Unbekannte sind in die Systeme des URL-Verkürzers cligs (cli.gs) eingebrochen und haben rund 2,2 Millionen URLs auf einen bei freedomblogging.com gehosteten Beitrag des Bloggers Kevin Sablan umgeleitet. URL-Verkürzer machen aus einer langen URL eine kurze, leichter weiterzugebende URL, bei der aber das eigentliche Ziel nicht mehr erkennbar ist. Weiter bekannte Dienste sind is.gd, TinyURL und andere. Nach Angaben des cligs-Betreibers Pierre Far ließen sich aber mehr als 90 Prozent der ursprünglichen URLs restaurieren. Die möglicherweise aus Kanada stammenden Angreifer haben offenbar eine Sicherheitslücke in der Cligs-Editing-Funktion benutzt, um die URLs zu manipulieren. Die Funktion wurde zwischenzeitlich deaktiviert. Ein neu aufgesetztes System soll die Schwachstelle nicht mehr aufweisen. Bei Cligs angelegte Nutzerkonten sollen die Angreifer nicht kompromittiert haben. Gespeicherte Passwörter sollen ohnehin verschlüsselt in der Datenbank abgelegt sein – mit welchem Algorithmus gibt Far indes nicht an.
Symantec hat auf ein Sicherheitsproblem in mehreren seiner Antivirenprogramme für Unternehmen und Privtanwendern hingewiesen. Durch einen Fehler ist es möglich, den Virenscanner bei der Suche nach Schädlingen in präparierten Archiven auszutricksen. Die Archive sind zwar durch die Manipulation eigentlich in keinem korrekten Format mehr, allerdings können einige Anwendungen und Entpacker enthaltene Dateien dennoch extrahieren. Insbesondere auf Sicherheits-Gateways an den Netzgrenzen stellt die fehlende Erkennung ein Problem dar, sodass etwa in Unternehmen nur noch der Scanner auf den Endsystemen beim Auspacken die Möglichkeit hat, eine drohende Infektion abzuwenden. Damit wird nicht zuletzt der mehrstufige Ansatz mit unterschiedlichen Virenscannern ausgehebelt.
Der Bund Deutscher Kriminalbeamter (BDK) spricht sich für mehr Sicherheit im Netz aus und hat der Bundesfamilienministerin Ursula von der Leyen (CDU) ein umsetzungsreifes Konzept vorgelegt. Das sagte BDK-Chef Klaus Jansen der Neuen Osnabrücker Zeitung. Das Konzept umfasst eine Aufklärungskampagne unter dem Motto "Der 8. Sinn im Netz" sowie das Online-Angebot "Web Patrol" und eine Software, mit der Übergriffe oder Verstöße im Netz gemeldet werden können. Das Konzept will Jansen am morgigen Dienstag auf dem 14. Deutschen Präventionstag in Hannover der Öffentlichkeit vorstellen."Web Patrol" ist ein Projekt des BDK und der Stiftung Deutsches Forum für Kriminalprävention (DFK) unter Mitarbeit von Vertretern aus Forschung und Wirtschaft. Zu den Partnern gehören T-Systems, Microsoft und das Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme (IAIS).
Die große Koalition hat sich darauf geeinigt, den umstrittenen Gesetzentwurf der Bundesregierung zur Aufrüstung des Bundesamt für Sicherheit in der Informationstechnik (BSI) in Kernpunkten zu entschärfen. Die Fraktionen von CDU/CSU und SPD haben dazu am gestrigen Mittwoch im Innenausschuss des Bundestags einen heise online vorliegenden Änderungsantrag beschlossen. Wie bereits angekündigt, soll vor allem die Erlaubnis für Anbieter von Telemedien gestrichen werden, Nutzerdaten wie IP-Adressen zum Zweck der Störungsbekämpfung zu speichern. Bürgerrechtler und Datenschützer hatten darin einen gefährlichen weiteren Ansatz zur Vorratsdatenspeicherung gesehen. Aufgrund der "besonderen Eilbedürftigkeit der übrigen Regelungen des Gesetzesentwurfs", schreibt Schwarz-Rot zur Begründung, werde die entsprechende Änderung des Telemedienrechts "nicht weiterverfolgt".
