„`html
KDB-Tech-Update: Der abendliche Überblick
Hey zusammen, willkommen zu unserem KDB-Tech-Update! Heute haben wir wieder spannende Themen für euch im Gepäck. Von gefährlicher Android-Malware über gehackte Staubsauger-Roboter bis hin zu den neuesten Entwicklungen im Bereich KI-Governance und Sicherheitslücken an Flughäfen. Lasst uns direkt loslegen!
Achtung, Android-Nutzer: Diese Malware will eure Kreditkartendaten stehlen
In einer zunehmend digitalisierten Welt sind Android-Nutzer:innen immer wieder Ziel von Cyberkriminalität. Eine neue Form der Bedrohung wurde von den Forschern des Sicherheitsunternehmens ESET entdeckt, die vor einer Malware warnen, die gezielt Kredit- und EC-Kartendaten abgreift. Die Schadsoftware hat ihren Ursprung in einer schädlichen App, die über verschiedene Kanäle, einschließlich Phishing, auf die Smartphones eingeschleust wird.
Die Betrüger:innen nutzen gefälschte E-Mails, die scheinbar von vertrauenswürdigen Banken stammen. Diese Mails fordern die Empfänger:innen auf, eine neue Banking-App herunterzuladen, um angebliche Probleme bei der Durchführung von Überweisungen zu beheben. Hinter dieser App verbirgt sich jedoch die Malware, die von ESET „NGate“ getauft wurde. Der Name leitet sich von der verwendeten Technik ab, die auf einem ursprünglich für Forschungszwecke entwickelten Tool namens NFCGate basiert.
Sobald die App auf dem Android-Gerät installiert ist, kann sie Bankkarten in der Nähe über die Near Field Communication (NFC)-Technologie auslesen und die erbeuteten Informationen, einschließlich der PIN, an die Kriminellen weiterleiten. Dies ermöglicht es den Betrüger:innen, ungehindert auf die Konten der Opfer zuzugreifen und Geld am Geldautomaten abzuheben.
Um sich vor solchen Angriffen zu schützen, sollten Android-Nutzer:innen vorsichtig sein und folgende Sicherheitsmaßnahmen ergreifen:
- Öffnet keine Links in SMS oder E-Mails, die Druck ausüben oder verdächtig erscheinen. Es ist ratsam, die Authentizität der Nachricht durch eine Internetrecherche zu überprüfen.
- Nutzt Antiviren-Apps, um euch vor schädlichen Downloads zu schützen. Diese Apps können helfen, Malware frühzeitig zu erkennen und zu entfernen.
- Deaktiviert die NFC-Funktion, wenn ihr sie nicht benötigt. Die Schadsoftware benötigt NFC, um Bankkarten auszulesen, daher ist es sicherer, diese Funktion nur bei Bedarf zu aktivieren.
Abschließend sei gesagt, dass die Cyberkriminalität ständig im Wandel ist. Daher ist es wichtig, wachsam zu bleiben und sich über neue Bedrohungen zu informieren, um die eigene Sicherheit im Internet zu gewährleisten.
TÜV-Siegel ohne Wert? Sicherheitsforscher hacken zertifizierte Staubsauger-Roboter
In der heutigen Episode unseres Podcasts und im begleitenden Blogbeitrag widmen wir uns einem brisanten Thema: den Sicherheitslücken in smarten Haushaltsgeräten, insbesondere Staubsauger-Robotern. Kürzlich haben Sicherheitsforscher auf der Hacking-Konferenz Def Con alarmierende Ergebnisse präsentiert, die die vermeintliche Sicherheit von Geräten mit TÜV-Zertifizierung in Frage stellen.
Die Forscher Dennis Giese und Braelynn demonstrierten, wie Angreifer über Bluetooth die Kontrolle über Staubsauger-Roboter und andere smarte Geräte wie mobile Luftfilter und Rasenmäher-Roboter erlangen können. Dabei hatten sie die Möglichkeit, die Kameras und Mikrofone dieser Geräte zu aktivieren und die unwissenden Nutzer auszuspionieren. Dies ist besonders besorgniserregend, da viele dieser Geräte mittlerweile mit Kameras und Mikrofonen ausgestattet sind, die ursprünglich für die Navigation und Benutzerinteraktion konzipiert wurden.
