IT Security Newsletter: Millionenstrafe für Notebooksbilliger, SolarWinds-Hack, Threema wird Open-Source

Aktuelle Berichte, Kommentare und Analysen aus der IT-Security

In dieser Ausgabe lesen Sie

  • Millionenstrafe für Notebooksbilliger

  • Deutliche Worte zum SolarWinds-Hack

  • Threema-Apps sind nun Open-Source

  • Spionage durch den Ex

  • Neues Bundle mit Cyber-Security-E-Books

Behörde verhängt Bußgeld gegen Notebooksbilliger

Der PC-Händler Notebooksbilliger hat nach Angaben der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen „über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag“. Die Kameras hätten „unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche“ erfasst.

Ziel der installierten Videokameras sei es laut Notebooksbilliger gewesen, „Straftaten zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nachzuverfolgen“. Eine Videoüberwachung zur Aufdeckung von Straftaten sei aber nur rechtmäßig, wenn sich ein begründeter Verdacht gegen konkrete Personen richte. Bei dem gerügten Unternehmen sei die Videoüberwachung aber weder auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt gewesen, teilte die LfD mit.

Videoüberwachung durch den Arbeitgeber

Hinzu sei gekommen, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden und damit deutlich länger als erforderlich. Man habe es daher „mit einem schwerwiegenden Fall der Videoüberwachung im Betrieb zu tun“, so die LfD Niedersachsen, Barbara Thiel. Auch Kundinnen und Kunden des Unternehmens seien von der unzulässigen Videoüberwachung betroffen gewesen, da einige Kameras auf Sitzgelegenheiten im Verkaufsraum gerichtet waren. Es wurde daher ein Bußgeld in Höhe von 10,4 Millionen Euro unter Bezug auf die DSGVO verhängt.

Das Bußgeld ist noch nicht rechtskräftig. Notebooksbilliger hat bereits Einspruch gegen den Bescheid eingelegt. Der CEO des PC-Händlers Oliver Hellmold: „Das Bußgeld ist völlig unverhältnismäßig. Es steht in keiner Relation zur Größe und Finanzkraft des Unternehmens sowie zur Schwere des angeblichen Verstoßes. Wir halten den Bescheid für nicht rechtmäßig und fordern seine Aufhebung.“ Zu keinem Zeitpunkt sei das Videosystem darauf ausgerichtet gewesen, das Verhalten der Mitarbeiter oder deren Leistungen zu überwachen. Es sei auch technisch überhaupt nicht dafür ausgestattet gewesen (PDF).

Auch der Bitkom-Hauptgeschäftsführer Bernhard Rohleder bezeichnete das Bußgeld als „unverhältnismäßig“. Der Datenschutzbehörde sei „das rechte Maß bei der Ahndung von Verstößen gegen die DSGVO“ abhanden gekommen. Er forderte daher mehr Augenmaß „bei der Verhängung von Bußgeldern“. Der Datenschutz dürfe „deutsche und europäische Unternehmen nicht durch überbordende Bußgelder im Wettbewerb benachteiligen oder gar in ihrer Existenz bedrohen“.

Jetzt abonnieren

Microsoft findet deutliche Worte zum SolarWinds-Hack

In einem Blog-Beitrag fordert der Microsoft-President Brad Smith eine starke und zugleich globale Reaktion auf den SolarWinds-Hack:

“This is not ‘espionage as usual,’ even in the digital age […] this is not just an attack on specific targets, but on the trust and reliability of the world’s critical infrastructure […].”

Brad Smith, President, Microsoft

Threema-Apps sind nun Open-Source

Anfang des Monats haben die Threema-Entwickler bereits die Ergebnisse eines Audits veröffentlicht. Nun folgt der nächste Schritt: Der Quellcode der Apps steht jetzt unter der angekündigten Open-Source-Lizenz. Gleichzeitig reduziert der Anbieter den Preis der Threema-Apps noch bis zum 28.12.2020 um 50 Prozent.

Der Pentesting-Anbieter Cure53 hatte insgesamt acht Schwachstellen im Threema-Quellcode gefunden, keine davon sei jedoch sicherheitsrelevant, teilte das Berliner Unternehmen mit.

Die Veröffentlichung des Quellcodes ist jedoch nur ein Schritt auf dem Weg zu mehr Transparenz. Ebenso wichtig sind sogenannte Reproducible Builds, mit denen die Nutzer prüfen können, ob sie auch wirklich eine App auf ihrem Smartphone haben, die einem bestimmten Quellcode-Stand entspricht. Für die Android-Plattform haben die Threema-Entwickler einen schrittweisen Prozess beschrieben, wie sich der Code prüfen lässt. Unter iOS ist dies in dieser Form bislang leider nicht möglich:

Due to restrictions by Apple, it’s no easy task to offer reproducible builds for iOS, but we are currently evaluating possible ways to also support reproducible builds for this platform.

Spionage durch den Ex – Schutzmaßnahmen

Wenn zwei Menschen sich trennen, ist oft einer der beiden enttäuscht und manchmal sogar rachsüchtig. Die moderne Technik bietet solchen Menschen leider viele Möglichkeiten, den ehemaligen Partner nachträglich mit technischen Maßnahmen zu verfolgen. Spionage durch den Ex ist die Folge. Mir wurde einmal eine Geschichte erzählt, bei der der ehemalige Partner die Fritzbox seiner früheren Freundin manipuliert und zur Überwachung benutzt haben soll. Ob die Geschichte stimmt, konnte ich nicht beurteilen, aber es gibt solche Fälle. Daran besteht kein Zweifel.

