Datensicherheit

Regulierungsbehörde legt Mindestanforderungen für Dialer fest. Gleichzeitig mit dem Inkrafttreten des "Gesetzes zur Bekämpfung des Missbrauchs von (0)190er/(0)900er Mehrwertdiensterufnummern" am 15. August 2003 hat die Regulierungsbehörde für Telekommunikation und Post (Reg TP) jetzt ein umfangreiches Maßnahmenbündel zur Bekämpfung des Rufnummernmissbrauchs vorgestellt. Demnach müssen Dialer nun bestimmten Mindestanforderungen genügen, die Missbrauch einen Riegel vorschieben sollen.

PS1DRV Hack nutzt Buffer Overflow. Ein Hack von Marcus R. Brown erlaubt es nun, von einer Memory-Card zu booten, ohne die PlayStation 2 modifizieren zu müssen. Der Hacker nutzt dabei einen Buffer-Overflow im PlayStation-1-/PSOne-Treiber der Spielkonsole.

GNU-Quelltexte offenbar unverändert. Der zentrale FTP-Server des GNU-Projekts steht bereits seit geraumer Zeit unter fremder Kontrolle. Ein Nutzer hatte im März 2003 eine Sicherheitslücke ausgenutzt und so Root-Zugriff auf der Maschine erlangt. Derzeit ist man dabei, die Integrität der auf dem Server zur Verfügung stehenden Dateien zu prüfen und diese auf einem Ersatz-System einzuspielen. Bislang gehen die Verantwortlichen aber davon aus, dass kein Source-Code des GNU-Projekts verändert wurde.

Erste Ergebnisse noch dieses Jahr erwartet. Gegen die mittlerweile unerträgliche Spam-Flut in den E-Mail-Postfächern formiert sich immer mehr Widerstand, vor allem nicht nur durch technische Einzelkämpfer, sondern auch organisatorischer Art. In der ersten August-Woche 2003 trat erstmalig die vom Verband der deutschen Internetwirtschaft eco e.V. ins Leben gerufene Anti-Spam-Task-Force (ASTF) zu einem Arbeitstreffen bei Schlund und Partner in Karlsruhe zusammen. Die ASTF geht auf den ersten deutschen Anti-Spam-Kongress zurück, der im Mai 2003 auf Schloss Kransberg in Usingen stattfand.

Windows-Sicherheitslücke erlaubt nahezu unkontrollierbare Verbreitung. Nachdem Microsoft Mitte Juli 2003 über ein Sicherheitsleck im RPC-Protokoll etlicher Windows-Betriebssysteme berichtet hatte, erwarteten Sicherheitsexperten schon mehrfach, dass ein entsprechender Wurm oder aber anderer Programmcode das Internet torpedieren werde. Diese Prognose bewahrheitete sich nun, denn ein entsprechender Wurm verbreitet sich seit vergangener Nacht explosionsartig über das Internet, wie zahlreiche Hersteller von Antiviren-Software übereinstimmend warnen.

Paul Graham: Angriff ist die beste Verteidigung. Bereits mit seinem Artikel A Plan for Spam hat Paul Graham nicht nur für Aufsehen gesorgt, sondern auch den Grundstein für eine neue Generation von Spam-Filtern - die so genannten Bayes-Filter - gelegt. Doch für Graham hat der Kampf gegen Spam erst begonnen. In seinem neuen Artikel Filters that Fight Back beschreibt er weitere Methoden, um Spammern Einhalt zu gebieten.

Philips will Papier mit RFID-Chips ausrüsten. Forscher von Philips haben eine Variante von intelligentem Papier entwickelt, das aus einem Blatt herkömmlichen Papiers besteht, in das ein RFID-Chip integriert ist. So sollen sich solche Papiere mit entsprechenden Scannern leichter und schneller wieder auffinden lassen.

Sicherheitszertifikat nach Common Criteria für SuSE Linux Enterprise Server 8. SuSE und IBM haben heute das Common-Criteria-Sicherheitszertifikat der Sicherheitsstufe EAL2+ (Evaluation Assurance Level 2+) für den SuSE Linux Enterprise Server 8 auf IBM eServer xSeries erhalten. Eine Zertifizierung nach dem höheren Sicherheitslevel EAL3+ zusammen mit den Anforderungen des Controlled Access Protection Profile (CAPP) für die gesamte IBM eServer Produktlinie wurde bereits beantragt. Damit soll Linux der Weg zu einem breiteren Einsatz bei Regierungen und in unternehmenskritischen Umgebungen geebnet werden.

