Freitag: Sicherheitslücken in Multifunktionsdruckern, Überwachung in Österreich

Eine Vielzahl von Multifunktionsdruckern verschiedener Hersteller weist teilweise eklatante Sicherheitslücken auf. Angreifer könnten sich Zugang zum Netzwerk und Daten verschaffen. Zwar stehen Firmware-Updates bereit, aber für eine der insgesamt acht gefundenen Schwachstellen gibt es nur einen Workaround: Kennwort ändern! In Österreich ist die staatliche Malware bislang nicht vom Parlament abgesegnet, da gibt es bereits Rufe nach Ausweitung. Der Bundestrojaner sollte nur in besonders schweren Fällen eingesetzt werden, doch der Innenminister will nun weitere Bereiche des Strafrechts abgedeckt sehen. Koalitionspartner NEOS stellt sich allerdings dagegen. Derweil bezeichnet Österreichs Telecomregulator Steinmaurer im Exklusivgespräch mit heise online IKT-Infrastruktur als Grundlage digitaler Souveränität. Das sieht die EU bereits seit einigen Jahren vor, doch er vermisst eine nationale Strategie – die wichtigsten Meldungen im kurzen Überblick.

Das IT-Sicherheitsunternehmen Rapid7 hat acht Schwachstellen in insgesamt 748 Multifunktionsdruckern, Scannern und Etikettendruckern von fünf verschiedenen Herstellern aufgedeckt. Angreifer könnten sich dadurch die Zugangsdaten zum Gerät selbst und dem angeschlossenen Netzwerk verschaffen. Die betroffenen Unternehmen Brother, Fujifilm, Ricoh, Toshiba und Konica Minolta haben Firmware-Updates bereitgestellt, aber eine Sicherheitslücke kann lediglich manuell umgangen werden. Die gefährlichste Schwachstelle ist die Umgehung der Authentifizierung, denn Angreifer können das Standard-Kennwort des Geräts anhand der Seriennummer herausfinden, um damit die Kontrolle über das Gerät zu erlangen: Sicherheitslücken in fast 750 Multifunktionsdruckern verschiedener Hersteller.

Um eine andere Art der Sicherheit geht es Österreichs Regierung. Diese plant, Malware im Millionenwert zu kaufen und zur Überwachung von Bürgern einzusetzen, die keiner Straftat verdächtig sind – wenn andere Ermittlungsmaßnahmen aussichtslos erscheinen. Der liberale Koalitionspartner NEOS war eigentlich dagegen, hat sich aber einen Kompromiss abringen lassen: Der Einsatzbereich sogenannter Bundestrojaner ist auf „Vorbeugung bestimmter, besonders schwerwiegender verfassungsgefährdender Angriffe„, die mit zehn Jahren oder längerer Haft bedroht sind, sowie Spionageabwehr beschränkt. Doch noch bevor das Gesetz beschlossen ist, ruft der Innenminister schon nach Ausweitung. Allerdings gibt es Protest sogar innerhalb der Regierung Österreichs: Ruf nach Ausweitung von Messenger-Überwachung.

Über ein anderes Thema der Alpenrepublik hat heise online mit Klaus Steinmaurer, Geschäftsführer Telekommunikation und Post der österreichischen Regulierungsbehörde RTR, gesprochen. „Alle reden von Digitalisierung und digitaler Souveränität„, sagte er. „Wir müssen bei der Infrastruktur anfangen, damit man das alles machen kann.“ Das heißt: Ein technischer Rahmen, zu dem Glasfaser, Rechenzentren und deren Stromversorgung gehören, sowie ein dazu passender rechtlicher Rahmen. „Dann kommen die Unternehmer“, ist sich der Österreicher sicher. „Es fehlt an einer Gesamtstrategie auf nationaler Ebene„. Die EU habe 2021 mit dem digitalen Kompass für die digitale Dekade ein Programm auf den Weg gebracht, doch fehle das rot-weiß-rote Pendant, so Österreichs Regulierer: Keine digitale Souveränität ohne Infrastruktur.

Wie in Österreich ist auch Überwachung in den USA umstritten. Dort sind Kennzeichen-Scanner, die ohne Verdacht oder Anlass alle vorbeifahrenden Fahrzeuge erfassen und speichern, bei US-Polizisten besonders beliebt. Es gibt nur bescheidene Einschränkungen für die Auswertung der Daten. Und selbst die halten manche Polizeibehörden nicht ein. Diese haben die Daten offenbar illegal abgefragt, etwa zum Aufenthaltsrecht oder wegen lokal verbotener Abtreibungen. Flock, einer von mehreren Scannerbetreibern in den USA, ergreift jetzt behutsame Maßnahmen gegen Missbrauch: Daten aus Kalifornien, Illinois und Virginia können nur noch im Staat selbst abgefragt werden. Bald soll auch eine KI bei möglichem Missbrauch Mitteilung machen in den USA: Polizisten haben Kennzeichen-Scanner missbraucht.

