Datensicherheit

Trotz Unterschieden Gleichbehandlung mit unverlangter Telefon- und Fax-Werbung. Laut eines am 19. April 2004 vom Bundesgerichtshof veröffentlichten und bereits am 11. März 2004 gesprochenen Leitsatzurteils verstößt die Zusendung unverlangter E-Mails zu Werbezwecken - im Volksmund auch als Spam bezeichnet - grundsätzlich gegen die guten Sitten im Wettbewerb. Ein die Wettbewerbswidrigkeit ausschließendes Einverständnis des Empfängers der E-Mail muss der Werbende gegebenenfalls beweisen.

Lokale Angreifer können Root-Rechte erlangen. Die Sicherheitsexperten Paul Starzetz und Wojciech Purczynski haben erneut eine Sicherheitslücke im Linux-Kernel entdeckt, die es lokalen Angreifern erlaubt, Root-Rechte zu erlangen. Schuld ist ein Fehler in der Funktion ip_setsockopt().

AntiVir soll Dialer nicht als "gefährlich" bezeichnen. Der Dialer-Anbieter "Online Ideas" hat eine einstweilige Verfügung gegen den Antiviren-Anbieter H+BEDV beantragt. Dem Dialer-Anbieter ist es ein Dorn im Auge, dass die Antiviren-Software von H+BEDV, Antivir, bei Benutzung kostenpflichtiger Einwahlsoftware nicht nur eine Warnmeldung anzeigt, sondern die Dialer auch als "gefährlich" bezeichnet. H+BEDV zeigt sich davon unbeeindruckt.

Einsteigerversion für bis zu zehn Nutzer und eine Domain kostenlos. Ipswitch erweitert seinen Mail-Server IMail um neue Anti-Spam-Funktionen wie Worterkennung und verbesserte White-Lists. Insgesamt kombiniert IMail 20 Werkzeuge gegen Spam, zu denen auch Bayes-Filter, Header-Kontrolle und Blackhole-Listen gehören. IMail ist in drei Größen erhältlich; die Einsteigerversion IMail Express für bis zu zehn User ist kostenlos.

Microsoft deckt insgesamt 20 neue Sicherheitslecks im Windows-Betriebssystem auf. Am diesmonatigen Patch-Day veröffentlichte Microsoft vier Security Bulletins, worüber insgesamt 20 weitere Sicherheitslücken in dem Betriebssystem Windows bekannt wurden. Viele dieser Sicherheitslecks ermöglichen Angreifern Aktionen, die von der Ausführung von Programmcode bis zur kompletten Kontrolle über ein fremdes System reichen. Die zum Großteil von Microsoft als gefährlich eingestuften Sicherheitslöcher sollen bereitgestellte Patches beseitigen.

Präparierte Webseite startet Ausdrucke ohne Bestätigung des Nutzers. Wie der Sicherheitsspezialist Ben Garvey auf der Bugtraq-Mailingliste berichtet, weist die Druckfunktion des Internet Explorer 6 einen Programmfehler auf. Darüber können entsprechend formatierte Webseiten Ausdrucke initiieren, ohne dass der Anwender dies bestätigen muss.

Einstellung von Gmail gefordert , bis offene Datenschutzfragen geklärt sind. Mehrere US-amerikanische Datenschutz- und Bürgerrechts-Organisationen fordern Google in einem offenen Brief dazu auf, den Datenschutz des kürzlich angekündigten E-Mail-Dienstes Gmail zu verbessern und bis dahin den bisher nur für Beta-Nutzer zugänglichen Dienst abzuschalten. Besonders wird bemängelt, dass Gmail den Inhalt von E-Mails automatisch ausliest, um anhand der gesammelten Daten passende Werbung auszuliefern.

Patches bereinigen den Fehler. Cisco veröffentlichte ein Security Advisory, wonach die Wireless LAN Solution Engine (WLSE) und die Hosting Solution Engine (HSE) ein fest einprogrammiertes Paar aus Anmeldenamen und Kennwort enthalten. Somit könnten Angreifer unautorisierten Zugriff mit allen Rechten auf ein System erlangen, sofern das Name-Passwort-Paar bekannt ist. Eine manuelle Deaktivierung ist nicht möglich, so dass die bereitgestellten Patches installiert werden müssen.

