IT-Sicherheit

Kläger werfen Heartland vor, seine Systeme nicht ausreichend geschützt zu haben. Kunden des US-Zahlungsdienstleisters Heartland Payment Systems haben eine Sammelklage gegen das Unternehmen eingereicht. Die Kläger waren durch eine massive Sicherheitslücke in den Computersystemen des Unternehmens geschädigt worden. Vergangene Woche machte Heartland sie bekannt.

Software löscht verfluchte SMS von S60-Geräten. Nokia hat eine Software veröffentlicht, mit der sich Nokia-Smartphones mit S60 3rd Edition von den Folgen der sogenannten Curse of Silence SMS befreien lassen. Hacker hatten auf dem Chaos Communication Congress gezeigt, wie sich der Kurznachrichtendienst entsprechender Telefone mit einer SMS lahmlegen lässt.

Sicherheitskomponente ist noch in der Entwicklung. Microsoft hat den Quelltext seiner Web Sandbox unter eine Open-Source-Lizenz gestellt. Das Projekt richtet sich an Webentwickler, die eine Sandbox zur Isolation von sicherheitskritischen Elementen nutzen wollen. Sie soll mit verschiedenen Browsern kompatibel sein.

Zwangsweise Erfassung persönlicher Daten aller Minderjährigen. In Großbritannien läuft ein neues ambitioniertes und umstrittenes Datenbankprojekt der Labour-Regierung: Alle Kinder und Jugendlichen unter 18 Jahren werden in einer zentralen Datenbank erfasst. Zugang erhalten rund 390.000 Erwachsene, die sich um Kinder kümmern.

Eltern ahnen nicht, wie sich ihre Kinder in Gefahr bringen. Jugendliche stellen persönliche Informationen oft bedenkenlos online, bekommen aber auch immer häufiger unangenehme Folgen zu spüren, berichtete eine Jugendkoordinatorin der Polizei beim Europäischen Datenschutztag. Eltern sollten darauf mit Regeln statt mit Verboten antworten, rät sie.

Bürgerrechtler wollen Datenspeicherung durch TK-Anbieter verhindern. Die Bürgerrechtsorganisationen La Quadrature du Net, European Digital Rights (EDRi) und der Arbeitskreis Vorratsdatenspeicherung (AK Vorrat) haben das Europäische Parlament aufgefordert, die sogenannte freiwillige Vorratsdatenspeicherung nicht zu verabschieden. Sie soll es Telekommunikationsanbietern ermöglichen, Verkehrsdaten ihrer Kunde zu speichern und weiterzugeben.

Diesmal Gefahr für online registrierte Neukunden. Bei der Deutschen Telekom gibt es offenbar ein neues Kundendatenleck. Mehrere hundert Datensätze von Neukunden, die sich online angemeldet haben, waren ungenügend gesichert und über einen einfachen Link tagelang für jeden verfügbar. Das Magazin Stern berichtet, die Telekom habe ihm das bestätigt.

Ausbau der Kameras auf Bahnhöfen im vollem Gange. Der Chef der Bundespolizei, Matthias Seeger, will eine stärkere Videoüberwachung auf Bahnhöfen und auch in Zügen der Deutschen Bahn. Die Bundespolizei, der ehemalige Bundesgrenzschutz, baut die Videoüberwachung auf allen Großbahnhöfen aus.

Brisante Passage in Gesetzentwurf zur Informationstechnik des Bundes. Datenschützer kritisieren einen neuen Gesetzentwurf von Bundesinnenminister Schäuble, der Anbietern von Webseiten erlauben soll, das gesamte Surfverhalten der Nutzer aufzuzeichnen. Selbst die umstrittene Vorratsdatenspeicherung sieht das nicht vor.

ElcomSoft Wireless Security Auditor 1.0 für Windows. Mit dem Wireless Security Auditor 1.0 von Elcomsoft lassen sich Brute-Force-Attacken gegen WPA- oder WPA2-PSK-verschlüsselte WLANs ausführen. Laut den russischen Entwicklern kann dazu auch die Rechenleistung von Grafikchips von ATI und Nvidia genutzt werden, um das Herausfinden unsicherer Passwörter deutlich zu beschleunigen.

