Besonders Großkonzerne sind im Visier von Hackern. Die Angriffsdichte nimmt seit Jahren zu, heißt es in einer Studie.
Studie zu Cyber-Attacken
Das Internet ist ein zunehmend gefährlicher Raum. Eine Studie kommt zu dem Ergebnis, dass die Gefahren für die deutsche Wirtschaft, Gesellschaft und Politik durch Angriffe aus dem Cyber-Space weiter gestiegen sind. Viele Unternehmen berichten inzwischen von täglichen Attacken.
Die große Mehrheit der deutschen Unternehmen hat bereits schmerzhafte Erfahrungen mit Internetgefahren gesammelt. 85 Prozent aller mittleren und großen Unternehmen in Deutschland sehen sich Cyber-Angriffen ausgesetzt. Das ist das Ergebnis einer Studie des Instituts für Demoskopie Allensbach im Auftrag der Wirtschaftsprüfungsgesellschaft Deloitte. 28 Prozent der Firmen berichten demnach von täglichen Angriffen, bei weiteren 19 Prozent kommt das mindestens einmal wöchentlich vor.
Besonders häufig haben große Unternehmen mit Cyber-Attacken zu tun – Firmen mit 1000 und mehr Mitarbeitern zu 40 Prozent täglich. Die Frequenz der Angriffe hat laut Cyber Security Report im Vergleich zu den Vorjahren zugenommen. Bei rund jedem fünften Unternehmen haben solche Angriffe bereits spürbare – in einigen Fällen sogar massive – Schäden verursacht, heißt es in dem Bericht.
Neben Angriffen auf die IT-Systeme erwachsen Unternehmen auch aus den sozialen Netzwerken diverse Bedrohungen. Bei rund einem Viertel berichten Unternehmen von Versuchen, den Ruf der Firma durch gezielte Falschinformationen im Internet zu schädigen. Dennoch verfolgt nur rund die Hälfte systematisch, was in sozialen Netzwerken über ihre Organisation geäußert wird.
Fake News an der Spitze des Risiko-Rankings
Für den Bericht zu Cyber-Risiken und IT-Sicherheit befragte das Institut für Demoskopie Allensbach Hunderte von Führungskräften aus großen und mittleren Unternehmen sowie Abgeordnete des Bundestags, der Landtage und des Europaparlaments. Sowohl Abgeordnete als auch Unternehmen setzten Fake News an die Spitze ihres Risiko-Rankings. “Soziale Medien verändern das Informationsverhalten und den politischen Diskurs gravierend. Die Tragweite dieser Entwicklung wird bisher nicht annähernd erkannt. Die Besorgnis vieler Abgeordneter ist durchaus verständlich”, sagte Renate Köcher, Geschäftsführerin des Instituts für Demoskopie Allensbach.
Zugleich schätzten Unternehmen viele Gefahren höher ein als die Abgeordneten. So fürchten sich 73 Prozent der befragten Unternehmer und lediglich 58 Prozent der Politiker vor Datenbetrug im Internet. Eingriffe in die Privatsphäre von Bürgern durch vernetzte Haustechnik bewerteten 55 Prozent der Unternehmer und 43 Prozent der Politiker als wachsendes Sicherheitsrisiko.
Einig sind sich Wirtschaftsführer und Abgeordnete in der Auffassung, dass die Politik zur Bekämpfung von Cyber-Risiken in Unternehmen beitragen kann. 90 Prozent der Unternehmensvertreter waren dieser Ansicht, Politiker stimmten zu 100 Prozent zu. Da gleichzeitig lediglich neun Prozent der Manager mit staatlichen Einrichtungen im Bereich der Cyber-Sicherheit vertraut sind, empfehlen die Autoren der Studie einen stärkeren Austausch in dem Bereich.
Nach einem harten Brexit will die britische Regierung die Freizügigkeit für Neuankömmlinge aus der Europäischen Union abschaffen. Wer bereits im Land lebt, darf aber bleiben. Dafür müssen sich im Land lebenden EU-Bürger bei den Behörden registrieren. Das haben indes bislang nur rund eine Million der insgesamt mehr als 3,5 Millionen Betroffenen getan. Die Zahl der im Vereinigten Königreich lebenden Deutschen schätzt der Office for National Statistics auf 140.000. Die mit Abstand größte Einwanderer-Gruppe bilden 905.000 polnische Staatsbürger.
The U.S. Department of Defense (DoD) is looking to forge a blockchain cybersecurity shield.
In a report published on July 12 titled Digital Modernization Strategy, the DoD outlined several ways to advance the nation’s digital defenses. This includes the integration of cloud and quantum computing, artificial intelligence, and improved communications through distributed ledgers.
In fact, DARPA, the research wing of the Department is already experimenting with the technology “to create a more efficient, robust, and secure platform,” to secure messaging and process transactions, reports Decrypt.
Specifically, blockchain may be deployed between units and headquarters as well as intelligence officers and the Pentagon. As part of the Digital Identity Management program, the agency may also issue a digital token that authenticates an agent’s identity.
The DoD is also experimenting with the technology to facilitate the creation of an unhackable code to secure its databases.
As part of the second Cryptographic Modernization program, in effect since 2000, the Department is replacing old hardware and cryptographic systems to meet the challenges of the improved computing power of the nation’s adversaries.
Citing the trustless, transparent, and immutable attributes of blockchain the Department writes:
“Blockchain networks not only reduce the probability of compromise, but also impose significantly greater costs on an adversary to achieve it.”
The shift from “low value to high-value work” is also part of the DoDs’ Big Data Platform (BDP), which will handle petabytes of data involved in a number of cross-agency projects. The platform “provides the ability to perform aggregation, correlation, historical trending,” and may perform pattern recognition to “predict attacks.”
Researchers show how they hacked Google Home smart speakers using the Megellan vulnerability.
LAS VEGAS – The Tencent Blade Team of researchers demonstrated several ways they have developed to hack and run remote code on Google Home smart speakers. The hacks center around what is known as a Magellan vulnerability, which can be used to exploit the massively popular SQLite database engine.
Here at a session at DEF CON on Thursday, the researchers shed light on their work “breaking” Google Home. What made the talk unique wasn’t necessarily that Google Home smart speakers could be compromised using Megellan – that was public news in Dec. 2018 – rather it was how the hack was pulled off.
On stage Tencent researchers Wenxiang Qian, YuXiang Li and HuiYu Wu laid out the evolution of their research.
The hack of Google Home first focused on hardware, similar to the researchers approach when compromising Amazon Echo, made public last year at DEF CON. In the Echo case, researchers tampered with the flash hardware chips to create the attack scenario. In the case of Google Home, it was a bit trickier because researchers couldn’t find a hardware interface for debugging and flashing – as they did with the Amazon Echo hack.
So in this instance, researchers found clues to pull off their hack by extracting the Google Home firmware, through dumping it from the device’s NAND flash.
Because of secure boot and other OTA security verification mechanisms, researchers said directly tampering with firmware was out of the question.
“We designed a new adapter to export the pins of the test socket to a larger pitch. So, we can easily connect the chip to the programmer. Finally, it is used to read the firmware through the programmer,” researchers said.
From there they looked for weaknesses to exploit. One such method included an easy way to simulate an upgrade request (TLS). Researchers also identified a potential road to a Google Home compromise via the CAST protocol, used by Google Home to cast multimedia content from one smart device to another.
“We exploited the Magellan vulnerability to compromise cast_shell (the main program of Google Home). Through cast protocol, we can trigger Google Home to visit malicious web pages to exploit the Magellan vulnerability to exploit cast_shell,” researchers told Threatpost.
Magellan, a set of three heap buffer overflow and heap data disclosure vulnerabilities in SQLite (CVE-2018-20346, CVE-2018-20505 CVE-2018-20506), affects a large number of browsers, IoT devices and smartphones that use the open source Chromium engine. As applied to Google Home, it can lead to remote code execution via weaknesses in Chrome renderer – a la the known Magellan attack technique exploiting the SQLite flaw.
The researchers also expanded the attack surface of Google Home to include one based on a malicious app. In this example, an attacker posts a malicious Cast app to an app store. Now an attacker can remotely trigger Google Home to load the malicious app in the LAN. Next, Google Home is forced to visit a malicious URL via an embedded Chrome browser- triggering the Magellan attack.
The good news is, according researchers, there are no indications that Magellan has been abused in the wild.
“We have reported all the details of the vulnerability to Google and they have fixed the vulnerability. If your product uses Chromium, please update to the official stable version 71.0.3578.80 (or above). If your product uses SQLite, please update to 3.26.0 (or latest release).”
“X-Glasses” made by Tencent researchers to bypass FaceID biometrics detection
Researchers were able to bypass Apple’s FaceID using a pair of glasses with tape on the lenses.
LAS VEGAS – Vulnerabilities have been uncovered in the authentication process of biometrics technology that could allow bad actors to bypass various facial recognition applications – including Apple’s FaceID. But there is a catch. Doing so requires the victim to be out cold.
Researchers on Wednesday during Black Hat USA 2019 demonstrated an attack that allowed them to bypass a victim’s FaceID and log into their phone simply by putting a pair of modified glasses on their face. By merely placing tape carefully over the lenses of a pair glasses and placing them on the victim’s face the researchers demonstrated how they could bypass Apple’s FaceID in a specific scenario. The attack itself is difficult, given the bad actor would need to figure out how to put the glasses on an unconscious victim without waking them up.
To launch the attack, researchers with Tencent tapped into a feature behind biometrics called “liveness” detection, which is part of the biometric authentication process that sifts through “real” versus “fake” features on people. It works by detecting background noise, response distortion or focus blur. One such biometrics tool that utilizes liveness detection is FaceID, which is designed and utilized by Apple for the iPhone and iPad Pro.
“With the leakage of biometric data and the enhancement of AI fraud ability, liveness detection has become the Achilles’ heel of biometric authentication security as it is to verify if the biometric being captured is an actual measurement from the authorized live person who is present at the time of capture,” researchers said during the Black Hat USA 2019 session, titled “Biometric Authentication Under Threat: Liveness Detection Hacking.”
While previous attacks have focused on generating fake data to bypass biometrics, these types of audio or video attacks consist of various components – including stealing the victims’ device fingerprint, generating fake audio and video, and hardware-level inject – and involve several moving parts, Zhuo Ma, with Tencent Security, said.
Instead, researchers decided to focus on liveness detection, which allows users to unlock their phone with one glance, hoping to bypass the feature by using an actual victim’s face while they are unconscious.
“It comes with challenges, you don’t want to wake up a sleeping victim, and 3D systems are difficult to forge… you want a low cost solution with a high success rate,” said Ma.
Researchers specifically honed in on how liveness detection scans a user’s eyes. They discovered that the abstraction of the eye for liveness detection renders a black area (the eye) with a white point on it (the iris). And, they discovered that if a user is wearing glasses, the way that liveness detection scans the eyes changes.
“After our research we found weak points in FaceID… it allows users to unlock while wearing glasses… if you are wearing glasses, it won’t extract 3D information from the eye area when it recognizes the glasses.”
Putting these two factors together, researchers created a prototype of glasses – dubbed “X-glasses” – with black tape on the lenses, and white tape inside the black tape. Using this trick they were then able to unlock a victim’s mobile phone and then transfer his money through mobile payment App by placing the tape-attached glasses above the sleeping victim’s face to bypass the attention detection mechanism of both FaceID and other similar technologies.
The attack comes with obvious drawbacks – the victim must be unconscious, for one, and can’t wake up when the glasses are placed on their face. However, it does show the weaknesses behind the security and design of liveness detection and biometrics in general, researchers said.
In terms of mitigations, researchers suggested that biometrics manufacturers add identity authentication for native cameras and increase the weight of video and audio synthesis detection.
