Datensicherheit

SPD spricht von "digitalem Hausfriedensbruch". Mit den Stimmen von CDU und FDP hat der Landtag von Nordrhein-Westfalen am 20. Dezember 2006 eine Änderung des Verfassungsschutzgesetzes des Landes beschlossen. Demnach dürfen die Behörden auch mit rechtlicher Deckung private Computer unerkannt überwachen.

Gefahr von Identitätsdiebstählen. Die Pläne der Bundesregierung, künftig auch den elektronisch erfassten Fingerabdruck im Reisepass zu integrieren, stößt bei der Opposition auf herbe Kritik. Die innenpolitische Sprecherin Silke Stokar und Wolfgang Wieland, Sprecher für innere Sicherheit (Bündnis 90/Die Grünen) bezeichnen die Aufnahme von Fingerabdrücken als ein Sicherheitsrisiko für den Passinhaber.

Außerdem Strafzahlungen von 750.000 US-Dollar vereinbart. Im Verfahren um eine Sammelklage von kalifornischen Käufern der mit umstrittenen Kopiersperren versehenen CDs von Sony BMG steht laut US-Berichten eine Einigung bevor. Demnach soll Sony jedem Kunden, der eine der fraglichen CDs besitzt, 175,- US-Dollar Schadensersatz zahlen.

Sicherheitslücke erlaubt das Ausspähen von Bilddaten. Eine Sicherheitslücke in MacOS X 10.4 erlaubt mit einer präparierten Webseite das Ausspähen von lokalen Informationen über Quicktime für Java und den Quartz Composer. Mit dem aktuellen Sicherheits-Update schließt Apple diese Lücke, die nur MacOS X 10.4.x und die Serverversion des Betriebssystems betrifft.

Handlungsempfehlungen und eine Beispiel-Implementierung des BSI verfügbar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat jetzt eine Sicherheitsanalyse von Microsofts Kommunikationsplattform "Windows Communication Foundation" (WCF) alias Indigo durchgeführt. Zudem wurde eine praxisorientierte Beispielanwendung zur sicheren Nutzung der WCF-Sicherheitsfunktionen erarbeitet und zusätzlich erforderliche Sicherheitsmaßnahmen abgeleitet.

Neue Versionen von Firefox und Thunderbird erschienen. Der Mozilla-Browser Firefox ist in den Versionen 2.0.0.1 und 1.5.0.9 erschienen, mit denen die Entwickler einige Sicherheitslücken des Browsers schließen. Gleiches gilt auch für den E-Mail-Client Thunderbird 1.5, der von einigen der Lücken ebenfalls betroffen ist.

Mit SVGA- und XGA-Auflösungen sowie unterschiedlichen Helligkeiten. Acer hat eine ganze Serie von DLP-Projektoren vorgestellt, die allesamt für den mobilen Einsatz vorgesehen sind. Die Geräte Acer XD1150 und XD1170D erreichen eine Auflösung von 800 x 600 Punkten bei einem Kontrastverhältnis von 2.200:1 bei einer Helligkeit von 1.800 ANSI-Lumen (XD1150) bzw. 2.300 ANSI-Lumen beim XD1170.

Erste Entwickler-Builds von MacOS X 10.5 alias Leopard mit neuem Dateisystem. Schon länger liebäugelt Apple mit der Integration von Suns freiem Dateisystem ZFS in das eigene Betriebssystem MacOS X. Mit der kommenden Version 10.5 alias Leopard könnte es denn so weit sein. Erste Entwicklerversionen von Leopard bringen eine erste, aber wohl noch nicht vollständige Unterstützung mit.

Zero-Day-Exploit für Windows Vista soll angeblich 50.000,- US-Dollar kosten. Trend Micro hat laut eWeek eine Versteigerungsplattform für Sicherheitslücken entdeckt. Angeblich 50.000,- US-Dollar werden dort für einen so genannten Zero-Day-Exploit für Windows Vista gefordert, also Code, mit dem sich eine noch nicht gepatchte Sicherheitslücke ausnutzen lässt, für die bisher kein Patch existiert.

