IT-Sicherheit

European Privacy Seal soll Einhaltung des EU-Datenschutzes bescheinigen. Die EU-Kommission hat ein Konsortium aus acht europäischen Organisationen und Unternehmen unter der Leitung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) beauftragt, Anforderungen für ein europäisches Datenschutz-Gütesiegel zu erarbeiten und exemplarisch zu erproben. Das im Rahmen des Projekts "European Privacy Seal" (EuroPriSe) entstehende Gütesiegel soll bescheinigen, dass informationstechnische Angebote mit dem europäischen Recht im Einklang stehen.

Aufgetauchter "Processing Key" entschlüsselt neue und kommende Filme. Die Filmindustrie hat gerade erst die Schlüssel für die mittels AACS geschützten HD-DVD- und Blu-ray-Scheiben geändert. Doch schon ist wieder ein neuer Processing Key aufgetaucht, mit dem sich die neuen und vermutlich auch die in naher Zukunft erscheinenden hochauflösenden Filme entschlüsseln und damit kopieren lassen.

Verstößt Speicherung von Suchanfragen gegen EU-Datenschutz? EU-Datenschützer stören sich an der Speicherung von Suchanfragen durch Google. Möglicherweise verstoße der Suchmaschinengigant damit gegen EU-Datenschutzgesetze. Eine Stellungnahme von Google soll in den nächsten Wochen folgen.

CCC kritisiert neues Gesetz vehement. Der Bundestag hat am heutigen 25. Mai 2007 das Gesetz zum Verbot von Computersicherheitswerkzeugen unverändert verabschiedet. Der neue Paragraf im Strafgesetzbuch soll Computerkriminalität bekämpfen. Der Chaos Computer Club (CCC) kritisiert das neue Gesetz, weil damit die Arbeit von Administratoren und Sicheheitsexperten massiv behindert wird.

Warnaufkleber für die Verpackung in den USA. Seit dem 22. Mai 2007 wird das Vista-Remake des Spiels "Halo 2" in den USA ausgeliefert - und schon existiert ein erster Patch dafür. Der soll aber nicht technische Fehler reparieren, sondern irrtümlich vorhandene "teilweise Nacktheit" aus dem Spiel entfernen.

Präparierte PDF-Dateien ermöglichen beliebige Code-Ausführung. Apple stopft mit einem neuen Update erneut zahlreiche Sicherheitslücken für sein Client-Betriebssystem MacOS X 10.3 und 10.4 sowie die Servervariante. Darunter sind Fehler beim Umgang mit Aliasen, PDF-Dateien und VPN-Verbindungen.

Foto-Fachhandel braucht für Passbilderstellung keine Lizenz. Die Testphase für die neue elektronische Gesundheitskarte ist in Deutschland angelaufen. Voraussichtlich ab 2008 soll die neue Karte dann flächendeckend bei 80 Millionen Versicherten die bisherige Krankenversichertenkarte ablösen. Die neue elektronische Gesundheitskarte unterscheidet sich unter anderem durch das Lichtbild des Inhabers von der alten Krankenversichertenkarte, was dem Einzelhandel viel Geld in die Taschen spülen dürfte.

Wettbewerbszentrale klagt 24.000 Euro Vetragsstrafe ein. Das Landgericht Darmstadt (LG Darmstadt) hat die Gebrüder Schmidtlein wegen intransparenter Preisgestaltung zu Vertragsstrafe verurteilt. Das Unternehmen bot auf zahlreichen Internetseiten Leistungen an, die nicht als kostenpflichtige Dienste erkennbar waren, darunter Seiten wie sms-heute.de, klingeltoene-heute.de und wohnen-heute.de.

Sicherheits-Blog von Google gestartet. Google hat ein Sicherheits-Blog eröffnet und darin auf das Risiko hingewiesen, durch verseuchte Webseiten mit Schadsoftware infiziert zu werden. Die größten Schadcode-Aktivitäten hat der Suchmaschinengigant in Deutschland, den USA, Kanada, China und Russland ausgemacht.

HEADS soll Informationsfluss zwischen Polizei und Bewährungshelfern verbessern. Die bayerische Justizministerin hat ihren Landeskollegen Bayerns Sexualstraftäterdatei HEADS vorgestellt. Die "Haft Entlassenen Auskunfts Datei Sexualstraftäter" soll helfen, rückfallgefährdete Täter besser zu überwachen und damit neue Taten bestmöglich zu verhindern. Ziel der Datei ist, den Informationsfluss zwischen Bewährungshelfern, Polizei und Justiz zu optimieren. Datenschützer sehen die umfangreichen Datensammlungen kritisch.

