Theoretisch droht Facebook in den USA ein Bußgeld von 2.000.000.000.000 US-Dollar. Auch wenn der aktuelle Datenskandal vielleicht nicht illegal war, könnte die US-Behörde FTC auf weitere Probleme stoßen.

Das BSI hat für ein Projekt verschiedene Kryptobibliotheken untersuchen lassen, behält die Ergebnisse jedoch für sich. Golem.de liegt die Analyse mit vielen Details über die Bibliotheken NSS, LibreSSL und Botan dank des Informationsfreiheitsgesetzes vor, darf sie aber nicht veröffentlichen.
Von Hanno Böck

Die Carbanak-Gruppe hat seit 2013 durch Angriffe auf Banken über eine Milliarde Euro an Schaden verursacht. Bei einer koordinierten Polizeiaktion wurde der Gründer und "Mastermind" in Alicante festgenommen.

Mit Cloud Armor bietet auch Google ab sofort einen kommerziellen Schutz vor DDoS-Angriffen an. Bislang hatte Alphabet einen solchen Dienst nur für Nachrichtenseiten und Menschenrechtler im Angebot.

Eine kritische Sicherheitslücke in Microsofts Credential Security Support Provider versetzt Angreifer in die Lage, beliebigen Code auszuführen. Deswegen unterbindet das Unternehmen demnächst Verbindungsversuche ungepatchter Clients, Admins sollten also schnell handeln.

Das soziale Netzwerk Facebook ist weiter massiver Kritik ausgesetzt. Das sorgt dafür, dass einzelne Nutzer sich sehr genau anschauen, was im Netzwerk passiert. Einer entdeckte dabei, dass die App sich Daten der Telefonhistorie über Jahre sicherte. Ars Technica bestätigt dies und Facebook weicht aus.

Ein Mitarbeiter des russischen Geheimdienstes hat offenbar einmal vergessen, sein VPN zu aktivieren. Der Fehler liefert neue Hinweise auf die russische Urheberschaft des Hacks der Demokratischen Partei in den USA im Jahr 2016.

Kann Facebook überhaupt kontrollieren, was mit den Nutzerdaten geschieht, die über die API abfließen? Der Bundestagsausschuss Digitale Agenda will das von dem Netzwerk wissen und wundert sich über fehlende Antworten.

Das Entwicklerteam der freien Code-Hosting-Software Gitlab warnt vor Sicherheitslücken in der Community- und Enterprise Edition. Angreifer können die Authentifizierung umgehen oder auch Schadcode ausführen. Updates stehen bereit.

Apple will die Siri-Sicherheitslücke mit einem Update schließen. Dann sollen Benachrichtigungen von Apps nicht mehr bei gesperrtem iPhone per Sprachassistent vorgelesen werden können.

Kaspersky soll mit der Veröffentlichung der Slingshot-Malware Antiterroroperationen der USA behindert haben. Das Unternehmen sagt, den Urheber der Malware nicht zu kennen - und alle Nutzer schützen zu wollen. Ausserdem will Kaspersky Schweizer Server anmieten.

Weil die IMSI-Nummer verschlüsselt wird, kann künftig nur noch der Netzbetreiber wissen, wer gerade im Netz eingeloggt ist. Das wird Folgen haben für umstrittene Ermittlungsmethoden wie den IMSI-Catcher.
Von Hauke Gierow

Apples Sprachassistent Siri kann die Inhalte von Benachrichtigungen vorlesen - leider auch solche, die erst nach Entsperrung des Smartphones freigegeben werden sollten.

Troopers 2018 Ein Hersteller von Yacht-Vernetzungssystemen hat offenbar nicht auf die Sicherheit geachtet. So wurden Konfigurationsdateien mit Passwörtern über eine unverschlüsselte FTP-Verbindung übertragen.

Auf der IETF-Tagung in London ist TLS 1.3 beschlossen worden. In wenigen Wochen dürfte der Standard für Verschlüsselung im Web dann auch als RFC erscheinen.

Der Prozessorhersteller AMD will Schwachstellen in Ryzen- und Epyc-CPUs beheben. Die Veröffentlichung der Bugs hatte in der Sicherheitsszene für Diskussionen gesorgt.

Der umstrittene Messenger Telegram soll den russischen Behörden seine Verschlüsselung offenlegen. Experten warnen allerdings ohnehin vor der Nutzung der Software.

