Jun 29

ebay-Datenabgleich

Aktuell erhalten deutsche eBay-Kunden eine Mail vom eBay Käuferschutz. Die Mail ist gut gemacht, sieht echt aus und spricht den Empfänger direkt mit echtem Namen an. Im Verlauf der Mail folgt die bei eBay gemeldete Wohnanschrift des Empfängers. Diese Daten dürften aus dem Datenklau im Frühjahr diesen Jahres stammen. Laut diverser Medien wurden eBay neben eBay-Usernamen und verschlüsselten Passwörtern auch die Klarnamen, Postadressen, Telefonnummern und das Geburtsdatum entwendet.

Ein klares Indiz dafür, dass die Mail nicht echt sein kann, ist die Abfrage von sensiblen Daten wie Bankverbindung und Kreditkartennummern einschließlich Monatslimit der Karte in einem relativ simplen HTML-Formular. Dennoch ist zu befürchten, dass diese Phishing-Aktion Erfolg haben wird, da die Mail ansonsten gut und professionell gemacht ist. Keine Rechtschreibfehler, Verwendung vertrauter Logos und echter Daten – das schafft „Vertrauen“. Auf gar keinen Fall das Formular ausfüllen – am besten gleich die Mail löschen.

 

geschrieben von Holger \\ tags: , , , , , ,

Mrz 06

Seit einigen Tagen werden e-Mail Nutzer großer deutsche Mail-Provider durch Warnhinweise verunsichert. Aber es ist kein Aprilscherz oder ein Hoax: Die Anbieter freenet, gmx, T-Online und web.de erlauben ab 31. März 2014 nur noch den verschlüsselten Abruf von Mail. Dies betrifft den Zugriff auf die Postfächer mit Hilfe von Programmen wie Thunderbird oder Outlook über IMAP, POP3 und SMTP. Für Nutzer der Web-Frontends ändert sich nichts – hier sind die Sitzungen über den Browser verschlüsselt.

Hintergrund dieser Änderungen sind die Bemühungen der Initiative E-mail-made in Germany, den Mailverkehr sicher zu machen. Die Verschlüsselung des Mailtransports vom eigenen Computer zum Server des Anbieters soll das Belauschen verhindern. Kritiker bemängeln allerdings zu Recht, dass hier zu oft noch unsichere (= knackbare) Verfahren zum Einsatz kommen. Dennoch ist die Verschlüsselung ein Schritt in die richtige Richtung.

Alle Provider haben Schritt-für-Schritt Anleitungen für die gängigsten Mailprogramme erstellt. Im Regelfall sind dies Outlook, Thunderbird und Windows Live Mail. Wer bei einem Anbieter für sein Programm keine Anleitung findet, sollte man bei einem anderen Provider schauen. Hier die Links zu den Anleitungen von Freenet, GMX, Telekom, Web.de

geschrieben von Holger \\ tags: , , , , , , ,

Feb 15

Fast ein Dreiviertel Jahr nach den ersten Enthüllungen von Edward Snowden kommen noch immer neue Details an das Tageslicht, aber richtig schocken kann uns kaum noch was. Und es sind ja auch nicht immer nur die Geheimdienste, die uns auspionieren. 30 Jahre nach 1984 haben wir zwar keinen „großen Bruder“, aber die über uns gesammelte Datenfülle ist beängstigend hoch und alle Daten, die es irgendwo gibt, wecken Begehrlichkeiten. Grund genug, mal eine kleine und alles andere als vollständige Bestandsaufnahme zu machen.

weiterlesen »

geschrieben von Holger \\ tags: , , , , , , , ,

Nov 03

Gut fünf seit den ersten Enthüllungen um die Abhörpraktiken der NSA dachte man ja wirklich, nun kommt nichts Neues mehr. Falsch gedacht. Im Schlepptau um die Entrüstungen um das Kanzlerhandy platzte eine andere Bombe ungeahnten Ausmasses:

Die NSA hat nicht nur die großen US-Anbieter wie z.B. Apple, Facebook, Google, Microsoft oder Yahoo zur Mitarbeit gezwungen, sie hat deren internationale Leitungen auch noch heimlich angezapft. Doppelt ausspähen ist halt sicherer. Hierbei haben die Nachrichtendienste anderer Länder die NSA unterstützt, allen voran die Briten. Bei Google scheint man das geahnt oder befürchtet zu haben – der Konzern verschlüsselt seit 2012 teilweise auch den Datenverkehr zwischen seinen Rechenzentren und bietet den Kunden den sichereren Perfect Forward Security Schlüsselaustausch an.

