IBM-Sicherheitsforscher warnen vor Banking-Trojaner „Tinba“

von Björn Greif

Seit Mai läuft eine neue Angriffswelle auf Bankkunden in Europa. Betroffen sind Polen, Italien, die Niederlande und auch Deutschland. Mithilfe des Trojaners und manipulierten Webseiten versuchen die Kriminellen, Zugangsdaten zu entwenden und anschließend die Konten zu plündern. weiter

Bundestag verabschiedet IT-Sicherheitsgesetz

von Björn Greif

Es schreibt Mindeststandards für die IT-Sicherheit und eine Meldepflicht von Sicherheitsvorfällen für Betreiber "kritischer Infrastrukturen" vor. Zugleich stärkt das Gesetzt die Stellung von BSI und BKA. Kritiker bemängeln unter anderem zusätzliche Bürokratie und Rechtsunsicherheit. weiter

OpenSSL-Update schließt Logjam-Lücke

von Björn Greif

Sie resultierte aus einem Problem mit dem Diffie-Hellman-Schlüsselaustausch, das Angreifer zum Schwächen der Verschlüsselung von HTTPS-Verbindungen ausnutzen konnten. Durch den Fix werden Schlüssellängen unter 768 Bit abgelehnt. Außerdem hat das OpenSSL-Team noch sechs weitere Schwachstellen beseitigt. weiter

Duqu 2.0: Kaspersky meldet kaum aufspürbaren Hack seiner Systeme

von Björn Greif

Der Cyberangriff hinterließ weder Dateien auf Festplatten, noch änderte er Systemeinstellungen. Er nutzte mindestens drei Zero-Day-Lücken aus. Die dahinterstehende Cyberspionagekampagne hängt offenbar mit den Atom-Verhandlungen mit dem Iran zusammen. weiter

Offener Brief an Obama: US-Tech-Industrie will Verschlüsselung erhalten

von Bernd Kling

Interessenverbände warnen die Obama-Regierung davor, durch politische Vorgaben Verschlüsselungstechnologien zu unterminieren. Die Organisationen vertreten Firmen wie Adobe, Apple, HP, Facebook, Google und Microsoft. Sie reagieren damit auf das beständige Drängen von Sicherheitsbehörden, Verschlüsselung zu schwächen oder Umgehungen zu schaffen. weiter

Google bündelt Privatsphäre- und Sicherheitseinstellungen seiner Dienste

von Björn Greif

Die neue Website "Mein Konto" liefert eine Übersicht über alle Google-Kontodaten und zusätzliche Informationen zu den einzelnen Einstellungsoptionen. Bisher waren sie auf mehrere Sites verteilt. Auf einer weiteren neuen Webseite beantwortet Google häufige Fragen rund um Datenschutz und Sicherheit. weiter

TP-Link und Zyxel schließen NetUSB-Lücke in ihren Routern

von Björn Greif

Sie haben Firmware-Updates für einen Großteil der betroffenen Modelle bereitgestellt. Bei TP-Link steht ein Fix für "alle aktuellen Router" zur Verfügung, Besitzer älterer Geräte müssen bis Juni warten. Zyxel hat nach eigenen Angaben alle vier betroffenen Modelle abgesichert. weiter

Forscher: 56 Millionen Datensätze liegen ungeschützt in Cloud-Datenbanken

von Björn Greif

Als Grund nennen Wissenschaftler der TU Darmstadt und des Fraunhofer-Instituts SIT eine von App-Entwicklern unzureichend eingesetzte Authentifizierung. So landeten persönliche Daten von App-Nutzern wie E-Mail-Adressen, Passwörter oder Gesundheitsdaten etwa bei Facebooks Parse oder AWS. weiter

Cyberspionagekampagne „Grabit“ bedroht KMUs

von Björn Greif

Die Hintermänner konnten damit bereits über 10.000 Dateien stehlen, darunter Passwörter, E-Mails und Zugangsdaten. Angegriffen wurden bisher kleine und mittelständische Betriebe aus den Branchen Bauwesen, Chemie, Landwirtschaft, Medien und Nanotechnologie sowie Bildungseinrichtungen. weiter

US-Steuerbehörde IRS verliert 100.000 Nutzerdaten

von Florian Kalenda

Ungefähr 200.000 unberechtigte Datenzugriffe wurden zwischen Februar und Mitte Mai initiiert. Damit wurden unberechtigte Rückzahlungen ergaunert. Die Schadenssumme beträgt laut der Behörde unter 50 Millionen Dollar. Das System wurde vorerst abgeschaltet. weiter

Google: Sicherheitsabfragen taugen nichts

von Florian Kalenda

Sie lassen sich leicht erraten: Fast 20 Prozent der Amerikaner nennen beispielsweise "Pizza" als Lieblingsspeise. An falsche Angaben hingegen erinnern sich die wenigsten Anwender später. Kombiniert ein Anbieter zwei fragen, kommen echte Nutzer auf höchstens 59 Prozent Trefferquote. weiter

