Guten Morgen beim KDB-Tech-Update!
Guten Morgen, liebe Tech-Enthusiasten! Heute haben wir wieder spannende Themen für euch: Von Sicherheitslücken in Hotel-Schlüsselkarten bis hin zu neuen Features in Microsofts Copilot und aktuellen Problemen im elektronischen Rechtsverkehr. Also, schnappt euch euren Kaffee und lasst uns loslegen!
Gravierende Sicherheitslücke in Schlüsselkarten: So können Hacker sich Zugang zu Hotelzimmern verschaffen
In der heutigen digitalen Welt, in der Sicherheit und Datenschutz höchste Priorität haben, ist die Entdeckung gravierender Sicherheitslücken besonders alarmierend. Ein aktueller Bericht beleuchtet eine schwerwiegende Schwachstelle in Schlüsselkarten, die in zahlreichen Hotels in Europa, den USA und Indien verwendet werden. Der Sicherheitsforscher Philippe Teuwen von Quarkslab hat herausgefunden, dass Hacker:innen in der Lage sind, diese Schlüsselkarte zu klonen und sich somit unbefugt Zugang zu Hotelzimmern zu verschaffen.
Die Mifare Classic Karten, die von NXP Semiconductors produziert werden, zählen zu den am häufigsten eingesetzten kontaktlosen Smartcards weltweit. Sie finden nicht nur in Hotels Verwendung, sondern auch in Zahlungssystemen des öffentlichen Verkehrs. Im Jahr 2020 brachte das chinesische Unternehmen Shanghai Fudan Microelectronics eine neue Karte auf den Markt, die FM11RF08S, die mit den Mifare-Systemen kompatibel ist. Trotz ihrer Unlizenzierung gewann diese Karte schnell an Marktanteil, oft ohne dass Unternehmen sich der Tatsache bewusst waren, dass sie nicht auf offiziellen Produkten basierte.
Teuwen hat nun aufgedeckt, dass die FM11RF08S über eine Hardware-Backdoor verfügt. Diese Schwachstelle ermöglicht es Hackern, die Schlüsselkarte innerhalb weniger Minuten zu knacken und zu klonen. Besorgniserregend ist auch, dass die identische Backdoor auch beim Vorgängermodell, der FM11RF08, festgestellt wurde. Um diese Sicherheitslücke auszunutzen, muss der Angreifer physisch im Besitz der Karte sein und über ein geeignetes Lesegerät verfügen.
Die Auswirkungen dieser Entdeckung sind für Hotels und deren Gäste erheblicher Natur. Viele Unternehmen nutzen die betroffenen Karten, ohne sich der Sicherheitsrisiken bewusst zu sein. Daher sollten Hotelbetreiber dringend prüfen, ob sie von dieser Schwachstelle betroffen sind. Für Hotelbesucher ist es ratsam, ihre Schlüsselkarte stets im Auge zu behalten und sie nicht aus der Hand zu geben, um unbefugten Zugriff zu verhindern.
Teuwen warnt außerdem, dass das Mifare Classic Protokoll als unsicher gilt, ungeachtet ob offizielle oder Fudan-Karten verwendet werden. Er empfiehlt daher, alternative Systeme wie Mifare Desfire in Betracht zu ziehen, die ein höheres Maß an Sicherheit bieten.
Zusammenfassend lässt sich sagen, dass die Entdeckung dieser Sicherheitslücke nicht nur für die betroffenen Hotels, sondern auch für deren Gäste weitreichende Konsequenzen haben könnte. Sensibilisierung für solche Risiken und die Implementierung sicherer Technologien sind entscheidend, um die Sicherheit in der Hotellerie zu gewährleisten.
Copilots Recall-Funktion kehrt zurück: Was Microsoft geändert hat
Microsoft hat kürzlich bekannt gegeben, dass die umstrittene Recall-Funktion für den Copilot in Windows zurückkehren wird. Ursprünglich sollte dieses Feature im Juni 2024 eingeführt werden, jedoch wurde es aufgrund erheblicher Bedenken hinsichtlich Datenschutz und Nutzerfreundlichkeit überarbeitet. Die neue Version wird voraussichtlich ab Oktober 2024 für Windows Insider zur Verfügung stehen, einem Programm, das es Nutzern ermöglicht, neue Funktionen vorab zu testen und Feedback zu geben.
