Datenschutz & PC-Sicherheit für den Privat-Anwender

Bundesrat verlangt Ausweitung der Neonazi-Datei

Der Bundesrat moniert, dass der Gesetzentwurf der Bundesregierung für eine "Verbunddatei Rechtsextremismus" die Belange des Verfassungsschutzes nicht ausreichend berücksichtigt. Die vorgesehenen Änderungen gingen nicht weit genug, um das neue Nachrichtendienstliche Informationssystem der Verfassungsschutzbehörden von Bund und Ländern (NADIS) "als umfassendes Analyseinstrument zu nutzen". So werde das geheimdienstliche Register weiter hauptsächlich als Instrument für Aktenhinweise gesehen, nicht als "multimediale Datei". Trotz erweiterter Speichermöglichkeiten zum Rechtsextremismus fehlten Informationen, die erforderlich seien, um Netzwerkstrukturen übergreifend erkennen zu können.

---> Heise - Online vom 02.03.2012

BSI will Programmsicherheit per Ampel klassifizieren

Die Schwachstellenampel des Bundesamts für Sicherheit in der Informationstechnik (BSI) soll Anwendern einen Überblick darüber geben, wie sicher die von ihnen eingesetzten Betriebssysteme und Standardprogramme sind. Das Bewertungssystem der Ampel stützt sich auf die zweite Revision des Common Vulnerability Scoring System (CVSS v2), eines verbreiteten Standards zur Bewertung von Sicherheitslücken.

---> Heise - Security vom 02.03.2012

EU-Abgeordnete nehmen Handelskommissar in die Zange

In der ersten Aussprache zum umkämpften Anti-Piraterie-Abkommen ACTA im federführenden Handelsausschuss des EU-Parlaments haben Abgeordnete am Donnerstag hinterfragt, ob sich der große Aufwand lohnt, die zahlreichen offenen Punkte rund um den Vertrag zu klären. "Wir machen viele müde Klimmzüge, um zu klären, was das alles bedeutet", gab der SPD-Abgeordnete Bernd Lange gegenüber Handelskommissar Karel De Gucht zu bedenken. Dabei sei völlig offen, ob sich eines Tages ein echter Mehrwert herauskristallisiere.

---> Heise - Online vom 02.03.2012

HTTPS Everywhere jetzt auch für Chrome

Die Electronic Frontier Foundation (EFF) stellt eine erste Betaversion ihrer Browser-Erweiterung HTTPS Everywhere für Google Chrome zum Download bereit. Wie die im Spätsommer 2011 veröffentlichte Version für Firefox wählt auch die Chrome-Erweiterung automatisch HTTPS-Versionen von Webseiten an, sofern dies möglich ist. Hierzu greift sie auf eine interne Datenbank zurück. Zusätzlich können Anwender eigene Regeln festlegen.

---> Heise - Security vom 02.03.2012

Google pfeift auf Warnungen aus der EU

Google hat am 1. März 2012 wie angekündigt seine neue Datenschutzbestimmung in Kraft gesetzt. Bundesdatenschützer Peter Schaar hatte gestern gefordert, die angekündigte Umstellung der Datenverarbeitungsregeln auszusetzen, bis alle Zweifel an ihrer Rechtskonformität in der Europäischen Union ausgeräumt seien. Die Untersuchung hatte die französische Commission Nationale de l'Informatique et des Libertés (CNIL) durchgeführt.

---> golem.de

"Die Landesdatenschützer müssen weg"

Der Wirtschaftsrat der CDU hält die Landesdatenschützer für ein Hemmnis für Internet-Startups in Deutschland. Dazu komme "die Versessenheit, mit der der deutsche Gesetzgeber jedes kleinste Detail bereits im Voraus regeln will."
Der Wirtschaftsrat hat seine Forderung nach Abschaffung der Landesdatenschützer in Deutschland bekräftigt. Das betonte Dorothee Belz aus der Microsoft-Geschäftsführung, die den Internetarbeitskreis des Wirtschaftsrats leitet.

---> golem.de

Bitcoins im Wert von über 150.000 Euro gestohlen

Durch einen Rechnereinbruch beim Cloud-Service Linode sind Bitcoins im Wert von über 150 000 Euro gestohlen worden. Wie die Linode-Betreiber mitteilen, wurden am Donnerstag acht ihrer Kundenzugänge gehackt, deren Besitzer ihre Bitcoin-Wallets dort abgelegt hatten. Den größten Schaden musste die Bitcom-Börse Bitcoinica hinnehmen, der über 40 000 Bitcoins (BTC) entwendet wurden, entsprechend rund 140 000 Euro. Zudem sollen dabei auch Empfängeradressen kompromittiert worden sein. Bitcoinica hat davor gewarnt, alte Deposit-Adressen weiter zu benutzen.

Bei Bitcoins handelt es sich um eine digitale, nicht-staatliche Währung, die durch einen kryptografischen Algorithmus verteilt im Netz generiert wird. Da die anonyme Nutzung dieses Zahlungsmittels zum Konzept gehört, hat ein Diebstahl der digitalen Geldbörse dieselben Folgen wie der Verlust des Portemonnaies im richtigen Leben: Das Geld ist weg.

