Security

Einwohner der niederländischen Gemeinde Gouda können sich ihre WLAN-Überwachungskameras subventionieren lassen. Kleiner Haken: Sie müssen die Bilder per Cloud für die Polizei zugänglich machen.

Das auf Sicherheit fokussierte Betriebssystem OpenBSD hat eine Sicherheitslücke geschlossen, mit der sich die Authentifizierung auch aus der Ferne umgehen lässt. Das betrifft den SMTP-, LDAP- und Radius-Daemon.

Die Gesundheitsapp Ada hat Nutzereingaben an Facebook und Aplitude übermittelt. Die Techniker Krankenkasse konnte dies nicht ausräumen und stellt nun ihre Kooperation mit Ada ein. Das freut den Entdecker: Er hofft, dass die Gesundheitsbranche endlich wachgerüttelt wird.

Der IT-Konzern Google erweitert seinen Aktionsradius in das Gesundheitswesen. Mit der Fitbit-Übernahme und Deepmind-Projekten zur Analyse von Patientendaten stellen sich aber Datenschutzfragen.
Ein Bericht von Christiane Schulzki-Haddouti

Forscher haben auf einem Rechencluster eine 795 Bit große Zahl faktorisiert. Das RSA-Verschlüsselungs- und Signaturverfahren basiert darauf, dass Faktorisierung schwierig ist. Für die praktische Sicherheit von RSA mit modernen Schlüssellängen hat dieser Durchbruch heute aber wenig Bedeutung.

Das iPhone 11 Pro erlaubt es Nutzern, für jede App und jeden Systemdienst explizit die Standortlokalisierung zu deaktivieren. Ganz ausschalten lässt sich diese aber nicht: Apple zufolge gibt es Dienste, die immer Zugriff auf den Standort haben.

Erster Erfolg für die klagenden Journalisten: Das Bundesverfassungsgericht will sich zwei Tage lang mit der Auslandsüberwachung des BND befassen.

Legt die EU-Kommission einen neuen Vorschlag zur E-Privacy-Verordnung vor, weil sich die Mitgliedstaaten nicht einigen können? Der neue EU-Kommissar Breton will eine entsprechende Behauptung später nicht so gemeint haben.

Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.
Eine Analyse von Hanno Böck

Zusätzlich zur Verwendung der Programmiersprache Rust erforscht Microsoft eine eigene sichere Sprache, die für Infrastruktur genutzt werden soll. Das Project Verona soll bald Open Source sein.

In Frankreich und der Schweiz gibt es sie schon, in Deutschland sucht man noch danach: Messenger für die Bundesbehörden. Der Bundesdatenschutzbeauftragte schlägt vor, sich an der französischen Lösung zu orientieren, während die Bundespolizei mit XMPP experimentiert.

Unter Android können sich Schad-Apps als legitime Apps tarnen und weitere Berechtigungen anfordern. Die Strandhogg genannte Sicherheitslücke wird bereits aktiv ausgenutzt und eignet sich beispielsweise für Banking-Trojaner. Einen Patch gibt es nicht.

Dass Überwachungskameras nicht legal eingesetzt werden, ist keine Seltenheit. Ob aus Nichtwissen oder mit Absicht: Werden Privatsphäre oder Datenschutz verletzt, gehören die Kameras weg. Doch dazu müssen sie erst mal entdeckt, als legal oder illegal ausgemacht und gemeldet werden.
Von Harald Büring

Die Informatikerin Saskia Esken und der frühere NRW-Minister Norbert Walter-Borjans sollen künftig die SPD führen. Das stärkt die Netzpolitik in der SPD, könnte aber ein Ende der großen Koalition im Bund bedeuten.

Mit dem SMS-Nachfolger RCS werden SMS und Telefonanrufe über das Internet abgewickelt - mit einem vorgegebenen Passwort. Mit diesem können auch klassische SMS unbemerkt mitgelesen werden. Eine entsprechende Konfigurationsdatei lässt sich von jeder App empfangen.

Viele bekannte Online-Plattformen erfüllen die Datenschutz-Grundverordnung nur unzureichend. Die Anbieter müssten dringend nacharbeiten, fordert Justizstaatssekretär Billen.
Von Dietmar Neuerer

Ist die E-Privacy-Verordnung endgültig gescheitert? Nachdem sich die EU-Mitgliedstaaten wieder nicht auf einen Vorschlag einigen konnten, droht zumindest eine weitere jahrelange Verzögerung. Datenschutzjuristen zeigen sich ratlos.

