Meldungen

„Aktuelle Meldungen rund um Posteo: Neuigkeiten, Entwicklungen, Hintergrundinfos, Medienbeiträge über Posteo - das ganze Spektrum.“

Blog und Nachrichten

Kategorien:

  • Blog
  • Medien
  • Info
  • News

Andere Staaten größte Bedrohung für 5G-Netz

Erstellt am 21. August 2019, 10:00 Uhr | Kategorie: News

Das neue Mobilfunknetz 5G wird in Zukunft mit Sicherheit das Ziel von Hackern. Die Bundesregierung sieht die größte Gefahr von staatlich beauftragten Angreifern ausgehen und beispielsweise nicht von kriminellen Banden.

#more#

Im Werbevideo mischt Huawei kräftig mit beim 5G-Ausbau. Doch Sicherheitsbedenken der EU könnten den Wunsch zunichtemachen.

Die Bundesregierung sieht beim Ausbau der neuen 5G-Mobilfunknetze staatliche Hackerangriffe als das größte Sicherheitsrisiko an. In einer Antwort an die EU-Kommission, die von dem Portal netzpolitik.org veröffentlicht wurde, heißt es, von Staaten gesteuerte Angreifer seien eine größere Bedrohung als organisierte Banden, einzelne Hacker oder versehentliche Systemausfälle.

Die EU-Kommission erstellt derzeit eine Risikobewertung für die Sicherheit der 5G-Netze in Europa und hat dazu die jeweiligen Einschätzungen der Mitgliedstaaten abgefragt. In der EU wird vor allem diskutiert, ob die Beteiligung des chinesischen Konzerns Huawei beim Aufbau des 5G-Netzes ein besonderes Risiko darstellt.

Einschätzung nach “Bauchgefühl”

Huawei gehört zu den führenden Anbietern der 5G-Mobilfunktechnik, die unter anderem deutlich schnellere Datenübertragungsraten bringen soll. In den USA und auch in Deutschland sind die Chinesen aber zuletzt wegen Sicherheitsbedenken rund um Datennetzwerke unter Druck geraten. Die USA werfen Huawei vor, Spionage-Hintertüren in Produkte einzubauen und eng mit dem chinesischen Staat zusammenzuarbeiten. Einen konkreten Nachweis von Sicherheitslücken ist die US-Regierung bislang aber schuldig geblieben. Die Bundesregierung gibt in ihrer Antwort zu, dass die Einschätzung “sehr grob” sei und auf Vorerfahrungen und dem “Bauchgefühl” basiere.

Das Papier der Bundesregierung – was vom BSI angefertig wurde – listet sechs wesentliche Risikoszenarien auf. Ein Szenario könnte sich auf Huawei beziehen, allerdings wird der Firmenname nicht genannt: “Datenspionage, die eingeleitet wird von Nationalstaaten oder staatlich unterstützten Akteuren und die auf rechtlichen Verpflichtungen für Hersteller oder nicht dokumentierten Funktionen beruht”. Die Passage könnte sich aber auch auf den amerikanischen Huawei-Wettbewerber Cisco beziehen. An anderer Stelle wird insbesondere vor der Abhängigkeit von einem einzelnen Hersteller gewarnt. (dpa)

Google: Hunderttausende kompromittierte Login-Daten in Gebrauch

Erstellt am 19. August 2019, 16:00 Uhr | Kategorie: News

Hundertausende Nutzer des Browsers Google Chrome verwenden Login-Daten, die bereits kompromittiert sind und in öffentlichen Datenbanken auftauchen.

#more#

Die Warnung des Google-Plug-ins ist eindeutig, dennoch hören auf sie nur wenige Nutzer.

Viele der im Internet verwendeten Kombinationen aus Nutzernamen und Passwort sind bereits öffentlich bekannt und kompromittiert. Das stellte Google mithilfe seines Browsers Chrome fest und veröffentlichte die Ergebnisse in einer Studie. Analysiert wurden die Login-Daten von 650.000 Nutzerinnen und Nutzern. Innerhalb des ersten Monats kamen so 21 Millionen Login-Daten zusammen. Davon stufte Google rund 316.000 als unsicher ein, also rund 1,5 Prozent.

Ermittelt hat Google die Statistikdaten mithilfe des hauseigenen Chrome-Plug-ins Password Checkup. Das Tool gleicht in Echtzeit alle im Browser eingegebenen Passwörter in Kombination mit dem Nutzernamen mit einer Datenbank ab. Die Datenbank besteht aus 4 Milliarden Login-Daten, die aus Datenpannen und Hacks bekannt sind. Nutzt man ein kompromittiertes Login, gibt Password Checkup eine Warnung heraus und fordert dazu auf, das Passwort zu ändern.

