Meine heise online-Meldung zur Blast-RADIUS-Sicherheitslücke:

→ Blast-RADIUS: Sicherheitslücke im Netzwerkprotokoll RADIUS veröffentlicht

_Lange bekannte Schwachstellen können dem RADIUS-Protokoll zum Verhängnis werden, das vor allem im Enterprise-Umfeld in sehr vielen Netzwerken eingesetzt wird. _

Eine Meldung von mir bei heise online zu den von Lilith Wittmann entdeckten Sicherheitslücken in der BundID, dem Authentifizierungsverfahren für digitale Behördengänge:

→ Sicherheitslücke in kommunaler Verwaltungs-Webseite öffnet Datenleck in BundID

Die Schwachstelle befindet sich in der Implementierung der Security Assertion Markup Language (SAML), eine OAuth-Alternative, die bei der BundID als Authentifizierungs-Verfahren zum Einsatz kommt. Hiermit kann die Webseite einer Kommune einen beim BundID-System eingeloggten Nutzer identifizieren, so dass dieser sich nicht bei jeder lokalen Seite neu anmelden muss. SAML gilt zwar grundsätzlich als sicher, ist laut Wittmann aber schwer korrekt zu implementieren. Da hunderte kommunale Ämter dies tun müssen, um mit der BundID kompatibel zu sein, ist die Wahrscheinlichkeit groß, dass irgendwer einen Fehler macht. Genau das ist bei der Software OpenR@thaus des Dienstleisters ITEBO aus Osnabrück passiert, welche anscheinend in einer Vielzahl von Kommunen zum Einsatz kommt.

Damals bei Heise habe ich eine Handvoll Editorials in der c’t verfasst. Sowohl als c’t- wie auch als heise online-Redakteur ist es allerdings nie dazu gekommen, dass ich auch mal ein Editorial für die iX, das andere Magazin von Heise, geschrieben habe. Das hat sich diesen Monat, fünf Jahre nach meiner Zeit bei Heise, endlich geändert. In der aktuellen iX findet sich nämlich ein Editorial von mir zum Thema Modern Solution.

→ Deutsche Justiz: Verloren im Neuland, iX 3/2024, S. 3

heise online hat gerade einen zweiten Kommentar von mir zur Causa Modern Solution veröffentlicht:

→ Kommentar zu Modern Solution: Der Hackerparagraf muss endlich weg!

Das Modern-Solution-Verfahren ist nur eins in einer langen Reihe von Fehltritten der deutschen Justiz, wenn es um Digitalpolitik geht.

Mein erster Kommentar bei heise online zu dem Thema ist vom Oktober 2021.

Eine aktuelle Meldung von mir bei heise online zum Thema Modern Solution:

→ Gericht sieht Nutzung von Klartext-Passwörtern als Hacken an

Der Programmierer, der eine gravierende Lücke in der Software der Firma Modern Solution aufgedeckt hat, fällt unter den Hackerparagrafen, meint das Gericht.

Dazu hatte ich auch in der Vergangenheit mehrmals was geschrieben. Unter anderem am 20. Oktober 2021, 5. November 2021 und 16. Juni 2023.

Anmerkung: Die Meldung ist übrigens auch bei Fefe gelandet.

Ihr könnt euch vielleicht noch an die Modern-Solution-Geschichte von vor knapp zwei Jahren erinnern. Die, wo eine Firma einen Sicherheitsforscher angezeigt hat, weil der eine Schwachstelle in ihrer Software gefunden hat? Letzte Woche habe ich dazu eine weitere Meldung bei heise online mit neuen Entwicklungen in dem Fall geschrieben:

→ Modern Solution: Staatsanwaltschaft scheitert mit Anklage gegen IT-Experten

Ich habe heute für heise online über das Urteil im Cyberbunker-Prozess geschrieben, schließlich war ich ja schon beim Prozess-Auftakt vor Ort:

• Cyberbunker: Betreiber als “kriminelle Vereinigung” zu Haftstrafen verurteilt

heise online hat gerade eine exklusive Recherche von mir im Fall Modern Solution veröffentlicht:

• Datenleck: Anzeige gegen IT-Experte kam von Modern Solution

Da drin bestätige ich zum ersten Mal auf Grund von Fakten die (bisherige) Vermutung, Modern Solution habe den unfreiwilligen Sicherheitsforscher angezeigt. Das haben die tatsächlich gemacht. Also gab es statt Belohnung fürs Finden und Melden einer heftigen Sicherheitslücke eine Durchsuchung und Beschlagnahmung aller Arbeitsgegenstände.

Es ist zum Teil hanebüchen, was diese Firma der Polizei da erzählt hat. Und auch wie lange es vom ersten Verdacht zur Durchsuchung gedauert hat – trotz mehrmaligem Aktenvermerk eilt! – ist grotesk. Man stelle sich nur einmal vor, die Ermittler hätten es hier mit einem wirklich bösartigen Hacker zu tun gehabt. Einer, der seine Spuren vielleicht verwischt, anstatt der Polizei noch nach Monaten freiwillig Zugang zu seinem Computer zu gewähren.

Ich wüsste wirklich zu gern, was in den Köpfen dieser Geschäftsführer, Richter und Staatsanwälte so vorgeht.

