Dass man so viel trinken kann, wie man will, solange man nicht motorisiert unterwegs ist, ist ein weitverbreiteter Irrglaube. Tatsächlich gibt es auch bei Radfahrern eine "absolute Fahruntüchtigkeit", die der Bundesgerichtshof (BGH) derzeit bei Blutalkoholwerten ab 1,6 Promille vorliegen sieht. Dem Deutschen Verkehrssicherheitsrat (DVR) und dem Verband Unfallforschung der Versicherer (UDV) ist das nicht genug. Auf dem letzte Woche in Berlin abgehaltenen Symposium Sicherer Radverkehr sprachen sie sich für einen neuen Radfahrer-Alkoholgrenzwert in Höhe von 1,1 Promille aus.

Zusätzlich soll wie bei 0,8 Promille eine Schwelle eingeführt werden, ab der das Fahrradfahren noch nicht als Straftat, aber als Ordnungswidrigkeit gilt und mit Bußgeldern und Verkehrssünderpunkten bestraft wird. Autofahrer begehen derzeit eine Ordnungswidrigkeit, wenn sie sich mit einem Blutalkoholwert zwischen 0,5 und 1,6 Promille ans Steuer setzen. Die kostet im Wiederholungsfall bis zu 1500 Euro und bringt zusätzlich ein Fahrverbot ein.

Fällt jemand im Straßenverkehr negativ auf, dann kann bereits ab einem Wert von 0,3 Promille eine strafbare Fahruntüchtigkeit vorliegen. Dies gilt für Auto- und Radfahrer gleichermaßen. Den Rekord für den höchsten bislang in Deutschland bei einem Radfahrer gemessenen Blutalkoholwert hält mit lebensgefährlichen 5,6 Promille ein Mann aus dem bayerischen Coburg, der stürzte und beim Eintreffen der Polizei noch eine Bierflasche in der Hand hielt.

Bei einem Verkehrsunfall auf der B 26 zwischen Griesheim und Wolfskehlen ist am frühen Dienstagmorgen ein 24 Jahre alter Mann aus Groß-Gerau ums Leben gekommen. Wie die Polizei mitteilte, war der junge Mann von Griesheim kommend in Richtung Wolfskehlen unterwegs. Aus bislang unbekannter Ursache und nach ersten Erkenntnissen vermutlich ohne Fremdeinwirkung, kam der Wagen plötzlich von der Fahrbahn ab und prallte gegen die Fassade einer Gaststätte. Der Wagen fing sofort Feuer und brannte völlig aus. Der junge Mann wurde umgehend in ein Krankenhaus eingeliefert, wo er wenig später seinen schweren Verletzungen erlag. Zur Klärung des Unfallhergangs und möglicher Ursachen wurde ein Sachverständiger hinzugezogen. Nach dem Unfall war die B 26 wegen Bergungsarbeiten für mehrere Stunden voll gesperrt.

Der SSL-GAU rund um den niederländischen Zertifikatsanbieter Diginotar hatte das Potenzial zu einer "internationalen Krise", gegen die die fortlaufenden Sicherheitsangriffe auf Sony "wie Peanuts" zu bewerten wären, erklärte Stefan Ritter vom Bundesamt für Sicherheit in der Informationstechnik (BSI) auf dem CAST-Forum zu Public Key-Infrastrukturen. Ein Vertreter der Zertifikatsherausgeber präsentierte unterdessen neue Maßnahmen, die die Gefahr eindämmen sollen.

"Die eigentlich für uns völlig uninteressante Firma" war als Zertifikatsanbieter Dienstleister für Notare und die niederländische Regierung und operierte als Zwischen-CA für die staatliche PKI-Overheid (Obrigkeit), die unter anderem die Zertifikate für die elektronische Identifikation aller Bürger der Niederlanden ausgibt. Eine unglaubliche Fülle von Schwachstellen bei Diginotar führte dazu, dass über den Zertifikatsprovider über 500 falsche SSL-Zertifikate in Umlauf kamen.

Festgenommen hat die Polizei einen 18 Jahre alten Mann aus Ginsheim-Gustavsburg, der im Verdacht steht, am Montag den 28.12.2011 gegen 23 Uhr auf dem Goddelauer Bahnhof eine 26 Jahre Frau in einer S-Bahn vergewaltigt zu haben. Die Tat geschah nach Mitteilung der Polizei, nachdem die Bahn gestoppt hatte. Der Lokführer war der Frau, die ebenfalls als Fahrgast unterwegs war, zu Hilfe gekommen und hatte die Polizei verständigt. Die fahndete mit mehreren Streifen, einem Polizeihund und unterstützt von einem Hubschrauber nach dem 18-Jährigen, der zu Fuß geflüchtet war. Polizeihund Derius stellte den Tatverdächtigen schließlich wenige hundert Meter vom Bahnhof entfernt. Der wegen Gewaltdelikten polizeibekannte Mann trug dabei Bissverletzungen davon.
Wie die Polizei am Mittwoch mitteilt, sitzt der Achtzehnjährige inzwischen in Untersuchungshaft. Ein Ermittlungsrichter hatte am Montagnachmittag gegen den Tatverdächtigen auf Antrag der Staatsanwaltschaft Darmstadt die Haft angeordnet.

