IT-Sicherheit

Der 29-jährige Techniker Edward Snowden hat das NSA-Überwachungsprogramm Prism öffentlich gemacht. Der Guardian enthüllte seinen Informanten auf dessen ausdrücklichen Wunsch.

Der US-Geheimdienstchef James Clapper hat einige Details zum Spionageprogramm Prism enthüllt und bestätigt dabei die Darstellung der US-Internetkonzerne. Derweil legt der Guardian nach und veröffentlicht weiteres Beweismaterial.

Der Chef der Deutschen Polizeigewerkschaft bezeichnet die Verteidigung des NSA-Überwachungsprogramms Prism durch Obama als mutig und entschlossen. "Man kann nicht 100 Prozent Sicherheit und 100 Prozent Privatsphäre haben", erklärte Obama.

Barack Obama und sein politischer Gegner John McCain wurden während des Wahlkampfes 2008 ausspioniert. Hinter der Aktion steckten mutmaßlich chinesische Hacker mit Verbindungen zur Regierung. Das haben US-Geheimdienstler vor dem chinesisch-amerikanischen Gipfeltreffen enthüllt - auf dessen Tagesordnung auch Cyberspionage steht.

Das NSA-Abhörprogramm Prism soll Vollzugriff auf die Nutzerdaten auf den Servern von Microsoft, Yahoo, Google, Facebook, Youtube, Skype, AOL und Apple gewähren. Die deutsche IT-Branche findet das geschäftsschädigend und verlangt Aufklärung. Auch andere melden sich zu Wort.

Die Kassenschublade lässt sich per unerlaubtem Fernzugriff ansprechen. Zwei Zeichen Hackercode reichen, um eine Kasse zu öffnen, die mit der Software des Herstellers Xpient läuft.

Microsoft hat rund zwei Wochen nach Vorstellung der Xbox One Details zum geplanten Umgang mit Gebrauchtspielen und dem umstrittenen Thema Onlinezwang verraten. Microsoft verrät auch, wie mit den über die Konsole und ihren Kinect-Sensor gesammelten Daten umgegangen werden soll.

Der Webhoster Hetzner meldet einen Einbruch in seine Server. Dabei sollen Kundendaten kopiert worden sein. Die Passwörter und Zahlungsinformationen sind nicht ohne weiteres nutzbar. Kunden sollten ihre Passwörter dennoch umgehend ändern.

Wenn sich die Staatschefs Chinas und der USA Ende dieser Woche treffen, werden sie auch über Cyberspionage sprechen. Die Länder werfen sich gegenseitig Einbrüche in Computersysteme vor.

Google hat klargestellt, dass die Datenbrille Google Glass nicht zur Gesichtserkennung eingesetzt werden darf. Entsprechende Apps werden nicht zugelassen. Das hindert Entwickler jedoch nicht daran, sie für die Vorabversion zu veröffentlichen.

Ein Bezirksgericht in den USA hat einen Antrag Googles zurückgewiesen, 19 sogenannte National Security Letters (NSLs) des FBI für nichtig zu erklären. NSLs erzwingen die Einsicht in Nutzerdaten ohne Gerichtsbeschluss. Das Gericht lässt Google aber eine Tür offen.

Googles Sicherheitsforscher sollen Sicherheitslücken in Software anderer Hersteller künftig schon nach sieben Tagen veröffentlichen, wenn diese aktiv von Angreifern ausgenutzt werden - auch dann, wenn der Hersteller sie noch nicht geschlossen hat. Das ist auch ein Angriff auf die Sicherheitspolitik von Microsoft und Oracle.

Das Löschen von Nutzerkonten ist bei Plattformen wie Facebook, Xing und Amazon weiterhin nicht so einfach wie das Anmelden. Seit 2011 hat sich daran wenig verändert.

Eine US-Expertenkommission hat eine Liste von wichtigen militärischen Entwicklungsprojekten erstellt, die mutmaßlich über das Internet ausspioniert wurden. Die Cyberspione sollen ihren Ursprung in China haben.