Biometrics have been at the center of attention this year as security experts wonder whether the new technology will create increased security or a new threat attack vector. It was discussed widely at Black Hat USA 2018 as well, with new vulnerabilities in voice authentication being uncovered.
Gleich drei Städte in Deutschland zählen zu den Top zehn der lebenswertesten Städten der Welt. – In einem aktuellen Ranking hat das Unternehmen KisiMetropolen weltweit nach der besten Work-Life-Balance bewertet.
Zu den Faktoren zählten sowohl
harte Daten wie die Arbeitslosenquote,
die Anzahl der wöchentlichen Arbeitsstunden,
die verfügbaren Urlaubstage und
der Zugang zum Gesundheitswesen,
als auch weiche Faktoren wie die Gleichberechtigung von Männern und Frauen,
die Toleranz gegenüber Lesben und Schwulen,
der Glücks-Index,
die Luftverschmutzung und
die Freizeitangebote in einer Stadt.
Das Ergebnis: Auf Platz eins landet die finnische Hauptstadt Helsinki, mit einem Top-Score von 100 Punkten. Die deutsche Großstadt München erreicht den zweiten Platz und erzielte einen Indexwert von 98,3 Punkten. Mit Hamburg (Rang 4) und Berlin (Rang 6) schafften es sogar zwei weitere deutsche Metropolen unter die Top 10 der lebenswertesten Städte weltweit.
Auf dem letzten Platz der insgesamt 40 bewerteten Städte landete Malaysias Hauptstadt Kuala Lumpur: Sie erreichte nur einen von 100 möglichen Punkten.
Das Verteidigungsministerium gibt offenkundig
von allen Ministerien am meisten Geld für externe Berater aus.
Donnerstag, 08. August 2019
Berater für Verteidigungsressort
Ministerium zahlte 155 Millionen Euro
Seit mehreren Tagen ist bekannt, dass 13 Ministerien im ersten Halbjahr insgesamt 178 Millionen Euro für externe Beratungen ausgegeben haben. Darin ist das Budget des Verteidigungsministeriums allerdings nicht enthalten. Jetzt werden die Zahlen des Ressorts öffentlich.
Das Verteidigungsministerium und die ihm unterstellten Behörden und Gesellschaften haben im ersten Halbjahr 155 Millionen Euro für externe Beratung und Unterstützung ausgegeben. Das ist fast genauso viel, wie alle anderen 13 Ministerien zusammen mit 178 Millionen für diesen Zeitraum an Ausgaben für externe Leistungen gemeldet haben. Das geht aus einer Antwort des Verteidigungsministeriums auf eine Anfrage des Linken-Abgeordneten Matthias Höhn hervor.
Der Parlamentarische Verteidigungsstaatssekretär Thomas Silberhorn begründete die hohen Ausgaben vor allem mit den wachsenden Herausforderungen beim Thema Digitalisierung. Alleine 109 Millionen Euro entfielen auf die BWI, den IT-Dienstleister der Bundeswehr, der 1200 Liegenschaften der Truppe betreut. Das Finanzministerium weist darauf hin, dass es für externe “Beratungs- und Unterstützungsleistungen” keine einheitliche Definition in den einzelnen Ministerien gebe. Deshalb könne “nicht von einer ressortübergreifenden Vergleichbarkeit der Angaben ausgegangen werden”.
Das Finanzministerium hatte auf Anfrage Höhns bereits im Juli die Ausgaben der einzelnen Ressorts für Sachverstand von außen ermittelt. Das Verteidigungsressort war das einzige Ministerium, das zunächst keine Angaben machte.
Mit den nun gemeldeten Ausgaben von 155 Millionen Euro für Expertise von außen liegt es klar vor dem Innenministerium mit 78,7 Millionen Euro und dem Verkehrsministerium mit 47,7 Millionen Euro. Das Bildungsministerium benötigte dagegen am wenigsten zusätzliche Expertise. Dort wurden in den ersten sechs Monaten des Jahres nur 293.000 Euro für Berater ausgegeben.
Innenausschuss untersucht Von der Leyens Berater-Affäre
Wegen des schlechten Ausrüstungs-Zustandes der Bundeswehr steht Verteidigungsministerin Von der Leyen schon länger unter Druck. Nun kommt die brisante Affäre um millionenschwere Beraterverträge hinzu. Das Thema beschäftigt den Innenausschuss und könnte ernst werden.
“We need to develop our asymmetric edge and bring focus to the orchestration of intelligence, information operations, cyber, electronic warfare and unconventional warfare,” Lieutenant General Ivan Jones, the commander of Britain’s field army, said as he announced the formation of a cyber warfare unit to fight “above and below the threshold of conventional conflict.”
The U.K.’s new special cyber operations unit, 6 Division (6 Div), will move beyond the typical cyber capabilities within the military sphere into full-blown social media “information warfare.” And here the primary adversary is Russia, which has turned the dark art of peddling fake news and political propaganda across major social media platforms into a national security strategy.
Much of the work of the new unit will be relatively traditional signals activities—jamming and intercepting enemy comms, supporting the field world of allied intelligence agencies. But as a sign of the times, the new unit also has an offensive and defensive propaganda remit—taking the social media fight to Russia as well as the various state-sponsored terrorist groups using those platforms to stir unrest and interfere in the workings of the West.
Philip Ingram—a defense analyst after years with British Military Intelligence—told me “this is the first step in the British Army recognizing and countering how the information sphere can be and is weaponized. It is critical that this is addressed at the defense level as well and coordinated with our NATO allies and in particular the U.S.”
Ingram met General Jones a day before the new division was announced, and was told that “this is a journey for the Army, starting with small adaptive steps enabling a better cycle of rebalancing for the future as threats evolve and develop.”
As I’ve written before, cyber warfare more broadly has reached a new phase this year, with increased levels of integration between the physical and cyber domains. The catalyst has been the Middle East, with escalating tensions between the U.S. (and its allies) and Iran—but the real battle has pitched the U.S. and those allies against Russia and China. “When people ask what keeps me up at night,” the director of the U.S. Defense Intelligence Agency said recently, “that is kind of the thing that keeps me up at night.”
Until now, most of the headline activity in the West has been around countering such threats, be that election interference, the stirring of popular unrest, or the peddling of a pro-Russia agenda. But the new group will go further, turning defense into attack, and Russia is as susceptible to information warfare as anyone else—and its spheres of influence in Eastern Europe and Central Asia are even more so.
The new cyber division within the British Army will pull recruits from existing special forces units, where there are strong cyber skills already in place. It will combine resources from existing units—including the 1st and 11th Signal Brigades and the 1st Intelligence Surveillance and Reconnaissance Brigade. There is a mix of special forces and intelligence resources applied to the offensive cyber capabilities we read about in the press—the two work hand in hand. But 6 Div will also widen its net, looking for a new generation of social media skills. This is as close as we have seen in the West outside the intelligence and private contractor domain to the government-run hacking groups seen in Russia and China, as well as Iran and North Korea.
“The character of warfare continues to change,” General Jones explained, “as the boundaries between conventional and unconventional warfare become increasingly blurred—we must create a campaign mind-set—our posture must move from reactive to proactive and our approach from passive to assertive.”
Those boundaries becoming blurred is the major change we have seen this year. Cyberwarfare has become an interchangeable battlefield tool—an attack in one domain and retaliation in another. And cyber warfare itself is multidimensional, with the mix of offensive and defensive capabilities with state-sponsored attacks on civilian targets.
This all sits within the broader sphere of hybrid warfare in which Russia takes the lead. The country has extended and consolidated its economic and military spheres of influence to exploit the weaknesses inherent in open societies. And, as I’ve written before, the media plays its part. Special forces and intelligence leaders will express their exasperation at the predictability of the western media response to events and how this is deliberately fueled by Russia’s strategists. The thirst for the drip-drip of ever new headlines—how those will play, how to keep it alive, the impact it will have.
Media manipulation links to the population interference that takes place through the abuse of social media platforms. And this is the latest evolution in the West—taking that fight to Moscow.
This year, 2019, has marked a turning point for Western military strategic planning. And when the history books are written, the conflict in the Gulf will be highlighted—the catalyst for more open cyber warfare than has been seen before—as will our belated coming to terms with the extent of social media’s patsy role in facilitating Russian interference in elections and campaigning. This latest news builds on a similar focus in the U.S., where we have seen the increased profile of Cyber Command in the military domain and the announcement of a cyber unit within NSA in the intelligence domain.
“The rebalancing, within current assets, is a very necessary start emphasizing the importance of capabilities that were closely held before,” Ingram said in writing up his meeting with General Jones. There is a legitimization here of these new capabilities, “grouping them into a formation with an identity and history puts them on the same footing as other elements an is the first win in a psychological and information battle to recognize their value.”
What’s as interesting is the West’s own use of the mainstream and social media to ensure that Russia and its proxies don’t have it all their own way. We have always seen that battle for hearts and minds in the physical sphere. What we’ve started to see with news of cyberattacks on energy grids in Russia and command and control networks in Iran is the beginnings of the same in cyber.
“State and non-state actors are continually seeking to gain an advantage in the grey zone that exists below the threshold of conventional conflict,” as General Jones put it. And so, moving forward, you can expect much more of the same.
“This restructuring is not the answer to everything,” Ingram said, “and nor will or can it meet all current threats, but it is the first step in a journey and that first step gives a series of capabilities—and for the new division with psychological warfare in its structure, that rebranding is important in influencing future Army force development.”
Cyber Kill Chain Reimagined: Industry Veteran Proposes “Cognitive Attack Loop”
The Cyber Kill Chain is dead. Long live the Cognitive Attack Loop. This is the thesis of Tom Kellermann’s (Chief Security Officer at Carbon Black and former cyber commissioner for President Obama) new paper, ‘Cognitions of a Cybercriminal’.
The problem with the Cyber Kill Chain framework created (and trademarked) by Lockheed Martin is that it has a beginning and an end. While this was an accurate reflection of cyber-attacks when it was first devised, it no longer applies, Kellermann says. The burglary approach of cybercriminals to enter, steal and leave has changed to long-lasting home invasion.
The modern cybercriminal does not just leave — he wants to stay, quietly hidden. Breaking the kill chain no longer works; because the criminal is still in the home.
Kellermann’s argument is that defenders need to recognize the new reality and to start thinking about a modern persistent cognitive attack loop rather than a linear attack chain. This in turn recognizes the extent and manner to which elite Russian hacking groups have revolutionized hacking methods over the years since the Kill Chain was devised — partly in response to the Gerasimov Doctrine.
General Valery Gerasimov wrote in 2013, “The very ‘rules of war’ have changed. The role of non-military means of achieving political and strategic goals has grown, and, in many cases, they have exceeded the power of force of weapons in their effectiveness.” The bear doesn’t have to be as fast as the human, he only needs to slow down the human to be as slow or slower than the bear — and this can be done in cyber. This in turn led to a unique relationship between state and Russian hacking groups, each aiding the other so long as the target is outside of Russia.
“Russians have been successful in defeating the US and UK cyber defenses,” Kellermann told SecurityWeek, “because our cyber security architectures were built to defend against the Lockheed Martin Kill Chain. The modern Russian attack matrix is not a kill chain — it is more of a cognitive attack loop.”
The early key differentiators introduced by Russian hackers, he continued, include a secondary C2 on a sleep cycle, sandbox evasion techniques, the use of steganography to deploy secondary payloads, island hopping to compromise a host and leverage further attacks from that host, and more. He gave two examples. The first was the DNC hack. Despite knowledge of the hack, and therefore technically breaking the Kill Chain, the cybersecurity firm brought in to investigate failed to detect the secondary C2 — allowing the Russian hackers to stay in the network right up until the election.
