IT-Sicherheit

Kein Wort zum Datenschutz. Für die Stuttgarter Volksbank entwickelt sich der "Hundedreck-Fall" zu einem PR-Desaster. Die Bank hatte Videoaufnahmen aus dem Bereich der Geldautomaten genutzt, um eine Mutter ausfindig zu machen, deren Kind mit Hundekot an den Schuhen umhergelaufen war und den Boden verschmutzte. Die Bank schickte ihr nach der Video-Identifizierung eine persönlich adressierte Rechnung, jetzt machte sie allerdings einen Rückzieher.

Linux-Version nicht mehr vom Kernel abhängig. Die Open-Source-Verschlüsselungssoftware Truecrypt ist in der Version 5.0 erschienen und liegt damit erstmals für MacOS X vor. Linux-Nutzer können nun ebenfalls ein grafisches Werkzeug nutzen und Windows-Nutzer haben die Möglichkeit, ihre Systempartition zu verschlüsseln.

Volksbank überwacht Hundekot-Verunreinigungen durch Kinder. Reinigungskosten waren es, die die Stuttgarter Volksbank zu einer ungewöhnlichen Auswertung ihrer Überwachungsmaßnahmen greifen ließ. Weil ein Kundenkind mit hundekotverschmutzten Schuhen im Bereich der Geldautomaten umherlief, bekam die geldabhebende Mutter, die von der Videoüberwachung beobachtet wurde, nun kommentarlos die Rechnung zugeschickt. 52,96 Euro soll sie zahlen.

Auch Tätowierungen werden erfasst. Die US-Bundespolizei, das Federal Bureau of Investigation (FBI), will eine Datenbank aufbauen, in der biometrische Merkmale gespeichert werden. Dafür will das FBI nach einem Bericht von CNN einen Auftrag über eine Milliarde US-Dollar mit einer Laufzeit von zehn Jahren vergeben.

Drei neue Dienste stehen zur Verfügung. Im vergangenen Jahr hat Google den Sicherheitsanbieter Postini übernommen und dessen Funktionen bereits in Google Apps integriert. Nun stehen drei verschiedene Dienstpakete für verschiedene E-Mail-Dienste zur Verfügung. Dadurch kann die Kommunikation innerhalb eines Unternehmens überwacht und gesteuert werden.

WordPress 2.3.3 schließt Sicherheitslücke und beseitigt Fehler. Die Blog-Software WordPress ist in der Version 2.3.3 erschienen, die ein kritisches Sicherheitsloch beseitigt. Dieses erlaubt es jedem angemeldeten Nutzer, Beiträge zu schreiben und zu verändern, auch die von anderen Nutzern.

Neue Sicherheits-APIs für DEP in kommenden Service-Packs. Microsoft will die in Windows Vista und Windows XP (seit Service Pack 2) eingeführte Sicherheitstechnologie Data Execution Prevention (DEP) weiter ausbauen. Mit den kommenden Service-Packs für die Betriebssysteme wird sich DEP dynamisch konfigurieren lassen.

Zahlreiche Verbesserungen geplant. In Kürze wird die Veröffentlichung des Service Pack 1 für Windows Vista erwartet. Wann genau das erste Service Pack erscheint, ist zwar weiterhin unklar, aber Microsoft hat einen Ausblick gegeben, welche wesentlichen Veränderungen das Update-Paket bringt.

Windows-Version erhält keinen Zugriff mehr auf Dailymotion und Metacafe. Bereits vor zwei Tagen wurde der Zugriff auf Videos von Dailymotion aus Skype heraus deaktiviert. Der Grund war ein Sicherheitsleck im Skype-Client für die Windows-Plattform. Nun wurde auch der Zugriff auf Metacafe abgestellt, bis ein Patch für die VoIP- und Instant-Messaging-Software bereitsteht.

Nur Windows-Version von Sicherheitsloch betroffen. Aufgrund eines Sicherheitslochs in der VoIP- und Instant-Messaging-Software Skype wurden einzelne Videofunktionen abgeschaltet. Derzeit ist kein Zugriff auf Dailymotion möglich, um Videos in einen Chat oder in Skype Moods zu integrieren. Darüber konnten Angreifer Kontrolle über ein fremdes Windows-System erlangen.

Sicherheit soll verbessert werden. Nach nur einer Woche beenden die Datenschützer des Arbeitskreises Vorratsdatenspeicherung den Tausch von SIM-Karten. Dennoch werten sie die Aktion als Erfolg gegen die Vorratsdatenspeicherung.