Bei dem im September gemeldeten Hackerangriff auf die Zertifizierungsstelle (Certificate Authority, CA) GlobalSign wurden keine Zertifikate missbräuchlich ausgestellt, wie aus dem jetzt veröffentlichten Untersuchungsbericht hervorgeht. Der Angreifer hatte demnach lediglich Zugriff auf einen Webserver des Unternehmens, der sich an einem anderen Ort als die kritische CA-Infrastruktur befindet und nicht mit ihr verbunden ist.

Lediglich den privaten Schlüssel des auf www.globalsign.com ausgestellten SSL-Zertifikates konnte der Angreifer erbeuten – neben den ohnehin öffentlich zugänglichen Inhalten. Das Zertifikat wurde daraufhin von der CA für ungültig erklärt.

Dies deckt sich mit der Stellungnahme, die GlobalSign kurz nach dem Entdecken des Einbruchs veröffentlicht hatte. Im Rahmen der Untersuchung hat die CA unter anderem das Sicherheitsunternehmen Fox-IT zu Rate gezogen, das schon den Einbruch bei der niederländischen Zertifizierungsstelle DigiNotar analysiert hat. Im Fall DigiNotar gelang es dem Hacker, gültige Zertifikate für prominente Domains wie Google.com auszustellen. Er hatte behauptet, weitere CAs unter seiner Kontrolle zu haben.

Möglicherweise eine Reaktion auf Diskussionen über Zuverlässigkeit, Sicherheit und Datenschutz bei Cloud-Diensten ist das jetzt vom TÜV Austria vorgestellte und an Host Europe vergebene Zertifikat "Trusted Cloud". Dem Siegel liegt ein allgemeiner Anforderungskatalog zugrunde. Er definiert unter anderem Bedingungen, die Organisation, Betrieb, Datenschutz, physische Sicherheit und Infrastruktur des Cloud-Anbieters genügen müssen.

Wie diese Kriterien konkret kontrolliert werden, regelt ein Prüfkatalog, der an aktuelle Entwicklungen angepasst wird. Beide Dokumente sind nicht öffentlich zugänglich, den Anforderungskatalog bekam heise online jedoch auf Nachfrage von TÜV Austria zur Verfügung gestellt.

Im Wesentlichen geht es bei der Erteilung des Zertifikats um die Überprüfung definierter Abläufe und Prozesse, etwa für Backups und die Kapazitätsverwaltung. Außerdem wurde das System stichprobenartig etwa hinsichtlich der Server-Konfiguration untersucht. Ein weiterer Prüfpunkt des Audits waren Penetrationstests, die Host Europe zurzeit von einer externen Firma durchführen lässt. Details zu den Sicherheitskonzepten des Cloud-Anbieters enthält ein PDF-Dokument.

Dem Chaos Computer Club (CCC) ist nach eigenen Angaben die staatliche Spionagesoftware zugespielt worden, die allgemein unter dem Begriff "Bundestrojaner" oder in bundeslandspezifischen Versionen beispielsweise auch als "Bayerntrojaner" bekannt wurde. Der Staatstrojaner dient Ermittlern in Deutschland derzeit zur sogenannten Quellen-TKÜ (Quellen-Telekommunikationsüberwachung), um Voice-over-IP-Gespräche schon vor ihrer Verschlüsselung beim Sender oder nach der Entschlüsselung beim Empfänger abhören zu können.

"Die untersuchten Trojaner können nicht nur höchst intime Daten ausleiten, sondern bieten auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware", heißt es vom CCC. "Aufgrund von groben Design- und Implementierungsfehlern entstehen außerdem eklatante Sicherheitslücken in den infiltrierten Rechnern, die auch Dritte ausnutzen können", wirft der CCC den Ermittlungsbehörden vor.

Für Diskussionen sorgt derzeit ein Hinweisbeschluss, den das Oberlandesgericht Köln in einem Verfahren (AZ: 6 U 67/11) rund um eine Abmahnung für Filesharing erlassen hat. Der Beschluss deutet an, dass das OLG seine bisherige Einschätzung über die Berechnung des Schadens revidiert hat, die dem Rechteinhaber durch Filesharing entsteht. Die daraus resultierende Neubewertung könnte erheblichen Einfluss auf weitere Verfahren in diesem Bereich haben.

