Der privaten Schlüssel eines Hardware-Sicherheitstokens von Google lässt sich anhand der Strahlung rekonstruieren.

Etliche Behörden nutzten und nutzen Software von Solarwinds. Zu Verfassungsschutz und BND möchte sich das Innenministerium jedoch nicht äußern.

Das FBI warnt vor Swatting, bei dem die Täter die teils gefährlichen Polizeieinsätze über gehackte Kameras verfolgen oder streamen.

Die Schadsoftware nutzt offene Ports von Diensten wie MySQL aus und setzt darauf, dass sie mit schwachen Passwörtern gesichert sind.

Microsoft beruhigt aber. Codeeinsicht sei schließlich in der eigenen Open-Source-Strategie normal. Die Solarwinds-Aktie fällt indes weiter.

rC3 Röntgenbilder auf ungeschützten Servern und aus dem Internet erreichbare Praxen: Die Gesundheits-IT hat viele Sicherheitsprobleme.
Ein Bericht von Moritz Tremmel

rC3 Gerade erst hat sich der EU-Ministerrat auf eine Umgehung der Ende-zu-Ende-Verschlüsselung geeinigt, da taucht sie schon in einer Richtlinie auf. Die Crypto Wars gehen also weiter.
Ein Bericht von Moritz Tremmel

Eine aktiv ausgenutzte Sicherheitslücke in Windows ist trotz Hinweisen von Google und einem unzureichenden Patch immer noch nicht behoben.

rC3 Normalerweise stellt Jiska Classen neue Bluetooth-Lücken vor. Auf dem rC3 erklärte sie hingegen, warum Bluetooth für Corona-Apps sinnvoll ist.
Ein Bericht von Moritz Tremmel

Erstmals hat die Justiz eine Statistik zum Einsatz von Staatstrojanern veröffentlicht. Drei Bundesländer sind besonders aktiv.

Was am 17. Dezember 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Bereits vor dem aktuellen Hack veröffentlichte Solarwinds ein Passwort zu den Update-Servern, das obendrein extrem unsicher war.

Die Bundesregierung macht den Herstellern und Betreibern kritischer IT-Strukturen neue Vorgaben. Doch mit ihrem Vorgehen verärgert sie die Verbände.
Ein Bericht von Friedhelm Greis

Die EU-Mitgliedstaaten haben eine umstrittene Resolution zur Verschlüsselung von Kommunikation gebilligt. Deren Umsetzung dürfte schwierig werden.

Seit Jahren wird das Ende des Adobe Flash Players verkündet. Im Januar 2021 soll es tatsächlich so weit sein.

Angreifer haben sich offenbar Zugriff auf Daten zu Coronavirus-Impfstoffen verschafft, vieles bleibt aber unklar.

Im Kampf gegen den Terrorismus stört sich nun auch die EU-Kommission an verschlüsselter Kommunikation.

Das Security-Unternehmen versucht nun, das Schlimmste zu verhindern und gibt Tipps gegen die eigenen Angriffswerkzeuge.

Der US-Geheimdienst NSA sieht russische Akteure hinter Angriffen auf eine Sicherheitslücke in VMware-Produkten

Seiten von Salesforce haben Probleme mit Mixed Content, doch statt diese zu beheben, gibt die Firma gefährliche Ratschläge.
Von Hanno Böck

Weil die Überwachung durch Staatstrojaner zu schwierig ist, setzt die Regierung auf neue "Lösungsvorschläge". Doch Experten sind skeptisch.

Im Desktop-Client von Microsoft Teams fand sich eine extrem kritische Sicherheitslücke, aber Microsoft hat das Problem heruntergespielt.

Die Lücke wurde bereits im März gepatcht, dennoch setzen viele Apps ältere Versionen ein. Mit ihr lassen sich beispielsweise Messenger-Nachrichten auslesen.