Der letzte große Angriff auf das Bitcoin-System, ein Rechnereinbruch bei der Tauschbörse Mt. Gox, führte zum einem rapiden Fall des Wechselkurses.

---> Quelle: Heise - Online vom 03.03.2012

Sicherheitsreport offenbart: miserable Kennwörter, schlechter Virenschutz

Viele Medien berichten über ein Ergebnis des Global Security Reports 2012 von Trustwave, wonach das mit Abstand häufigste Kennwort in der Geschäftswelt "Password1" sei, da es bezüglich Länge, Groß/Kleinbuchstaben und Zahlen den Mindestanforderungen von Microsoft entspricht. Der - gegen Registrierung frei herunterladbare - Report enthält aber darüber hinaus zahlreiche weitere Informationen über die Sicherheitslage, unter anderem die 24 darauffolgenden beliebtesten Kennwörter. Hier die Hitliste der ersten zehn:
[list=1]
[*]Password1
[*] welcome
[*]password
[*]WeLcome1
[*]welcome1
[*]Password2
[*]123456
[*]Password01
[*]Password3
[*]P@ssw0rd
[/list=1]---> Heise - Security vom 04.03.2012

Dänischer Polizist sperrt versehentlich 8000 Websites

Bereits am vergangenen Donnerstag waren in Dänemark für die Kunden des isländischen Providers Síminn stundenlang Google, Facebook und 8000 andere Websites nicht erreichbar. Das berichtet Torrentfreak und führt weiter aus, dass dafür eine fehlerhafte DNS-Blockade verantwortlich war, die vom Nationalen IT-Nachforschungszentrum (NITEC) der dänischen Polizei veranlasst worden war. Demnach hatte ein Angestellter seinen Arbeitsplatz gewechselt und an dem neuen Rechner eine Liste mit 8000 Websites in den falschen Ordner kopiert. Diese Liste bekamen die Provider dann zugesandt, Síminn sperrte daraufhin die gemeldeten Adressen, darunter Facebook und Google auf DNS-Ebene.

---> Heise - Online vom 05.03.2012

Sicherheitsupdate für Chrome und Belohnung für Forscher

Details verrät Google kaum, doch die jetzt in der Produktivversion seines Browsers Chrome behobenen 17 Sicherheitslücken sind allesamt mit "High" gekennzeichnet. Ihre Entdecker bekamen jeweils zwischen 500 und 3000 US-Dollar gezahlt.

---> Heise - Security vom 05.03.2012

Anonymous tappt in Trojaner-Falle

Bei ihren Protesten gegen die Abschaltung vom Megaupload könnten sich einige Anonymous-Mitglieder den Schädling ZeuS eingefangen haben. Das berichtet der AV-Hersteller Symantec in seinem Blog. Demnach hätten Unbekannte eine über Pastebin verteilte Version des DDoS-Tool Slowloris gegen ein Installationspaket für den Trojaner ausgetauscht. Nach erfolgreicher Infektion des PCs mit dem Online-Banking-Trojaner hätte der Installer das eigentliche Tool nachgeladen, um kein Misstrauen zu erwecken.

Mit Slowloris hatten die Anonymous-Aktivisten bei der Operation "OpMegaUpload" diverse Webseiten der US-Regierung lahmgelegt. Schätzungsweise 26.000 Anwender sollten die über Pastebin verfügbare Version heruntergeladen haben. Wie viele ihren PC dabei infiziert haben, ist jedoch unklar.

---> Quelle: Heise - Security vom 05.03.2012

E-Voting-System in den USA binnen 48 Stunden geknackt

Forschern der Universität Michigan ist es nach eigenen Angaben gelungen, die Sicherheitsfunktionen eines Pilotprojekts für ein Online-Wahlverfahren der US-Hauptstadt Washington innerhalb kürzester Zeit größtenteils auszuhebeln. "Binnen 48 Stunden nach dem Aufschalten des Systems hatten wir fast die vollständige Kontrolle über den Wahlserver", schreiben die Wissenschaftler in einem jetzt veröffentlichten Aufsatz. "Wir konnten erfolgreich jede Stimmabgaben ändern und fast jede der geheimen Wahlurnen offenlegen." Entdeckt worden sei der Hack erst nach knapp zwei Geschäftstagen und auch das vermutlich nur, weil die Eindringlinge bewusst eine deutlich sichtbare Spur hinterlassen hätten.

---> Heise - Security vom 05.03.2012

SIMcard als digitaler Schlüssel-Safe

Laut Pressemitteilung vom heutigen Montag bringt der Mobilfunk-Provider Vodafone ab sofort SIMcards heraus, mit deren Hilfe Handys praktisch alle ins Netz übertragenen Daten verschlüsseln und signieren können. Hierfür wird ein digitaler Schlüssel auf dem Kartenchip abgelegt und mit dem dortigen Kryptoprozessor geschützt. Dieser Schlüssel lässt sich über Apps auf dem Mobilgerät als geräteunabhängiger Identitätsnachweis für den sicheren Datenaustausch nutzen.

