Ist von Cyberangriffen die Rede, werden als Täter oft wildfremde Menschen oder Hacker im Staatsauftrag vermutet. Dabei geht laut dem BSI von sogenannten Innentätern eine größere Gefahr aus. Sie haben durch Insiderwissen deutlich mehr Aussicht auf Erfolg.
Mit erheblicher Verzögerung kann die Vernetzung von Stromzählern in Deutschland starten. Für einen verpflichtenden Rollout der Geräte fehlt aber immer noch eine wichtige Voraussetzung.
Zwei Jahre nach ihrer besorgniserregenden Recherche zu Sicherheitsmängeln in Industrieanlagen sind die Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers erneut fündig geworden. Ein Klärwerk hätten sie sogar komplett über das Internet übernehmen können.
Update Zwei Drohnen haben gereicht, um Chaos auf dem Londoner Flughafen Gatwick auszulösen: Nachdem dort am Mittwochabend zwei unbekannte Fluggeräte gesichtet wurden, durften keine Flugzeuge mehr starten oder landen. Die Polizei geht von einer gezielten Aktion aus.
Es gibt ihn noch, den alten Internet Explorer und es gibt noch Sicherheitslücken dafür, die gefährlich sind. Microsoft hat ein Update für viele Windows-Systeme veröffentlicht, das ein bereits ausgenutztes Problem beheben soll, bei dem Angreifer beliebigen Code ausführen können.
Auf die Nachfrage eines Echo-Nutzers nach den von ihm gespeicherten Daten hat Amazon ihm rund 1.700 Audiodateien einer völlig fremden Person ausgehändigt. Laut dem Unternehmen handelt es sich um einen Einzelfall, der auf einem menschlichen Fehler beruht.
Die aktuelle Ubuntu-Version 18.04 mit Langzeitsupport bekommt demnächst die aktuelle OpenSSL-Version 1.1.1 und damit Langzeitsupport der Hauptentwickler für die wichtige Krypto-Bibliothek. Damit kann auch TLS 1.3 genutzt werden. Pakete wie Apache sollen ebenfalls angepasst werden.
Update Nicht durch Datenpannen, sondern durch Partnerschaften mit Facebook haben Unternehmen wie Microsoft und Apple laut einem Medienbericht direkten Zugriff auf persönliche Daten der Nutzer gehabt. Netflix und Spotify hätten offenbar private Nachrichten lesen, schreiben und manipulieren können.
Microsoft hat den Sandbox-Modus für Windows 10 offiziell vorgestellt. Es handelt sich dabei um eine dedizierte virtuelle Maschine, in der Nutzer beliebige Software ausprobieren können. Microsoft verrät zudem die Systemanforderungen und weitere Funktionen im kommenden Inhaltspatch.
Im Mai 2018 hatte Facebook versprochen, dass Nutzer ihren Tracking-Verlauf löschen können - ein sehr weitgehendes Zugeständnis an den Datenschutz. Jetzt hat sich das Unternehmen mit einem Zwischenstand über die Umsetzung gemeldet.
Bundesinnenminister Horst Seehofer will jetzt jede Woche nachfragen, wo die Meldepflicht für Sicherheitslücken bleibt. Golem.de hat ebenfalls beim Ministerium nachgefragt und eine eher ausweichende Antwort erhalten.
Microsoft verteilt in C- und D-Releases Inhaltsupdates, die im kommenden Monat allen Nutzern von Windows 10 zur Verfügung gestellt werden. Auch Nicht-Insider erhalten solche Aktualisierungen - allerdings sind diese in gewisser Weise optional.
Das US-Raketenabwehrsystem ist nur unzureichend gegen Angriffe geschützt. Fehlende Antiviren-Software, mangelhaft umgesetzte Zwei-Faktor-Authentifizierung und eine seit 28 Jahren offene Sicherheitslücke sind nur einige der Schwachpunkte, die ein Untersuchungsbericht offenlegt.
Anwendungen, die SQLite einsetzen und von außen SQL-Zugriff darauf bieten, sind offenbar von einem Fehler betroffen, der eine beliebige Codeausführung ermöglicht. Dazu gehören unter anderem Browser auf Chromium-Basis, für die inzwischen Updates bereitstehen.
Aktuell sind viele Nutzer darüber empört, dass Windows 10 wohl weiterhin Aktivitätsdaten im Dashboard anzeigt, obwohl diese Funktion ausgeschaltet ist. Sie bieten daher Lösungen in Form von Gruppenrichtlinien an. Microsoft meint, dass es sich dabei nur um eine verwirrende Namensgebung handelt.
