Eine Entscheidung der Bundesregierung ist noch nicht gefallen. Doch die Grüne Katharina Dröge drängt weiter auf einen Ausschluss von Huawei vom 5G-Ausbau. Belege für Hintertüren hat sie keine.
Ein polizeibekanntes Skriptkiddie hat offenbar jahrelang unbemerkt Politiker und Prominente ausspähen können und deren Daten veröffentlicht. Welche Konsequenzen sollten für die Sicherheit von Daten aus dem Datenleak gezogen werden?
Nach der Aufklärung des Politiker-Hacks will die Bundesregierung ähnliche Vorfälle künftig besser verhindern. Dazu soll eine bessere Aufklärung der Verbraucher vor den Gefahren im Netz gehören. Und ein "IT-Sicherheitskennzeichen".
Update Im Zusammenhang mit den geleakten Daten von Politikern und Prominenten ist ein Mann aus Mittelhessen festgenommen worden. Der 20-Jährige hat die Taten gestanden. Schon vor zwei Jahren war er der Polizei wegen ähnlicher Vergehen aufgefallen.
Das Datenleck bei zahlreichen Politikern und Prominenten hat die Bundespolitik aufgeschreckt. Innenminister Seehofer verspricht "volle Transparenz". Grünen-Chef Habeck zieht drastische Konsequenzen.
Update In Heilbronn haben Ermittler die Wohnung eines IT-Sicherheitsspezialisten durchsucht, der nach eigenen Angaben bis vor kurzem noch Kontakt mit dem Verantwortlichen des Datenleaks von Politikern und Prominenten hatte. Er soll aber nur Zeuge im Verfahren sein, kein Verdächtiger.
Dem BSI wird vorgeworfen, im Fall des Hacks von Politikern unzureichend reagiert zu haben. Die Behörde erkannte jedoch keinen Zusammenhang zwischen den Hackerangriffen auf mehrere Abgeordnete.
Wer steckt hinter dem Leak persönlicher Daten von Politikern und Promis? Die aufwendige Aufbereitung der Daten lässt eine Nutzung für politische Kampagnen vermuten. Doch ein Youtuber soll dahinter stecken, der lediglich Aufmerksamkeit wollte.
Huawei meint, kein chinesisches Gesetz könne den Netzwerkausrüster zwingen, seine Kunden auszuspionieren. Mit dem deutschen BSI will man Security-Standards für 5G und die gesamten Branche erarbeiten. Daran sollen alle Ausrüster teilnehmen.
Ist von Cyberangriffen die Rede, werden als Täter oft wildfremde Menschen oder Hacker im Staatsauftrag vermutet. Dabei geht laut dem BSI von sogenannten Innentätern eine größere Gefahr aus. Sie haben durch Insiderwissen deutlich mehr Aussicht auf Erfolg.
Mit erheblicher Verzögerung kann die Vernetzung von Stromzählern in Deutschland starten. Für einen verpflichtenden Rollout der Geräte fehlt aber immer noch eine wichtige Voraussetzung.
Zwei Jahre nach ihrer besorgniserregenden Recherche zu Sicherheitsmängeln in Industrieanlagen sind die Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers erneut fündig geworden. Ein Klärwerk hätten sie sogar komplett über das Internet übernehmen können.
Wie erwartet, hat die Deutsche Telekom die Freigabe des Komitees für Auslandsinvestitionen (CFIUS) und von drei Ministerien zum Kauf von Sprint erhalten. Zuvor hat der Konzern sich darauf eingelassen, das Verhältnis zu Huawei neu zu bewerten.
Bundesinnenminister Horst Seehofer will jetzt jede Woche nachfragen, wo die Meldepflicht für Sicherheitslücken bleibt. Golem.de hat ebenfalls beim Ministerium nachgefragt und eine eher ausweichende Antwort erhalten.
Eine Offenlegung des Quellcodes wie durch Huawei wünscht sich BSI-Chef Schönbohm auch von anderen Herstellern. Derweil besorgt sich das BSI Huawei-Bauteile auf der ganzen Welt, um sie auf Hintertüren zu untersuchen. Alles ohne Ergebnis.