Spionage durch den Ex: jeder dritte ist dabei

Die britische PR-Agentur Reboot hat die Ergebnisse einer Umfrage unter mehr als 4.500 Menschen zu genau diesem Thema veröffentlicht. Rund 32 Prozent der Teilnehmer gaben an, sich in den sechs Monaten nach einer Trennung noch in die Social-Media-Accounts ihrer ehemaligen Partner eingeloggt zu haben. 70 Prozent dieser Personen hatten sich in den Instagram-Account eingeloggt, 61 Prozent bei Netflix, 49 Prozent bei Facebook und immerhin 26 Prozent in die Mailbox der Ex. Letzteren Wert halte ich für am bedenklichsten. Immerhin ist das Mailkonto genau der Bereich, wo alle wichtigen Konten zusammenkommen.

59 Prozent wollten damit vor allem herausfinden, ob die oder der Ex jemand neuen trifft, 28 waren „einfach nur neugierig“, 14 Prozent wollten wissen, ob sie von bestimmten Inhalten oder Fotos ausgeschlossen wurden und 13 Prozent wollten Rache üben, indem sie etwa unter dem fremden Namen Posts veröffentlichten.

81 Prozent fühlten sich danach schlecht, aber jeder fünfte (19 Prozent) hatte deswegen keine Gewissensbisse. 65 Prozent stuften ihr Interesse an dem ehemaligen Partner selbst als „Sucht“ ein und 47 Prozent gaben an, dass sie dieses Verhalten daran hindert, sich selbst weiterzuentwickeln.

Reboot hat mit der Psychotherapeutin Ann Heathcote gesprochen, die folgenden Tipp für Betroffene hat: „[…] focusing on your ex doesn’t enable you to emotionally distance yourself or focus on your personal growth. You must focus on healing yourself and practise self-care instead of focusing your energy on the past.“ Das ist die Seite des Täters. Für das Opfer bleibt oft nur eine Anzeige bei der Polizei, wenn der oder die Ex sich nicht beherrschen kann und zum digitalen Stalker geworden ist.

Maßnahmen gegen Cyber-Stalking

Wer den Verdacht hat, mit Spionage durch den Ex konfrontiert zu sein und das Opfer solcher Nachstellungen geworden zu sein, sollte außerdem schnellstmöglich alle seine Passwörter ändern und eventuell auch technische Geräte nicht mehr einsetzen, die vom Ex stammen. Das Online-Magazin Rest of World hat sich gerade erst ebenfalls mit dem Thema beschäftigt und einen langen Artikel dazu veröffentlicht:

Sahu has no idea how her phone was bugged or for how long she was surveilled. But she has one clue: Her Vivo smartphone was an engagement gift from her husband.

It is likely that Sahu’s phone had off-the-shelf spyware on it. Her husband may have installed it himself or even consulted a private detective before marrying her, who provided him with the phone. In either case, he would have been part of a growing trend of individuals — often, jealous lovers — making use of personal surveillance technology.

Neues E-Book-Bundle: Cybersecurity & Cryptography by Wiley

Humble Bundle entwickelt sich immer mehr zu einer E-Book-Plattform. Erst vor kurzem hatte die ursprünglich auf Spiele ausgerichtete Online-Plattform mit Hacking 101 ein Bundle mit IT-Security-Büchern vorgestellt. Nun folgt ein neues Paket mit englischsprachigen IT-Security-Klassikern. Allerdings handelt es sich bei einigen von ihnen um Titel, die bereits in anderen Paketen enthalten waren.

Enthaltene IT-Security-Bücher

Für 1 Euro erhalten Sie die folgenden digitalen Werke (EPUB, MOBI oder PDF):

  • We Have Root: Even More Advice from Schneier on Security

  • Secrets and Lies: Digital Security in a Networked World

  • The Shellcoder’s Handbook: Discovering and Exploiting Security Holes

  • Threat Modeling: Designing for Security

Für mindestens 8,24 Euro erhalten Sie die obigen Titel plus:

  • Practical Reverse Engineering: x86, x64, ARM, Windows Kernel, Reversing Tools, and Obfuscation

  • Malware Analyst’s Cookbook: Tools and Techniques for Fighting Malicious Code

  • The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory

  • Unauthorised Access: Physical Penetration Testing For IT Security Teams

  • The Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders and Derivats

Stufe 3 bietet für mindestens 14,84 Euro die bisher genannten Bücher sowie die folgenden E-Books:

  • Cryptography Engineering: Design Principles and Practical Applications

  • Social Engineering: The Science of Human Hacking, 2nd Edition

  • The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws, 2nd Edition

  • Applied Cryptography: Protocols, Algorithms and Source Code in C

  • The Art of Deception: Controlling the Human Element of Security

  • Liars and Outliers: Enabling the Trust that Society Needs to Drive

Verteilung der Einnahmen und Einschätzung

Ein Teil der Einnahmen geht diesmal an die Electronic Frontier Foundation (EFF). Allein die Werke von Bruce Schneier sind meiner Ansicht nach den Kauf wert. Das zuletzt erschienene Buch von ihm, We Have Root, kostet im digitalen Format nahezu so viel wie das gesamte Bundle. Wer sich nur dafür interessiert, kann es hier für den Schnäppchenpreis von nur 1 Euro erhalten.

Jetzt abonnieren

Aufmacherbild: Noelle Otto (Pexels)

Share IT Security Newsletter