Laut Gerhard Eschelbeck gibt es in einer gewandelten Bedrohungslage immer mehr Staats-Hacker, die von bestimmten Ländern unterstützt werden. Vor diesem Hintergrund berge das aufkommende Internet der Dinge kaum absehbare Risiken. Daher fordert er dafür einheitliche Sicherheitsstandards. weiter

Sie wurde mit iOS 8.4.1 Mitte August behoben. Angreifer konnten sich Zugangsdaten zu Firmenservern verschaffen, wenn diese per MDM verteilt wurden. Dieses Verfahren nutzen laut Sicherheitsfirma Appthority 67 Prozent der Firmen-Apps, die Serverzugang benötigen. weiter

Sie funktioniert im Browser über das quelloffene Mailvelope-Plug-in oder mit den Mobile-Apps der Mail-Anbieter. Durch die einfache Einrichtung können auch technische Laien die Verschlüsselung auf allen gängigen Endgeräten nutzen. Öffentliche Schlüssel werden in einem gepflegten Verzeichnis abgelegt. weiter

Sie trifft aktuell auch Kunden von T-Online. Die Telekom betont allerdings, dass ihr Mailservice nicht gehackt wurde. "Die Spam-Mails verwenden gefälschte Absenderadressen und werden nicht von den Mailaccounts unserer Kunden über die Server der Telekom verschickt." weiter

Ein Angestellter hatte Daten von Vermögensverwaltungskunden gestohlen und im Internet verkauft. Die Vorkehrungen der Bank sind aber nicht grundsätzlich fehlerhaft. Auch reagierte sie nach Bekanntwerden schnell. Die FTC beendet ihre Untersuchung daher, ohne ein Verfahren zu eröffnen. weiter

Nach Recherchen von Wired waren bis zu 1,7 Millionen Konten potenziell betroffen. Laut dem Betreiber der Angebote gab es jedoch keinen einzigen Fall, in dem die Lücke ausgenutzt wurde. Inzwischen ist sie geschlossen. weiter

Statt wie zunächst gemeldet 114.000 Haushalten sind bis zu 330.000 betroffen. Außerdem gab es 280.000 fehlgeschlagene Versuche, Sicherheitsabfragen wie nach dem Mädchennamen der Mutter zu erraten. Zusätzlich nutzten die Angreifer gestohlene Sozialversicherungsnummern für die Authentifizierung. weiter

Sie dient der Verwaltung von "Google for Work"-Nutzern und -Gruppen in Firmen, Bildungseinrichtungen sowie Behörden. Dritt-Apps können sich ihre Rechte aneignen. Google patchte den Fehler von März bis zur Veröffentlichung nicht, legte aber jetzt ein Update vor. weiter

Sie steckt im XNU-Darwin-Kernel des Betriebssystems. Ihr Entdecker ist der italienische Entwickler Luca Tedesco, der auf Github bereits einen Machbarkeitsnachweis veröffentlicht hat - offenbar ohne Apple zuvor zu informieren. Nutzer können sich vorerst durch eine Boot-Einstellung schützen. weiter

Sie steckte in der für einen Blog genutzten Subdomain admin.salesforce.com. Code ließ sich auch von anderen Websites injizieren. Angreifer konnten etwa ein Salesforce-Log-in nachbauen und den Link darauf per Phishing verbreiten, um an Daten zu kommen. weiter

Es setzt wie etwa auch Google auf Universal 2nd Factor, kurz U2F - einen Standard der FIDO Alliance. Bekanntester Anbieter solcher Sticks ist Yubico. Anders als SMS- und App-Codes muss nichts eingetippt werden, und der Schlüssel lässt sich weder abfangen noch kopieren. weiter

Inzwischen werden fast täglich Sicherheitslücken in der einen oder anderen Software bekannt. Manche sind eine echte Gefahr für zahllose Verbraucher, andere nur in speziellen Fällen. Im Gastbeitrag für ZDNet gibt Bitdefender-Experte Bogdan Botezatu einen Überblick über die großen Entwicklungslinien bei Malware. weiter

Der Softwarekonzern stockt die für neue Windows-Verteidigungsmechanismen ausgelobten Bug-Bounty-Prämien nun auf Summen zwischen 50.000 und bis zu 100.000 Dollar auf. Damit will er unter anderem verhindern, dass unentdeckte Exploits auf dem Cyber-Schwarzmarkt angeboten werden. weiter

Wie Sicherheitsforscher auf der Black-Hat-Konferenz gezeigt haben, lassen sich Admin-Rechte dank einer unsicheren Implementierung des WSUS-Dienstes ausweiten. Das ermöglicht Man-in-the-Middle-Attacken. Die Experten empfehlen, SSL-Verschlüsselung standardmäßig zu aktivieren. weiter

Die Lücke wurde mit mit Firefox 39.0.3 geschlossen. Nutzer von Firefox für Android und Firefox unter MAC OS sind nicht betroffen. Der jetzt entdeckte Exploit sucht nach Passwörtern und Schlüsseln und lädt sie zu einem Server in der Ukraine. Er hinterlässt keine Spuren auf einem betroffenen System. weiter

