KW 30: BKA kann bei WhatsApp Web mitlesen, Rückkehr von Emotet, Privacy Shield Abkommen: Nutzer könnten Schmerzensgeld verlangen

NACHRICHTEN

BKA kann bei WhatsApp Web mitlesen: Aus Akten zu den Ermittlungen um den Terroranschlag am Berliner Breitscheidplatz wird klar: Sicherheitsbehörden können auch heute schon verschlüsselte Nachrichten und Kontakte beim Messengerdienst WhatsApp mitlesen. Ganz ohne den sogenannten “Staatstrojaner”, sondern einfach über die Browserfunktion des Nachrichtendienstes. Voraussetzung: Ermittler müssten vorher kurz Zugriff auf das Mobiltelefon der Zielperson haben. Das geht aus gemeinsamen Recherchen von WDR und BR hervor.
tagesschau.de

Rückkehr von Emotet: Fünf Monate nach den letzten Malware-Angriffen mit der Schadsoftware Emotet gibt es nun eine neue Welle. Seit vergangenem Freitag gab es 250.000 Mails, mit denen die Software vor allem im angloamerikanischen Raum verteilt wurde. Ist ein Computer mit der Malware infiziert, lädt sie sukzessive weitere Schadprogramme, die beispielsweise Zugangsdaten für Onlinebankingportale im Visier hat. Ob bei der neuen Angriffswelle noch weitere Ransomware hinzugekommen ist, ist aktuell noch nicht bekannt. Der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, nannte Emotet 2019 den “König der Schadsoftware”. Unter anderem fiel dem Schadprogramm das Berliner Kammergericht zum Opfer, welches noch heute mit den Nachwirkungen zu kämpfen hat. Auch zahlreiche Firmen und Verwaltungen wurden angegriffen.
golem.de

Privacy Shield Abkommen: Nutzer könnten Schmerzensgeld verlangen: Nachdem der Europäische Gerichtshof das Privacy Shield Abkommen mit den USA für ungültig erklärt hat, fordert die Datenschutzbeauftragte Berlins, Maja Smoltczyk, Konsequenzen. Der EuGH habe “in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen,” so Smoltczyk. Das Privacy Shield Abkommen den Schutz personenbezogener Daten, die aus der EU in die USA übertragen werden. Solche Datentransfers bleiben möglich, allerdings nur wenn diese ein gleichwertiges Datenschutzniveau an den Tag legen. Für Unternehmen gilt es nun zu prüfen, ob Anpassungen bei Erklärungen und Hinweisen zum Datenschutz auf Websites erforderlich sind. Personen, die von rechtswidrigen Datentransfers betroffen sind, könnten künftig Schadenersatz dafür verlangen, wenn Unternehmen wie Apple, Google oder soziale Netzwerke dies nicht unterließen.
heise.de

EU-Kommission plant kartellrechtliche Untersuchung von IoT-Technologien: Wie die EU-Kommissarin für Wettbewerb, Margrethe Vestager, in der vergangenen Woche mitgeteilt hat, plant die Europäische Kommission eine wettbewerbsrechtliche Untersuchung von IoT-Verbraucherprodukten und damit verbundenen Dienstleistungen. Hauptgegenstand der Untersuchung ist die Frage, wie vernetzte Produkte die während der Verwendung gesammelten Daten speichern und gegebenenfalls monetarisieren. Auch soll die Untersuchung zur Durchsetzung des Wettbewerbsrechts durch die Kommission führen. Aktuell hegt die EU-Kommission Bedenken, dass der sich aktuell bildende Markt bereits schwere Wettbewerbsverzerrungen aufweist.
euractiv.de, elektro.at

Phishing-Mails mit Corona-Bezug weiterhin auf dem Vormarsch: Laut eines Berichts von KnowBe4, einem Anbieter einer Plattform für die Schulung von Sicherheitsbewusstsein, war auch das zweite Quartal 2020 von Phishing-Mails zum Thema Coronavirus geprägt. Von April bis Ende Juni waren Phishing-Mails mit Covid-19-Bezug am beliebtesten. Die am häufigsten geklickten Mails waren in den sozialen Medien wiederum solche mit der Aufforderung zur Passwortrücksetzung, Verlinkungen in Fotos oder zu neuen privaten Nachrichten. Für die Untersuchung wurden zehntausende Mail-Betreffzeilen aus simulierten Phishing-Tests herangezogen.
it-daily.net

Firmwaremanipulation bei Ladegeräten: Forscher des chinesischen Unternehmens Tencent ist es gelungen, die Firmware von Schnelladegeräten dahingehend zu manipulieren, dass die Geräte beschädigt werden oder in Brand geraten. Den Angriff bezeichnen die Forscher als “Badpower”. Normalerweise handeln solche Ladegeräte die richtige Ladespannung mit den Geräten aus. Ist dies nicht möglich, fallen sie auf eine Spannung von fünf Volt zurück. An dieser Stelle setzt “Badpower” an und liefert eine höhere Spannung als das jeweilige Gerät verarbeiten kann. Bei 18 von insgesamt 35 getesteten Geräten konnten sie die Firmware durch diese oder andere Sicherheitslücken bearbeiten. Gerade bei Geräten, die mit dem Internet verbunden sind – Smartphones oder Laptops – wäre wohl auch ein Angriff aus der Entfernung möglich. Die Hersteller der entsprechenden Geräte wurden vom Forschungsteam über die Sicherheitslücken informiert.
golem.de