Update Die Deutsche Telekom hat eine Sicherheitslücke im WLAN-Router Speedport LTE II gefunden. Angreifer könnten dadurch die Bandbreite einschränken. Ein dringend empfohlenes Update zur Behebung des Problems steht bereit.

Mehrere Apps des britischen Pay-TV-Anbieters BSkyB sowie mindestens ein Twitter-Account des Unternehmens sind von syrischen Aktivisten gehackt worden. Die betroffenen Apps sind inzwischen aus dem Play-Store verschwunden.

Eine US-Kommission aus ehemaligen Regierungsmitgliedern und hochrangigen Militärangehörigen und dem Ex-Intel-Chef empfiehlt den Einsatz von Rootkits und Ransomware, um den Diebstahl geistigen Eigentums zu unterbinden. Notfalls sollen Zugriffe auf Fremdrechner legalisiert werden.

Die Deutsche Telekom bereitet die Gründung einer Spezialabteilung gegen Cyberangriffe vor. Sie soll Sicherheitsprodukte und -dienstleistungen für Unternehmen aller Größen anbieten.

Eine seit Jahren bekannte potenzielle Sicherheitslücke ist auf allen Geräten mit Android und iOS weiterhin nutzbar. Solche Tablets und Smartphones teilen der Umgebung ihre bevorzugten WLANs mit, und das ist durchaus ein Problem.

28 teils gefährliche Sicherheitslücken in den zahlreichen Bibliotheken des Displayservers X.org haben die Entwickler geschlossen. Sie betreffen alle bisherigen Versionen des X Window System.

Ein guter Hacker verdient in China 100.000 US-Dollar im Jahr. Die Fertigkeit, in fremde Systeme einzudringen, wird auf IT-Sicherheitsmessen ganz offen beworben und an Universitäten gelehrt.

In einem offenen Brief an Innenminister Friedrich wird kritisiert, dass Deutschland sich in der EU dafür einsetzt, das heutige Datenschutzniveau weiter abzusenken.

Echte Computerviren gibt es in Industrieländern kaum noch. Wer umgangssprachlich von Viren spricht, meint Trojaner, Adware oder Würmer. Doch Microsoft sieht sie vor dem Comeback - in Regionen mit schlechter Internet- und Patch-Versorgung.

Datendiebstahl bei Yahoo in Japan: Daten von rund 22 Millionen Nutzern sind mutmaßlich entwendet worden.

Das Tallinn-Manual der Nato, das im Cyberwar das Töten von Hackern erlaubt, beschäftigt jetzt auch die Bundesregierung. "Es obliegt nicht der Bundesregierung, eine breite gesellschaftliche Debatte über die Regeln zu führen", heißt es trocken.

Ein Londoner Gericht schickt drei Mitglieder des Kollektivs Lulzsec ins Gefängnis. Ein vierter Angeklagter hat eine Bewährungsstrafe erhalten.

Im Iran werden kurz vor der Wahl verstärkt ausländische Webseiten gefiltert und die ohnehin langsame Surfgeschwindigkeit nochmals gedrosselt. Damit sei das iranische Intranet - auch Halal genannt - weitgehend fertig, sagen Aktivisten.

Über eine Schwachstelle im Linux-Kernel kann sich ein lokaler Angreifer von einem eingeschränkten Konto Root-Rechte verschaffen. Die Schwachstelle besteht bereits seit mehreren Jahren. Die Lücke wurde klammheimlich geschlossen.

Mozilla wird seine angekündigten neuen Cookie-Regeln, bei denen Third-Party-Cookies weitgehend blockiert werden, vorerst nicht anwenden. Der entsprechende Patch für Firefox macht noch Probleme und soll zunächst ausgiebig getestet werden.

