Datensicherheit

Yubico bietet ein Hardware-Security-Modul für kleinere Unternehmen an, die nicht Hunderte Schlüssel sicher verwahren müssen. Der Schlüssel im Nano-Format verschwindet fast vollständig im USB-Port.

Nach Versuchen der Bankenlobby und von ominösen Betreibern von Rechenzentren, das kommende TLS 1.3 zu schwächen, erklärt nun Cisco, dass TLS 1.3 die Sicherheitstechnik sogenannter Middleboxen verhindert. Dabei verhindern kaputte Middleboxen die Einführung von TLS 1.3.

Deutschland soll mit einer neuen Regierung Abschied von der Vorratsdatenspeicherung nehmen. Das fordern zahlreiche Verbände unter dem Dach des AK Vorrat - insbesondere von den Grünen und der FDP.

Update Auch das Pharmaunternehmen Merck Sharp und Dohme merkt den NotPetya-Angriff in seiner Bilanz: Rund 375 Millionen US-Dollar Ausfall gibt das Unternehmen durch die Ransomware an. Um den Betrieb trotz Produktionsausfällen aufrechtzuerhalten, hat sich die Firma sogar Medikamente bei den US-Behörden geliehen.

Es bringt zwar Sicherheitsgewinne, aber auch einige Gefahren: HTTP Public Key Pinning (HPKP) ist ein kontroverses Feature in Browsern. Jetzt will Chrome es wieder abschaffen - und setzt stattdessen vor allem auf Certificate Transparency.

Wieder ein SMB-Exploit, aber nur als Backup für die Verbreitung im Firmennetzwerk: Badrabbit hat offenbar große Ähnlichkeiten mit der NotPetya-Kampagne. In Deutschland gibt es weiterhin nur wenige Opfer.

Bevor im US-Bundesstaat Georgia untersucht werden konnte, ob eine Manipulation der Wählerverzeichnisse erfolgt ist, wurden die Daten gelöscht. Bislang will niemand dafür verantwortlich sein.

Nach Symantec jetzt auch McAfee: Das Unternehmen will Regierungen keinen Zugriff mehr auf den eigenen Quellcode gewähren. Mit einer Ausnahme.

Die Verhandlungen können beginnen: Das EU-Parlament hat die eigene Verhandlungsposition für die ePrivacy-Verordnung beschlossen. Nutzer sollen ein Recht auf Verschlüsselung haben und vor Trackern geschützt werden. In der Industrie stößt das auf Widerspruch.

Committs im Android-Open-Source-Project zeigen, dass Google an einer Implementierung für DNS über TLS für Android arbeitet. Damit können Anfragen nicht nur vor neugierigen Blicken versteckt, sondern auch gegen Manipulation abgesichert werden. Wann das Feature kommen könnte, ist aber noch unklar.

Smartwatches für Kinder sollen den Eltern Sicherheit vermitteln. Doch mehrere Geräte weisen nach Angaben norwegischer Verbraucherschützer gravierende Sicherheitsmängel auf, die eine Ausspähung der Kinder durch Fremde ermöglichen können.

In Russland und der Ukraine verbreitet sich eine neue Ransomware. Badrabbit wurde über Nachrichtenwebseiten verbreitet und befällt offenbar gezielt Unternehmensnetzwerke. Betroffen waren eine Nachrichtenagentur, der Flughafen von Odessa und die Metro von Kiew.

Dieses Konzept könnte sogar dem Axel-Springer-Verlag gefallen: Das neue Flattr-Addon vom Adblocker-Anbieter Eyeo will Webseiten eine neue Einnahmequelle verschaffen. Doch Nutzer müssen einige Nachteile in Kauf nehmen.

Ein Geheimdienst, der Open-Source-Software veröffentlicht: Was zunächst ungewöhnlich klingt, hat der Five-Eyes-Geheimdienst CSE aus Kanada tatsächlich gemacht. Assembly Line und Cart sollen bei der Malware-Analyse helfen.

Um weiter im Geschäft zu bleiben, wirbt Kaspersky nicht nur mit kostenfreien Virenscannern - sondern jetzt auch mit Transparenz. Mehrere Code-Reviews und Transparenzzentren sollen für mehr Vertrauen sorgen.

Update Wer mit Google Fotos seine Smartphone-Fotos automatisch in der Cloud sichert, bekommt seit einigen Tagen möglicherweise nicht mehr alle Backup-Fotos in der Weboberfläche des Dienstes angezeigt. Seit Mitte Oktober 2017 kann die Browserversion Lücken aufweisen.

Kriminelle nutzen Sicherheitslücken in IoT-Geräten zum Aufbau eines großen Botnetzes aus. Dabei verwendet der Bot Code von Mirai, unterscheidet sich jedoch von seinem prominenten Vorgänger.

Die Verschlüsselung privater Kommunikation soll auch auf europäischer Ebene angegriffen werden. Da der Einbau von Hintertüren offenbar vom Tisch ist, geht es nun um Schwachstellen bei der Implementierung und das Hacken von Passwörtern.