Erstellung von Bewegungsprofilen möglich. In der momentan anhaltenden Diskussion über eine streckenbezogene Maut auf Autobahnen und Bundesstraßen müssen unverzichtbar auch die Anforderungen des Datenschutzes mit berücksichtigt werden. Darauf wies der Präsident der Gesellschaft für Informatik e.V. (GI), Heinrich Mayr, hin.

Gesundheitskarte soll den Datenschutz verbessern. Die Aussagen zur geplanten elektronischen Gesundheitskarte in der jüngsten Anzeigenkampagne der Kassenzahnärztlichen Bundesvereinigung (KZBV) zum angeblich gläsernen Patienten unter dem Titel "Wir finden Datenschutz ist genau so wichtig" seien falsch und irreführend, so der Bundesbeauftragte für den Datenschutz Dr. Joachim Jacob und die Bundessozialministerin Ulla Schmidt.

Sicherheitslecks erlauben Programmausführung. Im SQL-Server der Versionen 7.0 und 2000 sowie der Data Engine 1.0 entdeckte Microsoft drei neue Sicherheitslücken, die mit einem passenden Sammel-Patch behoben werden können. Die Sicherheitslecks erlauben es einem Angreifer unter anderem, beliebigen Programmcode auf dem Server auszuführen. Microsoft rät Systemadministratoren, den Patch schleunigst einzuspielen.

MIDI-Dateien werden durch DirectShow zum Sicherheitsrisiko. Wie Microsoft in einem aktuellen Security Bulletin mitteilt, steckt in der DirectX-Komponente DirectShow ein Sicherheitsleck, das es einem Angreifer erlaubt, über eine präparierte MIDI-Datei beliebigen Programmcode auf einem fremden System auszuführen. Microsoft bewertet das Sicherheitsleck, das in zahlreichen DirectX-Versionen enthalten ist, als kritisch, schon weil DirectX Bestandteil etlicher Windows-Versionen ist.

Lindows.com bringt Netzcomputer für 169,- US-Dollar. Der umstrittene Linux-Distributor Lindows.com hat jetzt mit der Lindows WebStation eine Art Netzcomputer vorgestellt. Die WebStation soll für 169,- US-Dollar angeboten werden und kommt ohne Festplatte aus. Das Betriebssystem startet von CD.

Verbraucherschutzministerin Renate Künast will Gewinne aus Spam einziehen. Die Bundesregierung will offenbar verstärkt gegen Versender von Spam vorgehen. Bereits im Herbst werde der Bundestag eine Gesetzesverschärfung beschließen, nach der E-Mail-Werbung nur noch mit vorheriger Zustimmung des Empfängers verschickt werden darf, so die Berliner Zeitung unter Berufung auf Verbraucherschutzministerin Renate Künast.

Bürokratieabbau oder Verschleierung? Unter dem Vorwand des Bürokratie-Abbaus möchte das Bundeswirtschaftsministerium die Jahresstatistik über die abgehörten Telefone abschaffen. Wie das Nachrichtenmagazin Focus meldet, soll im neuen Telekommunikationsgesetz der Paragraf dafür fallen. Als Ersatz gäbe es nur noch Zahlen über die Ermittlungsverfahren.

Patch behebt Bluetooth-Probleme im NZ90 und TG50. Für die Clié-Modelle NZ90 sowie TG50 bietet Sony einen Patch für die integrierte Bluetooth-Funktion an, der einige Probleme beheben soll. Zudem steht für den Clié NX70V ein Update bereit, damit der PalmOS-PDA mit einem optionalen Bluetooth-Memory-Stick die Steuerung einer Bluetooth-Digitalkamera übernimmt.

Patch mit zahlreichen Neuerungen für Wavelab 4.0. Steinberg bietet ab sofort einen kostenlosen Patch für Wavelab 4.0 an, um der Musik-Software einige Neuerungen zu verpassen. So beherrscht Wavelab 4.01 nun den Umgang mit Ogg-Vorbis-Dateien, erhielt eine Scripting-Unterstützung und verarbeitet Nuendo-Dateien direkt.