Versehentliche Durchsuchung, Anklage und Verurteilung sind legal. In den USA dürfen von der Polizei illegal gesammelte Beweise nicht vor Gericht verwendet werden. Davor schützt die Verfassung. Werden die Beweise aber wegen einer Computerpanne irrtümlich illegal gewonnen, dürfen sie verwendet werden. Das hat der Supreme Court mit 5:4 Richterstimmen entschieden.

Schengen-Informationssystem II hat technische Probleme. Dem Schengen-Informationssystem II (SIS II) zum grenzübergreifenden Austausch biometrischer Daten zwischen Polizei und Geheimdiensten droht das Aus. Die Technik spielt nicht mit. Bei vielen Tests des ambitionierten EU-Datenbankenprojekts gab es Pannen.

Critical Patch Update für Januar 2009 veröffentlicht. Oracle hat das Critical Patch Update für Januar 2009 freigegeben. Darin sind 41 Patches enthalten, die Sicherheitsprobleme in der Oracle-Palette beheben.

Zwei Sicherheitslecks werden als gefährlich klassifiziert. Am ersten Patchday des Jahres 2009 hat Microsoft nur einen Patch veröffentlicht, der aber gleich drei Sicherheitslücken schließt. Zwei der Sicherheitslecks werden als gefährlich eingestuft, weil sich darüber beliebiger Programmcode ausführen lässt.

Opposition: Überwachung der Bürger als wahrer Hintergrund. Die Bundesregierung hat in der Antwort auf eine Kleine Anfrage der Linkspartei zugegeben, dass "biometrische Verfahren allenfalls sekundär zur Früherkennung von terrorverdächtigen Personen" dienen können. Nach Einführung des biometrischen E-Reisepasses wird weiter an 3D-Gesichtserkennung im Alltag gearbeitet.

E-Mail-Adresse ist in Dateien gespeichert. Apple bietet seine über iTunes verfügbaren Musiktitel teilweise ohne DRM an. Von wem die Titel stammen, lässt sich dennoch zurückverfolgen. Denn die gekauften Dateien enthalten Daten des iTunes-Zugangs.

Experten wollen Sicherheitslücken verhindern. Eine Gruppe internationaler Programmierexperten hat eine Liste der 25 gefährlichsten Programmierfehler veröffentlicht. Sie sollen für Sicherheitslöcher verantwortlich sein und Datenspionage ermöglichen. Die meisten Programmierer achteten nicht darauf, diese Fehler zu vermeiden.

Quellcode liegt bei Sourceforge. Das Unternehmen Sensory Networks stellt die Entwicklung des Spamfilters Dspam komplett ein. Auch die Projektseite wird vom Netz genommen. Nun wird nach Programmierern gesucht, die die Open-Source-Software weiterentwickeln wollen.

Ab heute müssen sich USA-Reisende online für die Reise registrieren. Seit dem heutigen Montag müssen sich USA-Reisende aus Ländern ohne Visapflicht online registrieren, bevor sie das Flugzeug oder Schiff besteigen, das sie über den Atlantik bringen soll.

Weitere Funktionen aus Amarok 1.4 enthalten. Der freie Mediaplayer Amarok ist in der Version 2.0.1.1 erschienen. Die neue Version enthält weitere Funktionen, die aus Amarok 1.4 übernommen wurden und schließt zusätzlich eine Sicherheitslücke. Die Entwickler raten daher zum Update.

Patch für Beta von Windows 7 korrigiert insgesamt zwei Fehler. Am heutigen 9. Januar 2009 will Microsoft der Allgemeinheit die Beta von Windows 7 als Download bereitstellen. Kurz zuvor hat Microsoft noch einen Patch veröffentlicht, um unter anderem einen zuletzt entdeckten schwerwiegenden Fehler im Windows-Vista-Nachfolger zu korrigieren.