The second example is Turla. “A new technique that the Russians have pioneered over the past year,” Kellermann told SecurityWeek, “is reverse business email compromise, where they commandeer the mail server and very selectively, through the use of machine learning, send out fileless malware against the board and the most senior executives from other companies that communicate with that organization. The newer technique that they are using, and another thing that we should pay attention to, is this construct of island-hopping platforms and essentially access mining in systems and leveraging text files to move laterally. These are all techniques that the Russians are employing.”
While such advanced techniques have been pioneered by Russian hackers, they are being copied by other groups — both private and state-sponsored — around the globe. Now, he writes, “There has been an explosion in the talent behind cyber-attacks. The skills aren’t in a few number of hands anymore.” And for as long as we base our defensive posture on recognizing and breaking an attack chain that no longer exists, we will be handing the advantage to the attacker.
Kellermann’s proposal is that defenders think of incursions more in terms of a loop (which he calls the Cognitive Attack Loop) than a chain. There are three primary phases to this loop: reconnoiter and infiltrate; maintain and manipulate; execute and exfiltrate — but there is no assumed exit. Each of these primary phases has numerous sub-phases, such as privilege, persistence and evasion within the maintain and manipulate phase; and exfiltration, destruction and disinformation in the final phase. But there is no end to this loop. If the attackers have not been detected, they will remain. They could start again at some point in the future — or, in the case of the Russian state/hacker alliance, simply pass the access keys to a Russian intelligence agency.
The attackers’ aim is stealth and persistence; and defenders need to adopt a similar stance. Defenders must not be heavy-handed. If the attackers know they have been detected, they will either hide and wait, or in the worst-case scenario, invoke a burnt earth strategy to hide their purpose and methods before leaving (if they actually do leave).
Key to the new defense is cognition — an understanding of the TTPs and behaviors of the attacker rather than simply looking for IOCs. “For too long we’ve been focused on the bullet,” said Kellermann. “We’ve never taken into account how the sniper took vantage on that person to begin with and why they chose that victim. That’s the part we’ve been missing.” Using the home invasion metaphor, we’ve never asked who owns the white van parked outside the house over the last few nights, or questioned where it has been on other nights.
Understanding behavior and context will provide intent, and from that position defenders will be able to predict actions and contain events before damage is done. Central to this capability is the evolution of the MITRE Att@ck matrix. It has already been hugely beneficial in allowing defenders to be more accurate in their response to the various stages of the kill chain. “But what I’m suggesting,” Kellermann told SecurityWeek, “is it necessitates a new paradigm and stratagem that would dictate how we combine the TTPs, and combine the behaviors to discern intent.”
In this sense, Kellermann’s paper (PDF on the web – local copy here) is a call to action, that he intends to repeat at Black Hat and Defcon. “This is merely a starting point,” he said, “for a new strategy that will be completely intertwined with MITRE Att@ck, but will also allow us to become faster especially in decreasing dwell times and suppressing an adversary without that adversary knowing it. We have been far too loud and far too arrogant in how we conduct incident response in industry.”
More than 100 million customers have had their data compromised by a hacker after a cloud misconfiguration at Capital One.
A massive breach of Capital One customer data has hit more than 100 million people in the U.S. and 6 million in Canada.
Thanks to a cloud misconfiguration, a hacker was able to access to credit applications, Social Security numbers and bank account numbers in one of the biggest data breaches to ever hit a financial services company — putting it in the same league in terms of size as the Equifax incident of 2017.
The FBI has already arrested a suspect in the case: A former engineer at Amazon Web Services (AWS), Paige Thompson, after she boasted about the data theft on GitHub.
According to a criminal complaint filed in the Western District of Washington’s U.S. Attorney’s Office, the intrusion occurred between March 19 and July 17 via a “misconfigured web application firewall.”
The illegally accessed data, which was stored on cloud servers rented from AWS, was primarily related to credit-card applications made between 2005 and early 2019, by both consumers and businesses. These include a raft of personal information, such as:
names
addresses
dates of birth
financial information
self-reported income
credit scores
According to Capital One, no credit-card account numbers or log-in credentials were compromised and only about 140,000 Social Security numbers are impacted, meaning that “over 99 percent of Social Security numbers” were untouched, the company said. In Canada, about 1 million social insurance numbers were compromised.
Exposed data also included credit scores, credit limits, balances, payment history, contact information and fragments of transaction data from 23 days during 2016, 2017 and 2018.
“I sincerely apologize for the understandable worry this incident must be causing those affected and I am committed to making it right,” said Capital One CEO Richard Fairbank, in a statement.
The company added it fixed what it called a “configuration vulnerability” and that it is “unlikely that the information was used for fraud or disseminated by this individual” — though investigations are ongoing.
The company has pledged credit monitoring for those impacted, but Colin Bastable, chief executive at anti-phishing firm Lucy Security, said banks like Capital Bank and their employees should be doing more to detect potential phishing attacks in the aftermath of the incident.
“Capital One victims are going to be phished for years to come – long after the 12 months’ credit monitoring is done,” explained Bastable in an email statement. “The Dark Web probably knows more about most people in North America than their governments will publicly admit to. Employers need to protect themselves by ensuring that their employees are security-aware.”
The suspect Thompson, who used the alias “erratic” in online conversations, allegedly posted several times about the theft on GitHub and on social media. One posting on a Twitter account with the username “erratic” read: “I’ve basically strapped myself with a bomb vest, f#cking dropping capital ones dox and admitting it.”
News of the Capital One breach comes after U.S. credit monitoring agency Equifax last week agreed to pay up to $700 million to settle a similar incident that hit the company in 2017, affecting nearly 150 million customers.
Amazon, for its part, pointed to the admission of misconfiguration in the court documents and the Capital One statement, with a spokesman telling Bloomberg that Capital One’s data was not accessed through a vulnerability in AWS systems.
“The Capital One breach is proof that companies have a lot to learn when it comes to deploying security technology effectively,” said James Hadley, CEO at Immersive Labs, via email. “From reading their description of the breach, you would be forgiven for thinking it was an elite hacker exploiting a vulnerability. In reality, as stated by the FBI, it was simply a poorly configured firewall that allowed the hacker in.”
Justin Fier, director of cyber-intelligence at Darktrace, echoed Bastable’s warning and said that nabbing the perpetrator — should she prove guilty — does not guarantee that the data has not already reached the Dark Web. “In the new digital era, data is currency, and when it falls into the wrong hands it can spread like wildfire throughout the criminal community,” Fier added.
Recently, I bought and started using a Tuxedo Book BC1507, a Linux laptop computer. Ten years ago, if someone had told me that, by the end of the decade, I could buy top-quality, “penguin-ready” laptops from companies such as System76, Slimbook, and Tuxedo, I probably would have laughed. Well, now I’m laughing, but with joy!
Going beyond designing computers for free/libre open source software (FLOSS), all three companies recently announced they are trying to eliminate proprietary BIOS software by switching to Coreboot.
Buying it
Tuxedo Computers is a German company that builds Linux-ready laptops. In fact, if you want a different operating system, it costs more.
Buying the computer was incredibly easy. Tuxedo offers many payment methods: not only credit cards but also PayPal and even bank transfers. Just fill out the bank transfer form on Tuxedo’s web page, and the company will send you the bank coordinates.
Tuxedo builds every computer on demand, and picking exactly what you want is as easy as selecting the basic model and exploring the drop-down menus to select different components. There is a lot of information on the page to guide you in the purchase.
If you pick a different Linux distribution from the recommended one, Tuxedo does a “net install,” so have a network cable ready to finish the installation, or you can burn your preferred image onto a USB key. I used a DVD with the openSUSE Leap 15.1 installer through an external DVD reader instead, but you get the idea.
The model I chose accepts up to two disks: one SSD and the other either an SSD or a conventional hard drive. As I was already over budget, I decided to pick a conventional 1TB disk and increase the RAM to 16GB. The processor is an 8th Generation i5 with four cores. I selected a back-lit Spanish keyboard, a 1920×1080/96dpi screen, and an SD card reader—all in all, a great system.
If you’re fine with the default English or German keyboard, you can even ask for a penguin icon on the Meta key! I needed a Spanish keyboard, which doesn’t offer this option.
Receiving and using it
The perfectly packaged computer arrived in total safety to my door just six working days after the payment was registered. After unpacking the computer and unlocking the battery, I was ready to roll.
Ricardo’s new toy.
The computer’s design is really nice and feels solid. Even though the chassis on this model is not aluminum, it stays cool. The fan is really quiet, and the airflow goes to the back edge, not to the sides, as in many other laptops. The battery provides several hours of autonomy from an electrical outlet. An option in the BIOS called FlexiCharger stops charging the battery after it reaches a certain percentage, so you don’t need to remove the battery when you work for a long time while plugged in.
The keyboard is really comfortable and surprisingly quiet. Even the touchpad keys are quiet! Also, you can easily adjust the light intensity on the back-lit keyboard.
Finally, it’s easy to access every component in the laptop so the computer can be updated or repaired without problems. Tuxedo even sends spare screws!
Conclusion
After a month of heavy use, I’m really happy with the system. I got exactly what I asked for, and everything works perfectly.
Because they are usually high-end systems, Linux-included computers tend to be on the expensive side of the spectrum. If you compare the price of a Tuxedo or Slimbook computer with something with similar specifications from a more established brand, the prices are not that different. If you are after a powerful system to use with free software, don’t hesitate to support these companies: What they offer is worth the price.
An industry group of internet service providers has branded Firefox browser maker Mozilla an “internet villain” for supporting a DNS security standard.
The U.K.’s Internet Services Providers’ Association (ISPA), the trade group for U.K. internet service providers, nominated the browser maker for its proposed effort to roll out the security feature, which they say will allow users to “bypass UK filtering obligations and parental controls, undermining internet safety standards in the UK.”
Mozilla said late last year it was planning to test DNS-over-HTTPS to a small number of users.
Whenever you visit a website — even if it’s HTTPS enabled — the DNS query that converts the web address into an IP address that computers can read is usually unencrypted. The security standard is implemented at the app level, making Mozilla the first browser to use DNS-over-HTTPS.
By encrypting the DNS query it also protects the DNS request against man-in-the-middle attacks, which allow attackers to hijack the request and point victims to a malicious page instead.
DNS-over-HTTPS also improves performance, making DNS queries — and the overall browsing experience — faster.
But the ISPA doesn’t think DNS-over-HTTPS is compatible with the U.K.’s current website blocking regime.
Under U.K. law, websites can be blocked for facilitating the infringement of copyrighted or trademarked material or if they are deemed to contain terrorist material or child abuse imagery. In encrypting DNS queries, it’s claimed that it will make it more difficult for internet providers to filter their subscribers’ internet access.
The ISPA isn’t alone. U.K. spy agency GCHQ and the Internet Watch Foundation, which maintains the U.K.’s internet blocklist, have criticized the move to roll out encrypted DNS features to the browser.
The ISPA’s nomination quickly drew ire from the security community. Amid a backlash on social media, the ISPA doubled down on its position. “Bringing in DNS-over-HTTPS by default would be harmful for online safety, cybersecurity and consumer choice,” but said it encourages “further debate.”
One internet provider, Andrews & Arnold, donated £2,940 — around $3,670 — to Mozilla in support of the nonprofit. “The amount was chosen because that is what our fee for ISPA membership would have been, were we a member,” said a tweet from the company.
Mozilla spokesperson Justin O’Kelly told TechCrunch: “We’re surprised and disappointed that an industry association for ISPs decided to misrepresent an improvement to decades old internet infrastructure.”
“Despite claims to the contrary, a more private DNS would not prevent the use of content filtering or parental controls in the UK. DNS-over-HTTPS (DoH) would offer real security benefits to UK citizens. Our goal is to build a more secure internet, and we continue to have a serious, constructive conversation with credible stakeholders in the UK about how to do that,” he said.
