Die erste von 101 Beschwerden von Max Schrems‘ Organisation NOYB „None of Your Business“ wurde jetzt positiv beschieden:
Der Einsatz von Google Analytics ist illegal.
Alle wussten es, jetzt müssen die Aufsichtsbehörden aktiv werden: Die Einbindung von Google Analytics und die für die Nutzung vereinbarten Standardvertragsklauseln genügen nicht den Anforderungen der DSGVO und sind mithin nicht zulässig.
Alle Strafverfolger wollen es, Apple hat bereits gezeigt, wie es geht.
Endgeräte scannen, bevor die Kommunikation verschlüsselt wird.
Die EU Kommission lanciert eine Verordnung, die Tech-Unternehmen und Telekommunikations-Anbieter dazu verpflichten soll, Endgeräte der Nutzer*innen und Kommunikation auf strafbare Inhalte zu scannen und diese automatisiert an die Behörden weiterzugeben.
„EU-Verordnung plant Scans von Nutzerinhalten auf Endgeräten“ weiterlesen
Bei der weitverbreiteten Logging-Komponente log4j 2 ist am Freitag eine schwerwiegende Schwachstelle bekannt geworden, ein Zero-Day-Exploit. Das BSI hat am Wochenende die höchste Warnstufe rot dafür ausgerufen, da es vermehrt zu Angriffen kam.
Das log4j-Framework ist als Java-Bibliothek in viele Systeme integriert, insbesondere bei webbasierten Anwendungen, die dadurch angreifbar sein können.
Die Entwickler der Open Source Software haben umgehend einen Patch und Hinweise zur Abstellung der Schwachstelle veröffentlicht. Eine Anpassung der Systeme ist dringend geboten. An der TU wurden die zentralen Dienste bereits angepasst bzw. sind temporär nur eingeschränkt verfügbar.
Es ist wohl schlimmer als gedacht: Letztlich handelt es sich um ein grundsätzliches Problem der Spezifikation der Programmiersprache, da diese zur Laufzeit ein (Nach)laden von Variablen und ihren Werten aus externen Quellen erlaubt. Daher sind solche problematische Schwachstellen auch schwer im Code zu erkennen. Überdiese Art von Schnittstellen verfügt nicht nur Java, es ist ein gängiges Konzept. Leider kein Sicherheitskonzept. Zumindest bleibt zu hoffen, dass die log4j-Schwachstelle ein Umdenken anregt.
Leider werden viele Phishing-Mails oder Links auf Schadsoftware-Webseiten versandt, die nicht so offensichtlich sind.
Nun häufen sich aber auch SMS und andere Nachrichten, die versuchen uns auf infizierte Webseiten zu lenken:
Ob sie gezielt an adressiert sind oder nur zufällig gesandt werden macht dabei keinen grundsätzlichen Unterschied. Da SMS-Benachrichtigungen oft ein Mittel der Wahl sind, sollte mensch darin ggf. enthaltene Links nur nach genauer Überprüfung aufrufen.
Darum:
Augen auf!
Ein Link auf eine infizierte Webseite in einer SMS oder E-Mail ist schnell geklickt.
Dabei kann sich ein Trojaner einnisten, der nicht nur abhören, sondern auch Bankgeschäfte tätigen oder Erpressungszahlungen fordern könnte.
Und leider sind viele Smartphones technisch nicht mehr sicher, da ältere Modelle keine Updates mehr erhalten (wir sprechen hier teilweise von ein Jahr alten Geräten!).
In manchen Fällen hilft dann nur ein Zurücksetzen auf die Werkseinstellungen…
Mit dem Inkrafttreten des
„Gesetz(es) zur Änderung des Infektionsschutzgesetzes und weiterer Gesetze anlässlich der Aufhebung der Feststellung der epidemischen Lage von nationaler Tragweite“
zum 24.11.2021 ist der § 28b neu ins Infektionsschutzgesetz eingefügt worden.
Danach müssen alle Arbeitgeber*innen ab sofort sicherstellen und nachweisen, dass ausschließlich geimpfte, genesene oder getestete Beschäftigte die Arbeitsstätte betreten.
Gleichzeitig sind alle Beschäftigten verpflichtet, einen Impfnachweis, einen Genesenennachweis oder einen tagesaktuellen Testnachweis innerhalb der Arbeitsstätte mit sich zu führen, zur Kontrolle zur Verfügung zu halten oder bei ihren Arbeitgeber*innen zu hinterlegen.
Ja!
Der gestern präsentierte Koalitionsvertrag von SPD, Grünen und FDP greift viele Forderungen aus der Zivilgesellschaft auf, u.a.