Sicherheitspatch erscheint am 13. Januar 2009. Der erste Microsoft-Patchday in diesem Jahr fällt ruhig aus, denn es wird nur ein Update für die Windows-Plattform geben. Damit soll mindestens ein als gefährlich eingestuftes Sicherheitsleck beseitigt werden, weil Angreifer darüber beliebigen Programmcode ausführen können.

Durchsuchungen wegen des Verdachts auf Preisabsprache. Die EU-Kommission ermittelt gegen mehrere Chiphersteller wegen des Verdachts auf Verstöße gegen die Wettbewerbsrichtlinien der Gemeinschaft. Europäische und nationale Ermittler durchsuchten deshalb die Geschäftsräume von mehreren Unternehmen, darunter auch die von Infineon.

Golem.de gibt Tipps zur Abmilderung der staatlich angeordneten Überwachung. Seit Beginn des Jahres 2009 ist die nächste Stufe der Vorratsdatenspeicherung in Kraft. Auch Internetprovider, Anbieter von VoIP-Telefonie und E-Mail-Diensten müssen nun protokollieren, wer mit wem gesprochen oder gemailt hat. Doch es gibt Möglichkeiten, die Vorratsdatenspeicherung zu umgehen.

Privatunternehmen soll Datenbank einrichten und betreiben. Auch die britische Regierung will künftig Verkehrsdaten ihrer Bürger erfassen und speichern. Die Pläne von Innenministerin Jacqui Smith haben harsche Kritik ausgelöst. Grund ist unter anderem, dass ein Privatunternehmen die entsprechende Datenbank aufbauen und betreiben soll.

Sicherheitslücken, die das Bewusstsein verändern sollen. Frank Rieger und Ron vom Chaos Computer Club (CCC) haben einen Ausblick auf die Sicherheitsprobleme in der Informationstechnik gegeben. Sie sehen das Ende des Virenscanners nahen.

Aktuelle Version beseitigt Sicherheitslücken. Mit Thunderbird 2.0.0.19 werden mehrere Sicherheitslücken in dem E-Mail-Client beseitigt. Damit zieht der E-Mail-Client mit dem Browser Firefox gleich, für den das Sicherheitsupdate bereits seit zwei Wochen verfügbar ist.

CCC empfiehlt Nutzern von Nokia, ein Softwareupdate einzufordern. Auf einem der letzten Vorträge des 25. Chaos Communication Congress (25C3) wurde ein Exploit demonstriert, der auf äußerst einfache Art und Weise einen Großteil der aktuellen Nokia-Handys lahmlegen kann. Es ist zwar nur der Short Message Service (SMS) betroffen, aber für viele Nutzer sind die Kurznachrichten ein essenzieller Bestandteil des mobilen Lebens.

Praktischer Angriff demonstriert die Unsicherheit von MD5. MD5 ist grundsätzlich seit 2004 verwundbar, seit 2007 existiert ein theoretischer Angriff. Auf dem 25C3 zeigen unter anderem Alexander Sotirov und Jacob Appelbaum, wie sich MD5 auch praktisch angreifen lässt. Zur Demonstration fälschten sie ein SSL-Zertifikat.

Hacker entschlüsseln Funktion und planen verteilte Übernahme. Ein Storm-Bot wurde auf der Hackerkonferenz 25C3 live gehackt - und kann übernommen werden. Damit droht dem von Spammern errichteten Storm-Botnet, einem Netzwerk aus infizierten PCs, eine weitere Gefahr.

Verschlüsselung wird meist nicht genutzt, ist aber auch kein guter Schutz. Telefonate über DECT sind leicht abzuhören. Wie, das erklärte eine Gruppe von Hackern auf dem 25C3. In den meisten Fällen wird auf eine Verschlüsselung ohnehin verzichtet, aber selbst der in DECT verwendeten Verschlüsselung rücken die Hacker zu Leibe.

Neue Bürgerrechtsbewegung entsteht. In Bezug auf den Skandal beim Datenschutz war das Jahr 2008 "ziemlich einmalig", meint Peter Schaar, Datenschutzbeauftragter des Bundes. Fast habe man den Eindruck, alle seien Opfer von Datenmissbrauch geworden.

