Meine heise online-Meldung zur Blast-RADIUS-Sicherheitslücke:

Blast-RADIUS: Sicherheitslücke im Netzwerkprotokoll RADIUS veröffentlicht

_Lange bekannte Schwachstellen können dem RADIUS-Protokoll zum Verhängnis werden, das vor allem im Enterprise-Umfeld in sehr vielen Netzwerken eingesetzt wird. _

Permalink  

Eine Meldung von mir bei heise online zu den von Lilith Wittmann entdeckten Sicherheitslücken in der BundID, dem Authentifizierungsverfahren für digitale Behördengänge:

Sicherheitslücke in kommunaler Verwaltungs-Webseite öffnet Datenleck in BundID

Die Schwachstelle befindet sich in der Implementierung der Security Assertion Markup Language (SAML), eine OAuth-Alternative, die bei der BundID als Authentifizierungs-Verfahren zum Einsatz kommt. Hiermit kann die Webseite einer Kommune einen beim BundID-System eingeloggten Nutzer identifizieren, so dass dieser sich nicht bei jeder lokalen Seite neu anmelden muss. SAML gilt zwar grundsätzlich als sicher, ist laut Wittmann aber schwer korrekt zu implementieren. Da hunderte kommunale Ämter dies tun müssen, um mit der BundID kompatibel zu sein, ist die Wahrscheinlichkeit groß, dass irgendwer einen Fehler macht. Genau das ist bei der Software OpenR@thaus des Dienstleisters ITEBO aus Osnabrück passiert, welche anscheinend in einer Vielzahl von Kommunen zum Einsatz kommt.

Permalink  

Damals bei Heise habe ich eine Handvoll Editorials in der c’t verfasst. Sowohl als c’t- wie auch als heise online-Redakteur ist es allerdings nie dazu gekommen, dass ich auch mal ein Editorial für die iX, das andere Magazin von Heise, geschrieben habe. Das hat sich diesen Monat, fünf Jahre nach meiner Zeit bei Heise, endlich geändert. In der aktuellen iX findet sich nämlich ein Editorial von mir zum Thema Modern Solution.

Deutsche Justiz: Verloren im Neuland, iX 3/2024, S. 3

Permalink  

heise online hat gerade einen zweiten Kommentar von mir zur Causa Modern Solution veröffentlicht:

Kommentar zu Modern Solution: Der Hackerparagraf muss endlich weg!

Das Modern-Solution-Verfahren ist nur eins in einer langen Reihe von Fehltritten der deutschen Justiz, wenn es um Digitalpolitik geht.

Mein erster Kommentar bei heise online zu dem Thema ist vom Oktober 2021.

Permalink  

Das Modern-Solution-Verfahren geht weiter: Der Angeklagte legt Berufung ein

Nachdem er für das Melden einer Sicherheitslücke zu einer Geldstrafe verurteilt wurde, wehrt sich der betroffene Programmierer nun gegen das Urteil.
Weiterlesen →

Eine aktuelle Meldung von mir bei heise online zum Thema Modern Solution:

Gericht sieht Nutzung von Klartext-Passwörtern als Hacken an

Der Programmierer, der eine gravierende Lücke in der Software der Firma Modern Solution aufgedeckt hat, fällt unter den Hackerparagrafen, meint das Gericht.

Dazu hatte ich auch in der Vergangenheit mehrmals was geschrieben. Unter anderem am 20. Oktober 2021, 5. November 2021 und 16. Juni 2023.

Anmerkung: Die Meldung ist übrigens auch bei Fefe gelandet.

Permalink  

Ihr könnt euch vielleicht noch an die Modern-Solution-Geschichte von vor knapp zwei Jahren erinnern. Die, wo eine Firma einen Sicherheitsforscher angezeigt hat, weil der eine Schwachstelle in ihrer Software gefunden hat? Letzte Woche habe ich dazu eine weitere Meldung bei heise online mit neuen Entwicklungen in dem Fall geschrieben:

Modern Solution: Staatsanwaltschaft scheitert mit Anklage gegen IT-Experten

Permalink  

Log4Shell, das BSI und die Software-Lieferkette

Ein paar Anmerkungen zu meinem heise-online-Artikel vom Dienstag.
Weiterlesen →

Ich habe heute für heise online über das Urteil im Cyberbunker-Prozess geschrieben, schließlich war ich ja schon beim Prozess-Auftakt vor Ort:

Permalink  

heise online hat gerade eine exklusive Recherche von mir im Fall Modern Solution veröffentlicht:

Da drin bestätige ich zum ersten Mal auf Grund von Fakten die (bisherige) Vermutung, Modern Solution habe den unfreiwilligen Sicherheitsforscher angezeigt. Das haben die tatsächlich gemacht. Also gab es statt Belohnung fürs Finden und Melden einer heftigen Sicherheitslücke eine Durchsuchung und Beschlagnahmung aller Arbeitsgegenstände.

Es ist zum Teil hanebüchen, was diese Firma der Polizei da erzählt hat. Und auch wie lange es vom ersten Verdacht zur Durchsuchung gedauert hat – trotz mehrmaligem Aktenvermerk eilt! – ist grotesk. Man stelle sich nur einmal vor, die Ermittler hätten es hier mit einem wirklich bösartigen Hacker zu tun gehabt. Einer, der seine Spuren vielleicht verwischt, anstatt der Polizei noch nach Monaten freiwillig Zugang zu seinem Computer zu gewähren.

Ich wüsste wirklich zu gern, was in den Köpfen dieser Geschäftsführer, Richter und Staatsanwälte so vorgeht.

Permalink