Seit kurzem sind erneut gefälschte Mails im Umlauf, die angeblich vom Bundeskriminalamt (BKA) verschickt wurden. Die Polizeibehörde weist darauf hin, dass die besagten Mails nicht vom BKA stammten und dass man die darin geforderte Überweisung keinesfalls vornehmen solle. Das Bundeskriminalamt betonte in diesem Zusammenhang nochmals, dass es keine Strafanzeigen per E-Mail verschicke.
Das beste und komplizierteste Login hilft wenig, wenn ein Web-Angebot eine leicht auszunutzende Hintertür aufweist. Zu diesem Schluss kommt eine Untersuchung von Microsoft Research und der Carnegie Mellon University, die am Mittwoch auf dem "IEEE Symposium on Security and Privacy" im kalifornischen Oakland präsentiert wird. Die Forscher haben dabei die aktuellen Mechanismen zum Zurücksetzen von Passwörtern überprüft und kommen zu dem Ergebnis, dass insbesondere die so genannte "geheime Frage", beispielsweise nach der Lieblingsfarbe, dem Haustier oder der besuchten Grundschule, eine eklatante Sicherheitslücke darstellt.
Das iTAN-Verfahren stellt für Kriminelle kein Problem mehr dar, erklärte Mirko Manske, Kriminalhauptkommissar im Bundeskriminalamt (BKA) auf dem 11. IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik in Bonn. Die indizierten Transaktionsnummern waren eingeführt worden, nachdem sich das herkömmliche TAN-System gegenüber Phishing-Attacken als zu unsicher gezeigt hatte. Zwar seien Phishing-Angriffe mit iTAN schwieriger geworden, so Manske "aber nicht unmöglich".
In der am 11.05.2009 stattgefundenen Anhörung des Innenausschusses zum Entwurf eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes haben Experten starke Kritik geübt. Das Gesetz, in welchem unter anderem Kompetenzen und Zuständigkeiten des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) neu geregelt werden sollen, werde dem Datenschutz nicht gerecht und sei keine geeignete Grundlage, um das Eindringen sogenannter Schadprogramme in informationstechnische Netze des Bundes zu verhindern. Zudem wurde empfohlen eine parlamentarische Kontrollkommission einzusetzen. Befürwortet wurde der Entwurf einzig von Udo Helmbrecht, Präsident des BSI, der betonte, dass das BSI-Gesetz mit der vorgeschlagenen Novelle auf den Stand der Zeit gebracht und an die veränderte Gefährdungslage angepasst werde. Der Datenschutz werde nicht verletzt, da es lediglich um Kontrolle und nicht um Überwachung von Nutzungsdaten gehe. "Wir sind nicht an personenbezogenen Daten interessiert, sondern es geht uns darum, dass keine Schadprogramme eingebracht werden", sagte Helmbrecht.
Ein Bündnis aus Medienverbänden und -unternehmen hat die im geplanten "BSI-Gesetz" vorgesehenen Überwachungsbefugnisse in einer Stellungnahme an den Innenausschuss des Bundestags als verfassungswidrig bezeichnet. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) solle es ermöglicht werden, sämtliche elektronische Kommunikation der Bundesbehörden mit Dritten auszuwerten. Da Ausnahmetatbestände nicht vorgesehen sind, sei auch die Kommunikation mit Journalisten betroffen. Das sei mit der im Grundgesetz garantierten Presse- und Rundfunkfreiheit nicht vereinbar, heißt es in einer Mitteilung des Bündnisses.
Die schwarzen Kamera-Autos rollen wieder durch Deutschland: Google setzt wie angekündigt die Aufnahmen für das Projekt "Street View" auch in deutschen Städten fort. Der Suchmaschinenbetreiber informierte die Datenschutzbehörden, dass im Mai und Juni Aufnahmen von Straßen und Gebäuden in Kiel und Lübeck geplant seien. Auch kleinere Orte im Umfeld sollen aufgenommen werden, teilte Schleswig-Holsteins Datenschutzbeauftragter Thilo Weichert am heutigen Montag mit. Datenschützer wie Weichert kritisieren Googles Projekt, in dem fortlaufende Aufnahmen von Straßen und Gebäuden mit dem Kartenservice Google Maps verknüpft werden. Sie sehen durch Street View die Rechte der betroffenen Anwohner verletzt.
