Security

Anfangs hieß es, dass bei dem Schadsoftware-Befall des Berliner Kammergerichts keine Daten abgegriffen wurden. Doch ein unveröffentlichtes Gutachten kommt nun zu einem anderen Schluss. Neben einem Datenabfluss wirft es kein gutes Licht auf die IT-Infrastruktur des Gerichts.

Der schwedische Modehändler Hennes und Mauritz (H&M) soll Mitarbeiter in großem Stil ausspioniert haben. Die zuständige Datenschutzbehörde hat ein Bußgeldverfahren eingeleitet und bezeichnet die Datenschutzverstöße als besonders drastisch.

Auch ohne Hintertür von Apple können US-Ermittler inzwischen die aktuellen iPhones auslesen. Dennoch beklagen sie sich über den hohen Aufwand für das Entsperren der Geräte.

Nach einem Online-Angriff hat die Stadt Potsdam ihre Systeme vom Netz genommen. Derzeit sei ein Kontakt nur telefonisch möglich, erklärte die Stadt. Angreifer sollen versucht haben, auf die Daten der Stadt zuzugreifen oder Schadsoftware zu installieren.

Rund einen Monat konnte auf eine Datenbank des Microsoft-Supports über das Internet zugegriffen werden. Die Fälle reichen bis in das Jahr 2005 zurück.

Der Enthüllungsjournalist Glenn Greenwald ist ein entschiedener Gegner des brasilianischen Präsidenten Bolsonaro. Nun bekommt er in seinem Gastland Ärger mit der Justiz nach einem Leak.

Es sind Vorwürfe wie aus einem Agententhriller: Das Smartphone des reichsten Mannes der Welt soll von einem kaum weniger reichen Kronprinzen gehackt worden sein. Saudi-Arabien weist die Vorwürfe als "absurd" zurück.

Auf Bitten des FBI hat Apple offenbar vor zwei Jahren Pläne für ein iPhone-Backup in der iCloud verworfen. Einer Reuters-Quelle zufolge wollte Apple dadurch einem Streit mit Beamten aus dem Weg gehen - geholfen hat es indes nicht.

Seit Mai 2018 wurden nicht nur sehr viel DSGVO-Verstöße gemeldet, es hagelte auch saftige Strafen. Eine Rechtsanwaltskanzlei zieht Bilanz und listet die Länder nach den höchsten Bußgeldern und meisten Verfahren auf.

Sicherheitsforscher haben private Schlüssel für TLS-Zertifikate veröffentlicht, die Netgear mit seiner Router-Firmware verteilt. Der Hersteller hatte nur wenige Tage Reaktionszeit. Die Forscher lehnen die Praktiken von Netgear prinzipiell ab, was zur Veröffentlichung geführt hat.

Die Diskussion um Huawei und China greift laut dem Kryptographen Bruce Schneier zu kurz. Vielmehr habe 5G zentrale Sicherheitsprobleme, die nicht mehr gelöst werden könnten.

Die Pläne für die Herausgabe von Passwörtern an Behörden beunruhigen Datenschützer und Netzaktivisten. Der Bundesdatenschutzbeauftragte Kelber sieht sogar den elektronischen Bankenverkehr gefährdet.
Von Friedhelm Greis

Der Betreiber eines DDoS-Dienstes hat eine lange Liste mit Zugangsdaten und IP-Adressen von Servern, Routern und IoT-Geräten veröffentlicht. Die Daten könnten zum Aufbau eines Botnetzwerkes missbraucht werden - oder um die Geräte zu zerstören.

Apples neue iPhones greifen bisher wegen Ultra-Wideband-Verboten auf die Standortortfunktion zurück, auch wenn diese deaktiviert ist. Ab iOS 13.3.1 wird es einen Schalter für Ultra-Wideband geben.

Das Bezahlen mit Handschlag nimmt bei Amazon immer konkretere Formen an. Das Onlinekaufhaus will das Bezahlen mit Handschlag in Fast-Food-Restaurants, Cafés und ähnlichen Geschäften erlauben - erste Gespräche mit Kreditkartenfirmen laufen bereits.

Während automatisierte Gesichtserkennung auch in den USA umstritten ist, nutzen Behörden seit einiger Zeit eine enorme Datenbank für die Fahndung nach Verdächtigen. Die Nutzer wissen nichts vom Einsatz ihrer Bilder.

