Datensicherheit

Ein einheitliches Gütesiegel für Internet-Shops ist dennoch nicht in Sicht. Nachdem sich die Zahl der neutral überwachten Internet-Gütesiegel in den letzten Jahren verringert hat, wollen die mit der Initiative D21 e.V. zusammen arbeitenden Gütesiegelanbieter nun mehr Vertrauen wecken und die gemeinsamen Qualitätsstandards schrittweise verbessern. Zudem soll noch deutlicher gemacht werden, was die einzelnen Siegel über den gemeinsamen Qualitätsstandard hinaus bieten.

Details zu Anti-Phishing-Funktionen in Microsofts neuem Browser. Der noch in Entwicklung befindliche Internet Explorer 7 wird bekanntermaßen über Anti-Phishing-Funktionen verfügen. Wie diese Funktion arbeiten wird, war bislang nicht bekannt. In einem Blog-Eintrag nannte ein Microsoft-Mitarbeiter nun Details zur Arbeitsweise der Anti-Phishing-Mechanismen, die im Browser aufgerufene Webseiten an Microsoft übermitteln.

Continuous Data Protection soll nicht nur Notebook-Daten schützen. IBM will mit einer neuen Software die auf Notebooks gespeicherten Informationen vor Computerviren, Datenkorruption und versehentlicher Löschung schützen. Dazu setzt IBM bei "Continuous Data Protection" auf Echtzeit-Backups.

Kein Vertrag zwischen 0190-Nutzern und Verbindungsnetz- und Plattformbetreibern. Verbindungsnetz- und Plattformbetreibern entstehen bei der Nutzung von Mehrwertdienste-Rufnummern gegenüber Telefonkunden keine Ansprüche auf die Vergütung von Verbindungsleistungen, entschied der unter anderem für das Telekommunikationsrecht zuständige III. Zivilsenat des Bundesgerichtshofs (BGH) mit einem Urteil vom 28. Juli 2005 (AZ III ZR 3/05), das jetzt veröffentlicht wurde.

Reale Gefahr durch neue Angriffe auf SHA-1. Bereits im Februar wurde bekannt, dass drei chinesische Forscher den Hash-Algorithmus SHA-1 geknackt haben. In einem weiteren Schritt gelang es nun Xiaoyun Wang, die schon an der Veröffentlichung aus dem Februar 2005 beteiligt war, mit zwei Mitstreitern die Komplexität der Angriffe auf SHA-1 weiter zu senken, auf ein Niveau, bei dem Angriffe mit aktueller Hardware möglich werden, erklärt der IT-Sicherheitsexperte Bruce Schneier.

Erster Bericht zur Lage der IT-Sicherheit in Deutschland. Die Bedrohung durch IT-Schädlinge wie Computerviren, Würmer und Spam wird in Zukunft weiter ansteigen. Die bestehenden Schutzmaßnahmen seien heute gerade noch ausreichend, müssen aber für einen ausreichenden Schutz weiter verbessert werden, so das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem ersten Bericht zur Lage der IT-Sicherheit in Deutschland.

Aktuelle Sicherheitslücke im Internet Explorer wurde Microsoft nicht gemeldet. Mit einem neuen Sicherheitshinweis geht Microsoft auf die am gestrigen 18. August 2005 bekannt gemachte Sicherheitslücke im Internet Explorer ein. Bei dieser Gelegenheit beklagt der Softwaregigant, dass er nicht vorab über das Sicherheitsloch informiert wurde.

Projekt SmartPack zusammen mit Philips und anderen Unternehmen gefördert. Das Bundesministerium für Bildung und Forschung (BMBF) fördert die Entwicklung elektronischer Etiketten unter anderem auf RFID- oder auf Sensorbasis bis zum Jahr 2008 mit insgesamt 2,5 Millionen Euro. Das Projekt SmartPack wird mit Philips und mehreren Unternehmen für Verpackungsstoffe durchgeführt.

Überarbeiteter Sicherheits-Patch soll Fehler beheben. Wie das Unofficial Apple Weblog berichtet, stört das am gestrigen 16. August 2005 erschienene Sicherheits-Update für MacOS X die Ausführung von 64-Bit-Applikationen. Derartige Software lässt sich auf einem aktualisierten MacOS X dann nicht mehr starten. Apple will den Fehler beheben, bietet aber noch keine Überarbeitung des Patches an.

