Netzwelt-Ticker: Hacker verziert bundesregierung.de mit Katzen-Content

Ein Berliner Hacker hat eine Sicherheitslücke in der Website der Bundesregierung gefunden, die es Angreifern theoretisch ermöglichte, bösartige Web-Inhalte in der vertrauenswürdigen Umgebung zu platzieren. Obwohl er die Bundesregierung bereits vor zehn Tagen über das Risiko informiert hatte, wurde die Sicherheitslücke erst am heutigen Donnerstag geschlossen, berichtet Nils Jünemann, der System-Architekt für die VZ-Netzwerke ist.

Tagelang klaffte die Lücke, wie jeder anhand eines manipulierten Testlinks überprüfen konnte; Screenshots davon gibt es in Jünemanns Blog. Ein Hack nach selbem Muster und mit fast dem selben Katzenbild funktioniert - je nach Browser - noch an anderer Stelle im Netz.

Jünemann beschreibt das Problem im Gespräch mit SPIEGEL ONLINE als gravierend: "Damit lassen sich grundsätzlich beliebige Inhalte von außen in die Seite integrieren. Der Surfer hat immer den Eindruck, die Inhalte würden von der Bundesregierung kommen."

In Jünemanns Beispiel-Hack fliegt eine Regenbogenkatze über die Websuche der Bundesregierung - es könnten aber genau so gut Formular-Felder sein, die den Surfer zur Eingabe sensibler Daten bringen sollen. Oder Falschmeldungen über Veränderungen im Bundeskabinett. Oder sogar XSS-Frameworks, die Sicherheitslücken in Browsern und Betriebssystemen so kombinieren, dass ein Angreifer die vollständige Kontrolle über das System eines Surfers erlangen könnte. Jünemann: "Da für 99,9 Prozent aller Internetnutzer die Seite bundesregierung.de vertrauenswürdig ist, klickt dort jeder ohne nachzudenken drauf."

Das Bundespresseamt teilte SPIEGEL ONLINE mit, dass es von Jünemanns Hinweis wüsste und entsprechende Schritte eingeleitet habe. "Sicherheitslücken müssen so schnell wie möglich geschlossen werden. Wir sind für entsprechende Hinweise dankbar und arbeiten konstruktiv mit denjenigen zusammen, die solche Hinweise geben." Seit Donnerstagmorgen ist die Sicherheitslücke geschlossen.

Google legt das öffentliche Firmenlabor still

Im Zuge der Portfolio-Zuspitzung - weniger Produkte, die dafür mit mehr Fokus auf den Nutzer - hat Google seine beliebten "Google Labs" geschlossen: die öffentliche Entwicklungsstation, in der Google-Programmierer ihre Experimente vorstellen und zum Praxistest freigeben konnten. Die Bekanntmachung hat unter manchen Bloggern und Journalisten für Aufruhr gesorgt: Viele Labs-Projekte sind längst Bestandteil im Surfer-Alltag, zum Beispiel der weit verbreitete Google-Reader oder die vielen Googlemail-Erweiterungen.

Keine Panik, schiebt Google deshalb im Firmenblog hinterher. Die Labs für Google Mail und Google Maps bleiben erhalten, einige Experimente werden endgültig in Google-Produkte integriert oder als Android-App angeboten. Sprich: Welche Projekte tatsächlich der Google-Axt zum Opfer fallen, stellt sich erst in den nächsten Wochen heraus. Genug Zeit, um den Notfall-Exodus einzuleiten.

Indien & USA: Gemeinsamer Cyber-Schutzschild

Wie die indische Tageszeitung "The Telegraph" berichtet, haben am Dienstag Regierungsvertreter aus Indien und den USA einen Cyberschutz-Pakt unterschrieben. Dieser soll den Informationsaustausch über Netzwerkgefahren und die Sicherheit der Internet-Infrastrukturen verbessern. Zukünftig wollen sich Indien und die USA routinemäßig über Schwachstellen und Cyber-Gefahren austauschen - die Grundlage für eine angemessene Reaktion auf neue Internet-Ereignisse. Praktisch bedeutet das einen geordneten Info-Kanal zwischen indischen und amerikanischen "Certs" (eine Art Internet-Feuerwehr). Ähnliche Beziehungen unterhält Indien bereits mit Japan und Korea, demnächst auch Finnland.

Zur Abmachung gehöre außerdem eine Internet-Plattform, über die Dokumente der indischen Regierung der Öffentlichkeit zugänglich gemacht werden können und drei Millionen Dollar, die an besonders förderungswürdige Projekte in der Gesundheitstechnologie vergeben werden sollen.

Bundessozialgericht stärkt Online-Journalisten

Das Bundessozialgericht (BSG) hat die soziale Absicherung freier Publizisten ins Internetzeitalter fortgeschrieben. Ein Online-Journalist, der seine Texte gratis zugänglich auf einer eigenen Website publiziert und sein Einkommen weit überwiegend mit Werbeeinnahmen für diese Internetseite bestreitet, müsse in der Künstlersozialkasse (KSK) versichert werden, urteilte der 3. Senat am Donnerstag in Kassel. Über die KSK können sich nur freischaffende Künstler und Publizisten versichern, die bestimmte Bedingungen erfüllen. Die Bundesrichter werteten die Website des Klägers als "virtuelles Gesamtprodukt", bei dem die Werbekunden mittelbar für erfolgreiche journalistische Arbeit zahlten. dapd

Außerdem:

• Wenn Joanne K. Rowling diesen Herbst ihre Potter-Website Pottermore eröffnet, will Google die neuen Potter-E-Bücher vertreiben - und mithilfe von Googles Bezahldienst Checkout verkaufen.
• Betanews fragt sich, ob Windows 8 das Ende der Malware sein könnte - oder nicht eher das Ende der Antivirus-Softwares. Dahinter steckt: Browser- und Betriebssystem-Hersteller gehen gerade sehr effektiv gegen Viren und Co. vor.
• Bei einer Stichprobe von 10.000 Android-Apps hat eine Sicherheitsfirma 800 Apps entdeckt, die private Informationen des Android-Kunden ins Netz leaken. Die Slashdot-Kommentatoren lässt das kalt: 100 Prozent aller Facebook- und viele der iPhone-Apps machten das doch auch, sagen sie.
• Zeigt dieses Video das Ende von Google+?? Natürlich nicht - aber sollte dieser Spam-Roboter tatsächlich so schnell Unbekannte "circeln" können, wäre das ein ernsthaftes Problem für Googles Ansatz "Du kannst jeden zu deinen Freunden hinzufügen".
• E-Banking ohne Pin- und Tan-Schutz ist ein Sicherheitsrisiko - aber ganz normal in den USA. Jetzt wurde eine ganze Stadt Opfer dieser institutionalisierten Sicherheitslücke und verlor 28.000 Dollar an Online-Diebe aus Übersee.
• Ist ein Video, das australische Hunde beim Haie-Beißen zeigt, wirklich eine tolle Werbung für den ansonsten ganz attraktiven Minikontinent? Darüber streiten sich Video-Macher Russell Hood-pen und die australische Tourismusbehörde laut " Sydney Morning Herald".