Eine lustige – Aber wahr – der Witz bei Tech ist, dass die Sicherheitsabteilung genauso gut „Department of Bad News“ heißen könnte, denn haben Sie gesehen, worüber wir in letzter Zeit berichtet haben? Es gibt einen nie endenden Vorrat an verheerenden Verstößen, umfassender Überwachung und zwielichtigen Start-ups, die geradezu Gefährliche auspeitschen.
Manchmal – wenn auch selten – gibt es Hoffnungsschimmer, die wir teilen möchten. Nicht zuletzt, weil das Richtige, auch (und gerade) im Angesicht von Widrigkeiten, dazu beiträgt, die Cyberwelt ein wenig sicherer zu machen.
Bangladesch dankte einem Sicherheitsforscher für die Entdeckung von Bürgerdatenlecks
Als ein Sicherheitsforscher feststellte, dass auf einer Website der bangladeschischen Regierung die persönlichen Daten ihrer Bürger preisgegeben wurden, stimmte eindeutig etwas nicht. Viktor Markopoulos fand die offengelegten Daten dank eines versehentlich zwischengespeicherten Google-Suchergebnisses, das Namen, Adressen, Telefonnummern und Personalausweisnummern von Bürgern der betroffenen Website offenlegte. Tech bestätigte, dass auf der Website der bangladeschischen Regierung Daten verloren gingen, doch Versuche, die Regierungsbehörde zu alarmieren, stießen zunächst auf Schweigen. Die Daten waren so sensibel, dass Tech nicht sagen konnte, welche Regierungsabteilung die Daten preisgab, da die Daten dadurch möglicherweise noch weiter offengelegt würden.
Zu diesem Zeitpunkt nahm das Computer-Notfallreaktionsteam des Landes, auch bekannt als CIRT, Kontakt auf und bestätigte, dass die undichte Datenbank behoben worden war. Die Daten stammten von keinem Geringeren als dem Standesamt für Geburten, Sterbefälle und Eheschließungen des Landes. CIRT bestätigte in einer öffentlichen Bekanntmachung, dass es die Datenlecks behoben habe und dass es „nichts unversucht gelassen“ habe, um zu verstehen, wie es zu dem Leck kam. Regierungen gehen mit ihren Skandalen selten gut um, aber eine E-Mail der Regierung an den Forscher, in der sie sich für die Entdeckung und Meldung des Fehlers bedankt, zeigt die Bereitschaft der Regierung, sich im Bereich der Cybersicherheit zu engagieren, wo viele andere Länder dies nicht tun.
Apple wirft seinem Spyware-Problem die Küchenspüle vor
Seitdem ist mehr als ein Jahrzehnt vergangen Apple hat seine mittlerweile berüchtigte Behauptung fallen lassen dass Macs keine PC-Viren bekommen (was zwar technisch wahr ist, diese Worte das Unternehmen jedoch schon seit Jahren plagen). Die größte Bedrohung für Apple-Geräte ist heutzutage kommerzielle Spyware, die von Privatunternehmen entwickelt und an Regierungen verkauft wird und ein Loch in die Sicherheitsabwehr unserer Telefone schlagen und unsere Daten stehlen kann. Es erfordert Mut, ein Problem einzugestehen, aber Apple hat genau das getan, indem es Rapid Security Response-Korrekturen eingeführt hat, um Sicherheitslücken zu beheben, die von Spyware-Herstellern aktiv ausgenutzt werden.
Apple hat Anfang des Jahres seinen ersten Notfall-Hotfix für iPhones, iPads und Macs eingeführt. Die Idee bestand darin, kritische Patches bereitzustellen, die installiert werden konnten, ohne dass das Gerät immer neu gestartet werden musste (was für Sicherheitsbewusste wohl das Problem darstellt). Apple verfügt außerdem über eine Einstellung namens Sperrmodus, die bestimmte Gerätefunktionen auf einem Apple-Gerät einschränkt, die normalerweise von Spyware angegriffen werden. Apple gibt an, dass ihm niemand bekannt ist, der den Sperrmodus verwendet und anschließend gehackt wurde. Tatsächlich sagen Sicherheitsforscher, dass der Lockdown-Modus laufende gezielte Hacks aktiv blockiert hat.
Taiwans Regierung hat das nicht getan blinken bevor nach einem Unternehmensdatenleck eingegriffen wird
Als ein Sicherheitsforscher Tech erzählte, dass ein Mitfahrdienst namens iRent – betrieben vom taiwanesischen Automobilgiganten Hotai Motors – in Echtzeit aktualisierte Kundendaten ins Internet verbreitete, schien es eine einfache Lösung zu sein. Aber nachdem Tech eine Woche lang E-Mails an das Unternehmen geschickt hatte, um die anhaltende Datenleckerei zu beheben – darunter Kundennamen, Mobiltelefonnummern und E-Mail-Adressen sowie Scans von Kundenlizenzen –, hörte Tech nie wieder etwas. Erst als wir die taiwanesische Regierung um Hilfe bei der Offenlegung des Vorfalls baten, erhielten wir eine Antwort sofort.
