Netzwelt-Ticker Die seltsamem Zahlenspiele der Entertainer

Funkchip-Reisepässe sind einer EU-Studie zufolge ein Sicherheitsrisiko, Microsoft stopft wieder einmal Löcher, die Unterhaltungsbranche rechnet sich die Schäden durch Piraterie hässlich, Phishing-Opfer zahlen immer mehr. Das und mehr im Überblick.


EU-Projekt: RFID-Pässe schlecht gemacht

Die neuen maschinenlesbaren Reisepässe sorgten schon für genügend Unbehagen bei Bürgerrechtlern. Diese Ausweise seien nicht nur eine Datenschutz-Katastrophe und anfällig für Identitätsdiebstahl - sie lösen vor allem auch die vielen Sicherheits-Versprechen nicht ein.

Neuer Reisepass: "In erheblichem Ausmaß Sicherheit und Privatsphäre gefährdet"
DDP

Neuer Reisepass: "In erheblichem Ausmaß Sicherheit und Privatsphäre gefährdet"

Nun kommt auch das von der EU geförderte FIDIS-Projekt zur Erforschung der Zukunft der Identität im Informationszeitalter in der "Budapest Erklärung" zu einem verheerenden Ergebnis:

"Dadurch, dass eine angemessene Sicherheitsarchitektur nicht implementiert wurde, haben die europäischen Regierungen im Ergebnis ihre Bürger gezwungen, neue, international maschinenlesbare Ausweis-Dokumente (Machine Readable Travel Documents, MRTDs) zu akzeptieren, die in erheblichem Ausmaß ihre Sicherheit und Privatsphäre gefährden sowie das Risiko eines Identitätsdiebstahls erhöhen."

Da der Reisepass mit all seinen Schwächen bereits eingeführt sei, kann FIDIS, für das Universitäten und Firmen aus dem Sicherheitsbereich forschen, nur Schadensbegrenzung vorschlagen: Die im Chip gespeicherten Daten dürfen nur zweckgebunden benutzt werden (zum Beispiel nicht im privaten Sektor), Bürger sollen über die Risiken aufgeklärt, verfügbare Sicherheitsmaßnahmen sofort integriert werden, Vorsorge soll getroffen werden, falls eine Person wegen Versagen der Technik nicht identifiziert werden kann und organisatorische wie technische Maßnahmen sollen getroffen werden, falls es zu Identitätsdiebstahl durch Daten von MRTDs oder ganze MRTDs kommt.

Folgende fünf Kernprobleme hat das FIDIS bei den MRTDs erkannt: Biometrische Informationen in MRTDs können derzeit nicht widerrufen werden. Gestohlene Daten können also lange Zeit missbraucht werden.

Das Schlüsselmanagement der Ausweise ist mangelhaft, da der Schlüssel zum Zugang zum RFID-Chip auf dem Pass selbst gespeichert ist und natürlich geknackt werden kann.

Die Kommunikation zwischen Lesegerät und RFID-Chip kann abgehört werden, die Daten dann per Brute-Force-Attacke geknackt werden.

RFID-Chips in MRTDs können bereits kopiert werden.

Und letztlich könne die Lesbarkeit der RFID-Chips in Pässen aus der Entfernung genutzt werden, um zum Beispiel personenspezifisch Bomben auszulösen.

Piraterie: Entzauberte Mondzahlen

In Australien sorgt die vorzeitige Veröffentlichung eines staatlichen Gutachtens zur Kriminalität im Zusammenhang mit geistigem Eigentum (also Piraterie) für Aufsehen. Die Untersuchung, die vom australischen Justizministerium in Auftrag gegeben wurde, kommt zu dem Schluss, so The Australian, dass Urheberrechtsinhaber "zu erklären versäumen", wie ihre Statistiken zu den angeblichen finanziellen Verlusten durch Urheberrechtsbrüche zustande kommen und wo diese Statistiken für Lobbyaktivitäten und vor Gericht eingesetzt werden. Die Zahlen, welche die internationale Business Software Association für das Jahr 2005 in Australien angibt (361 Millionen Dollar Schaden im Jahr), seien "unbestätigt und erkenntnistheoretisch unseriös", so der Report. Manche Zahlen seien schlicht absurd - davon auszugehen, dass jeder Download auch gleichzeitig ein erfolgreicher Verkauf sein könnte, funktioniere nicht.

Die australische Dependance der BSA dazu: Unsere Studien basieren auf Hochrechnungen, werden aber von anderen Studien bestätigt.

Doch der vorzeitig veröffentlichte Bericht geriet ebenfalls in die Kritik - für seine harsche Sprache. Institutsmitarbeiter bestätigten: Der Report sei noch in Bearbeitung, die frühe Version etwas zu aufgeblasen und übertrieben formuliert.

Auch ein anderes Standardargument der Industrie-Studie wird von den Forschern auseinandergenommen: Eine Verbindung zwischen sogenannter organisierter Kriminalität und Piraterie konnten die Forscher nicht finden. "Entweder es gibt keine Beweise für eine Verbindung, oder deren Nachweis ist schlicht jenseits der Fähigkeiten der Rechteinhaber, diese zu erkennen."