Laut Google nutzen viele die gefährlichen Passwörter auch für besonders sicherheitssensitive Dienste aus den Bereichen Finanzen, Verwaltung oder E-Mail. Noch stärker verbreitet seien die kompromittierten Daten beim Login auf Shopping-, Nachrichten- und Unterhaltungs-Seiten – also beispielsweise Video-Streaming-Plattformen. Auf den Seiten sind oft auch heikle Daten wie Kreditkarten hinterlegt. Auf kleineren, unpopuläreren Seiten nutzten die Besucher 2,5-mal öfter kompromittierte Daten als bei den größeren Diensten.

Vertrauen vorausgesetzt

Passwort-Überprüfungen solcher Art sind mit Vorsicht zu genießen. Denn sie setzen voraus, dass man dem Anbieter solcher Dienste – in diesem Fall Google – absolutes Vertrauen entgegenbringt. Die Passwörter kommen in Klartext beim Anbieter an und werden meist für die statistische Auswertung in eine Datenbank übernommen. Streng gesehen sind die übertragenen Passwörter also durch die Überprüfung selbst kompromittiert.

In der neuen Version des Plug-ins gibt Google dem Nutzer zumindest die Option aus der “anonymen Berichterstellung”, also der Statistikerfassung auszusteigen. Die Option finden Sie, wenn Sie im Chrome-Browser auf das Symbol des Plug-ins klicken und dann auf “erweiterte Einstellungen”. Google hat angekündigt, die Passwort-Überprüfung auch in andere Produkte einzubauen, also beispielsweise Apps.

Warnungen bleiben ungehört

Gerade einmal 26 Prozent der Nutzerinnen und Nutzer reagierten auf die Warnung des Google-Plug-ins und änderten anschließend ihr Passwort. Der Großteil der Nutzer surfte einfach mit den kompromittierten Daten weiter. Nehmen die Nutzer und Nutzerinnen hingegen die Warnung ernst und wechseln ihr Passwort, weist das neue Passwort meist eine höhere Sicherheit auf – beispielsweise dadurch, dass keine vollständigen Worte verwendet werden oder dadurch, dass Sonderzeichen darin auftauchen.

Neu gewählte Passwörter sind meist sicherer als die zuvor verwendeten. (Quelle: Google)

Gegenmaßnahmen

Die einfachste Methode sich vor Passwortdiebstählen zu schützen, ist für jeden Dienst und jede Webseite ein unterschiedliches Passwort zu verwenden. Ist eines der Passwörter kompromittiert und taucht beispielsweise in einer Datenbank auf, sind dadurch immerhin nicht die anderen Accounts gefährdet. Um sichere Passwörter zu erstellen und zu speichern, hilft beispielsweise ein Passwort-Manager. (hcz)

Kaspersky gefährdete die Privatsphäre der Nutzer

Erstellt am 16. August 2019, 16:30 Uhr | Kategorie: News

Wer den Kaspersky-Virenschutz installiert hat, konnte beim Surfen im Internet jahrelang identifiziert werden. Das Computermagazin c’t fand heraus, dass die Software den HTML-Code der besuchten Webseiten manipulierte.

#more#Vor Viren schützen die Kaspersky-Programme, gleichzeitig ließen sie aber Rückschlüsse auf das Surfverhalten des Nutzer zu.

In der Virenschutz-Software von Kaspersky hat nach Analysen des Computermagazins c’t über Jahre ein Datenleck geklafft, das die Privatsphäre der Nutzer gefährdete. Demnach hätten Webseitenbetreiber darüber die Nutzer beim Surfen verfolgen können, berichtet das Magazin in seiner aktuellen Ausgabe 18/19. Selbst der Inkognito-Modus eines Browsers habe daran nichts geändert, schreibt c’t-Redakteur Ronald Eikenberg. Betroffen sein sollen alle Software-Versionen für private Windows-Nutzer sowie Pakete für kleine Unternehmen.

Seit Juni bietet Kaspersky einen Patch an und veröffentlichte auch einen offiziellen Sicherheitshinweis, in dem das Problem und die Lösung beschrieben wird. Wer auf Nummer sicher gehen möchte, sollte die verantwortlichen Funktionen in den Einstellungen der Kaspersky-Software deaktivieren. Die Einstellung dazu finden Sie, indem Sie im Hauptfenster der Software unten links auf das Zahnradsymbol klicken. Dort wählen Sie “Erweitert/Netzwerk” aus und deaktivieren unter “Verarbeitung des Datenverkehrs” die Option “Skript für die Interaktion mit Webseiten in den Datenverkehr einbinden”.

