Internet-Security

Ein Klick auf den falschen Link konnte genügen: Die Spieleplattform EA Origin führte über präparierte Links beliebige Software oder Schadcode aus. Auch die Konten der Spieler konnten auf diese Weise übernommen werden.

Die Reform des europäischen Urheberrechts ist eine Niederlage für viele Netzaktivisten. Zwar sind die Folgen der Richtlinie derzeit kaum absehbar. Doch es sollten die richtigen Lehren aus der jahrelangen Debatte mit den Internetgegnern gezogen werden.
Eine Analyse von Friedhelm Greis

Die Schadsoftware Triton hat es auf die Sicherheitsprozesse in Kraftwerken und anderer kritischer Infrastruktur abgesehen. Über diese lassen sich Ventile steuern oder eine Notabschaltung auslösen. Schlimme Unfälle könnten die Folge sein.

Schlechte Passwörter und schlechte E-Mail-Transportverschlüsselung: Eine Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft stellt Ärzten, Apotheken und Kliniken kein gutes Zeugnis aus, wenn es um IT-Sicherheit geht.

Ein Hacker-Team der Organisation Jisc konnte in die Systeme von 50 britischen Universitäten gelangen - in jeweils weniger als zwei Stunden. Das sei eine alarmierende Nachricht. Dabei ist das schwächste Glied wieder einmal der Mensch selbst.

Der Pharma-Riese Bayer ist Opfer eines Hackerangriffs geworden. Im internen Firmennetzwerk wurde die Schadsoftware Winnti entdeckt. Die gleichnamige Hackergruppe soll auch andere Unternehmen angegriffen haben.

Bioware hatte in Form von Shadow Realms die nicht veröffentlichte Vorlage geliefert, nun trifft es auch Breach: Das Entwicklerstudio QC Games stellt sein Fantasy-Koop-Online-Actionspiel ein.

Auch Unbeteiligte müssen überwacht werden können, um an Kriminelle oder Terroristen zu gelangen. Die Ansicht vertrat der CEO des Trojaner-Herstellers NSO in einem Interview. Doch wer definiert, wer ein Krimineller oder Terrorist ist?
Von Moritz Tremmel

Auf Hunderttausenden Asus-Geräten ist eine Schadsoftware über das Update-Tool installiert worden. Mit einer echten Signatur war sie kaum zu erkennen - zielte aber nur auf 600 Geräte. Asus hat ein Update veröffentlicht.

Falsche Bankkonten und E-Mail-Konten: Ein Litauer konnte viel Geld von Facebook und Google stehlen, indem er sich als Hardwaredistributor ausgegeben hatte. Was ihn letztlich überführt hat: Gier.

GDC 2019 Alden Kroll und Kollegen von Valve haben die neue Bibliothek und Veranstaltungshinweise auf Steam vorgestellt - und, fast noch wichtiger, für das Gaming Network des Unternehmens geworben.

Auf Anfrage eines Abgeordneten bestätigte das Innenministerium, dass auch vernetzte Autos in das Aufgabengebiet von Zitis gehören. Die Stelle soll Behörden bei der forensischen Auswertung und Hacking unterstützen.

Wenn Cloud-Dienste ausfallen, ist oft nur ein Server kaputt. Wenn aber Googles Safe-Browsing-Systeme den Zugriff auf die deutsche Microsoft Cloud komplett blockieren, liegt noch viel mehr im Argen - und das lässt für die Zukunft nichts Gutes erwarten.
Von Sebastian Grüner

34 von 45 getesteten Internetdiensten unterstützen laut Stiftung Warentest Zwei-Faktor-Authentifizierung - die Techniken sind allerdings sehr unterschiedlich.

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

Google hat in Chrome eine "echte Zeroday-Chain", also eine bislang unbekannte Sicherheitslücke gefunden. Nutzer des Browsers und seiner Derivate sollten schnellstmöglich ein Update aufspielen.

Mehrere Jahre wirkte es, als sei das dezentrale Kollektiv Anonymous in Deutschland eingeschlafen. Doch es bewegt sich etwas, die Aktivisten machen gegen Artikel 13 mobil - auf der Straße wie im Internet.
Von Anna Biselli

Der Kryptobörse Coinbase ist ein Fehler unterlaufen, als sie das italienische Startup Neutrino gekauft hat. Einige Mitarbeiter des Unternehmens waren Mitglieder des umstrittenen Hacking Teams. CEO Brian Armstrong bereut die Fehlentscheidung und trennt sich von den Mitarbeitern.