Ein zentrales Problem ist die mangelhafte Sicherheit der Hardware. Bei den getesteten Geräten von Ecovacs wurden „elementare Fehler“ entdeckt, die es potenziellen Angreifern ermöglichen, aus der App eines Nutzers Zertifikate zu stehlen. Mit diesen Zertifikaten können sie eine Verbindung zu anderen Roboter-Saugern herstellen und bösartigen Code auf diesen Geräten ausführen. Diese Sicherheitslücken könnten dazu führen, dass sensible Informationen, wie WLAN-Passwörter und persönliche Daten, in die falschen Hände geraten.
Der TÜV Rheinland, der für die Zertifizierung dieser Geräte verantwortlich ist, hat erklärt, dass ihre Prüfungen nur grundlegende Sicherheitsanforderungen an die Cybersicherheit und den Datenschutz von IoT-Geräten umfassen. Dies bedeutet, dass die Geräte zwar Sicherheitsmechanismen aufweisen, aber nicht vor allen Arten von Angriffen geschützt sind.
Um sich vor solchen Spionageangriffen zu schützen, empfiehlt Giese, dass Nutzer in Erwägung ziehen, ihre Staubsauger-Roboter zu rooten und durch freie Software zu ersetzen. Auch wenn der Hersteller Ecovacs angekündigt hat, die gefundenen Schwachstellen zu beheben, bleibt unklar, wie viele weitere Probleme bestehen, die möglicherweise nicht behoben werden.
In unseren nächsten Beiträgen werden wir uns intensiver mit dem Thema Cybersicherheit in Smart Home-Geräten auseinandersetzen und Tipps geben, wie Nutzer ihre Privatsphäre schützen können.
US-Behörden bestehen auf Zugang zu EU-Biometriedaten: Verhandlungen beginnen
In einer zunehmend komplexen internationalen Lage fordern die US-Behörden unermüdlich den Zugang zu biometrischen Daten aus der EU, insbesondere zu Fingerabdrücken und anderen biometrischen Merkmalen. Diese Forderungen sind nicht nur ein technisches, sondern auch ein rechtliches und politisches Thema, das die Beziehungen zwischen den USA und der EU auf die Probe stellt. Ab dem Jahr 2027 sollen diese Datenübermittlungen eine grundlegende Voraussetzung für eine visafreie Einreise aus der EU in die USA werden, was den Druck auf die EU-Länder erhöht, sich mit den amerikanischen Anforderungen auseinanderzusetzen.
Laut einem aktuellen Dokument aus Brüssel wird jedoch klar, dass ein neuer übergreifender EU-US-Vertrag notwendig ist, um den gewünschten Zugang zu den Daten zu ermöglichen, da die bestehenden Abkommen diesen nicht abdecken. Im Rahmen der EBSP könnten die US-Behörden die Fingerabdrücke von Reisenden abgleichen, die eine Einreise oder einen Einwanderungsstatus anstreben, mit ihren eigenen Straf-, Terror- und Identitätsregistern. Im Falle eines Treffers würden sie Zugriff auf zahlreiche personenbezogene Daten erhalten. Diese neue Übereinkunft soll als Bedingung für die zukünftige Teilnahme am Visa Waiver Programm (VWP) dienen, das aktuell eine visumfreie Einreise in die USA über den vereinfachten ESTA-Antrag ermöglicht.
Die belgische Ratspräsidentschaft berichtete in einem vertraulichen Papier, dass viele EU-Länder die Kommission auffordern, die Initiative für ein entsprechendes Abkommen zwischen der EU und den USA zu ergreifen. Washington hat mehrmals betont, dass der Abschluss einer EBSP-Übereinkunft als notwendig erachtet wird. Im Jahr 2023 informierte die Kommission die Mitgliedstaaten über ihre Absicht, gemeinsam mit den USA an einem Machbarkeitsnachweis zu arbeiten, um die Grundlage für weitere Verhandlungen zu schaffen. Dieser „Proof of Concept“ soll die möglichen Rahmenbedingungen für den Datenaustausch festlegen und klären, welche Möglichkeiten und Grenzen es in diesem Bereich gibt.