Mit dem Nitrokey Fido2 ist erstmals passwortloses Anmelden mit Webauthn möglich. Auch eine starke Zwei-Faktor-Authentifizierung unterstützt der nun offiziell veröffentlichte Sicherheitsschlüssel. Eine Besonderheit ist die aktualisierbare Firmware, die er sich mit den Solokeys teilt.

Datenschutzvorfall bei Oneplus: Der Smartphone-Hersteller weist darauf hin, dass Kundendaten in falsche Hände gelangt sind. Das ist bereits der zweite Vorfall in zwei Jahren.

Facebook bietet schon seit längerem Gesichtserkennung für die Nutzer seines sozialen Netzes an. Das Unternehmen hat zudem vor einigen Jahren eine Smartphone-App entwickelt, um Facebook-Nutzer auf der Straße zu erkennen. Die App war laut Facebook nur ein Test und nicht zur Veröffentlichung gedacht.

Als Teil des Project Zero erklärt Google nun erstmals die Suche nach 0-Day-Lücken. Geholfen hat im Fall einer Kernel-Lücke etwa auch Marketing-Material des Exploit-Verkäufers. Die Community soll mithelfen.

Nur zwei von 13 getesteten Smartwatches haben in einer Übersicht der Stiftung Warentest mit "Gut" abgeschnitten. In Armbändern der Uhren von Samsung, Swisstone und Xyle haben die Prüfer den Schadstoff Bisphenol A gefunden.

Über die Kamera-Apps von Google und Samsung konnten andere Apps auch ohne eine entsprechende Berechtigung Bild- und Tonaufnahmen erstellen. Auch ein Zugriff auf GPS und das Mitschneiden von Telefongesprächen war möglich. Andere Hersteller könnten ebenfalls betroffen sein.

Die Debatte um Huawei geht weiter, während die Netzbetreiber bereits 5G-Netze mit deren Technik errichten.

Der Elektronikhändler Conrad meldet, dass ein Angreifer Zugang zu Kundendaten und Kontonummern gehabt habe. Grund dafür war eine ungesicherte Elasticsearch-Datenbank.

Was ist das Hacken einer Bank gegen die Gründung einer Bank? Dieses abgewandelte Brecht-Zitat scheint das Motto von Phineas Fisher zu sein. Mit dem erbeuteten Geld will er antikapitalistische Hacks anstiften.

Die Ransomware Nextcry verschlüsselt die Daten im Cloudspeicher von Nextcloud-Installationen. Auf den Server gelangt sie nicht über die Nextcloud, sondern über eine bereits gepatchte Sicherheitslücke in PHP.

Statt der eigenen Kryptobibliothek Zinc wird das neue Wireguard-VPN künftig die Krypto-API des Linux-Kernels verwenden. Die notwendigen Anpassungen dazu sind nun im Kernel gelandet.

Unter dem Druck der Datenschutz-Grundverordnung (DSGVO) kommt Microsoft den europäischen Kunden peu à peu entgegen. Wenn sich Windows 10 nicht datenschutzkonform nutzen lässt, könnten Behörden auf Open-Source-Programme umsteigen.
Von Christiane Schulzki-Haddouti

In die jahrelangen Verhandlungen zur E-Privacy-Verordnung kommt Bewegung. Die EU-Mitgliedstaaten könnten sich auf eine pauschale Tracking-Erlaubnis für Medien und Drittanbieter einigen.

Die Immobiliengesellschaft Deutsche Wohnen will das kürzlich verhängte DSGVO-Bußgeld nicht akzeptieren. Nun müssen die Datenschutzbehörde und gegebenenfalls ein Gericht den Sachverhalt klären.

Neben Sammelkarten konnten auch Nutzerdaten bei dem Hersteller des Spiels "Magic: The Gathering" gesammelt werden. Das Unternehmen ließ eine Backup-Datenbank mit den Nutzerdaten von hunderttausenden Spielern frei zugänglich im Internet.

Mit einem neuen Konzept will die Bundesregierung die Modernisierung der Bundes-IT retten. Doch der Bundesrechnungshof hat große Bedenken, dass der Notfallplan die Probleme lösen kann.

