Comretix Blog

In der modernen IT-Landschaft sind Containerisierung und deren Automatisierung mittels Kubernetes unverzichtbar. Dabei ist die Einrichtung eines Kubernetes-Clusters nur der erste Schritt. Um die komplexe Umgebung effizient und sicher zu verwalten, sind spezialisierte Kenntnisse und Fähigkeiten erforderlich.

Anzeige

Im iX-Workshop Fortgeschrittene Kubernetes-Administration werden Sie in die Feinheiten des fortgeschrittenen Applikationsmanagements eingeführt und lernen, wie Sie Service-Mesh-Technologien implementieren und verwalten können. Zudem lernen Sie Methoden und Techniken für den nachhaltigen und sicheren Betrieb von Kubernetes-Clustern. Ein besonderer Schwerpunkt liegt auf den neuesten Sicherheitstechnologien und Best Practices, die dazu beitragen, Kubernetes-Umgebungen gegen potenzielle Bedrohungen abzusichern, sowie auf dem sicheren Umgang mit sensiblen Informationen, den sogenannten Secrets.

Der Workshop ist interaktiv gestaltet. In zahlreichen Übungen können Sie die vorgestellten Konzepte und Techniken anwenden und vertiefen. Dabei geht es unter anderem um die Bereitstellung von Applikationen im Container, Zugriffsberechtigungen auf die Kubernetes API, Sicherheitseinstellungen für den Kubernetes-Cluster und den Einsatz von Service Mesh in Projekten.

Von diesem Workshop profitieren vor allem IT-Profis, die tiefer in die Administration und Konfiguration von Kubernetes einsteigen und ihre Kubernetes-Umgebung stabil und sicher betreiben möchten. Er baut auf den Grundlagen auf und ist die ideale Ergänzung für alle, die Kubernetes bereits im Einsatz haben und an ihre Grenzen stoßen.

Als zentraler Bestandteil vieler Unternehmensnetzwerke ist das Active Directory (AD) ein beliebtes Ziel für Ransomware und andere Angriffe aus dem Netz. Im iX-Workshop Angriffsziel Active Directory: Effiziente Absicherung lernen Sie die wichtigsten Angriffstechniken wie Pass the Hash und Delegierungsschwachstellen kennen. Sie erfahren, wie Sie mit Werkzeugen wie PowerView und Bloodhound sowie Audit-Tools wie PingCastle Fehlkonfigurationen und Schwachstellen in Ihrem lokalen AD identifizieren und anschließend beheben, um das Herzstück Ihrer IT effektiv gegen Angriffe zu schützen.

Anzeige

Referent des zweitägigen Workshops ist Frank Ully. Als erfahrener Pentester konzentriert er sich auf relevante Entwicklungen im Bereich der offensiven IT-Sicherheit. Frank Ully gilt als ausgewiesener Experte auf seinem Gebiet und verfügt über zahlreiche Zertifikate wie Offensive Security Certified Expert (OSCE), Offensive Security Certified Professional (OSCP), Certified Red Team Operator (CRTO), Certified Red Team Professional (CRTP) und GIAC Reverse Engineering Malware (GREM).

Geht es Ihnen um die Absicherung von Entra ID, Microsofts Active Directory in der Cloud, empfehlen wir Ihnen den Workshop Angriffe auf und Absicherung von Entra ID.

Hacker vom Chaos Computer Club (CCC) drängen auf die Einführung einer Art regelmäßiger Hauptuntersuchung für vernetzte Geräte. "Wir brauchen eine maschinenlesbare TÜV-Plakette", forderte Ron Hendrik Fulda am Montag auf dem 38. Chaos Communications Congress (38C3) in Hamburg mit Blick auf "böse" Hard und Software wie Plaste-Router oder "intelligente", mit dem Internet verknüpfte Uhren. Eine solche Kennzeichnung könnte natürlich auch "on the Blockchain" erfolgen, unkte der CCC-Veteran bei der traditionellen, nicht immer ganz ernst gemeinten Vor- und Rückschau auf die größten Albträume im Security-Bereich kurz vor Ende der Konferenz.

Anzeige

"Wir wollen ein MHD auf Packungen sehen", machte sich Fulda für ein Mindesthaltbarkeitsdatum im Internet der Dinge stark. Ein solches sollte "Auswahlbestandteil des informierten Bürgers" werden. Sonst würde nur noch mehr Elektroschrott produziert. Viele vernetzte Geräte wie Laptops oder Smartphones seien "auch gut für zehn Jahre", nicht nur für vier oder fünf. In diesem Rahmen können Verbraucher derzeit mit Sicherheitsupdates rechnen.