Eine Offenlegung des Quellcodes wie durch Huawei wünscht sich BSI-Chef Schönbohm auch von anderen Herstellern. Derweil besorgt sich das BSI Huawei-Bauteile auf der ganzen Welt, um sie auf Hintertüren zu untersuchen. Alles ohne Ergebnis.
Hacker verschafften sich Zugriff auf das E-Mail-Postfach eines Angestellten der Kinderhilfsorganisation und legten dessen Kollegen mit gefälschten Zahlungsanweisungen herein. Dabei sind sie nicht alleine.
Dürfen Websites ohne weiteres Daten von Websurfern an Werbenetzwerke weiterreichen? Die französische Datenschutzaufsicht CNIL weist einen französischen Werbenetzbetreiber in die Schranken und versetzt damit die internationale Online-Werbewirtschaft in Aufregung.
/20Kommentare/Ein Bericht von Christiane Schulzki-Haddouti
Vor dem Anwaltsgerichtshof in Berlin fand heute die erste Verhandlung zu einer Klage statt, bei der Rechtsanwälte eine Ende-zu-Ende-Verschlüsselung im besonderen elektronischen Anwaltspostfach (BeA) erzwingen wollen. Das Gericht sieht aber noch viel Klärungsbedarf.
Auf der Suche nach Stalkern haben die Veranstalter auf einem Taylor-Swift-Konzert Gesichtserkennung und eine Bilddatenbank eingesetzt. Besucher wurden unbemerkt gescannt, während sie auf ein Video schauten. Laut US-Hausrecht ist das wohl legal.
Viele erwarten, dass der Diskurs um Datenschutz durch den neuen Bundesbeauftragten Ulrich Kelber wiederbelebt wird. Die schwierigere Herausforderung für den Informatiker besteht jedoch darin, Datenschutz gegenüber großen IT-Firmen wie Microsoft und Facebook sowie Polizei und Verfassungsschutz durchzusetzen.
/4Kommentare/Eine Analyse von Christiane Schulzki-Haddouti
In einer Software zur Konfiguration von Logitech-Tastaturen und Mäusen klafft ein riesiges Sicherheitsloch. Nutzer von Logitech Options sollten es vorerst deinstallieren: Bisher gibt es keinen Fix.
Wer würde schon einen Haustürschlüssel von außen an die Türklinke hängen, nachdem er die Tür abgeschlossen hat? Die Idee ist absurd, doch einige Banken bieten ein solches Verfahren ihren Kunden als E-Mailverschlüsselung an.
Lange hat es gedauert: Windows Server 2019 wird mit dem beliebten Tool OpenSSH ausgestattet. Die Neuerung kommt etwa ein halbes Jahr nach der Integration in das reguläre Windows 10. Trotzdem ist es ein Vorteil, wenn Admins auf nur eine Software zurückgreifen können - das sieht Microsoft genauso.
EU-Staaten und Europäisches Parlament haben sich auf ein neues Cybersicherheitsgesetz geeinigt. Ein EU-weites Zertifizierungssystem soll vernetzte Geräte sicherer machen. Weil die Zertifizierung aber freiwillig ist, haben Kritiker Zweifel, ob das gelingt.
Ein lokaler Netzwerkbetreiber hat Probleme mit Netflix. Die Kunden erhalten eine Fehlermeldung, sie sollten ihr VPN oder ihren Proxy abschalten, doch es gibt laut NX4 Networks keine.
Der Virenspezialist Kaspersky fand Hardware-basierte Attacken über das lokale Netzwerk in mindestens acht osteuropäischen Bankhäusern. Der Schaden geht in die Millionen Euro. Potenziell gefährdet sein sollen jedoch alle Arten von Unternehmen.
Die Seite Linux.org sah eine Zeit lang ziemlich anders aus als sonst. Statt News und Tipps zeigte die Domain Beleidigungen in Leetspeak und sexistische Inhalte. Der Grund: Eines der Administratorkonten wurde übernommen. Die Domainverwalter entschuldigen sich.
Die IETF ist verärgert, dass von der ETSI unter dem Namen ETLS oder Enterprise-TLS ein Protokoll mit Überwachungsschnittstelle veröffentlicht worden ist. Eigentlich hat die ETSI versprochen, auf den Namensbestandteil TLS zu verzichten.