Trotz dieser Bemühungen bleibt die grundlegende Frage der Rechtmäßigkeit des geplanten Datenaustauschs unklar. In den letzten zwei Jahren gab es zwar Versuche, mehr Klarheit über die Situation zu gewinnen, aber es konnten keine konkreten Fortschritte erzielt werden. Selbst der Juristische Dienst des Rates hat auf die Unsicherheiten hingewiesen. Eine Informationsfreiheitsanfrage des Bürgerrechtsnetzwerks Statewatch zur Herausgabe relevanter Dokumente wurde von der Kommission abgelehnt, da die Öffentlichkeit und internationale Beziehungen gefährdet sein könnten.
Belgien hat vorgeschlagen, dass die EU-Kommission eine kommentierte Checkliste mit Bedenken entwickeln sollte, um die Mitgliedstaaten bei Datenschutzfragen und der Gegenseitigkeit des Informationsaustauschs zu unterstützen. Eine solche Liste könnte den EU-Ländern helfen, ihre Position gegenüber den USA zu stärken, insbesondere wenn es zu bilateralen Verhandlungen kommen sollte. Grundsätzlich bleibt jedoch die Frage offen, ob der von den USA vorgeschlagene Datenaustausch im Einklang mit dem EU-Recht steht, und die Angemessenheit dieser Datenübermittlungen muss sorgfältig geprüft werden. Die belgische Ratspräsidentschaft hat das Dossier inzwischen an die ungarische Ratspräsidentschaft übergeben, die bislang noch keine Debatte zu diesem Thema angesetzt hat.
KI-Governance: Wie Unternehmen generative KI verantwortungsvoll einsetzen
In der heutigen digitalen Welt ist die Integration von Künstlicher Intelligenz (KI) in Unternehmensprozesse unvermeidlich. Mit dieser rasanten Entwicklung wächst jedoch auch die Verantwortung, wie diese Technologien implementiert und gesteuert werden. Der Begriff „KI-Governance“ beschreibt die Rahmenbedingungen, unter denen KI-Systeme betrieben werden, und umfasst sowohl technische als auch ethische Aspekte.
Im Webinar „KI-Governance“, das am 10. September stattfindet, werden Experten der KI-Beratung DEEP CONTENT und des Fachdienstes heise KI PRO den Teilnehmenden einen umfassenden Überblick über die aktuelle Situation der KI-Governance bieten. Ziel ist es, Unternehmen konkrete Hilfestellungen zu geben, um eine zukunftsfähige Governance-Struktur zu etablieren. Die Teilnehmenden können direkt von den Erfahrungen der Experten profitieren, die bereits an der Implementierung generativer KI innerhalb der heise Group beteiligt waren.
Ein zentraler Bestandteil des Webinars ist die Vorstellung verschiedener international anerkannter Standards und Rahmenwerke, die Unternehmen dabei helfen können, ihre KI-Governance zu gestalten. Hierzu zählen die Ethik-Leitlinien der EU-Kommission und die Prinzipien der OECD für vertrauenswürdige KI. Besonders hervorzuheben ist der EU AI Act, der verbindliche Anforderungen an Unternehmen stellt, um sicherzustellen, dass KI-Systeme transparent, verantwortungsbewusst und fair betrieben werden.
Die Referenten werden die Kernelemente dieser Ansätze erläutern, darunter Aspekte wie Transparenz, Verantwortlichkeit, Fairness und Robustheit. Diese Prinzipien sind entscheidend für die Entwicklung einer vertrauenswürdigen KI-Governance und dienen als Leitfaden für Unternehmen, die KI verantwortungsbewusst einsetzen möchten.
Praktische Umsetzung ist ebenfalls ein Schwerpunkt des Webinars. Die Experten teilen ihre Erfahrungen und zeigen, wie die erwähnten Prinzipien in der Praxis umgesetzt werden können. Dazu gehören klare Zuständigkeiten innerhalb des Unternehmens, Schulungen für Mitarbeitende zur Sensibilisierung für den Umgang mit KI, eine sorgfältige Dokumentation aller eingesetzten KI-Systeme und regelmäßige Überprüfungen der Technologien. Diese Maßnahmen sind notwendig, um die Integrität der KI-Anwendungen zu gewährleisten und potenzielle Risiken zu minimieren.
Das Webinar richtet sich an alle, die die Möglichkeiten der KI im Unternehmenskontext produktiv nutzen möchten, jenseits von Experimenten und ohne tiefgehende Vorkenntnisse. Die Teilnehmenden erhalten praxisnahe Orientierung und einen ehrlichen Blick auf die Chancen und Grenzen von generativer KI.
