IT Security Newsletter: Millionenstrafe für Notebooksbilliger, SolarWinds-Hack, Threema wird Open-Source
Aktuelle Berichte, Kommentare und Analysen aus der IT-Security
In dieser Ausgabe lesen Sie
Millionenstrafe für Notebooksbilliger
Deutliche Worte zum SolarWinds-Hack
Threema-Apps sind nun Open-Source
Spionage durch den Ex
Neues Bundle mit Cyber-Security-E-Books
Behörde verhängt Bußgeld gegen Notebooksbilliger
Der PC-Händler Notebooksbilliger hat nach Angaben der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen „über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag“. Die Kameras hätten „unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche“ erfasst.
Ziel der installierten Videokameras sei es laut Notebooksbilliger gewesen, „Straftaten zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nachzuverfolgen“. Eine Videoüberwachung zur Aufdeckung von Straftaten sei aber nur rechtmäßig, wenn sich ein begründeter Verdacht gegen konkrete Personen richte. Bei dem gerügten Unternehmen sei die Videoüberwachung aber weder auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt gewesen, teilte die LfD mit.
Videoüberwachung durch den Arbeitgeber
Hinzu sei gekommen, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden und damit deutlich länger als erforderlich. Man habe es daher „mit einem schwerwiegenden Fall der Videoüberwachung im Betrieb zu tun“, so die LfD Niedersachsen, Barbara Thiel. Auch Kundinnen und Kunden des Unternehmens seien von der unzulässigen Videoüberwachung betroffen gewesen, da einige Kameras auf Sitzgelegenheiten im Verkaufsraum gerichtet waren. Es wurde daher ein Bußgeld in Höhe von 10,4 Millionen Euro unter Bezug auf die DSGVO verhängt.
Das Bußgeld ist noch nicht rechtskräftig. Notebooksbilliger hat bereits Einspruch gegen den Bescheid eingelegt. Der CEO des PC-Händlers Oliver Hellmold: „Das Bußgeld ist völlig unverhältnismäßig. Es steht in keiner Relation zur Größe und Finanzkraft des Unternehmens sowie zur Schwere des angeblichen Verstoßes. Wir halten den Bescheid für nicht rechtmäßig und fordern seine Aufhebung.“ Zu keinem Zeitpunkt sei das Videosystem darauf ausgerichtet gewesen, das Verhalten der Mitarbeiter oder deren Leistungen zu überwachen. Es sei auch technisch überhaupt nicht dafür ausgestattet gewesen (PDF).
Auch der Bitkom-Hauptgeschäftsführer Bernhard Rohleder bezeichnete das Bußgeld als „unverhältnismäßig“. Der Datenschutzbehörde sei „das rechte Maß bei der Ahndung von Verstößen gegen die DSGVO“ abhanden gekommen. Er forderte daher mehr Augenmaß „bei der Verhängung von Bußgeldern“. Der Datenschutz dürfe „deutsche und europäische Unternehmen nicht durch überbordende Bußgelder im Wettbewerb benachteiligen oder gar in ihrer Existenz bedrohen“.
Microsoft findet deutliche Worte zum SolarWinds-Hack
In einem Blog-Beitrag fordert der Microsoft-President Brad Smith eine starke und zugleich globale Reaktion auf den SolarWinds-Hack:
“This is not ‘espionage as usual,’ even in the digital age […] this is not just an attack on specific targets, but on the trust and reliability of the world’s critical infrastructure […].”
Brad Smith, President, Microsoft
Threema-Apps sind nun Open-Source
Anfang des Monats haben die Threema-Entwickler bereits die Ergebnisse eines Audits veröffentlicht. Nun folgt der nächste Schritt: Der Quellcode der Apps steht jetzt unter der angekündigten Open-Source-Lizenz. Gleichzeitig reduziert der Anbieter den Preis der Threema-Apps noch bis zum 28.12.2020 um 50 Prozent.
Der Pentesting-Anbieter Cure53 hatte insgesamt acht Schwachstellen im Threema-Quellcode gefunden, keine davon sei jedoch sicherheitsrelevant, teilte das Berliner Unternehmen mit.
Die Veröffentlichung des Quellcodes ist jedoch nur ein Schritt auf dem Weg zu mehr Transparenz. Ebenso wichtig sind sogenannte Reproducible Builds, mit denen die Nutzer prüfen können, ob sie auch wirklich eine App auf ihrem Smartphone haben, die einem bestimmten Quellcode-Stand entspricht. Für die Android-Plattform haben die Threema-Entwickler einen schrittweisen Prozess beschrieben, wie sich der Code prüfen lässt. Unter iOS ist dies in dieser Form bislang leider nicht möglich:
Due to restrictions by Apple, it’s no easy task to offer reproducible builds for iOS, but we are currently evaluating possible ways to also support reproducible builds for this platform.
Spionage durch den Ex – Schutzmaßnahmen
Wenn zwei Menschen sich trennen, ist oft einer der beiden enttäuscht und manchmal sogar rachsüchtig. Die moderne Technik bietet solchen Menschen leider viele Möglichkeiten, den ehemaligen Partner nachträglich mit technischen Maßnahmen zu verfolgen. Spionage durch den Ex ist die Folge. Mir wurde einmal eine Geschichte erzählt, bei der der ehemalige Partner die Fritzbox seiner früheren Freundin manipuliert und zur Überwachung benutzt haben soll. Ob die Geschichte stimmt, konnte ich nicht beurteilen, aber es gibt solche Fälle. Daran besteht kein Zweifel.