Die von ihren Entdeckern Certifi-gate getaufte Schwachstelle erlaubt Angreifern uneingeschränkten Zugriff auf ein Gerät. Sie können dazu Applikationen für die Fernwartung missbrauchen, die in der Regel mit diesen Rechten ausgestattet sind. Grund ist, dass Android keine Möglichkeit bietet, um die Zertifikate für erweiterte Rechte zu deaktivieren. weiter

Das Unternehmen wird jetzt mit über einer Milliarde Dollar bewertet. Unter Führung des Investors TPG haben sich die bisherigen Investoren EMC und Lightspeed Ventures beteiligt. Das Unternehmen sieht das Investment als dafür, dass sich Security-as-a-Service im Markt etabliert hat. weiter

Auslöser ist die Diskussion um die Stagefright genannte Lücke. Sie wird von Google mit einem OTA-Update jetzt geschlossen. Samsung hat für die Zukunft Patches bald nach Bekanntwerden von Lücken, aber mindestens einmal im Monat versprochen. weiter

Die Deutsche Telekom blockiert den automatischen Download von MMS ab sofort. Es handelt sich um eine vorübergehende Maßnahme, um Kunden mit Android-Smartphones vor Angriffen über die Stagefright genannte Sicherheitslücke schützen. Wer eine MMS empfangen will, kann dies nach wie vor manuell tun. weiter

Davon bietet eine die Möglichkeit, per SQL-Injection Schaden anzurichten. Drei der nun behobenen Schwachstellen erlauben Angriffe per Cross-Site-Scripting. Die Entwickler empfehlen Nutzern daher dringend, ihre Installationen zu aktualisieren. weiter

Die E-Mails scheinen vom Absender update@microsoft.com zu stammen und locken in der Betreffzeile mit "Windows 10 Free Update". Im Anhang bringen sie eine Datei namens Win10Installer mit. Klicken Nutzer darauf, startet der Trojaner CTB-Locker. weiter

Die Schwachstelle wurde im Juli durch den Sicherheitsforscher Stefan Esser entdeckt. Ein Adware-Installer nutzt die vollumfängliche Austattung mit Admin-Rechten und die dadurch ausbleibende Passwort-Abfrage bereits aktiv aus, wie Malwarebytes herausgefunden hat. Über die Unix-Shell und die Anwendung VSInstaller spielt sie unerwünschte Software auf das System. weiter

Der Wurm Thunderstrike 2 bleibt von der meisten Sicherheitssoftware unentdeckt und überlebt sogar eine Neuformatierung des Systems. Bisher gingen viele Beobachter davon aus, dass Apples geschlossenes System sicherer sei. Das muss nun überdacht werden. weiter

Der Angreifer soll insgesamt mehr als 250 Nutzername-Passwort-Kombinationen von KMU-Kunden aus der Datenbank der "Bitdefender Cloud Security Console" entwendet haben. Brisanterweise sollen die Log-in-Daten im Klartext, also unverschlüsselt, vorgelegen haben. Am Wochenende veröffentlichte der Hacker bereits Teile der Informationen im Internet. weiter

Die Attacke auf die Behörde ist nun auch offiziell bestätigt worden. Teile des Web-Auftritts der Bundesanwaltschaft wurden dadurch deaktiviert. So sind etwa die Pressemitteilungen auf generalbundesanwalt.de nun nicht mehr einsehbar. Der Angriff ist wahrscheinlich politisch motiviert. weiter

Sansa Security aus Israel ist auf Sicherheitslösungen für Embedded-Systeme spezialisiert. Seine Lösungen untersuchen etwa eingehenden Traffic, achten auf ungewöhnliche Aktivitäten und prüfen Netzwerkverbindungen. Der Preis soll 85 bis 100 Millionen Dollar betragen. weiter

Silent Circle tritt als Partner dem Programm Android for Work bei. Parallel nennt Google erstmals Providerpartner. Nach seinen Angaben setzen mehr als 10.000 Firmen Android for Work zumindest testweise ein. weiter

Das steht in einer von Symantec vorgelegten Analyse der Hackergruppe Black Vine. Diese ist offenbar an dem Handel beteiligt, nutzte sie doch ungepatchte Lücken gleichzeitig mit rivalisierenden Gruppen. Zum Austausch dient ihnen wahrscheinlich die vor drei Jahren entdeckte Plattform Elderwood. weiter

AV-Comparatives hingegen legt schlicht eine Liste mit 16 Sicherheitsprodukten vor, denen es volle Kompatibilität zu Windows 10 bescheinigt. Dazu gehört, dass sie mit Windows Defender und Windows Firewall koexistieren und sich korrekt ins Control Panel integrieren. weiter

Es kann ab sofort im Bundesgesetzblatt eingesehen werden. Das umstrittene Gesetz schreibt einerseits ein vom BSI festgelegtes Mindestniveau an IT-Sicherheit fest sowie andererseits eine Meldepflicht von Sicherheitsvorfällen für Betreiber sogenannter "kritischer Infrastrukturen". Zuwiderhandlungen werden dabei mit einem Bußgeld von bis zu 100.000 Euro belegt. weiter