Whatsapp könnte bald einen neuen Versuch starten, massenhaft Nutzerdaten an Facebook weiterzuleiten. Der Hamburger Datenschützer Johannes Caspar will sich in der Debatte nicht ausbooten lassen.

Die Datenschutzgrundverordnung sorgt nicht nur bei vielen Unternehmen für rege Betriebsamkeit, sondern auch bei Registraren und Icann. Die geplanten Neuregelungen könnten für Sicherheitsforscher und Journalisten zum Problem werden.
Von Hauke Gierow

Das besondere elektronische Anwaltspostfach (BeA) lässt weiter auf sich warten. Jetzt fordern Anwälte, dass das System nur mit einer Ende-zu-Ende-Verschlüsselung online gehen darf - und wollen das auch einklagen.
Von Hanno Böck

Über eine bezahlte Studie haben Nutzer eine App installiert, welche die Daten ihrer Facebook-Profile und die der Facebook-Kontakte sammelte. Ein Analysetool konnte dann ihre Vorlieben und Ängste vorhersehen. Trump konnte das wohl zu seinem Vorteil nutzen. Ein Gründer von Cambridge Analytica verriet Details.

Angeblich gibt Whatsapp derzeit keine sensiblen Daten von EU-Bürgern zur Nutzung an Facebook weiter. Die spanische Datenschutzbehörde sieht das jedoch anders und verhängt hohe Bußgelder.

Mit einem streitbaren Konzept will der Hacker Graeme Neilson mehr Kommunikation zwischen Sicherheitsforschern und Nutzern von Technologie schaffen. Er ist überzeugt, dass das klassische Modell von Responsible Disclosure nicht funktioniert.
Ein Interview von Hauke Gierow

Das OLG München hält die Abschaffung der Störerhaftung für europarechtskonform. Altfälle müssen demnach nur noch die Abmahngebühren zahlen. Nun soll der BGH entscheiden.

Troopers 2018 Bei der Untersuchung einer Security-Appliance von Check Point haben Sicherheitsforscher eine Lücke im Webmail-Tool Squirrelmail gefunden, mit der sich unberechtigt Dateien des Servers auslesen lassen. Einen offiziellen Fix gibt es bislang nicht, Golem.de stellt aber einen vorläufigen Patch bereit.
Von Hanno Böck

Das umstrittene Sicherheitsunternehmen CTS Labs findet seine Disclosure-Strategie bei Sicherheitslücken in Ryzen- und Epyc-Chips richtig. Das Unternehmen äußert grundlegende Kritik am Industriemodell der Responsible Disclosure.

Die Weitergabe von Nutzerdaten zwischen Whatsapp und Facebook ist innerhalb der EU unzulässig. Doch der US-Konzern gibt nicht auf und könnte bald einen neuen Versuch starten.

Nach der Ankündigung im vergangenen Jahr und einigen Verzögerungen hat die Zertifizierungsstelle Let's Encrypt damit begonnen, Wildcard-Zertifikate zu vergeben. Das geht aber nur mit Version 2 des ACME-Protokolls.

Im Digitalisierungskapital des Koalitionsvertrags ist 100-mal von "werden" und 76-mal von "wollen" die Rede. Im Vergleich zu 2013 haben Union und SPD aus einigen Fehlern gelernt.
Eine Analyse von Friedhelm Greis

Mittels Parser lassen sich aus .DS_Store-Dateien sensible Informationen auslesen. Das Projekt Internetwache.org hat sich die proprietäre Lösung von Apple genauer angeschaut - und Erstaunliches zutage gefördert.
Eine Analyse von Tim Philipp Schäfers und Sebastian Neef

Eine Firma aus Israel will spektakuläre Informationen zu Sicherheitslücken bei AMD veröffentlicht haben. Doch bei näherem Hinsehen erweist sich die Veröffentlichung selbst als missratene Sprungvorhersage.
Eine Analyse von Hauke Gierow

Ein Problem in der Browser-Extension des eigenen Passwortmanagers ist für den Hersteller Keeper nur eine "potentielle" Sicherheitslücke - ein Begriff, der so nicht existiert. Sicherheitsforscher haben außerdem ein neues Problem bei Keeper Security entdeckt.

Wird der freie Serverdienst Samba als Domain-Controller für Active Directory genutzt, kann dieser von seinen eigenen Nutzern übernommen werden. Auf diese Lücke weist das Samba-Team hin und stellt Patches bereit. Eine DDOS-Lücke wird ebenfalls behoben.