“We have no current plans to enable DNS-over-HTTPS by default in the U.K. However, we are currently exploring potential DNS-over-HTTPS partners in Europe to bring this important security feature to other Europeans more broadly,” he added.
Mozilla isn’t the first to roll out DNS-over-HTTPS. Last year Cloudflare released a mobile version of its 1.1.1.1 privacy-focused DNS service to include DNS-over-HTTPS. Months earlier, Google-owned Jigsaw released its censorship-busting app Infra, which aimed to prevent DNS manipulation.
Mozilla has yet to set a date for the full release of DNS-over-HTTPS in Firefox.
Traditionally, DNS queries and responses are sent over the internet without encryption. This could very well lead to tracking and spoofing vulnerabilities that put users data at risk.
There are many servers in between your computer and DNS server. Information travels through these servers, called on-path routers, can be tracked and used to create a profile of you with a record of all the websites that you look up. And that data is valuable and can be sold to other companies with a lot of money.
What’s worse than tracking is spoofing. If any of these servers acts as a bad man in the middle, they can spoof you a wrong address for a site that could potentially steal your credentials instead.
So, what’s the solution?
For starters, make sure you are using a very good and reliable DNS server as the resolver. For example, Google’s Public DNS and Cloudflare’s extremely fast and privacy-minded 1.1.1.1.
But that wouldn’t solve the issue of being tracked and potentially spoofed. You need to encrypt the data before handing them over to the DNS server. The answer to that is DNS-over-HTTPS.
However, no browsers supported this new protocol just yet but they are coming. For example, Mozilla has started to experimenting feature in its Firefox browser.
Manually configure DoH on Firefox
Type about:config in the address bar in Firefox and press Enter.
Type “network.trr” in the search box to narrow down the items.
Change network.trr.mode to 2, and enter the DoH URL into network.trr.uri
There are two DoH compliant endpoints that are available now to use.
Von der Leyens Berateraffäre “Versagen befördert die Karriere”
Von der Leyen will nach Brüssel, doch ihre Vergangenheit könnte sie einholen. Viele Mitglieder im Untersuchungsausschuss zur Berateraffäre beharren auf einer Aussage: “Schließlich soll die europäische Öffentlichkeit erleben, wen die Kanzlerin nach Brüssel geschickt hat.”
Stimmt das EU-Parlament zu, könnte von der Leyen neue Kommissionspräsidentin werden. (Foto: dpa)
Als erste Signale in Berlin eintrafen, dass Ursula von der Leyen EU-Kommissionspräsidentin werden soll, herrschte ungläubiges Staunen unter Mitgliedern des Untersuchungsausschusses zur Aufklärung der Berateraffäre. Zwar gab es Gerüchte, die Verteidigungsministerin könnte nach Brüssel gehen. Aber dann gleich der EU-Spitzenposten? Das kam dann doch überraschend. Aus Sicht von Matthias Höhn, der für die Linke in dem Ausschuss sitzt, steht fest: “Nach Frau Suder wird nun auch für die oberste Dienstherrin der Absprung vorbereitet. Der Bürger sieht und staunt: Versagen befördert in der Politik die Karriere, statt sie zu beenden.” Nun zeige sich, am Ende komme es auf das persönliche Netzwerk an.
Höhn verweist damit einerseits auf das Vertrauensverhältnis zwischen Kanzlerin Angela Merkel und von der Leyen sowie andererseits auf die zumindest beruflich enge Bindung der Ministerin und ihrer ehemaligen Staatsekretärin Katrin Suder. Die Christdemokratin hatte Suder von McKinsey in ihren Stab geholt. Beide machten sich daran, die Rüstungsbeschaffung zu reformieren – durchaus mit ersten Erfolgen, wie es selbst in der Opposition heißt. Suder verließ das Ressort im April 2018 “auf eigenen Wunsch”. Seit vergangenem Sommer leitet sie den Digitalrat der Bundesregierung. Im September poppte die Berateraffäre auf und ramponierte den bis dahin tadellosen Ruf Suders. Ob sie und von der Leyen individuelle, gar strafrechtlich relevante Schuld jenseits politischer Verantwortung trifft, konnte der Ausschuss bisher nicht ermitteln.
Merkel habe den Abgang von der Leyens geschickt eingefädelt, sagt der FDP-Abgeordnete Alexander Müller. “Aus Sicht der Kanzlerin ergibt das Vorgehen Sinn: Sie ist eine Ministerin los, die innenpolitisch Probleme macht, und kann sich feiern lassen, eine Frau zur Kommissionspräsidentin zu machen.” Zu seinem Demokratieverständnis passe das schon deshalb nicht, da von der Leyen in mehrere Skandale verstrickt sei.
Von der Leyen und Suder sollten nach bisheriger Planung im Dezember vor dem Untersuchungsgremium als Zeugen vernommen werden. “Jetzt stellt sich die Frage, ob wir den Ausschuss straffen und einige Zeugen nicht mehr anhören, um schneller fertig zu werden”, sagt Müller. Was bisher ermittelt worden sei, reiche, um sich ein “klares Bild” zu machen. Von der Leyen werde definitiv vernommen, auch wenn sie nach Brüssel gehe. “Möglich jedoch ist, dass wir sie nicht erst wie geplant am 12. Dezember hören, sondern früher. Schließlich soll die europäische Öffentlichkeit erleben, wen die Kanzlerin nach Brüssel geschickt hat.”
“Es geht um die Aufklärung eines Skandals”
“Gerade habe ich keine Verkürzungstendenzen”, sagt Grünen-Politiker Tobias Lindner, was also heißt, dass er noch darüber nachdenkt. “Welchen Zeugen sollten wir weglassen?” Es dürfe nicht der Eindruck entstehen, dass allein Ziel gewesen sei, die Ministerin zur Verantwortung zu ziehen oder ihr politisch zu schaden. “Es geht um viel mehr, nämlich die Aufklärung eines Skandals und herauszufinden, was geschehen muss, um die Vergabe von Aufträgen zu verbessern.” Die Entscheidung hänge auch vom Verhalten des Nachfolgers von der Leyens ab, wie stark sein Willen und Mut seien, die Affäre aufzuklären sowie Beamte für etwaiges Versagen disziplinarisch zu bestrafen.
Die Oppositionspolitiker erwarten im Falle eines Wechsels von der Leyens nach Brüssel internationale Aufmerksamkeit für die Berateraffäre. “Die Bedeutung der Untersuchung wird noch steigen, wenn die zwielichtigen Vorgänge in einem Ministerium eine amtierende EU-Kommissionspräsidentin politisch zu verantworten hat”, sagt Lindner. Das mediale Interesse dürfte deutlich zunehmen, auch über die Grenzen Deutschlands hinaus, zumal von der Leyen vor dem Ausschuss erklären müsse, “was sie wusste und was nicht”. Linder fragt süffisant: “Wann hat man schon mal eine EU-Spitzenkraft auf dem Zeugenstuhl?”
Der AfD-Bundestagsabgeordnete Rüdiger Lucassen erwartet das Gegenteil. Die Zeugenvernehmungen hätten ergeben, dass von der Leyen und Suder verantwortlich für die Affäre seien. Mit ihrer “Wegbeförderung” könne sich die Ministerin vermutlich der “finalen Konfrontation mit ihrem Versagen entziehen”, sagt er. “Damit verliert der Untersuchungsausschuss an Kraft und Bedeutung.” Zurück bleibe der “schlechte Geschmack” von einer Kultur gegenseitiger Begünstigung im Verteidigungsministerium bei der Vergabe millionenschwerer Aufträge durch ein “Buddy-System”, an dem Spitzenbeamte und Generäle beteiligt gewesen seien. “Ihre unmittelbare Verantwortung für dieses Politikversagen in der deutschen Regierung wird ihr als Menetekel nach Brüssel vorauseilen.”
“Die Steuerzahler dürfte es schaudern”
Unter Verantwortung von der Leyens seien Millionen Steuergelder für dubiose Beraterverträge und die Sanierung der “Gorch Fock” verpulvert worden, meint auch Linke-Politiker Höhn. Jetzt stünden in der EU noch gewaltigere Investitionssummen zur Aufrüstung der Nato an. “Die Steuerzahler dürfte es schaudern.”
Was sagen CDU und CSU zu all dem? Zwei Tage wartete n-tv.de auf eine Stellungnahme – vergeblich. Das Büro des verteidigungspolitischen Sprechers Henning Otte teilt lediglich mit, dieser könne “zeitnah” kein Statement abgeben.
Dennis Rohde vom Koalitionspartner SPD spricht der Ministerin die Qualifikation für den EU-Posten ab. “Ich halte Frau von der Leyen für ungeeignet”, sagt das Ausschussmitglied. Sie hinterlasse das Ministerium “in einem sehr fragwürdigen Zustand”. Eine zeitliche Verkürzung der Untersuchung lehnt er ab. Der SPD gehe es – “im Gegensatz zur FDP” – nicht allein um bestimmte Personen, sondern um Strukturen und die Frage, was verbessert werden müsse. Sein Aufklärungswillen sei ungebrochen. “Frau von der Leyen wird dann eben nicht als Ministerin, sondern als Kommissionspräsidentin vorgeladen”, sagt Rohde.
Ursula von der Leyens prestigeträchtige „Agentur für Innovation in der Cybersicherheit“ strauchelt. Die Finanzierung fehlt, der Bundesrechnungshof kritisiert. Sollte von der Leyen EU-Kommissionspräsidentin werden, wird sich ihre Nachfolgerin oder ihr Nachfolger darum kümmern müssen.
Während Ursula von der Leyen am Mittwoch, 3. Juli, in Straßburg Europaabgeordnete trifft, verpasste sie in Deutschland einen anderen Termin. Zusammen mit dem deutschen Innenminister Horst Seehofer hätte sie in Leipzig eine Absichtserklärung zur Gründung einer Cyberagentur unterzeichnen sollen. Der Termin ging auch ohne von der Leyen über die Bühne. Unterschrieben haben schließlich Seehofer sowie die Ministerpräsidenten Reiner Haseloff aus Sachsen-Anhalt und Michael Kretschmer aus Sachsen, alle Unionspolitiker.
Die Gründung der sogenannten „Agentur für Innovation in der Cybersicherheit“ wurde von der Bundesregierung bereits im Sommer 2018 beschlossen. Leiten werden die Cyberagentur das Innen- sowie das Verteidigungsministerium. Ziel der Agentur ist es, die digitale Infrastruktur Deutschlands vor Hackerangriffen zu schützen durch die „Sicherstellung technologischer Innovationsführerschaft“ gelingen, so die Homepage der Bundesregierung.
Dazu sollen Innovationen aus dem Privatsektor gefördert werden, die für die innere und äußere Sicherheit relevant sind. Vor allem jene, „die sich durch radikale technologische Neuheit auszeichnen und dadurch marktverändernde Wirkung haben können.“ Das Vorbild der neuen Cyberagentur kommt aus den USA: Die Forschungsbehörde DARPA des US-Verteidigungsministeriums, die es bereits seit den 1950er Jahren gibt. Sie legte die technologischen Grundsteine für das Internet und das Satellitennavigationssystem GPS.
Die deutsche Agentur steckt seit ihrem Beschluss in Schwierigkeiten. Laut offiziellem Zeitplan hätte sie bereits im Frühjahr gegründet werden sollen. Erste Ideenwettbewerbe und Forschungsaufträge sind noch für 2019 geplant. Am Mittwoch wurde nun der Stadtort der zukünftigen Agentur festgelegt: der Flughafen Leipzig/Halle in Sachsen. Bis zu 100 Arbeitsplätze sind hier vorgesehen. Wann es soweit sein wird, ist offen. Die Finanzierung der Agentur steht noch aus.