Sommer, Hitze, (etwas) kürzere Podcast-Episode – doch die Themen sind alles andere als heiter: In Folge 137 des c’t-Datenschutz-Podcasts sprechen wir über aktuelle Fälle und Urteile. Ein Fall aus Niedersachsen führt direkt zu akustischem Kopfschütteln: Eine öffentlich zugängliche, schwenkbare Webcam filmte einen FKK-Strand und übertrug die Bilder live ins Netz – ohne Hinweis für die Besucher. Die niedersächsische Datenschutzbehörde griff ein, ließ die Bilder verpixeln und prüft ein Bußgeld. Kein Bußgeld gibt es von VW, denn ein Staatsanwalt vergaß, eine Beschwerde gegen ein Gerichtsurteil zu unterschreiben. Zudem erörtern wir ein Urteil, das Meta erlaubt, öffentliche Facebook- und Instagram-Postings für das Training seiner Sprach-KI zu verwenden. Darum geht es in der Auslegungssache 137: Ohne Unterschrift kein Geld!

Auch noch wichtig:

• Der in beliebten Modellen großer Hersteller verbaute Bluetooth-Chipsatz ist angreifbar. Hacker konnten so Anrufe starten und Geräte abhören. Da es kaum Updates gibt, ist es ein Zero-Day: Bluetooth-Lücke macht Millionen Kopfhörer zu Abhörstationen.
• Der Musiker Moby stellt hunderte Tracks kostenlos im Web zur Verfügung. Doch im Kleingedruckten lauern juristische Fußangeln: Moby veröffentlicht unfreie Gratis-Musik mit ethischen und politischen Schranken.
• Für das KI-Training hat Meta Schattenbibliotheken heruntergeladen. Trotzdem sind die Autoren und Autorinnen vor Gericht gescheitert – wegen mehrerer Fehler: Bei Raubkopien für KI-Training bekommt Meta recht, die Klagenden einen Rüffel.
• Schummeln Schüler mittels KI bei Leistungserhebungen? Einen Hase-und-Igel-Wettlauf sollte man sich in dem Fall sparen und umdenken, erklärt Bernhard Gmeiner im Interview: „Bisherige Prüfungsformate werden durch den Einsatz von KI nutzlos“.
• Amazon arbeitet an einem neuen „James Bond“-Film. Regisseur ist Denis Villeneuve, der unter anderem die „Dune“-Filme gedreht hat: Dune-Regisseur Denis Villeneuve dreht den neuen James-Bond-Film.
• Wer sich von einem iPhone mit iOS 26 wecken lässt, bekommt womöglich ein Problem. Das Button-Design ist eher unklug in iOS 26: Schnell mal verschnarcht – Ärger mit neuem Wecker.
• Auf seiner Hauskonferenz zeigte HPE viel RZ-Hardware mit Nvidia. Zweites Standbein ist inzwischen die RZ-Software, bei der sich HPE für die Konkurrenz öffnet: HPE startet seine VMware-Alternative.
• Wer sich mit dem Etikett der Freiheit schmückt, darf bei Open Source oder Creative Commons nichts und niemanden ausschließen, meint Hartmut Gieselmann in seinem Kommentar: Open Source auch für die Bösen!
• Vor 30 Jahren entstand in Frankfurt der heute größte Internetknoten der Welt: DE-CIX. Anfangs wurde mit 2-Megabit-Leitungen gearbeitet. Es ist das Jubiläum des größten Internetknotens der Welt: Der DE-CIX wird 30.
• Nachdem der CCC auf Sicherheitslücken bei Hunderten Bestellseiten von Restaurants aufmerksam gemacht hatte, prüft die Datenschutzbehörde den Vorfall: Datenschutzbehörde prüft Fall nach Datenlecks bei Hunderten Restaurant-Websites.
• Das Weltraumteleskop James Webb hat schon einige Entdeckungen geliefert. Nun wurde damit auch erstmals ein Exoplanet direkt abgebildet, kleinere sollen folgen: Weltraumteleskop James Webb bildet erstmals Exoplaneten direkt ab.
• Die Trump Organization bewarb das Trump-Phone mit der Behauptung „Made in USA“. Davon ist nun nicht mehr die Rede – und es gibt weitere Änderungen. Es wird kleiner, später, nicht mehr „Made in USA“: T1 Phone nach unten korrigiert.

(fds)