Auswerten könnten die Plaketten "dieselben Leute, die IP-Adressen bewachen, über die man Sinkholes aufruft", meinte Fulda. Aktuell ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem IT-Sicherheitsgesetz 2.0 befugt, Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden wie Honeypots und Sinkholes einzusetzen. Produkte "mit digitalen Elementen" wie Software dürfen in der EU bald nur noch auf den Markt kommen, wenn sie Mindestanforderungen an Cybersicherheit einhalten. Dies sieht der Cyber Resilience Act (CRA) vor, der Mitte Dezember in Kraft getreten ist.

Für Rasenmäher-Roboter und autonome Mähdrescher, die nicht nur Igel und Rehkitze töten könnten, verlangte der altgediente "Security Nightmares"-Experte eine Option zur Zwangsabschaltung. Gegen solche Entwicklungen müsse man noch stärker vorgehen als gegen "Oldtimer-Geräte". Autonomes Fahren und die Folgen hatten die Hacker schon vor zehn Jahren auf ihrer Liste der drohenden Sicherheitsdebakel. Glücklicherweise zeichne sich in diesem Bereich ein "gewisses Zyklusende" ab, konstatierte CCC-Sprecherin Constanze Kurz. Zumindest würden Pilotprojekte gehäuft nicht mehr fortgeführt.

Das neue Jahr beginnt ungewöhnlich für den "Passwort"-Podcast: Mein Co-Host heißt plötzlich Florian – und dann auf einmal Linus. Das liegt daran, dass der Podcast einen Ausflug gemacht hat und vom 38C3, der letztjährigen Ausgabe des Chaos Communication Congress, sendete.

Anzeige

Als ich das letzte Mal auf dem Congress war, waren Smartphones noch nicht erfunden, der Austragungsort Berlin und alles ein bis zwei Nummern kleiner. Ein kurzer Kulturschock, den ich mir mithilfe meines Co-Hosts Florian Adamsky von der Seele geredet habe. Er erklärt mir zunächst die Rowhammer-Lücke in DRAM-Chips, die auch im Jahr 2024 noch immer aktuell ist. Sein Team hat ein Linux-ISO erarbeitet, das ihnen in einer großangelegten Studie beim Sammeln von Daten zur Verbreitung der Lücke hilft.

Passwort-Podcast auf dem 38C3: Christopher im Gespräch mit Linus Neumann und Florian Adamsky.

(Bild: Screenshot von media.ccc.de)

In wenigen Stunden endet mit 2024 erneut ein ereignisreiches Jahr. Noch immer hält der russische Angriffskrieg gegen die Ukraine Europa und die Welt in Atem. Zudem haben die globalen Temperaturen neue Höchststände erreicht, mehrere Naturkatastrophen haben die Tragweite der Entwicklung deutlich gemacht. In der IT-Welt dominierten vor allem die Entwicklungen der KI-Technologie, Umbrüche bei der Nutzung der sozialen Netzwerke und Debatten über deren Risiken das Geschehen.

Anzeige

Bislang sieht es nicht danach aus, dass es 2025 merklich ruhiger wird. In den USA wird mit Donald Trump ein neuer alter Präsident das Ruder übernehmen und der IT-Wirtschaft dürften große Veränderungen bevorstehen. Zu erwarten sind etwa neue Höchststände bei den Preisen der Kryptowährungen. Im Frühjahr wird dann in Deutschland ein neuer Bundestag gewählt – vielleicht bekommen wir danach endlich ein Digitalministerium. Wir werden Sie natürlich wie gewohnt auf dem Laufenden halten. Los geht es direkt nach dem Jahreswechsel mit der CES in Las Vegas.

Das gesamte Team von heise online und den Redaktionen von c't, iX, Mac & i, c't Fotografie, Make, Bestenlisten by Techstage und Telepolis sowie heise Security, heise Developer und heise Autos wünscht Ihnen ein friedliches und freudvolles Jahr 2025. Wir drücken Ihnen die Daumen, dass Sie eventuell vorgenommene Vorsätze gut umgesetzt bekommen und sich Ihre Wünsche erfüllen. Außerdem wünschen wir Ihnen, dass Sie gesund bleiben – oder zumindest schnell genesen.

Kommen Sie gut hinüber in das neue Jahr und bleiben Sie uns mit Interesse und Kritik gewogen. Wir freuen uns auf Sie und werden Sie weiter aktuell, ausführlich und tiefgründig informieren – und dabei auch über den Tellerrand der IT hinausblicken. Dabei versuchen wir weiterhin strikt zu trennen zwischen den Dingen und Ereignissen sowie den Meinungen über sie. Alles Gute für ein schönes neues gemeinsames Jahr!

Der letzte Tag auf dem Chaos Communication Congress: Die Gesichter waren länger, die Augenringe größer und das Schlafdefizit erreichte seinen Peak. Doch bevor der 38C3 am frühen Abend endete, standen noch etliche Vorträge auf dem Programm – darunter ein paar alljährliche Klassiker wie die Security Nightmares. Doch schon der Vormittag war gespickt mit weiteren Talks zu Sicherheitsthemen. So boten beispielsweise Florian Adamsky, Martin Heckel und Daniel Gruss eine Retrospektive auf zehn Jahre Rowhammer – die Angriffstechnik, welche Arbeitsspeicher ins Visier nimmt.