Sicherheitsleck steckt in allen Versionen ab Acrobat Reader 5.x. Ein gefährliches Sicherheitsleck hat Adobe in mehreren PDF-Applikationen entdeckt, worüber ein Angreifer beliebigen Programmcode ausführen kann, sofern eine manipulierte PDF-Datei mit den betroffenen Applikationen geöffnet wird. Das Sicherheitsleck steckt im Acrobat Reader 5.x, im Adobe Reader 6.x sowie 7.x und in Acrobat der Versionen 5.x bis 7.x und gilt für die Plattformen Windows, MacOS X und Linux.

Weitere Würmer und Varianten nutzen Windows-Sicherheitsleck aus. Nachdem mit Zotob.A ein erster Wurm durch das Internet geisterte, der eine Sicherheitslücke in Windows 2000 zur Verbreitung ausnutzt, folgen ihm bereits neun Varianten und ein weiterer IRC-Bot-Wurm. Die jüngsten Schädlinge sollen sich allerdings im Unterschied zur ersten Variante bereits stärker im Internet verbreitet haben. Die Würmer befielen PC-Systeme in mehreren US-Unternehmen, wie etwa CNN, DaimlerChrysler oder Walt Disney.

Registry-Einträge bestimmen Anfälligkeit. Wie das Internet Storm Center berichtet, soll der Zotob-Wurm nicht nur Systeme mit Windows 2000 befallen, sondern auch Windows XP sowie Windows Server 2003 infizieren können. Dies gilt, wenn die beiden Letztgenannten mit aktivierten, so genannten "Null Sessions" arbeiten, um etwa als Domänen-Controller, Exchange- oder SQL-Server zu agieren.

24 Komponenten von MacOS X betroffen. Mit einem aktuellen Sicherheits-Update behebt Apple gleich 34 Sicherheitslücken in insgesamt 24 Komponenten des Betriebssystems. Zwei der Sicherheitslöcher stecken in Apples Webbrowser Safari und eines der Lecks erlaubt einem Angreifer die Ausführung beliebigen Programmcodes. Die Sicherheits-Patches stehen für MacOS X 10.3.9 sowie 10.4.2 jeweils für die Desktop- und Server-Ausführung zum Download bereit.

Patch-Sammlung für Windows XP mit Service Pack 1 nachgereicht. Nachdem am 12. August 2005 erste Update-Pakete für Windows XP mit Service Pack 2 erschienen sind, steht die Patch-Sammlung nun auch für die englischsprachige Ausführung des Betriebssystems sowie für das deutschsprachige Windows XP mit Service Pack 1 zum Download bereit. Die Update-Pakete enthalten die in der vergangenen Woche erschienenen Sicherheits-Patches von Microsoft für Windows und den Internet Explorer.

Automatische Verbreitung des Wurms via ftp. Im Internet macht sich ein neuer Wurm breit, der sich über eine Windows-Sicherheitslücke verbreitet und Systeme mit Windows 2000 ohne weiteres Zutun der Nutzer infiziert. Ein Patch für die Sicherheitslücke ist verfügbar, so dass er möglichst zügig installiert werden sollte.

Angreifer können eigenen Perl-Code einschleusen. IDefense warnt vor einer kritischen Sicherheitslücke in der Logfile-Analyse-Software AWStats, durch die Angreifer fremden Code auf entsprechenden Systemen ausführen können. AWStats erfreut sich recht großer Beliebtheit und kommt auf diversen Servern zum Einsatz, die dadurch nun gefährdet sind.

Exploit-Code für Windows-Sicherheitsloch im Internet gesichtet. In einem gesonderten Sicherheitshinweis weist Microsoft explizit darauf hin, dass für eine der in dieser Woche geschlossenen Windows-Sicherheitslücken Exploit-Code im Internet entdeckt wurde. Zumindest unter Windows 2000 könnten Angreifer darüber beliebigen Programmcode ausführen, so dass Microsoft dringend zur Aktualisierung des Betriebssystems rät.

