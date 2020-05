Das BSI, das Bundesamt für Sicherheit in der Informationstechnik, soll so eine Art verbeamtete Hackergruppe werden. Das schreibt netzpolitik.org. Die Internet-Publikation hat nämlich einen Referenten-Entwurf für ein bundesdeutsches IT-Sicherheitsgesetz 2.0 veröffentlicht. 1.0 ist von 2015 und besagt, dass die Betreiber kritischer Infrastrukturen – Energieversorger, Banken, Telekommunikationsunternehmen – Hackerangriffe auf sie nicht schamhaft verschweigen dürfen, sondern dem BSI melden müssen. Und im Entwurf für 2.0 nun da steht ganz Brisantes drin: Das BSI soll auch aktiv nach Schadprogrammen und Sicherheitslücken suchen – auf den Geräten der Anwender, also beispielsweise nachschauen, ob im Internet der Dinge irgendwelche billigen Gadgets rumhängen mit Passwörtern wie 0000 oder admin, die sich nicht ändern lassen. Wenn da nämlich ein Cyberkrimineller drauf kommt, dann verwandelt er die verschlampten Gadgets in eine gefährliche Zombie-Armee. Und deshalb wiederum soll das BSI auch die entsprechende Schad-Software löschen dürfen, also in fremde Systeme eingreifen.

MMS-Lücke bedroht Samsung-Smartphones

Könnte eine politische Gratwanderung werden, dass man vielleicht irgendwann mal jemanden vom BSI im eigenen Rechner entdeckt. Bislang geben diese Männer und Frauen ja eher das Bild von freundlichen Cyber-Schutzleuten ab, die einem auch schon mal Sicherheits-Tipps geben, beispielsweise jetzt wieder allen Besitzern von Samsung-Smartphones, die seit ungefähr 2014 verkauft worden sind. Da klafft ne gefährliche Sicherheitslücke, bei der Verarbeitung von Qmage-Bildern. Qmage ist Samsung-eigenes Bildformat, kommt beispielsweise bei MMSes, diesen mittlerweile schon etwas antiquierten Multi-Media-Kurznachrichten, zum Einsatz.

Multimedialer Overkill

Und da hat ein Google-Sicherheitsforscher ein paar 100 MMSes an ein Samsung-Handy geschickt. Das hat dann angefangen durchzudrehen – technisch gesprochen: einen Buffer Overflow produziert – und dann hat der Google-Experte Schad-Software nachschieben können – im IT-Sicherheitslabor. Wenn einem sowas in der wirklichen Welt passiert, dann muss jemand einen schon sehr auf dem Kieker haben. Aber es geht. Samsung hat bereits Sicherheits-Patches ausgeliefert – Mai 2020, kann man überprüfen – aber halt nur für neuere Geräte. Wer ein altes hat, kann die MMSes ja deaktivieren. In der Nachrichten-, also der SMS-App geht das: Einstellungen – weitere Einstellungen – MMS – automatisch abrufen – deaktivieren. Ist eh besser, weil MMSes auch eine Möglichkeit sind, um die Stagefright-Lücke auszunutzen. Die Stagefright-Lücke: 2015 war das. Da ist die entdeckt worden. Riesenskandal damals. Auf einigen Handys dürfte sie noch immer klaffen, weil halt Hochleistungsrechner, wie Smartphones sie sind, von den Herstellern wie Wegwerf-Produkte behandelt werden.