Sicherheitsloch im R3T-Plug-In; RealNetworks' Patches deinstallieren Plug-In. RealNetworks teilte mit, dass das R3T-Plug-In für den RealPlayer ein Sicherheitsloch aufweist, worüber Angreifer beliebigen Programmcode auf einem fremden System ausführen können. Zur Abhilfe des Problems behilft sich RealNetworks damit, das betreffende Plug-In zu deinstallieren, anstatt den eigentlichen Fehler zu beheben.

Linux-Distributionen kritisieren Forrester-Report. Nachdem Forrester-Research in der letzten Woche in der Frage Is Linux more Secure than Windows? zu dem Schluss gekommen war, dass beide Systeme sicher eingesetzt werden können, Microsoft Sicherheitslücken aber schneller beseitigt, melden sich nun die Linux-Distributionen Debian, Mandrake, Red Hat und Suse gemeinsam zu Wort. Die Analyse behandle Sicherheitslücken gleich, unabhängig davon, wie kritisch diese sind und welches Risiko sie daher für Nutzer darstellen. Daher hätten die Schlüsse von Forrester in der Praxis weniger Wert.

Aktuelles Winamp 5.03 bereinigt das Problem. Sicherheitsspezialisten von NGSSoftware haben ein Sicherheitsleck in zahlreichen Winamp-Versionen entdeckt, worüber Angreifer beliebigen Programmcode auf einem fremden Rechner ausführen und damit die Kontrolle übernehmen können. In der aktuellen Fassung 5.03 von Winamp wurde diese Sicherheitslücke beseitigt, so dass Nutzer älterer Winamp-Fassungen diese aktualisieren sollten.

Starke Verbreitung des Sober-Neulings im deutschsprachigen Internet. Wie mehrere Anbieter von Antiviren-Software übereinstimmend berichten, verbreitet sich mit Sober.F ein weiterer Ableger des Wurms derzeit besonders stark im deutschsprachigen Internet. Im Unterschied zu den weiterhin stark in Umlauf befindlichen Würmern Bagle und Netsky versendet sich der aktuelle Sober-Wurm - wie auch seine Vorgänger - mit deutschsprachigen E-Mail-Texten. Wie bei aktuellen Würmern üblich, fälscht auch dieser die Absenderadresse und verschleiert somit seine Herkunft.

Telekommunikationsanbieter sollen mehr Daten länger speichern. Der Bundesrat hat die neue Fassung des Telekommunikationsgesetzes abgelehnt und den Vermittlungsausschuss zur grundlegenden Überarbeitung des Gesetzes angerufen. Die Bundesratsmehrheit fordert vor allem eine längere und umfassende Datenspeicherung seitens der Telekommunikationsanbieter. Kritiker befürchten dadurch eine Ausdehnung der Telefonüberwachung.

"Buffalo Spammer" muss 3,5 Jahre ins Gefängnis. Howard Carmack - auch bekannt als "Buffalo Spammer" - ist von einem US-Gericht schuldig gesprochen worden. Carmack hat unter der Identität von zwei Bürgern aus der US-Stadt Buffalo mehrere hundert Millionen Spam-E-Mails verschickt und wurde im Mai 2003 deswegen angeklagt.

Postini hat sich Spam- und Viren-Filter erfolgreich patentieren lassen. Wie der E-Mail-Provider Postini mitteilt, erhielt das Unternehmen bereits im November 2003 ein Patent auf einen Spam- und Viren-Filter zugesprochen, der kaum technische Besonderheiten aufweist. Damit hat das US-Patentamt erneut allgemeine technische Verfahren patentiert, wie es in der jüngsten Vergangenheit mehrfach geschehen ist.

Update behebt Fehler in Windows-Version der DTP-Software. Für die DTP-Software PageMaker 7.0.1 bietet Adobe einen Patch an, der eine verbesserte Kompatibilität mit anderen Adobe-Applikationen bringen soll. Außerdem wurden einige Programmfehler bereinigt, so dass die Software nun zuverlässiger arbeiten soll. Der Patch gilt nur für die Windows-Version von PageMaker 7 und hievt die Software auf die Versionsnummer 7.0.1a.

Identity-Management-Funktionen für HP OpenView. HP übernimmt das US-amerikanische Software-Unternehmen TruLogica. Die Software von TruLogica ermöglicht automatisiertes User-Management und soll in heterogenen IT-Umgebungen das Zugriffsrecht-Management vereinfachen. Mit der geplanten Integration dieser Technologie in HP OpenView Select Access will HP in Kürze eine umfassende Software-Lösung für automatisierte Zugriffs- und Nutzer-Verwaltung anbieten.

