Im Überblick
Medienberichten zufolge haben sich die Regierungen der EU-Mitgliedsstaaten darauf verständigt, sichere Verschlüsselung EU-weit zu verbieten. Demnach sollen Technologieanbieter und Dienstebetreiber dazu gezwungen werden, Hintertüren in ihre Verschlüsselung einzubauen. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) wendet sich gegen diesen wiederholten Versuch, Krypto-Technologie staatlicherseits zu schwächen. Die Forderung nach staatlichen Nachschlüsseln begleitet die Entwicklung von Krypto-Produkten seit den Neunzigerjahren, hat sich aber in demokratisch verfassten Staaten bislang nicht durchsetzen können. Dass solche Hintertüren jetzt wieder auf der politischen Tagesordnung stehen, hat sicherlich damit zu tun, dass immer mehr Straftäter Verschlüsselung nutzen. Verschlüsselung hat sich inzwischen zu einem massiven Problem für die Ermittlungsbehörden entwickelt, da schon Anwender ohne besondere IT-Kenntnisse mit kostenlosen Tools so sicher verschlüsseln können, dass Experten kaum eine Chance haben, die Verschlüsselung zu knacken.
Im Überblick
Der Staatstrojaner soll vom Verfassungsschutz, dem Bundesnachrichtendienst (BND) und dem Militärischen Abschirmdienst (MAD) angewandt werden dürfen. Das hat das Kabinett der Bundesregierung am 28. Oktober 2020 entschieden. Nicht nur Bundesdatenschützer Kelber sieht diese Entwicklung sehr kritisch und warnt davor, dass der Bundestrojaner zu staatlicher Überwachung führen könnte. Auch Sicherheitsanbieter F-Secure möchte sich nicht an dieser Telekommunikationsüberwachung beteiligen. Auch die IT-Sicherheitsexperten der PSW Group kritisieren diese Entwicklung scharf, denn die Bundesregierung hat sich auf eine umfassende Überwachung geeinigt: Die sogenannte Quellen-Telekommunikationsüberwachung Plus soll es Agenten von Verfassungsschutz, BND und MAD erlauben, neben der laufenden Kommunikation auch rückwirkend alle alten Kommunikationen ausforschen zu dürfen, die seit dem Moment der Bewilligung der staatlichen Spionage stattgefunden haben. Somit greifen Ermittler auch auf gespeicherte E-Mails oder Chatverläufe zu.
- Anzeigen -
Meldungen: Kommentare und Meinungen
GitHub hat ihren jährlichen Open Source- und Community-Bericht, State of the Octoverse, veröffentlicht. Gleichzeitig spricht der Report Empfehlungen aus, was Benutzer tun können, um sich zu schützen. Die meisten Schwachstellen gehen auf Fehler zurück und sind nicht die Folge böswilliger Angriffe. Während diese Art von Angriffen in Sicherheitskreisen eher Aufmerksamkeit erregen, sind dennoch 83 Prozent der CVEs (Common Vulnerabilities and Exposures), für die GitHub Warnungen verschickt, eher auf Fehler zurückzuführen. 94 Prozent der Projekte basieren auf Open Source-Komponenten, mit fast 700 Abhängigkeiten: Ein Repository allein kann Hunderte von Abhängigkeiten aufweisen. Taucht dann beispielsweise ein Sicherheitsproblem in der Lieferkette auf, kann man einen massiven Welleneffekt beobachten.
Ein Security Anbieter ist selbst Opfer eines Hacker-Angriffs geworden. Ein erhobener Zeigefinger oder gar Häme sind aber nicht angebracht, denn dieser Zwischenfall zeigt eines: Jeder kann Opfer eines Cyber-Angriffs werden. Trotzdem sollten wir jetzt nicht den Kopf in den Sand stecken - mit den richtigen Maßnahmen können Sie Cyber-Kriminelle effizient aus den eigenen Systemen fernhalten. Hier meine drei Tipps für den präventiven Einsatz des Domain Name Systems (DNS), um Angreifern das Leben möglichst schwer zu machen.
Mit einigen Schwierigkeiten der Cybersecurity lernt man zu leben. IT-Sicherheitsunternehmen beschreiben seit Jahren immer wieder die Tücken und Kuriositäten der (zumeist) üblichen Verdächtigen. Mal mit Kopfschütteln, mal verärgert und mal mit etwas Fatalismus geht es dabei zum Beispiel um die Tatsache, dass Windows immer noch keine Dateierweiterungen standardmäßig anzeigt, dass IoT-Geräte mit elementaren Sicherheitsfehlern verbreitet werden oder dass Apple sich so lange hartnäckig weigert, Sicherheitskorrekturen zu melden, bis sie dann aufgedeckt werden. Und ein ganz spezieller Security-Patient war stets Flash. Bis jetzt. Denn für Adobes Technologie für interaktive Grafiken fällt nach einer dreijährigen Abschiedstournee am Ende des Jahres 2020 wohl tatsächlich der letzte Vorhang, zumindest auf der Windows-Bühne.
Was liegt für Hacker näher, wenn die Nutzung des Versandhandels steigt, als diesen Trend für Phishing-Kampagnen auszunutzen? Eben dies geschieht derzeit in hoher Zahl. Die Covid-19-Krise und das Weihnachtsgeschäft sorgen dafür, dass viele Menschen ihre Einkäufe auf Bestellung erledigen und den Versand wählen. Gleichzeitig lässt sich mittlerweile die Lieferung im Internet verfolgen und wird oft über E-Mail sogar angekündigt. Hierfür erhalten die Käufer eine Nachricht mit Link zu Sendungsverfolgung. Die Betrüger setzen hier an und fälschen solche E-Mails, die sie mit einem Phishing-Link versehen. Dieser leitet die Anwender auf eine ebenfalls gefälschte Webseite – die oft täuschend echt aussieht – und bittet darum, die Zugangsdaten, Zahlungsdetails oder andere personenbezogene Informationen einzugeben. Folgt ein Nutzer dieser Anweisung, wird er Opfer des Phishings und die Daten landen bei den Kriminellen.
Wie bekannt wurde, ist die Arzneimittelagentur der EU, EMA, mit Sitz in Amsterdam einer Cyberattacke zum Opfer gefallen. Bei dieser wurden Dokumente im Zusammenhang mit dem Zulassungsantrag für den COVID-19-Impfstoff von Pfizer und Biontech entwendet. Quelle dieser Information ist eine Mitteilung des Pharmakonzerns Pfizer, der weiterhin betonte, dass die IT-Systeme der beiden Healthcare-Unternehmen von der Attacke unberührt blieben. Zuvor hatte die EMA den Angriff gemeldet und laut einer eigenen Erklärung mit einer umfangreichen Untersuchung begonnen. Die Agentur betonte, dass der Vorfall keine Auswirkungen auf die Prüfungsfristen des Impfstoffes habe.