36C3 Der Bundesdatenschutzbeauftragte Ulrich Kelber wirbt beim CCC um die Zusammenarbeit "auf der hellen Seite der Macht". Nicht Daten, sondern Vertrauen sei der Rohstoff des 21. Jahrhunderts.
Bald könnte der Einkauf im Supermarkt ganz anders aussehen als heute. Amazon will sich ein Verfahren patentieren lassen, das Kunden an ihren Händen erkennt.
Ob kleine Unternehmen oder große Konzerne: 2019 war wieder ein Jahr der Fehlschläge und Pleiten. Golem.de gibt einen Überblick über gescheiterte Airlines, Betrugsversuche und unterschätzte Projekte, die in diesem Jahr aufgefallen sind.
Die Zahl krimineller Vorfälle im Internet steigt schnell. Der Bund Deutscher Kriminalbeamter in Bayern fordert deshalb viele weitere Beamte, die Cyberkriminalität bekämpfen. Deshalb will der Berufsverband vergleichsweise hohe Gehälter erwirken.
36C3
Gefälschte E-Mails zu verschicken ist einfach. Etwas komplizierter wird es, wenn Mailserver auf Anti-Spoofing-Techniken wie SPF, DKIM oder DMARC setzen. Doch auch diese lassen sich umgehen.
36C3 Der Datenanalyst David Kriesel hat sämtliche Fernzüge der Deutschen Bahn in diesem Jahr auf deren Pünktlichkeit hin untersucht. Die Auswertung macht deutlich, wie die Bahn ihre Werte schönrechnet.
36C3 Mit einer Strafanzeige gegen den Staatstrojaner-Hersteller Finfisher soll der Export von Überwachungssoftware in bestimmte Länder aufgeklärt werden. Der CCC hat nun nachgewiesen, dass in der Türkei eingesetzte Software wohl aus Deutschland stammt.
36C3
Sicherheitsforschern ist es gelungen, Code auf Wi-Fi- und Bluetooth-Chips von Broadcom auszuführen - sogar aus der Ferne. Mit einer neuen Software könnten sie in Zukunft noch mehr solcher Sicherheitslücken in Funkchips entdecken.
36C3
Eine SIM-Karte meldet unser Smartphone im Mobilfunknetz an - doch der kleine Computer im Chipkartenformat kann deutlich mehr, zum Beispiel TLS oder Java-Applikationen updaten.
36C3 Von 2021 an soll jeder Kassenpatient auf Wunsch eine elektronische Patientenakte erhalten. Doch die Zugangssysteme sind nach Ansicht des CCC nicht so gut geschützt, wie Politik und Anbieter es versprechen.
36C3 Wikileaks-Gründer Julian Assange ist in der ecuadorianischen Botschaft intensiv überwacht worden. Auf dem 36C3 erläuterte Andy Müller-Maguhn die technischen Hintergründe der Spionageaktion.
Update Die Bundeswehr soll künftig einen eigenen verschlüsselten Messenger zur Kommunikation nutzen. Dafür wird derzeit der Einsatz des Open-Source-Projekts Matrix getestet. Die Verwaltung der Bundesregierung probiert aber auch andere Lösungen aus.
Im Mai hat das BSI verkündet, OpenPGP für den Dienstgebrauch freigegeben zu haben. Etwas später sind Pressemitteilung und Zulassung kommentarlos von der Webseite verschwunden. Golem.de hat die Zulassungsdokumente eingesehen und zeigt den holprigen Weg des BSI vom Ja über das Nein zum Vielleicht.
Von der geplanten Gesetzesänderung bei der Bestandsdatenauskunft sind nach Ansicht des IT-Verbands Eco mehr als zwei Millionen Firmen betroffen. Für 25.000 Unternehmen könnte das Gesetz besonders teuer werden.
Warum Sicherheitslücken für Smartphones suchen, wenn man viel einfacher an die Kommunikation der Nutzer gelangen kann? Das hat sich offenbar die Spionageorganisation der Vereinigten Arabischen Emirate gedacht.
Ein Sicherheitsforscher zeigt, dass sich DNS-über-HTTPS-Anfragen trotz Verschlüsselung an ihrer Größe erkennen lassen können. Damit könnte diese blockiert werden, was die Technik eigentlich verhindern soll.