Angreifer können per Bluetooth Daten lesen und Handy-Funktionen ausführen. Wie das Unternehmen Integralis berichtet, weisen die Bluetooth-Protokolle in einem Nokia-Handy sowie einem Mobiltelefon von Sony Ericsson Sicherheitslücken auf, worüber Angreifer Zugriff auf die entsprechenden Geräte erlangen können. Sie können so etwa Kurzmitteilungen lesen, versenden sowie Anrufe tätigen.

Siemens zeigt Einsatz von RFID-Chip in Mobiltelefonen. Mit einer Studie demonstriert Siemens, wie Mobiltelefone künftig neue Funktionen durch Einsatz der RFID- und NFD-Technik erhalten können. Eine entsprechende Handy-Studie zeigt, wie das mobile Endgerät als Türschlüssel, aber auch als elektronische Brieftasche verwendet werden kann. Ein weiteres Einsatzfeld sieht Siemens darin, den Diebstahlschutz von Mobiltelefonen über Authentifizierungskarten zu verbessern.

Schutz des informationellen Selbstbestimmungsrechts. Zu der Forderung mehrerer Innenminister der Union, im Interesse der Terrorismusbekämpfung müsse das Datenschutzgesetz angepasst werden, erklärt der Bundesbeauftragte für den Datenschutz, Peter Schaar, dass die Behauptung, der Datenschutz stelle ein Hindernis für die Bekämpfung des Terrorismus dar, nicht zutreffend sei.

iKu bietet Anti-Spam-Appliance für Unternehmen und Provider an. Die iKu AG bietet mit Sponts/UCE einen Mail-Server an, der Spam besonders effektiv und nachhaltig bekämpfen soll. Wird eine Nachricht als Spam erkannt, wird dem Absender gemeldet, das Zielpostfach existiere nicht, so dass der Spam-Versender die Adresse im Regelfall aus seinem Adressbestand löscht, um Zeit und Bandbreite zu sparen, so der Hersteller.

PolyApply macht den Joghurtdeckel intelligent. Im europäischen Forschungsprojekt PolyApply (The Application of Polymer Electronics Towards Ambient Intelligence) arbeiten 20 europäische Partner aus Industrie und Forschung daran, RFIDs und andere elektronische Bausteine auf Basis polymer-elektronischer Technologie druckbar zu machen.

Gefälschte E-Mail versucht unvorsichtigen PayPal-Kunden Passwörter abzuluchsen. Einer angeblich von PayPal stammenden E-Mail an die Golem.de-Redaktion lässt sich entnehmen, dass erneut ein breit angelegter Betrugsversuch gegen die Nutzer des Online-Bezahldienstes stattfindet. Die HTML-E-Mail mit gefälschtem Absender und Betreffzeile "Your PayPal account is under review... Please read." gaukelt dem Empfänger eine angeblich nötige Sicherheitsüberprüfung des PayPal-Accounts vor, lockt mit offiziell aussehendem Link, leitet aber auf einen fremden Webserver um - wer hier seine Daten eingibt, ist sein PayPal-Konto und dessen Inhalte vermutlich los.

Patches für Excel 2003, Outlook 2003, Access 2002 sowie Office XP. Mit einem Schlag hat Microsoft Updates für die Office-Komponenten Excel 2003 und Outlook 2003 veröffentlicht, wobei der Outlook-Patch lediglich aktualisierte Spam-Filter-Definitionen umfasst. Als Weiteres wurden der Script Editor sowie das Text-Service-Framework aus Office XP aktualisiert und ein Problem in Access 2002 nach der Installation des Service Pack 3 für Office XP bereinigt.

Schaar: "Kunden müssen umfassend informiert werden.". Der Bundesbeauftragte für den Datenschutz, Peter Schaar, hat auf die datenschutzrechtlichen Anforderungen an die Ausgestaltung von Location Based Services (LBS) hingewiesen. Dabei könnten Datenpools entstehen, die nicht mehr zu kontrollieren seien, warnt Schaar.

NetSky.P verbreitet sich über E-Mail und P2P-Netzwerke. Wie Anbieter von Antiviren-Software berichten, konnte sich als weiterer NetSky-Ableger die P-Variante bereits stark verbreiten. Der Unhold nutzt eine uralte Sicherheitslücke im Internet Explorer, die eine angehängte Datei in Outlook oder Outlook Express automatisch bei Ansicht der E-Mail ausführt und im Falle des Wurmes den betreffenden Rechner infiziert, sofern das Sicherheitsleck nicht gestopft wurde.

