Ohne Wissen des Kanzleramtes oder anderer Regierungsstellen plante der BND offenbar eine Geheimdienstoperation in Zusammenarbeit mit dem britischen GCHQ und der NSA. Dabei sollten weitere Rohdaten aus in Deutschland verlaufenden Leitungen gewonnen werden.
Wer soll welche Schwachstellen melden und an wen: Sachverständige haben im Bundestag über das neue IT-Sicherheitsgesetz diskutiert und viele Ungereimtheiten gefunden. Eins ist laut dem Chaos Computer Club aber sicher: Das BSI eignet sich als zentrale Meldestelle nicht.
Überdosis nicht mehr ausgeschlossen: Der Sicherheitsforscher Billy Rios kann eine in Krankenhäusern verwendete Infusionspumpe über das Intranet manipulieren.
Klaus Landefeld redet Klartext im NSA-Ausschuss. Der BND überwache seit 2009 den Frankfurter Internetknoten. Trotz schwerer Bedenken habe der DE-CIX die Anordnung akzeptiert.
In den USA gibt es Pläne, alle Webseiten von Bundesbehörden nur noch über HTTPS auszuliefern. Die Webseite des Weißen Hauses ist bereits ausschließlich verschlüsselt abrufbar.
Der EU-Rat hat sich darauf geeinigt, dass Behörden auch künftig keine IT-Sicherheitsvorfälle oder Datenschutzpannen melden müssen, private Anbieter hingegen schon. Das EU-Parlament muss dem Vorschlag noch zustimmen. Die Abgeordneten haben aber einen anderen Vorschlag.
Bundesforschungsministerin Wanka hat von Heartbleed noch nie etwas gehört. Dennoch macht sie sich für eine bessere Forschung zur IT-Sicherheit stark. Auch sehr praxisferne Ansätze wie die Quantenkommunikation sollen gefördert werden.
Ab April 2015 sollen De-Mail-Nutzer ihre E-Mails auch im Browser per PGP verschlüsseln können. Damit soll die Ende-zu-Ende-Verschlüsselung vereinfacht werden.
Update Die BSI-Kryptohandys sind bei den Abgeordneten des NSA-Ausschusses nicht sonderlich beliebt und werden kaum genutzt. Nach dem verplombten Transport eines Gerätes zum BSI erlebten die Behörden aber eine Überraschung.
Innerhalb weniger Wochen hat das Bundeskriminalamt ein weiteres Botnetz zerschlagen. Der verantwortliche Computerwurm Ramnit war bereits seit 2011 aktiv.
Auditieren, zertifizieren, normen: Das IT-Sicherheitsgesetz verpflichtet bestimmte IT-Firmen dazu, ihre Systeme zertifizieren zu lassen - nach dem Regelwerk ISO 27000. Dessen Übergangsfrist endet in diesem Jahr.
Die Bundesregierung will den Einbau von intelligenten Stromzählern neu regeln. Die geplante Verordnung sorgt für Verwirrung, was die Einbaupflichten für die unterschiedlichen Geräte betrifft. Golem.de beantwortet die wichtigsten Fragen zu den unterschiedlichen Systemen.
Update Die Bundesregierung hat sich viel Zeit mit ihrer Verordnung für die intelligenten Stromnetze gelassen. Die geplante Regelung wird Klein- und Durchschnittsverbraucher freuen. Die Verbraucherschützer sprechen dennoch von einer "Zwangsbeglückung" der Kunden.
Der Cyberangriff ist vorbei, doch wie groß ist der Schaden? Anders als bei Bränden oder Überschwemmungen können Unternehmen das nicht nach Schutzstandards ermitteln. Das wollen die Versicherer jetzt ändern - belastbare Zahlen fehlen ihnen aber noch.
Das kürzlich recht eindeutig dem US-Geheimdienst NSA zugeordnete Schnüffelprogramm Regin blieb einem Bericht des Spiegel zufolge mindestens zwei Jahre lang unentdeckt. So lange soll es den Rechner einer Kanzleramtsmitarbeiterin ausspioniert haben.
Update Das BSI muss die vom BND eingesetzten Überwachungsgeräte zertifizieren. Die Kontrolle erfolgt jedoch sehr oberflächlich, da die Behörde ohnehin keine Möglichkeiten hat, Änderungen zu überprüfen.