Wie angekündigt hat Apple sein Bug-Bounty-Programm für alle Sicherheitsforscher geöffnet. Für eine entdeckte Sicherheitslücke zahlt das Unternehmen unter Umständen bis zu 1,5 Millionen US-Dollar.
Microsoft revidiert seine Ankündigung, das Antivirenprogramm Security Essentials ab Januar 2020 nicht mehr mit Updates zu versorgen. Dies sei missverständlich formuliert worden, teilte das Unternehmen mit. Es werde weiterhin zumindest Signatur-Updates geben.
Das Instrument der Standardvertragsklauseln, mit dem Daten europäischer Nutzer in Drittländer wie die USA übertragen werden dürfen, sei zwar prinzipiell gültig, meint der EuGH-Topjurist Henrik Saugmandsgaard Øe in der Causa Schrems; trotzdem könne Facebook dazu verdonnert werden, darauf gestützte Übermittlungen zu unterlassen.
Im Streit um Huawei hat die Kanzlerin die Position der Bundesregierung erneut klargestellt. Die SPD-Fraktion und die Grünen brachten neue Positionen ein.
Der Truecrypt-Audit des BSI, über den wir gestern berichtet hatten, stammte von den Firmen Sirrix - heute Rohde und Schwarz - und Escrypt. Sirrix entwickelte daraufhin einen Fork namens TrustedDisk, der als Open Source veröffentlicht werden sollte - was nie passiert ist.
Update Ein Positionspapier der SPD-Bundestagsfraktion will chinesische Hersteller komplett vom 5G-Ausbau ausschließen. Doch das würde in der Konsequenz bedeuten, alle Mobilfunknetze in Deutschland weitgehend neu aufzubauen.
Mehrere Jahre lang haben ein ehemaliger IT-Administrator und seine Freunde mit Insiderinformationen Profite im Aktienhandel gemacht. Mit Codewörtern und möglichst unauffälligen Bargeldabhebungen wollten sie ihren Betrug vertuschen - offensichtlich war das nicht unaufällig genug.
Der neue Mac Pro mit seinem kastenförmigen Gehäuse ist leicht zu reparieren und aufzurüsten. Nur die SSD, die an Apples Sicherheitschip T2 gebunden ist, kritisiert iFixit.
Die CDU/CSU-Fraktion im Bundestag legt sich nicht auf einen Ausschluss von Huawei fest. Die US-Lobbyisten konnten jedoch nach bisherigem Stand eine vage Beschränkung von Huawei auf höchstens 30 Prozent im 5G-Funkzugangsnetz erreichen.
Zusätzlich zu Cloudflare hat Mozilla den neuen DNS-Anbieter NextDNS als Anbieter für DNS über HTTPS im Firefox-Browser gewinnen können. Der Anbieter blockt standardmäßig Werbung und Tracker.
Die Uni Gießen hat sämtliche Passwörter von Studenten und Mitarbeitern zurücksetzen müssen. Die Hintergründe des mutmaßlichen Hackerangriffs sind weiter unklar.
Hermes kommuniziert mit seinen Kunden nun auch per E-Mail. Doch wirklich gelöst wird das Problem mit dem Online-Shopping-Paket beim unbekannten Nachbarn damit noch nicht.
Die Bundesregierung verteidigt ihre Pläne zum Zugriff auf Passwörter für Ermittler. Die soll nur "im Einzelfall" vorkommen. Der IT-Verband Eco warnt vor einem "großen Lauschangriff im Netz".
Die chinesische Regierung will bei einem Ausschluss von Huawei beim 5G-Aufbau "nicht tatenlos zuschauen". Indirekt droht Chinas Botschafter mit Konsequenzen für die Autoindustrie.
Update Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2010 eine umfangreiche Analyse der Verschlüsselungssoftware Truecrypt erstellen lassen. Die Ergebnisse landeten in der Schublade, die Öffentlichkeit wurde über die zahlreichen gefundenen Sicherheitsrisiken nicht informiert.
Update The German Federal Office for Information Security has created a detailed analysis of the software Truecrypt in 2010. The results ended up in the drawer, the public was not informed about the found security risks.