Windows XP SP2 RC1 nur für Testzwecke vorgesehen. Wie bereits angekündigt, bietet Microsoft den Release Candidate 1 (RC1) für das Service Pack 2 (SP2) von Windows XP seit dem Wochenende kostenlos zum Download an. Dabei stehen Archive in englischer und deutscher Sprache zur Verfügung.

FAZ: Versand von Spam soll eine Straftat werden. Die SPD-Bundestagsfraktion plant offenbar Haftstrafen für Spam-Versender. Einen entsprechenden Entwurf eines "Anti-Spam-Gesetzes" habe die Arbeitsgruppe Telekommunikation der Fraktion ausgearbeitet, berichtet die Frankfurter Allgemeine Zeitung (FAZ), der der Vorentwurf vorliegt.

Akten suchen Diktate und umgekehrt. Die Firma Thax Software erweitert ihr Lokalisations- und Aktenmanagementsystem Findentity um ein digitales Diktiersystem. Durch die Verbindung von elektronischer Identifikation mittels RFID-Tags und digitaler Diktiertechnik soll sich Effizienz bei der Bearbeitung von Akten erhöhen lassen.

43.000 Zulieferbetriebe betroffen. Die US-Streitkräfte haben alle 43.000 Zulieferbetriebe verpflichtet, Radio-Frequency-Identification-(RFID-)Etiketten zu verwenden. Damit soll die Inventarisierung und die Materialverfolgung des Nachschubs erheblich vereinfacht und genauer werden.

Global Win will "Travel Box Dorri" nach der CeBIT 2004 ausliefern. Der taiwanesische Hersteller Global Win hat auf der CeBIT 2004 das externe USB-2.0-Festplattengehäuse "Travel Box Dorri" vorgestellt. Vom großen Konkurrenzangebot soll sich das Produkt dank der integrierten Verschlüsselungshardware, die Daten vor unbefugtem Zugriff schützt, absetzen.

Service Pack 2 für Windows XP kommt im Sommer 2004; weitere Details genannt. Es ist bereits bekannt, dass Microsoft sich mit dem Service Pack 2 (SP2) für Windows XP vor allem auf eine bessere Absicherung von Internet-Attacken, Wurm-Epidemien und Ähnlichem konzentrieren will. Allerdings lagen bislang nur wenige Details vor, wie das in die Praxis umgesetzt werden soll. Auf der CeBIT 2004 hatte Golem.de die Möglichkeit, einen Blick auf den aktuellen Release Candidate 1 vom SP2 zu werfen. Unter anderem erhielt der E-Mail-Client Outlook Express Sicherheitseinschränkungen beim Umgang mit Anhängen und HTML-Inhalten.

3D-System soll Erkennungsleistung verbessern. NEC präsentiert zur CeBIT 2004 ein erstes funktionsfähiges System für eine dreidimensionale Gesichtserkennung. Das 3D-System verbessert gegenüber einem 2D-System die Erkennungsleistung und erlaubt den simultanen Abgleich von 2D- und 3D-Daten.

directVPN für kleine und mittlere Unternehmen. Für kleine und mittelständische Unternehmen bietet T-Online Business nun einen VPN-Service an, der es ermöglicht, ohne zusätzliche Hardware ein virtuelles privates Netz (VPN) aufzubauen. DirectVPN ist eine rein softwarebasierte Lösung, wodurch die Integration in eine bestehende Netzwerkinfrastruktur leichter möglich sein dürfte als mit zusätzlicher Hardware.

Ungepatchtes Outlook lädt automatisch Wurm aus dem Internet. Wie zahlreiche Hersteller von Antiviren-Software warnen, verbreiten sich zwei neue Varianten des Bagle-Wurms, die eine Sicherheitslücke im Internet Explorer ausnutzen. Bagle.Q und Bagle.R infizieren allerdings nicht wie üblich ein System über einen mit der E-Mail versendeten Anhang, sondern laden den Programmcode automatisch über eine Sicherheitslücke auf einen fremden Rechner.