„Koalitionsvertrag vereinbart Stärkung der Bürgerrechte im Digitalen“ weiterlesen
Zu den Erfahrungen mit den Folgen des Cyberangriffs seit April beantwortete Mattis Neiling als Datenschutzbeauftragter Fragen in einem Panel der 4. Jahrestagung Cybersecurity am 28.10.2021. Er stellte dabei einige auch aus Sicht des Datenschutzes wichtige Punkte in den Vordergrund, die in diesem Beitrag näher ausgeführt werden:
Antworten auf einige Fragen werden im Anschluss daran dargestellt, u.a. eine Chronologie der Ereignisse in Folge des Cyberangriffs seit Ende April.
„Vor – während – nach einem Cyberangriff: Wie am besten reagieren?“ weiterlesen
Die vom Innenministerium erarbeitete Strategie wurde vielfach kritisiert – nun wird die Aufweichung der Cybersicherheit zum Regierungsprogramm.
Statt für eine Erhöhung der Cybersicherheit durch entsprechende Gesetze mit strafbewehrten Auflagen zu sorgen, sollen Geräte und Software löchrig bleiben wie ein Schweizer Käse.
Kein Gerät ist sicher.
Jede*r ist betroffen.
Letztlich zeigt die Strategie, wohin die Reise geht: Überwachung und Kontrolle. Es wurden bereits etliche Gesetze beschlossen und weitere Gesetzesinitiativen sind auf dem Weg, sowohl in Deutschland als auch international (siehe den Blogbeitrag dazu).
Eine weitere Kritik an der Strategie: Die Weichen wurden noch vor der Bundestagswahl gestellt, statt der neuen Bundesregierung einen Gestaltungsspielraum einzuräumen.
Aus dem Inhalt der Cyber(un)sicherheitsstrategie 2021:
„Cyber(un)sicherheit: Strategie von der Bundesregierung beschlossen“ weiterlesen
Notebooks, Smartphones und viele andere Bluetooth-fähigen Geräte sind betroffen (alle Bluetooth-Versionen 3.0 – 5.2). Wenn Bluetooth aktiviert und ein Angreifer in Funkreichweite ist, kann er das Gerät zum Absturz bringen und im Einzelfall auch Schadcode ausführen.
Falls der Bluetooth-Kopfhörer oder die Smartwatch nicht mehr reagiert, könnte das der Grund dafür sein :-(.
Updates sind noch nicht verfügbar und teilweise von den Herstellern auch nicht vorgesehen.
Zudem stellt sich bei vielen Geräten des Internets der Dinge (IoT) die Frage, ob und wie diese überhaupt gepatched werden können. Über Bluetooth oder WLAN/Mobiles Internet Updates einzuspielen erscheint nicht als geeigneter Weg, aber nicht jedes Gerät es lässt sich über USB verbinden und bei der Vielzahl an Geräten auch kein gangbarer Weg.
Problematisch ist zudem, dass es sich um sogenannte Firmware-Updates handelt (auch Treiber genannt), die für die oft separate Bluetooth-Komponente eines Gerätes installiert werden müssen.
Bislang hat sich noch kein sicheres Verfahren für Updates etabliert. Es zeichnet sich aber bereits jetzt ab, dass Updates „over-the-air (OTA)“ umgesetzt werden, d.h. sie werden direkt über WLAN/Mobiles Internet auf die Geräte aufgespielt. Dabei ist es wichtig, dass keine Schadsoftware auf die Geräte kommt – letztlich handelt es sich bei solch einem Update auch um Remote Code Execution, die gegen Mißbrauch abgesichert werden sollte.
Mittlerweile bieten zwar Cloud-Anbieter wie AWS und Azure Tools für IoT Device Management an, ob diese sicher genug sind, kann hinterfragt werden und hängt nicht zuletzt von den Fähigkeiten und implementierten Schutzmechanismen der IoT Devices ab.
In der Working Group Software Updates for Internet of Things (SUIT) der IEEE wird an Empfehlungen bis hin zu Standards gearbeitet. Ziel ist die Entwicklung einer sicheren Architektur für Updateprozesse, bei der u.a. kryptographische Signaturen für authorisierte Updates eingesetzt werden. Es scheint aber noch ein weiter Weg zu sein.
Microtargeting ist spätestens seit dem Skandal um die Rolle von Cambridge Analytica bei der Trump-Wahl 2016 bekannt:
Ziel von Microtargeting ist, bestimmte Nutzergruppen anhand ihrer Interessen zu bündeln und diesen personalisierte, passende Werbung anzuzeigen.
Bei Wahlen sind das einerseits positive Äußerungen über die beworbene Partei, oft werden aber auch Fake News oder Schmutzkampagnen über politische Gegner auf diesem Weg verbreitet.
Ein aktueller Beitrag der ARD geht der Frage nach, ob und wie Wahlstrategen solche Kampagnen mithilfe britischer Agenturen umsetzen können – bei einer Undercover-Aktion.
„Wahlkampagnen mit Microtargeting in sozialen Medien: Beitrag in der ARD“ weiterlesen