Xbox 360 kann permanent von Microsofts Online-Dienst ausgeschlossen werden. Auf Grund des nun gestarteten Beta-Tests von Halo 3 hat Microsofts Xbox-360-Team im eigenen Blog wieder einmal darauf hingewiesen, dass Besitzer von gehackten Xbox-360-Konsolen oder Xbox-360-Nutzer, die im Netzwerk-Spiel betrügen, bei Entdeckung aus Xbox Live geworfen werden.

Kein aktualisierter Patch verfügbar. Der im Mai 2007 erschienene Sammel-Patch für den Internet Explorer macht mit der aktuellen Browser-Version Ärger - jedenfalls unter bestimmten Umständen. Hat der Nutzer des Internet Explorer 7 den Pfad für den Browser-Cache verändert, kommt es beim Programmstart zu einer Fehlermeldung, sobald der Sammel-Patch installiert wurde.

Maßnahme soll Phishing-Angriffe erschweren. F-Secure, ein Anbieter von Sicherheitslösungen, fordert spezielle Domain-Kennungen für Banken und Finanzunternehmen. Dadurch sollen Phishing-Angriffe erschwert und die Abwehrmaßnahmen erleichtert werden. Die ICANN soll daher Domainnamen wie .safe, .sure oder .bank einführen und diese nur exklusiv an entsprechende Institutionen verteilen.

Software soll Kosten für eingehende Gespräche erhöhen, um Spammer abzuschrecken. Die Universität Potsdam analysiert verschiedene Möglichkeiten, um Spam-Anrufe via Internet (Spit) zu bekämpfen und entwickelt derzeit eine entsprechende VoIP-Architektur, die besseren Schutz gewährleisten soll. Beispielsweise wollen die Wissenschaftler prognostizieren, ob das eingehende Telefonat ein Werbeanruf ist, zudem wollen sie den Anruf für Spammer teuer machen.

... und Verbesserungen im Einzel- und Mehrspieler-Modus. Der in dieser Woche neu erschienene Patch bringt den Shooter Stalker auf die Versionsnummer 1.0003 und beseitigt vor allem Fehler. Spielstände der ersten Spielversion können zwar auch mit diesem neuen Patch nicht mehr geladen werden, aber wenigstens gibt es das Ungemach nicht noch einmal, wenn von Version 1.0001 auf 1.0003 gepatcht wird.

Mit Intel-Core-2-Duos oder MD Turion 64 und Sempron. Dell hat mit den Latitude D531, D630 und D830 drei neue Notebooks für den geschäftlichen Bereich vorgestellt. Wer möchte, kann die Geräte nun auch mit Festplatten-Verschlüsselung und Flash-Speicher ausrüsten.

Abmelden eines iPods kann zu Datenverlusten führen. Ende März 2007 hatte Microsoft bereits einen Patch für Windows Vista veröffentlicht, der einen drohenden Datenverlust bei Verwendung von Apples iPod verhindert sollte. Dieser Patch hat offenbar nicht immer zuverlässig funktioniert. Jedenfalls hat Microsoft eine Neuauflage dieses Patches veröffentlicht.

Schwere Sicherheitslecks im Internet Explorer 7 und in Office 2007. Am Patch-Day für den Monat Mai 2007 bringt Microsoft - wie erwartet - einen Patch, der ein Sicherheitsloch im Windows Server schließt. Außerdem beseitigt Redmond fünf schwere Sicherheitslücken im Internet Explorer, sieben gefährliche Sicherheitslücken in Microsofts Office-Paket sowie Fehler im Exchange-Server und in Microsofts CAPICOM.

Iriserkennung mit dem Nagetier. Das südkoreanische Unternehmen Qritek hat eine optische Maus entwickelt, die mit Scrollrad und Maustasten ausgerüstet ist, darüber hinaus aber auf der linken Gehäuseseite noch eine Miniatur-Kamera besitzt, mit der eine Iris-Aufnahme des Nutzers gemacht werden kann.

Winamp mit fehlerhafter Verarbeitung von MP4-Dateien. Mit einem Patch wird ein Sicherheitsloch in Winamp geschlossen, worüber Angreifer beliebigen Programmcode ausführen können. Dazu müssen sie ihre Opfer nur dazu bringen, eine manipulierte MP4-Datei mit der Software zu öffnen.

Pilotphase abgeschlossen, DHS sieht Technik als ausgereift an. Am vergangenen Freitag gab das U.S. Department of Homeland Security (DHS) bekannt, dass nach Abschluss der Pilotphase biometrische Ausreiseprozeduren künftig "in den bestehenden Ausreiseprozess für internationale Besucher" integriert werden. Mit den gesammelten Daten sollen die US-Grenzen noch sicherer und die Ausreise einfacher werden, meint zumindest das DHS.