Anzeige

Der niederländische Sicherheitsforscher Vaisha Bernard wollte für seine Kunden einen Phishing-Test durchführen. Um die Test-Mails an den Spam- und Phishingfiltern von Microsofts Exchange Online vorbeizuschleusen, musste er jedoch bei mehreren "Tenants", also Kundeninstanzen, umfangreiche Allow-Listen einpflegen. Das ging wegen verschiedener Fehler in Microsofts APIs nicht automatisch per PowerShell, daher machte der Tüftler sich daran, einen anderen Weg zu finden.

Was er fand, verwirrte und beunruhigte ihn. Seine Bitten um technische Unterstützung wurden von einem chinesischen Callcenter mit dem obskuren Firmennamen "Wicresoft" beantwortet und schlimmer noch: Plötzlich modifizierte sein selbst gebautes Powershell-Skript die Allow-Listen fremder Tenants. Und mehr noch: Deren Daten wie E-Mails, Teams-Nachrichten oder Dateien auf OneDrive hätte der Hacker frei durchsuchen und über eine Export-Funktion sogar stehlen können. Dem Microsoft Security Response Center (MSRC) war das immerhin eine fünfstellige Belohnung wert, die Sicherheitslücken sind seit etwa einem Jahr geschlossen.

Im nicht ganz ernst gemeinten IT-Sicherheitsalptraum-Rückblick, den Security Nightmares, haben Constanze Kurz und Ron einen Blick auf das vergangene Jahr durch die IT-Sicherheitsbrille geworfen. Die Informatikerin und CCC-Sprecherin und der internetsüchtige Ron, der eine irrationale Angst vor Rasenmäherrobotern hat, haben dabei versucht, aus allen CVE-Meldungen von 2024, die sie – natürlich – alle gelesen haben, anhand der Incidents Security-Trends des Jahres zu erahnen. Daraus haben sie waghalsig abgeleitet, wie es nächstes Jahr weitergehen könnte.

Eine Online-Bande namens Spacebears behauptet, bei dem französischen IT-Sicherheits- und Cloud-Unternehmen Atos eingebrochen zu sein und dort Daten kopiert zu haben. Das Unternehmen hat bislang keine Belege für einen solchen Datendiebstahl gefunden. Atos hat weltweit etwa 95.000 Beschäftigte und erwirtschaftet einen Jahresumsatz von 10 Milliarden Euro.

Anzeige

Im Darknet droht die kriminelle Gruppe Spacebears mit der Datenveröffentlichung in rund einer Woche.

(Bild: Screenshot / dmk)

Der Darknet-Auftritt von Spacebears zeigt einen Eintrag, der auf das Wochenende datiert und in dem ein Countdown die Veröffentlichung der angeblich erbeuteten Daten in recht genau einer Woche ab dem Meldungszeitpunkt androht. In der "Dateiliste" geben die Kriminellen an, die Unternehmensdatenbank kopiert zu haben. Welche genau und was für Daten darin enthalten sein sollen, erörtern sie nicht.

Kritische Infrastrukturen (KRITIS) unterliegen nach § 8a Abs. 1 BSIG besonderen Sicherheitsanforderungen. Die Betreiber dieser Unternehmen und öffentlichen Einrichtungen sind verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig nachzuweisen, dass ihre IT-Sicherheit dem aktuellen Stand der Technik entspricht. Dazu müssen sie angemessene organisatorische und technische Maßnahmen ergreifen, um Störungen zu vermeiden, die die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme gefährden können.

Anzeige

In unserem zweitägigen Workshop KRITIS: Spezielle Prüfverfahrenskompetenz für § 8a BSIG erhalten Sie einen umfassenden Überblick über die Anforderungen von KRITIS und können sich gezielt auf Prüfungen für § 8a BSIG vorbereiten. Nach bestandener Abschlussprüfung am Ende der Schulung erhalten die Teilnehmenden die Zusatzqualifikation "Spezielle Prüfverfahrenskompetenz für § 8a BSIG". Damit sind sie berechtigt, Sicherheitsprüfungen für § 8a BSIG im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik durchzuführen.

Der Workshop wird von Andre Windsch geleitet. Als Senior Expert bei der HiSolutions AG verantwortet er dort das Themenfeld „Kritische Infrastrukturen“ nach BSI-Gesetz. In seinem Aufgabenbereich unterstützt er Betreiber Kritischer Infrastrukturen aus den unterschiedlichsten Branchen und Sektoren bei der Umsetzung der spezifischen Anforderungen.