152,5 Millionen Euro bis zum Jahr 2022 soll die Cyberagentur kosten, die als GmbH gegründet werden soll. Die SPD wehrt sich aber laut SPIEGEL-Informationen gegen eine private Rechtsform ohne parlamentarische Kontrolle. Bei der letzten Sitzung des Haushaltsausschusses des Bundestages vor der Sommerpause wurde die Finanzierung der Cyberagentur von der Beschlussliste genommen.
aus: BERLINER MORGENPOST | SONNABEND, 6. JULI 2019
Der Koalitionspartner ist nicht der einzige Kritiker des Projekts. Der Bundesrechnungshof beanstandete die geplante Agentur massiv, wie netzpolitik.org berichtet. Einerseits weist der Rechnungshof auf das Risiko von staatlichen Mehrfachförderungen hin, da es bereits vergleichbare Einrichtungen gäbe. Beispielsweise hat die Bundeswehr schon einen Cyber Innovation Hub für „disruptive Innovationen und digitale Transformation“. Bundesweit gibt es laut dem Bericht des Bundesrechnungshofs noch fünf weitere ähnliche Organisationen.
Andererseits zweifelt der Bundesrechnungshof, ob die Cyberagentur genügend qualifiziertes Personal finden wird, so netzpolitik.org. Die Nachfrage an IT-Spezialisten ist hoch und die Gehälter in Bundesbetrieben sind oft geringer als in der freien Wirtschaft. Der Bundesrechnungshof nennt die Personalpläne der Cyberagentur „ambitioniert“.
Das Verteidigungsminister hält trotz der Kritik an der Agentur fest und hofft auf einen Beschluss im Haushaltsausschuss nach der Sommerpause. Dann könnte die Agentur noch dieses Jahr gegründet werden, so ein Sprecher gegenüber Euractiv.
Militärische Nutzung: Im Rahmen des Projekts SALIS wird der Flughafen Leipzig/Halle seit dem 23. März 2006 von der NATO zur Realisierung des schnellen Transports übergroßer Ladung als Heimatflughafen zweier russischer Transportflugzeuge vom Typ Antonow An-124 genutzt. Zwei weitere Maschinen stehen innerhalb von sechs und nochmals zwei Maschinen innerhalb von neun Tagen bereit, so dass insgesamt sechs Maschinen im Rahmen von SALIS verfügbar sind. Diese sechs An-124 stehen bereit, um militärisch strategische Lufttransportkapazitäten für die Streitkräfte zur Verfügung zu stellen, aber auch für humanitäre Einsätze und Hilfsaktionen wie z. B. die Erdbebenhilfe für China im Juni 2008. Der Flughafen Leipzig/Halle als Be-, Ent- und Umladeplatz wird laut dem Bundesverteidigungsministerium die Ausnahme sein.
Die Ruslan SALIS GmbH besitzt seit dem 17. Januar 2007 ein Wartungsgebäude im Südbereich des Flughafens für die dort stationierten Maschinen.
Seit dem 23. Mai 2006 lässt die US Army auch über den Flughafen Leipzig/Halle Passagierflüge für den regelmäßigen Truppenaustausch im Irak und in Afghanistan durchführen. Pro Monat wurden im nicht öffentlich zugänglichen Terminal A bis zu 80 Truppentransportflüge mit ungefähr 1600 Soldaten pro Tag abgefertigt. Bis Anfang 2009 sollen bereits 450.000 Soldaten über Leipzig/Halle in den Kampfeinsatz geflogen sein. Im Jahre 2009 soll jeder vierte Passagier ein US-Soldat gewesen sein. Die beauftragten Charterfluggesellschaften Miami Air International und Omni Air International (bis Anfang 2008 ATA Airlines, bis 2013 Ryan International Airlines und bis 2014 World Airways und North American Airlines), lassen die Maschinen auf dem Flughafen Leipzig/Halle betanken und führen Besatzungswechsel durch. Durch den Abzug der US-amerikanischen Truppen aus Krisengebieten im Nahen Osten ist die Zahl von Transitfluggästen jedoch seit 2010 rückläufig.
Mit einer modernen Agentur für Cybertechnologien will Ursula von der Leyen ihre Truppe in die digitale Zukunft führen. Die SPD aber verweigerte ihr nach SPIEGEL-Informationen in letzter Minute die Finanzierung.
Die SPD hat nach SPIEGEL-Informationen die Pläne des Verteidigungsministeriums für eine Agentur zur Entwicklung von Cyberwaffen für die Truppe vorerst gestoppt. Gemeinsam mit dem Innenressort will Verteidigungsministerin Ursula von der Leyen (CDU) eine Inhouse-Gesellschaft gründen, die Digitaltechnologien der freien Wirtschaft auf ihr militärisches Potenzial abklopfen und geeignete Projekte für die Cybereinheiten der Bundeswehr auswählen und finanzieren soll.
Die Agentur soll ähnlich wie die US-Militärforschungsbehörde “Darpa” [Etat ca $3,5 Mrd] die Entwicklung sogenannter disruptiver Cyberwaffen fördern. Dafür hatte das Wehrressort dem Haushaltsausschuss in dieser Woche ein Budget von 152,5 Millionen Euro für die Jahre bis 2022 vorgelegt [etwa €50 Mio pro Jahr].
Die Vorlage aber wurde von der SPD in letzter Minute von der Beschlussliste genommen. Zwar lehnt man die im Koalitionsvertrag vereinbarte Agentur nicht grundsätzlich ab. Der Koalitionspartner moniert allerdings, dass die Agentur als GmbH gegründet werden soll – deshalb verweigerte die SPD die Zustimmung.
“Eine private Rechtsform ohne parlamentarische Kontrolle lehnen wir aus grundsätzlichen Erwägungen und erst recht nach denErfahrungen mit privaten Beraterfirmen im Verteidigungsbereichab”, sagte der SPD-Verteidigungsexperte Fritz Felgentreu dem SPIEGEL. Bei der Berateraffäre waren bei mehreren ausgegliederten Inhouse-Gesellschaften der Bundeswehr, allen voran beim IT-Dienstleister BWI, Unregelmäßigkeiten bei Auftrags- und Budgetvergabe aufgedeckt worden.
Die SPD verlangt, dass die Struktur der Cyber-Agentur noch einmal überarbeitet wird. Damit dürfte sich das Prestigeprojekt der Ministerin erheblich verzögern. Die Agentur soll im Raum Leipzig angesiedelt werden.
Das Ministerium bezeichnete die Situation auf Nachfrage als bedauerlich. Man wolle aber nach einem Kompromiss suchen, der dem Parlament mehr Mitbestimmung ermögliche, hieß es.
In der Berateraffäre muss Ursula von der Leyens Ministerium neue Unregelmäßigkeiten einräumen. Nach SPIEGEL-Informationen versuchte ein leitender Beamter, Akten mit frisierten Beraterabrechnungen zu entfernen.
Donnerstag, 09.05.2019
Die Berateraffäre im Verteidigungsministerium ist um ein bemerkenswertes Kapitel reicher. Nach SPIEGEL-Informationen hat ein leitender Beamter jetzt den Versuch eingeräumt, Belastungsmaterial gegen ihn zu vernichten. Dabei geht es um falsche und absichtlich frisierte Abrechnungen mit mehreren Beratungsunternehmen, die der Regierungsdirektor für seine damalige Abteilung als sachlich richtig abgesegnet hatte.
Am Donnerstag informierte der Leiter der Rechtsabteilung die Mitglieder des Untersuchungsausschusses über den heiklen Vorgang. Demnach ist gegen denRegierungsdirektor, der früher in der Abteilung Cyber- und Informationstechnik (CIT) eingesetzt war, ein formales Disziplinarverfahren eingeleitet worden. Es bestehe der Verdacht, dass er im Februar 2019 die Akten vernichten wollte, um Unregelmäßigkeiten bei mehreren Abrechnungen mit großen Beratungskonzernen zu vertuschen.
Nach SPIEGEL-Informationen zeichnete der Beamte Detlef S. über die Jahre immer wieder Rechnungen für Leistungen ab, die bereits vor dem Vertragsschluss zwischen der IT-Abteilung des Ministeriums und drei großen Beratungsunternehmen geleistet wurden.
Chaotische Zustände bei der Beraterbeauftragung
Die Ermittlungen betreffen genau die Abteilung im Ministerium, durch die die Berateraffäre ausgelöst wurde. So hatte der Bundesrechnungshof im Sommer 2018 nach jahrelanger Recherche herausgefunden, dass in der Abteilung CIT in großem Umfang Beraterverträge ohne Ausschreibung aus Rahmenverträgen des Bundes vergeben worden waren, die gar nicht für die IT-Projekte angelegt sind. Mittlerweile hat Ursula von der Leyen die Vorwürfe weitgehend eingeräumt.
Der Fall des Regierungsdirektors wirft nun ein Licht auf die chaotischen Zustände bei der Beauftragung der Berater. So ergibt sich aus den Akten, die der Beamte vernichten wollte, dass er und die Berater vereinbart hatten, mehrere Projekte schon vor der eigentlichen Vergabe zu beginnen. Die entsprechenden Rechnungen wurden dann nachdatiert. Offenbar wollte S. mit dem Löschversuch vertuschen, dass er die frisierten Rechnungen als “sachlich richtig” abgezeichnet hat.
Die Abmachung zeigt, wie eng und abseits aller Vorschriften Berater und von der Leyens Beamte in der Abteilung CIT kooperierten und dabei alle Verwaltungsvorschriften brachen. Im besten Fall wollten sie damit die dringliche IT-Projekte voranbringen. Im Raum steht aber auch die Frage, ob bestimmte Beamte durch die Regelbrüche befreundete Berater mit Aufträgen versorgen wollten. Bisher soll es darauf im Fall S. keine Hinweise geben, doch die Ermittlungen gehen weiter.
Noch einiges aufzuklären
Die Löschaktion des Beamten S. wird für ihn persönlich zum Problem. Technikern fiel schnell sein Versuch auf, die falschen Abrechnungen aus den Datenbanken zu löschen. Als alle Beamten mit einer Zugriffsberechtigung auf den Server befragt wurden, räumte er die Aktion ein. Fachleute konnten die entsprechenden Ordner wiederherstellen, erst dann fiel auf, dass die Abrechnungen nicht stimmten. Ohne die Löschaktion wäre dies offenbar gar nicht aufgefallen.
Für den Untersuchungsausschuss, der am Donnerstag mehrere Zeugen hören wird, dürfte der Fall bestätigen, dass es in der Affäre noch einiges aufzuklären gilt. Auch bei anderen Projekten existieren Hinweise, dass sich externe Berater mehr oder weniger selbst Aufträge für die Bundeswehr schrieben und bestimmte Beamte dies regelmäßig abnickten. Die Vorgänge rund um die Abteilung CIT will der Ausschuss nach der Sommerpause untersuchen. S. könnte dabei als neuer Zeuge geladen werden.
Für die Grünen ist der Fall S. ein weiterer Beleg für das Chaos im Wehrressort. “Anscheinend war das Ministerium für manche Berater wie ein Selbstbedienungsladen”, sagte Tobias Lindner nach der Unterrichtung über den Vorgang. Für ihn ist nicht nur der Nutzen der millionenschweren Beraterverträge fraglich. “Mittlerweile müssen wir uns fragen, ob nicht zum Nachteil des Steuerzahlers agiert wird”, so Lindner.