Angesichts dieser Enthüllungen muss man den Eindruck gewinnen, dass die Geheimdienste der USA und einige Verbündeten wirklich alle Kommunikation ausspähen und teilweise aufzeichnen, derer sie habhaft werden und da scheinen die technischen Möglichkeiten sehr weitreichend zu sein. Und da muss sich jeder Internetnutzer die Fragen stellen:

Kann ich den US-Anbietern im Netz noch trauen?

Kann ich dem Internet noch trauen? Denn das wird ja von US-Firmen dominiert.

weiterlesen »

geschrieben von Holger \\ tags: , , , , , , ,

Apr 24

Schon vor einigen Wochen war öffentlich über die Einführung von Drosselungen bei DSL-Produkten der Telekom spekuliert worden. Seit Montag ist die Katze aus dem Sack:

Die Telekom Deutschland will Volumengrenzen in die AGB Ihrer Produkte einführen und bei Überschreitung die Kunden empfindlich drosseln. http://www.telekom.com/medien/produkte-fuer-privatkunden/184370 Begründet wird dies mit dem „rasanten Datenwachstum„. Das ist nicht neu, denn schon seit Jahren steigt das durchschnittliche Datenvolumen der Endkunden sehr konstant mit 10 bis 12% Wachstum pro Jahr an. Waren es früher böse Poweruser mit Filesharing, die das Netz auslasteten, so hat sich das Blatt gewendet. Filesharing ist nur noch in den Pubikationen der Rechteverwerter ein Thema, in den Netzen sind es im Wesentlichen Videostreams und zunehmend auch Onlinespiele, wo Teile des Spiels gestreamt werden. Nicht ohne Grund kündigte DECIX erst vor wenigen Tagen die Aufrüstung des weltgrößten Internetknotens mit Apollon an. weiterlesen »

geschrieben von Holger \\ tags: , , , , , ,

Mrz 25

Die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen fördert in den regulierten Sektoren einen wirksamen Wettbewerb und gewährleistet einen diskriminierungsfreien Netzzugang. Seit Mitt letzten Jahres führt Sie im Rahmen der Initiative Netzqualität einen Speedtest durch, der bereits von mehr 500.000mal aufgerufen wurde. Nun wurde dieser Test erweitert um einen Test zur Netzneutralität.

Die Bundesnetzagentur bittet um rege Teilnahme an diesem Test, um herauszubekommen, in welchem Umfang bereits aktuell gewisse Dienste und Ports von den Providern gesperrt oder gedrosselt Leider erfordert der Test ein aktives Java Plugin im Browser – eine Konfiguration, von der allgemein eher abzuraten ist, da Java trotz zahlreicher Patches als hochgradig unsicher anzusehen ist. Wer es installiert oder aktiviert, sollte nach dem Test daran denken, es im Browser zu deaktivieren oder zu entfernen.

geschrieben von Holger \\ tags: , , , , ,

Aug 18

Vor mehr als einem Jahr schrieb ich hier den ersten Beitrag zum BKA-Trojaner auf Telkotalk. Seit Herbst letzten Jahres ist er der mit Abstand am häufigsten gelesene Artikel dieser Webseite – ein eindeutiges Indiz für den „Erfolg“ dieser Schadsoftware.

Offenbar ist der Trojaner auch für die Hintermänner ein wirtschaftlicher Erfolg. Der Trojaner wird recht häufig modifiziert und verändert. Allein der Verband der deutschen Internetwirtschaft zeigt auf seiner Webseite www.bka-trojaner.de [Update 2016: Die Webseite if offline, Link entfernt] aktuell 26 Screenshots von in Deutschland häufig aufgetretenen Varianten und die Galerie erhebt keineswegs den Anspruch auf Vollständigkeit. International sind auch Versionen aufgetaucht, die das Live-Bild der eigenen Webcam einbinden, was die Opfern einschüchtern soll. „Schau her, wir beobachten Dich, wenn Du nicht zahlst…“. Natürlich sollten Sie in gar keinem Fall zahlen! Noch besser: Sie beugen dem Befall vor. Dazu später mehr.

weiterlesen »

geschrieben von Holger \\ tags: , , , , , , , , , , , , , , , ,

Jan 01

Wieder ist ein Jahr vorbei. Grund genug, kurz innezuhalten. Was war, was wir kommen?

