Unternehmen, die auf Verlangen der US-Bundesbehörde FBI keinen Zugang zu Daten von Kunden oder das Abhören von Kommunikation für Strafverfolgungszwecke ermöglichen, sollen künftig bestraft werden können. Die Washington Post berichtet, eine Arbeitsgruppe der US-Regierung bereite zurzeit ein Gesetz vor, das Geldstrafen für solche Unternehmen vorsieht. Demnach könnten betroffene Unternehmen wie Internetprovider für jeden Tag, an dem sie keinen Zugriff auf die Kommunikation bieten, mit einer Strafe von einigen zehntausend US-Dollar belegt werden. Nach 90 Tagen könnten sich die unbezahlten Strafbeträge täglich verdoppeln.
Bei heise Security gehen derzeit Leserhinweise zu Mails ein, die angeblich von der Postbank stammen und zur Installation einer "SSL-Zertifikat App" auffordern. Eine schnelle Analyse zeigt, dass es sich dabei um einen Trojaner für Android-Smartphones handelt, der unter anderem PIN und mTANs fürs Online-Banking abgreift.
Uruguay hat als erstes Nicht-Mitglied des Europarates in Straßburg das "Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten" ratifiziert. Am 1. August tritt die Datenschutz-Konvention des Europarates in dem südamerikanischen Land in Kraft. Sie verpflichtet die Unterzeichnerstaaten, in ihren nationalen Gesetzen Prinzipien wie die Zweckbindung, angemessene Speicherfristen sowie ein Recht der Bürger auf Einsicht in ihre nationalen Gesetzen zu gießen.
Cyberkriminelle sind unermüdlich auf der Suche nach neuen überzeugenden Schlüsselwörtern, um ihre mit Trojanern verseuchten E-Mails erfolgreicher zu machen – nun setzen sie auf den guten Ruf von Trusted Shops und deren "Käuferschutz".
Software-Riese Microsoft arbeitet offenbar an einer Zwei-Faktor-Authentifizierung für die Konten seiner Nutzer. Laut einem Bericht des Blogs Liveside soll dabei vorgesehen sein, dass zusätzlich zum Passwort auch ein Sicherheitscode eingegeben werden muss, der von einer Authentifizierungs-App auf dem eigenen Smartphone erzeugt wird. Damit müsste sich ein potentieller Angreifer sowohl der Login-Daten als auch des Handys bemächtigen, um Zugriff aufs Konto zu erlangen.
Die neue Ausgabe des Newsletters der a-i3 ist erschienen. Themen sind: Cloud-Zertifizierung, BYOD, neue Angriffszenarien für Identitätsdiebstahl, sowie ein Hinweis auf die Programmerweiterung des a-i3/BSI Symposiums 2013. Sie finden den Newsletter hier.
Die Antivirenfirma Sophos hat auf die Kritik gegen das in Kürze an den Start gehende Datensammler-Tool "Report an Sophos" reagiert. Die Firma bietet jetzt eine Option, das Sammeln von Nutzungsdaten in der Management-Oberfläche abzuschalten. Bislang war von einer solchen Option nie die Rede; jetzt erklärt Sophos jedoch, dass die Möglichkeit der Deaktivierung des Reports von Anfang an bestanden habe.
Hamburgs Datenschutzbeauftragter Johannes Caspar will Googles Privatsphäre-Bestimmungen überprüfen. Er habe gegenüber der Google Inc. eine Kontrolle der Verarbeitungspraxis der Nutzerdaten angekündigt, teilte sein Büro am Dienstag in Hamburg mit. Hintergrund seien Googles Datenschutzbestimmungen, die trotz Bedenken der auf EU-Ebene zusammengeschlossenen nationalen Datenschutzaufsichtsbehörden im März 2012 in Kraft gesetzt worden seien. "Detaillierte Analysen (…) lassen durchaus Zweifel erkennen, ob nach der Änderung der Privatsphäre-Bestimmungen die Verarbeitung von Nutzerdaten durch Google auf einer zulässigen Grundlage erfolgt", betonte Caspar.
Die auf Firmenkunden ausgerichtete Antivirenfirma Sophos will in Kürze ungefragt ein Tool auf den Rechnern seiner Kunden installieren, das Informationen über Infrastruktur und Nutzungsverhalten einsammelt – und an den Hersteller schickt.
Die Sicherheitsfirma Group-IB hat eine Malware namens "Dump Memory Grabber" aufgespürt, die Debit- und Kreditkartendaten von Kassenterminals und Geldautomaten ausspäht. Den Forschern zufolge wurde die Malware bereits dazu verwendet, um Daten von Kunden der US-Banken Chase, Capital One, Citibank und der Union Bank N.A. zu stehlen. Auch Kunden des Bekleidungshauses Nordstrom scheinen betroffen zu sein.
