Golem hatte vergangene Woche diese Geschichte gebracht. Ich bekam von Heise den Auftrag, das mal zu recherchieren. Also habe ich meine Fühler ausgestreckt. Mit der Polizei Aachen, der Staatsanwaltschaft Köln und ein paar anderen Quellen geredet. Heraus kam diese Geschichte bei heise online:

• Datenleck bei Modern Solution: Hausdurchsuchung statt Bug Bounty

Weil mich das ganze so aufgeregt hat, hab ich dann heute diesen Kommentar nachgeschoben:

• Kommentar zu Modern Solution: Der Staat darf kein Handlanger von Stümpern sein

Zwischenzeitlich musste ich mich dann noch im Heise-Forum verteidigen. Da meinte nämlich ein offensichtlicher Insider die Schuld weit von sich weisen zu müssen, was ich nicht auf mir sitzen lassen wollte. Daraufhin legte der Insider nach, wahrscheinlich um ein für alle mal zu beweisen, warum richtige Firmen eine Presseabteilung haben. Ich hab dann das hier gepostet, wofür ich gleich zweimal ungeahntes Lob bekam.

Jeder macht Fehler. Aber wenn man Fehler nicht zugibt und stattdessen versucht, Menschen, die das Richtige tun, in den Knast zu bringen und dann auch noch auf ihnen und der Presse rumhackt, dann regt mich das auf. Der Staat darf ein solches Verhalten auf keinen Fall unterstützen. Auch nicht unfreiwillig.

Ich schreibe momentan wieder verstärkt für heise Security. Hier sind meine Meldungen aus der letzten Woche:

• Microsoft Digital Defense Report: Im Westen nichts Neues
• Brückenbau: LAN-Kabel als Antenne überwindet Air-Gaps
• Google wappnet Hochrisiko-Nutzer gegen Phishing-Welle aus Russland
• Hackerfreundliche Gesetze: Pariser Verein will Sicherheitsforscher schützen
• Schlimmer als Google: Welche Daten alternative Android-Hersteller sammeln

Ganz wichtiger Kommentar von Jürgen Schmidt (meinem ehemaligen Chef) bei heise Security:

• Kommentar zu Attributionen: IT-Sicherheit darf kein Propagandawerkzeug sein

Vergesst den Twitch-Hack. Die Geschichte hier wird uns noch Jahre verfolgen. Calling it now.

• Hack bei Mobilfunk-Dienstleister Syniverse: Unbefugter Zugriff über fünf Jahre

Das war’s fürs erste mit meinen Meldungen für den heise Security-Ticker. Hier sind die übrigen Meldungen aus dieser Woche:

• Quad-Allianz will IT-Sicherheitsstandards verbessern und Lieferketten absichern
• Studie: Corona-Pandemie hat verheerenden Einfluss auf IT-Sicherheit
• Passwort-Leak: Microsoft will die Autodiscover-Lücke seit 5 Jahren nicht beheben
• HTTPS Everywhere: EFF erklärt Sieg und schafft Browser-Tool ab

Ein paar weitere Meldungen, die ich in den letzten paar Tagen für heise Security verfasst habe:

• Autodiscover: Exchange-Protokoll leakt Windows-Anmeldedaten ins öffentliche Netz
• BulletProofLink: Wo der ganze Phishing-Spam herkommt
• Wird aktuell angegriffen: Gefährlicher Zero-Day in macOS und iOS
• Ransomware-Gang REvil zockte die eigenen Partner ab

Ich schreibe gerade mal wieder etwas mehr für Heise, genaugenommen den News-Ticker von heise Security. Hier ist eine Liste mit Meldungen, die ich in letzter Zeit dort verfasst habe:

• Neue OWASP Top 10: Fehlerhafte Zugangsbeschränkungen größte Gefahr für Web-Apps
• Kritische Sicherheitslücke ohne Patch gefährdet ältere IBM-System-X-Server
• Hunderttausende MikroTik-Router sind seit 2018 angreifbar
• OMIGOD: Microsoft lässt Azure-Admins mit Linux-Lücke allein
• US-Heimatschutz warnt vor weitreichenden Angriffen über Zoho ADSelfService Plus
• Läuft unter WSL: Erste Linux-Malware in Windows aufgetaucht
• Netgear-Router können über Kindersicherung geknackt werden
• Suex OTC: US-Regierung erlässt erste Sanktionen gegen Kryptogeld-Börse

Die aktuelle c’t (seit Samstag am Kiosk), enthält einen Artikel von mir zum Bunkerverfahren in Trier. Ich verfolge das Geschehen seit dem Prozessauftakt letzten Monat.

→ c’t 24/2020, S.38: Mammutprozess an der Mosel

Ich verfolge im Auftrag der c’t das Cyberbunker-Verfahren am LG Trier. Anlässlich des Prozessauftaktes war ich da heute auch vor Ort. Hier ist mein Bericht für heise online:

• Prozessauftakt in Trier: Nie dagewesenes Riesenverfahren um den Cyberbunker

Kommende Woche fahre ich zum “Bunkerverfahren” (Az. 2a KLs 5 Js 30/15, siehe c’t 10/2020) ans Landgericht Trier. Spannend! Sowas hab ich seit meinem Praktikum bei der WAZ damals nicht mehr gemacht.