Die EU-Kommission könnte der Bundesregierung einen Strich durch die Rechnung machen. Zumindest vorübergehend könnte der Einsatz automatisierter Systeme zur Gesichtserkennung verboten werden.

Vor dem ersten Flug mit Menschen an Bord sollten die Sicherheitssysteme des Dragon-Raumschiffs noch einmal getestet werden. Der Testflug wurde live übertragen.

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

Wie bisher wird die Spionage im Ausland kaum weitergehen. Nur wie kann das Gesetz mit Globalisierung und Digitalisierung Schritt halten? Das klärt das Verfassungsgericht.
Ein Bericht von Heinrich Wefing

Eine Pornofirma hat die Vertragsdaten mit ihren Darstellern ungeschützt im Netz gelassen. Rund 4.000 Darsteller sind von dem umfangreichen Datenleck betroffen. Das Missbrauchspotenzial sei hoch, schreiben die Entdecker.

In gleich mehreren Fällen muss der Europäische Gerichtshof (EuGH) über die Zulässigkeit der Vorratsdatenspeicherung entscheiden. Doch der zuständige Gutachter will die engen Grenzen im Interesse der nationalen Sicherheit nicht ausweiten.

In Heathrow ist ein System installiert worden, welches das Flugverbot um den Londoner Großflughafen durchsetzen soll. Es verhindert, dass Drohnen in die Verbotszone hineinfliegen und lokalisiert deren Piloten.

Eine Lücke in der Zertifikatsvalidierung von Windows ermöglicht es, die Codesignaturprüfung auszutricksen und TLS-Verbindungen anzugreifen. Zudem gibt es eine Sicherheitslücke im Remote Desktop Gateway.

Die Bundesregierung hält die Auslandsspionage des BND für unverzichtbar. Doch nach Ansicht des Chaos Computer Clubs ist der Schutz deutscher Bürger vor Überwachung dabei schwer zu gewährleisten.

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

Dating-Apps wie Tinder, Okcupid oder Grindr teilen zum Teil intimste Daten, bis hin zu sexuellen Vorlieben oder Drogenkonsum, mit Tracking-Unternehmen, wie eine Untersuchung des norwegischen Verbraucherschutzverbandes belegt. Gegen eine der untersuchten Apps wurde Beschwerde eingereicht.

Viele Kabelrouter und -modems mit Broadcom-Chip lassen sich mit der Sicherheitslücke Cable Haunt übernehmen. Die Entdecker schätzen, dass allein in Europa 200 Millionen Geräte betroffen sind.

In der kommenden Woche verhandelt das Bundesverfassungsgericht über die Auslandsaufklärung des Bundesnachrichtendienstes. Die Regierung warnt vorab vor negativen Folgen möglicher Einschränkungen.

Die Überwachungsfirma Special Services Group bietet versteckte Überwachungskameras für Strafverfolgungsbehörden und "ausgewählte Kunden" an. Der nun veröffentlichte Produktkatalog zeigt kuriose Verstecke, darunter Kindersitze oder Grabsteine.

Geräte aus der Netscaler-Serie der Firma Citrix sind für eine Remote-Code-Execution-Lücke anfällig, die sich sehr leicht ausnutzen lässt. Ein Update gibt es bislang nicht, Nutzer müssen die Konfiguration selbst anpassen, um Angriffe zu filtern.

Organisationen wie der CCC und die Digitale Gesellschaft fordern ein generelles Verbot automatischer Gesichtserkennung. Die Überwachung sei eine "Hochrisikotechnologie".

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

Firefox hat mit Version 72.0.1 ein wichtiges Sicherheitsupdate herausgegeben. Geschlossen wird eine Sicherheitslücke, die bereits aktiv ausgenutzt wird. Gemeldet wurde sie von einer chinesischen Sicherheitsfirma.

Keine Links und keine Microsoft-Office-Dokumente dürfen E-Mails an die Finanzbehörden Niedersachsens enthalten, ansonsten werden sie blockiert. Mit der Maßnahme wollen sich die Behörden gegen die Schadsoftware Emotet schützen. Nutzer werden über nicht angenommene Mails jedoch nicht informiert.