Kostenlose Patch-Sammlungen und Setup-Routinen für Windows 2000 und XP. Für Windows XP stehen ab sofort aktualisierte inoffizielle Update-Pakete sowie Setup-Routinen bereit, welche die in dieser Woche erschienenen Sicherheits-Patches von Microsoft für Windows und den Internet Explorer umfassen. Während Winboard.org und WinFuture.de wie gewohnt Update-Pakete bereitstellen, findet man auf Winhelpline.de entsprechende Setup-Routinen auch bereits für Windows 2000, um eine Patch-Einspielung zu automatisieren.

Funktionierender Patch für Internet Explorer wieder per Download-Center zu haben. Am gestrigen 10. August 2005 hatte Microsoft anlässlich des monatlichen Patch-Days einen Sammel-Patch für den Internet Explorer veröffentlicht, um drei Sicherheitslücken in dem Browser zu schließen. Wurde der Patch über Microsofts Download-Center geladen, ließ er sich auf Grund eines Fehlers, der nun behoben ist, jedoch nicht installieren.

Internet Security 2006 mit AntiSpyware. Steganos hat eine neue Version der Internet Security angekündigt, die nun auch ein Werkzeug gegen Spyware enthält, das zudem Phishing-Angriffe abwehren soll. Das Programmpaket soll helfen, den Rechner gegen Angriffe zu schützen und Schädlinge auf dem System zu beseitigen.

Angreifer können beliebigen Programmcode ausführen. Für den Patch-Day August 2005 hatte Microsoft sechs Security Bulletins angekündigt, die nun insgesamt neun Sicherheitslücken schließen. Sechs dieser Sicherheitslöcher stecken in Windows, während drei schwere Sicherheitslecks den Internet Explorer ab der Version 5 betreffen. Über diese Sicherheitslücken können Angreifer beliebigen Programmcode ausführen und sich so eine umfassende Kontrolle über fremde Systeme verschaffen.

Insgesamt sechs Sicherheitslücken in Windows. Wie bereits berichtet, hat sich Microsoft für den diesmonatigen Patch-Day mehrere als kritisch eingestufte Sicherheitslücken in Windows vorgenommen. Drei von den insgesamt sechs in Windows gefundenen Sicherheitslücken werden als gefährlich eingestuft, weil Angreifer darüber belieben Programmcode ausführen und sich so eine umfassende Kontrolle verschaffen können. Zudem hat Microsoft einen Sammel-Patch für drei schwere Sicherheitslücken im Internet Explorer veröffentlicht.

Microsoft einigt sich mit Scott Richter und OptInRealBig.com. Microsoft hat sich mit dem selbst ernannten "Spam King" Scott Richter und seiner Firma OptInRealBig.com geeinigt, nachdem Microsoft Richter im Rahmen seiner Anti-Spam-Kampagne im Dezember 2003 verklagt hatte. Künftig wolle Richter auf Spam verzichten und zudem 7 Millionen US-Dollar Schadensersatz an Microsoft zahlen.

Stabile Version für Kernel 2.6 erschienen. Das Linux-VServer-Projekt hat seine Software in der stabilen Version 2.0 vorgelegt, die nun auch die aktuelle Kernel-Serie 2.6 unterstützt. Die Software erlaubt es, mehrere Server auf einem Linux-System einzurichten, die sicher voneinander getrennt sind. Im Gegensatz zu anderen Ansätzen läuft bei VServer aber nur ein Kernel.

Aktuelle Netscape-Version schließt Sicherheitslöcher. Ab sofort steht der Netscape-Browser in der Version 8.0.3.3 weiterhin ausschließlich für die Windows-Plattform zum Download bereit, womit die durch Firefox 1.0.5 bekannt gewordenen Sicherheitslücken auch in Netscape wieder geschlossen werden. Die fehlerbereinigte Version 8.0.3.1 von Netscape wurde von AOL ohne Angabe von Gründen kurze Zeit nach der Veröffentlichung wieder zurückgezogen.