Dieser iX-Workshop folgt dem BSI-Schulungskonzept und richtet sich insbesondere an Auditoren wie interne Revisoren, Revisoren, Wirtschaftsprüfer mit IT-Revisionserfahrung sowie Mitarbeitende von Revisionsgesellschaften und Betreibern kritischer Infrastrukturen. Um einen intensiven Austausch untereinander und eine optimale Vorbereitung auf die Prüfung und Zertifizierung zu ermöglichen, ist diese Schulung auf 12 Teilnehmende beschränkt.

Ein großer Bestandteil des Chaos Communication Congress ist seit jeher die kritische Betrachtung staatlicher Strukturen. Kampf gegen Hackerparagraphen und für die Entkriminalisierung kreativer Techniknutzung gehört zur DNA des Clubs. In Hamburg standen nun aber auch Personen auf der Bühne, die Steuerbetrug und unfaire Monopole anprangerten. Dafür gab es sogar "standing ovations".

Anzeige

Ein Team von Netzpolitik- und BR-Journalisten erläuterte seine Recherche zu einem Schatz von Handy-Standortdaten, der ihnen ganz offen zum Kauf angeboten wurde. Sie hatten nicht etwa – wie im Fall der jüngsten VW-Datenpanne – von einem Hinweisgeber einen konspirativen Hinweis bekommen, sondern waren bei einer Daten-Handelsplattform einkaufen gegangen. Als kostenloses "Probehäppchen" hatte ein Händler ihnen Milliarden an Standortdatensätzen geschenkt, die eindeutige Gerätekennungen enthielten. Anhand dieser Werbe-IDs konnten die Journalisten detaillierte Bewegungsprofile von mutmaßlichen Geheimdienst- und Regierungsmitarbeitern erstellen, darunter ein möglicher NSA-Agent.

Lilith "Krawall-Influencerin" Wittmann demonstrierte dem Publikum, wie sie Gefängnis-Telefonanlagen hackte und mittels öffentlich zugänglicher API-Endpunkte dazu brachte, sensible Informationen über die Gefangenen auszuspucken. Die Aktivistin warf zudem einen genaueren Blick auf den Hersteller der Anlagen und Software und fand Unschönes. Das Unternehmen hatte nicht nur lange Zeit unüblich hohe Gesprächsgebühren verlangt, sondern war mittlerweile De-Facto-Monopolist, auf den die Justizbehörden zähneknirschend zurückgreifen mussten. In einer Live-Demo zeigte Wittman dem Publikum zudem das Programm "Vauzettchen", das in einigen Jugendarrestanstalten noch immer zur Verwaltung eingesetzt wird und allerlei problematische Inhalte in der GUI und im Quellcode enthält.

Wittmanns Recherchen machten sich das Informationsfreiheitsgesetz (IFG) zunutze, das auch Arne Semsrott von "Frag den Staat" als Werkzeug begreift, um Behörden und Regierung auf die Finger zu schauen. Ein immer stumpfer werdendes, konstatierte der Aktivist jedoch, denn Behörden und Gerichte hielten sich nicht immer an die gesetzlichen Vorgaben. Zudem seien anonyme Anfragen nicht mehr gestattet, was das IFG als Instrument der Obrigkeitskontrolle weniger nützlich mache. Transparenz sei Verhandlungsmasse, kritisierte Semsrott, der mit Helfern die finale Ausgabe der Zeitung FragDenStaat (DE) verteilte – das DE steht für Druck-Erzeugnis.

Auf dem Chaos Communication Congress zeigte Sicherheitsforscher und Hardware-Hacker Thomas Lambertz (th0mas) in seinem Vortrag "Windows BitLocker: Screwed without a Screwdriver", wie sich mit Microsofts Laufwerksverschlüsselung BitLocker geschützte Windows-11-Systeme über das Netzwerk entschlüsseln lassen. Dafür ist einmaliger physischer Zugriff erforderlich, um das Gerät in den Wiederherstellungsmodus zu versetzen und ein Netzwerkkabel anzuschließen. Ein Öffnen des Geräts ist nicht nötig.

Anzeige

Der ausgenutzte Fehler CVE-2023-21563 gehört zur Kategorie der "bitpixie"-Angriffen und ist seit Sommer 2022 dokumentiert. Microsoft hat sie bislang nicht richtig geschlossen, obwohl der Fehler seit November 2022 als behoben gilt. th0mas demonstrierte, dass sich die Lücke mit einem Downgrade-Angriff weiterhin ausnutzen lässt.

BitLocker wird auf neueren Windows 11-Installationen unter "Geräteverschlüsselung" standardmäßig aktiviert. In diesem Modus ist die Festplatte im Ruhezustand verschlüsselt, wird aber automatisch entschlüsselt, wenn ein legales Windows gebootet wird. Lambertz zeigte bei seinem Talk live, wie ein voll aktualisiertes Windows 11 angegriffen werden kann. Dazu nutzte er Secure Boot, um zunächst einen veralteten Windows-Bootloader zu starten. Dieser "vergisst" unglücklicherweise im Wiederherstellungsmodus den Verschlüsselungsschlüssel im Arbeitsspeicher.