Ab Januar müssen Unternehmen australischen Geheimdiensten und Strafverfolgungsbehörden Zugriff auf verschlüsselte Inhalte wie zum Beispiel Kommunikations- oder Bestandsdaten geben. Das ist der Anfang vom Ende des IT-Standorts Down Under - und Deutschland debattiert fröhlich in die gleiche Richtung.
Das October 2018 Update kann eventuell doch bald für alle Nutzer kommen. Microsoft adressiert in einem Patchpaket viele Fehler, darunter ein Problem mit Netzlaufwerken und einen Bug bei der Standardprogrammzuweisung. Andere Punkte werden allerdings erst später behoben.
Aus nun veröffentlichten internen E-Mails geht hervor, dass Facebooks Entwickler und das Management versucht haben, der Facebook-App neue Android-Berechtigungen zu geben, ohne dass Nutzer davon etwas merken. Facebook widerspricht.
Deepsec
Flugobjekte mit biologischen Kampfstoffen, Motorsäge oder Pistole: 140 Risiken durch Drohnen hat der Sicherheitsexterte Dominique Brack gesammelt. Die geplanten Angriffe sind dabei gar nicht die schlimmsten.
Um eine alte Richtlinie umzusetzen, wird die britische BT Group Technik von Huawei aus dem Kernnetz nehmen. Das gefällt nicht jedem: BT Chief Architect Neil McRae hatte erst Ende November 2018 gesagt: "Es gibt momentan nur einen echten 5G-Anbieter, und das ist Huawei - die anderen müssen aufholen."
Nach der Telekom hat auch die Telefónica Huawei ihr Vertrauen ausgesprochen. Netztechnologie von externen Dienstleistern werde im Vorfeld ausführlichen Tests unterzogen, auch zu Sicherheitsstandards.
Das Schweizer Filehosting-Unternehmen Tresorit bietet einen kostenlosen Dienst zum Teilen großer Dateien per Webbrowser an. Bis zu fünf Gigabyte große Dateien sollen damit möglich sein, ohne dass das Unternehmen auf die Dateien zugreifen kann.
Update Beim Online-Fragedienst Quora haben Unbekannte Zugriff auf die persönlichen Daten von 100 Millionen Nutzern gehabt. Neben Zugangsdaten sind auch Direktnachrichten und andere von Nutzern generierte Inhalte betroffen.
Der Ausruf der USA an die Verbündeten, Huawei auszuschließen, ist für die Telekom sachlich unbegründet. Zudem können die US-Geheimdienste Deutschlands Regierung keinerlei Belege vorlegen.
Am Bahnhof und in der Innenstadt von Mannheim sollen 72 Kameras selbstständig kriminelles Verhalten erkennen und die Polizei alarmieren. Innenministerium und Stadt wollen mit dem Pilotprojekt herausfinden, ob sich so die Sicherheit erhöhen lässt.
Die EU-Staaten schlagen vor, Onlinedienste mit bis zu zwei Prozent ihres Jahresumsatzes zu bestrafen, wenn sie elektronische Beweismittel nicht rechtzeitig herausgeben. Ein in der E-Evidenz-Verordnung bisher enthaltenes Beschwerderecht soll wegfallen.
Deepsec Forscher aus Österreich versuchen herauszufinden, welcher Typ Mensch hinter der steigenden Onlinekriminalität steckt. Dabei identifizieren sie Tätergruppen und können diese bestimmten Straftatbeständen zuordnen.
Viele Elektroautos können relevante Fahrzeugdaten übertragen, beispielsweise an den Hersteller zur Wartung. In China bekommen Regierungseinrichtungen die Daten.
Die FDP im Bundestag fordert ein "Recht auf Verschlüsselung". Während viele Abgeordnete die Idee prinzipiell gut finden, warnen CDU-Innenpolitiker vor den Nachteilen für die Sicherheitsbehörden.
Das Bundeskartellamt reagiert auf zahlreiche Beschwerden von Händlern auf Amazons Marketplace in Deutschland. Die Doppelrolle als Händler und Marktplatz berge die Gefahr von Missbrauch.
Jemand hatte es auf die Kundeninformationen von Dell.com abgesehen. Laut dem Unternehmen besteht kein Risiko, Passwörter seien nicht im Klartext gespeichert. Trotzdem müssen alle ihre Passwörter zurücksetzen.