Spionage durch den Ex: jeder dritte ist dabei
Die britische PR-Agentur Reboot hat die Ergebnisse einer Umfrage unter mehr als 4.500 Menschen zu genau diesem Thema veröffentlicht. Rund 32 Prozent der Teilnehmer gaben an, sich in den sechs Monaten nach einer Trennung noch in die Social-Media-Accounts ihrer ehemaligen Partner eingeloggt zu haben. 70 Prozent dieser Personen hatten sich in den Instagram-Account eingeloggt, 61 Prozent bei Netflix, 49 Prozent bei Facebook und immerhin 26 Prozent in die Mailbox der Ex. Letzteren Wert halte ich für am bedenklichsten. Immerhin ist das Mailkonto genau der Bereich, wo alle wichtigen Konten zusammenkommen.
59 Prozent wollten damit vor allem herausfinden, ob die oder der Ex jemand neuen trifft, 28 waren „einfach nur neugierig“, 14 Prozent wollten wissen, ob sie von bestimmten Inhalten oder Fotos ausgeschlossen wurden und 13 Prozent wollten Rache üben, indem sie etwa unter dem fremden Namen Posts veröffentlichten.
81 Prozent fühlten sich danach schlecht, aber jeder fünfte (19 Prozent) hatte deswegen keine Gewissensbisse. 65 Prozent stuften ihr Interesse an dem ehemaligen Partner selbst als „Sucht“ ein und 47 Prozent gaben an, dass sie dieses Verhalten daran hindert, sich selbst weiterzuentwickeln.
Reboot hat mit der Psychotherapeutin Ann Heathcote gesprochen, die folgenden Tipp für Betroffene hat: „[…] focusing on your ex doesn’t enable you to emotionally distance yourself or focus on your personal growth. You must focus on healing yourself and practise self-care instead of focusing your energy on the past.“ Das ist die Seite des Täters. Für das Opfer bleibt oft nur eine Anzeige bei der Polizei, wenn der oder die Ex sich nicht beherrschen kann und zum digitalen Stalker geworden ist.
Maßnahmen gegen Cyber-Stalking
Wer den Verdacht hat, mit Spionage durch den Ex konfrontiert zu sein und das Opfer solcher Nachstellungen geworden zu sein, sollte außerdem schnellstmöglich alle seine Passwörter ändern und eventuell auch technische Geräte nicht mehr einsetzen, die vom Ex stammen. Das Online-Magazin Rest of World hat sich gerade erst ebenfalls mit dem Thema beschäftigt und einen langen Artikel dazu veröffentlicht:
Sahu has no idea how her phone was bugged or for how long she was surveilled. But she has one clue: Her Vivo smartphone was an engagement gift from her husband.
It is likely that Sahu’s phone had off-the-shelf spyware on it. Her husband may have installed it himself or even consulted a private detective before marrying her, who provided him with the phone. In either case, he would have been part of a growing trend of individuals — often, jealous lovers — making use of personal surveillance technology.
Neues E-Book-Bundle: Cybersecurity & Cryptography by Wiley
Humble Bundle entwickelt sich immer mehr zu einer E-Book-Plattform. Erst vor kurzem hatte die ursprünglich auf Spiele ausgerichtete Online-Plattform mit Hacking 101 ein Bundle mit IT-Security-Büchern vorgestellt. Nun folgt ein neues Paket mit englischsprachigen IT-Security-Klassikern. Allerdings handelt es sich bei einigen von ihnen um Titel, die bereits in anderen Paketen enthalten waren.
Enthaltene IT-Security-Bücher
Für 1 Euro erhalten Sie die folgenden digitalen Werke (EPUB, MOBI oder PDF):
We Have Root: Even More Advice from Schneier on Security
Secrets and Lies: Digital Security in a Networked World
The Shellcoder’s Handbook: Discovering and Exploiting Security Holes
Threat Modeling: Designing for Security
Für mindestens 8,24 Euro erhalten Sie die obigen Titel plus:
Practical Reverse Engineering: x86, x64, ARM, Windows Kernel, Reversing Tools, and Obfuscation
Malware Analyst’s Cookbook: Tools and Techniques for Fighting Malicious Code
The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory
Unauthorised Access: Physical Penetration Testing For IT Security Teams
The Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders and Derivats
Stufe 3 bietet für mindestens 14,84 Euro die bisher genannten Bücher sowie die folgenden E-Books:
Cryptography Engineering: Design Principles and Practical Applications
Social Engineering: The Science of Human Hacking, 2nd Edition
The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws, 2nd Edition
Applied Cryptography: Protocols, Algorithms and Source Code in C
The Art of Deception: Controlling the Human Element of Security
Liars and Outliers: Enabling the Trust that Society Needs to Drive
Verteilung der Einnahmen und Einschätzung
Ein Teil der Einnahmen geht diesmal an die Electronic Frontier Foundation (EFF). Allein die Werke von Bruce Schneier sind meiner Ansicht nach den Kauf wert. Das zuletzt erschienene Buch von ihm, We Have Root, kostet im digitalen Format nahezu so viel wie das gesamte Bundle. Wer sich nur dafür interessiert, kann es hier für den Schnäppchenpreis von nur 1 Euro erhalten.
Aufmacherbild: Noelle Otto (Pexels)