Bundesbehörde warnt vor Schwachstelle in weitverbreiteter Software

[Wüstenkrieger]

Also etwas aufpassen!

https://www.spiegel.de/netzwelt/web/bun ... abfee3b0f2

[Tobias]

Nicht gut
Alle pw's ändern und so weiter

[Wüstenkrieger]

In diesem Fall leider sinnlos. Einzig mal Abstand zu Twitter etc. halten, bis die Betreiber die Lücke zugemacht haben.

[nordstern]

Steam.. au verdammt... Die ersten Betreiber scheinen aber schon zu fixen...

[Tatanka Yotanka]

Weil auf der Seite, zu der der angegebene Link führt, offensichtlich Unmengen an Cookies im Einsatz sind habe ich den Artikel da nicht gelesen. Aber nach derselben Meldung sonst gesucht. Das klingt besorgniserregend. Da ich aber so gut wie keine Ahnung von Computern habe, als "normaler" Nutzer, in wie fern muss ich vorsichtig sein? Was sollte ich beachten? Sogenannt "soziale Netzwerke" nutze ich eh nicht. Am ehesten wäre wohl noch DeviantArt etwas in der Richtung, ich bin aber nicht angemeldet. Ich schaue da nur ab und zu Tierbilder an. Und auch an anderen Webseiten nutze ich, glaube ich, keine wirklich Kritischen. Da nordstern etwas von Steam erwähnt hat, sollte ich das wohl nicht mehr starten. Auch wenn ich die Meldung jetzt erst gesehen habe, wohl reichlich spät.

[Homerclon]

Das betrifft vor allem die Serverbetreiber, auf denen betroffene Software läuft.
Man kann zwar auch auf dem Privat-PC betroffene Software laufen haben, aber die Wahrscheinlichkeit das es den Privat-PC betrifft ist verschwindend gering.

Du kannst Steam und die Webseiten ruhig weiter verwenden/besuchen. Jeder halbwegs kompetenter Admin wird sich bemühen diese Lücke zu stopfen und auch weiterhin ein Auge darauf haben.

[Tatanka Yotanka]

Vielen Dank.
Sind alte Spiele eventuell noch ein Risikofaktor? Die werden schliesslich nicht mehr betreut/geupdated. Ich habe zwar nicht mehr viele installiert.

[Wüstenkrieger]

Ich denke nicht, die Spiele sind ja nicht das Problem. Wenn geht es um den Zugang über Steam & Co - aber siehe Homerclon.

[Tatanka Yotanka]

Danke. Ich habe halt wirklich keine Ahnung von Computern, obwohl ich kenne Leute die haben noch weniger Ahnung davon. Von dem Ganzen habe ich nur verstanden, dass es bei Java eine massive Sicherheitslücke gibt/gab und dass Java in irgendeiner Form die Basis für weitere Computerprogramme ist. Daher ist es für mich unmöglich zu wissen was ein Sicherheitsrisiko ist, und was nicht.
Edit: Die Erklärung von Homerclon habe ich verstanden, aber ich möchte wenn möglich gar keine Software auf dem Computer haben, die gefährdet sein könnte. Daher meine Frage wegen den Spielen.

[Homerclon]

Es ist nicht nur Java betroffen, diese Funktion kann in quasi jeder Programmiersprache umgesetzt werden, aber in Java ist es am verbreitetsten.

Dann verkauf besser alles das in irgendeiner Form Kontakt zu anderen Geräten aufnehmen kann, dazu zählt nicht nur Netzwerk und Internet, sondern bspw. auch USB-Sticks, CDs, DVDs etc. Denn nicht nur fast jede Software enthält Fehler die sich als Sicherheitslücke erweisen können, sondern auch die Hardware selbst ist nicht davor gefeit.