Update-Pakete von Winboard.org, Winhelpline.de und WinFuture.de. Bereits am Dezember-Patch-Day haben Winboard.org und WinFuture.de erste inoffizielle Patch-Pakete für Windows angeboten. Nun stehen die Patch-Sammlungen für alle Windows-Ausführungen bereit und Winhelpline hat als dritter deutscher Anbieter solcher Patch-Pakete nachgezogen. Die Patch-Sammlungen enthalten die in diesem Monat veröffentlichten Sicherheits-Patches für Windows, den Internet Explorer, Outlook Express und den Windows Media Player.

Damit der Garagentoröffner im Ausland nicht aus dem Tritt kommt. Die EU-Kommission will eine europaweite Harmonisierung der Frequenzbänder vorantreiben, die von drahtlosen Geräten des täglichen Gebrauchs genutzt werden. Dazu gehören so banale Dinge wie Garagentoröffner, Alarmanlagen, Baby-Überwachung, schnurlose Kopfhörer, aber auch RFID-Etiketten.

Kooperation mit der Humboldt-Universität. Der Internetdienstleister Strato verwendet so genanntes Fingerprinting, um zuverlässig auch Spam-Botschaften zu erkennen, die statt mit Text mit Bildern versehen sind. Das von der Berliner Humboldt-Universität entwickelte Verfahren erkennt gleichartige Bilder in E-Mail-Nachrichten und merkt so anhand der für Spam-Botschaften großen Menge, dass es sich hierbei um nicht erwünschte E-Mail-Werbung handelt und sortiert diese entsprechend aus.

Drittes offenes Word-Sicherheitsloch in diesem Monat. Microsoft hat gerade seinen Patch-Day absolviert, da taucht eine dritte Sicherheitslücke in Word auf. Hierfür wurde bereits Schadcode entdeckt, der sich das Sicherheitsloch zunutze macht. Somit wurden in diesem Monat bislang drei Sicherheitslücken in Word bekannt, die Microsoft bisher nicht geschlossen hat.

Malaysia führt funkende Kennzeichen ein. In Malaysia werden jeden Tag rund 30 Fahrzeuge gestohlen, die meisten davon aus dem gehobenen Preissegment. Mit RFID-Tags in den Kennzeichen neu zugelassener Fahrzeuge will das Land die Fahrzeuge nun automatisch erfassen. Wie die New Strait Times aus Malaysia berichtet, sollen dazu die winzigen Mikrosender in versiegelte Kennzeichen eingebettet werden. Sie enthalten Informationen über den Halter und das Fahrzeug.

Sicherheitsexperte verlässt das PHP Security Response Team. Stefan Esser kehrt dem PHP Security Response Team den Rücken. Der Sicherheitsexperte hat genug. Seine Versuche, PHP von innen sicherer zu machen, seien vergeblich gewesen. Künftig werde er Sicherheitslücken in PHP auch dann veröffentlichen, wenn es noch keinen Patch gebe.

Sicherheitslücken in Windows und Outlook Express. Am Patch-Day für den Monat Dezember 2006 korrigiert Microsoft Sicherheitslücken in Windows, im Internet Explorer, in Outlook Express, im Windows Media Player und in Visual Studio. In vielen der Fälle können diese Sicherheitslecks zur Ausführung beliebigen Programmcodes missbraucht werden, so dass sich Fremde eine umfassende Kontrolle über andere Systeme verschaffen können.

Rund 800.000 Personen werden vorsorglich gewarnt. Ein Eindringling in einen Server der Universität Kalifornien in Los Angeles (UCLA) hatte Zugriff auf die Daten von rund 800.000 Personen, warnt die Universität. Die gehackte Datenbank enthält persönliche Informationen zu ehemaligen und aktuellen Studenten der Universität sowie Mitarbeitern, Bewerbern und deren Eltern.