Wir haben Nukis Türöffner-Modul für die Gegensprechanlage aus Neugier ausprobiert, nicht aus Not. Dabei haben wir nach einer schwierigen Installation Funktionen gefunden, die nicht nur für Arztpraxen und Airbnb-Vermieter interessant sind.
Eine Sicherheitslücke in den Paketmanangern für Node.js, NPM und Yarn, ermöglicht das Unterschieben und Manipulieren von Binärdateien auf dem Client-System. Updates stehen bereit.
Die Bundesregierung will Ermittlern den Zugriff auf Nutzerdaten bei Internetdiensten wie Mail-Anbieter, Foren oder sozialen Medien erleichtern. Die IT-Branche und die Opposition sehen einen "Albtraum für die IT-Sicherheit".
Nach dem Diebstahl von Festplatten mit unverschlüsselten Gehaltsabrechnungen und persönlichen Daten hat sich Facebook laut einem Medienbericht offenbar sehr viel Zeit gelassen, die betroffenen Mitarbeiter zu informieren.
Zum Ende des Windows-7-Supports wird auch das kostenlose Antivirenprogramm Microsoft Security Essentials eingestellt. Da hilft auch der erweiterte Support nicht weiter. Ein Umstieg auf andere Anbieter ist daher wohl unvermeidbar.
Der CDU-Außenpolitiker Norbert Röttgen verbündet sich mit einzelnen SPD-Abgeordneten gegen Huawei und Bundeskanzlerin Merkel. Ob das Erfolg hat, ist noch offen.
Update Russische Ermittler haben offenbar wegen angeblicher Urheberrechtsverletzungen durch den Gründer die Büros der Nginx-Entwickler durchsucht. Offizielle Informationen dazu gibt es derzeit aber nur wenige.
Ein bösartiges Git-Repository kann von Angreifern unter Umständen dazu genutzt werden, Code auf Client-Rechnern auszuführen. Diese und einige weitere Lücken sind auf Eigenheiten von Windows zurückzuführen und von Microsoft gefunden worden.
Telefónica Deutschland betont in einem nicht öffentlichen Positionspapier zu Huawei an den Bundestag, dass weder Netzbetreibern noch dem Bund Risiken durch das chinesische Unternehmen bekannt seien. Die anderen Mobilfunkausrüster fielen bei Forschung und Entwicklung hinter Huawei zurück.
Ein Ausschluss von Huawei vom Aufbau des 5G-Netzes bedeutet nach Darstellung des Vodafone-Sicherheitschefs jahrelange Verzögerungen für die Provider. Zudem benötigten die Geräte der Konkurrenz deutlich mehr Strom.
Ermittler sollten in Österreich heimlich in eine Wohnung eindringen dürfen, um einen Bundestrojaner zu installieren. Diese Praxis sowie die Überwachung von Autofahrern wurden nun vor Gericht gestoppt.
Die aktuelle Version 79 von Chrome warnt Nutzer aktiv vor gehackten Zugangsdaten und fordert dazu auf, diese zu ändern. Außerdem wird der Phishing-Schutz deutlich ausgeweitet.
Äußerlich unterscheidet es nicht viel von einem sauberen Android 10 - nur die Google-Apps fehlen. Doch im Inneren von GrapheneOS stecken einige Sicherheitsfunktionen. Wir haben den Nachfolger von Copperhead OS ausprobiert.
118Kommentare/Ein Test von Moritz Tremmel,Sebastian Grüner
Apple hat neue Betriebssystem-Updates für iPhones, iPads und den iPod touch vorgestellt. IOS 13.3 und iPad OS 13.3 enthalten Verbesserungen, Fehlerbehebungen und zusätzliche Sicherungseinstellungen für Kinder.
In einer Software für Arztpraxen ist der Updateprozess ungeschützt über eine Rsync-Verbindung erfolgt. Der Hersteller der Software versucht, Berichterstattung darüber zu verhindern.
Windows startet im abgesicherten Modus meist keine Antiviren- oder Endpoint-Protection-Software - diesen Umstand nutzt die Ransomware Snatch aus, um nicht entdeckt zu werden und die Dateien verschlüsseln zu können.