Sicherheitslecks erlauben die Ausführung von Programmcode. In zwei Security Bulletins berichtet Microsoft über weitere kritische Sicherheitslecks im Windows-Betriebssystem, wofür ab sofort passende Patches bereitstehen. Während eine Sicherheitslücke nur Windows XP mit installiertem Service Pack 1 betrifft, ist das andere Sicherheitsloch in mehreren Windows-Fassungen enthalten. Beide Lecks erlauben es einem Angreifer, beliebigen Programmcode auf einem fremden System auszuführen.

Sicherheitslücke erlaubt es, Router und Switches lahm zu legen. Cisco warnt vor einer kritischen Sicherheitslücke in seinem Betriebssystem IOS. Betroffen sind alle Geräte, die mit IOS laufen und IPv4-Pakete verarbeiten, die durch den Fehler im IOS außer Betrieb gesetzt werden können.

Zire 71 hat gelegentlich Schwierigkeiten beim Lesen von Erweiterungskarten. Palm bietet für den PalmOS-PDA Zire 71 einen Patch an, der gelegentliche Probleme beim Lesen von Erweiterungskarten bereinigen soll. Damit soll die Funktionstüchtigkeit des Erweiterungssteckplatzes wieder garantiert werden.

Lycoris stellt Linux-Distribution für die Tablet-PC-Plattform vor. Der Linux-Distributor Lycoris hat jetzt eine spezielle Linux-Distribution für Tablet-PCs vorgestellt. Die Lycoris Desktop/LX Tablet Edition soll es Herstellern erlauben, Tablet-PCs rund 100 Euro günstiger anzubieten als dies mit einem Microsoft-Betriebssystem möglich ist.

Hacker arbeiten immer gezielter. Die Zahl sicherheitsrelevanter Ereignisse ist im ersten Halbjahr 2003 leicht zurückgegangen. Sie sank von 160,5 Millionen im ersten auf 136,5 Millionen im zweiten Quartal. Dafür hat der Anteil bestätigter Attacken und gefährlicher Vorfälle im gleichen Zeitraum um 13,7 Prozent zugenommen. Das ist das Ergebnis des vierteljährlichen Sicherheitsberichts für das Internet, den das Unternehmen Internet Security Systems (ISS) in Atlanta/ USA veröffentlicht hat.

Gesetzentwurf im zweiten Anlauf akzeptiert. Das "Gesetz zur Bekämpfung des Missbrauchs von 0190er/0900er-Mehrwertdiensterufnummern" hat am heutigen 11. Juli 2003 den zweiten Anlauf im Bundesrat geschafft. CDU/CSU hatten sich am 20. Juni 2003 noch gegen das neue Verbraucherschutzgesetz entschieden; am 2. Juli 2003 war der Gesetzentwurf noch einmal Gegenstand von Beratungen im Vermittlungsausschuss.

Ein Sicherheitsloch erlaubt einem Angreifer die Ausführung von Programmcode. In zwei Security Bulletins berichtet Microsoft über weitere Sicherheitslücken innerhalb von Windows. Während das eine Sicherheitsleck bei der Anzeige einer Webseite oder HTML-Mail auftritt und somit den Internet Explorer betrifft, benötigt man zum Ausnutzen des anderen Sicherheitslochs einen lokalen Zugang zum betreffenden Rechner. Microsoft selbst stuft beide Sicherheitslecks als gefährlich ein.

Fehler im SMB-Protokoll erlaubt einen Fernangriff. In zahlreichen Windows- und Windows-Server-Ausführungen steckt eine Sicherheitslücke, die es Angreifern erlaubt, Daten zu zerstören, das System zum Absturz zu bringen oder im schlimmsten Fall beliebigen Programmcode auszuführen. Das Sicherheitsloch steckt im SMB-Protokoll, so dass ein Angreifer nur ein speziell formatiertes Kommando senden muss.