Nahfeldkommunikation "NFC" fürs Wohnzimmer, das Handy und die Kreditkarte. Sony und Philips wollen einen neuen drahtlosen Vernetzungsstandard etablieren, der nicht nur eine einfache Vernetzung von benachbarter Unterhaltungs- und Kommunikationselektronik ermöglichen soll. Die als "Nahfeldkommunikation" (engl. Near Field Communication, NFC) bezeichnete Technik verbindet kontaktlose eindeutige Geräteidentifikation via RFID, um den gesicherten drahtlosen Datenaustausch zweier aneinander gehaltener Geräte zu ermöglichen; eingesetzt werden soll die Technik nicht nur in Unterhaltungselektronik, sondern auch in mobilen Endgeräten sowie Kreditkarten.

Nachrichtentext erwähnt BSI, um Seriosität vorzugaukeln. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aus aktuellem Anlass vor einem Dialer, der eine Nachricht über den Windows-Nachrichtendienst versendet. Der dann erscheinende Text suggeriert, dass man auf einer Webseite Hilfe gegen den aktuellen NetSky-Wurm erhalte. Um Seriosität vorzutäuschen, wird das BSI im Text erwähnt, was Opfer in Sicherheit wiegen soll und diese zum Aufruf der angegebenen Webseite bringen soll.

Neue Versionen von OpenSSL beheben das Problem. Bei der Überprüfung von OpenSSL hat die OpenSSL-Group eine kritische Sicherheitslücke in ihrer Software entdeckt. Mit einem entsprechend präparierten SSL/TLS-Handshake gegen einen Server, der die OpenSSL-Bibliothek nutzt, lässt sich dieser dadurch zum Absturz bringen. Je nach der verwendeten Applikation könnte dies Denial-of-Service-Angriffe erlauben.

Telefonieren per IP-Telefon oder Softwarelösung. Arcor bietet seine VPN-Lösungen jetzt mit der Option an, im Firmennetz auch per IP telefonieren zu können. Für Heimarbeiter, Mitarbeiter auf Reisen und für Außendienstmitarbeiter kann so beispielsweise mit dem Notebook oder einem IP-Telefon ein kombinierter Daten- und Telefonanschluss realisiert werden.

Symantec-Bericht: Jede Woche mehr als eine weitere Sicherheitslücke im Internet. In dem halbjährlich erscheinenden Internet Security Threat Report von Symantec, einem Anbieter von Sicherheitslösungen für den IT-Bereich, wird berichtet, dass sich im zweiten Halbjahr 2003 der Zeitabstand zwischen Bekanntwerden einer Sicherheitslücke und Erscheinen eines Exploits deutlich verringert hat. Als großes Sicherheitsrisiko wird der Internet Explorer angesehen, da im Durchschnitt pro Woche mehr als ein Sicherheitsleck in Microsofts Browser entdeckt wurde.

Data Execution Prevention soll Einschleusung von Viren und Würmern erschweren. Robert Schlabbach von der TU-Berlin bietet ein kostenloses Tool an, um die Arbeitsweise der Funktion "Data Execution Prevention" im Zusammenspiel mit 64-Bit-Prozessoren und entsprechenden Windows-Versionen zu demonstrieren. Das Tool zeigt, wie das System reagiert, wenn eine Software unerlaubterweise auf geschützte Speicherbereiche zugreifen will. Damit soll das unbemerkte Einnisten von Viren und Würmern oder anderem Programmcode erschwert werden.

Open-E NAS Enterprise wird auf der CeBIT 2004 demonstriert. Nachdem die Open-E GmbH in 2003 ihr IDE-Flash-Modul als Open-E NAS 2.0 (ehemals "Ancom") sowie in 2004 dessen abgespeckte Version Open-E NAS SOHO vorstellte, soll auf der CeBIT 2004 erstmals die neue Enterprise-Version in Aktion gezeigt werden. Auch Open-E NAS Enterprise wird auf die IDE-Schnittstelle eines PCs gesteckt und wandelt diesen damit zum Linux-basierten NAS-Server (Network Attached Storage) um, unterstützt wie Open-E NAS 2.0 den RAID-Betrieb von IDE-Festplatten, bietet darüber hinaus aber zusätzliche Backup- und Synchronisationsoptionen.

Service Pack 3 für Office XP bringt zwei-Anti-Spam-Tools aus dem Tritt. Die beiden Spam-Filter "iHate Spam" von Sunbelt Software und SpamNet von CloudMark vertragen sich nicht so recht mit dem kürzlich erschienenen Service Pack 3 (SP3) für Office XP. Beim Empfang jeder eingehenden E-Mail spuckt die Outlook-Komponente aus Office XP eine Fehlermeldung aus, wenn einer der beiden Spam-Filter von Sunbelt Software oder CloudMark installiert ist.