Durchsuchung von Festplatten per Internet für illegal erklärt. Einem Bericht der taz zufolge hat der Bundesgerichtshof die bisher bereits mehrfach eingesetzte Praxis für illegal erklärt, die Festplatte eines Verdächtigen über seine Internetverbindung zu durchsuchen. Die Bundesregierung plant jedoch, die bisherige Gesetzeslage zu ändern, um die Online-Durchsuchungen legal zu machen.

Sun veröffentlicht Solaris 10 11/06. Sun hat ein weiteres Update für sein Betriebssystem Solaris 10 veröffentlicht. In der neuen Version Solaris 10 11/06 sind nun auch die Trusted Extensions enthalten, die Sicherheitsfunktionen aus Trusted Solaris in das normale Solaris übertragen. Sun verspricht jedoch eine höhere Flexibilität. Weitere neue Funktionen bekam das Dateisystem ZFS.

Gesetz-Formulierungen noch zu schwammig? Der Branchenverband Bitkom hat Sorge, dass das geplante Anti-Spam-Gesetz über das Ziel hinausschießt und auch "normale" Werbung betreffen könnte. Die Formulierungen seien so schwammig, dass die Kundenansprache kriminalisiert werden könne.

Kein Patch für diesen Monat geplant? Mitte vergangener Woche wurde Schadcode für eine neue Sicherheitslücke in Word ausgemacht, der sich aktiv im Internet verbreitet. Auch für ein weiteres Word-Sicherheitsloch wurde nun Schadcode gefunden, über den sich ein Angreifer eine umfassende Kontrolle über ein fremdes System verschaffen kann. Bisher ist für beide Sicherheitslecks kein Patch in Sicht.

In Einzelfällen sollen Computer über das Internet durchsucht worden sein. Das BKA soll nach dem Willen des Bundesinnenministeriums künftig verdächtige Computer über das Internet ausspähen dürfen. Die Ermittler sollen online auf Rechner zugreifen und die Festplatte durchsuchen dürfen, beispielsweise bei Verdacht auf Landesverrat. Die Polizei mache dies schon heute, berichtet die Süddeutsche Zeitung.

Update für Linux-WLAN-Treiber bereits verfügbar. Der Linux-Treiber "Madwifi" für WLAN-Karten mit Atheros-Chip enthält eine Sicherheitslücke, die es Angreifern ermöglicht, über eine drahtlose Verbindung Schadcode einzuschleusen und auf dem betroffenen System im Kernel-Space auszuführen. Verantwortlich dafür sind Buffer Overflows in Funktionen des Treibers. Ein Update steht bereits zur Verfügung.

Sicherheitsleck in Word bleibt weiter offen. Am allmonatlichen Patch-Day korrigiert Microsoft im Dezember 2006 mehrere Sicherheitslücken in Windows und kümmert sich um Visual Studio. Das jüngst bekannt gewordene Sicherheitsleck in Word lässt Redmond hingegen außen vor und veröffentlicht vorerst keinen Patch. Und das, obwohl Schadcode diese Sicherheitslücke bereits aktiv ausnutzt.

3 Bilder/Sekunde und 20 Stück RAW+JPEG-Aufnahmen hintereinander. Fujifilm hat weitere Informationen zu seiner digitalen Spiegelreflexkamera FinePix S5 Pro mitgeteilt. Bislang war wenig über das Modell bekannt, dessen Entwicklung zur Photokina 2006 angekündigt wurde. Die Kamera löst die FinePix S3 Pro ab und ist mit einem 12-Megapixel-CCD-Sensor von Fuji ausgerüstet. Durch die Einteilung in 6,17 Millionen S-Pixel (für normale Bildinformationen) und die gleiche Anzahl so-genannter R-Pixel (für besonders helle Bildbereiche) soll ein hoher Dynamikumfang erreicht werden.

Teure Werbeaktion soll Händlern Googles Bezahlsystem schmackhaft machen. Google hat angekündigt, dass sein Bezahlsystem "Checkout" für Händler nun bis Ende 2007 kostenlos nutzbar ist. Inhaber eines Google- bzw. Gmail-Kontos können sich in das System einloggen und nach einer Registrierung unter Angabe der eigenen Kreditkartendaten darüber in Online-Shops bezahlen. Darüber hinaus wurden einige neue Funktionen in Google Checkout integriert.