Die Recall-Funktion ermöglicht es dem Copilot, Screenshots des Bildschirms in regelmäßigen Abständen aufzunehmen und diese mit Hilfe von Künstlicher Intelligenz auszuwerten und zu kategorisieren. Dies bedeutet, dass Nutzer später nach Informationen suchen können, die auf ihrem Bildschirm angezeigt wurden, ohne sie manuell speichern zu müssen. Ein Beispiel hierfür wäre, wenn ein Nutzer vergisst, in welchem Online-Shop er ein gutes Angebot für einen PC gesehen hat – er kann einfach fragen und Copilot wird versuchen, die entsprechende Seite zurückzufinden.
Allerdings gab es bereits bei der ersten Ankündigung des Features massive Kritik. Datenschützer äußerten Bedenken, dass sensible Daten unverschlüsselt als Screenshots gespeichert werden könnten. Insbesondere die Möglichkeit, dass Copilot Login-Daten oder andere private Informationen aufnimmt, führte zu ernsthaften Sicherheitsbedenken. Auch die Tatsache, dass die Funktion standardmäßig aktiviert war, sorgte für Unmut, da dies zu Speicherproblemen führen könnte.
Um diesen Bedenken Rechnung zu tragen, hat Microsoft in den letzten Monaten umfassende Änderungen vorgenommen. Die Recall-Funktion wird nicht mehr standardmäßig aktiviert, was den Nutzern mehr Kontrolle über ihre Daten gibt. Zudem werden die Screenshots jetzt verschlüsselt gespeichert, um die Sicherheit zu erhöhen. Microsoft hat betont, dass bei der neuen Testversion Sicherheit und Privatsphäre höchste Priorität haben. Ein ausführlicher Blog-Beitrag mit weiteren Informationen zu den Änderungen und den implementierten Sicherheitsmaßnahmen ist ebenfalls geplant, sobald die Funktion für die Windows Insider freigeschaltet wird.
Zusammenfassend lässt sich sagen, dass Microsoft mit der Rückkehr der Recall-Funktion einen weiteren Schritt in Richtung der Integration von KI in den Alltag der Nutzer geht, während gleichzeitig auf die wichtigen Themen Datenschutz und Nutzerfreundlichkeit geachtet wird.
Kritische Sicherheitslücke im LiteSpeed Cache: 5 Millionen WordPress-Seiten in Gefahr
IT-Sicherheitsforscher haben alarmierende Neuigkeiten für Betreiber von WordPress-Webseiten: Im beliebten Plug-in LiteSpeed Cache wurde eine kritische Sicherheitslücke entdeckt, die Angreifern die vollständige Kontrolle über betroffene Instanzen ermöglicht. Laut Wordfence, einem führenden Anbieter von WordPress-Sicherheitslösungen, ist dieses Plug-in auf über 5 Millionen Webseiten aktiv, was die Dringlichkeit der Situation unterstreicht.
Das Leck wurde durch die Veröffentlichung einer neuen Version des LiteSpeed Cache-Plug-ins am Montag bekannt. Die Sicherheitsmitteilung von Wordfence beschreibt die Schwachstelle mit der Identifikationsnummer CVE-2024-28000 und einem CVSS-Wert von 9.8, was als “kritisch” eingestuft wird. Die Forscher haben herausgefunden, dass nicht authentifizierte Angreifer in der Lage sind, ihre User-ID zu fälschen. Dies gibt ihnen die Möglichkeit, sich als administrativer Nutzer zu registrieren und die Kontrolle über die gesamte WordPress-Seite zu übernehmen.
Die Experten warnen, dass ein baldiger Missbrauch der Sicherheitslücke zu erwarten ist und empfehlen daher allen Administratorinnen und Administratoren, ihre Webseiten umgehend auf die neueste gepatchte Version von LiteSpeed Cache, die derzeit auf 6.4.1 aktualisiert ist, zu bringen. Die anfälligen Versionen reichen bis einschließlich 6.3.0.1, während die Sicherheitslücke in Version 6.4 und darüber hinaus behoben wurde. Für eine detaillierte Analyse der Schwachstelle und ihrer Auswirkungen verweist Wordfence auf die veröffentlichten Informationen in ihrer Sicherheitsmitteilung.
Zusätzlich zu dieser kritischen Lücke zeigt sich, dass Sicherheitsprobleme in WordPress-Plug-ins weit verbreitet sind. Erst kürzlich wurde eine ähnliche kritische Sicherheitsanfälligkeit im Plug-in GiveWP bekannt, die rund 100.000 WordPress-Instanzen betrifft. Auch hier steht bereits eine aktualisierte Softwareversion zur Verfügung.
