Die Sicherheit von Whatsapp gelte global – es sei “dumm” sie wegen einer britischen Chatkontrolle aufzugeben, erklärt der Whatsapp-Chef.

Whatsapp-Chef Will Cathcart will die Sicherheit von Whatsapp nicht für eine in Großbritannien geplante Chatkontrolle unterminieren. Es sei “dumm” dies zu tun, da Whatsapp weltweit einheitliche Standards bieten müsse.

Die per Whatsapp versendeten Nachrichten werden mit einer Ende-zu-Ende-Verschlüsselung (E2EE) geschützt. Diese stellt sicher, dass nur Sender und Empfänger die Nachrichten lesen können. Mit einer Chatkontrolle soll dieser Schutz umgangen und damit faktisch abgeschafft werden.

“Wenn wir die Sicherheit für die ganze Welt herabsetzen müssten, um den Anforderungen in einem Land gerecht zu werden, wäre das … für uns sehr dumm zu akzeptieren und unser Produkt für 98 Prozent unserer Nutzer wegen der Anforderungen von 2 Prozent weniger attraktiv zu machen”, sagte Cathcart dem Sender BBC.

“Was vorgeschlagen wird, ist, dass wir – entweder direkt oder indirekt über eine Software – die Nachrichten von allen lesen. Ich glaube nicht, dass die Leute das wollen”, sagte der Whatsapp-Chef weiter.

Großbritannien arbeitet an einem Gesetzentwurf (Online Safety Bill), der Unternehmen zu einem Scan nach Abbildungen von Kindesmissbrauch sowie Terrorismus verpflichtet – auch in bisher Ende-zu-Ende-verschlüsselten Nachrichten. Unternehmen, die dem nicht nachkommen, sollen laut einem Gesetzentwurf bis zu 18 Millionen Pfund (21 Millionen Euro) oder 10 Prozent ihres Jahresumsatzes Strafe drohen.

Analog zu Großbritannien plant auch die EU eine Chatkontrolle. Die EU-Kommission habe sich bei ihrem entsprechenden Vorschlag offensichtlich an der britischen Online Safety Bill orientiert, erklärte Tom Jennissen von der Digitalen Gesellschaft. “Dass die britische Variante Kindesmissbrauchsdarstellungen und terroristische Inhalte weitgehend gleich behandelt, zeigt, dass auch die geplante EU-Regelung – allen Beteuerungen der Kommission zum Trotz – ohne Weiteres auf andere Deliktsfelder übertragbar wäre.”

Der Beitrag Chatkontrolle: Whatsapp will Sicherheit nicht für Briten aufgeben erschien zuerst auf Linux-Magazin.

Angreifer geben sich in E-Mails als Sicherheitsunternehmen aus und bitten um einen Rückruf. Doch statt einer Überprüfung wird der Rechner gehackt.

Sie geben sich als Sicherheitsunternehmen wie Mandiant oder Crowdstrike aus und bitten um einen Rückruf wegen eines Sicherheitsproblems. Doch wer die Telefonnummer anruft, landet nicht bei der Sicherheitsfirma, sondern bei Betrügern, die ihr Opfer per Social Engineering zur Installation einer Schadsoftware überreden wollen. Diese preisen sie natürlich als Sicherheitssoftware an.

Statt ihren Opfern einen Link zu einer Phishing-Webseite oder Schadsoftware in Form von Anhängen oder Links zu schicken, setzen immer mehr Angreifer auf solche Callback-Phishing-Kampagnen, bei denen sie unter dem Namen bekannter Unternehmen um einen Rückruf bitten, sei es, um eine Abonnementverlängerung zu stornieren, oder um ein Sicherheitsproblem zu besprechen. Rufen Opfer die Telefonnummer an, versuchen die Betrüger sie beispielsweise zur Installation einer Fernwartungssoftware zu überreden.

Das Onlinemagazin Bleepingcomputer berichtet über einen Fall, in dem sich die Angreifer als Experten der Sicherheitsfirma Crowdstrike ausgaben und die Betroffenen in einer E-Mail vor vermeintlichen Hackern warnten, die in das Netzwerk des Unternehmens eingedrungen seien. Deshalb sei eine gründliche Sicherheitsüberprüfung erforderlich, erklärten die Angreifer.

Anschließend erklärten sie ausführlich, warum ein Zugriff auf die Geräte der Betroffenen nötig seien. Man habe während einer täglichen Netzwerküberprüfung abnormale Aktivitäten in dem Segment des Netzwerks festgestellt, in dem sich der Arbeitsplatz der betroffenen Person befinde, erklärten die Täter demnach. Man habe den spezifischen Domänenadministrator identifiziert, der das Netzwerk verwalte, und vermute eine Kompromittierung aller Arbeitsrechner in diesem Netzwerk.

Daher würden alle Arbeitsplätze detailliert überprüft, hieß es weiter. Man habe sich bereits an die Sicherheitsabteilung des Unternehmens gewandt, diese habe sie allerdings an die einzelnen Arbeitsplätze beziehungsweise die dortigen Mitarbeiter verwiesen, um eine mögliche Kompromittierung der Arbeitsplätze vor Ort zu verhindern. Daher solle man dringend unter der genannten Telefonnummer einen Termin zur Sicherheitsüberprüfung ausmachen.