Network Reputation Services zunächst nur für die USA und Australien. Mit seinen "Trend Micro Network Reputation Services" präsentiert Trend Micro ein Paket netzwerkbasierter Anti-Spam-Dienste. Laut Trend Micro unterbrechen die neuen Dienste 40 bis 80 Prozent aller Verbindungen zu bekannten, verdächtigen IP-Adressen und verhindern somit, dass davon versendete E-Mails in ein Netzwerk eindringen.

Diverse Maßnahmen sollen Kunden besser schützen. Die Postbank will Betrügern im Internet mit der indizierten Transaktionsnummer (iTAN) das Handwerk legen. Während die Bank heute eine beliebige TAN aus der Liste akzeptiert, gibt sie dem Kunden ab sofort den Einsatz einer bestimmten TAN vor. Selbst wenn die Betrüger in Besitz dieser iTAN gelangen, ist sie wertlos, denn bei der nächsten Online-Buchung verlangt der Bankrechner eine andere iTAN.

FBI ermittelt gegen Identitätsdiebe. Die Sicherheitssoftware-Firma Sunbelt berichtet in ihrem Blog von einer Spyware, die als Keylogger die Tastatureingaben der betreffenden Anwender mitschreibt und diese an einen fremden Webserver übermittelt. Die gespeicherten Informationen betreffen unter anderem Kontodaten, Logins, eBay-Passwörter, Chat-Mitschnitte und ähnliches Material.

Phisher verlinken laut Netcraft die echte Login-Seite von eBay. Netcraft warnt vor einer neuen Phishing-Methode, bei der die Angreifer E-Mails mit Links zu eBays Login-Seite versenden. Zwar zeigen die Links wirklich auf die Original-E-Mail-Seite, dennoch landen Nutzer letztendlich in den Fängen der Phisher.

Ausnutzung alter Windows-Sicherheitslücke befürchtet. Ein Mitarbeiter des Antiviren-Hersteller Kaspersky Labs berichtet, dass neue Varianten eines Trojanischen Pferdes gesichtet wurden, das sich über ein längst geschlossenes JPEG-Sicherheitsloch in Windows verbreitet. In Kürze könnte daher die Gefahr bestehen, dass sich entsprechende JPEG-Schädlinge im Internet verbreiten.

Sendmail, PGP, Yahoo und Cisco reichen Vorschlag bei der IETF ein. Mit "DomainKeys Identified Mail" (DKIM) schlagen Sendmail, PGP, Yahoo und Cisco ein neues System vor, mit dem das Fälschen von E-Mail-Absendern unterbunden werden soll. DKIM wurde von den vier Unternehmen bei der IETF eingereicht, nachdem der Versuch, mit Sender ID ein ähnliches Verfahren zu verabschieden, gescheitert war.

Vorabinformationen zu Microsofts Patch-Day am 9. August 2005. Wie üblich informierte Microsoft wenige Tage vor dem monatlichen Patch-Day grob über die zu erwartenden Sicherheits-Patches. Demnach werden am 9. August 2005 mindestens sechs Sicherheitslücken in Windows geschlossen. Einige der Sicherheitslücken stuft Microsoft selbst als kritisch ein.

Suchfunktion verriet Passwörter von Mitarbeitern und Kunden. Eine Schwachstelle in der Suchfunktion auf der Cisco-Homepage hat die Passwörter von registrierten Nutzern verraten, gestand der Netzwerk-Ausrüster jetzt ein. Da die Passwörter von Mitarbeitern, Kunden, Partnern und anderen so in die Hände von Dritten hätten geraten sein können, setzte Cisco alle Passwörter zurück.

Matte Oberflächen sind von Hause aus fälschungssicher. Forscher am Imperial College London haben nach eigenen Angaben einen Weg gefunden, um nahezu alle Papierdokumente, Plastikkarten und Produktverpackungen eindeutig und fälschungssicher erkennen zu können. Sie setzen auf kleine Mängel in der Oberflächstruktur, anhand derer sie Dokumente eindeutig identifizieren können.

Noch kein Patch verfügbar. Die Sicherheitsexperten von eEye haben eine weitere schwere Sicherheitslücke im Internet Explorer gefunden. Das Sicherheitsloch in Microsofts Browser erlaubt Angreifern die Ausführung beliebigen Programmcodes, so dass diese eine umfassende Kontrolle über ein fremdes System erlangen können.

