IT-Sicherheit

Einheitliche Markierung von Gerätebestandteilen angestrebt. Das für die Vergabe der internationalen Warencodenummern Electronic Product Codes (EPC) von RFID-Funkchips zuständige Gremium will den Einsatz der Chips beim Recycling von elektronischen Geräten vorantreiben. Unterstützung kommt dabei von der US-Umweltbehörde US Environmental Protection Agency (EPA).

Künast fordert höhere Strafen und schärfere Kontrollen. Die Vorsitzende der Bundestagsfraktion von Bündnis 90/Grüne, Renate Künast, hat sich in einem Interview mit der Financial Times Deutschland für eine grundlegende Modernisierung von Datenschutz, Vertrags- und Zivilrecht ausgesprochen. Der Datenschutz solle dafür im Grundgesetz verankert werden.

Joomla 1.5.6 beseitigt Sicherheitslücke. Eine kritische Sicherheitslücke im CMS Joomla gefährdet damit realisierte Webseiten und wird bereits aktiv ausgenutzt. Angreifer können unter nicht seltenen Umständen das Passwort des Administrators ändern und so Kontrolle über das CMS erlangen.

Öffentliche Betaversion von SoftMaker Office 2008 für Linux im Anflug. Für die Windows-Ausführung von SoftMaker Office 2008 steht ein Service Pack bereit, mit dem einige Verbesserungen und zahlreiche Fehlerkorrekturen vorgenommen werden. Bis Ende August 2008 wird eine öffentliche Betaversion der Linux-Variante des Office-Pakets erwartet.

Angreifer können Schadcode einschleusen und ausführen. Aus den 12 geplanten Sicherheitspatches für Windows und Microsofts Office-Paket wurden nur noch 11. In einem Update für den Windows Media Player wurde in letzter Sekunde noch ein Fehler gefunden, so dass dieses nicht erschienen ist. Allein in Microsofts Office-Produkten wurden 14 Sicherheitslücken geschlossen, 5 Fehler gibt es im Internet Explorer und weitere 6 Sicherheitslecks stecken im Betriebssystem von Microsoft.

Callcenter sind im Besitz von Kontodaten. Telefonspammer haben sich Zugang zu Kontodaten verschafft und buchen nun unerlaubt Geldbeträge ab. "Uns sind die ersten Fälle bekannt, in denen von Konten der betroffenen Verbraucher abgebucht wurde, obwohl diese unmissverständlich jegliche Teilnahme an einem Glücksspiel ablehnten", so Thomas Hagen, Sprecher der Verbraucherzentrale Schleswig-Holstein. "Diese Tatsache ist erschreckend." 17.000 Datensätze sind im Umlauf.

Fernsteuerbare Mikrofone erlauben es, Gespräche in Pekinger Taxis zu belauschen. Sicherheitssystem oder Abhöranlage? Fast alle Taxis in Peking sind mit einem Mikrofon und einer GPS-Einrichtung ausgestattet. Um die Sicherheit der Fahrer zu gewährleisten, sagt der Hersteller. Um sie zu belauschen, befürchten Menschenrechtler. Die Pekinger Polizei, die es wissen muss, schweigt.

Neue Version nutzt Gecko 1.8.1.16. Der Webbrowser Camino für MacOS X steht in der Version 1.6.3 als Download bereit und beseitigt verschiedene Sicherheitslecks. Weitere Neuerungen bringt dieses Update nicht.

Detaillierte Angaben zu Sicherheitslücken vor dem Patch-Day. Vor dem allmonatlichen Patch-Day will Microsoft ausgewählten Partnern ab Oktober 2008 mehr Details zu geschlossenen Sicherheitslecks bereitstellen. Damit sollen etwa Unternehmenskunden besser entscheiden können, wie dringlich eine Patch-Einspielung ist.

Hersteller für Zugangskontrollen war in die USA verkauft worden. Der Auslandsgeheimdienst BND fürchtet, dass die Identität einiger Spione an die CIA durchgesickert sein könnte. Ein Bochumer IT-Unternehmen, das eine biometrische Zugangskontrolle für einen BND-Standort in Berlin-Lichterfelde geliefert hatte, war von einer CIA-nahen Firma übernommen worden.