Natürlich kann man nicht alle Ereignisse und Trends erahnen. Das ist auch besser so. Wer konnte sich auch nur im Traum eine Katastrophe wie in Japan vorstellen? Ein schweres Erdbeben, ein gigantischer Tsunami und die Kernschmelze in drei Reaktoren des Atomkraftwerks in Fukushima. Seit dem ist der Atom-Ausstieg Konsens und die Strompreise steigen wegen der Mehrkosten für regenerativ erzeugten Strom auch in den nächsten Jahren weiter an. Man braucht daher keine Kristallkugel, um zu erkennen, dass „Green IT“ oder wenigstens besonders sparsame IT auch 2012 ein Hauptthema sein wird. Selbst wenn man den Umweltaspekt außen vor läßt, bei den zu erwartenden Strompreisen lohnt der Invest in sparsamere Technik allemal.

Bei den Mobilfunkherstellern wird es spannend. Schafft der einstige Branchenprimus Nokia mit dem Fokus auf Windows Phone die Wende?  Viele Experten halten die Festlegung auf Windows Phone und die enge Bindung an Microsoft für einen schweren Fehler, der Nokia die Existenz kosten könnte. Außerdem bleiben die zahlreichen Patent- und Geschmacksmusterklagen, die man als Apple gegen den Rest der Mobile-Welt zusammenfassen könnte. Die Kunden haben längst entschieden und greifen immer mehr zu Android statt Apples IOS. Aber Apple wird mit einem guten zweiter Platz sicherlich auch leben können. Für RIMs Blackberry wird sicherlich auch in Zukunft die Business-Nische bleiben. Und für Windows Phone? Da ist es fraglich, ob für Microsoft noch Platz am Markt ist. Aktuell ist der Markanteil von Windows Phone geringer als der von Samsungs eigenem System BADA. Beide liegen abgeschlagen unter 2%.

Kommen wir zum Datenschutz. Im Jahr 2011 hatten wir diverse Skandale, die es bin in die Abendnachrichten der großen TV-Sender geschafft haben.  Da wurden Sony Millionen Datensätze aus mehreren Netzwerken gestohlen. Rewe wurden die Kundendaten einer Bildertauschbörse entwendet. Und erst vor wenigen Tagen wurden der US-Sicherheitsfirma Strafor Kreditkarten gestohlen. Dagegen ist die Erkenntnis, das facebook gelöschte Daten doch nicht löscht, fast schon harmlos. Ein Student aus Österreich hatte eine Datenauskunft angefordert und nach längerem Tauziehen bekommen. Ausgedruckt wären es mehr als 1500 Seiten Papier gewesen, was facebook nur über diese eine Person alles gespeichert hat.

2012 muss das Jahr des Datenschutzes werden. Datenschutz hinsichtlich der Selbstbestimmung der Bürger, was mit ihren Daten passiert und wer eigentlich wieviel speichern darf. Der Blogger hat im vergangenen Jahr bei einigen SPAM-Mails mal eine Datenauskunft eingefordert und war sehr irritiert, zu welchen Nachtzeiten er an Gewinnspielen teilgenommen haben soll und diese sogar per Opt-IN betätigt habe. Besonders irritierte ihn die Tatsache, mit welchen Providern er das gemacht haben soll. Und dass am Ende immer wieder die gleichen Firmen diese Gewinnspiele technisch abgewickelt haben, macht die Sache nicht glaubwürdiger, sondern zu einem Fall für die Staatsanwaltschaft.

2012 muss das Jahr der Datensicherheit werden. Wenn ein Kunde einem renomierten Unternehmen wie z.B. Sony seine Kreditkartendaten anvertraut, um Spiele und andere Dienste zu bezahlen, dann muss er sicher sein dürfen, dass seine Daten gut geschützt sind. Bei Sony wird man dies sicherlich mit allen Kräften sicherstellen, aber wie sieht bei anderen Firmen aus? Auf zahlreichen Webseiten klaffen Sicherheitslücken. Es gibt Hunderte von Untergrundforen, in denen Exploits zu Software, die auf vielen Servern läuft, gehandelt oder offen gepostet werden. Bekannte Sicherheitslücken bei Standardpaketen wie joomla, typo3 oder WordPress werden oft nur wenige Stunden nach Bekanntwerden in großem Umfang genutzt. Nicht mit Dummenjungenstreichen, wie es z.B.  einmal dem FC Schalke 04 vor dem Revierderby passierte, sondern meist von Kriminellen, die diese Server hacken, um damit SPAM zu versenden, Phishing Attacken zu starten oder Besuchern Trojaner unterzuschieben. Da sind längst keine Einzelkämpfer mehr am Werk, die man leicht an der bleichen Haut erkennt, weil sie nie das Tageslicht sehen. Es sind gut organisierte Banden am Werk, die mit modernen Methoden und arbeitsteilig arbeiten und daher kaum zu fassen sind. Wenn diese Entwicklung nicht gestoppt werden kann, dann werden Cyberkriminelle bald mehr Geld machen als Drogenkartelle oder Waffenschieber.