In einem Bericht geht die echte Sicherheitsfirma Crowdstrike davon aus, dass das Ziel der Angreifer letztlich ein Ransomwareangriff und eine damit verbundene Lösegeldforderung ist. “Dies ist die erste identifizierte Callback-Kampagne, die sich als Cybersecurity-Unternehmen ausgibt, und hat angesichts der Dringlichkeit von Cyberangriffen ein höheres Erfolgspotenzial”, warnt Crowdstrike.

Vitali Kremez von der Sicherheitsfirma Advintel vermutet, dass hinter den Angriffen die Ransomwaregruppe Quantum steckt. Man habe erstmals im Juni 2022 entsprechende Angriffe entdeckt, bei denen sich die Betrüger als IT-Experten von Crowdstrike oder Mandiant ausgegeben hätten.

Der Beitrag Callback-Phishing: Dringender Rückruf erbeten erschien zuerst auf Linux-Magazin.

Messenger sollen in der EU Nachrichten untereinander austauschen können. Signal sieht darin eine Gefahr für seine Datenschutzstandards.

Das kürzlich vom Europaparlament verabschiedete Digitale-Märkte-Gesetz (engl.: Digital Markets Act, DMA) sieht vor, dass Messenger interoperabel werden, also Nachrichten zwischen verschiedenen Diensten ausgetauscht werden können. Doch der auf Sicherheit fokussierte Messenger Signal sieht durch die Regelung seine Datenschutzstandards in Gefahr.

“Das Ziel von Signal ist es, private und sichere Kommunikation für alle und jeden bereitzustellen. Die Zusammenarbeit mit iMessage und Whatsapp würde letztendlich die Privatsphäre von Signal und seinen Benutzern verschlechtern”, erklärte die gemeinnützige Signal-Stiftung. “Andere Apps, die nicht die gleichen Datenschutzstandards wie Signal haben, hätten Zugriff auf große Mengen von Benutzerdaten. Diese Daten könnten dann auf eine Weise verwendet oder verkauft werden, die nicht mit der Mission und den Werten von Signal übereinstimmt.”

Der Messenger verschlüsselt alle Nachrichten mittels des Signal-Protokolls Ende-zu-Ende und reduziert die Metadaten weitestgehend. So werden auch die Gruppen und Gruppenmitgliedschaften verschlüsselt und sind nur für die Mitglieder, nicht aber für den Anbieter einsehbar. Dagegen bieten der Facebook Messenger oder Telegram eine Ende-zu-Ende-Verschlüsselung nur optional an. In Gruppen steht bei Telegram grundsätzlich keine Ende-zu-Ende-Verschlüsselung zur Verfügung.

Dabei ist das Ziel von DMA und des ebenfalls beschlossenen Digitale-Dienste-Gesetzes (engl. Digital Services Act, DSA), “das Internet aufzuräumen und digitale Monopole zu bekämpfen”, wie es der Linken-Abgeordnete Martin Schirdewan formulierte. Während viele Regelungen begrüßt wurden, war die Interoperabilitäts-Regelung jedoch von Anfang an umstritten.

So warnte Kommissionsvizepräsidentin Margrethe Vestager im März 2021: “Wenn wir jetzt vorschreiben, dass alle Messenger kompatibel sein müssen, könnte das dazu führen, dass wir eine Art SMS zurückkriegen.”

Ähnlich äußerten sich im vergangen Jahr etliche Anbieter von Messenger- und Videokonferenzdiensten in einer Befragung des Bundeskartellamtes, darunter Whatsapp, Threema und Facebook Messenger.

“Interoperabilität laufe auch wider Verbraucherinteressen, indem das Nutzererlebnis beeinträchtigt und Multi Homing, also die Unterhaltung von Nutzerkonten bei mehreren Messengerdiensten, verhindert werde. Ein verpflichtendes Interoperabilitätsvorhaben führe dazu, dass es in allen genannten Bereichen nur noch zum kleinsten gemeinsamen Nenner komme”, zitiert das Bundeskartellamt aus den Antworten.

Von einer Verpflichtung zur Interoperabilität würden “nachteilige Auswirkungen insbesondere auf Innovation, Datensicherheit und Datenschutz” befürchtet, heißt es in der Befragung. Allerdings müssen nur sogenannte Gatekeeper ihre Dienste öffnen, also Kerndienste im Internet, die eine besonders weite Verbreitung haben und an die deshalb besonders ausgeprägte Anforderungen zu Wettbewerbspraktiken gestellt werden.

Der Beitrag DMA: Signal sieht in Interoperabilität Gefahr für die Sicherheit erschien zuerst auf Linux-Magazin.

An hessischen Hochschulen darf Zoom weiter genutzt werden, sofern die Maßnahmen des Hessischen Modells umgesetzt werden.