US-Grenzbeamte dürfen ohne Anlass elektronische Geräte durchsuchen und auswerten. In den USA sind zwei bislang unveröffentlichte Richtlinien von US-Grenzschutzbehörden aufgetaucht. Darin werden die Durchsuchungen von Laptops, Mobiltelefonen und anderen elektronischen Geräten an den US-Grenzen für legal erklärt. Die Behörden unterstehen beide dem US-Heimatschutzministerium.

Sicherheitslücken in zwölf Komponenten von MacOS X. Mit einem Patch beseitigt Apple das DNS-Sicherheitsloch im BIND-Server und schließt Sicherheitslücken in elf weiteren Komponenten von MacOS X. Sieben davon können zum Ausführen von Schadcode missbraucht werden und werden als entsprechend gefährlich eingestuft.

Google weist Klage gegen Street View zurück. Wer nicht wie ein Einsiedler in der Wüste lebt, hat heutzutage kaum die Möglichkeit, seine Privatsphäre vollständig zu schützen. Stattdessen müsse er damit rechnen, Bilder von sich oder seinem Haus im Internet wiederzufinden. Das in etwa ist die Botschaft einer Eingabe von Google an ein US-Bezirksgericht. Das Schreiben ist die Antwort auf eine Klage eines Ehepaares aus Pittsburgh, das seine Privatsphäre durch die Abbildung seines Hauses in Google Street View verletzt sieht.

Optische Sensoren in Fasern erkennen und orten Schäden in Netzen. Deutsche Wissenschaftler haben spezielle Textilfasern entwickelt, die als Sensoren eingesetzt werden. Die Sensoren bestehen aus Polymerfasern und warnen, wenn sich Textilnetze verändern oder beschädigt werden.

Sicherheitslücke betrifft Kombination aus Weblogic und Apache. Oracle hat eine Sicherheitswarnung herausgegeben, nachdem eine schwere Sicherheitslücke im Applikationsserver Weblogic entdeckt wurde. Dafür ist bereits ein Exploit erhältlich. Anwender sollten daher so schnell wie möglich die von Oracle empfohlenen Maßnahmen umsetzen.

Electronic System of Travel Authorisation (ESTA) vorgestellt. Am Montag hat die US-Heimatschutzbehörde ihr neues Programm zur Kontrolle von Flug- und Schiffspassagieren aus Ländern ohne Visumspflicht vorgestellt. Erfasst werden sollen mit ESTA persönliche Informationen und Angaben zur Gesundheit oder zum Drogenmissbrauch.

Wissenschaftler entwickeln Software, die automatisch Gesichter vertauscht. US-Wissenschaftler haben eine Software entwickelt, die auf einem Bild Gesichter erkennt und automatisch durch andere aus einer Datenbank ersetzt. Dieses Programm soll die Privatsphäre von Menschen schützen, die in Bildersammlungen wie Google Street View abgebildet sind. Man kann damit aber auch perfekte Gruppenbilder komponieren.

Datenschutz für Angestellte gefordert. Der Deutsche Gewerkschaftsbund fordert in einem Positionspapier angesichts der Datenschutz-Skandale der vergangenen Zeit eine neue Einstellung zum Schutz der persönlichen Daten in der Wirtschaft. Die Justiziare der Gewerkschaft wollen härtere Strafen bei Datenschutzverstößen und ein Arbeitnehmerdatenschutzgesetz.

Patch beseitigt vier gefährliche Sicherheitslecks. Für den RealPlayer wurde ein Patch veröffentlicht, der gleich vier Sicherheitslücken in der Software beseitigt. Über alle vier Sicherheitslecks lässt sich Schadcode ausführen, so dass der Patch möglichst zügig eingespielt werden sollte.

Option verschlüsselt kompletten Datentransfer. Google Mail erlaubt seit langem die verschlüsselte Kommunikation via https, doch es gab keine Funktion, die Verschlüsselung dauerhaft zu aktivieren. Vielmehr musste man bei der Adresseingabe im Browser auf das https achten.

Trotz technischer Probleme soll es nicht zum Chaos kommen. Die Fahrkartenlesegeräte in der Londoner U-Bahn sind wieder einmal ausgefallen. Die Londoner Verkehrsbetriebe Transport for London (TfL) machen einen Dienstleister für das Problem verantwortlich. Damit es nicht zum Chaos kommt, hat TfL die Sperren an den U-Bahnhöfen geöffnet.