Wie man sich schützen kann? 100% sicherlich nie, aber halten Sie ihre Software und natürlich ihren Virenscanner immer aktuell. Seien Sie sparsam mit dem „Verteilen“ von persönlichen Daten und ganz besonders bei Konto- oder Kreditkartennummern. Verwenden Sie Antivirensoftware, die auch die Mails und den Webdatenverkehr mit überwacht. Das kostet zwar Performance, bietet aber mehr Schutz, z.B. vor dreisten Erpressungstrojanern wie dem UKash/BKA-Trojaner.

Was sonst noch 2012 passieren wird? Der HSV wird wieder nicht Deutscher Meister, sondern die Bayern machen es wieder mal. Und im Sommer wird ein neuer Europameister ausgespielt und Deutschland hat gute Chancen auf das Endspiel. Und die Bundesnetzagentur will neue Verordnungen auf den Weg bringen und dafür sorgen, dass Kunden bei Rufnummernportierung wirklich nur wenige Stunden ohne Anschluss sind.

In diesem Sinne: Frohes neues Jahr!

geschrieben von Holger \\ tags: , , , , , , , ,

Nov 24

Darf man einer vor zwei Tagen veröffentlichten Studie der Firma Websense glauben, dann gehört der Diebstahl von Daten in  Unternehmen zur Tagesordnung. Rund 1000 IT-Manager seien befragt worden und offenbarten erschreckende Erkenntnisse. So seien 33% der Befragten bereits wichtige Firmendaten gestohlen worden. Gleichzeitig würden neue Gefahren aus dem Web nur von 30% als ernstzunehmende Gefahr eingestuft. Und nur 2% setzen auf professionelle Lösungen zur „Data Lost Prevention“. Natürlich darf man einem Anbieter von Sicherheitslösungen gewisse Interessen unterstellen und muss solche Meldungen etwas relativieren. Schon bei einem einfachem Rundmailing z.B. an gute Kunden kann man ungewollt wichtige Firmendaten verlieren – wenn man z.B. die Empfängeradressen nicht ins BCC setzt, sondern für sichtbar einsetzt.

Dennoch lassen die zahlreichen Meldungen in den Medien über Datenpannen, Datenlecks und Datendiebstähle ahnen, dass die von Websense ermittelten Zahlen stimmen könnten. Möglicherweise ist die Dunkelziffer noch größer, denn nur gravierende Fälle finden ihren Weg in die Medien und evtl. hat auch nicht jeder IT-Manager einen gravierenden Verlust von Daten in der Befragung eingestanden.

Der Schutz von Daten vor Missbrauch wird offenbar noch immer als lästiges Übel betrachtet. Niemand käme auf die Idee, ein Lager, in dem teure Ware gelagert wird, ohne verschlossene Tore und Alarmanlage zu betreiben. Geldautomaten sind in sich kleine Festungen aus bestem Stahl und dazu noch fest im Fundament der Gebäude verankert, damit möglichst niemand den Automat als Ganzes klaut. Die gleichen Automaten waren dagegen jahrelang nur unzureichend gegen Datenklau per Skimming geschützt.

Firmennetzwerke werden im Regelfall zwar gegen Angriffe von Aussen geschützt, aber schon so vergleichsweise einfache Trojaner wie der UKASH (BKA-Trojaner) schaffen es immer wieder, Virenschutzsoftware zu überwinden. Ein gezielt zum Datenklau eingesezter Trojaner wird mit sehr großer Wahrscheinlichkeit alle handelsüblichen Schutzprogramme überwinden können. Der Schutz der Daten gegen Angriffe von Innen, also durch Mitarbeiter, ist ein noch viel heikleres Thema. Hier gibt es kaum belastbare Zahlen. Aber man darf vermuten, dass es diesen Schutz in kleineren und mittleren Unternehmen defakto nicht gibt. Möglicherweise ist den Verantwortlichen in solchen Firmen gar nicht klar, welche Daten anfallen und welche davon wichtig sind.