Nach dem Bekanntwerden der WPA2-Schwäche Krack hat AVM nun erste Geräte gepatcht. Weitere Patches sollen folgen, jedoch nicht für Fritzboxen.

Nach langer Verzögerung hat T-Systems den Konnektor fertiggestellt, der Arztpraxen mit der zentralen Telematik-Infrastruktur verbindet. Jetzt muss die Betreibergesellschaft Gematik noch zustimmen.

Um die Sicherheit im Play Store zu erhöhen, führt Google ein Bug-Bounty-Programm für Android-Apps ein. Wer bei teilnehmenden App-Entwicklern einen sicherheitsrelevanten Bug findet, soll 1.000 US-Dollar erhalten. Aktuell nehmen Google selbst sowie acht weitere App-Anbieter teil.

Infineon-Chips in Personalausweisen, Laptops und Krypto-Hardware sind unsicher. Pikant daran: Die Produkte wurden vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert.

Update Im Streit über die neue ePrivacy-Verordnung haben sich die Befürworter eines starken Verbraucherschutzes durchsetzen können. Der IT-Wirtschaft und den Verlegern gefällt der Beschluss des Innenausschusses jedoch nicht.

Update RSA-Schlüssel von Hardware-Kryptomodulen der Firma Infineon lassen sich knacken. Das betrifft unter anderem Debian-Entwickler, Anbieter qualifizierter Signatursysteme, TPM-Chips in Laptops und estnische Personalausweise.

Es ist erst der zweite bekannte Angriff dieser Art: Microsofts interner Bugtracker ist im Jahr 2013 gehackt worden. Unklar ist, ob und welche Informationen über Sicherheitslücken die Angreifer dabei erbeuten konnten.

Am 17. Oktober um 19 Uhr gibt Mirosoft mit dem Fall Creators Update eine neue große Version von Windows 10 frei. Verbesserungen wird es vor allem beim Design, Cortana und dem Datenschutz geben. Das Update ist Voraussetzung für Windows Mixed Reality.

Auch Intel hat Patches für seine Hardware veröffentlicht, um über neue Treiber Krack-Angriffe auf das WLAN zu verhindern. Betroffen sind zahlreiche WLAN-Karten von Notebooks, Intels AMT, aber auch ein Atom müssen gepatcht werden. Bei AMT dauert es aber noch ein paar Wochen.

Wer hat das schönste Lächeln, wer ist besonders ehrlich? Mit solchen Fragen hat es die App TBH (To Be Honest) in kurzer Zeit an die Spitze der US-App-Charts gebracht. Nun gehört die Anwendung Facebook - und damit ein weiterer reicher Datenschatz.

Ubiquiti hat binnen eines Tages seinen WLAN-Router Amplifi gepatcht. Die neue Firmware soll verschiedene Schwächen bei der Verwendung von WLAN-Schlüsseln beheben und dürfte damit der erste Patch gegen Krack für ein Endkunden-Gerät sein. Die Profi-Geräte wurden ebenfalls mit einer neuen Firmware ausgestattet.

Ein Sturz aus 1,20 Meter Höhe und eine kalte Dusche können der Bolt B80 anscheinend nichts anhaben. Die externe SSD fasst maximal 480 GByte und soll durch den USB-C-3.1-Gen2-Anschluss besonders schnell sein. Außergewöhnlich sieht sie auf jeden Fall aus.

Autoschlüssel mit Funkverbindung sind ein beliebtes Ziel für Sicherheitsforscher - und oft eher Opfer als Gegner. Aktuell ist Subaru betroffen, zahlreiche Fahrzeuge des Herstellers sind für einen Angriff verwundbar. Das Unternehmen hat bislang nicht reagiert.

Auch Hidden-Services können per Denial-of-Service-Angriff empfindlich gestört werden - wie derzeit die Betreiber von vier großen Darknet-Plattformen merken. Seit Freitag sind die Seiten nicht oder nur über Umwege erreichbar.

Oneplus lenkt ein bisschen ein und will künftig weder die IMEI, noch die Telefonnummer der Nutzer erheben. Andere Informationen sollen aber auch nach einem Opt-out weiter übertragen werden.

Seit Mai 2017 können Root-User die Netflix-App nicht mehr aus Googles Play Store laden - seit einigen Tagen taucht die App aber wieder bei manchem betroffenen Nutzer auf. Nicht alle Root-Nutzer sehen die Anwendung aber, die Hintergründe der erneuten Verfügbarkeit bleiben unklar.

Nach Meinungsverschiedenheiten hatten sich ein Systemadministrator und sein Arbeitgeber getrennt. Das hielt den Admin aber nicht davon ab, noch zahlreiche Dateien und Konten zu löschen oder deren Passwörter zu ändern. Dafür wurde der US-Amerikaner nun verurteilt.

Die Entdeckung einer Jobausschreibung für einen Media Screener der BVG macht die Gewerkschaft Verdi stutzig. Es stellt sich die Frage, ob das Unternehmen damit die eigenen Mitarbeiter kontrollieren will. Das sei nicht das erste Mal, heißt es.