Vorstellung auf der CeBIT 2008. Avira will auf der CeBIT 2008 eine verbesserte Engine für seine kommerziellen Virenscanner zeigen. Damit soll die Erkennung von Schadsoftware um bis zu 20 Prozent beschleunigt werden. Außerdem werden Software-Updates beschleunigt, um zügiger auf Angriffe aus dem Internet reagieren zu können.

Oracle Critical Patch Update für Januar 2008 veröffentlicht. Laut einer Studie installieren die meisten Oracle-Administratoren die "Critical Patch Updates" des Herstellers nicht. Die in den USA durchgeführte Studie erscheint passend zu Oracles aktuellem Critical Patch Update für Januar 2008, das 26 Sicherheitslücken in den verschiedenen Oracle-Produkten schließen soll.

Angreifer können Schadcode ausführen. Wie Apple bekannt gab, beseitigen die aktuellen Firmware-Versionen für das iPhone und den iPod touch eine Reihe von Sicherheitslecks. Zwei Sicherheitslücken betreffen beide Geräte, während sich ein Sicherheitsloch nur im iPhone bemerkbar macht.

Update schließt Sicherheitslücken. In QuickTime stecken vier gefährliche Sicherheitslöcher, die nun mit einem Patch geschlossen wurden. Angreifer können über alle vier Sicherheitslecks beliebigen Schadcode ausführen, um sich so eine umfassende Kontrolle über ein fremdes System zu verschaffen.

Angreifer können beliebigen Programmcode ausführen. Microsoft vermeldet ein gefährliches Sicherheitsleck in der Tabellenkalkulation Excel, worüber Angreifer beliebigen Schadcode ausführen können. Bislang gibt es keinen Patch, um den Fehler zu korrigieren.

Vorabversion nicht für Produktiveinsatz geeignet. Microsoft hat ein so genanntes Refresh des Release Candidates vom Service Pack 1 für Windows Vista veröffentlicht. Nachdem diese Aktualisierung bereits seit einiger Zeit an Beta-Tester verteilt wurde, erhält nun auch die Allgemeinheit die Download-Option. Da es sich hierbei um eine Vorabversion handelt, sollte das Update nicht auf Produktivsystemen eingesetzt werden.

Website zur Kontrolle des österreichischen Innenministers. Innenpolitiker fordern immer mehr Kompetenzen, um die Bürger zu überwachen. Viele Bürger wollen sich das nicht gefallen lassen: Manche demonstrieren, andere klagen - und wieder andere überwachen die Überwacher.

Neues Java-Update verfügbar. Sun hat ein viertes Update für Java 6 veröffentlicht, das knapp 380 Fehler beseitigt. Dadurch soll die Software zuverlässiger arbeiten und weniger Probleme machen.

Anonym mobil telefonieren unter anderer Identität. Der Arbeitskreis Vorratsdatenspeicherung will eine kreative Möglichkeit gefunden haben, die Vorratsdatenspeicherung auszutricksen: Ein Mobiltelefonierer tauscht einfach seine SIM-Karte gegen die eines beliebigen anderen Mobiltelefonierers aus.

Updates korrigieren Fehler in Microsofts Betriebssystem. Am Microsoft-Patch-Day hat der Software-Riese weitere Patches speziell für Windows Vista veröffentlicht. Ein Update soll die Kompatibilität zu älteren Windows-Applikationen verbessern, während ein weiterer Patch Probleme im Zusammenspiel mit dem Ruhezustand des Rechners ausbügeln soll. Aber auch für die Windows Sidebar gibt es einen Patch und ein anderes Update kümmert sich um die Update-Funktion des Betriebssystems.

Fehler im Zusammenspiel mit dem TCP/IP-Protokoll. Am diesmonatigen Patch-Day beseitigt Microsoft mit den zwei angekündigten Updates insgesamt drei Sicherheitslücken. Ein Patch korrigiert zwei Fehler im Zusammenspiel mit dem TCP/IP-Protokoll, worüber Angreifer im schlimmsten Fall schadhaften Code ausführen können. Ein weiteres Sicherheitsloch kann von lokal angemeldeten Nutzern zur Ausweitung von Rechten missbraucht werden.