Verhalten nur von Trojanern bekannt

Der Analyse zufolge fügt die Antiviren-Software beim Aufrufen einer Webseite ein Skript in den HTML-Code ein, egal welchen Browser man benutzt. Es ist dafür zuständig, grüne Schutzschilde hinter Google-Suchtreffern einzublenden, wenn ein Link nach Einschätzung von Kaspersky sauber ist. Über das JavaScript war aber auch jeder Nutzer eindeutig zu identifizieren. “Bisher kannte ich dieses Verhalten nur von Online-Banking-Trojanern”, schreibt Eikenberg.

Steuerte der Kaspersky-Nutzer eine Webseite an, ergänzte das Antiviren-Programm den HTML-Code der Seite um einige Code-Zeilen und speicherte die Daten wie üblich auf dem Rechner des Nutzers. Innerhalb der ergänzten Zeilen fand sich eine individuelle Identifikationsnummer. Das bedeutet, dass jede beliebige Website den von Kaspersky gesetzten ID-Code auslesen und selbst zum Tracken missbrauchen konnte.

Nachdem die c’t den russischen Hersteller über das Problem informierte, hat Kaspersky das Leck bestätigt. Der Hersteller geht jedoch davon aus, dass ein tatsächlicher Missbrauch unwahrscheinlich sei, weil eine mögliche Attacke darüber “zu komplex und nicht profitabel genug für Cyberkriminelle” sei. Allzu kompliziert ist das Auslesen der ID allerdings nicht: Übliche Werbetracker suchen bereits gezielt nach Anhaltspunkten zur Identifikation des Nutzers beziehungsweise des verwendeten Gerätes.

Problem nicht ganz gelöst

Und selbst mit dem aktuellen Patch schleust die Kaspersky-Software weiterhin ein Skript mit einer ID ein. Allerdings ist diese ID nun für alle Nutzer identisch – einzelne Anwender können damit nicht mehr identifiziert werden. Angreifer können jedoch immer noch herausfinden, ob ein Besucher die Kaspersky-Software auf seinem System installiert hat und wie alt diese ungefähr ist. Diese Information kann genutzt werden, um einen auf die Schutzsoftware zugeschnittenen Angriff zu starten. (dpa / hcz)

Identitätsdiebstahl mittels DSGVO-Auskunft

Erstellt am 15. August 2019, 14:00 Uhr | Kategorie: News

Das Auskunfttsrecht der DSGVO kann dazu missbraucht werden, fremde Identitäten zu übernehmen. Ein britischer Student gelangte dadurch an zahlreiche geschützte Informationen über seine Freundin. Kontrollen der Auskunftsgeber sind zu lasch.

Eigentlich soll die Datenschutzgrundverordnung (DSGVO) den Nutzerinnen und Nutzern mehr Kontrolle über ihre Daten geben. Nun hat der Oxford-Student James Pavur aber demonstriert, dass auch genau das Gegenteil möglich ist. Er nutzte das Auskunftsrecht der DSGVO unter falschem Namen, um personenbezogene Daten bei Organisationen zu sammeln, zu denen eigentlich nur der zugehörige Nutzer Zugriff haben sollte – in diesem Fall seine Freundin.
#more#

Die Black Hat Konferenzen führen Sicherheitsexperten und Hacker zusammen und finden weltweit an verschiedenen Orten statt.

Auf der Black Hat Konferenz in Las Vegas stellte Pavur seine Studie vor, für die er 150 Organisationen unter falschem Namen anschrieb und die Herausgabe aller personenbezogenen Daten forderte. Für die Kontaktaufnahme legte er sich eine E-Mail-Adresse auf den Namen seiner Partnerin und Mitautorin Casey Knerr an. Ob Knerr die Dienste jemals genutzt hatte und dort Daten hinterlegt waren, wusste Pavur nicht. Um die Glaubwürdigkeit seiner Anfragen zu untermauern, fügte er zusätzliche Informationen zu seiner Freundin in die Ersuchen ein – es handelte sich ausschließlich um öffentlich zugängliche Daten.

kaum Sicherheitsmechanismen

72 Prozent der Organisationen reagierten auf die Anfragen. Laut der Studie ging aus zwei Drittel der Antworten hervor, ob Knerr die Dienste nutzte beziehungsweise ob Daten vorlagen. Allein diese Information ist heikel, da es sich unter anderem um Dating-Platformen handelte. 24 Prozent der Unternehmen gaben sämtliche Daten heraus, ohne die Identität des Anfragenden nochmals zu überprüfen. Darunter befanden sich Kreditkartendaten, Passwörter und die Sozialversicherungsnummer. 16 Prozent forderten nur eine schwache Identitätsüberprüfung, die Pavur mit wenig Aufwand umging. Es ging beispielsweise um Geräte-Cookies oder eine einfache schriftliche Erklärung, tatsächlich die angegebene Person zu sein. 5 Prozent der Organisationen gaben an, keine Daten über Knerr gespeichert zu haben, obwohl sie Nutzerin war. Rund 3 Prozent verstanden die Anfrage falsch und löschten den Account, statt die Daten herauszugeben.