Trojaner nutzen eine 19 Jahre alte Sicherheitslücke in Winrar aus. Ein Update steht bereit. Auch andere Packprogramme könnten betroffen sein.

Lange Zeit konnte die Hamburger Sparkasse (Haspa) nur anhand der PIN auseinanderhalten, welcher Benutzer sich beim Online-Banking bei einem gemeinsam genutzten Konto anmeldet. Das soll sich jetzt ändern.
Von Fabian A. Scherschel

Das BSI warnt vor Smartphones und Tablets der Hersteller Ulefone, Blackview und Krüger & Matz. Auf den Geräten ist Schadsoftware vorinstalliert.

Passwort vergessen? Kein Problem, viele Anbieter machen es Nutzern leicht, ihr Passwort zurückzusetzen - und damit auch Kriminellen. Wir haben uns angesehen, wie leicht es ist, mit der Funktion an Daten zu gelangen oder ein E-Mail- oder Social-Media-Konto zu übernehmen.
Eine Analyse von Moritz Tremmel

Vorsicht beim Entpacken von ACE-Archiven: Sie können Dateien an beliebige Orte des Systems schreiben - und damit auch Code ausführen. Ein stabiles Update von Winrar wurde noch nicht veröffentlicht.

Gute Quellen hervorheben, Kontext bieten: Auf der Münchner Sicherheitskonferenz hat Google in einem White Paper seine Maßnahmen gegen Fake News vorgestellt. Wie sehr das Unternehmen für deren Verbreitung mitverantwortlich ist, zeigt eine aktuelle Untersuchung zum Thema flache Erde.

Die Bundesregierung gibt sich bei der Überwachung durch ihre Behörden immer zugeknöpfter. Selbst der Bundestag darf bestimmte Details nicht mehr erfahren. Außerdem stört sie sich an Begriffen wie Trojaner und Spionagesoftware.

Ein Jahr Haft für das unbefugte Einschalten eines smarten Fernsehers? Unions-Politiker aus den Bundesländern überbieten sich gerade mit Forderungen, die Strafen für Hacker zu erhöhen und den Ermittlern mehr Befugnisse zu erteilen. Doch da will die Bundesregierung nicht mitmachen.
Von Friedhelm Greis

Ein Angreifer ist offenbar beim Mailprovider VFEMail in die Systeme eingedrungen und hat versucht, so viel Zerstörung wie möglich anzurichten. Für viele Kunden heißt das wohl, dass ihre Mails verloren sind.

Eine falsche Version der eigentlich legitimen App Metamask ist auf Google Play herunterladbar. Die Malware greift jedoch im schlimmsten Fall Kontodaten der Krypto-Wallets des Opfers ab und kopiert Wallet-Adressen des Angreifers statt der eigenen. Das Unternehmen Eset rät zur Vorsicht.

Besitzer von TS-251+-NAS-Geräten berichten von merkwürdigen Einträgen in der Hosts-Datei durch Malware, die das Aktualisieren und Installieren von Antivirensoftware verhindern. Erst auf Nachfrage stellt Qnap einen Fix bereit. Nutzer wundern sich über dessen Trägheit in der Sache.

Ein Forscherteam hat die Nutzung bisher ungenutzter Flags aus dem BGP-Routingstandard getestet. Dabei haben reihenweise Router ihre Verbindungen abgebrochen. Das Experiment wurde nun gestoppt.

Die Behörden und Ministerien der französischen Regierung beginnen damit, ihre eigene Whatsapp-Alternative auf Basis der freien Chat-Software Matrix auszurollen. Die Entwickler aus Community und Verwaltung mussten dafür viel Arbeit leisten, wie ein Vortrag auf der Fosdem darstellt.

Eine Spionageabteilung im Auftrag der Vereinigten Arabischen Emirate soll die iPhones von Aktivisten, Diplomaten und ausländischen Regierungschefs gehackt haben. Das Tool sei wie Weihnachten gewesen, sagte eine frühere NSA-Mitarbeiterin und Ex-Kollegin von Edward Snowden.
Ein Bericht von Friedhelm Greis

Auf dem Online-Marktplatz xDedic konnten Kriminelle den Zugang zu gehackten Rechnern und Daten kaufen. Nun gingen Ermittler international gegen die Plattform vor.