Angeklagter darf im Strafverfahren nicht zur Herausgabe gezwungen werden. In einem Verfahren wegen des Besitzes von Kinderpornografie hat Ende des vergangenen Jahres ein US-Richter entschieden, dass der Angeklagte sich nicht durch Herausgabe des Kennworts zu den verschlüsselten Dateien selbst belasten muss. Davor sei er, so Richter Niedermeier in seinem Urteil, durch den fünften Zusatz zur US-Verfassung geschützt.

Updates für alle noch gepflegten Versionen. Die Entwickler des freien objektrelationalen Datenbank-Management-Systems PostgreSQL haben fünf von ihnen als kritisch eingestufte Sicherheitslücken geschlossen. Administratoren wird empfohlen, die Updates so schnell als möglich einzuspielen, auch wenn bisher kein Angriff über diese Anfälligkeiten in der Software bekannt wurde.

Mängel an Sicherheit und Transparenz. Wahlcomputer haben vor allem einen Vorteil: Das Auszählen der Stimmen ist unkompliziert und geht sehr schnell. Im Gegensatz zur Papierwahl ist die von einem Computer ausgezählte Wahl allerdings nicht so einfach nachzuvollziehen. Und wenn der Computer sich dann auch noch als unsicher erweist, ziehen Experten notfalls auch vor Gericht, um ihn zu stoppen.

Gefährliches Sicherheitsleck in Windows. Auch im Jahr 2008 bleibt Microsoft seinem Konzept treu, einmal im Monat Sicherheits-Patches für die Softwareprodukte aus Redmond zu veröffentlichen. Am 8. Januar 2008 wird der Softwarekonzern zwei Patches für Windows veröffentlichen, um zum Teil gravierende Fehler zu korrigieren.

Neue Richtlinien erlauben Besitz für Sicherheitstests. Das war wohl zu viel des Guten: In der Neufassung des britischen Computerstrafrechts, des Computer Misuse Acts (CMA), haben die Autoren den Besitz, die Herstellung und die Weitergabe von Hacker-Tools wie etwa Programmen zum Eindringen in fremde Computer, unter Strafe gestellt. Neue Richtlinien schwächen dieses Verbot jetzt ab.

Datenschutzbericht: Verletzung der Privatsphäre als globaler Trend. Überwachung von Telefongesprächen, Speicherung und Austausch von Daten, Kontrolle am Arbeitsplatz, biometrische Merkmale im Ausweis - die Maßnahmen, mit denen Regierungen und Unternehmen der Privatsphäre zuleibe rücken, sind vielfältig. Einheitlich hingegen ist der Trend: Unter dem Vorwand, für mehr Sicherheit zu sorgen, werden Datenschutz und Schutz der Privatsphäre der Bürger untergraben. Selbst stolze Demokratien, die sich die Menschenrechte auf die Fahnen geschrieben haben, mutieren zu Überwachungsgesellschaften.

Sicherungsservice kostet 30,- US-Dollar pro Jahr. SanDisk will auf der Consumer Electronics Show (CES) in Las Vegas einen USB-Stick präsentieren, der ein automatisches Online-Backup der gespeicherten Daten erstellt. Der Cruzer Titanium Plus getaufte Stick fasst dabei selbst 4 GByte an Daten.

Bedenken wegen nationaler Sicherheit. Es ist ein heikles Geschäft: Der chinesische Telekommunikationsausrüster Huawei will eine Minderheitsbeteiligung an 3Com erwerben. Der amerikanische Netzwerkausrüster liefert jedoch Sicherheitstechnik an das US-Verteidigungsministerium - das Ministerium, das im Jahr 2007 das chinesische Militär beschuldigte, seine Rechner gehackt zu haben. Der zuständige Ausschuss will den Kauf sehr genau prüfen und hat angekündigt, die Prüffrist deutlich zu verlängern.

Tim Pritlove zieht positives Kongressfazit, fordert mehr Engagement. Gleich nach den Security Nightmares kam traditionell Tim Pritloves Abschlussrede zum 24C3. Trotz leicht gesunkener Teilnehmerzahl fühlte sich der Kongress sehr voll an. Pritlove zog denn auch ein positives Fazit und schloss mit der Aufforderung, selbst aktiv zu werden, den Kongress ab.

Auch steigende Vernetzung großtechnischer und medizinischer Systeme birgt Risiko. Frank Rieger und Ron boten auf dem 24. Chaos Communication Congress (24C3) wie gewohnt einen Rückblick und eine Vorschau auf Probleme in der Sicherheit der IT-Branche. In lockerer Weise wurden die Highlights des Jahres 2007 präsentiert sowie Wünsche und Befürchtungen zum Jahr 2008 aufgezeigt.