-Anzeige-
AI&I vTalk mit Luciano Floridi: Die Entwicklung einer Corona-Tracing-App bestimmt momentan die öffentliche Debatte. Neben dem Datenschutz stellen sich dabei auch komplexe ethische Fragen, die die Nutzung einer solchen App mit sich bringt. Am 12. Mai ab 17 Uhr spricht Luciano Floridi, Professor für Philosophie und Informationsethik an der Universität Oxford, in der zweiten Ausgabe des AI&I vTalks über das Vertrauen europäischer Bürger in den Gebrauch mobiler Tracing-Apps und die ethischen Grundsätze des Staats, der Wirtschaft und der Wissenschaft.
Interessierte, die sich an der Diskussion beteiligen und Fragen an Professor Floridi stellen möchten, sind dazu eingeladen, den Youtube-Kanal des Vodafone-Instituts zu besuchen.

Edit Policy: Gesichtserkennung in Europa – wo bleibt der Aufschrei? heise.de
Forschung: Fake-Bilder anhand von Frequenzanalysen erkennen idw-online.de
Interview: Immer mehr Hacker greifen Fintech-Unternehmen an luzernerzeitung.ch
Sicherheit: Twitter-Hack bedroht nationale Sicherheit der USA t3n.de
Manipuliertes Bewertungsportal: Zypern liefert Hacker an die USA aus heise.de

ZAHL DER WOCHE

Sage und schreibe 17 Jahre blieb ein Bug in Windows Server unentdeckt. Um genau zu sein, war es ein Fehler im Domain-Name-System (DNS), durch welchen Angreifer Schadendes hätten einschleusen können.
cio.de

HINTERGRUND

Datensicherheit bei Unternehmen: Risikofaktor Mitarbeiter: Die kürzliche Hacker-Attacke beim Kurznachrichtendienst Twitter zeigt: Mitunter können für Unternehmen die eigenen Mitarbeiter problematisch werden. Bei Twitter gibt es Indizien dafür, dass Angestellte mit den Hackern zusammengearbeitet haben könnten. Aber auch, wenn die Mitarbeiter hehre Motive hegen, können sie zum Risikofaktor werden. Eine Umfrage des Branchenverbands Bitkom zeigte schon 2019, dass Mitarbeiter beispielsweise nicht ausreichend über Risiken informiert würden. Auch mangele es an Schulungen zum Thema Datensicherheit. Hier gilt es, anzusetzen, damit Unternehmen zumindest vor fahrlässigen, vermeidbaren Sicherheitsrisiken gefeit bleiben.
berliner-zeitung.de

Bundesverfassungsgericht erklärt Regelung zu Bestandsdatenabfrage für verfassungswidrig: Behörden dürfen Bestandsdaten von Handy- und Internetnutzern zum Schutz vor Straftätern und Terroristen abfragen, aber nicht im bisher geltenden Rahmen. Die Regelungen verletzen das Grundrecht auf informationelle Selbstbestimmung und das Telekommunikationsgeheimnis, wie das Bundesverfassungsgericht in Karlsruhe am Freitag mitteilte.
t3n.de

ZITAT

“Viele Unternehmen investieren erst, wenn sie von einem Hackerangriff betroffen waren. Das hat leider oft irreparable Schäden zur Folge, sei es finanziell oder auch in Bezug auf die Reputation.”
Mathias Hügli, Leiter Cyberabwehr bei der Inventx AG, im Interview mit der Luzerner Zeitung
luzernerzeitung.ch

SICHER?

Hacker konfigurieren Server falsch: Forscher einer IBM-Arbeitsgruppe, welche sich unter anderem mit der Beobachtung von regierungsnahen Hackergruppen in Iran beschäftigen, hatten durch fehlerhafte Konfiguration im Mai drei Tag lang Serverzugriff auf einen Server der Hackergruppe ITG18. So konnten sie 40 GB Daten sichern – unter anderem zahlreiche “aufschlussreiche Trainingsvideos” für andere Hacker. Darüber berichtet die IBM-Forschungsgruppe nun in einem Blogbeitrag. Zuvor hatten sie aber die betroffenen Institutionen über ihre Beobachtungen informiert.
heise.de

Newsletter anmelden

Melden Sie sich hier für unseren kostenlosen Newsletter an. Sie erhalten jede Woche den kompakten Digest mit dem wichtigsten Themen zu Safety und Security der Digitalisierung:

Safety-Security-Ticker

Weitere Digibriefings

Unsere Politbriefings