DNS-Server sollten dringend aktualisiert werden. Für die Anfang Juli 2008 von Dan Kaminsky veröffentlichte Sicherheitslücke im DNS-System kursieren offenbar erste Exploits. Kaminsky hat sich mit Details zurückgehalten und eine koordinierte Veröffentlichung von Patches verschiedener Hersteller organisiert, um Administratoren Zeit zur Aktualisierung ihrer Systeme zu verschaffen.

Standardkonfiguration verhindert die meisten Angriffe. Der E-Mail-Client Thunderbird liegt in der Version 2.0.0.16 vor, die insgesamt neun Sicherheitslecks beseitigt. Einige davon können zum Ausführen von Schadcode missbraucht werden. Aber nur, wenn die JavaScript-Funktionen aktiviert wurden, die standardmäßig ausgeschaltet sind. Neue Funktionen bietet die neue Thunderbird-Version nicht.

Angreifer können Phishing-Angriffe durchführen. Im iPhone 3G und dem iPod touch mit alter und neuer Firmware steckt ein Sicherheitsleck. Angreifer können darüber Phishing-Attacken durchführen und so an Zugangsdaten für Onlinebanking oder Shopping-Angebote gelangen. Bislang hat Apple das Sicherheitsloch nicht geschlossen.

Risiken und Nebenwirkungen nicht ausgeschlossen. Die Möglichkeit, im Internet Gesundheitsakten zu führen, schätzt Bundesdatenschützer Peter Schaar als risikoreich ein. Er nahm Stellung zu Diensten, die ausländische Unternehmen auch hierzulande anbieten könnten.

NXP unterliegt vor niederländischem Gericht. Die niederländischen Forscher der Radboud-Universität dürfen ihre wissenschaftliche Arbeit zu den Sicherheitslücken der RFID-Karten "Mifare Classic" von NXP wie geplant veröffentlichen. Das entschied ein Gericht in Arnheim am vergangenen Freitag.

Simlock bislang unversehrt. Eine gute Woche nach Erscheinen des iPhone 3G und der Firmwareversion 2.0 haben Hacker des "iPhone Dev Team" eine neue Version ihrer Jailbreak-Software für das Apple-Handy veröffentlicht. Damit lassen sich beliebige Applikationen auf dem Gerät installieren.

Nutzer des Google Readers können Newsfeeds ihrer Kontake lesen. Nutzer des Google Readers können die RSS-Feeds von anderen Nutzern lesen, wenn diese nicht die Sharing-Funktion ausgeschaltet haben. Die Auswahl der Feeds, die mit anderen geteilt werden, erfolgt offensichtlich über Google Mail.

Update korrigiert kleinere Programmfehler. Mit einem Update beseitigt das Mozilla-Team drei Sicherheitslücken in Firefox 3 und korrigiert einige kleine Programmfehler. Zwei dieser drei Sicherheitslöcher wurden bereits einen Tag zuvor mit Firefox 2.0.0.16 geschlossen. Das dritte Sicherheitsleck betrifft nur die Mac-Version.

Schaar fordert gesetzliche Begrenzungen der Geodatensammelwut. Bundesdatenschützer Peter Schaar will gesetzliche Grenzen für "Google Street View". Die Rundum-Straßenfotos von Google sollten nur nach vorheriger Einwilligung der betroffenen Anwohner und Passanten nutzbar sein, fordert er. Der Bundestag müsse im Herbst bessere Datenschutzregeln beschließen.

Critical Patch Update für Juli 2008 veröffentlicht. Insgesamt 45 Sicherheitslücken beseitigt Oracle mit seinem Patchpaket für den Juli 2008. Die betreffen verschiedene Produkte, darunter natürlich die Oracle-Datenbanken.

Mangelnde Sicherheitsvorkehrungen von Google. Mittels Google Kalender ist es für jeden Nutzer möglich, an den Klarnamen einer Google-Mail-Adresse zu gelangen. Eigentlich sollten diese Daten nicht jedermann zugänglich sein, aber die enge Verzahnung der beiden Google-Dienste und die mangelnden Sicherheitsvorkehrungen von Google machen das möglich.