Einführung elektronischer Behördendienste soll beschleunigt werden. 30 Minister der EU, der EFTA und der Beitrittsländer haben sich am 7. und 8. Juli 2003 auf der zweiten europäischen Konferenz zu elektronischen Behördendiensten zu einer gemeinsamen Erklärung entschlossen, in der sie im Namen der italienischen Präsidentschaft konkrete Maßnahmen zur beschleunigten Einführung elektronischer Behördendienste vorschlagen. Die Minister forderten die Präsidentschaft ausdrücklich auf, ihre Erklärung bei der nächsten Tagung des Rates "Telekommunikation" vorzulegen.

Legatos Software-Lösungen sollen EMCs Produkt-Portfolio erweitern. Der Speichersystem-Hersteller EMC will den Software-Hersteller Legato Systems übernehmen, wie beide Unternehmen heute ankündigten. Die Übernahme soll im Rahmen eines Aktientausches abgewickelt werden und ein Volumen von rund 1,3 Milliarden US-Dollar haben.

Bundestagsfraktion von CDU/CSU fordert gesetzliche Regelungen gegen Spam. Als Reaktion auf zunehmende Verbreitung von unerwünschten Werbe-E-Mails (Spam) fordern Dr. Martina Krogmann, Internetbeauftragte der CDU/CSU- Bundestagsfraktion, und Eckart von Klaeden, Parlamentarischer Geschäftsführer der CDU/CSU-Bundestagsfraktion, jetzt eine ausdrückliche gesetzliche Regelung zum Verbot von Spam. Die beiden Oppositionspolitker kritisieren dabei die rot-grüne Bundesregierung, die die EU-Richtlinie zum Datenschutz in der Telekommunikation bislang nicht umgesetzt habe. Die Richtlinie sieht vor, dass E-Mail-Werbung von Unternehmen grundsätzlich nur mit vorheriger Zustimmung des Empfängers an diesen versandt werden darf.

Veröffentlichte Sicherheitslücke im Xbox-Dashboard führt unsignierten Code aus. Eine Free-X getaufte Gruppe von "Xbox-Kopierschutz-Forschern" hat einen Weg gefunden, um auf einer nicht umgebauten Xbox beliebige Software auszuführen. Da Microsoft nicht für Gespräche über einen offiziell abgesegneten Xbox-Linux-Bootloader bereit gewesen sei, wurde die Sicherheitslücke und Beispielcode zu deren Ausnutzung nun veröffentlicht.

Einzel-Photon über 100 km herkömmliche Glasfaser-Leitung übertragen. NEC, die Telecommunications Advancement Organization of Japan (TAO) und die Japan Science and Technology Corporation (JST) haben die erfolgreiche Übertragung eines einzelnen Photons über 100 km Niedrigpreis-Glasfaser vermeldet. Dabei wurde ein Quantenkryptografiesystem eingesetzt, das eine sichere Datenübertragung ermöglichen soll.

Neue Nightingale-Technologie basiert auf der Methode des "Secret-Splitting". RSA Security hat ein neues Verschlüsselungsverfahren vorgestellt. Die neu entwickelte Lösung Nightingale (dt.: Nachtigall), die in den RSA Laboratories entwickelt wurde, basiert auf der Technologie des "Secret-Splitting" und soll alle Arten von sensiblen Informationen sowohl vor internen als auch vor externen Bedrohungen schützen. Unter die Daten mit besonders hoch einzustufenden Schutzanforderungen fallen beispielsweise Patienten- oder Finanzdaten, Kreditkarteninformationen, kryptografische Schlüssel oder andere wichtige Daten.

IT-Sicherheit für Verwaltung, Unternehmen und Privathaushalte. Das Bundesministerium des Inneren (BMI) und Infineon wollen künftig eng im Bereich der IT-Sicherheit zusammenarbeiten. Bundesinnenminister Otto Schily und Dr. Ulrich Schumacher, Vorstandsvorsitzender von Infineon, unterschrieben jetzt in München das "Memorandum of Understanding" für eine weitreichende Sicherheitskooperation.

Unschuldige geraten ins Visier. Der Bundesbeauftragte für den Datenschutz, Joachim Jacob, hat kurz vor der Verhandlung des Bundesverfassungsgerichts über den Großen Lauschangriff am 1. Juli 2003 die Abhörpraxis in Wohnungen kritisiert.