Auf der 25C3-Tagung in Berlin fand ein Live-Hack der Wii von Nintendo statt. Mit großem Aufwand versuchen Nintendo und die anderen Konsolenhersteller, ihre Systeme vor unerlaubten Zugriffen zu schützen - meist vergebens. Auf der 25C3 in Berlin haben zwei Hacker vorgeführt, wie Linux-Software auf der Wii gestartet werden kann.

Wie das Grundrecht auf digitale Intimsphäre abseits der Onlinedurchsuchung wirkt. Das neue Grundrecht auf digitale Intimsphäre muss auch Konsequenzen für die Beschlagnahmung von Festplatten haben, fordern Constanze Kurz und Ulf Buermeyer auf dem 25C3. Festplatten würden viel zu häufig beschlagnahmt und der Grundsatz der Verhältnismäßigkeit dabei verletzt.

John Gilmore, Dan Kaminsky und das iPhone Dev Team auf dem 25C3. In Berlin startet am Samstag um 10 Uhr der 25. Hackerkongress des CCC, diesmal unter dem Motto "nothing to hide". Die zahlreichen Vorträge werde dabei auch live ins Netz übertragen.

Finnischer Weltkonzern bereitet sich auf die Krise vor. Der Handyhersteller Nokia verkauft seinen Geschäftsbereich für Security Appliance an Check Point Software Technologies, ein israelisch-amerikanisches Unternehmen. Mit dem Ausstieg aus dem Bereich bereitet sich Nokia offenbar auf Krisenzeiten vor und bündelt seine Kräfte für den Endkundenmarkt.

Heimatschutzministerium dehnt Biometrieprogramm auch auf Greencard-Inhaber aus. Das US-Heimatschutzministerium hat neue Regeln für die Einreise festgelegt: Künftig werden auch Greencard-Inhaber bei jeder Einreise in die USA biometrisch erfasst. Die neue Regelung tritt zwei Tage vor der Amtseinführung des neuen Präsidenten in Kraft.

Adobe rät dringend zum Update des Flash Player. Der Flash Player unter Linux hat eine kritische Sicherheitslücke, die es Angreifern ermöglicht, die Kontrolle über betroffene Systeme zu übernehmen. Ein Update sowohl für den Flash Player 9 als auch 10 steht bereit.

Microsoft behebt gefährliches Sicherheitsloch unabhängig vom regulären Patchday. Wie angekündigt hat Microsoft unabhängig vom monatlichen Patchday einen Sicherheitspatch für den Internet Explorer veröffentlicht. Seit dem Wochenende wurde das Sicherheitsloch aktiv ausgenutzt.

Daten aus Suche und Anzeigen werden nach drei Monaten anonymisiert. Yahoo will im Umgang mit Nutzerdaten mit gutem Beispiel vorangehen und Daten aus Nutzerprotokollen künftig im Regelfall innerhalb von 90 Tagen anonymisieren.

Täglich werden mehr bösartige als legale Programme entwickelt. Symantec zeichnet ein düsteres Bild, wenn es um die IT-Sicherheit im Jahr 2009 geht. Der Antivirenspezialist erwartet noch mehr Schadcodevarianten, mehr Spam, Phishingangriffe auf soziale Netzwerke und betrügerische Angriffe, die die globale Wirtschaftskrise als Nährboden nutzen. Schutz sollen virtuelle Maschinen bieten.

Letztes Update für Firefox 2, aktueller Firefox 2 ohne Phishingfilter. Mit Sicherheitspatches für Firefox 2 und 3, SeaMonkey sowie Camino werden eine Reihe von Sicherheitslücken in den Browsern beseitigt. Einige der Sicherheitslecks lassen sich zum Ausführen von Schadcode missbrauchen. Das letzte Firefox-2-Update besitzt keinen Phishing-Filter mehr.

Microsoft will kritisches Sicherheitloch am 17. Dezember 2008 stopfen. Eigentlich steht das nächste Sicherheitsupdate bei Microsoft erst im Januar 2009 auf dem Plan, doch eine kritische Sicherheitslücke im Internet Explorer, die bereits aktiv ausgenutzt wird, zwingt Microsoft zum Handeln außer der Reihe.