Fakt scheint zu sein, dass Datenschutz nur als lästiges Übel wahrgenommen wird. Und dass Verstöße dagegen damit enden, dass ein paar Tausend Leute illegal Werbung zugemail bekommen. Genau das ist falsch! Datenschutz ist das Verhindern von Datendiebstählen. Datendiebstähle können schon im kleinen Stil riesige Schäden anrichten, wie diese Meldung der NOZ über Betrug mit geklauten EC-Karten Daten zeigt. Dort wird wieder über EC-Karten-Datenklau in EDEKA Supermärkten berichtet. Die diesmal betroffenen Märkte im Raum Göttingen machten die gleichen Fehler wie die einen Monat zuvor betroffenen Märkte im Raum Osnabrück. Die EC-Geräte wurden weder regelmäßig auf Manipulationen überprüft noch nachts im Tresor aufbewahrt. Ein Lerneffekt innerhalb der EDEKA-Kaufleute ist nicht feststellbar  – sonst hätte man den neuen Schaden gut vermeiden können.

Während die Lebensmittelhänder mit „Wir lieben Lebensmttel“ werben, sollten wir Kunden lieber unsere Daten lieben und dort einkaufen, wo es sicher ist. Fragen Sie doch mal an der Kasse nach Datenschutz und Datensicherheit!

geschrieben von Holger \\ tags: , , , , , , , ,

Nov 10

Inzwischen dürften es die meisten Deutschen irgendwie schon mal gehört haben: Das analoge TV via Satellit ist ein Auslaufprodukt. Nach dem Ende der analogen terrestrischen Ausstrahlung endet das analoge TV-Zeitalter auf dem Astra am 30.04.2012. Wieviele Zuschauer derzeit noch analog schauen, weiß niemand wirklich genau. Das Projektbüro Klardigital gibt in einer Pressemitteilung vom 21.10. diesen Jahres die Zahl der betroffenen Haushalte mit 4.4 Millionen an. In dieser Zahl sind aber vermutlich auch die Haushalte enthalten, die sowohl analog als auch digital empfangen.

Gestern haben nun überraschend vier Sender angekündigt, die analoge Ausstrahlung bereits zum Jahresende 2011 einstellen zu wollen. Dies sind die Sender Comedy Central, DMAX, Nickelodeon und VIVA. Die Sender gehen davon aus, dass ihre Zielgruppen technikaffiner als der Durchschnitt sind und diese Programme schon lange digital schauen.

Dennoch gibt es noch reichlich analoge Anlagen in Deutschland und vielfach stellt sich die Frage: Woran erkenne ich, ob meine Anlage analog oder digital ist?

Zur Beantwortung dieser Frage kann man nun nach dem Typ des Receivers googeln, sofern die Typenbezeichnung irgendwo am Gerät zu finden ist. Viel einfacher geht es seit der IFA mit dem Videotext.  Das Erste, ProSieben, RTL, SAT.1, ZDF und das Bayerisches Fernsehen haben zur IFA die Videotext-Seite 198 als Testseite eingerichtet.  Auf dieser Seite werden bei Satelliten-Empfang je nach Empfangsart unterschiedliche Informationen präsentiert. Wer bereits digital empfängt, erfährt, dass kein Handlungsbedarf besteht. Analoge Empfänger werden gebeten, die Empfangsart zu wechseln.

Zu diesem Zweck wurde auch die Webseite www. Klardigital.de eingerichtet. Hier erfahren Zuschauer alles über die Digitaltechnik. Wer noch umstellen muss, sollte dies nicht mehr lange hinauszögern. Es wird erwartet, dass zum Stichtag 30.04.2012 die Receiver knapp werden könnten. Wer auch noch den LNB oder die ganze Antenne tauschen muss und dazu einen Handwerker benötigt, wird diesen im April nächsten Jahres kaum bekommen. Die Fachbetriebe haben traditionell in der Vorweihnachtszeit viel zu tun und melden bereits jetzt volle Terminkalender für das Frühjahr.

Zum Schluss noch der Hinweis für die Kabel-TV-Zuschauer. Die deutschen Kabel-TV-Betreiber bieten auch nach dem 30.4.2012 analoges Fernsehen an. Wurde früher einfach das Signal vom Satelliten in das Kabelnetz eingespeist, so sorgen z.B. bei Kabel Deutschland zwei Playout-Center für die Einspeisung und Encodierung der Programme. Einziger Wehrmutstropfen beim analogen Empfang: Das vielen liebgewonnene VPS-System hat definitiv ausgedient. Mangels entsprechender Daten im digitalen Bild können die Kabelnetzbetreiber dieses Signal nicht (mehr) liefern.

geschrieben von Holger \\ tags: , , , , , , , , , ,