Jan 01

Sind Sie auch die ganzen Rückblicke leid? Schon zum 1. Advent flimmerten die ersten Jahresrückblicke über den Flatscreen. Jetzt zum wirklichen Ende des Jahres kann man sich gar nicht mehr vor Rückblicken wie „die besten…“, „die schönsten…“ aber auch die „die schlimmsten Ereignisse…“ retten. Da machen wir nicht mit! Flugs die Glaskugel poliert und reingeschaut, was 2016 alles bringen wird… weiterlesen »

geschrieben von Holger \\ tags: , , , , ,

Okt 18

Das Urteil des EUGH vom 6. Okotber, in dem er das Safe Harbor Abkommen mit den USA für ungültig erklärte, schlug für viele unerwartet ein wie eine Bombe. Während nun viele Politiker meinen, man müsse nun nur ein wenig nachbessern, schlagen die europäischen Datenschützer einen anderen, sehr harten Ton an.

Doch was bedeutet das Urteil eigentlich in der Praxis? Was muss z.B. ein Blogger beachten? Was ändert sich für kleine und mittelständische Firmen?

weiterlesen »

geschrieben von Holger \\ tags: , , , ,

Aug 10

In dieser Woche überschlugen sich die Ereignisse. Nach einem Bericht in der New York Times entdeckte die Sicherheitsfirma Hold Security den Diebstahl von ca 1,2 MIlliarden Zugangsdaten, also Kombinationen aus Mailadresse bzw. Benutzername und einem Passwort bzw. einem Passwort-Hash. Diese sollen von etwa 400.000 Webseiten kommen. Allein diese riesige Zahl macht deutlich, dass ein Großteil der Diebstähle wohl nicht in mühevoller Handarbeit erfolgten, sondern weitgehend automatisiert. Die Hacker dürften Sicherheitslücken in verbreiteter Software genutzt haben, entweder Lücken in der Server-Software oder bei den installierten Anwendungen.

Auch ein Live-Hack, der auf der Sicherheitskonferenz Black Hat vorgeführt wurde, gibt dem Verbraucher ein ungutes Gefühl. In ein mobiles Terminal, wie es millionenfach zum Auslesen von EC- und Kreditkarten benutzt wird, wurde eine vereinfachte Version des Spiels „Flappy Bird“ eingespielt. So harmlos der Hack anmutet, er beweist, dass es möglich ist, beliebigen Code auf diese Geräte zu bekommen und Kontrolle über die Tastatur zu erhalten. Damit wäre es möglich, PIN-Abfragen abzugreifen. Brisant wird der Hack durch die Tatsache, dass die Hacker davon ausgehen, dass dieser Hack bei ca 75% der weltweit eingesetzten Terminals funktiert.

Diese Meldungen und viele andere aus der Vergangenheit zeigen, dass es mit der Sicherheit eher schlecht bestellt ist. Betroffen waren in der Vergangenheit nicht nur kleine Firmen, sondern auch Branchengrößen wie ebay oder Sony, denen man genug Geld und Knowhow  für Datensicherheit unterstellen darf. Daher stellt sich die Frage, ob das Thema Sicherheit richtig angefaßt wird und ob die aktuellen Sicherheitskonzepte zeitgemäß sind. Bei Kartenterminals z.B. ist es ein altbekanntes, aber noch immer ungelöstes Problem: Der Nutzer muss der Maschine blind vertrauen und seine Daten (Karte und PIN) preisgeben. Er hat keine Möglichkeit zu kontrollieren, ob das Terminal wirklich das ist und macht, was es vorgibt. Die gleiche Problematik gilt inzwischen auch für viele Webseiten. Selbst wer die Adresse seiner Bank von Hand eintippt, kann nicht mehr sicher sein, auch auf der Webseite seiner Bank zu landen. Die Manipulationsmöglichkeiten sind hier vielfältig und reichen vom Trojaner auf dem eigenen Rechner über manipulierte Heimrouter bis hin zu manipulierten DNS-Servern bei Providern.