Für Betreiber von WordPress-Seiten ist es unerlässlich, regelmäßig Updates für ihre Plug-ins durchzuführen und Sicherheitslücken ernst zu nehmen. Die Bedrohung durch Cyberangriffe wächst stetig, und die Verantwortung für die Sicherheit der eigenen Webseite liegt in den Händen der Administratoren. Und hier kommt KDB ins Spiel: Unsere Experten helfen Dir dabei, Deine WordPress-Seite sicher und up-to-date zu halten. Einfach melden und wir kümmern uns drum!
Massive Störungen im elektronischen Rechtsverkehr – Ein Blick auf die aktuellen Probleme
Der elektronische Rechtsverkehr in Deutschland steht momentan vor erheblichen Herausforderungen. Nutzer des elektronischen Bürger- und Organisationenpostfachs (eBO) über das Portal „Mein Justizpostfach“ (MJP), bereitgestellt vom Bundesministerium der Justiz (BMJ), haben aktuell keinen Zugang zu ihrer Korrespondenz. Beim Aufruf der Startseite des MJP erhalten die Nutzer die frustrierende Meldung, dass Wartungsarbeiten im Gange sind, obwohl solche Arbeiten nicht im Voraus angekündigt wurden. Zudem bleibt unklar, wann diese Wartungsarbeiten abgeschlossen sein werden, was die Unsicherheit für die betroffenen Nutzer zusätzlich verstärkt.
Laut einer Mitteilung auf der Bund-ID-Seite des Bundesinnenministeriums (BMI) gibt es seit dem 19. August 2024 nachmittags technische Störungen bei der Nutzung des MJP. Das BMI erklärt, dass die Problematik derzeit analysiert wird und das MJP nicht verwendet werden kann. Eine vorläufige Prognose besagt, dass der Zugang voraussichtlich am späten Nachmittag des 22. August wiederhergestellt sein könnte. Dieser Ausfall ist besonders problematisch, da die Einführung der MJP-Postfächer Ende 2023 für eine effizientere Kommunikation zwischen Bürgern, Behörden, Gerichten und Rechtsanwälten gedacht war. Es ermöglicht den Nutzern, wichtige Dokumente und Entscheidungen digital zu empfangen, was den Rechtsverkehr erheblich beschleunigen sollte.
Ein zentrales Problem besteht darin, dass Nutzer, die ihre zugestellten und versendeten Dokumente nicht lokal gespeichert haben, momentan keinen Zugriff darauf haben. Dieser Mangel an Zugriff erschwert nicht nur die Nachverfolgung von Kommunikation, sondern kann auch zu ernsthaften rechtlichen Nachteilen führen. Bei Fristversäumnissen aufgrund des technischen Ausfalls des MJP sind die Betroffenen verpflichtet, dies gegenüber der jeweiligen Behörde oder vor Gericht nachzuweisen. Allerdings gibt es keine offiziellen Bestätigungen zu den Ursachen der Störungen, was die Unsicherheit für die Nutzer nur weiter erhöht.
Darüber hinaus haben Nutzer, die sich an den Support der Bund-ID beim Informationstechnischen Zentrum (ITZ-Bund) wenden, unzureichende Informationen erhalten. Die Standardantwort lautet, dass das Problem analysiert wird und eine Lösung in Aussicht gestellt wird. Diese Kommunikation erweckt den Eindruck, dass es sich um individuelle Probleme handelt, nicht um ein übergreifendes technisches Defizit, was zu Verwirrung und Frustration führt.
Die Zuständigkeiten für den Betrieb des MJP und die damit verbundenen IT-Dienste sind verteilt – das BMJ ist formell verantwortlich, während das BMI für die Bund-ID zuständig ist. Diese fragmentierte Verantwortlichkeit und die uneinheitliche Kommunikation zwischen den beteiligten Stellen sind symptomatisch für die Herausforderungen, mit denen Digitalisierungsprojekte in der öffentlichen Verwaltung konfrontiert sind. Heise online hat eine Anfrage an die beteiligten Stellen gerichtet, um Klarheit über die Hintergründe der Störungen sowie mögliche Abhilfen für die Nutzer zu erhalten. Diese Anfrage ist jedoch noch in Bearbeitung und erfordert eine Abstimmung unter den beteiligten Institutionen. Sobald weitere Informationen vorliegen, wird darüber berichtet.