Lehrveranstaltungen an hessischen Universitäten können weiterhin über die Videokonferenzsoftware Zoom abgehalten werden, sofern die Vorgaben des sogenannten Hessischen Modells eingehalten werden. Das teilte die Behörde des Landesdatenschutzbeauftragten Alexander Roßnagel mit.

Aufgrund der Coronapandemie hatte die hessische Datenschutzbehörde den Einsatz von Videokonferenzsystemen wie Zoom geduldet, auch wenn diese nicht den datenschutzrechtlichen Anforderungen entsprachen. Diese Duldung lief im Juli 2021 aus. Hintergrund ist eine Entscheidung des Europäischen Gerichtshofes (EuGH). Nach diesem Schrems II genannten Urteil dürfen personenbezogene Daten nur in die USA übertragen werden, wenn sichergestellt wird, dass US-Behörden nicht auf sie zugreifen können. Dies könne ein US-Anbieter wie Zoom jedoch nicht garantieren, erklärte die hessische Datenschutzbehörde.

Die Universität Kassel hat nun mit Unterstützung der Datenschutzbehörde das Hessische Modell entwickelt, mit dem die personenbezogenen Daten der Teilnehmer an einer Zoom-Konferenz entsprechend geschützt werden sollen. Damit soll die Videokonferenzsoftware weiterhin genutzt werden können.

Für den Betrieb der Server des Videokonferenzsystems muss daher ein von Zoom unabhängiger Auftragsverarbeiter mit Servern und Sitz in der EU beauftragt werden. Alle Inhalte müssen Ende-zu-Ende-verschlüsselte werden und die Software darf ausschließlich für Lehrveranstaltungen genutzt werden. So müssen beispielsweise Einzelgespräche über andere Systeme abgewickelt werden.

Ein solches “alternatives datenschutzkonformes Videokonferenzsystem für andere Zwecke oder für Lehrpersonen, die nicht mit Zoom arbeiten wollen”, muss ohnehin von der Universität angeboten werden. Zudem müssten die Lehrkräfte sowie die Studenten ausführlich über “weiterführende, unterstützende Maßnahmen zum Schutz der informationellen Selbstbestimmung” informiert werden. Insgesamt müsse ein Abfluss von personenbezogenen Daten der Studenten in die USA verhindert werden, heißt es in der Zusammenfassung des Hessischen Modells.

“Das Hessische Modell zeigt, dass es sich lohnt, konstruktiv nach Wegen zu suchen, wie durch Technikgestaltung die Vorteile bestimmter IT-Systeme genutzt werden können, ohne dass der Datenschutz auf der Strecke bleibt. Insofern ist dieses Modell auch für andere Videokonferenzsysteme ein Vorbild und kann methodisch auf viele Probleme des Datenschutzes übertragen werden”, sagte Roßnagel.

Der Beitrag Hessen: Datenschutzbeauftragter erlaubt Zoom-Einsatz unter Auflagen erschien zuerst auf Linux-Magazin.

Dieses Jahr soll wieder ein physischer Chaos Communication Congress stattfinden. In Hamburg wird der Hackerkongress jedoch deutlich kleiner ausfallen.

Der Chaos Communication Congress (CCC) soll dieses Jahr wieder wie gewohnt stattfinden, nachdem er die letzten Jahre ausgefallen und stattdessen die Remote Chaos Experience (rC3) Online abgehalten wurde. Als Ort für den Hackerkongress soll wieder das Kongresszentrum CCH in Hamburg dienen.

“Wir wollen im Dezember zum 37C3 in Hamburg zusammenkommen”, sagte Linus Neumann, Sprecher des Chaos Computer Clubs. Dort hatte der Chaos Communication Congress bis 2016 stattgefunden und wurde im Zuge einer mehrjährigen Renovierung des Kongresszentrums CCH in den folgenden Jahren auf dem Leipziger Messegelände abgehalten. Dieses bot deutlich mehr Raum für die Veranstaltung und konnte entsprechend mehr Besucher aufnehmen. Der letzte Congress im Jahr 2019 war mit 17.000 Tickets ausverkauft.

Das nun renovierte Kongresszentrum soll hingegen nur 12.000 Personen auf 36.000 m² fassen können. Entsprechend kleiner müsste der 37. Chaos Communication Congress ausfallen. Ohnehin kann der Hackerkongress nur stattfinden, wenn keine neue Coronavirus-Variante auftritt und einen Strich durch die Rechnung macht. “Natürlich wissen auch wir nicht, ob äußere Umstände kurzfristig unsere Pläne durchkreuzen werden”, sagte Neumann.

In den vergangenen beiden Jahren musste das Chaos pandemiebedingt auf eine Onlinewelt ausweichen. In der 2D-Welt konnten die Besucher mit einem Avatar über das Kongressgelände spazieren und per Videochat mit anderen Besuchern interagieren. Das Kongressprogramm, allen voran die zahlreichen Vorträge, wurde per Livestream übertragen – wie es auch bereits bei den vergangenen physischen Kongressen der Fall war.

Der Beitrag Chaos Communication Congress soll in Hamburg stattfinden erschien zuerst auf Linux-Magazin.