Damit er diesem habhaft werden konnte, bootete der Hacker ein angepasstes Linux-System mit Secure Boot, das ihm Zugriff auf den Arbeitsspeicher gewährte. Dort nutzte er wiederum eine Schwachstelle im Linux-Kernel, um die Speicherinhalte auszulesen und so den "vergessenen" Volume Master Key von BitLocker zu extrahieren. Dieses Vorgehen ermöglicht ihm, an die verschlüsselten Daten heranzukommen, ohne physischen Zugriff auf das Speichermedium.

Die chinesische Fakeshop-Fabrik "BogusBazaar" ist noch immer aktiv und betreibt Tausende Shops, um Kunden zu betrügen. Das fanden die Entdecker des kriminellen Netzwerks heraus und präsentierten ihre Entdeckungen auf dem 38C3.

Anzeige

Matthias Marx vom Sicherheitsdienstleister SRLabs und Kai Biermann von Zeit Online konstatierten, dass das Netzwerk der gefälschten Shops zwar geschrumpft sei, die mutmaßlich chinesischen Urheber aber ihre Vorgehensweise angepasst hätten. So setzt BogusBazaar aktuell nicht mehr auf sogenannte "Expired Domains", also von ihren ursprünglichen Inhabern nicht verlängerte Internetadressen, sondern hauptsächlich auf generische Top-Level-Domains (TLD) wie .xyz und .shop. Diese sind bei Spammern wegen ihrer leichten und preisgünstigen Verfügbarkeit beliebt.

Der BogusBazaar, ein kriminelles Netzwerk von zwischenzeitlich bis zu 75.000 Fakeshops, war im Mai aufgeflogen. Seine Betreiber fischen Bestellungen von Markenkleidung und -Accessoires ab, um die so ergaunerten Kreditkartendaten bei betrügerischen Buchungen einzusetzen und weiterzuverkaufen. Ware erhalten die Opfer nie oder allenfalls in sehr minderwertiger Qualität. Allein durch nicht ausgelieferte Bestellungen entstand ein geschätzter Schaden in mittlerer zweistelliger Millionenhöhe bei über 800.000 Betroffenen.

Fake-Stussy: Wer hier bestellt, ist sein Geld und seine Kreditkartendaten los.

PHP ist weiterhin die dominierende Programmiersprache im Web, gut Dreiviertel aller Websites basieren auf der Skriptsprache, weil sie PHP-basierte Content-Management-Systeme wie WordPress, Drupal oder Joomla verwenden. Sicherheitslücken in Plug-ins und Themes können Angreifern Zugriff auf sensible Daten ermöglichen. Sebastian Neef, PhD-Student am Lehrstuhl Security in Telecommunications der TU-Berlin, stellte auf dem 38. Chaos Communication Congress (38C3) "Phuzz" vor – ein Coverage-guided Fuzzing-Framework, das speziell auf PHP-Webanwendungen ausgerichtet ist. Es soll sowohl Entwicklern als auch Sicherheitsforschern dabei helfen, Schwachstellen schnell zu finden und zu beheben.

Anzeige

Sicherheitsforscher setzen "Fuzzing" als Technik ein, um Schwachstellen frühzeitig aufzudecken: Programme werden dabei automatisiert mit einer Vielzahl zufälliger Eingaben getestet, um unerwartetes Verhalten und damit potenzielle Sicherheitsrisiken zu entdecken. Bekannte Beispiele sind das von Google entwickelte OSS-Fuzz zum Testen von Open-Source-Software sowie American Fuzzy Lop (AFL) und dessen Ableger AFL++. Im Gegensatz zu diesen Tools, die sich hauptsächlich auf binäre Anwendungen konzentrieren, ist Phuzz speziell für die Anforderungen moderner Webanwendungen konzipiert.

Überblick über die Architektur des "Phuzz"-Frameworks

(Bild: Sebastian Neef et al., TU Berlin)

Tausende Hacker aus aller Welt treffen sich zum mittlerweile 38. Chaos Communication Congress in Hamburg. Der erste Tag des Kongresses mit dem Motto "Illegal Instructions" begann mit einer düsteren Prophezeiung der Organisatoren und bot Teilnehmenden Handreichungen zum Widerstand gegen Datenkraken und repressive Regierungen. Aber auch typische Hacking-Themen von löchrigen Patientenakten über Do-it-yourself-Medikamente bis zu einem VW-Datenleck standen auf der Tagesordnung.

Anzeige

Beim Eröffnungsvortrag malte Gabriele Bogk ein düsteres Bild: "Wir leben in schwierigen Zeiten", konstatierte die altgediente Hackerin. Der Gesellschaft Werkzeuge zur Gegenwehr an die Hand zu geben, sei eines der Ziele des Congress. Widerstand gegen autoritäre Regimes sei nicht zwecklos.