Cybersicherheit: Frankreich und Deutschland warnen vor „Schritt zurück“
Apr 25, 2018
Neue EU-Gesetzesvorschläge könnten zum Problem für Mitgliedstaaten wie Frankreich und Deutschland werden, die bereits weitergehende Cybersicherheits-Regularien haben, warnte der Chef der französischen Cybersicherheitsagentur im Gespräch mit EURACTIV.
Frankreich und Deutschland könnten gezwungen werden, „einen Schritt zurück“ zu machen, wenn der Vorschlag für ein EU-Cybersicherheitsgesetz in seiner aktuellen Form angenommen wird, glaubt Guillaume Poupard, Direktor der französischen Sicherheitsagentur ANSSI.
Frankreich und Deutschland sind die schärfsten Kritiker des Kommissionsvorschlags vom vergangenen Jahr.
Die beiden Länder sind besonders misstrauisch gegenüber einer Maßnahme, die die Schaffung eines Systems zur Zertifizierung des Cybersicherheitsniveaus von Technologieprodukten vorschlägt. Der Vorschlag der Kommission würde der in Athen ansässigen EU-Agentur ENISA neue Befugnisse zur Überwachung der Zertifizierungsstufen in diesem System übertragen.
Poupard und sein Gegenpart Arne Schönbohm vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) fordern, die ENISA solle sich eher zurückhalten, da die Agentur weder ausreichend Erfahrung noch Belegschaft habe, um diese neue Rolle zu übernehmen. Stattdessen sollten die einzelnen Mitgliedstaaten die Diskussionen führen.
ANSSI und BSI sind zwei der größten europäischen Agenturen für Cybersicherheit, die insbesondere auf Hackerangriffe gegen Unternehmen oder Regierungsbehörden reagieren.
ENISA: Ein Zwerg
Die Europäische Kommission will der ENISA mehr Geld und Mitarbeiter zur Verfügung stellen – aber selbst mit dieser Steigerung würde sie von den größeren französischen und deutschen Agenturen weiterhin in den Schatten gestellt.
„Wir wissen wie man’s macht. Wir haben 20 Jahre Erfahrung,“ unterstrich Poupard mit Blick auf Frankreichs eigenes Zertifizierungssystem. Er fügte hinzu: „Wir wollen ein System auf europäischer Ebene, aber dieses System sollte nicht die Staaten als Hauptakteure ablösen.“
Wenn die Handhabung des neuen Systems durch die ENISA scheitert, bedeute dies, dass langwierige Gesetzgebungsgespräche absolut nutzlos waren und potenziell nicht ausreichende Zertifizierungskriterien die Cybersicherheitsbranche in allen EU-Mitgliedstaaten schwächen könnten – nicht nur in Frankreich und Deutschland, so Poupard.
„Europa verliert hier sehr wichtige Zeit: Alles geht sehr schnell, die Hacker sind sehr effizient. Wenn wir jetzt fünf Jahre vergeuden, ist das eine halbe Ewigkeit,“ kritisierte er.
Der Vorschlag der Kommission, der im vergangenen September vorgelegt wurde, war bereits in Planung, bevor die massiven Hackerangriffe WannaCry und NotPetya im Mai/Juni 2017 Unternehmen in ganz Europa lahmlegten. Die EU-Exekutive hat diese Vorfälle später dennoch als Grund genannt, warum neue Gesetze durchgesetzt werden müssten.
Laut Gesetzesentwurf müsste die ENISA Unternehmen und Mitgliedstaaten konsultieren, bevor sie Kriterien für das Zertifizierungssystem festlegt. Nachdem die ENISA verschiedene Sicherheitsstufen genehmigt hätte, müssten dann die Diplomaten der Nationalstaaten in einem beschleunigten Gesetzgebungsverfahren, einem so genannten Durchführungsrechtsakt, darüber abstimmen.
„Wir sind überzeugt, dass es schiefgeht“
Doch aus Sicht der Chefs der deutschen und französischen Cybersicherheitsagenturen würde auch diese Regelung der ENISA zu viel Einfluss geben.
Poupard sagte deutlich: „Wir sind überzeugt, dass es schiefgeht.“ Der Franzose weiter: „Wir sind nicht zufrieden mit dem, was vorgeschlagen wurde. Allein schon, weil nicht alle Fragen beantwortet werden und das System sehr viel weniger effizient wäre.“
Die Kommission hingegen argumentiert, der Druck Frankreichs und Deutschlands gegen die Aufsicht der ENISA über das neue System würde den Übergang zu einer EU-weit gültigen Cybersicherheitszertifizierung nur verlangsamen.
Paris und Berlin fordern, dass die Mitgliedstaaten eine zusätzliche Kontrolle haben, um Zertifikate zu genehmigen, bevor die ENISA sie durchsetzt.
Despina Spanou, eine der führenden Beamtinnen der Kommission, die für die Gesetzgebung zuständig ist, sagte am Montag im Industrieausschuss des Europäischen Parlaments (ITRE), auch diese Art von Kontrolle könnte zeitliche Probleme mit sich bringen.
Sie warnte, eine stärkere Beteiligung der Mitgliedstaaten könnte die Genehmigung der Zertifizierungskriterien um „ein weiteres Jahr hinauszögern, was die angedachten Programme weiter verzögern würde.“
Zertifizierung
Im Europäischen Parlament konzentrierten sich die Debatten der Abgeordneten über den Gesetzentwurf darauf, ob Unternehmen verpflichtet werden sollten, ihre Produkte zu zertifizieren, bevor sie in den Verkauf gehen dürfen. Der Vorschlag der Kommission sieht nur eine freiwillige Zertifizierung vor.
Poupard hingegen fordert, die Gesetzgebung müsse eine Zertifizierung für Produkte vorschreiben, die ernsthafte Sicherheitsrisiken darstellen können – wie digitale Gesundheitstechnologien und mit dem Internet verbundene Autos.
Aber er sagte auch, er stimme ansonsten dem Hauptgedanken des Kommissionsvorschlags zu: Die Cybersicherheitszertifizierung solle EU-weit erfolgen, um den Unternehmen weitere Kosten zu ersparen. Im Vorschlag der Kommission wurden ebenfalls die teuren Antragsverfahren für die Zertifizierung in einigen Ländern als ein Grund für die neuen, EU-weit gültigen Rechtsvorschriften genannt.
„Wir brauchen etwas wirklich Europaweites,“ glaubt auch Poupard.
Er betonte, das System müsse mehr sein als lediglich eine Vereinbarung zwischen den Mitgliedstaaten zur Anerkennung nationaler Zertifizierungen des jeweils anderen. Stattdessen müssten die nationalen Agenturen wirklich identische Kriterien für die Festlegung der Sicherheitsstufen verwenden. Es wäre „ein echter Alptraum“, wenn einige Länder schwache Schutzmaßnahmen für Produkte genehmigen würden, bevor sie dann in anderen Mitgliedstaaten verkauft werden dürfen, warnte Poupard.
ANSSI beschäftigt sich seit kurzem mit neuen Technologien – im Einklang mit der politischen Agenda von Präsident Emmanuel Macron, der Feldern wie der künstlichen Intelligenz immer mehr Bedeutung einräumt. Im vergangenen Monat kündigte Macron an, Frankreich werde bis 2022 rund 1,5 Milliarden Euro an öffentlichen Forschungsgeldern für neue Technologien bereitstellen.
Frankreich plant Entwicklung einer sicheren Messaging-App
Poupard ist Mitglied von JEDI, der Joint European Disruption Initiative, einer weiteren Initiative von Macron, mit der französische und deutsche Experten bei der Entwicklung modernster Technik unterstützt werden sollen.
So bezeichnete Poupard einen neuen Plan der französischen Regierung, eine sichere Messaging-App zu entwickeln, als ein „wichtiges Upgrade“, da amerikanische und asiatische Dienste wahrscheinlich Daten außerhalb Europas speichern.
Letzte Woche teilte das französische Digitalministerium mit, es entwickele eine sichere Messaging-App für Regierungsangestellte, die anstelle von WhatsApp, das Facebook gehört, verwendet werden soll.
Es gebe inzwischen mehr öffentliches Interesse an sicheren Technologien, nachdem im vergangenen Monat bekannt wurde, dass mehr als 87 Millionen Facebook-Nutzerdaten ohne Wissen der User von der Politikberatung Cambridge Analytica verarbeitet worden waren, so Poupard. Der Skandal habe „den Menschen mehr und mehr die Notwendigkeit aufgezeigt, ihre Daten zu schützen“.
„Der Ort, wo es Sinn macht, Daten zu speichern, wo es ökonomisch, ethisch und rechtlich sinnvoll ist, ist eindeutig Europa,“ unterstrich er.
Das entspricht auch den Zielen von JEDI und der französischen Regierung sowie den Plänen der Europäischen Kommission, in einheimische Technologien zu investieren, die mit den amerikanischen Technologieriesen konkurrieren können.
„Wir müssen in Europa vor allem unsere digitale Autonomie weiterentwickeln“, forderte Poupard.
Forward-looking: Biometrics is advancing and evolving at a rapid rate. It seems like just yesterday we were unlocking our phones with our fingerprint — now it’s our face. What’s it going to be tomorrow — our heartbeat? Well, maybe.
MIT Technology Review reports that the Pentagon now has a prototype infrared laser that can identify people by their heartbeat. It is called “Jetson” and uses laser vibrometry to detect movements on the surface of the skin caused by a person’s pulse. It even works from as far as 200 meters away.
If you grew up reading Daredevil comic books, you already know that everyone’s heartbeat is unique, which is how the super-powered blind Matt Murdock was able to identify people. Jetson works similarly.
By detecting a person’s heartbeat, then comparing it to a database, the laser can ID someone with 95-percent accuracy in optimal testing conditions. Of course, the most significant advantage is that it cannot be fouled up like facial recognition and fingerprint sensors since a heart rhythm can’t be duplicated or changed.
“Compared with face, cardiac biometrics are more stable and can reach more than 98% accuracy,”Wenyao Xu of the State University of New York at Buffalo, who has also developed a cardiac sensor that uses radar from up to 20 feet away.
“Existing long-range facial recognition [systems] suffer from acquiring enough pixels at a distance to use the face matching algorithms.”
There are some caveats though. While the laser can detect a heartbeat from a distance on bare skin or through thin material like a tee shirt, thicker clothing like a jacket makes it ineffective. The system also needs about 30 seconds to create a good enough profile for analysis. The subject must be still during that time as well.
According to some 2017 documents from the Combating Terrorism Technical Support Office (CTTSO), Jetson has been in development for several years, and it is looking to decrease response time down to under five seconds.
“Existing long range biometric methods that rely on facial recognition suffer from acquiring enough pixels at a distance to use the face matching algorithms and require high performance optics to acquire visual signatures at significant distances,” said the CTTSO. “The Jetson effort being developed by Ideal Innovations, Inc. is a ruggedized biometric system that will capture cardiac signatures to aid in the positive identification of an individual at a distance up to 200 meters and within five seconds.”
The Pentagon is looking at if for military and surveillance applications, but there are several practical and commercial possibilities as well.
As previously mentioned, such technology could be used as a biometric solution for mobile devices. In fact, Apple has been looking into similar technology since at least 2010. It could also be used in medical and clinical situations. Wireless heart monitors are a possibility as are stethoscope-free checkups with your doctor. Badge-less entry systems for secured buildings would be another use case.
Fünf Gründe sprechen dagegen, dass Trump und sein Handelskrieg die Welt erschüttern werden:
► Erstens: China und Amerika sind zwar die größten Wirtschaftsmächte der Gegenwart. Aber beide produzieren im Wesentlichen für ihre riesigen Binnenmärkte. Hier gibt es keine Zölle und daher auch keinen Zollkrieg.
