Weitere News im Februar
Die Grand Challenges der Informatik 2025
Die GI (Gesellschaft für Informatik e. V.) hat die „Grand Challenges der Informatik 2025“ vorgestellt. Es sollen die größten Herausforderungen sein, denen sich die Informatik in den kommenden Jahren stellen muss. Die GI hat fünf Herausforderungen identifiziert:
Internet of Everything – Die Vernetzung aller Elemente des täglichen Lebens erfordert effiziente und belastbare Lösungen für Industrie 4.0, Smart Cities und Telemedizin.
Dezentrale KI – KI-Modelle sollen direkt dort trainiert und ausgeführt werden, wo die Daten anfallen, was neue Forschungsfragen zu Handhabung und Sicherheit aufwirft.
Digitale Selbstbestimmung – Der Schutz der Selbstbestimmung der Nutzerinnen und Nutzer und die Förderung ihrer kritischen Kompetenz sind angesichts der Datenflut und der systematischen Verwertung von zentraler Bedeutung.
Vollautomatisierte Softwareentwicklung – Die Automatisierung in der Softwareentwicklung muss zuverlässig und ethisch reflektiert erfolgen.
World Wide Metaverse – Das Metaverse soll als erweiterter digitaler Lebensraum offen, frei und sicher gestaltet werden.
https://gi.de/grand-challenges
Datenlecks
In den letzten Wochen gab es weltweit eine Reihe bedeutender Cybersicherheitsvorfälle, die verschiedene Branchen und Unternehmen betrafen. Hier sind einige Ereignisse, die es in die Presse geschafft haben, zusammengefasst.
Potenzielles Datenleck bei OpenAI
OpenAI untersucht derzeit ein mögliches Datenleck, bei dem die Daten von 20 Millionen Nutzern gestohlen worden sein sollen. Cyberkriminelle behaupten, Zugangsdaten von ChatGPT-Nutzern im Darknet zum Verkauf anzubieten. Obwohl der Wahrheitsgehalt dieser Behauptungen noch unklar ist, nimmt OpenAI die Situation ernst und führt umfangreiche Untersuchungen durch.
Datenleck bei Thermomix
Ein Datenleck im Rezeptforum des Thermomix-Herstellers Vorwerk hat dazu geführt, dass die Daten von mehr als einer Million deutscher Nutzer im Darknet gelandet sind. Betroffen sind E-Mail-Adressen, Telefonnummern und andere persönliche Informationen. Vorwerk hat die Sicherheitslücke inzwischen geschlossen und die betroffenen Nutzer informiert.
Sicherheitslücken bei Legaltech-Unternehmen
Sicherheitsexperten haben triviale Datenlecks bei zwei Legaltech-Unternehmen aufgedeckt. Die Unternehmen, die automatisierte Rechtsdienstleistungen anbieten, hatten ungeschützte Daten im Netz, die leicht zugänglich waren. Nach Hinweisen des Chaos Computer Clubs (CCC) haben die betroffenen Firmen die Sicherheitslücken schnell geschlossen.
https://www.ccc.de/de/updates/2025/ccc-deckt-datenlecks-bei-legal-tech-plattformen-auf
Datenleck in Reha-Kliniken
Ein massives Datenleck bei den ZAR-Reha-Kliniken in Deutschland hat potenziell Hunderttausende von Patienten betroffen. Hochsensible medizinische Daten waren ungeschützt zugänglich. Die betroffenen Kliniken haben die Sicherheitslücke inzwischen geschlossen und arbeiten an weiteren Sicherheitsmaßnahmen.
Ransomware-Angriff auf Tata Technologies
Der indische Technologiekonzern Tata Technologies wurde Opfer eines Ransomware-Angriffs, der zum vorübergehenden Ausfall einiger IT-Dienste führte. Das Unternehmen hat die betroffenen Dienste inzwischen wiederhergestellt und führt eine detaillierte Untersuchung durch, um die Ursache des Angriffs zu ermitteln und künftige Risiken zu minimieren.
https://therecord.media/tata-ransomware-attack-report-incident
Stealer-Apps im App Store
Zum ersten Mal wurden im Apple App Store Stealer-Apps entdeckt, die Passwörter aus Screenshots stehlen. Die unter dem Namen SparkCat bekannte Malware zielt auf Android- und iOS-Benutzer ab und durchsucht deren Foto-Bibliotheken nach sensiblen Informationen wie Krypto-Wallet-Seed-Phrasen. Apple hat die betroffenen Apps mittlerweile entfernt.
Fazit
Diese Vorfälle unterstreichen die Bedeutung robuster Cybersecurity-Maßnahmen und die Notwendigkeit, ständig wachsam zu bleiben, um Datenlecks und Cyberangriffe zu verhindern. Auch wenn der folgende Artikel schon ein paar Jahr alt ist, bringt dieser die Problematik rund um Datenlecks auf den Punkt.
https://www.ccc.de/en/updates/2022/web-patrouille-ccc
Wo Unternehmen aufgrund eines Fehlers Daten abhandenkommen, will die britische Sicherheitsbehörde auf Basis des “Investigatory Powers Act“ einen dauerhaften Datenzugriff auf Benutzerdaten erhalten.
Menschen, die gerne mal wissen wollen, ob ihr Passwort bei einem der vielen Datenlecks betroffen ist, können Seiten wie https://haveibeenpwned.com/Passwords verwenden. Doch Vorsicht mit der Eingabe von eigenen Passwörtern auf fremden Webseiten. Im Zweifel hat man sein Passwort gerade aus der Hand gegeben.
Seitenkanalangriff des Monats
Forscher vom Georgia Institute of Technology und von der Ruhr University Bochum haben zwei neue Seitenkanal-Schwachstellen in modernen Apple-Prozessoren entdeckt, die als „FLOP“ und „SLAP“ bezeichnet werden. Beide Seitenkanalangriffe zielen auf Funktionen ab, die die Verarbeitung beschleunigen sollen, indem sie zukünftige Anweisungen erraten, anstatt auf sie zu warten, und so Spuren im Speicher hinterlassen, um sensible Informationen zu extrahieren.
FLOP (False Load Output Prediction) ist ein Problem mit Apples neuesten M3-, M4- und A17-Prozessoren, die nicht nur die Speicheradressen vorhersagen, auf die sie zugreifen werden, sondern sogar die tatsächlich im Speicher gespeicherten Werte. https://predictors.fail/files/FLOP.pdf
SLAP (Speculative Load Address Prediction) betrifft Apples M2- und A15-Prozessoren und viele der späteren Modelle. Anstelle von FLOP, bei dem es darum geht, zu erraten, welchen Wert eine Speicherladung zurückgeben wird, geht es bei SLAP um die Vorhersage der Speicheradresse, auf die als Nächstes zugegriffen wird, genannt Load Address Prediction (LAP). https://predictors.fail/files/SLAP.pdf
Die FLOP- und SLAP-Angriffe sind von Bedeutung, da sie moderne und weitverbreitete Hardware betreffen und aus der Ferne ausgeführt werden können, ohne dass physischer Zugang erforderlich ist.
Hat ein Angreifer ein Opfer auf eine bösartige Seite locken können, kann der Angreifer mit diesen Schwachstellen Daten aus Webbrowsern stehlen.
Die Forscher haben auf ihrer Webseite Videos veröffentlicht, mit denen der Angriff demonstriert wird: https://predictors.fail/