Die Holding hinter dem Messenger Wire sitzt seit Juli in den USA - der Wechsel führte zu hitzigen Diskussionen in den sozialen Medien. Nun meldet sich Wire zu Wort und gibt Entwarnung: Es gehe um Geld, nicht um die Nutzerdaten.

Ermittler dürfen künftig Staatstrojaner bereits bei Einbrüchen ohne Bandenbezug einsetzen. Um die Gesetzesverschärfung zu begründen, hat sich die Koalition neue Argumente zurechtgelegt.

Mit seinem Security-Lab will der Code-Hoster Github künftig aktiv nach Sicherheitslücken in Open Source Code suchen und wird dabei von vielen Unternehmen unterstützt. Für Github-Nutzer soll zudem der Umgang mit Sicherheitslücken einfacher werden.

Eine Klage von Rechtsanwälten, die fordern, dass im besonderen elektronischen Anwaltspostfach (BeA) eine Ende-zu-Ende-Verschlüsselung umgesetzt wird, ist vorerst gescheitert. Der Anwaltsgerichtshof mochte den Argumenten der Kläger nicht folgen, eine Revision ist aber möglich.

Die deutschen Datenschutzbehörden erhöhen den Druck auf Webseitenbetreiber. Einfache Cookie-Banner bei der Nutzung von Tracking-Tools reichten nicht aus. Sie drohen mit "erheblich" mehr Datenschutzverfahren.

Mit einer jüngst vorgestellten App des Copter-Herstellers DJI sollen mit Hilfe handelsüblicher Smartphones jedwede moderne Multicopter identifiziert und lokalisiert werden können. Ein derartiges System könnte sowohl Behörden als auch Privatpersonen helfen.

US-Grenzbeamte dürfen nicht mehr so einfach die Smartphones und Laptops von Einreisenden untersuchen. Es muss ein begründeter Verdacht auf Datenschmuggel vorliegen.

Mit einem Timing-Angriff lassen sich Signaturschlüssel auf Basis elliptischer Kurven aus TPM-Chips extrahieren. Mal wieder scheiterten Zertifizierungen daran, diese Fehler frühzeitig zu finden.

Der Deutsche Journalistenverband fordert Aufklärung von Innenminister Horst Seehofer. Bisher habe sich dieser nicht zu der Frage geäußert, ob auch deutsche Sicherheitsbehörden die NSO-Spionage-Software Pegasus eingesetzt haben. Es gehe um mögliche Verstöße gegen die Grundrechte.

Der frühere Bundesminister Röttgen hat den Leiter Group Security der Deutschen Telekom erst zu seiner Huawei-Anhörung ein- und dann wieder ausgeladen. Offenbar war der Standpunkt von Thomas Tschersich nicht erwünscht.

Von der Auswertung von Gesundheitsdaten versprechen sich viele Cloudanbieter ein gutes Geschäft. Google hat dazu einen Deal mit dem weltgrößten katholischen Gesundheitsdienst abgeschlossen.

Mit der Software Checkra1n kann auf vielen iPhones und iPads ein Jailbreak durchgeführt werden. Das funktioniert ab iOS 12.3 bis hin zur aktuellen Version 13.2. Verhindern lässt sich das Jailbreaken auch mit iOS-Updates nicht.

Im Bundestag wurde trotz einer Entscheidung der Kanzlerin noch einmal die Huawei-Frage bei 5G diskutiert. Kein einzelner Staat und auch keine einzelne Firma könne allein solche Systeme beherrschen, betonte ein Experte.

Die Sicherheitssoftware und Malware-Schutz Defender ATP von Microsoft soll im kommenden Jahr auch auf Linux laufen. Eine Mac-Version gibt es bereits seit einem halben Jahr.

Patienten können sich künftig Gesundheits-Apps vom Arzt verschreiben lassen. Die zentrale Sammlung von Patientendaten wurde vom Bundestag noch stärker pseudonymisiert.

Die Kommunen tun sich weiter schwer mit der Umsetzung der Datenschutz-Grundverordnung. Manche verstehen unter Daten-Verschlüsselung einen abschließbaren Raum für Datenträger.
Ein Bericht von Christiane Schulzki-Haddouti

Huawei will zusätzlich zur Offenlegung des Quellcodes vertraglich zusichern, dass es keine Hintertüren in seinen 5G-Produkten gibt. Damit wird auf Versuche reagiert, die Entscheidung der Kanzlerin gegen ein Verbot doch noch zurückzurollen.