Der Fehler liegt allerdings nicht bei der DSGVO selbst als vielmehr bei den Firmen und Organisationen, die ihr gegenüber verpflichtet sind. Sie dürften eigentlich erst die gespeicherten Daten herausgeben, wenn die Identität des Anfragenden zweifelsohne geklärt ist. Zugleich müssen die Firmen aber innerhalb eines Monats auf die Anfrage reagieren, da sonst Geldbußen drohen. Für einige ist dies offensichtlich zu wenig Zeit oder schlichtweg ein Ressourcenproblem. Pavur plädiert dazu, den Unternehmen die Angst zu nehmen, Geldbußen zu kassieren, weil sie verdächtige Anfragen ablehnen. (hcz)

Verfassungsbeschwerde gegen Zensus-Test

Erstellt am 13. August 2019, 17:30 Uhr | Kategorie: News

Für die Volkszählung 2021 werden nicht anonymisierte Daten von 82 Millionen Bürgern an zentraler Stelle gesammelt. Dagegen klagt ein Verein nun vor dem Bundesverfassungsgericht.

Karlsruhe – Die Gesellschaft für Freiheitsrechte (GFF) hat Verfassungsbeschwerde gegen die Übermittlung von Meldedaten zur Vorbereitung der Volkszählung 2021 eingereicht. Für den Test der Volkszählung werden nicht anonymisierte Daten aller gemeldeten Bürgerinnen und Bürger an das Statistische Bundesamt übermittelt: so etwa Name, Geschlecht, Familienstand und Religionsgemeinschaft. Dort werden sie bis zu zwei Jahre zentral gespeichert, dürfen aber nicht für andere Zwecke verwendet werden. Die GFF hält das für unverhältnismäßig – ein Test mit fiktiven Daten oder eine Stichprobe seien ausreichend.

Ein Sprecher des Bundesverfassungsgerichts bestätigte am Montag den Eingang einer entsprechenden Beschwerde. Mit einem Eilantrag gegen den Mitte Januar gestarteten Testlauf war der Verein gescheitert. Die Richter entschieden damals, dass die Nachteile des Tests nicht deutlich genug das Interesse des Gesetzgebers an einer guten Vorbereitung des Zensus überwiegten. Die Daten werden momentan bereits innerhalb des Testlaufs verarbeitet. Daher liege das Ziel der GFF nun darin, “das Risiko [zu] reduzieren, dass sich Dritte die echten Daten von über 82 Millionen Menschen beschaffen.” Außerdem wolle man zukünftige Testläufe verhindern. Die GFF hofft, dass das Zusammenführen aller Meldedaten zu bloßen Testzwecken nun im Hauptsacheverfahren für verfassungswidrig erklärt wird.

Hintergrund

Zehn Jahre nach der letzten Volkszählung steht 2021 wieder ein Zensus an. 2018 hat der Bundestag das “Zensusvorbereitungsgesetz 2021” um einen Testlauf erweitert. Die GFF kritisiert in diesem Zusammenhang, dass der Paragraf zum Testlauf sehr kurzfristig beschlossen wurde und der Gesetzgeber “der Zivilgesellschaft so kaum Zeit zur Reaktion gelassen” hat. Laut des Zusatzparagraphen mussten die Meldeämter dem Statistischen Bundesamt im Januar Datensätze zu allen in Deutschland gemeldeten Personen zukommen lassen. Zu jeder Person werden 46 persönliche Angaben weitergegeben.

Es wäre das erste Mal, dass solch detaillierte Datensätze über alle Bürgerinnen und Bürger an zentraler Stelle zusammengeführt werden. Die GFF sieht diese Datensammlung als attraktives Ziel für Hacker und in der Ansammlung einen “Verstoß gegen datenschutzrechtliche Grundsätze”. Ein weiterer Kritikpunkt ist, dass überhaupt Daten wie die Religionszugehörigkeit, Migrationshintergrund und Geschlechtsidentität abgefragt werden. (dpa / hcz)