Angreifer können beliebigen Code ausführen. In Microsofts Windows Media Player wurde eine Sicherheitslücke entdeckt, über die Angreifer beliebigen Code ausführen können. Dazu muss ein Opfer nur dazu gebracht werden, eine manipulierte ASX-Playlisten-Datei zu öffnen. Bisher gibt es keinen Patch zur Abhilfe.

Fehlerhaftes ActiveX-Control erlaubt Ausführung von Programmcode. Im Adobe Reader 7.0.x steckt ein Sicherheitsloch, wenn PDF-Dokumente per ActiveX-Control im Internet Explorer geöffnet werden. Angreifer können darüber Code ausführen und nun hat Adobe eine Abhilfe nachgereicht, nachdem als Überbrückungslösung die Löschung der betreffenden ActiveX-Controls empfohlen wurde.

Noch kein Patch-Termin genannt. Microsoft warnt vor einem Sicherheitsloch in Word, das bereits aktiv von Schadcode ausgenutzt wird. Werden entsprechend präparierte Dateien geöffnet, können Angreifer beliebigen Code ausführen und sich so eine umfassende Kontrolle über ein fremdes System verschaffen. Wann ein Patch erscheint, ist nicht bekannt.

Sicherung von Bildern und SMS sowie die Synchronisation mit Outlook geplant. Netzbetreiber versuchen, nicht nur über die Mobilfunkpreise, sondern auch über Zusatzdienste Kunden zu gewinnen und zu binden. Daher hat E-Plus nun eine Partnerschaft mit dem dänischen Online-Backup-Dienst Zyb geschlossen. In Zukunft soll deren Datensicherungsdienst auf den E-Plus-Seiten verfügbar sein. ZYB verspricht sich von der Partnerschaft, bekannter zu werden.

Neue Firmware für Terratecs aktuelle Noxon-Geräte erlaubt auch Podcast-Abruf. Mit einer neuen Firmware bringt Noxon seinen beiden WLAN-Audio-Playern "Noxon iRadio" und "Noxon 2 Audio" neue Funktionen bei, darunter neue Audioformate, die Möglichkeit, auch Podcasts abspielen, sich nach bestimmter Zeit abschalten und neuerdings auch WPA-2-verschlüsselte Verbindungen unterstützen zu können.

Verbesserte, kostenlose Software zur organisationsweiten Sicherheitsüberprüfung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Version 2.0 seiner "BSI OSS Security Suite" (BOSS) getauften, als Open Source freigegebenen Prüfsoftware für Netzwerksicherheit veröffentlicht. Neben Netzwerk-Sicherheitsaudits ermöglicht BOSS V 2.0 jetzt auch die zentrale Verteilung und Konfiguration der Sicherheitssoftware auf den Linux-Clients im Netzwerk.

Studentenportal am Donnerstag wegen eines neuen XSS-Angriffs offline. Die Pannenserie von kleinen und großen Problemen und Sicherheitslücken beim Studentenportal studiVZ reißt nicht ab. Nun verspricht studiVZ eine Belohnung von 256 Euro, wenn jemand Sicherheitslücken im Portal meldet. Parallel zu der Ankündigung ging studiVZ wegen eines erneuten XSS-Angriffs offline.

23C3 findet vom 27. bis 30. Dezember 2006 in Berlin statt. Auch 2006 findet der Chaos Communication Congress des Chaos Computer Clubs (CCC) wieder vom 27. bis 30. Dezember im Berliner Congress Centrum statt. Nun wurde das Programm für den 23C3 veröffentlicht, in dem wie immer neben technischen Themen auch Politik und der Schutz der Privatsphäre einen Platz haben.