Viele erwarten, dass der Diskurs um Datenschutz durch den neuen Bundesbeauftragten Ulrich Kelber wiederbelebt wird. Die schwierigere Herausforderung für den Informatiker besteht jedoch darin, Datenschutz gegenüber großen IT-Firmen wie Microsoft und Facebook sowie Polizei und Verfassungsschutz durchzusetzen.
4Kommentare/Eine Analyse von Christiane Schulzki-Haddouti
Um den Schutz der Kommunikationstechnik des Bundes "fortlaufend gewährleisten zu können", nutzt das BSI "Verfahren des maschinellen Lernens", lässt die Bundesregierung durchblicken. Auch das BKA verwendet KI für Datenanalysen. Was die Geheimdienste auf diesem Sektor machen? "Streng geheim."
Ein weiterer deutscher Netzbetreiber kann keine Hintertüren in der Ausrüstung von Huawei finden. Für den Münchner Ausbau liefert Huawei unter anderem die DPUs.
Die FDP im Bundestag fordert ein "Recht auf Verschlüsselung". Während viele Abgeordnete die Idee prinzipiell gut finden, warnen CDU-Innenpolitiker vor den Nachteilen für die Sicherheitsbehörden.
Nach den USA und Australien verhängt auch Neuseeland einen Bann gegen den chinesischen Ausrüster Huawei. Allerdings betrifft dieser nicht alle Produkte des Unternehmens, sondern lediglich das schnelle Mobilfunknetz 5G.
Das BSI hat bislang nur bei Windows 10 den Auftrag erhalten, die Sicherheit von Software ausländischer Hersteller zu begutachten. Eine Einsicht in den Quellcode sei bislang auch dabei nicht erfolgt, sagt die Bundesregierung.
Das Fraunhofer SIT hat einen neuen Barcode entwickelt, der durch Farbigkeit mehr Daten speichern kann als Schwarzweißvarianten. Der JAB Code soll mit seiner hohen Datendichte auch Fälschungen besser verhindern.
Die neue Richtlinie zur Routersicherheit gefällt dem Chaos Computer Club überhaupt nicht. Router-Hersteller und Netzbetreiber hätten dem BSI die Anforderungen diktiert.
Einige Vertreter des Bundesinnenministeriums und des Auswärtigen Amtes wollen dem Beispiel Australiens folgen und chinesische Ausrüster aus Sicherheitsgründen pauschal ausschließen. Huawei hat darauf reagiert.
Geheimdienste in Großbritannien wollen die Netzbetreiber eventuell daran hindern, chinesische Ausrüstung einzusetzen. Dies würde die Errichtung der 5G-Netzwerke erheblich verzögern. Deutschland geht hier einen anderen Weg.
Anders als Trump und dessen Verbündeter Australien setzt die Bundesregierung darauf, sich genau anzuschauen, ob die Netzwerkausrüster die Anforderungen an die IT-Sicherheit erfüllen. Der Quellcode von Huawei steht dem BSI zur Verfügung, die Telekom überwacht bei Tests alle abgehenden Datenströme konstant.
Innenminister Seehofer und BSI-Präsident Schönbohm malen eine neue Qualität der Gefahren für die IT-Sicherheit an die Wand. Davon können beide mit ihren politischen Zielen profitieren.
Seit mehreren Monaten ist die umstrittene BSI-Richtlinie zur Sicherheit von Heimroutern überfällig. Laut BSI-Chef Schönbohm ist sie längst fertig und soll ein "Mindesthaltbarkeitsdatum" für Software und 19 andere Kriterien enthalten.
Die Sicherheitsfirma Eset hat das erste aktive UEFI-Rootkit entdeckt. Die Schadsoftware übersteht einen Austausch der Festplatte und wird der berüchtigten Hackergruppe APT28 zugeschrieben. Diese soll unter anderem für den Bundestagshack verantwortlich sein.
Die Webseite des Bundesamts für Sicherheit in der Informationstechnik ist zur Zeit nicht erreichbar. Dort hat man offenbar vergessen, sich rechtzeitig um ein neues TLS-Zertifikat zu kümmern.
Eine erfolgreiche Cyberattacke gegen einen Mitgliedstaat reiche aus, um den gesamten Prozess der Wahl zum Europäischen Parlament 2019 zu kompromittieren, warnen Mitglieder einer EU-Kooperationsgruppe zur Netzwerksicherheit. Die Funktion der Staatengemeinschaft könnte beeinträchtigt werden.