Microsoft hat einen Sicherheitspatch für den Internet Explorer 8 veröffentlicht. In diesem Monat wurde dieses Sicherheitsleck bereits ausgenutzt. Im Rahmen von Microsofts Patchday gab es neun weitere Patches für die Produkte aus Redmond.

Adobe hat Sicherheitspatches für den Flash Player, AIR, den Adobe Reader, Acrobat und Coldfusion veröffentlicht. In allen drei Produkten werden gefährliche Sicherheitslücken geschlossen, 13 sind es im Flash Player und 24 im Adobe Reader sowie in Acrobat.

Der Mozilla Maintenance Service von Firefox und Thunderbird lässt sich von lokaler Schadsoftware zur Erlangung höherer Rechte ausnutzen. Die Sicherheitslücke kann nur über Umwege ausgenutzt werden. Andere Lücken sind allerdings kritisch und sollten vom Anwender durch Updates beseitigt werden.

Update Microsoft warnt vor einem Trojaner, der als Browsererweiterung Facebook-Accounts übernimmt. Die Schadsoftware ziele zwar auf brasilianische Nutzer ab, könne aber leicht an andere Sprachen angepasst werden.

"Mein Job war es, immer 25 einsatzbereite Zero-Day-Exploits auf dem USB-Stick zu haben." Das hat der frühere Chef eines Unternehmens erklärt, das von Hackern Schwachstellen für die US-Regierung kaufte. Einige Firmen bieten Jahresabonnements für eine bestimmte Anzahl von Schwachstellen an.

Ermittler haben offenbar Probleme damit, die Passwortsperre und Verschlüsselung auf dem iPhone zu brechen. Apple könne diese Sicherungen aber umgehen, heißt es in Unterlagen einer US-Bundespolizeibehörde.

Adobe warnt Nutzer von Coldfusion vor laufenden Angriffen im Netz und fordert Administratoren von Coldfusion auf, die Installationen abzusichern. Ein Patch kommt erst nächste Woche parallel zum Microsoft-Patchday.

Noch vor dem monatlichen Patchday hat Microsoft nun eine Zwischenlösung für die Zero-Day-Lücke im Internet Explorer 8 veröffentlicht. Der Hotfix soll zumindest fürs Erste den Internet Explorer 8 absichern.

In den vergangenen Wochen sind immer mehr Webseiten zu Schadsoftwareverteilern umgebaut worden. Es trifft Webseiten sowie Installationen von Apache, Nginx und Lighttpd. Das Internet Storm Center fragt sich schon: "Gibt es noch Webseiten, die nicht kompromittiert sind?"

Das Landgericht Berlin hat acht Datenschutzklauseln von Apples deutscher Webseite für rechtswidrig erklärt. Verbraucherschützer hatten gegen Apple geklagt. Im Vorfeld gab Apple strafbewehrte Unterlassungserklärungen zu sieben anderen Datenschutzklauseln ab.

Um geklaute Passwörter und deren Nutzung zu entdecken, schlagen Ari Juels und Ronald Rivest die Nutzung von Honeywords vor. Ein Angreifer kann diese nicht von den eigentlichen Passwörtern unterscheiden und geht bei der Benutzung in eine Falle, die einen Alarm auslösen kann.

Im Metasploit-Framework, das Anwender zum Testen der eigenen Sicherheit nutzen, ist ein Exploit integriert worden, der den Internet Explorer 8 überprüft. Somit dürften bald neben militärischen Zielen auch private Anwender angegriffen werden - allerdings sind nur wenige gefährdet.

Neue Firmware stopft Lücken in Produkten von D-Link. Die Updates gibt es für fünf Routermodelle und sieben Netzwerkkameras. In den IP-Cams wurden die Fehler erst vor kurzem entdeckt.

Die Intel-Tochter McAfee will das finnische Unternehmen Stonesoft übernehmen. Dessen Produkte mit Unternehmensfirewalls und VPN-Lösungen sollen McAfee zum Universalanbieter für Security machen.