Ja, ja …diese Corona-Listen. War mit Ansage, dass das noch zum Problem wird. Ich hatte ja im Juli schon in meinem Podcast über den Fall in der Schweiz berichtet , bei dem Schwachstellen in einem digitalen Reservierungssystem für Restaurants entdeckt worden waren, das auch zur Datenspeicherung für COVID-19 Contact Tracing genutzt wird. Und jetzt hat der CCC eine vergleichbare Sicherheitslücke bei einem System aus Deutschland aufgedeckt. Ich hab da heute morgen für heise online drüber berichtet:

• CCC hackt digitale Corona-Liste mit 87.000 Einträgen

Der CCC rät mittlerweile davon ab, digitale Listen für die Erhebung von Corona-Daten zu nutzen. “Denken first, digital second”, sagt CCC-Sprecher Linus Neumann plakativ. Weiter führt er aus: “Viele digitale Corona-Listen wurden mit der heißen Nadel gestrickt und machen schwer zu haltende Datenschutzversprechen. Die Sicherheit eines Papiersystems ist hingegen auch für Laien leicht zu beurteilen.” Besonders die Nutzung etablierter Cloud-Systeme für die Gastronomie sei bedenklich, da diese oft nur hastig für die neue Aufgabe umgerüstet worden seien. “Die sensiblen Daten landen dann nicht etwa beim Restaurant, sondern auf einem großen Haufen irgendwo im Internet, wo sie die nächsten Jahre auf interessierte Hacker:innen warten”, bilanziert der CCC.

Sollten Restaurantbesitzer auf die Nutzung digitaler Systeme bestehen, empfehlen die CCC-Hacker lieber ein anderes Restaurant zu besuchen. Aber auch beim Eintragen in Papier-Listen ist laut CCC Vorsicht geboten. Club-Sprecher Frank Rieger empfiehlt, sich grundsätzlich mit fiktiven Daten, aber einer funktionierenden, namentlich nicht zuordenbar E-Mail-Adresse einzutragen.

Am Freitag habe ich nach einem sehr aufschlussreichen Gespräch Anfang der Woche mit Dirk Kretzschmar, dem Geschäftsführer der TÜV Informationstechnik, eine Meldung bei heise online zur Privatsphäre- und Sicherheitsüberprüfung der deutschen Corona-Warn-App veröffentlicht:

• TÜV-Prüfung der Corona-App: Lücken gefunden, Kritik am Veröffentlichungstermin

Einigen Leuten scheint nicht gefallen zu haben, was Herr Kretzschmar mir in dem Gespräch erzählt hat, denn prompt wurde am Samstag eine dpa-Meldung herausgegeben, die zwar keinem der in meinem Artikel angesprochenen Punkte widerspricht, aber wohl der Bevölkerung auf diffuse Art ein besseres Gefühl geben soll. Da sich einige Leser in meiner ersten Meldung mehr Einordnung gewünscht hatten und um auf die dpa-Informationen einzugehen, die unter anderem in der Süddeutschen veröffentlicht wurden, habe ich dann heute morgen eine weitere Meldung nachgelegt, die hoffentlich alle Missverständnisse aus der Welt schafft:

• TÜV-Prüfung der Corona-App: App soll stabil und sicher laufen

Nach knapp fünf Tagen Recherche habe ich heute eine Analyse der Corona-Warn-App der Bundesregierung bei heise online veröffentlicht:

• Corona-Warn-App: Quellcode-Analyse eines beispiellosen Open-Source-Projektes

Als nächstes werde ich einen FAQ-Artikel zu dem Thema angehen. Wenn ihr (oder euer Umfeld) also Fragen zu der App habt, kontaktiert mich bitte!

In der vergangenen Woche habe ich zwei Webinare für Heise moderiert. Bei dem einen ging es um Pentesting in Cloud-Installationen und bei dem anderen um Sicherheit von SAP-Software. Beide Webinare sind jetzt als Aufzeichnung im Heise Shop zu kaufen.

• Penetrationstests in der Cloud

• SAPanisch für InfoSec-Professionals

Ich will hier noch eben einen Link aus der vergangenen Woche nachreichen. Da habe ich bei heise online drüber geschrieben, dass Trend Micro angeblich bei Qualitätstests für Windows-Treiber geschummelt hat. Krasse Geschichte.

• Trend Micro wird vorgeworfen, bei Windows-Treiber-Test betrogen zu haben

Der GitHub-Account von Microsoft wurde gehackt; ist aber nicht viel passiert. Das Ganze ist trotzdem ziemlich peinlich für eine Firma von der Größe. Ich habe für heise online drüber geschrieben:

• Angreifer verschafft sich Zugang zu Microsofts GitHub-Konto, erbeutet nichts Wertvolles

Heute habe ich für Heise ein Webinar zur Sicherheit von Windows 10 in mittelständischen Unternehmen moderiert, das Windows-Experte Nils Kaczenski gehalten hat. Zugang zur Aufzeichnung des sehr interessanten Vortrags kann man ab morgen auch im Nachhinein noch kaufen. Ich hab selbst eine Menge dabei gelernt.

• Windows 10 sicher im Unternehmen

Es gibt ein altes WordPress-Theme namens OneTone, was noch ne Menge Seiten installiert haben, was aber nicht mehr gepflegt wird. Und jetzt wird das gerade tausendfach angegriffen. Was eher unschön ist, weil dann alle Besucher der entsprechenden Seite auf irgendwelche Phishing-Server umgelenkt werden. Und die Admins bekommen ihre Credentials geklaut.

Zweite Meldung von mir bei heise online heute:

• OneTone: Ungepatchtes WordPress-Theme gefährdet zehntausende Webseiten

Man kann bei Microsoft Teams den Session Token eines Benutzers per GIF klauen. Dafür muss das Opfer sich nur das böse GIF angucken, allerdings muss man vorher eine teams.microsoft.com Domain kapern.

Meldung von mir bei heise online:

• Böse GIFs: Microsoft-Teams-Konten mit verminten Bildern kapern