Chinesische Unternehmen bei 5G ausschließen, weil China US-Hintertüren in US-Produkten nutzt - diese Argumentation zu den Juniper-Backdoors ist unbefriedigend und einseitig.
Ein IMHO von Achim Sawall

Ohne Bugfix hätten iPhones vollständig per WLAN ausgelesen werden können - über eine triviale Lücke. Apple hat den Fehler bereits behoben.

Eine Schwächung der Messenger-Verschlüsselung kriminalisiere Millionen Menschen, betont Threema. Backdoors seien ausgeschlossen.

Eine Initiative innerhalb der Jungen Union warnt die CDU vor einer erneuten "digitalen Katastrophe" wie bei Artikel 13 der Urheberrechtsreform.

Was am 26. November 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Die E-Mail-Adressen von anderen Xbox-Nutzern konnten über einen einfachen Trick ausgelesen werden.

Ein Team aus Belgien hat bereits zwei Mal das Schließsystem von Tesla überlistet. Was beim Model S möglich ist, geht auch beim Model X.

Wieder einmal ein Beispiel dafür, dass man seine privaten Zugangsdaten nicht aus Versehen in den sozialen Medien posten sollte.

Ein Fehler im Facebook Messenger unter Android ermöglichte es, einen Sprachanruf aufzubauen, ohne dass der Empfänger diesen annehmen muss.

Das Sicherheitsteam von Github hat eine Remote Code Execution im Server-Code der Corona-Warn-App gefunden

In Ciscos Videokonferenzsoftware Webex konnten Eindringlinge an Meetings teilnehmen - ohne in der Teilnehmerliste aufzutauchen.

Intels Enklave SGX soll Daten selbst vor Rechenzentrumsbetreibern mit physischem Zugang verbergen. Doch Forscher konnten auf diese Weise RSA-Schlüssel auslesen.

Völlig vorhersehbare Fehler mit UEFI Secure Boot führen vermutlich noch auf Jahre zu Problemen. Vertrauen in die Technik weckt das nicht.
Ein IMHO von Sebastian Grüner

Die Polizei soll an alle Informationen kommen, die sie benötigt - auch wenn sie verschlüsselt sind. Damit würde allerdings die E2E-Verschlüsselung abgeschafft.

Was am 13. November 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Ein Buffer Overflow in der Bibliothek Raptor zeigt, wie es bei Linux-Distributionen im Umgang mit Sicherheitslücken manchmal hakt.
Von Hanno Böck

Was am 12. November 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Die Regierung will Messengerdienste selbst über den Zugriff auf verschlüsselte Inhalte entscheiden lassen. Doch die Anbieter stehen vor unlösbaren Problemen.
Eine Analyse von Friedhelm Greis und Moritz Tremmel

Wieder gelingt es einem Forscherteam, eigentlich geschützte Daten aus Intel-CPUs abzuleiten. Diesmal per Software-Leistungsmessung.

Über Jahre hatte Zoom mit falschen Angaben zur Sicherheit geworben. Die FTC verpflichtet das Unternehmen nun zu mehr Sicherheit statt einer Strafe.

Das Innenministerium will weiterhin Ende-zu-Ende-Verschlüsselung fördern. Ermittler sollen "möglichst gering" in die Systeme eingreifen.

Nervige Probleme und Sicherheitslücken brachten mich dazu, mich von Lineage OS zu verabschieden - hin zu besseren Alternativen.
Ein Erfahrungsbericht von Moritz Tremmel

Die EU-Mitgliedstaaten wollen Ermittlern besseren Zugriff auf verschlüsselte Kommunikation geben. Die konkreten Schritte sind noch sehr vage.

Eine britische Firma musste ihren Namen ändern, weil er Code in Webseiten injizieren konnte.

Die Apple-Lücken sind bereits aktiv für Angriffe ausgenutzt worden und ähneln denen, die Google schon zuvor veröffentlicht hat.

Über die Software Ivena werden Notfallpatienten in Krankenhäusern angemeldet. Ein Admin-Passwort ist nun öffentlich auf der Herstellerwebseite einsehbar gewesen.