---> Heise - Online vom 05.03.2012

Warum Googles Datensammeln gar nicht so böse ist

Was tut Google eigentlich mit unseren Daten? Dieser Frage ist der IT-Sicherheitsexperte Sven Türpe nachgegangen. Aus öffentlichen Informationen und mit einer Portion Informatikerbauchgefühl skizziert er, was Google mutmaßlich mit unseren Daten macht und erklärt, warum diese Nutzung nicht per se böse ist.

---> golem.de

Adobe patcht Flash außer der Reihe

Adobe hat kritische Lücken im Flash-Player geschlossen, die ein Angreifer unter Umständen zum Einschleusen von Schadcode missbrauchen kann. Das vorherige Update liegt gerade rund drei Wochen zurück. Details über die Schwachstellen sind bislang nicht bekannt.

---> Heise - Security vom 06.03.2012

Android-Virenschutz-Software häufig unzuverlässig

Nur sieben Produkte mit einer Erkennungsrate von über 95 Prozent, aber dafür ganze 24 mit weniger als 65 Prozent – ein von AV-Test durchgeführter Test zeigt, dass Virenschutz-Apps für Android-Handys noch längst nicht die Zuverlässigkeit der Desktop-Programme erreicht haben. Parallel zur explodierenden Anzahl der verfügbaren Apps steigt auch die Zahl der Schädlinge für Android-Smartphones. Vom Online-Banking-Trojaner über Premium-Dialer bis hin zu Spionageprogrammen reicht das Spektrum der Schadprogramme. AV-Test hat mit insgesamt 618 Schädlingen die Erkennungsleistung von 41 Virenscanner für Android-Smartphones getestet.

---> Heise - Security vom 06.03.2012

Google packt Medien und Android-Apps unter ein Dach

Google bündelt seine digitalen Inhalte an einem Ort. Nutzer finden ab sofort Musik, Bücher, Filme sowie die Apps für Android-Smartphones und -Tabletcomputer unter dem neuen Dienst "Google Play". Dieser ersetzt damit unter anderem den bisherigen Android Market.

---> Heise - Online vom 07.03.2012

Facebook war teilweise nicht erreichbar

Facebook war in Deutschland teilweise nicht erreichbar, seit etwa 7.00 Uhr, wie einige heise-online-Leser berichteten. ZDNet meldet, dass auch andere europäische Länder betroffen waren. Offenbar handelte es sich dabei um ein DNS-Problem, einige DNS-Server konnten http://www.facebook.com nicht auflösen.

Es scheinen aber offenbar nicht alle deutschen Benutzer betroffen gewesen zu sein. Facebook-Sprecherin Tina Kulow erklärte auf Rückfrage von heise online, dass sie Facebook sowohl per Handy als auch per PC ereichen konnte. Derzeit scheint das Problem wieder zu verschwinden: Die Server des DNS-Test von heise Netze, die noch um 8.45 http://www.facebook.com nicht auflösen konnten, liefern wieder die IP-Adresse, ebenso wie der öffentliche DNS-Server von Google. Sobald wir mehr über die Ursache wissen, aktualisieren wir diese Meldung.

---> Quelle: Heise - Netze vom 07.03.2012

Unternehmen sollen Cyber-Angriffe an zentrale Stelle melden

Staat und Wirtschaft planen die Einführung einer zentralen Meldestelle für Angriffe auf die Computersysteme von Unternehmen. Mit Hilfe anonymer Meldungen könnte die Gefährdungslage besser eingeschätzt werden, um genauere Handlungsempfehlungen zu geben, sagte der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Michael Hange, am Mittwoch auf der CeBIT in Hannover. Die Meldestelle ist Teil einer neuen "Allianz für Cyber-Sicherheit", die das BSI zusammen mit dem IT-Fachverband Bitkom ins Leben gerufen hat.

---> Heise - Online vom 07.03.2012

BSI spezifiziert verschlüsselte Internet-Telefonie

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt Interessierten ab sofort die Spezifikation von SNS over IP zur Verfügung. Mit seiner "Fortschreibung des SNS-Standards" hat das BSI im Jahr 2011 ein offenes Verfahren zum Ausbau der "sicheren netzübergreifenden Sprachkommunikation" ins Leben gerufen, dessen Ergebnis nun als Teil 6 Eingang in den SNS-Standard erhält.

SNS over IP soll eine sichere VoIP-Sprachkommunikation über öffentliche Netze etwa auf Basis von WLAN oder UMTS ermöglichen und nutzt dafür den bereits für SNS im Mobilfunk eingesetzten Krypto-Chip. Das BSI hebt hervor, dass sich SNS over IP als abhörsicherer Ersatz von DECT-Schnurlostelefonen für die gebäudeinterne Telefonie eignet.

---> Quelle: Heise - IX vom 07.03.2012