Insgesamt zeigt der aktuelle Ausfall des elektronischen Rechtsverkehrs die dringende Notwendigkeit für eine verbesserte Kommunikation und technische Stabilität in der digitalen Infrastruktur der öffentlichen Verwaltung. Nutzer benötigen nicht nur Zugang zu ihren Dokumenten, sondern auch transparente Informationen über den Status und die Ursachen von technischen Störungen.
Google Chrome: Update stopft angegriffene Sicherheitslücke und 37 weitere
In der neuesten Aktualisierung des beliebten Webbrowsers Google Chrome wurden insgesamt 38 Sicherheitslücken geschlossen, darunter eine, die bereits aktiv ausgenutzt wird. Diese kritische Lücke stellt eine ernsthafte Bedrohung für die Nutzer dar, weshalb es dringend empfohlen wird, die Software auf die neueste Version zu aktualisieren, um sich vor möglichen Angriffen zu schützen.
Die aktuelle Version von Chrome, die die Sicherheitslücken adressiert, umfasst die Versionen 128.0.6613.88 für Android, 128.0.6613.92 für iOS, und 128.0.6613.84 für Linux sowie 128.0.6613.84/.85 für macOS und Windows. Die Programmierer von Google haben in ihrer Versionsankündigung sieben hochriskante Schwachstellen, neun mit mittlerem Schweregrad und vier als niedrig riskant eingestufte Schwachstellen aufgelistet. Bei 18 der identifizierten Lücken gibt es bislang keine weiteren Informationen, was darauf hindeutet, dass sie möglicherweise bei internen Sicherheitsanalysen entdeckt wurden.
Eine der Schwachstellen, die bereits aktiv angegriffen wird, ist eine sogenannte “Type confusion”-Lücke in der Javascript-Engine V8 (CVE-2024-7971). Diese Art von Schwachstelle tritt auf, wenn die tatsächlich auftretenden Datentypen nicht mit den erwarteten übereinstimmen, was zu einer unerwarteten Ausführung von Code führen kann. Microsofts Sicherheitsforschungsteams haben diese Lücke gemeldet, und es ist von großer Bedeutung, diese schnellstmöglich zu schließen, um das Risiko von Datenmissbrauch zu minimieren.
Zusätzlich zu dieser Lücke ermöglichen auch die anderen hochriskanten Schwachstellen unerwartete Zugriffe auf nicht dafür vorgesehene Speicherbereiche. Einige dieser Schwachstellen lassen sich durch das Aufrufen von speziell präparierten Webseiten provozieren. Dazu gehören Probleme wie “Use after free”, bei dem auf bereits freigegebene Ressourcen zugegriffen wird, sowie Heap-basierte Pufferüberläufe, die ebenfalls erhebliche Sicherheitsrisiken darstellen.
Benutzer können überprüfen, ob sie die neueste Version von Chrome verwenden, indem sie auf das Symbol mit den drei gestapelten Punkten rechts von der Adressleiste klicken und dann “Hilfe” und “Über Google Chrome” auswählen. Dies öffnet den Versionsdialog, der den aktuell aktiven Softwarestand anzeigt. Es ist wichtig, dass Nutzer diese Updates nicht nur für Google Chrome, sondern auch für abgeleitete Browser wie Microsoft Edge im Auge behalten, da auch diese bald Updates zur Behebung ähnlicher Sicherheitsanfälligkeiten erhalten dürften.
Bereits vor zwei Wochen hatte Google Schwachstellen in Chrome behoben, darunter eine, die als kritisches Sicherheitsrisiko eingestuft wurde. Gleichzeitig hat Mozilla ebenfalls Sicherheitslücken in seinen Produkten Firefox, Firefox ESR und Thunderbird geschlossen. Die Sicherheit der Webanwendungen und der persönlichen Daten der Nutzer sollte stets eine hohe Priorität haben, weshalb regelmäßige Updates unerlässlich sind.