Weitere technische Details zu Sicherheitslücken. Ab dem kommenden Patch-Day im Januar 2008 will Microsoft mehr Details zu den veröffentlichten Sicherheits-Updates bereitstellen. Dabei stehen vor allem technische Hintergründe im Mittelpunkt.

Fehler in den Untertiteln erlaubt Ausführung von Programmcode. Im Sommer 2007 wurde ein Sicherheitsleck im VLC Media Player an die Entwickler gemeldet, der in der aktuellen Programmversion bislang nicht beseitigt wurde. Angreifer können darüber im schlimmsten Fall schadhaften Programmcode ausführen.

Auch Windows-Version von Safari musste korrigiert werden. In der vergangenen Woche hatte Apple einen Sicherheits-Patch für den Browser Safari veröffentlicht, um ein Sicherheitsleck zu schließen. Darüber konnten Angreifer an vertrauliche Informationen gelangen. Nun hat Apple für diesen Patch ein Update veröffentlicht, um einen neu aufgetretenen Programmfehler zu beseitigen.

Microsoft bietet Patch zur Fehlerkorrektur. Microsoft hat nun einen Patch veröffentlicht, um den Fehler im Internet Explorer zu beseitigen, der nach Einspielung des aktuellen Sammel-Patches für den Browser aufgetreten ist. Es gab zwar bereits eine Anleitung für eine Modifikation für die Registry, aber ein Patch fehlte bislang.

Gefährliche Sicherheitslücken in der Software entdeckt. In Adobes Flash Player wurden etliche Sicherheitslücken entdeckt, über die Angreifer beliebigen Schadcode ausführen können. Mit einem Update sollen diese Sicherheitslecks nun geschlossen werden. Oftmals genügt die Bereitstellung manipulierter SWF-Dateien, um Zugriff auf fremde Systeme zu erlangen.

Opfer werden auf falsche Webseiten gelockt. Im Internet wurde ein Schädling ausgemacht, der den Inhalt von Googles Textanzeigen durch eigene Text-Annoncen ersetzt. Dadurch können Opfer auf Webseiten geleitet werden, die Schadcode bereitstellen. Auch Webseiten-Betreiber können die Leidtragenden sein, weil ihre gebuchte Werbung nicht mehr angeklickt wird.

Neue Version des Drucksystems für Unix-Betriebssysteme. Eine neue Version des Drucksystems CUPS beseitigt einen Fehler, durch den Angreifer über das Netzwerk Schadcode einschleusen konnten. CUPS 1.3.5 korrigiert darüber hinaus noch weitere Probleme, die nicht sicherheitskritisch waren.

Ein Sicherheitsloch erlaubt Ausführung von Programmcode. Im Browser Opera wurden mit der neuen Version 9.25 insgesamt vier Sicherheitslecks beseitigt. Neue Funktionen bringt die neue Version nicht, da das Update vor allem der Fehlerkorrektur gilt. Eine der Sicherheitslücken kann sogar zum Ausführen von Programmcode missbraucht werden.

Symantec-Software beobachtet kontinuierlich alle Rechneraktivitäten. Nach einem offenen Beta-Test ist die Sicherheitssoftware Norton AntiBot von Symantec nun für die Windows-Plattform als Final-Version zu haben. Die Software überwacht kontinuierlich alle Rechneraktivitäten, um auf dem Rechner laufende Schadsoftware zu identifizieren und diese auszuschalten. Das Produkt ist als Ergänzung zu herkömmlichen Virenscannern gedacht.

Änderungen unter der Oberfläche und Fehlerkorrekturen. Nach einem internen Beta-Test hat Microsoft den Release Candidate für das Service Pack 3 für Windows XP für die Allgemeinheit zur Verfügung gestellt. Interessenten können die Patch-Sammlung bereits testen, die vor allem Änderungen unter der Haube bringen und alle bisher veröffentlichten Sicherheits-Patches enthalten wird.

Microsoft bietet Hilfe gegen Versagen des Internet Explorer. Wie berichtet, macht der Internet Explorer unter bestimmten Umständen Probleme, nachdem das Update vom diesmonatigen Patch-Day installiert wurde. Der Browser reagiert dann nicht mehr und Microsoft hat nun eine Hilfe bereitgestellt, um den Fehler zu korrigieren. Einen aktualisierten Patch gibt es bislang aber nicht.