► Zweitens: Der chinesisch-amerikanische Anteil am weltweiten Handel von Waren und Dienstleistungen beträgt nur 3,1 Prozent (siehe Grafik unten). Damit lassen sich Irritationen auslösen, aber keine Weltwirtschaftskrisen.
► Drittens: Der Handel zwischen den USA und der Europäischen Union, der immerhin schon 5,1 Prozent des Welthandels ausmacht, kann jederzeit ausgebaut werden. Er wirkt als Schockabsorber.
► Viertens: Die weltweit verlegten Wertschöpfungsketten der großen Konzerne reagieren schnell auf die Verlagerungen von Angebot und Nachfrage. Fällt die Produktion in einem asiatischen Land aus, wird sie in einem anderen hochgefahren. So erlebte Taiwan im ersten Quartal 2019 einen Exportanstieg in die USA von 30 Prozent im Vergleich zum Vorjahr, Südkorea liegt bei 17 Prozent Steigerung seiner US-Exporte. Vietnam konnte um mehr als 20 Prozent zulegen (siehe Grafik unten).
► Fünftens: Der Terminus vom amerikanisch-chinesischen Handelskrieg suggeriert, beide Nationen seien in gleicher Weise betroffen. Das ist nicht der Fall. Laut OECD entspricht der Handel mit den USA 3,9 Prozent des chinesischen Bruttosozialprodukts. Der Anteil des amerikanischen Sozialprodukts, der vom China-Handel abhängt, liegt nur bei 1,3 Prozent.
Fazit: Wir erleben nicht das Ende der Globalisierung, sondern lediglich den amerikanischen Versuch, ihre Regeln neu zu interpretieren. Trump möchte die „Terms of Trade“ zu seinen Gunsten verändern. Die Chinesen, die stark von der westlichen Naivität profitiert haben, verlieren nicht ihr Gesicht – nur die Windfall-Profite der letzten Jahre.
from: Steingarts Morning Briefing <news@morning-briefing.gaborsteingart.com> am 28 JUN 2019
***
Something else is much more alarming (besides the climate change):
Nach der Weltfinanzkrise haben sich die Staats- und Regierungschefs der wichtigsten Länder geschworen, dass sich die Verschuldung von Banken und Staaten nicht wiederholt. Doch die Wirklichkeit sieht anders aus. Um 72 Prozent ist allein die Staatsverschuldung der G20-Staaten seit 2009 gestiegen, die Wirtschaftsleistung dagegen nur um 31 Prozent. Hohe Schulden und schwaches Wachstum könnten die Zutaten für eine neue Weltfinanzkrise werden. Unsere aktuelle Titelgeschichte „Comeback der Schulden“ zeigt die Risiken dieser gefährlichen Schuldenorgie. Wir hätten auch schreiben können: „Nichts gelernt“.
from: Handelsblatt Morning Briefing <morning_briefing@redaktion.handelsblatt.com> am 28 JUN 2019
Android dominiert den Smartphone-Markt und ist auch darüber hinaus das mit Abstand am weitesten verbreitete mobile Betriebssystem.
Trotzdem ist Apple für App Publisher immer noch die deutlich lukrativere Adresse, wie ein aktueller Report von Sensor Tower zeigt. Demnach erzielten die 100 größten iOS-App-Publisher im ersten Quartal 2019 durchschnittlich 84 Millionen US-Dollar Umsatz, verglichen mit 51 Millionen US-Dollar bei den erfolgreichsten Android-App-Herstellern.
Insgesamt hat Apple bislang mehr als 120 Milliarden US-Dollar ab Entwickler ausgezahlt (Stand: Januar 2019) – davon 60 Milliarden US-Dollar in den letzten beiden Jahren.
Apple: Spotify argumentiert mit falschen Zahlen
Spotify-Gründer Daniel Ek hatte Mitte März bei der EU-Kommission ein Prüfverfahren gegen Apple eingeleitet. Der Grund: Apple erhebe von Anbietern 30 Prozent Gebühren für Käufe über den App Store, beispielsweise wenn ein Spotify-Kunde sein Gratisabo auf die Premium-Funktion upgrade. Apple wirft dem Streaming-Anbieter nun vor, wissentlich mit falschen Zahlen zu argumentieren. Von den 30 Prozent seien nicht etwa alle Nutzer betroffen, sondern nur jene, die ihr Abo zwischen 2014 und 2016 abgeschlossen haben – etwa 680.000 Kunden. Zudem habe deren Gebühr nur bei 15 Prozent gelegen.spiegel.de
ARCHIV – ILLUSTRATION – Kopfhörer hängen am 17.03.2014 in Berlin vor einem Apple Iphone 5s, auf dem das Logo vom Musik-Streaming-Dienst Spotify angezeigt wird. (zu dpa “Milliardenklage gegen Spotify wegen Autorenrechten” vom 03.01.2018) Foto: Daniel Bockwoldt/dpa +++(c) dpa – Bildfunk+++
Streit um Abo-KostenApple wehrt sich gegen Spotify-Vorwürfe
Apple schlägt gegen Spotify zurück: Der Konzern kassiere keine überhöhten Provisionen von Kunden des Streamingdienstes, wie dessen Chef Daniel Ek behauptet. Ek nutze falsche Zahlen, heißt es in einem internen Dokument.
Es waren schwere Vorwürfe, die Daniel Ek erhob. Apple sei zwar ein Konkurrent seiner Firma, schrieb der Gründer und Geschäftsführer des Musik-Streamingdienstes Spotify, und das sei auch gut so. “Aber Apple verschafft sich immer noch bei jeder Gelegenheit Vorteile”, schimpfte Ek Mitte März. Deshalb habe Spotify Beschwerde bei der EU-Kommission eingelegt.
Zur Begründung behauptete Ek, dass Apple von Spotify eine “Steuer” in Höhe von 30 Prozent auf Käufe über Apples Bezahlsystem erhebe – etwa dann, wenn Spotify-Nutzer von einem Gratis- auf ein kostenpflichtiges Premiumkonto umsteigen. Das würde Spotify zwingen, seine Preise “künstlich aufzublasen”, und zwar deutlich über das, was Apple für seinen eigenen Streamingdienst Apple Music verlange.
Daniel Ek, CEO of Swedish music streaming service Spotify, poses for photographers at a press conference in Tokyo on September 29, 2016. Spotify kicked off its services in Japan on September 29. / AFP PHOTO / TORU YAMANAKA
Apple wehrt sich jetzt gegen diese Vorwürfe – und beschuldigt Spotify, wissentlich mit irreführenden Zahlen zu operieren. So erwecke Spotify den Eindruck, dass die 30-Prozent-Abgabe für alle Nutzer von Apple-Geräten fällig werde. Dabei gehe es um nur 680.000 Nutzer, wie es nach SPIEGEL-Informationen in Apples Stellungnahme an die EU-Kommission heißt, die Ende Mai in Brüssel eingetroffen ist.
Apple: Spotify operiert mit irreführenden Zahlen
Die Kommission von 30 Prozent sei nur bei jenen Spotify-Kunden erhoben worden, die ihr Abo über Apples In-App-Kauffunktion von Gratis auf Premium umgestellt hätten. Diese Funktion sei aber nur von 2014 bis 2016 in der Spotify-App aktiv gewesen – und in dieser Zeit hätten nur 680.000 Kunden davon Gebrauch gemacht. Für alle anderen Abo-Upgrades vorher und nachher hat Apple nach eigenen Angaben keinen Cent kassiert.
Spotify hatte laut seinem letzten Geschäftsbericht Ende des ersten Quartals 2019 weltweit rund 100 Millionen zahlende Nutzer – eine Steigerung von 32 Prozent gegenüber dem Vorjahr. Apple Music kommt aktuell auf gut 50 Millionen Kunden, wuchs zuletzt aber schneller als der schwedische Wettbewerber. Europa ist die wichtigste Region für Spotify. In den USA hat Apple Spotify zuletzt offenbar überholt.
Spotify lässt Anfragen unbeantwortet
Auch für die betroffenen 680.000 Spotify-Abos verlangt Apple offenbar – anders als Ek in seinem Blog schreibt – nicht 30 Prozent, sondern nur die Hälfte. Schon vor einiger Zeit hat die Firma die Kommission für Abo-Kunden gesenkt: Nach einem Jahr Mitgliedschaft fällt sie von 30 auf 15 Prozent. Da die 680.000 Spotify-User ihre Abos vor drei bis fünf Jahren abgeschlossen haben, muss Spotify für sie nach Apple-Angaben nur noch 15 Prozent abführen.
Warum Ek dennoch behauptet, dass Apple bis heute eine Kommission verlange und diese 30 Prozent betrage, ist unklar. Spotify hat auf mehrere Anfragen des SPIEGEL nicht reagiert.
Ek hat in seinem Blogpost eingeräumt, dass Spotify die Gebühr an Apple umgehen könne, indem man die Apple-eigene Bezahlfunktion nicht nutze. Dann aber erschwere Apple die Kommunikation zwischen Spotify und seinen Kunden, blockiere App-Updates oder halte Spotify von Produkten wie der Assistenzsoftware Siri, dem vernetzten Lautsprecher HomePod und der Computer-Uhr Apple Watch fern. Apple weist diese Behauptungen als unwahr zurück.
Vestager erinnert an Milliarden-Bußgelder gegen Google und Microsoft
Die entscheidende Frage im Prüfverfahren der EU-Kommission ist nun, ob Apples App Store eine dominante Plattform ist, die den gesamten Musikstreaming-Markt beeinflussen könnte, und ob Apple seinen eigenen Streaming-Dienst bevorteilt. “Wir haben eine Plattform, die Kunden zu verschiedenen Anbietern leitet, und dann beginnt die Plattform, solche Geschäfte selbst zu machen, also selbst zum Anbieter zu werden”, sagte EU-Wettbewerbskommissarin Margrethe Vestager im März über den App Store. Das sei ein Muster, “das wir schon kennen”. Es war eine Anspielung auf die milliardenschweren Bußgelder gegen Google und Microsoft.
Bei Apple hält man diesen Vergleich schon deshalb für falsch, weil das iPhone in der EU nur einen Anteil von 25 Prozent des Smartphone-Markts hält. Nahezu der gesamte Rest entfällt auf Handys mit Googles Android-Betriebssystem. Zudem sei Apple Music auch nicht dominant auf dem Markt der Streaming-Anbieter.
Zu Dauer und Stand des von Spotify angestrengten Prüfverfahrens wollte die EU-Kommission auf Anfrage keine Angaben machen.
Any transaction that Apple processes for you will be subject to the 30% transaction fee. Any direct “in app purchase.”
Essentially, anything that can be delivered via the app that’s “digital content” is taxable.
If you have a basic eCommerce app where you sell physical products but you yourself process the payments, Apple will not take 30%.
If you want to unlock features or functionality within your app (by way of example: subscriptions, in-game currencies, game levels, access to premium content, or unlocking a full version), you must use in-app purchase. Apps may use in-app purchase currencies to enable customers to “tip” digital content providers in the app. Apps and their metadata may not include buttons, external links, or other calls to action that direct customers to purchasing mechanisms other than in-app purchase.
You must use in-app purchases and Apple’s official API’s, if it’s not a physical item.
In-App Purchases. What you need to know before developing a Mobile App
So you’re building an iOS app. Great! Let’s get to the brass tacks; how are you going to make money on it? Will there be some kind of purchasing ability within the app?
If your app is going to be anything like the majority of the 1.6 Million apps in the App Store, whose in-app purchases account for nearly $24 Billion annually – you need to know how purchasing works on iOS.
In-App Purchases vs. Apple Pay:
Apple has built two ways to pay for things directly into iOS: Apple Pay and In-App Purchase (IAP). Apple Pay is similar to a credit card transaction: it takes a small percentage of the transaction, plus a flat-fee. IAPs use the iTunes store purchasing system, and therefore take a 30% cut on all purchases, whether they’re one time uses or subscription based.
