Vergesst den Twitch-Hack. Die Geschichte hier wird uns noch Jahre verfolgen. Calling it now.

• Hack bei Mobilfunk-Dienstleister Syniverse: Unbefugter Zugriff über fünf Jahre

Das war’s fürs erste mit meinen Meldungen für den heise Security-Ticker. Hier sind die übrigen Meldungen aus dieser Woche:

• Quad-Allianz will IT-Sicherheitsstandards verbessern und Lieferketten absichern
• Studie: Corona-Pandemie hat verheerenden Einfluss auf IT-Sicherheit
• Passwort-Leak: Microsoft will die Autodiscover-Lücke seit 5 Jahren nicht beheben
• HTTPS Everywhere: EFF erklärt Sieg und schafft Browser-Tool ab

Ein paar weitere Meldungen, die ich in den letzten paar Tagen für heise Security verfasst habe:

• Autodiscover: Exchange-Protokoll leakt Windows-Anmeldedaten ins öffentliche Netz
• BulletProofLink: Wo der ganze Phishing-Spam herkommt
• Wird aktuell angegriffen: Gefährlicher Zero-Day in macOS und iOS
• Ransomware-Gang REvil zockte die eigenen Partner ab

Ich schreibe gerade mal wieder etwas mehr für Heise, genaugenommen den News-Ticker von heise Security. Hier ist eine Liste mit Meldungen, die ich in letzter Zeit dort verfasst habe:

• Neue OWASP Top 10: Fehlerhafte Zugangsbeschränkungen größte Gefahr für Web-Apps
• Kritische Sicherheitslücke ohne Patch gefährdet ältere IBM-System-X-Server
• Hunderttausende MikroTik-Router sind seit 2018 angreifbar
• OMIGOD: Microsoft lässt Azure-Admins mit Linux-Lücke allein
• US-Heimatschutz warnt vor weitreichenden Angriffen über Zoho ADSelfService Plus
• Läuft unter WSL: Erste Linux-Malware in Windows aufgetaucht
• Netgear-Router können über Kindersicherung geknackt werden
• Suex OTC: US-Regierung erlässt erste Sanktionen gegen Kryptogeld-Börse

Die aktuelle c’t (seit Samstag am Kiosk), enthält einen Artikel von mir zum Bunkerverfahren in Trier. Ich verfolge das Geschehen seit dem Prozessauftakt letzten Monat.

→ c’t 24/2020, S.38: Mammutprozess an der Mosel

Ich verfolge im Auftrag der c’t das Cyberbunker-Verfahren am LG Trier. Anlässlich des Prozessauftaktes war ich da heute auch vor Ort. Hier ist mein Bericht für heise online:

• Prozessauftakt in Trier: Nie dagewesenes Riesenverfahren um den Cyberbunker

Kommende Woche fahre ich zum “Bunkerverfahren” (Az. 2a KLs 5 Js 30/15, siehe c’t 10/2020) ans Landgericht Trier. Spannend! Sowas hab ich seit meinem Praktikum bei der WAZ damals nicht mehr gemacht.

Ja, ja …diese Corona-Listen. War mit Ansage, dass das noch zum Problem wird. Ich hatte ja im Juli schon in meinem Podcast über den Fall in der Schweiz berichtet , bei dem Schwachstellen in einem digitalen Reservierungssystem für Restaurants entdeckt worden waren, das auch zur Datenspeicherung für COVID-19 Contact Tracing genutzt wird. Und jetzt hat der CCC eine vergleichbare Sicherheitslücke bei einem System aus Deutschland aufgedeckt. Ich hab da heute morgen für heise online drüber berichtet:

• CCC hackt digitale Corona-Liste mit 87.000 Einträgen

Der CCC rät mittlerweile davon ab, digitale Listen für die Erhebung von Corona-Daten zu nutzen. “Denken first, digital second”, sagt CCC-Sprecher Linus Neumann plakativ. Weiter führt er aus: “Viele digitale Corona-Listen wurden mit der heißen Nadel gestrickt und machen schwer zu haltende Datenschutzversprechen. Die Sicherheit eines Papiersystems ist hingegen auch für Laien leicht zu beurteilen.” Besonders die Nutzung etablierter Cloud-Systeme für die Gastronomie sei bedenklich, da diese oft nur hastig für die neue Aufgabe umgerüstet worden seien. “Die sensiblen Daten landen dann nicht etwa beim Restaurant, sondern auf einem großen Haufen irgendwo im Internet, wo sie die nächsten Jahre auf interessierte Hacker:innen warten”, bilanziert der CCC.

Sollten Restaurantbesitzer auf die Nutzung digitaler Systeme bestehen, empfehlen die CCC-Hacker lieber ein anderes Restaurant zu besuchen. Aber auch beim Eintragen in Papier-Listen ist laut CCC Vorsicht geboten. Club-Sprecher Frank Rieger empfiehlt, sich grundsätzlich mit fiktiven Daten, aber einer funktionierenden, namentlich nicht zuordenbar E-Mail-Adresse einzutragen.

Am Freitag habe ich nach einem sehr aufschlussreichen Gespräch Anfang der Woche mit Dirk Kretzschmar, dem Geschäftsführer der TÜV Informationstechnik, eine Meldung bei heise online zur Privatsphäre- und Sicherheitsüberprüfung der deutschen Corona-Warn-App veröffentlicht:

• TÜV-Prüfung der Corona-App: Lücken gefunden, Kritik am Veröffentlichungstermin

Einigen Leuten scheint nicht gefallen zu haben, was Herr Kretzschmar mir in dem Gespräch erzählt hat, denn prompt wurde am Samstag eine dpa-Meldung herausgegeben, die zwar keinem der in meinem Artikel angesprochenen Punkte widerspricht, aber wohl der Bevölkerung auf diffuse Art ein besseres Gefühl geben soll. Da sich einige Leser in meiner ersten Meldung mehr Einordnung gewünscht hatten und um auf die dpa-Informationen einzugehen, die unter anderem in der Süddeutschen veröffentlicht wurden, habe ich dann heute morgen eine weitere Meldung nachgelegt, die hoffentlich alle Missverständnisse aus der Welt schafft:

• TÜV-Prüfung der Corona-App: App soll stabil und sicher laufen