Gefährliches Sicherheitsloch erlaubt Ausführung von Schadcode. Für Firefox 2 und SeaMonkey stehen Patches bereit, um insgesamt zwei neue Sicherheitslecks zu beseitigen. SeaMonkey ist allerdings nur von einem der beiden Fehler betroffen. Die beiden Sicherheitslücken stecken außerdem in Firefox 3. Ein Update auf Firefox 3.0.1 wird in Kürze erwartet.

Prozessorfehler als mögliche Sicherheitslücke. Ende Oktober 2008 will ein russischer Sicherheitsforscher auf der Konferenz "SecConf 2008" der Reihe "Hack in the Box" ein umstrittenes Thema in einem Vortrag ansprechen. Dem Mann soll es gelungen sein, bekannte und dokumentierte Fehler in Intel-Prozessoren als Sicherheitslücken auszunutzen. Beispielcode dafür will er nach der Konferenz veröffentlichen.

Forscher untersuchen BSD- und Linux-Systeme. Paketverwaltungen unter Linux- und BSD-Systemen lassen sich einfach angreifen, um so beispielsweise Sicherheitslücken zu implementieren. Zu diesem Schluss kommen Forscher der Universität Arizona in ihrer Studie. Dafür haben sie selbst einen manipulierten Mirror-Server aufgesetzt.

Viacom und Youtube einigen sich auf Übergabe anonymisierter Nutzerdaten. Die Medienkonzerne Google und Viacom haben sich darauf geeinigt, dass Viacom nur Daten über das Nutzerverhalten, nicht aber die Namen und Internetadressen von Nutzern des Videoportals Youtube bekommt.

Programme lassen sich offiziell auf dem iPhone und dem iPod touch installieren. Zum Marktstart des iPhone 3G hat Apple die neue Firmware für das iPhone der ersten Generation sowie den iPod touch veröffentlicht. Die Firmware 2.0 bringt dem Apple-Mobiltelefon sowie dem Mediaplayer viele Verbesserungen. Es werden einige Ungereimtheiten beseitigt, die zum Marktstart vor einem Jahr kritisiert wurden. Aus dem Apple-Handy wird ein Smartphone.

Chip soll bis 2010 serienreif sein. Forscher von Siemens IT Solutions and Services, des Austrian Research Center und von der Technischen Universität Graz haben gemeinsam einen Chip für die Quantenkryptographie entwickelt und gebaut. Ihren Angaben zufolge ist das der erste Chip dieser Art für industrielle Anwendungen.

Fehler erlaubte auch die Manipulation fremder Accounts. Ein Programmierfehler, der zu einem schwerwiegenden Datenschutzproblem beim Marktforschungsinstitut TNS Infratest/Emnid geführt hat, hatte offenbar weiterreichende Folgen als bislang bekannt. So konnten die 40.000 Testkäufer nicht nur die persönlichen Angaben anderer einsehen, sondern auch manipulieren.

Bundesdatenschutzbeauftragter für Konsequenzen aus der Telekom-Affäre. Der Bundesdatenschützer will eine gesetzliche Protokollierungspflicht für den Zugriff auf Verkehrsdaten der Telekommunikation in Unternehmen. Damit zieht Peter Schaar Konsequenzen aus der Telekom-Affäre.

Reaktion auf schwedisches Abgehörgesetz und EU-Richtlinie. Die Begründer des bekannten BitTorrent-Trackers The Pirate Bay haben angekündigt, eine universelle Verschlüsselung für den Datenverkehr im Internet zu entwickeln. Die Pläne wurden in Reaktion auf die Verabschiedung eines neuen Abhörgesetzes in Schweden öffentlich gemacht.

Verbreitung einer wissenschaftlichen Arbeit soll unterbunden werden. US-Berichten zufolge klagt der Halbleiterhersteller NXP gegen die Radboud-Universität in Nijmegen. Ein dortiges Forscherteam hat bereits seit mehreren Monaten nachgewiesen, dass der weltweit verbreitete Standard "Mifare" für RFID-Karten schwere Sicherheitslücken aufweist.

Nun mehr Anmeldeinformationen und Fernwartung möglich. Googles E-Mail-Dienst hat neue Sicherheitsfunktionen erhalten. Angemeldete Nutzer werden nun informiert, falls Sitzungen eines Google-Mail-Kontos auf anderen Computern aktiv sind. Dadurch können Nutzer prüfen, ob Unbefugte auf ihr E-Mail-Konto zugegriffen haben. Außerdem können offene Sitzungen aus der Ferne beendet werden.