Ein Umdenken muss her und zwar auf allen Ebenen. Viele Webseitenbetreiber müssen sich mal ernsthaft fragen, ob es nötig ist, dass man sich auf Ihren Webseiten überhaupt anmelden muss. Benutzerdaten, die nicht erhoben werden, können auch nicht falsche Hände kommen. Updates der eingesetzten Software sollten selbstverständlich sein. Was bei Do-It-Yourself-Webmastern meist klappt, ist im gewerblichen Bereich schon ein Problem. Viele Firmen und Freiberufler lassen sich Ihre Webseite von einer Agentur erstellen, pflegen selber evtl. mal einige Inhalte ein, können aber keine Updates einspielen. Oft scheitert es daran, dass die Agenturen CMS-Systeme wie z.B. Typo3 einsetzen, die für den Zweck schon zu gross sind. Niemand wird seine Brötchen mit einem LKW vom Bäcker holen, aber ein (oft veraltetes) Typo3 für eine kleine ziemliche statische Webseite einer Arztpraxis oder eines Handwerkers werden Sie sehr oft finden. Die meisten Betroffenen haben nicht die geringste Ahnung, welche Zeitbombe sie da ticken haben. Aber auch die Webhoster selber müssen ihre Hausaufgaben machen. Server laufen meist nach dem Prinzip „Never change a running system“ und die Software wird selten Updates unterzogen. Angreifbare Serversoftware und veraltete Betriebssysteme mit bekannten Fehlern sind nicht die Ausnahme, sondern die Regel.

Ein lobenswerter Anfang war die Aktion des Webhosters Goneo. Nach zahlreichen gehackten Ur-Alt Joomla Installationen von Kunden begann man, die Kunden zu informieren, dass man im Interesse aller Kunden Web-Accounts mit gefährlichen Alt-Versionen einige Tage später abschalten werde, wenn kein Update erfolgt. Der Antrieb dieser Aktion war aber weniger die Datensicherheit, sondern die Tatsache, dass die gehackten Joomlas die betroffenen Server so stark auslasteten, dass die Webseiten anderer Kunden auch nicht mehr funktionierten. Dennoch ist die Idee, die Webserver der Kunden nach bekannt gefährlichen Installationen abzuscannen, ein Ansatz für etwas mehr Sicherheit.

Ein anderer Ansatz wäre Datensparsamkeit und das konsequente Meiden von Webseiten mit obskuren Cookies (Cookies von Drittanbietern, meist Werbenetzwerken) und nervigen Sicherheitswarnmeldungen des Browsers. Was nützt ein Shop mit SSL Verschlüsselung, wenn ein Teil der Inhalte der Webseite doch wieder unverschlüsselt sind? Die meisten Browser warnen davor und das nervt. Grund genug, sein Geld woanders auszugeben – das ist meist die einzige Sprache, die sehr schnell in den Chefetagen verstanden wird. Wir Verbraucher haben es ein Stück weit in der Hand…

geschrieben von Holger \\ tags: , , , , , ,

Aug 02

1969 wurde mit dem Arpanet der Urahn des heutigen Internet in Betrieb genommen. Bereits 1971 war die E-Mail der wichtigste Dienst in diesem Netz. Aber wichtige Grundlagen des heutigen Internets wie z.B. das Protokoll TCP/IP existierten damals noch nicht. Erst Anfang der 83 wurden IPv4, ICMP und TCP eingeführt und die Voraussetzungen zur Zusammenschaltung von Netzen geschaffen.

Am 3. August 1984 war es dann auch in Deutschland soweit: Der deutsche Informatiker Michael Rotert empfing die erste E-Mail in Deutschland von Laura Breeden vom CSNET mit dem Betreff „Willkommen in CSNET!“. Wer mag, kann die ganze Willkommensmail von damals beim eco nachlesen. Das CSNET war eines der ersten Netze von Universitäten, das unabhängig vom US-Militär betrieben wurde.