Insgesamt sieben Security Bulletins für Mai-Patch-Day angekündigt. Auch im Mai 2007 steht wieder ein Patch-Day von Microsoft an. In diesem Monat will der Software-Riese Sicherheitslücken in Windows, Office, im Exchange Server sowie in Capicom und im BizTalk-Server schließen. Mehrere dieser Sicherheitslücken werden von Microsoft als gefährlich eingestuft.

Spam-Filter enthält zahlreiche Fehlerkorrekturen. Mit SpamAssassin 3.2.0 haben die Entwickler der freien Anti-Spam-Software eine neue Version vorgelegt, die viele Fehler beseitigt. Darüber hinaus gibt es weitere kleine Änderungen, beispielsweise eine vollständigere IPv6-Unterstützung.

Mit WSUS 3.0 kommt verbesserte Oberfläche. Für den Windows Server 2003 bietet Microsoft nun die Version 3 der Windows Server Update Services (WSUS) an. Darüber können Administratoren Updates und Patches in Unternehmensnetzwerken auf Windows-PCs zentralisiert einspielen und verwalten.

Fehler beim Öffnen von png-Dateien. Sowohl in Adobes Photoshop als auch in Corels Paint Shop Pro wurde ein Sicherheitsloch entdeckt, worüber Angreifer beliebigen Programmcode ausführen können. Opfer müssen lediglich zum Öffnen einer entsprechend präparierten png-Datei verleitet werden. Updates der Hersteller gibt es bislang nicht.

Fehler in AirPort- und ftp-Funktionen. Apple hat ein Sicherheits-Patch für MacOS X veröffentlicht, mit dem zwei Lücken im Betriebssystem geschlossen werden. Von keinem der beiden Sicherheitslücken geht eine größere Gefahr aus, weil eine Ausführung von Programmcode darüber nicht möglich ist.

Fehlerhafte Verarbeitung von MP4-Dateien. In der aktuellen Winamp-Version wurde ein Sicherheitsleck entdeckt, worüber Angreifer beliebigen Programmcode ausführen können. Dazu müssen sie ihre Opfer nur dazu bringen, eine manipulierte MP4-Datei mit der Software zu öffnen.

QuickTime-Patch für MacOS X und Windows. Gut eine Woche, nachdem ein Sicherheitsleck in Apples QuickTime entdeckt wurde, steht ein Patch bereit. Das Sicherheitsleck tritt auf Windows- und Mac-Systemen auf und Angreifer können darüber beliebigen Programmcode einschleusen und ausführen.

Sixaxis lässt sich über Bluetooth unter Linux auslesen. Ein paar Tüftlern ist es gelungen, das "Sixaxis" getaufte drahtlose Gamepad der PlayStation 3 unter Linux als Bluetooth-Eingabegerät zu nutzen. Auch die Daten der Bewegungssensoren können bereits ausgelesen werden - was anschaulich mit einem Video demonstriert wird.

Schadhafte Verlinkung war rund zwei Wochen aktiv. Über Googles AdWords wurde zwei Wochen lang Schadcode verteilt, wie der Suchmaschinengigant per Blog-Eintrag nun eingesteht. Ein AdWords-Nutzer hatte Besucher auf Webseiten umgeleitet, die Schadcode verteilt haben und diesen auf den Rechnern der Opfer ausführen wollten. Mittlerweile sollen die betreffenden AdWords-Konten deaktiviert sein.

Microsoft arbeitet an Service Pack 3 für Office 2003. Microsoft arbeitet an einem weiteren Service Pack für Office 2003. Dieses soll so viele Funktionen wie möglich aus Office 2007 in die frühere Office-Version übertragen. Auch die verbesserten Sicherheitsfunktionen des aktuellen Office-Pakets sollen in Office 2003 Einzug halten.

Öffnen manipulierter BMP-Dateien führt zur Ausführung von Schadcode. Die Bildbearbeitungssoftware Photoshop von Adobe weist ein Sicherheitsleck auf. Dieses macht sich beim Öffnen von verschiedenen Bitmap-Dateien bemerkbar, weil darüber beliebiger Programmcode ausgeführt werden kann. Bislang gibt es von Adobe keinen Patch zur Abhilfe.

Peter Schaar: Staat muss Datenschutz stärken. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, hat den 21. Tätigkeitsbericht für 2005/06 vorgelegt. Der oberste Datenschützer betonte, dass seine Arbeit deutlich zugenommen habe und übte erhebliche Kritik an der Bundesregierung.

