„Passwort“ Folge 39: Vielfältiges Versagen in Redmond und andere News

Die sommerliche Urlaubszeit ist vorbei und die Hosts des Passwort-Podcasts machen sich gut erholt an die nächsten Folgen. Vom berüchtigten Sommerloch bemerken sie wenig: Gleich drei Folgen könnten sie mit den gesammelten Inhalten auf einen Schlag füllen.

Zunächst widmen Sylvester und Christopher sich einer Studie, die kürzlich auf der Security-Konferenz Black Hat vorgestellt wurde. Die großangelegte Untersuchung an einem kalifornischen Universitätsklinikum mit fast 20.000 Mitarbeitenden ergab, dass jährliche Awareness-Schulungen und Phishing-Tests per E-Mail praktisch wirkungslos sind. Christopher hatte eine Vorabversion der Studie bereits im vergangenen November unter die Lupe genommen und berichtet von den ernüchternden Ergebnissen.

Die weltgrößte CA Let’s Encrypt kann es gar nicht erwarten, ihr Verfahren zur Zertifikatsdokumentation umzustellen. Sie möchte ihre „Certificate Transparency Logs“ so schnell wie möglich vollständig vom alten Verfahren nach RFC 6962 auf die neuen „Static Logs“ umbauen und überschlägt sich in ihrer Ankündigung förmlich. Der Zeitplan war zunächst so knapp gewählt, dass offenbar auch die Browserhersteller nicht hinterherkamen.

Und dann war da noch Microsoft. Der Softwarehersteller aus Redmond hatte in den Sommermonaten mit einer haarsträubenden Lücke in seiner Kollaborationsplattform Sharepoint zu kämpfen – und Nutzer wie Redakteure mit dem eigenwilligen Verhalten rund um die Fehlerbehebung. Da ließen sich Patches mit einem simplen „/“ aushebeln, notwendige Konfigurationsänderungen wurden nicht automatisch ausgeführt und zu allem Überfluss ist Microsofts Kommunikationsstrategie auch maximal verwirrend. Das war sie auch bei einem aktuellen KI-Fehler, der zu unvollständigen Compliance-Protokollen führte. Aus Sicht des meldenden Sicherheitsforschers und auch nach Meinung der Hosts Christopher und Sylvester gab es auch in diesem Fall an der Reaktion des Konzerns einiges auszusetzen.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(cku)