Über 14.000 Teilnehmer erwartet der CCC auf seiner Jahrestagung, über 140 Vorträge sind geboten. Abseits der Präsentationen findet sich für Hacker, Technikinteressierte, Aktivisten und Philosophen reichlich Interessantes. Jeder Winkel des CCH (Congress Centrum Hamburg) ist belegt, darunter Hunderte Projektstände von Schlossknacken über das OpenStreetMap-Projekt bis zum Zentrum für Politische Schönheit.

In den Gängen und in den Messehallen herrschte entsprechend Hochbetrieb: Tausende Gäste strömten ins CCH, um über Projekte, Software, Open Source oder die digitale Gesellschaft zu diskutieren.

Kurzwellenfunk wird häufig vom Militär, Rettungsdiensten und Industrien eingesetzt, die eine äußerst robuste Fernkommunikation ohne externe Infrastrukturen benötigen. Doch der Halfloop-Verschlüsselungsalgorithmus, der ein wichtiges Protokoll zum automatischen Verbindungsaufbau schützen soll, gilt als gebrochen.

Anzeige

Lukas Stennes, Doktorand am Lehrstuhl für Symmetrische Kryptographie der Ruhr-Universität Bochum, hat am Freitag auf dem 38. Chaos Communications Congress in Hamburg vergleichsweise einfach durchführbare Angriffe auf Halfloop vorgestellt. Demnach reichen zwei Stunden an abgefangenem Funkverkehr aus, um den geheimen Schlüssel wiederherzustellen, Teilnehmer auszumachen und mitzuhören.

Auf Kurzwelle funken Geräte mit Frequenzen zwischen 3 und 30 MHz. Dieses unterhalb von Ultrakurzwelle (UKW) liegende Spektrum ermöglicht die Ausbreitung von Raumwellen, bei denen die Funksignale von elektrisch geladenen Partikeln in der oberen Atmosphäre reflektiert werden. Dieser Effekt erlaubt Kommunikation über sehr große Entfernungen ohne zusätzliche Infrastruktur wie Funkmasten hinweg. Anfangs war dafür erfahrenes Vermittlungspersonal erforderlich, um überhaupt eine solche Funkverbindung herzustellen.

Diese Abhängigkeit wurde durch die Einführung des Protokolls zur automatischen Verbindungsherstellung (ALE) verringert. Ein ALE-fähiges Funkgerät löst eine Verbindung zu einem anderen aus, indem es gemäß einem Ausbreitungsmodell eine geeignete Frequenz auswählt und dann ein Rahmenwerk für einen Anruf überträgt. Wenn die Frequenz gut ist, empfängt das andere Funkgerät dieses und die beiden Endgeräte führen einen "Handshake" durch, um eine Verbindung herzustellen.

Sicherheitsmängel begleiten die elektronische Patientenakte (ePA) nicht erst mit ihrer Einführung im Jahr 2020. Seit 2012 berichten Sicherheitsexperten immer wieder über Mängel bei der Sicherheit, jetzt auch für die ePA, die jetzt für alle automatisch kommt – es sei denn, sie widersprechen. Stets betonen die Verantwortlichen, dass die ePA absolut sicher sei. Doch die "ePA für alle" kann dieses Versprechen nicht einhalten.

Anzeige

Das zeigten Martin Tschirsich und Bianca Kastl auf dem 38. Chaos Communication Congress in Hamburg. Es gelang ihnen ohne Umstände, sich Zugang zur "ePA für alle" zu verschaffen. Dies war unter anderem aufgrund von Mängeln in den Spezifikationen möglich. So konnten sie die Zugriffstoken für Akten beliebiger Versicherter erstellen – ohne Stecken der elektronischen Gesundheitskarte.

Ein "Dauerbrenner" und zentraler Punkt ist dabei die unkontrollierte Ausgabe von Gesundheitskarten. Die Forscher konnten durch simple Telefonanrufe bei Krankenkassen elektronische Gesundheitskarten auf fremde Namen bestellen. Der zeitliche Aufwand für diese Angriffe ist erstaunlich gering: Die Bestellung einer fremden Gesundheitskarte konnte in 10 bis 20 Minuten erreicht werden. Praxiszugänge ließen sich ebenfalls innerhalb weniger Stunden bis Tage erlangen. Grund dafür sind Mängel in den Ausgabeprozessen, den Beantragungsportalen sowie dem Umgang mit den Ausweisen "in der Praxis".

Die auf den Chipkarten gespeicherten kryptografischen Identitäten sollen die Sicherheit des Zugangs zu den elektronischen Patientenakten gewährleisten. "Diese werden allerdings nicht herangezogen, um die Echtheit der Karte nachzuweisen. Somit lässt sich die Anwesenheit einer beliebigen Karte vortäuschen", erklärt Tschirsich gegenüber heise online.