Based on the fee structure alone, it sounds like you’d be a fool to not go with Apple Pay. Well, the plain truth is you can’t use Apple Pay everywhere. In fact, unless you fall into a few specific use cases, you can’t use Apple Pay, or any other payment processor, at all.
Taking a Deeper Look at IAP – It’s important!
Regardless of whether you’re a CEO or a developer, do yourself a favor and read up on the purchasing guidelines for IAP and the ones for Apple Pay too. It’s important to understand the specific rules, so you don’t find yourself crashing into a brick wall later.
The gist is: any time you offer new/renewing content that users will pay for in-app (like news articles), they must be processed via IAP. Similarly, if you want to restrict some functionality, such as “Pro” features, that must be IAP. Finally, if you want to sell tokens/credits/gold coins/gems or whatever as consumables in a game or other service, they also must be through IAP.
One of the toughest decisions to make is whether or not to process subscription sign-ups through your app – or somewhere else like your website (more on that later). If you do decide to allow purchases within the app, then those must be through IAP too.
Given the fact that every In-App Purchase gives Apple a 30% cut, it can throw a really big wrench in your business plan if you aren’t expecting it.
What Doesn’t Fall in Apple’s In-App Purchase Policy:
Ok, when can you avoid using IAP? The simple answer is, when you’re selling physical goods and services.
My favorite example is Uber or Lyft. They can have their own credit card processing system (or Apple Pay) because the customer is paying for an actual ride from one place in the real world to another. When the customer purchases something from Amazon, they are buying a physical product, so Amazon can use their own payment system as well. However, you will notice that you cannot buy books in the Amazon Kindle app. You can download samples and add to a wish list, money does not change hands in the Kindle app.
Curiously, you can buy a Kindle book in the normal Amazon store app, using Amazon’s own payment processing. I don’t know if Amazon worked out a special deal with Apple, or they just snuck it in there. When you’re on Amazon’s size you can get just a small bit of leeway.
The trouble is 1) there aren’t a lot of businesses that offer these types of products or services that transact on mobile applications, and 2) it may not be immediately obvious that your pricing model falls under the IAP umbrella. If there is any doubt, submit your application for review as early as possible to validate this. It is far easier to adjust a business model months before launch than hours.
What about Software-as-a-Service businesses?
If you sell a SaaS subscription within an iOS app, it’s just another subscription in Apple’s eyes; you have to use an IAP subscription and give Apple 30%.
You can however, sell the subscription on your website and still have a companion iOS app. Take a look at the Basecamp iOS app:
This is the first screen you see when you launch the app. There are no IAPs for their subscription model. Instead, Basecamp has you sign up and pay for their subscription service on their website, not in their mobile app.
Yes. Well, maybe… You can certainly avoid paying the 30% fee for IAP, but there is a Shaq sized catch. You CANNOT advertise anywhere in an app that you are selling something outside of iOS.
This is a pretty tough decision to make, as it has implications not only for product development, but also user acquisition, engagement and retention.
Originally, Netflix did not allow you to sign up for their $10/month plan inside of their iOS app, instead forcing every user to activate their account online. They held steady on that for a long time, opting to avoid the IAP fees for a clunkier user experience. That was until they determined that the number of signups they received by the convenience of activating subscriptions right there in the app outweighed the 30% hit on revenue.
I cannot stress enough that you will be rejected if you link to a website that displays a payment form. Even if you link to your homepage, and that links to a payment page, you’ll be rejected. Notice that there is no link to basecamp.com in that screenshot above. (Bonus tip: if you have a link to an Android version on that homepage, you’ll also get rejected. Life is fun sometimes.)
What this means for your business. And your app.
All too often we have a tendency to rush into things. Apps, and software development, are notoriously hard to estimate regardless. There is always an unknown wrench that will be thrown into your plans, but your business model and how you scale revenue should always be in your hands.
Apple’s IAP policy might seem a little imperious, and it is. Apple has $528 billion reasons that allow them to get away with it though and they won’t be changing anytime soon. With a little bit of foreknowledge your business and your development plan can adapt.
[Google is no different: it also has a 30% cut in its Google Play Store]
Opinion: Google’s 30% cut of Play Store app sales is nothing short of highway robbery
Congratulations: You’ve finally developed your million-dollar app. You took a great idea, implemented it, built it into a polished UI, and tested it until you tracked down every last bug. Now it’s ready for public release, so you can sit back, relax and … earn just 70% of what users pay for your software? That doesn’t sound right. Yet it’s a position that mobile app developers everywhere find themselves in, one that’s perched somewhere on the intersection between wildly unfair and mild extortion.
As you’re probably aware, Google takes a 30% cut of all software sales going through the Play Store — that counts for both for the initial sale of apps, as well as any supplementary in-app purchases. In the context of the industry, this practice doesn’t seem too outlandish; Apple does the same thing with iOS software distribution through its App Store, and we see similar arrangements in the PC sphere on platforms like Steam.
But just because it’s commonplace, does that mean it’s fair, or even right? How did we get to this place where paying a developer 70 cents on the dollar for their hard work seems OK?
Back before the days when software distribution was primarily online, developers had it a lot worse. First you had to find a publisher, who was going to want their cut. Then you had the cost of physical media to consider, as well as designing and manufacturing some attractive packaging. You had to pay to ship your software to stores, and to even get it on shelves meant giving retailers their slice of the pie. And of course, with all these parties involved and them wanting to ensure as high sales as possible, you’d probably also be paying for an expensive advertising campaign.
In the end, the developer would be very lucky to end up with even 20% of the ultimate sale price (and forget about that if we’re talking console games, with royalties to the console manufacturer knocking things under 10% easily).
But that’s not the world we live in today, and so many of those costs have either seriously diminished or become irrelevant altogether. There’s no need to fight for retailer shelf space, no unsold merchandise taking up space in warehouses, and no need to pay so many middlemen along the way — heck, why even bother with a publisher when you can be a one-man app studio yourself?
Buying software used to mean a trip to the mall, with retailers and distributors taking a big cut. Now with digital sales, is Google’s 30% take still fair? (Image: Mike Mozart)
Facebook’s Libra Cryptocurrency: Bad for Privacy, Bad for Competition
Author Scott A. Shay is co-founder and chairman of Signature Bank of New York and also the author of “In Good Faith: Questioning Religion and Atheism” (Post Hill Press, 2018).
Allowing Facebook to mint its own coin, the Libra, would turn it into the greatest anti-competitive trust case in history. It would make the early 20th century Morgans or Rockefellers seem downright competitive.
Even before it unveiled its vision for a global cryptocurrency this month, Facebook was already a near-monopoly in social media, and part of a duopoly in its main markets. Together with Google, it controls 82% of the digital advertising market.
In the past, Facebook has purchased any company that threatened it, e.g. Instagram and WhatsApp. And, when it spots a company that won’t sell itself or would be difficult to purchase, it uses the “embrace, enhance and extinguish” technique.
Facebook saw Snap Inc. (maker of Snapchat) contesting a small part of its franchise, so it embraced Snap’s best features and integrated them into its app. Now, Facebook is hoping to extinguish Snap as a competitor. Compare the stock performance of Snap and Facebook, and you will probably place your bet on Facebook.
But it is not simply Facebook’s business practices that are of concern.
Neither Facebook nor Google charges for their consumer products, obscuring the fact that all-encompassing consumer tracking is their real product.In many cases, their data is better than what the KGB or CIA could have gathered 20 years ago. And their data is certainly a lot cheaper, since it is voluntarily provided and easily accessible.
We would not want our government agencies to have this sort of power, nor should we want it to be in the hands of corporations.
Facebook and Google have already shown their political muscle. With their duopoly on digital marketing advertising, these companies have transformed the nature of news. Only a few news sites, such as The Wall Street Journal and The New York Times, can resist their gravitational pull and still attract direct advertisers as well as subscribers.
Most other publications must use Google ads, which provide far less revenue to the outlet, slice and dice their readership, and force newspapers to write clickbait. Ads to readers are so well-placed because of the mountain of information that can be inputted into their algorithms. The same holds true for news content viewed on Facebook.
Now, with the Libra project, Facebook wants to exponentially increase its monopolistic power by accessing unparalleled information about our consumer purchasing habits. If allowed to proceed with Libra, a company that knows your every mood and virtually controls the news you see will also have access to the deepest insights into your spending patterns.
Privacy threat
Of course, Facebook will speak piously about privacy controls and its concern for the consumer, yet it will still figure out a way to sell the data or others who buy the data will figure it out for them.
Furthermore, with the richness of the social media data Facebook consistently garners, even anonymized data can be recalibrated to distill specific individual-related information and preferences.Facebook, along with its other monopolist rent-seeking cohorts, such as eBay, Uber and Mastercard, all say they won’t do that.
Quite frankly, there is zero reason to believe such promises. Their culture is based strictly on brand concerns and access to personal data. Additionally, hacks of social media are now so common that we are inured to them.
Consumers can have the benefit of a digital payment mechanism without allowing Facebook to gain more power. In the financial services sector, my institution, Signature Bank, was the first to introduce a 24/7 blockchain-enabled payment system. As one would expect, others, such as JPMorgan, are trying to follow suit and will no doubt be competitors someday.
Banks and financial institutions are limited in their access to, and transmission of, information, and for good reason. If Facebook, on the other hand, establishes Libra, no other competitor will have equal access to its data, and therefore, a chance at the consumer payment market.
In this way, Libra is in keeping with Facebook’s monopolistic business style.
Further, the information monopoly Facebook would possess will be similar to what the Chinese government possesses but needs the Great Firewall to execute. Monopolistic forces will produce the same result through different means.
Call to action
Action needs to be taken quickly to stop Libra and break up Big Tech, not only for the welfare of consumers but for the good of the nation.
The first step is to force Facebook to divest or spin off Instagram, WhatsApp, Instagram and Chainspace, the blockchain startup it acqui-hired early this year.
Facebook also must be mandated to offer a parallel, ad-free, “no collection of information” site supported by fee-based subscriptions. Over time, this would provide some transparency as to the value of the consumer information currently being gifted to Facebook.
Google should be forced to divest or spin off YouTube, Double Click and other advertising entities, cloud services and Android. Amazon similarly needs a radical breakup as it too poses systemic threats to a transparent market. (Alexa is a prime example of the private data Amazon gathers on users’ lifestyle and personal habits.)
The breakup of these behemoths cannot wait until after the 2020 election. Such action must be taken on a bipartisan basis as soon as possible.
Even once stripped down, Facebook should remain separated from commerce due to privacy concerns. Congress, which has scheduled hearings on Libra for next month, is right to intervene.
Das ist kurz zusammengefasst der Deal auf den sich NutzerInnen sozialer Netzwerke einlassen. Laut einer Umfrage von NBC News/Wall Street Journal aus dem März 2019 finden 74 Prozent der US-Amerikaner, dass das kein fairer Handel ist. Auch in Deutschland dürfte eine entsprechende Umfrage ähnlich ausfallen.
Aber was wäre dann ein guter Deal? Dieser Frage ist das Meinungsforschungsunternehmen Morning Consult in einer Umfrage unter 2.200 Erwachsenen in den USA nachgegangen.
Für Informationen wie den vollen Namen oder das Einkaufsverhalten würden die Teilnehmer 50 US-Dollar aufrufen.
Für Bonitätswerte und Führerscheinnummer würden 300 beziehungsweise 500 US-Dollar fällig werden.
Für Passnummer oder biometrische Daten müssten Unternehmen 1.000 US-Dollar zahlen.
By continuing to use this site, you agree to the use of cookies. Please consult the Privacy Policy page for details on data use. more information
The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.
