Sicherheitsexperten und Innenpolitiker fordern eine neue Rechtsgrundlage für Gegenschläge im Netz zur „aktiven Cyberabwehr“. Das Bundesinnenministerium arbeitet bereits seit einem Jahr an einem Gesetzespaket zum „Hackback“. Ein geheimes Bundestagsgutachten rät dagegen eher dazu die IT-Sicherheit defensiv auszurichten, Sicherheitslücken zu schließen und widerstandsfähige Systeme zu bauen. Eine glaubwürdige Abschreckung durch die Existenz von Cyberwaffen könnte man kaum gewährleisten, da die Existenz und der Umfang erst durch ihren unmittelbaren Einsatz offenbar werden. Durch ständige technische Weiterentwicklungen und Anpassungen an die Zielsysteme wären solche Cyberwaffen sehr wartungsaufwändig. Dagegen sind sie nach einmaligem Einsatz oft nicht mehr anwendbar, da auch die Gegenseite durch den Angriff eigene Schwachstellen erkennt und schließt. Der Ursprung erfolgter Angriffe kann darüber hinaus, wenn überhaupt, meist nur mit erheblichem Aufwand recherchiert werden. Entsprechende Gegenschläge können dann sowohl zivile, öffentliche, oder militärische Systeme betreffen, vor allem weil oft unklar ist, welche anderen Systeme vom Zielsystem abhängen, oder ob das Ziel im In- oder Ausland liegt. Weitere Probleme bestehen bei der Frage nach der möglichen Durchführbarkeit. Dabei stellt sich vor allem die Frage wer die Gegenschläge durchführen könnte und dürfte. Hier wird vielfach der Bundesnachrichtendienst genannt, der jedoch „nur Informationen über relevante Daten sammeln, aber nicht selber aktive Cyber-Angriffe durchführen“ dürfe. Der Einsatz deutscher Streitkräfte erfordert hohe verfassungsrechtliche Hürden. Dieser setzt die Reaktion auf eine militärische Gewaltanwendung, die von außen kommt, also einen Verteidigungsfall, voraus. Offensive Maßnahmen der Bundeswehr im Internet, die nicht auf einem Verteidigungsfall beruhen, seien völkerrechtswidrig, da sie das Gewaltverbot missachten. Quelle:...

Googles Project Zero hat einen Großangriff auf iPhone-Nutzer dokumentiert. Dabei wurden mehrere Webseiten gefunden, die offensichtlich gehackt wurden und deren Besucher, falls sie ein iPhone nutzten, mit Malware infiziert wurden. Die Angriffe zielten dabei laut Google nicht auf bestimmte Einzelpersonen ab, sondern es wurden vielmehr alle Besucher der jeweiligen Webseiten mit Schadsoftware infiziert, wenn sie ein verwundbares Gerät benutzten. Google schätzt, dass die betroffenen Webseiten dabei einige Tausend Besucher pro Woche haben. Quelle:...

Der Rechtsstreit zwischen dem Herzoglichen Bräustüberl Tegernsee und Google ist beigelegt. Im Diagramm zu den Stoßzeiten des Bräustüberl hatte Google angegeben, dass die Wartezeiten 15 Minuten, an Wochenenden 90 Minuten betragen würden. Dabei handelte es sich um eine Fehlinformation, der Wirt bemühte sich 2 Jahre lang um eine gütliche Einigung und reichte nach deren Scheitern Klage beim LG München I ein. Im Juli 2019 entfernte Google das Wartezeiten-Diagramm des Bräustüberl. Wenige Tage vor der mündlichen Verhandlung hat Google um eine Aufhebung des Termins gebeten und den Unterlassungsanspruch anerkannt. Somit bleibt die Funktion weiterhin gesperrt. Quellen: https://www.heise.de/newsticker/meldung/Braeustueberl-gegen-Google-Streit-um-Angabe-von-Wartezeiten-4469875.html und https://www.br.de/mediathek/video/wirt-contra-google-braeustueberl-klagt-gegen-internet-riesen-av:5d279853e1efdf001a5449d7...

Das Bayerische Rote Kreuz hat durch Einbindung von Facebookpixeln auf seiner Seite personenbezogene Daten von Usern an Facebook übermittelt. Dabei handelte es sich nicht nur um gewöhnliche personenbezogene Daten, sondern auch um kritische Gesundheitsdaten der betroffenen Personen (Art. 9 DS-GVO). Im Rahmen eines „Vorchecks“ als Vorbereitung für eine mögliche Blutspende wurden intime Gesundheitsfragen gestellt, die direkt und profilbezogen zu Facebook weiterübermittelt wurden und dort unter anderem für personalisierte Werbung genutzt werden konnten. Der Einsatz des Facebookpixels zum Tracking ist bei besonderen personenbezogenen Daten ohne Einwilligung nicht zulässig. Der Pixel wurde zwischenzeitlich von der Seite des BRK entfernt. Welche weiteren Konsequenzen durch die bayrische Datenschutzbehörde folgen steht zum jetzigen Zeitpunkt noch nicht fest. Quelle:...

Vor der Europawahl im Mai diesen Jahres wurde die Melde-Funktion des Onlinedienstes Twitter ausgiebig genutzt. Mit ihrer Hilfe können beispielsweise Tweets gemeldet werden, die Manipulationsversuche im Bezug zur Wahl beinhalten. Es wurden einige Accounts gesperrt, darunter der des Journalisten Tom Hillenbrand. Er hatte getwittert, AfD-Wähler sollten ihren Stimmzettel fotografieren, unterschreiben, auf Instagram posten und danach aufessen. Er selbst bezeichnet seinen Post als offensichtliche Satire. Er widersprach der Sperrung seines Tweets und Twitter teilte ihm mit, sein Account werde bis zum Abschluss der Prüfung gesperrt. Dieser Widerspruch ist vor 108 Tagen bei Twitter eingegangen. Nach 59 Tagen erwirkte er eine einstweilige Verfügung, auf welche Twitter jedoch bis heute nicht reagiert hat. Das Konto bleibt gesperrt. Nun droht Twitter ein Ordnungsgeld von 250.000 Euro. Quelle:...

Drei Forscher der Universitäten in Singapur und Oxford sowie des Helmholtz-Zentrums für Informationssicherheit (CISPA) in Saarbrücken haben einen als „KNOB“ (Key Negotiation Of Bluetooth) benannten Angriff auf die Bluetooth-Technologie vorgestellt. Dieser basiert auf einer seit etwa 20 Jahren bestehenden Schwachstelle in der Bluetooth-Spezifikation, sodass Eingaben von Bluetooth-Tastaturen und der Traffic von Laptops, die via Bluetooth an Smartphones angeschlossen sind, mitgeschnitten werden können. Aufgrund der Schwachstelle in der Firmware des Bluetooth-Radios lässt sich bei den meisten Geräten (17 von 18 getesteten) die Entropie der Sessionkeys von maximal 16 Bytes auf 1 Byte reduzieren. Die so ausgehandelten Schlüssel lassen sich dann mit geringem Aufwand bei einem Brute-Force-Angriff knacken. Als Gegenmaßnahme hat die Bluetooth Special Interest Group nun allen Entwicklern eine Aktualisierung ihrer Geräte empfohlen. Quelle:...