Innerhalb einer Stunde nach der Kontaktaufnahme mit der Regierung teilte Taiwans Ministerin für digitale Angelegenheiten Audrey Tang Tech per E-Mail mit, dass die offengelegte Datenbank bei Taiwans Computer-Notfallreaktionsteam TWCERT gemeldet und offline genommen worden sei. Die Geschwindigkeit, mit der die taiwanesische Regierung reagierte, war atemberaubend schnell, aber das war noch nicht das Ende. Taiwan verhängte daraufhin eine Geldstrafe gegen Hotai Motors, weil das Unternehmen die Daten von mehr als 400.000 Kunden nicht geschützt hatte, und wurde angewiesen, seine Cybersicherheit zu verbessern. Im Nachgang sagte Taiwans Vizepremier Cheng Wen-tsan, die Strafe von etwa 6.600 US-Dollar sei „zu gering“ und schlug eine Gesetzesänderung vor, die die Strafen für Datenschutzverletzungen um das Zehnfache erhöhen würde.
Undichte US-Gerichtsaktensysteme lösten die richtige Art von Alarm aus
Das Herzstück jedes Justizsystems ist das Gerichtsaktensystem, der Technologie-Stack, der für die Übermittlung und Speicherung sensibler Rechtsdokumente für Gerichtsverfahren verwendet wird. Diese Systeme sind häufig online und durchsuchbar, beschränken jedoch den Zugriff auf Dateien, die andernfalls ein laufendes Verfahren gefährden könnten. Doch als der Sicherheitsforscher Jason Parker mehrere Gerichtsaktensysteme mit unglaublich einfachen Fehlern entdeckte, die nur mit einem Webbrowser ausgenutzt werden konnten, wusste Parker, dass sie dafür sorgen mussten, dass diese Fehler behoben wurden.
Parker hat acht Sicherheitslücken in Gerichtsaktensystemen in fünf US-Bundesstaaten entdeckt und offengelegt – und das war gerechtfertigt in ihrer ersten Batch-Offenlegung. Einige der Mängel wurden behoben, andere sind noch offen, und die Reaktionen der Staaten waren gemischt. Das Lee County in Florida vertrat die unnachgiebige (und selbstbewusste) Haltung, den Sicherheitsforscher mit Floridas Anti-Hacking-Gesetzen zu bedrohen. Aber die Enthüllungen haben auch die richtige Art von Alarm ausgelöst. Mehrere staatliche CISOs und Beamte, die in den gesamten USA für Gerichtsaktensysteme verantwortlich sind, sahen die Offenlegung als Gelegenheit, ihre eigenen Gerichtsaktensysteme auf Schwachstellen zu untersuchen. Govtech ist kaputt (und völlig unterversorgt), aber es gibt Forscher wie Parker Auffinden und Offenlegen von Fehlern, die behoben werden müssen macht das Internet sicherer – und das Justizsystem gerechter – für alle.
Google hat die Geofence-Bestimmungen abgeschafft, auch wenn es besser spät als nie war
Es war Googles Gier, angetrieben durch Werbung und ständiges Wachstum, die den Grundstein für Geofence-Gesetze legte. Diese sogenannten „umgekehrten“ Durchsuchungsbefehle ermöglichen es der Polizei und Regierungsbehörden, in den riesigen Google-Speichern mit Standortdaten der Nutzer einzutauchen, um herauszufinden, ob sich zum Zeitpunkt der Begehung eines Verbrechens jemand in der Nähe aufgehalten hat. Aber die Die Verfassungsmäßigkeit (und Richtigkeit) dieser umgekehrten Haftbefehle wurde in Frage gestellt und Kritiker haben Google aufgefordert, der Überwachungspraxis ein Ende zu setzen, die es größtenteils von Anfang an geschaffen hat. Und dann, kurz vor der Weihnachtszeit, das Geschenk der Privatsphäre: Google kündigte an, Standortdaten nicht mehr zentral, sondern auf den Geräten der Nutzer zu speichern, wodurch der Polizei praktisch die Möglichkeit entzogen würde, den Standort in Echtzeit von ihren Servern abzurufen.
Der Schritt von Google ist kein Allheilmittel und macht den jahrelangen Schaden nicht wieder gut (und hindert die Polizei auch nicht daran, von Google gespeicherte historische Daten zu durchsuchen). Aber es könnte andere Unternehmen, die ebenfalls solchen Rückwärtsdurchsuchungsbefehlen unterliegen – Microsoft, Snap, Uber und Yahoo (die Muttergesellschaft von Tech) – dazu bewegen, diesem Beispiel zu folgen und die Speicherung sensibler Daten der Benutzer auf eine Weise einzustellen, die sie der Regierung zugänglich macht Forderungen.