Datensicherheit, Standort in Deutschland und eine Isolation für unbefugten Zugriff durch Geheimdienste: Die deutsche Cloud ist Microsofts angepasstes Azure-Angebot für Deutschland. Was 2015 noch gut klang, ist heute wohl nicht mehr vorrangig - die Flexibilität des normalen Azure hingegen schon.

Die EU will künftig europäische Fluggastdaten auf Vorrat speichern. Das im Aufbau befindliche deutsche System scheint noch nicht ganz sicher zu sein.

Die Webseiten der Arbeitsagentur waren für den ROBOT-Angriff auf TLS verwundbar. Damit hätte ein Angreifer Datenverkehr entschlüsseln können. Verantwortlich dafür waren vermutlich uralte Cisco-Loadbalancer.

Die im vergangenen Jahr mit CCleaner verteilte Malware sollte Unternehmen wohl auch per Keylogger ausspionieren. Avast hat im eigenen Netzwerk die Shadowpad-Malware gefunden, geht aber davon aus, dass diese bei Kunden nicht installiert wurde.

Das Librem 5 von Purism soll eine alltagstaugliche Verschlüsselung auf Basis von GPG bekommen. Dazu arbeitet das Projekt mit Werner Koch zusammen. Die Verschlüsselung wird per Smartcard implementiert.

Flugkarte und Ausweis müssen Passagiere der British Airways an einigen Flughäfen in den USA am Gate nicht mehr vorzeigen. Stattdessen scannt die Fluglinie ihre Gesichter. Die Biometrie soll die Abfertigung effizienter machen.

Die neue Version der LLVM-Compiler wie Clang bringt mit Retpolines eine wichtige Maßnahme gegen Angriffe über Spectre. Davon profitieren auch künftige Windows-Versionen von Google Chrome. Optimierungen gibt es außerdem bei der Diagnose von Quelltexten.

The German government was hacked via the learning plattform Ilias, which is used at the government's own university. The university was using an old version with various security vulnerabilities.

Die Bundesregierung wurde über die Lernplattform Ilias gehackt, die an der Hochschule des Bundes zu Weiterbildungszwecken genutzt wird. Die Einrichtung nutzte eine alte Version mit zahlreichen Sicherheitslücken.
Eine Exklusiv-Meldung von Hauke Gierow und Hanno Böck

Ausgerechnet das Ministerium, das für den Bereich IT-Sicherheit in den USA verantwortlich ist, hat zahlreiche systemische Schwachstellen in seinem Netzwerk, wie ein Audit festgestellt hat. Es gibt falsch konfigurierte Windows-Systeme und zum Teil uralte Softwareversionen.

Mit einem neuen Spectre-Angriff können vertrauliche Daten ausgelesen werden, die mit Intels Software Guard Extensions geschützt werden. Der Angriff ist derzeit nur schwer zu entdecken, Intel will aber neue Software nachliefern.

Europäische Verlegerverbände und Startups wollen weniger Daten-, dafür aus ihrer Sicht aber mehr Verbraucherschutz. In einem offenen Brief kritisieren sie den bisherigen Entwurf der E-Privacy-Verordnung.

Adobe Flash ist chronisch mit Sicherheitslücken durchsetzt. Vor allem Browserhersteller versuchen daher, die Risiken zu minimieren. Offenbar mit Erfolg: Nur noch acht Prozent der Chrome-Nutzer laden einmal am Tag eine Seite mit Flash-Inhalten.

Die Malware auf den Rechnern des Auswärtigen Amtes soll per E-Mail mit den Command-und-Control-Servern der Angreifer kommuniziert haben. Die erste Infektion der Rechner erfolgte offenbar über eine manipulierte E-Learning-Plattform.

Die Business Software Alliance hat in diesem Jahr 24 Länder auf ihre Bereitschaft für Cloud-Dienste untersucht - Deutschland liegt vor Japan an der Spitze. Als Grund dafür werden solide Datenschutzgesetze genannt. Die Infrastruktur ist hingegen weit abgeschlagen.

Der E-Mail-Client sollte mit Bedacht gewählt werden. Mehrere Apps für Android haben die Kennwörter an den Anbieter der App übermittelt, wie der Sicherheitsexperte Mike Kuketz entdeckt hat.

Ab dem 25. Mai gilt europaweit ein neues Datenschutz-Gesetz, das für Unternehmen neue rechtliche Verpflichtungen schafft. Trotz der nahenden Frist sind viele IT-Firmen schlecht vorbereitet. Wir erklären, was auf Geschäftsführung und Admins zukommt.
Von Jan Weisensee