Generell sei das Zahlenmaterial der Industrie dürftig, wenn es vor Gericht Verwendung finden sollte, dann bitte nur, wenn die Statistiken transparent und stichhaltig begründet werden. Aber davon ist ersteinmal nicht auszugehen - manche Industriegruppierungen hätten schlicht Angst davor, aussagekräftiges Zahlenmaterial herauszugeben. Es könnte ja der Konkurrenz in die Hände fallen. Man sei nicht interessiert daran preiszugeben, wie eng man mit der Regierung zusammenarbeitet, zum Beispiel über Lobbygruppen.

Microsoft bietet Sonys Rootkitkiller an

Beinahe vier Monate nachdem Microsoft den Entdecker des Sony Rootkits angeheuert hat, wurde die Software von Mark Russinovich Firma "Winternals Software" auf der Microsoft-Webseite veröffentlicht - inklusive eines neuen Werkzeugs, mit dem man sich gegen Hacker wehren kann.

Die Freeware-Produkte, so Infoworld.com, seien bis auf einige Updates und einen Prozess-Monitor identisch mit den Tools, die Russinovich und sein Partner Cogswell zuvor auf Sysinternals.com zum Download angeboten hatten. Der Prozessmonitor soll dabei helfen, Windows unter die Haube zu schauen und fragwürdige Programme, die im Hintergrund laufen, auszumachen.

Russinovich hatte vor fast genau einem Jahr den Rootkit-Skandal um Sony losgetreten. Er entdeckte, dass Sony über Musik-CDs eine unsichtbare Software auf PCs installiert, die Kopierschutz gewährleisten sollte - und dabei böswilligen Hackern Tür und Tor zu potentiell Millionen von Rechnern öffnete.

Russinovichs Blog-Eintrag, der zunächst zu einem lauten Aufschrei unter Konsumentenschützern und Bürgerrechtlern und schließlich zum weltweiten Rückruf der CDs führte, ist nun auch auf Microsoft TechNet-Seiten zu lesen.

Neues bei Yahoo Mail und Gmail

Nachdem Google schon seit einiger Zeit auch einen integrierten Instant-Messenger in Gmail anbietet, springt nun auch Yahoo auf den Zug auf. Ab nächsten Monat haben 250 Millionen Yahoo-Mail-User die Möglichkeit, den Yahoo-Messenger im selben Fenster zu benutzen, in dem sie auch Mails schreiben. Laut Reuters muss dazu auch keine Software heruntergeladen werden.

Auch bei Gmail hat sich was getan - aber so unauffällig, dass viele User das wahrscheinlich bisher übersehen haben. Gut, dass das Interestingwritings-Blog weiterhilft: Öffnet man eine Mail, ist rechts oben nun ein kleiner "Reply"-Button zu sehen, nebst einem kleinen Pfeil, der ein Ausklappmenü öffnet, über das Standard-Optionen nun schneller zu erreichen sind. Einziger Wermutstropfen: User der deutschen Gmail-Version müssen noch ein wenig auf eine Übersetzung warten - oder ihr Gmail auf "englisch" umstellen. So kommt man früher in den Genuss auch anderer Neuerungen.

Microsoft stopft sechs Löcher

Microsoft wird nächsten Dienstag sechs Updates veröffentlichen, von denen eines eine Sicherheitslücke im XML-Core-Service schließt, die bereits für Cyberattacken ausgenutzt wird.

Wie viele Sicherheitslücken insgesamt vom Update-Paket gestopft werden, ging laut ZDNet nicht aus Microsofts Meldung hervor. Ebenso wenig, wie das befürchtete Auto-Update von Windows auf den Internet Explorer 7. Wie man das allerdings verhindern kann, verrät Heise Security.

Phishing: Schaden, Opfer, Netzwerke

Gleich drei besorgniserregende Meldungen zum großen Internet-Leid Phishing sollten Websurfer alarmieren. Einerseits hat das Broadbands-Reports-Blog eine neue, sehr erfolgreiche Phishing-Methode enttarnt. In MySpace-Profilen kann ohne Probleme die "offizielle" Login-Box der Community eingebaut werden, über die sich im Handumdrehen Userzugänge abfischen lassen - die möglicherweise auch bei eBay oder Paypal funktionieren und dem Phisher so Zugriff auf sensible Daten bieten.

Desweiteren werden die Schadenssummen, die durch Phisher entstehen, immer größer. Innerhalb eines Jahres (bis 30. August dieses Jahres), so haben die Forscher von Gartner laut laut Techweb.com zusammengezählt, haben Phisher insgesamt 2,8 Milliarden Dollar gestohlen.

Noch schlimmer: Obwohl die Zahl der Opfer anscheinend zurückging, stieg der durchschnittliche Verlust durch den Betrug von 257 Dollar auf 1.244 Dollar - und die Chance, etwas vom verlorenen Geld je wiederzusehen fiel von 80 auf 64 Prozent des verlorenen Geldes.

Außerdem, so geht laut News.com aus dem Report hervor, bekommen Gutbetuchte überdurchschnittlich mehr Phishing-Attacken ab, als Normalverdiener: 112 statt 74. Wobei das auch an einer (statisch) verstärkten Internetnutzung bei vermehrtem Einkommen liegen dürfte.

Und obwohl User mit hohem Einkommen seltener auf Phishing hereinfallen als andere, waren die Verluste derer, die doch auf den bösen Link klickten, deutlich größer als normal - durchschnittlich 4,362 Dollar pro Fall. Vier Mal so hoch wie bei Usern anderer Einkommens-Kategorien.

Mehr zum Thema


© SPIEGEL ONLINE 2006
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.