Bisher wurde von Abmahnern und Gerichten meist der Tarif VR-W I der Gesellschaft für musikalische Aufführungs- und mechanische Vervielfältigungsrechte (GEMA) für die Bemessung des Schadenersatzanspruchs in Filesharing-Fällen zugrunde gelegt. Dieser umfasst die Nutzung von Musikwerken als Hintergrundmusik insbesondere im Bereich der Werbung, die als Streaming zur Verfügung gestellt wird. Als Mindestlizenz ist nach diesem Tarif eine Zahlung in Höhe von 100 € für bis zu 10.000 Abrufe zu leisten.

Nach Ansicht der Richter entspricht dieser Tarif jedoch nicht den tatsächlichen Begebenheiten bei Filesharing. Vielmehr gehe es darum, einen Schaden abzugelten, der den Rechteinhabern dadurch entsteht, dass geschützte Werke "in unbekannter Zahl zum Download zur Verfügung gestellt worden sind". Aus Sicht des Senats entspreche diese Handlung nicht dem bisherigen Tarif VR-W I, sondern dem Tarif VR-OD 5, der die Nutzung einzelner Titel auch durch Download zum Gegenstand hat. Statt einer Mindestsumme von 100 € sieht dieser Tarif pro Titel und pro erfolgtem Zugriff einen Betrag in Höhe von 0,1278 € vor.

Wissenschaftler der Ruhr-Universität Bochum haben es geschafft, den Schlüssel von RFID-Karten eines bestimmten Modells zu kopieren. Für die Zugangskontrolle oder zu Abrechnungszwecken eingesetzte RFID-Karten sollen nicht nur bequem, sondern vor allem sicher sein: Doch könnten Angreifer eine kopierte Karte leicht missbrauchen.

David Oswald und Christof Paar ist es gelungen (PDF), die 3DES-Schlüssel von Karten des Typs DESFire MF3ICD40 auszulesen. Diese Karten stammen von Mifare, einem Tochterunternehmen von NXP Semiconductors. Sie werden unter anderem von Verkehrsbetrieben in der Tschechischen Republik, Melbourne und San Francisco verwendet. Bereits vor drei Jahren hatten Hacker eine andere RFID-Karte dieses Herstellers entschlüsselt, die im niederländischen Nahverkehr eingesetzt wurde.

Möglich wurde der jetzige Schlüsselklau durch eine Seitenkanalattacke, die die gegen solche Angriffe auf der Karte vorgesehenen Schutzmaßnahmen umging. Dazu maßen die Wissenschaftler wiederholt den Stromverbrauch beim Ver- und Entschlüsseln. Er lässt sich aus Veränderungen des Magnetfelds in der Nähe der Karte ermitteln.

Nach Angaben von Oswald und Paar sind die Mifare-Karten mit AES-Verschlüsselung vor dem von ihnen beschriebenen Angriff sicher. Der Hersteller hat die Lücke bestätigt und empfiehlt seinen Kunden den Umstieg auf ein aktuelles Modell. (ck)

Die beiden Lenker von RSA, Art Coviello (Chairman) und Tom Heiser (President), nutzten ihre jeweiligen Eröffnungsansprachen zur RSA Conference in London, um Einzelheiten der Angriffe im März zu erläutern. Coviello sagte, dass es sich beim Angreifer um einen Staat handeln müsse. Der Angriff sei zu ausgefuchst, als dass andere Angreifer in Frage kämen. Es lägen aber nicht genügend Belege vor, um einen bestimmten Staat auszumachen. Außerdem sei man auf zwei verschiedene Gruppen gestoßen, die hinter dem Angriff stecken. Beide Gruppen waren den Ermittlungsbehörden zuvor bekannt gewesen – aber nicht, dass sie zusammen arbeiten.

Klar wurde auch, dass RSA nicht das eigentliche Ziel der Angriffe war. Vielmehr ging es darum, die gestohlenen Infos für weitere Attacken auf andere Unternehmen zu nutzen. Coviello besteht weiterhin darauf, dass kein erfolgreicher Angriff mit den geklauten RSA-Daten möglich gewesen sei. Der Angriff auf Lockheed-Martin war wohl eine Folge des RSA-Hacks, wurde aber rechtzeitig abgewendet. Welche Art Information bei RSA ausgespäht wurden, wollten die RSA-Manager mit Verweis auf die andauernden Ermittlungen nicht verraten. Coviello sagte nur zum wiederholten Mal, dass lediglich Teile der Informationen rund um SecurID das Unternehmen verließen. Dennoch tauschte das Unternehmen im Juni Tokens bei Kunden aus.