2017 wurden bspw. die Sicherheitslücken Meltdown und Spectre in CPUs entdeckt. Nicht in allen und auch nicht bei allen gleich gravierend, aber quasi allen Leistungsfähigen, denn es wurde sich etwas zunutzen gemacht das für eine Leistungssteigerung sorgt. Seitdem wurden auch noch weitere Varianten davon gefunden. Natürlich wurde dagegen vorgegangen.

Hoffe auch das du nie eine OP benötigst, denn auch dort werden bereits Geräte eingesetzt die manipuliert werden können. Frag mich nicht, weshalb bspw. eine Herz-Lungenmaschine eine Netzwerkverbindung haben sollten während diese im OP im Einsatz sind, und warum dieses Netzwerk vom Internet aus erreichbar sein muss. Aber das gibt es, und dadurch ist es möglich das jemand von außen gezielt diese Maschine angreifen kann und somit jemanden töten ohne dieser selbst oder ein Mittelsmann im OP-Saal anwesend zu sein.
So etwas ist Grob fahrlässig, und es gibt ähnlich Schlimmes.
Boardcomputer von PKWs, auf die per WLAN zugegriffen werden kann, oder gar Internet über Mobilfunk integriert ist. Viel Spaß wenn ein *piep* Manipulationen vornimmt die ein Bremsvorgang verhindert, eine Vollbremsung auslöst - ohne das Bremslichter aufleuchten - oder den Airbag mitten in der Fahrt auslöst.

Wirklich jeden Scheiß zu vernetzen ist eine schlechte Idee, gerade dann wenn die Hersteller nach Lust und Laune den Support einstellen können und dann niemand mehr da ist der die bekannten Sicherheitsheitslücken schließt. Manche IoT-Geräte (Internet of Things - bspw. Haushaltsgeräte mit Internetzugang) erhalten nie ein Update, sind dann aber ein Einfallstor ins lokale Netzwerk, könnten außerdem zu Bots umkonfiguriert werden um bspw. DDoS-Angriffe auf Server durchzuführen ohne das die Besitzer dieser Geräte davon etwas mitbekommen - bis dann die Polizei vor der Tür steht.

[Söldner]

Es heisst nicht ohne Grund Internet of shiT ...
Produzenten lieben es halt, das sie so kein Produkt mehr verkaufen sondern eine Dienstleistung anbieten können (vgl. Software as a Service). Das hat rechtliche Gründe und für die Firmen den Vorteil konstante Einnahmen generieren zu könenn anstatt nur einmalig etwas zu verdienen. DLCs und Micropayments in Spielen sind ja Kinder des selben Geistes.

[Tatanka Yotanka]

Danke für die Antwort.

[Homerclon]

Da fällt mir gerade wieder ein: Geräte auf den Markt werfen und dann keine Sicherheitsupdates liefern ist in Deutschland seit dem 1.1. verboten. Die EU könnte auch noch nachziehen.
Aktuell gilt jedenfalls: Mind. 2 Jahre Funktionsupdates und 3 Jahre Sicherheitsupdates. Auch wenn es oft nur im Zusammenhang mit Smartphones und Tablets genannt wird, gilt es noch für weitere Geräte, wie den bereits angesprochenen IoTs.

Weil wir gerade bei Änderungen seit 1.1. sind: Die Verbraucherrechte bei der Gewährleistungspflicht wurden auch gestärkt, die Beweislastumkehr tritt nun erst nach 12 Monaten ein, anstatt bereits nach 6. Insgesamt bleibt die Gewährleistung jedoch bei 24 Monate.

[Wüstenkrieger]

Es wurde ab dato ein Sicherheitssiegel des BSI eingeführt.

https://www.t-online.de/digital/sicherh ... ennen.html

https://www.bsi.bund.de/DE/Themen/Unter ... _node.html

[Söldner]

Hmm evtl. ne dumme Frage, was bedeutet dies genau dafür wenn ich ein Gerät produziere, muss ich zwingend Softwareupdates machen wenn ich eine Internetanbindung habe? Oder ist das Allgemeiner gefasst auch für Hardwaredinge?