Die Bundesregierung will Deutschland zum "Verschlüsselungs-Standort Nr. 1 auf der Welt" machen. Weil nun gleichzeitig Hintertüren für die Programme gefordert werden, kritisieren die Grünen und die IT-Wirtschaft die Koalition scharf.
Kehren die Crypto Wars der Neunzigerjahre zurück? Weltweit fordern Regierungen das Verbot von Verschlüsselungsprogrammen oder die Herausgabe von Schlüsseln, um den Terrorismus zu bekämpfen.
Der BSI-Chef will Zwangstrennungen vom Internet von Rechnern, auf denen Trojaner und andere Malware laufen. Er räumt zugleich ein, dass mit konventionellen Sicherheitsmaßnahmen nur 80 Prozent aller Angriffe unterbunden werden könnten.
In der NDR-Dokumentation "Schlachtfeld Internet" hat Edward Snowden ein bisher unbekanntes Programm der NSA beschrieben. Damit sollen DDoS-Angriffe auf die USA automatisch beantwortet werden. Treten dabei Fehler auf, könnte das Snowden zufolge Menschenleben kosten.
Mehr als die Hälfte der Rechner eines vom BKA zerschlagenen Botnetzes sollen in Deutschland gestanden haben. In Zusammenarbeit mit dem BSI, dem Fraunhofer Institut und Antivirenherstellern wurden die betroffenen Nutzer informiert.
Update Die Spionagewaffe Regin hat es in die Spitze der Bundesregierung geschafft. Eine Mitarbeiterin soll eine grundlegende Sicherheitsregel missachtet haben.
Das BSI registriert immer raffiniertere Angriffe auf IT-Systeme. Betroffen waren zuletzt auch Großkonzerne und Produktionsanlagen. Hochrangige Mitarbeiter fielen auf Phishing-Mails herein.
Update Das IT-Sicherheitsgesetz soll eigentlich die kritische Infrastruktur schützen. Neue Vorschriften gibt es aber auch für alle kommerziellen Betreiber von Internetseiten wie Webshops und Medien. Noch bleiben viele Fragen offen.
Die Regierung hat ihren Entwurf für ein IT-Sicherheitsgesetz noch einmal deutlich überarbeitet. Die "Vorratsdatenspeicherung light" ist raus. Mehr als 400 Stellen in den Behörden könnten entstehen, um die umfangreichen Prüfpflichten zu erfüllen.
Update Die heftige Kritik an der "Vorratsdatenspeicherung durch die Hintertür" hat Wirkung gezeigt. Nutzerdaten sollen nun wohl doch nicht zum Schutz der IT-Sicherheit gespeichert werden dürfen.
Blackberry legt bei der Übernahme von Secusmart den Quellcode seines Betriebssystems dem BSI offen. Zudem verpflichtet sich das kanadische Unternehmen, Schwachstellen in Betriebssystemen der Bundesregierung zu melden.
Das BSI hat Zweifel daran, ob der britische Vodafone-Konzern nicht Kundendaten aus Deutschland an ausländische Geheimdienste weitergibt. Eine Selbstauskunft Vodafones sei nicht eindeutig gewesen.
Das BSI soll Zero-Day-Exploits nicht nur sammeln, sondern auch veröffentlichen. Nur so könnten sich Unternehmen und Privatpersonen gegen die ständig zunehmenden IT-Angriffe schützen, fordert Hartmut Pohl von der Gesellschaft für Informatik.
Der Bundesnachrichtendienst will für 300 Millionen Euro Technik kaufen. Einiges davon braucht der Nachrichtendienst. Manches aber ist gefährlich. Zeit Online erklärt die geheime Liste.
Update Wie viele Nutzerdaten dürfen zum Schutz der IT-Sicherheit gespeichert werden? Die geplanten Regelungen des neuen Gesetzes stiften Verwirrung und werden heftig kritisiert.
Die Sicherheitslücken reichen von XSS-Fehlern über unsichere Formulare bis hin zu SQL-Injection-Schwachstellen: In drei weit verbreiteten E-Mail-Marketing- und Newsletter-Diensten haben IT-Sicherheitsexperten zahlreiche Schwachstellen entdeckt. Sie sind in Absprache mit den Herstellern inzwischen behoben worden.