Ein Update für die Android-App von Gmail bringt nicht nur ein neues Design: Google führt auch einige neue Funktionen ein. Verglichen mit dem Client Inbox, der im März eingestellt wird, bietet Gmail aber weiterhin weniger Komfort.

Das MySQL-Protokoll erlaubt es Servern, Daten des Clients auszulesen. Offenbar nutzte die kriminelle Gruppe Magecart dies zuletzt, um mit dem PHP-Datenbankfrontend Adminer Systeme anzugreifen. Auch PhpMyAdmin ist verwundbar.

Wo führt das hin, wenn Alltagsgegenstände smart und damit angreifbar werden? Der Sicherheitsforscher Michael Steigerwald zeigt, was mit einem smarten Leuchtmittel alles möglich ist.
Von Moritz Tremmel

Eine Sicherheitslücke in der Firmware von Baseband Management Controllern (BMC) ermöglicht bösartigen Admins, eine Art Rootkit zu installieren, das nur schwer auffindbar ist. Besonders kritisch wird dies bei der Verwendung gebrauchter Hardware.

Wie gut erkennen Sie Phishing-Mails, fragt ein Quiz der Google-Schwester Jigsaw. Beim Ausprobieren zeigt sich, wie leicht man hereinfallen kann.
Von Moritz Tremmel

Die Webseite von Pear, einer Sammlung von Bibliotheken für PHP, ist zurzeit offline. Offenbar wurde der Server gehackt und die Installationsdatei ausgetauscht.

Über eine Sicherheitslücke und Phishing sollen Hacker an unveröffentlichte Dokumente der US-Börsenaufsicht gelangt sein. Händler sollen mit den Insiderinformationen über vier Millionen US-Dollar verdient haben. Gegen die Hacker wurde nun Anklage erhoben.

Sicherheitslücken wie Spectre, Rowhammer und Heist lassen sich kaum vollständig beheben, ohne gravierende Performance-Einbußen zu akzeptieren. Daher bleiben sie ungefixt. Trotzdem werden sie bisher kaum ausgenutzt.
Von Hanno Böck

Eine täuschend echte Phishing-Seite, die sogar Zwei-Faktor-Authentifizierung umgehen kann: Mit dem Tool Modlishka lassen sich automatisierte Phishing-Kampagnen betreiben - auch von sogenannten Scriptkiddies.

Über die eigene Infrastruktur hat die Videolan-Community ihren VLC-Player bereits mehr als drei Milliarden Mal als Download verteilt. Die echte Zahl dürfte jedoch deutlich darüber liegen.

Ein polizeibekanntes Skriptkiddie hat offenbar jahrelang unbemerkt Politiker und Prominente ausspähen können und deren Daten veröffentlicht. Welche Konsequenzen sollten für die Sicherheit von Daten aus dem Datenleak gezogen werden?
Eine Analyse von Friedhelm Greis

Hinter einem täuschend echten Anruf des Apple-Supports stecken in Wahrheit Betrüger. Der Anruf könnte auch Menschen mit technischem Hintergrund zur Preisgabe sensibler Daten bringen.

In Heilbronn haben Ermittler die Wohnung eines IT-Sicherheitsspezialisten durchsucht, der nach eigenen Angaben bis vor kurzem noch Kontakt mit dem Verantwortlichen des Datenleaks von Politikern und Prominenten hatte. Er soll aber nur Zeuge im Verfahren sein, kein Verdächtiger.

35C3 Der Hacksport ist mit Risiken und Nebenwirkungen verbunden. Ein Vortrag auf dem 35C3 klärt auf und zeigt wie es Hacker besser machen können.
Von Moritz Tremmel

Hamburgs Verfassungsschutzchef Torsten Voß sieht den 5G-Standard als Risiko für die Demokratie: Extremisten und Terroristen könnten die systemimmanente Verschlüsselung ausnutzen, der Staat sollte entsprechend eine Zugriffsmöglichkeit erhalten.

Der App Store von Apple enthält eine Fake-App: Setup for Amazon Alexa ist nicht von Amazon und trotzdem in den Suchergebnis-Charts weit oben.

Zwei Jahre nach ihrer besorgniserregenden Recherche zu Sicherheitsmängeln in Industrieanlagen sind die Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers erneut fündig geworden. Ein Klärwerk hätten sie sogar komplett über das Internet übernehmen können.
Von Moritz Tremmel