Nutzen Sie die Gelegenheit, sich Ihr Ticket für das Webinar bei der heise academy zu sichern. Erfahren Sie, wie Sie die Rahmenbedingungen rund um KI in Ihrem Unternehmen sinnvoll gestalten können und wie Sie sicherstellen, dass Ihre KI-Strategien sowohl innovativ als auch verantwortungsbewusst sind.
Flughafen-Sicherheitskontrollen in den USA: Sicherheitslücke durch SQL-Injection aufgedeckt
In einem alarmierenden Bericht haben die Sicherheitsexperten Ian Caroll und Sam Curry eine erhebliche Schwachstelle im FlyCASS-Kontrollsystem der USA aufgedeckt. Dieses System, das in Zusammenarbeit mit der US-amerikanischen Transportsicherheitsbehörde (TSA) betrieben wird, ist dafür verantwortlich, den Zugang zu sicherheitsrelevanten Bereichen an Flughäfen zu kontrollieren. Die Experten konnten durch eine SQL-Injection in das Online-Portal des FlyCASS-Systems eindringen und sich unrechtmäßigen Zugang zu Sicherheitsbereichen verschaffen, die normalerweise nur für Crewmitglieder zugänglich sind. Dies umfasst sogar den Zugang zu sensiblen Bereichen wie dem Cockpit von Flugzeugen.
Das Known Crewmember (KCM)-System, das zentral für die Sicherheitskontrollen in den USA ist, ermöglicht es, dass Mitarbeiter durch das Scannen eines KCM-Barcodes oder die Eingabe einer Mitarbeiternummer Zugang erhalten. Die Daten werden dann mit den Informationen der Fluggesellschaft abgeglichen. Wenn die Daten übereinstimmen, wird der Zugang ohne weitere Sicherheitsüberprüfungen gewährt. Ein ähnliches System, das Cockpit Access Security System (CASS), steuert den Zugang zu Cockpits für Piloten, die einen Klappsitz im Cockpit nutzen möchten.
Carolls erste Berichterstattung über diese Sicherheitslücke fand in einem Blogbeitrag statt. Die Experten entdeckten, dass sie über die FlyCASS-Webseite, die kleineren Fluggesellschaften eine Webschnittstelle zum zentralen CASS-System bietet, Zugriff auf das KCM-System erlangten. Die Verwendung von SQL-Injection-Techniken erlaubte es ihnen, die Daten der Flugbesatzungen mehrerer Fluggesellschaften in den USA einzusehen und sogar zu manipulieren.
Darüber hinaus konnten die Forscher sich als Administrator der US-amerikanischen Frachtfluggesellschaft Air Transport International (ATI) anmelden. Mit diesem Administrationszugang war es ihnen möglich, Listen von Piloten und Flugpersonal einzusehen und zu bearbeiten. Auch das Hinzufügen neuer virtueller Mitarbeiter sowie die Zuweisung von Zugangs- und Zugriffsrechten ging ohne Probleme vonstatten. Caroll erklärte: „Jeder, der Grundkenntnisse über SQL-Injections hat, konnte sich auf dieser Website anmelden und jeden beliebigen Benutzer zu KCM und CASS hinzufügen, sodass er die Sicherheitskontrollen umgehen und sich Zugang zum Cockpit eines Verkehrsflugzeugs verschaffen konnte.“
Die Sicherheitslücke wurde inzwischen geschlossen, nachdem die Forscher direkt mit der Heimatschutzbehörde in den USA Kontakt aufgenommen hatten. Caroll und Curry hielten es für zu riskant, die Betreiber des FlyCASS-Portals direkt zu kontaktieren, da der Dienst offenbar von einer Einzelperson betrieben wird. Diese Entdeckung wirft ernsthafte Fragen zur Sicherheit und Integrität der Flughafen-Sicherheitskontrollen in den USA auf und zeigt, wie wichtig es ist, Schwachstellen in kritischen Systemen schnell zu identifizieren und zu beheben.