Spam und Phishing-Mails gab es in den Anfangsjahren der Mail noch nicht. Der Preis pro übertragenem Megabyte war noch so hoch, dass eine Mail mit einer Größe von ca 5KB (eine locker beschriebene DIN A4 Seite) etwa 20 Pfennig kostete.  Neben dem universitärem Umfeld waren es in Deutschland einige Mailboxnetze wie z.B. MAUS, Z-Netz und später auch AmNet und einige Fido-Hubs, die ihren Usern über Gateways Zugang zu E-Mail ermöglichten. Erst später stellten Dienste wie AOL oder T-Online Ihren Nutzern Internet und E-Mail zur Verfügung.

21014 werden geschätzt allein in Deutschland 500 Milliarden E-Mails verschickt. Das werden etwa 7% mehr als im Vorjahr sein. Damit ist die E-Mail einer der am intensivsten genutzten Dienste im Internet. Der NSA-Überwachungsskandal hat der Beliebtheit nicht geschadet, allerdings würden deutschen Kunden nach Angaben von United Internet (GMX und web.de) verstärkt auf den Serverstandort achten und deutsche Angebote bevorzugen. Im Rahmen der Inititive E-mail-made in Germany hatten einige deutsche Anbieter ja zum 31. März diesen Jahres auch den Zwang zur Verschlüsselung beim Transport der E-Mails eingeführt, um potentiellen Abhörern die Arbeit zu erschweren.

geschrieben von Holger \\ tags: , , , , ,

Mrz 06

Seit einigen Tagen werden e-Mail Nutzer großer deutsche Mail-Provider durch Warnhinweise verunsichert. Aber es ist kein Aprilscherz oder ein Hoax: Die Anbieter freenet, gmx, T-Online und web.de erlauben ab 31. März 2014 nur noch den verschlüsselten Abruf von Mail. Dies betrifft den Zugriff auf die Postfächer mit Hilfe von Programmen wie Thunderbird oder Outlook über IMAP, POP3 und SMTP. Für Nutzer der Web-Frontends ändert sich nichts – hier sind die Sitzungen über den Browser verschlüsselt.

Hintergrund dieser Änderungen sind die Bemühungen der Initiative E-mail-made in Germany, den Mailverkehr sicher zu machen. Die Verschlüsselung des Mailtransports vom eigenen Computer zum Server des Anbieters soll das Belauschen verhindern. Kritiker bemängeln allerdings zu Recht, dass hier zu oft noch unsichere (= knackbare) Verfahren zum Einsatz kommen. Dennoch ist die Verschlüsselung ein Schritt in die richtige Richtung.

Alle Provider haben Schritt-für-Schritt Anleitungen für die gängigsten Mailprogramme erstellt. Im Regelfall sind dies Outlook, Thunderbird und Windows Live Mail. Wer bei einem Anbieter für sein Programm keine Anleitung findet, sollte man bei einem anderen Provider schauen. Hier die Links zu den Anleitungen von Freenet, GMX, Telekom, Web.de

geschrieben von Holger \\ tags: , , , , , , ,

Feb 15

Fast ein Dreiviertel Jahr nach den ersten Enthüllungen von Edward Snowden kommen noch immer neue Details an das Tageslicht, aber richtig schocken kann uns kaum noch was. Und es sind ja auch nicht immer nur die Geheimdienste, die uns auspionieren. 30 Jahre nach 1984 haben wir zwar keinen „großen Bruder“, aber die über uns gesammelte Datenfülle ist beängstigend hoch und alle Daten, die es irgendwo gibt, wecken Begehrlichkeiten. Grund genug, mal eine kleine und alles andere als vollständige Bestandsaufnahme zu machen.