Verschlüsselungsalgorithmen auf Basis elliptischer Kurven sollen kompakte Geräte im Internet der Dinge sicherer machen. Wir erklären, wie - und wo die Grenzen liegen.
Ein Unbekannter stellte Funksprüche von Rettungsdiensten mit Namen und Adressen von Betroffenen aus dem Landkreis Recklinghausen ins Internet. Möglich ist das, weil die Daten über ein unverschlüsseltes Protokoll namens Pocsag verschickt werden.
Das BSI warnt vor Angriffen auf Energieversorger. Bislang habe es allerdings keinen Zugriff auf kritische Infrastruktur gegeben, sondern vor allem auf Büronetzwerke. Wieso die Warnung genau zu diesem Zeitpunkt kommt, ist allerdings unklar.
Update EU-Justizkommissarin Vera Jourová will die Debatte über die Datenschutzgrundverordnung "entmystifizieren". Zur Verwirrung über die Reform tragen Bundesregierung und Datenschutzbehörden jedoch selbst bei.
Das Bundesamt für Sicherheit in der Informationstechnik hat eine Stellungnahme zu den angeblichen Angriffen aus Russland veröffentlicht. Das liest sich deutlich anders als die Vorwürfe aus Großbritannien und den USA.
Das BSI hat für ein Projekt verschiedene Kryptobibliotheken untersuchen lassen, behält die Ergebnisse jedoch für sich. Golem.de liegt die Analyse mit vielen Details über die Bibliotheken NSS, LibreSSL und Botan dank des Informationsfreiheitsgesetzes vor, darf sie aber nicht veröffentlichen.
The German government was hacked via the learning plattform Ilias, which is used at the government's own university. The university was using an old version with various security vulnerabilities.
Die Bundesregierung wurde über die Lernplattform Ilias gehackt, die an der Hochschule des Bundes zu Weiterbildungszwecken genutzt wird. Die Einrichtung nutzte eine alte Version mit zahlreichen Sicherheitslücken.
101Kommentare/Eine Exklusivmeldung von Hauke Gierow,Hanno Böck
Update Der Angriff auf das Netzwerk der Bundesregierung soll sich über eine Hochschule des Bundes bis hin zum Außenministerium gezogen haben. Der Bundestag hat in mehreren Sondersitzungen offenbar widersprüchliche Angaben von der Regierung erhalten.
Update Angreifern soll es gelungen sein, in das vertrauliche Kommunikationsnetz der Regierung einzudringen. Verdächtigt wird die Gruppe APT28, auch bekannt unter dem Namen Fancy Bear. Die Opposition wirft der Bundesregierung Versäumnisse bei der IT-Sicherheit vor.
Union und SPD haben ihre bislang vagen Pläne zur Digitalisierung mit mehr Inhalten gefüllt. Beim Aufbau des Mobilfunkstandards 5G und des Glasfasernetzes kommen die Parteien den kleinen Anbietern entgegen.
Zu kaum einem IT-Sicherheits-Thema gibt es so viele unsinnige Tipps wie zu Passwörtern. Auch Behörden wie das BSI und Forschungseinrichtungen wie das Hasso-Plattner-Institut veröffentlichen jede Menge Unfug.
Update Das BSI will in den kommenden Monaten eine Technische Richtlinie für Heimrouter herausgeben. Vor allem die Kabelnetzbetreiber halten nichts davon, für möglichst viel Sicherheit bei den Geräten zu sorgen. Der CCC spricht von "Lobbying-Sabotage".
Update34C3 Reisen mit Laptop und Smartphone kann jede Menge Ärger bringen. Die meisten Tipps der EFF lassen sich aber generell im Umgang mit persönlichen Daten beherzigen.
Das besondere elektronische Anwaltspostfach hat mehr als nur eine Sicherheitslücke. Die Probleme reichen von einer falschen Ende-zu-Ende-Verschlüsselung über Cross Site Scripting bis hin zu ROBOT und veralteten Java-Libraries. Dabei hat die Firma SEC Consult einen Sicherheitsaudit durchgeführt.
Ein peinlicher Fehler, der dazu noch die ungeheure Datensammelwut des Herstellers zeigt: AI Type hat eine Datenbank mit mehr als 500 Gbyte Kundendaten ins Netz gestellt.