Windows 10 Beta-Update: Microsofts neues Feature nervt Nutzer jetzt schon
In der Welt der Softwareentwicklung ist es nicht ungewöhnlich, dass Unternehmen bestehende Produkte überarbeiten, um neue Funktionen oder Designs zu integrieren. Microsoft hat kürzlich ein Beta-Update für Windows 10 veröffentlicht, das einige Nutzer in der Community verärgert. Trotz des festgelegten Ablaufdatums für Windows 10, das im Oktober 2025 liegt, hat Microsoft beschlossen, das Betriebssystem weiterhin mit neuen Funktionen zu versorgen.
Eine der bemerkenswertesten Änderungen, die Nutzer im Rahmen dieses Beta-Updates entdeckt haben, betrifft das Startmenü. Die Modifikationen erinnern stark an die Benutzeroberfläche von Windows 11, was Fragen zur Zukunft von Windows 10 aufwirft. Nutzer, die das Beta-Build installiert haben, berichten von einer Umgestaltung des Startmenüs, bei der das Profil-Icon von der oberen in die untere Bereich des Menüs verschoben wurde. Diese Änderung platziert das Profil-Icon nun zwischen den Schaltflächen für die Einstellungen und das Herunterfahren des Systems.
Zusätzlich zur Umgestaltung des Icons wird mit dem neuen Design der sogenannte Account Manager angezeigt, wenn Nutzer auf ihr Profilbild klicken. Dies ermöglicht es, schnell auf Informationen zu verknüpften Konten, Abonnements von Microsoft 365 und verfügbarem Cloud-Speicher zuzugreifen. Hier könnte jedoch das Problem liegen: Nutzer ohne ein aktives Microsoft 365-Abonnement sehen an dieser Stelle eine Art von Werbung, die auf die Vorteile des Office-Abos hinweist und sie zu einer Support-Seite weiterleitet.
Kritiker befürchten, dass Microsoft damit die Werbung in Windows 10 verstärkt, was besonders unangebracht erscheint, da das Betriebssystem bald nicht mehr unterstützt wird. Dies geschieht in einem Umfeld, in dem Windows 10-Nutzer bereits irritiert über frühere Versuche von Microsoft sind, Werbung für Windows 11 anzuzeigen, selbst wenn ihre Hardware nicht für ein Upgrade geeignet ist.
Insgesamt zeigt sich, dass Microsofts Versuch, Windows 10 mit neuen Funktionen zu beleben, nicht bei allen Nutzern gut ankommt. Viele empfinden die Änderungen als störend und sind verunsichert, ob Microsoft weiterhin in ein Betriebssystem investiert, das bald auslaufen wird. Die Diskussion um diese Neuerung ist ein weiteres Beispiel für die Herausforderungen, vor denen Unternehmen stehen, wenn sie versuchen, ältere Software auf dem aktuellen Stand zu halten, während sie gleichzeitig die Benutzererfahrung berücksichtigen.
Mit einem einzigen Klick: Gmail-Funktion kreiert aus Notizen den perfekten Text
Im digitalen Zeitalter, in dem Zeit und Effizienz entscheidend sind, hat Google seine Gmail-Plattform um eine bemerkenswerte Funktion erweitert, die das Verfassen von E-Mails revolutioniert. Unter dem Titel „Help me write“ ermöglicht diese neue Funktion den Nutzern, mit nur einem Klick aus groben Notizen einen formalisierten Text zu erstellen. Dies ist besonders hilfreich für vielbeschäftigte Professionals, die oft zwischen verschiedenen Aufgaben jonglieren müssen.
Die Funktion „Help me write“ wurde Anfang des Jahres erheblich verbessert und ist nun nicht nur für Webnutzer, sondern auch für die Gmail-App auf Android und iOS verfügbar. Die Idee dahinter ist einfach: Nutzer können ihre Gedanken in Form von Notizen eingeben, und das KI-gestützte Tool, bekannt als Gemini, verwandelt diese in einen strukturierten und professionellen E-Mail-Entwurf. Dies geschieht durch eine einfache Eingabe von 12 oder mehr Wörtern, nach denen ein Link zur Verfeinerung des Entwurfs erscheint. Dieser Link führt zu einer Vielzahl von Werkzeugen, die den Entwurf verbessern, formalieren, ausarbeiten oder kürzen können.
Zusätzlich zur „Schreibhilfe“ gibt es auch die neue „Polish“-Funktion, die es Nutzern ermöglicht, bereits bestehende Entwürfe zu korrigieren und zu optimieren. Diese Funktion ist speziell für Nutzer