Verschlüsselung kein Allheilmittel. US-amerikanische Zoll- und Einwanderungsbeamte haben das Recht, Notebooks sowie andere Datenträger ohne Angabe von Gründen näher zu untersuchen oder ganz zu beschlagnahmen. Dies berichtet die Berliner Zeitung unter Berufung auf einen Bericht des Congressional Research Service an den US-Kongress. Auch in Asien ist dies möglich.

Enttäuscht von Betrüger, der PSP-schrottende Firmware anbietet. Der Hacker Dark_AleX ist PSP-Besitzern mit Faible für Homebrew-Software vor allem für seine modifizierten Firmware-Versionen ein Begriff. Nun will er aufhören, da jemand seinen Namen missbrauchte, um anderen die PSPs mit falschen Firmware-Dateien kaputtzumachen.

Einfache Installation von System-Bibliotheken wird ausgenutzt. F-Secure hat nach eigenen Angaben ein Adware-Programm für MacOS X zugespielt bekommen. Theoretisch sei es möglich, die Software unbemerkt auf einem Rechner zu installieren und in nahezu jede Applikation einzuklinken.

Mitgliedsstaaten sollten wirksamere Maßnahmen ergreifen. Die Europäische Kommission will den Kampf gegen Computerübel deutlich ausweiten. Sie ruft deshalb die Regierungen der Mitgliedsländer auf, energischer gegen Spam, Späh- und Schadsoftware anzutreten. Zwar sei innerhalb der EU Spam verboten, doch leiden die Anwender immer noch stark an illegalen Online-Aktivitäten aus den Mitgliedsländern und aus dem EU-Ausland.

Datenschutzprobleme bis zur vorübergehenden Abschaltung. Das Studentenportal studiVZ kommt nicht aus den Negativschlagzeilen. Waren es am Anfang nur merkwürdige Auftritte eines der Gründer und später Partyeinladungen im Stil des Nazi-Blattes "Völkischer Beobachter", tun sich nun auch kleine und große Probleme in Fragen der Datensicherheit auf. Am Montag wurde die Seite nach einen Phishing-Angriff dann zunächst einmal ganz abgeschaltet.

Microsoft-Player durch Änderung an der Windows-Registry aufgepeppt. Die in den USA bereits erhältliche iPod-Alternative "Zune" von Microsoft lässt sich ab Werk nur mit der mitgelieferten Software mit Daten füllen. Zudem landen unter den Playern per WLAN getauschte Dateien in einem DRM-Korsett. Dieser Schutz ist jedoch kinderleicht auszuhebeln, wie eine US-Website nun herausgefunden hat.

Staatsanwaltschaft ermittelt wegen Betrugs. Nach einem Bericht der Süddeutschen Zeitung hat die Staatsanwaltschaft Stuttgart Ermittlungen gegen den Bezahlsender Premiere wegen Betrugsverdachts bei der Behandlung von Abo-Kündigungen aufgenommen. Hintergrund ist eine Sammelklage der Verbraucherzentrale Hamburg. Wer den Abo-Vertrag kündigt, muss die Smartcard zurücksenden. Premiere behauptete nach Angaben der Verbraucherschützer besonders häufig, dass die zurückgeschickten Karten nicht angekommen seien und fordere Schadensersatz.

Verbraucherschutz soll beim Telemediengesetz berücksichtigt werden. Bündnis 90/Die Grünen verlangen von der Bundesregierung, auch Verbraucherschutz-Interessen beim geplanten Telemediengesetz zu berücksichtigen. Zwar werde die Zusammenführung der Regelwerke für Tele- und Mediendienste zu mehr Einheitlichkeit und besserer Übersichtlichkeit führen, doch solle die Verfolgung von Spam-Untaten verbessert werden.

Angreifer können Zugangsdaten ausspähen. Im Kennwort-Manager von Firefox 2.0 steckt ein Programmfehler, über den Angreifer Zugangsdaten abgreifen können. Entsprechende Angriffe sollen bereits über gefälschte MySpace-Seiten laufen. Der Fehler liegt darin, dass der Kennwort-Manager nicht prüft, ob die Daten das richtige Ziel erreichen.