RSA selbst wurde sehr wahrscheinlich durch eine gezielte Phishing-Attacke auf einen Mitarbeiter in der Personalabteilung gehackt. Im Anhang einer E-Mail war eine Excel-Tabelle, die wiederum eine Zero-Day-Lücke in Adobe Flash missbrauchte. Diese Informationen bestätigt RSA offiziell jedoch nicht. Bekannt wurde aber, dass die verwendete Schadsoftware erst wenige Stunden vor dem Angriff kompiliert wurde und bislang nicht gekannte Techniken zum Komprimieren und Verschlüsseln der geklauten Daten verwendete.

Der niederländische Zertifikatsherausgeber DigiNotar wird nach dem SSL-Debakel von seinem Eigner Vasco liquidiert. Das teilte Vasco in einer Stellungnahme mit. Man habe Insolvenz für das Unternehmen in den Niederlanden angemeldet.

Zuvor hatte die niederländische Regierung bereits die Kontrolle über DigiNotar übernommen, unter anderem auch, um weiteren Schaden von der niederländischen PKI "PKIoverheid" abzuwenden. Daneben hatte die niederländische Aufsichtsbehörde für Telekommunikation (OPTA) der Zertifizierungsstelle das Ausstellen weiterer qualifizierter Zertifikate untersagt, und sämtliche Browser-Hersteller hatten die Wurzelzertifikate aus ihren Produkten verbannt.

Damit ist nach gerade einmal drei Wochen seit Bekanntwerden des CA-Hacks das Unternehmen, dass nicht nur Server von Kunden sichern sollte und für den Staat der Niederlande ein wichtiges Trustcenter betrieb, de facto aufgelöst. Vasco bietet selbst 2-Faktor-Authentifizierungslösungen an, betont jedoch, dass die eigenen Systeme von der DigiNotar-Kompromittierung nicht betroffen sind. (dab)

Anhand der von einem intelligenten Stromzähler gelieferten Stromverbrauchsdaten ist es möglich, auf das auf einem typischen TV-Gerät angezeigte Fernsehprogramm zu schließen, da Fernseher je nach angezeigtem Bild unterschiedlichen Strombedarf haben. Das haben Forscher der FH Münster im Rahmen des vom Bund geförderten Projekts DaPriM (Data Privacy Management) in Versuchen herausgefunden. Dabei ist es über die Auswertung des Verbrauchsmusters prinzipiell auch machbar, einen etwa von DVD oder anderen Quellen abgespielten Film zu identifizieren.

Die niederländische Aufsichtsbehörde für Telekommunikation (OPTA) hat der Zertifizierungsstelle DigiNotar das Ausstellen weiterer qualifizierter Zertifikate untersagt. Bereits ausgestellte Zertifikate müssen für ungültig erklärt werden. Qualifizierte Zertifikate werden etwa im behördlichen Umfeld zum rechtsverbindlichen Signieren genutzt, sind also gleichbedeutend mit einer Unterschrift. Laut OPTA kann die Zuverlässigkeit der von DigiNotar ausgestellten Zertifikate nicht länger garantiert werden.

Der Zertifikatsaussteller GlobalSign hat nach einer Woche Pause seine Arbeit wieder aufgenommen. Bei der Untersuchungen der System habe sich herausgestellt, dass der Webserver des Unternehmens kompromittiert wurde. Hinweise für Einbrüche in die CA-Systeme habe es jedoch nicht gegeben. Gleichwohl bedeutet dies nicht, dass es keinen Einbruch gegeben hat.

Derweil diskutieren Sicherheitsspezialisten um die Glaubwürdigkeit der Angaben des DigiNotar-Hackers, er könne sich Zertifikate für Microsofts Windows-Update ausstellen. Microsoft hatte bereits vergangene Woche betont, dass Updates mit einem Wurzelzertifikat einer eigenen, nicht öffentlichen CA beglaubigt seien. Da der Hacker dafür keine Zertifikate ausstellen könne, sei das Unterschieben von manipulierten Updates nicht möglich.

Diese Aussage unterstützt der Sichereitsspezialist Dan Kaminsky. Demnach prüfe Windows Update nicht nur, ob eine Signatur eines Updates zu irgendeinem Wurzelzertifikat passe und damit gültig sei (WinVerifyTrust). Vielmehr prüfe Windows zusätzlich, ob es zu einem von Microsoft herausgegebenem Zertifikat passe (CertVerifyCertificateChainPolicy mit Parameter CERT_CHAIN_POLICY_MICROSOFT_ROOT). Eine ähnliche Funktion enthält auch Googles Browser Chrome, der bei Logins auf Google-Seiten nicht nur die Gültigkeit des SSL-Zertifikats prüft, sondern auch, ob sie von einem zugelassenen Aussteller (Thawte und andere) stammen.

Erst diese Funktion führte überhaupt dazu, dass das falsche Google-Zertifikat und der Hack von DigiNotar aufflogen. Hätte der Angreifer sich nur Zertifikate für Yahoo, Facebook und das Torprojekt ausgestellt, wäre das Problem vermutlich erst viel später aufgefallen. (dab)