... und mit Audio füttern. Mit Blooover hatte das Bluetooth-Sicherheitsrisiken aufzeigende trifinite-Team bereits gezeigt, wie sich ein Bluetooth-Handy leicht dazu nutzen kann, um seine Artgenossen auszuspionieren. Dass es auch um die Sicherheit von Bluetooth-Headsets bzw. fest eingebaute Bluetooth-Freisprechanlagen nicht sonderlich gut bestellt ist, zeigen trifinites Versuche mit einem Linux-Notebook, einer Richtantenne und einer eigenen Software namens "Car Whisperer".

Tracking-System für Flotten-Management mit neuem Einsatzzweck. Ein ursprünglich nur für das Flotten-Management von Firmenwagen gedachte System wird in den USA jetzt von seinem Hersteller als "Teen Tracking Device" vermarktet. Über eine Webseite können die Eltern jederzeit sehen, wo sich die Autos der Kinder befinden.

Aktuelle Opera-Version schließt Sicherheitslücken. In der vergangenen Woche veröffentlichte Opera die um Sicherheitslücken und Programmfehler bereinigte Version 8.02 des norwegischen Browsers. Nun reicht der Hersteller die bislang fehlende Version für Solaris nach. Mit Opera 8.02 werden insgesamt drei Sicherheitslücken in dem Browser geschlossen.

Cursor-Navigation machte Probleme. Wie bereits angekündigt, braucht die Browser-Suite Mozilla ein weiteres Update, nachdem erst kürzlich die Version 1.7.10 erschienen ist. Mit Mozilla 1.7.11 sollen die durch die Vorversion aufgetretenen Programmfehler wieder behoben werden.

Philip Zimmermann kündigt VoIP-Client zFone an. Schon 1995/96 versuchte sich Philip Zimmermann, der Erfinder der erfolgreichen PGP-Verschlüsselung, mit PGPfone an einer Software für verschlüsselte Internet-Telefonie. Damit war Zimmermann nach eigenem Bekunden aber etwas früh dran; sein neues Projekt zFone soll mit der heutigen größeren Bandbreite und VoIP-Protokollen wie SIP und RTP mehr Verbreitung finden.

Mobiltelefon-Besitzer müssen sich häufig für Nicht-Erreichbarkeit rechtfertigen. Handy-Besitzer geraten immer stärker in Erklärungsnot, falls sie per Taschentelefon nicht erreichbar sind, so dass Mobiltelefone einen entsprechenden Kontrollmechanismus ausüben. Gerade im familiären und beruflichen Umfeld komme es häufiger vor, dass sich Handy-Besitzer rechtfertigen müssen, wenn sie ihr Handy ausschalten und nicht erreichbar sind, berichtet ein Lüneburger Sozialwissenschaftler.

Erkennungsrate von Fingerabdrücken deutlich höher als von Gesichtsscans. Die deutschen Botschaften werden mit biometrischer Erkennungsmethoden ausgerüstet, um Visabetrüger leichter identifizieren zu können. Von April 2004 bis zum März 2005 wurde das Verfahren durch die deutsche Vertretung in Nigeria in einem Pilotversuch getestet, so der Spiegel.

Internet Explorer 7 Beta 1 mit Tabbed Browsing, RSS-Feeds und Anti-Phishing. Parallel mit dem Erscheinen der ersten Beta-Version von Windows Vista hat Microsoft auch die erste Beta vom kommenden Internet Explorer veröffentlicht. Zu den Neuerungen des Internet Explorer 7 gehören Tabbed Browsing, ein RSS-Reader, Anti-Phishing-Mechanismen, verbesserte CSS-Konformität und die Unterstützung transparenter PNG-Grafiken. Außerdem verspricht Microsoft mit dem Internet Explorer 7 eine deutlich gesteigerte Sicherheit, um Angriffe aus dem Internet gar nicht erst zu ermöglichen. Die Beta-Version vom Internet Explorer 7 zeigt viele Ansätze, aber noch wenig Endgültiges.