Ein Tochterunternehmen des Volkswagen-Konzerns hat teils extrem detaillierte Bewegungsdaten von 800.000 Elektroautos so in der Amazon-Cloud abgelegt, wo Nachrichtendienste, Konkurrenten, Kriminelle oder "gelangweilte Teenager" ohne große Schwierigkeiten darauf hätten zugreifen können. Das berichtet Spiegel Online unter Berufung auf eine Recherche in Zusammenarbeit mit dem Chaos Computer Club (CCC). Entdeckt hat die Daten demnach ein anonymer Hinweisgeber, überprüft wurden sie demnach unter anderem anhand der Daten einer niedersächsischen Landtagsabgeordneten und eines Bundestagsabgeordneten.

Anzeige

Gesammelt wurden die Daten demnach von der VW-Tochter Cariad, die für die Softwareentwicklung des Autokonzerns zuständig ist. Wegen einer "Fehlkonfiguration" seien die Daten nicht ausreichend gesichert worden. Laut Spiegel Online handelt es sich um mehrere Terabyte an Standortdaten von Fahrzeugen der Marken VW, Seat, Audi und Skoda. Gesammelt wurden die von der Volkswagen-App, über die verschiedene Informationen zum Zustand der Fahrzeuge abrufen lassen. Zu 460.000 Fahrzeugen seien die entdeckten Daten so präzise, dass sie Rückschlüsse auf das Leben der Menschen hinter dem Steuer zulassen. So seien die Geodaten bei VW- und Seat-Modellen auf zehn Zentimeter genau.

Laut der Recherche konnten die Daten teilweise mit persönlichen Profilen von Fahrzeughaltern und -halterinnen verknüpft werden. Teils hätten die detaillierten Bewegungsdaten gar mit Adressen und Handynummern zusammengeführt werden können. CCC-Sprecher Linus Neumann spricht von einem "riesigen Schlüsselbund, der unter einer viel zu kleinen Fußmatte lag". Cariad habe erklärt, dass die Daten gesammelt worden seien, "um Batterien und die dazugehörige Software zu verbessern". Die beschriebene Zusammenführung sei niemals so vorgenommen worden, "dass ein Rückschluss auf einzelne Personen möglich ist oder Bewegungsprofile erstellt werden".

Nachdem der CCC auf die zugängliche Datensammlung aufmerksam gemacht worden war, seien unter anderem Cariad und die VW-Konzernzentrale informiert worden. Die Konzerntochter habe binnen weniger Stunden reagiert und gar nicht erst versucht, das Ausmaß des Vorfalls kleinzureden. Mittlerweile sei die Lücke auch gestopft, auf die Daten könnten Unbefugte nicht mehr zugreifen. Bei der "Fehlkonfiguration" handelte es sich dem Bericht zufolge um die Kopie des jeweils aktuellen Speicherauszugs einer Anwendung von Cariad. Darin lagen die Zugangsdaten zum Cloudspeicher bei Amazon, wo sich die Bewegungsdaten befanden.

Derzeit schwemmt eine perfide Phishing-Welle betrügerische E-Mails in die Posteingänge insbesondere von Telekom-Kunden. Sie sind optisch sehr überzeugend aufgemacht, auch die Texte sind weitgehend korrekt und weisen auf den ersten Blick keine groben Fehler auf.

Anzeige

Die Adressen sind erst beim genaueren Hinschauen etwa als unwahrscheinlicher Absender zu erkennen. Die Optik imitiert die der Telekom sehr überzeugend.

(Bild: SCreenshot / dmk)

Auf den ersten Blick wirken die E-Mails sehr überzeugend. Als Absender ist eine t-online.de-Mail-Adresse angegeben, die sich beim genaueren Hinsehen als Endkunden- anstatt Unternehmensadresse entpuppt. Die Optik imitiert recht überzeugend die der Telekom-Magenta-Marke.

Die Vorweihnachtszeit ist vorbei und das Jahr 2024 neigt sich dem Ende entgegen. In dem haben sich die Entwicklungen im KI-Bereich etwas verlangsamt, stand der Sport im Fokus und sorgte unsere Sonne mit beeindruckenden Polarlichtern für das ein oder andere Himmelsschauspiel. In unserem Haus war das Jahr ein besonderes, immerhin konnte heise seinen 75. Geburtstag feiern – und ist Trikotsponsor. Jetzt sind hoffentlich alle Geschenke besorgt und ruhigen, besinnlichen Feiertagen steht nichts mehr im Weg. Für viele wird es sicher die Zeit, um sich etwas auszuklinken und in Ruhe Kraft für das kommende Jahr zu sammeln. Das wird sicher wieder nicht arm an Nachrichten, beginnt es doch direkt mit der vorgezogenen Bundestagswahl.