Australien und USA ergreifen schärfere Maßnahmen. In Australien steht ein Gesetzentwurf über scharfe strafrechtliche Maßnahmen gegen das ausufernde Problem des Identitätsdiebstahls zur Debatte. Zeitgleich hat in den USA die von Präsident Bush eingesetzte "Arbeitsgruppe Identitätsdiebstahl" einen strategischen Plan zur Bekämpfung des Übels vorgelegt.

Virenscanner von Avira können Rootkits erkennen und entfernen. Wie angekündigt, bietet Avira seine Windows-Antivirenlösungen ab sofort mit einer Rootkit-Erkennung an. Damit sollen sich Rootkits auf Rechnern erkennen, anzeigen und auch rückstandsfrei entfernen lassen. Außerdem wurden die Avira-Produkte an Windows Vista angepasst.

Sicherheitsleck steckt eigentlich in QuickTime. Das gestern gemeldete Sicherheitsleck in Safari steckt eigentlich in QuickTime. Dadurch betrifft das Sicherheitsloch nicht nur Mac-Systeme, sondern auch Windows-Rechner. Als Zwischenlösung muss die Ausführung von Java im Browser deaktiviert werden. Einen Patch gibt es bislang nicht.

Kein Patch zur Abhilfe verfügbar. In Apples Webbrowser Safari steckt ein gefährliches Sicherheitsloch, das Angreifer zum Ausführen von Schadcode missbrauchen können. Bekannt wurde das Sicherheitsleck im Rahmen der Sicherheitskonferenz CanSecWest. Die Teilnehmer waren aufgerufen, ein Mac-System zu hacken und konnten im Gegenzug ein MacBook Pro gewinnen.

Sicherheitslecks erlauben Ausführung von Programmcode. Für MacOS X ist ein Update erschienen, das mit einem Schlag 25 Sicherheitslecks im Betriebssystem schließt. Einige der Sicherheitslücken erlauben die Ausführung beliebigen Programmcodes, andere Sicherheitslöcher lassen sich hingegen nur von lokal angemeldeten Anwendern ausnutzen.

Wurm macht sich RPC-Sicherheitsloch zu Nutze. Das offene Sicherheitsloch im Windows Server wird Microsoft voraussichtlich erst am nächsten geplanten Patch-Day schließen. Seit Anfang der Woche machen sich Würmer das Sicherheitsleck bereits zu Nutze. Dennoch plant Microsoft keinen außerplanmäßigen Patch für den Windows Server 2000, 2003 sowie für den Windows Small Business Server 2000 und 2003.

Wurm für Windows-Version von Skype im Umlauf. Im Internet wurde ein Wurm gesichtet, der die Windows-Version von Skype angreift. Der Wurm versendet Nachrichten an Kontakte und schaltet dabei den Skype-Client in den "Bitte nicht stören"-Modus. Dies kann dazu führen, dass keine Anrufe mehr von anderen Skype-Nutzern hereinkommen.

RPC-Sicherheitsleck erlaubt Ausführung von Programmcode. In der vergangenen Woche hatte Microsoft auf ein nicht geschlossenes Sicherheitsloch im Windows Server hingewiesen. Das Risiko wurde von Redmond als wenig gefährlich klassifiziert. Zu dem Zeitpunkt war bereits Schadcode im Internet entdeckt worden. Wenige Tage später machte ein erster Wurm die Runde, der sich das Sicherheitsloch zu Nutze macht. Einen Patch gibt es bislang nicht.

"Zentralisierte Datenbestände wecken stets Begehrlichkeiten". Der Berliner Datenschutzbeauftragte Alexander Dix spricht sich gegen die Einführung eines Bundesmelderegisters aus. Nachdem der Bund im Rahmen der Föderalismusreform die Gesetzgebungskompetenz für das Melderecht erhalten hat, plane der Bund nun die zentrale Erfassung von rund 82 Millionen Bürgern.

System arbeitet mit zwei Hardwarekomponenten und Verschlüsselungssoftware. Auf der Hannovermesse stellen Neuroinformatiker der Universität Bonn ein System vor, das sensible Daten mit Hilfe biometrischer Merkmale verschlüsselt. Dazu sollen zwei USB-Sticks und eine Verschlüsselungssoftware nötig sein. Über Stick Nummer eins werden die zu übertragenden Daten kodiert, Stick Nummer zwei mit Fingerabdruck-Sensor dient zur Entschlüsselung. Die Technik soll auch für eine gesicherte Datenübertragung über das Handy geeignet sein.