Ausgefeilte Betrugsmasche zielt auf Nutzer von Windows Live ID ab

von Björn Greif

Wer Microsoft-Dienste wie Xbox Live, Outlook.com, MSN oder OneDrive verwendet, sollte sich daher besonders vorsehen. Um an Anmeldedaten zu kommen, locken die Betrüger ihre Opfer zunächst auf die echte Microsoft-Site live.com. Dann fragen sie mittels einer Anwendung Zugangsdaten ab. weiter

USA wollen Verkauf von Zero-Day-Lücken eindämmen

von Florian Kalenda

Das Handelsministerium schlägt vor, ihren Export nur noch nach erteilter Genehmigung zuzulassen. Sie werden somit wie Waffensysteme behandelt. Einige Sicherheitsfirmen - darunter Vupen - protestieren lautstark. weiter

NetUSB-Fehler gefährdet Millionen Router und IoT-Geräte

von Björn Greif

Hacker könnten die Pufferüberlauflücke ausnutzen, um Schadcode auszuführen oder Denial-of-Service-Angriffe zu starten. Der Fehler steckt in der von KCodes entwickelten USB-over-IP-Funktion, die zur Freigabe von USB-Geräten im Netzwerk dient. Insgesamt sind Geräte von 26 Herstellern betroffen. weiter

BKA-Trojaner zielt verstärkt auf Smartphones ab

von Björn Greif

Laut Anti-Botnetz-Beratungszentrum sind vor allem Besitzer von Android-Geräten betroffen. Die Ransomware sperrt die Oberfläche des Smartphones und gibt sie erst nach Zahlung eines Lösegeldes wieder frei. Da PCs inzwischen besser geschützt sind, nehmen Cyberkriminelle vermehrt Mobilgeräte ins Visier. weiter

China und Russland unterzeichnen Cybersicherheitspakt

von Björn Greif

Darin sichern sie sich laut Wall Street Journal gegenseitig zu, keine Hackerangriffe auf den jeweils anderen zu starten. Zudem versprechen sie, unter anderem davon abzusehen, "die innere politische und sozioökonomische Atmosphäre zu destabilisieren" oder "sich in die Innenpolitik einzumischen". weiter

Apple schließt fünf Sicherheitslücken in Safari für OS X

von Björn Greif

Betroffen sind die Browser-Versionen 8.0.5, 7.1.5 und 6.2.5. Allein drei Schwachstellen stecken in der Browser-Engine WebKit und erlauben Remotecodeausführung beim Besuch einer manipulierten Website. Updates liegen für Mountain Lion, Mavericks und Yosemite vor. weiter

US-Justiz überprüft Handy-Überwachung aus der Luft

von Bernd Kling

Das US-Justizministerium will Einzelheiten über die Nutzung der auch in Flugzeugen eingesetzten Überwachungstechnik preisgeben. IMSI-Catcher an Bord geben sich als legitime Mobilfunkmasten aus, damit sich Mobiltelefone mit ihnen verbinden. Diese Schleppnetz-Überwachung erfasst auch viele Unbeteiligte - das Ministerium will die Richtlinien für die Ermittlungsbehörden überarbeiten. weiter

Googles Chrome-Plug-in „Passwort-Warnung“ mehrfach ausgehebelt

von Björn Greif

Ein erster Exploit erschien bereits einen Tag nach Veröffentlichung der Erweiterung, die Nutzer eigentlich vor Phishing-Seiten warnen soll. Google hat das Add-on bereits mehrfach aktualisiert. Dennoch lässt sich die Schutzfunktion offenbar nach wie vor umgehen. weiter

Malware Mumblehard missbraucht Linux-Server als Spambots

von Björn Greif

Als Einfallstor nutzt sie gezielt veraltete Installationen von WordPress oder Joomla. Anfällig sind laut einer Analyse des Sicherheitsanbieters Eset sowohl Linux- als auch BSD-Server. Zudem soll eine Beziehung zwischen Yellsoft, das ein Tool für Massen-Mail-Versand anbietet, und Mumblehard bestehen. weiter

Medizin-Apps: Apple macht unabhängige Prüfung verpflichtend

von Florian Kalenda

Bisher war es nur eine Empfehlung gewesen, ResearchKit-Apps einem "institutionellen Prüfungsgremium oder Ethikkomitee" vorzulegen. Auf Nachfrage müssen die Ergebnisse nun vorgelegt werden. Zudem hat Apple Watch-Apps untersagt, die nur die aktuelle Zeit melden. weiter

Microsoft verspricht mehr Sicherheit für Office-365-Daten

von Björn Greif

Es will seinen Unternehmenskunden mehr Transparenz und Kontrolle über ihre Cloud-Daten bieten. Bis Ende des Jahres ist eine zusätzliche E-Mail-Verschlüsselung auf Inhaltsebene geplant. "Customer Lockbox" gibt Kunden volle Kontrolle über Zugriffe durch Microsoft-Techniker. weiter

Blackberry-Tochter startet Zertifikatsdienst für IoT

von Florian Kalenda

Certicom übernimmt das Public-Key-Management für seine Kunden. Es hat in Großbritannien schon 60 Millionen Schlüssel für Zigbee-Geräte vergeben. Blackberry selbst forscht im Rahmen eines Projekts namens CHACE über Plattformen, die keine Patches erfordern. weiter