Anzeige

Wir hoffen, Sie können die kommenden Tage nutzen, um ein gutes Buch, ein lehrreiches Spiel, einen prämierten Film oder eine herausragende Serie nachzuholen. Wenn nicht, wünschen wir genügend Zeit für Ihre Alternative. Egal, was Sie machen und wie Sie die Tage feiern, haben Sie dabei viel Spaß, Erholung und gegebenenfalls auch viel Erfolg. Unseren jüdischen Mitmenschen wünschen wir natürlich Chanukka sameach. Sollten Sie jedoch arbeiten, sagen wir einfach einmal Danke und wünschen dabei möglichst wenige Notfälle und keinen Stress.

Das gesamte Team von heise online und den Redaktionen von c't, iX, Mac & i, c't Fotografie, Make, Bestenlisten by Techstage und Telepolis sowie heise Security, heise Developer und heise Autos wünscht ein frohes Fest. Mögen Sie ruhige Stunden oder Tage verbringen und sich dabei ausruhen können. Mögen Sie auch die Zeit und Muße haben, um auf die vergangenen Monate zurückblicken und sich auf das Kommende vorbereiten zu können. Allen Erschöpften wünschen wir Kraft, allen Ängstlichen Mut, allen auf der Flucht eine sichere Bleibe, allen Frierenden Wärme sowie natürlich allen hier und anderswo Frieden.

Natürlich wird die Welt aber in den kommenden Tagen bis zum Jahreswechsel nicht stillstehen, das gilt genauso für die IT-Welt. Deswegen werden wir Sie auch an den Feiertagen und zwischen den Jahren mit aktuellen Meldungen und dem Wichtigsten versorgen. Vorhersagbar interessant wird es vom 27. bis 30. Dezember auf dem 38. Chaos Communication Congress, von dem wir natürlich berichten. Denen, die trotzdem bis 2025 nicht mehr hier vorbeischauen, wünschen wir aber an dieser Stelle schon einmal einen guten Rutsch und ein friedliches, glückliches, erfolgreiches und gesundes neues Jahr. Wir freuen uns darauf, Sie auch weiterhin mit den wichtigsten News zu versorgen.

Die Webbrowser Chrome und Edge sollen auf KI-Basis mittels Large Language Model (LLM) und Machine Learning noch effektiver vor Phishingwebsites warnen. Wie erste Sichtungen zeigen, sind diese Features aber bisher nicht standardmäßig verfügbar beziehungsweise aktiv.

Anzeige

Auf diese Funktionen sind unter anderem Nutzer auf X gestoßen. Für Chrome ist das Scam-Detection-Feature aber bislang nur in der Vorabversion im Canary-Zweig verfügbar und dort offensichtlich nicht standardmäßig aktiv. Über chrome://flags kann man es aber aktivieren.

Der Beschreibung zufolge findet die Erkennung clientseitig statt. Dabei werden Websites via LLM untersucht, um so Fake-Websites zu erkennen, die etwa in Microsoft-Anmutung Zugangsdaten abfischen wollen.

Wie die Erkennung im Detail funktioniert und wie die neue Funktion Nutzer warnt, ist bislang nicht bekannt. Unklar bleibt auch, wann das Feature in die Stable-Version von Chrome Einzug hält.

Bestellungen umleiten und Preise ändern: Ein Sicherheitsforscher ist auf viele Fehler in McDonald's-Bestellsystem McDelivery in Indien gestoßen und hätte jedes Produkt für 1 Cent bestellen können.

Anzeige

Aufgrund von Broken-Object-Level-Authorization-(BOLA)- und Broken-Object-Property-Level-Authorization-Schwachstellen konnte ein Sicherheitsforscher an der API des Lieferservices ansetzen und manipulierend eingreifen. Solche Schwachstellen erlauben es Angreifern aufgrund einer fehlenden Autorisierung, nicht für sie vorgesehene Daten einzusehen.

So konnte er seinem Bericht zufolge durch das simple Anpassen von IDs fremde Bestellungen einsehen und sogar eigene Bestellungen aufgeben und manipulieren. Dabei stieß er unter anderem auf eine API zum Erzeugen von Rechnungen und konnte die Preise anpassen. Er gibt an, so 100 Kartoffelpuffer (Hash Brown) für 1 Cent bestellt zu haben. Die Bestellung ging durch. Um Missverständnissen vorzubeugen, hat er sie umgehend storniert. Außerdem führt der Sicherheitsforscher aus, dass man mit dem richtigen Timing bereits getätigte Bestellungen hätte umleiten können. So würde man ein Menü erhalten, das ein anderer bezahlt hat.

Er versichert, dass davon ausschließlich der Online-Bestellservice von McDonald's in Indien betroffen war. Mittlerweile wurden die Sicherheitsprobleme gelöst und der Sicherheitsforscher erhielt als Belohnung einen Amazon-Gutschein im Wert von 240 US-Dollar. Sein Vorschlag, aufgrund der Schwere der Schwachstellen eine Gold Card zum lebenslangen gratis Essen bei McDonald's USA springen zu lassen, wurde abgelehnt.