weiterlesen »

geschrieben von Holger \\ tags: , , , , , , , ,

Nov 03

Gut fünf seit den ersten Enthüllungen um die Abhörpraktiken der NSA dachte man ja wirklich, nun kommt nichts Neues mehr. Falsch gedacht. Im Schlepptau um die Entrüstungen um das Kanzlerhandy platzte eine andere Bombe ungeahnten Ausmasses:

Die NSA hat nicht nur die großen US-Anbieter wie z.B. Apple, Facebook, Google, Microsoft oder Yahoo zur Mitarbeit gezwungen, sie hat deren internationale Leitungen auch noch heimlich angezapft. Doppelt ausspähen ist halt sicherer. Hierbei haben die Nachrichtendienste anderer Länder die NSA unterstützt, allen voran die Briten. Bei Google scheint man das geahnt oder befürchtet zu haben – der Konzern verschlüsselt seit 2012 teilweise auch den Datenverkehr zwischen seinen Rechenzentren und bietet den Kunden den sichereren Perfect Forward Security Schlüsselaustausch an.

Angesichts dieser Enthüllungen muss man den Eindruck gewinnen, dass die Geheimdienste der USA und einige Verbündeten wirklich alle Kommunikation ausspähen und teilweise aufzeichnen, derer sie habhaft werden und da scheinen die technischen Möglichkeiten sehr weitreichend zu sein. Und da muss sich jeder Internetnutzer die Fragen stellen:

Kann ich den US-Anbietern im Netz noch trauen?

Kann ich dem Internet noch trauen? Denn das wird ja von US-Firmen dominiert.

weiterlesen »

geschrieben von Holger \\ tags: , , , , , , ,

Nov 02

Zum Dauerbrenner Überwachung (durch wen auch immer) und Netzpolitik hat die Zeitschrift c´t ein sehr interessantes Interview mit der politischen Geschäftsführerin der Piraten geführt. Frau Nocuns These „Netzpolitik ist Machtpolitik“ ist sicherlich etwas plakativ, aber die jüngsten Ereignisse zeigen, dass die Staaten ohne Macht im Netz auch ziemlich ohnmächtig daher kommen.

geschrieben von Holger \\ tags: , , , , , ,

Sep 01

Fast drei Monate nach den ersten Enthüllen zum wohl größten Datenskandal der Neuzeit ist es an der Zeit für ein Zwischenfazit.

Als gesichert darf man ansehen, dass wohl sämtliche Kommunikation, die über die großen US-Anbieter erfolgt, von der NSA überwacht wird. Also alles, was Sie über Dienste von Google, Yahoo, Microsoft (Skype!) usw. abwickeln, wird überwacht und die Metadaten Ihrer Kommunikation gespeichert. Die NSA ist dazu gesetzlich befugt, sofern es sich um Kommunikation von Nicht-US-Bürgern handelt. Nach allem, was in letzter Zeit gemeldet wurde, hat die NSA möglicherweise aber auch die US-Bürger intensiv überwacht – was wohl ausserhalb des rechtlichen Rahmens geschah. Ebenfalls gesichert ist, dass die NSA verschlüsselte Kommunikation speichert, also mehr als nur die Metadaten. Diese Kommunikation kann im Regelfall später entschlüsselt werden, wenn man in den Besitz der Schlüssel kommt. Das kann nur verhindert werden, wenn ein Verfahren wie Perfect Forward Secrecy verwendet wird. Google setzt das Verfahren übrigens seit einem Jahr an und inzwischen rüsten viele Anbieter nach. weiterlesen »

geschrieben von Holger \\ tags: , , , , ,

Dez 30

Traditionell wagt man zum Ende eines Jahres einen Blick in die Zukunft. Neben Verfahren wie Karten legen, aus dem Kaffeesatz oder den Eingeweiden toter Tiere lesen hat sich der Blick in die Glaskugel bewährt. Also frisch ans Werk und ins Kristall geschaut:

weiterlesen »

geschrieben von Holger \\ tags: , , , ,