Golem hatte vergangene Woche diese Geschichte gebracht. Ich bekam von Heise den Auftrag, das mal zu recherchieren. Also habe ich meine Fühler ausgestreckt. Mit der Polizei Aachen, der Staatsanwaltschaft Köln und ein paar anderen Quellen geredet. Heraus kam diese Geschichte bei heise online:

• Datenleck bei Modern Solution: Hausdurchsuchung statt Bug Bounty

Weil mich das ganze so aufgeregt hat, hab ich dann heute diesen Kommentar nachgeschoben:

• Kommentar zu Modern Solution: Der Staat darf kein Handlanger von Stümpern sein

Zwischenzeitlich musste ich mich dann noch im Heise-Forum verteidigen. Da meinte nämlich ein offensichtlicher Insider die Schuld weit von sich weisen zu müssen, was ich nicht auf mir sitzen lassen wollte. Daraufhin legte der Insider nach, wahrscheinlich um ein für alle mal zu beweisen, warum richtige Firmen eine Presseabteilung haben. Ich hab dann das hier gepostet, wofür ich gleich zweimal ungeahntes Lob bekam.

Jeder macht Fehler. Aber wenn man Fehler nicht zugibt und stattdessen versucht, Menschen, die das Richtige tun, in den Knast zu bringen und dann auch noch auf ihnen und der Presse rumhackt, dann regt mich das auf. Der Staat darf ein solches Verhalten auf keinen Fall unterstützen. Auch nicht unfreiwillig.

Ich schreibe momentan wieder verstärkt für heise Security. Hier sind meine Meldungen aus der letzten Woche:

• Microsoft Digital Defense Report: Im Westen nichts Neues
• Brückenbau: LAN-Kabel als Antenne überwindet Air-Gaps
• Google wappnet Hochrisiko-Nutzer gegen Phishing-Welle aus Russland
• Hackerfreundliche Gesetze: Pariser Verein will Sicherheitsforscher schützen
• Schlimmer als Google: Welche Daten alternative Android-Hersteller sammeln

Ganz wichtiger Kommentar von Jürgen Schmidt (meinem ehemaligen Chef) bei heise Security:

• Kommentar zu Attributionen: IT-Sicherheit darf kein Propagandawerkzeug sein

Vergesst den Twitch-Hack. Die Geschichte hier wird uns noch Jahre verfolgen. Calling it now.

• Hack bei Mobilfunk-Dienstleister Syniverse: Unbefugter Zugriff über fünf Jahre

Das war’s fürs erste mit meinen Meldungen für den heise Security-Ticker. Hier sind die übrigen Meldungen aus dieser Woche:

• Quad-Allianz will IT-Sicherheitsstandards verbessern und Lieferketten absichern
• Studie: Corona-Pandemie hat verheerenden Einfluss auf IT-Sicherheit
• Passwort-Leak: Microsoft will die Autodiscover-Lücke seit 5 Jahren nicht beheben
• HTTPS Everywhere: EFF erklärt Sieg und schafft Browser-Tool ab

Ein paar weitere Meldungen, die ich in den letzten paar Tagen für heise Security verfasst habe:

• Autodiscover: Exchange-Protokoll leakt Windows-Anmeldedaten ins öffentliche Netz
• BulletProofLink: Wo der ganze Phishing-Spam herkommt
• Wird aktuell angegriffen: Gefährlicher Zero-Day in macOS und iOS
• Ransomware-Gang REvil zockte die eigenen Partner ab

Ich schreibe gerade mal wieder etwas mehr für Heise, genaugenommen den News-Ticker von heise Security. Hier ist eine Liste mit Meldungen, die ich in letzter Zeit dort verfasst habe:

• Neue OWASP Top 10: Fehlerhafte Zugangsbeschränkungen größte Gefahr für Web-Apps
• Kritische Sicherheitslücke ohne Patch gefährdet ältere IBM-System-X-Server
• Hunderttausende MikroTik-Router sind seit 2018 angreifbar
• OMIGOD: Microsoft lässt Azure-Admins mit Linux-Lücke allein
• US-Heimatschutz warnt vor weitreichenden Angriffen über Zoho ADSelfService Plus
• Läuft unter WSL: Erste Linux-Malware in Windows aufgetaucht
• Netgear-Router können über Kindersicherung geknackt werden
• Suex OTC: US-Regierung erlässt erste Sanktionen gegen Kryptogeld-Börse

Die aktuelle c’t (seit Samstag am Kiosk), enthält einen Artikel von mir zum Bunkerverfahren in Trier. Ich verfolge das Geschehen seit dem Prozessauftakt letzten Monat.

→ c’t 24/2020, S.38: Mammutprozess an der Mosel

Ich verfolge im Auftrag der c’t das Cyberbunker-Verfahren am LG Trier. Anlässlich des Prozessauftaktes war ich da heute auch vor Ort. Hier ist mein Bericht für heise online:

• Prozessauftakt in Trier: Nie dagewesenes Riesenverfahren um den Cyberbunker

Kommende Woche fahre ich zum “Bunkerverfahren” (Az. 2a KLs 5 Js 30/15, siehe c’t 10/2020) ans Landgericht Trier. Spannend! Sowas hab ich seit meinem Praktikum bei der WAZ damals nicht mehr gemacht.