Im laufenden Jahr wollen Googles Security-Bug-Forscher des Project Zero die Disclosure-Richtlinien ändern. Das soll betroffenen Unternehmen nicht nur Updates erleichtern, sondern vor allem die Qualität der Patches verbessern.

Ein Hashwert soll eindeutig sein, doch für SHA-1 gilt das nicht mehr. Forscher zeigten, dass sie verschiedene Dateien auffüllen können, um den gleichen SHA-1-Hash zu erzeugen und illustrierten dies anhand von GnuPG-Signaturen.

Fotohändler wehren sich gegen die Pflicht zu biometrischen Passbildaufnahmen in den Behörden. Doch die Bundesregierung hält ihre Pläne für bürgerfreundlich und kostengünstiger.

Sicherheitsforscher haben Schad-Apps im Play Store gefunden, die über eine Google lange bekannte Android-Sicherheitslücke und weitere Tricks Nutzer ausspionierten. Die im Oktober aktiv ausgenutzte Lücke hatte Google eineinhalb Jahre vorher selbst entdeckt.

Eigentlich sind die Nutzerdaten unter iOS verschlüsselt, auch mit einem Jailbreak sollten sie nicht gelesen werden können. Der Forensiksoftware-Hersteller Elcomsoft will mit der Jailbreak-Software Checkra1n dennoch an Teile des iOS-Schlüsselbundes gelangen können.

In der Koalition bahnt sich ein Streit über die Videoüberwachung an Bahnhöfen und Flughäfen an. Während Innenminister Seehofer die Gesichtserkennung breit ausrollen will, gibt es Widerstand aus der SPD.

Am 8. Dezember hatte die Uni Gießen ihre Server nach einem Online-Angriff heruntergefahren. Nun geht die Hochschule nach und nach wieder online. Um die Dienste wieder nutzen zu können, müssen Studenten und Mitarbeiter jedoch erst physisch neue Passwörter abholen.

Wie im Achtziger-Klassiker Mr. Roboto von Styx hat auch Elliot in Mr. Robot Geheimnisse. Die Dramaserie um den Hacker ist nicht nur wegen Rami Malek grandios. Sie hat einen ganz eigenen beeindruckenden visuellen Stil und zeigt Hacking, wie es wirklich ist. Wir blicken nach dem Serienfinale zurück.
Eine Rezension von Oliver Nickel und Moritz Tremmel

Der neue Aston Martin bekommt ein ausfallsicheres System zur Beobachtung der Fahrzeugumgebung: Mehrere Kameras zeigen dem Fahrer, was um sein Auto herum passiert. Fallen sie aus, bleiben die drei konventionellen Spiegel.

Im August 2019 reichte Apple eine Urheberrechtsklage gegen den iOS-Virtualisierer Corellium ein. Dessen Chefin wehrt sich nun gegen die Vorwürfe und verweist auf die Notwendigkeit von Jailbreaks für die Sicherheitsforschung.

Schockierender Moment: Als sich der Besitzer eines smarten Displays das Bild der eigenen Überwachungskamera anschauen will, sieht er stattdessen das Livebild einer fremden Kamera. Google hat reagiert und den Zugriff auf Xiaomi-Kameras erst einmal deaktiviert.

36C3 Warum funktionieren Angriffe mit Word-Makros seit 20 Jahren? Der CCC-Sprecher Linus Neumann erklärt auf dem Hackerkongress, warum es so schwer fällt, sich dagegen zu schützen. Dabei gibt es viele Ansatzmöglichkeiten, die IT wirklich sicherer zu machen.
Von Moritz Tremmel

Der baden-württembergische Datenschutzbeauftragte Brink zieht sich aus Twitter zurück und kündigt einen harten Kurs gegen Nutzer in Behörden und Unternehmen an. Eine Lösung des Datenschutzproblems ist auf europäischer Ebene derzeit nicht in Sicht.
Von Christiane Schulzki-Haddouti

36C3 Der Bundesdatenschutzbeauftragte Ulrich Kelber wirbt beim CCC um die Zusammenarbeit "auf der hellen Seite der Macht". Nicht Daten, sondern Vertrauen sei der Rohstoff des 21. Jahrhunderts.
Ein Bericht von Friedhelm Greis

Bald könnte der Einkauf im Supermarkt ganz anders aussehen als heute. Amazon will sich ein Verfahren patentieren lassen, das Kunden an ihren Händen erkennt.