Datenschutzverstöße in Hamburg: Ein alarmierender Anstieg für 2024
Im Jahr 2024 zeichnet sich ein besorgniserregender Trend in Hamburg ab: Die Anzahl der Datenschutzverstöße hat sich bereits bis zum Juli des laufenden Jahres fast verdoppelt im Vergleich zu 2023. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Thomas Fuchs, hat in 14 Fällen Sanktionen ausgesprochen, was deutlich über den Zahlen der Vorjahre liegt. 2023 wurden im gesamten Jahr nur acht Verfahren abgeschlossen, während es 2022 insgesamt 15 waren. Dies wirft Fragen zur Einhaltung der Datenschutzgrundverordnung (DSGVO) auf und zeigt, dass sowohl Unternehmen als auch Einzelpersonen vermehrt gegen die Datenschutzrichtlinien verstoßen.
Die Bußgelder, die bis jetzt verhängt wurden, belaufen sich auf insgesamt 130.000 Euro. Unter den Verstößen befinden sich gravierende Fälle, wie beispielsweise die illegale Speicherung von Personalausweisdaten durch ein Hotel und die unrechtmäßigen Datenabfragen von zwei Polizisten für private Zwecke. Diese Vorfälle verdeutlichen, dass Datenschutz nicht nur ein Thema für Unternehmen ist, sondern auch für den Einzelnen von großer Bedeutung ist.
Zu den häufigsten Verstößen gehören heimliche Aufnahmen im privaten Raum, die versäumte Löschung von Daten, verspätete Auskünfte und Sicherheitslücken in Kundenservice-Systemen. Ein konkretes Beispiel ist ein Unternehmen aus der Werbewirtschaft, das mit einem Bußgeld von 11.500 Euro belegt wurde, weil es seinen Löschpflichten nicht nachgekommen ist und zudem technische Sicherheitsmängel aufwies. Ein Hotel musste sogar 16.000 Euro zahlen, weil es Personalausweisdaten ohne rechtliche Grundlage sammelte.
Die Sicherheitslücken in Support-Ticket-Systemen führten zu einem massiven Bußgeld von insgesamt 45.000 Euro für zwei betroffene Unternehmen. Ein Logistikunternehmen wurde mit 32.000 Euro bestraft, da es Zustellerlisten fehlerhaft entsorgt hatte, während ein Online-Händler wegen einer verspäteten Meldung einer Datenpanne 6.000 Euro zahlen musste. Diese Vorfälle unterstreichen die Ernsthaftigkeit der Datenschutzbestimmungen und die Konsequenzen, die bei deren Missachtung drohen.
Ein besonders erschreckender Fall betraf einen Mann, der seine Nachbarin heimlich im Badezimmer filmte. Solche gravierenden Eingriffe in die Privatsphäre sind nicht nur gesetzlich verboten, sondern schädigen auch das Vertrauen in die Gesellschaft. Darüber hinaus wurden fünf Personen belangt, die ohne Einwilligung anderer Menschen Fotos gemacht oder gespeichert hatten.
Der Anstieg der Datenschutzverstöße in Hamburg zeigt, dass sowohl Unternehmen als auch Privatpersonen sich noch intensiver mit den Themen Datenschutz und Datensicherheit auseinandersetzen müssen. Es ist unerlässlich, dass alle Beteiligten die Vorschriften der DSGVO ernst nehmen und die notwendigen Maßnahmen ergreifen, um die Privatsphäre und die Daten der Menschen zu schützen. Auch hier kann KDB mit maßgeschneiderten Lösungen zur IT-Sicherheit und Datenschutzberatung helfen.
Die Rolle von KI-Tools in der Softwareentwicklung: Nutzen und Herausforderungen für Entwickler
In der aktuellen Landschaft der Softwareentwicklung zeigen sich deutliche Trends im Umgang mit Künstlicher Intelligenz (KI). Eine umfassende Studie von GitHub mit dem Titel “AI in Software Development 2024” untersucht die Nutzung von KI-Tools unter professionellen Entwicklern weltweit. Die Ergebnisse verdeutlichen, dass eine überwältigende Mehrheit der Entwickler KI-Tools für technische Unterstützung im Softwareentwicklungszyklus einsetzt, jedoch gibt es signifikante Unterschiede in der Unterstützung durch die jeweiligen Unternehmen, insbesondere in Deutschland.
Über 97 Prozent der Befragten nutzen KI, aber nur 59 Prozent der deutschen Unternehmen fördern aktiv deren Einsatz. Im Vergleich dazu erlauben 87 Prozent der Firmen in den USA den Einsatz von KI, gefolgt von Indien (79 Prozent) und Brasilien (76 Prozent). Besorgniserregend ist die Tatsache, dass 14 Prozent der deutschen Unternehmen KI-Tools