Mit Unterstützung von USB 2.0 und IEEE 802.1x. Nachdem am gestrigen 26. Juni 2003 bereits die Archive für das Service Pack 4 von Windows 2000 zum Download bereitstanden, hat Microsoft nun auch die entsprechenden Infoseiten aktualisiert und damit offiziell die Verfügbarkeit bekannt gegeben. Neben einer englischsprachigen Ausführung existiert auch bereits eine deutschsprachige Version vom Service Pack 4.

Angreifer können beliebigen Programmcode auf einem fremden System ausführen. In Microsofts Internet Explorer wurde erneut eine schwere Sicherheitslücke bei der Nutzung von Active Scripting entdeckt. Wie die Sicherheitsexperten von Secunia.com berichten, kann ein Angreifer über eine präparierte Webseite den Browser zum Absturz bringen oder beliebigen Programmcode mit den Nutzerrechten ausführen. Bislang bietet Microsoft keinen Patch zur Abhilfe an.

Starke Verbreitung durch gefälschte Absenderadressen. Zum dritten Mal in Folge schafft es eine Variante des Sobig-Wurms, sich besonders rasant im Internet zu verbreiten. Auch der Wurm Sobig.E beendet seine Aktivitäten ab einem bestimmten Datum und ist danach nicht mehr aktiv. Dabei werden gefälschte Absenderadressen verwendet, was die Identifikation des befallenen Systems stark erschwert.

Angreifer kann beliebigen Programmcode ausführen. Eine Sicherheitslücke in den Windows Media Services der Server-Versionen von Windows 2000 erlaubt es einem Angreifer, über eine speziell formatierte HTTP-Anfrage beliebigen Programmcode auszuführen oder die Internet Information Services (IIS) zum Absturz zu bringen. Zur Behebung dieser Sicherheitslücke bietet Microsoft einen passenden Patch an.

Tungsten-C-Patch bringt zahlreiche kleine Verbesserungen. Für den PalmOS-PDA Tungsten C bietet Palm ab sofort ein Patch, der einige Fehler im Gerät bereinigen soll. So soll vor allem das mögliche Löschen von MAC-Adressen verhindert und eine verlässliche Netzwerkkonfiguration durch Nutzung von MAC-Adressfilterung zugesichert werden.

CDU/CSU kippen Gesetzentwurf zum Schutz vor Dialern. CDU/CSU haben im Bundesrat das Inkrafttreten eines Gesetzes gegen den Missbrauch der Mehrwertdienste über 0190er- und 0900er-Nummern vereitelt. Seitens der SPD hieß es dazu, dass der verantwortlichen bayerischen Landesregierung dabei eine kleinkarierte Auseinandersetzung um die Abgrenzung von Bundes- und Länderkompetenzen offenbar wichtiger als der Verbraucherschutz sei.

Schutz durch umfangreiche Spam-Datenbank. Cobion will mit einer eigens entwickelten Anti-Spam-Technologie der steigenden Flut von Werbemails die Stirn bieten. In einer weltweiten Testphase soll die Software sowohl von mittelständischen Unternehmen, von Konzernen mit mehreren tausend E-Mail-Nutzern als auch von ISPs mit privaten E-Mail-Konten getestet worden sein.

Enthält aktuelle Versionen von Norton Utilities und Norton AntiVirus. Symantec bietet ab Ende Juni 2003 die Tools-Sammlung SystemWorks für MacOS X in der Version 3.0 an. Darin enthalten sind die beiden Werkzeug-Programme Norton Utilities 8.0 und Norton AntiVirus 9.0 für die MacOS-Plattform.

Acrobat Reader und xpdf in aktualisierten Versionen verfügbar. Anfang der Woche wurde eine ungefährliche Sicherheitslücke in den Linux-Programmen Acrobat Reader und xpdf zur PDF-Ansicht entdeckt. Um das Sicherheitsleck zu stopfen, wurden nun aktualisierte Fassungen der beiden Applikationen veröffentlicht.

15 Spammer in den US und Großbritannien verklagt. Microsoft hat im Kampf gegen Spam insgesamt 15 Personen in den USA und Großbritannien verklagt. Das Redmonder Unternehmen wirft ihnen vor, gemeinschaftlich Microsofts Kunden und Systeme mit mehr als zwei Milliarden unverlangten E-Mails überflutet zu haben.