Freitag, 04.04.2014

Macht die E-Mail sicherer

Die Aufregung ist mal wieder groß. Alle schlagen mit den Flügeln und laufen hektisch durch den Stall: ARD: 18 Millionen Datensätze mit E-Mail-Adresse und Passwort wurden von der Staatsanwaltschaft Verden entdeckt. Der größte Datenklau in der deutschen IT-Geschichte bislang. Obwohl wir nicht wissen, wer die Kriminellen sind und wie sie an die Daten gelangen konnten, steht aber für die meisten schon fest, was die Kriminellen damit anstellen: Sie versenden Spam-Mails, ist zu lesen. Unter anderem.

Hand vor Bildschirm mit Aufschrift Password; Rechte: dpa/Picture Alliance
Im großen Stil Passwörter abgegriffen


Größtes Risiko: Identitätsdiebstahl
Mag ja sein, kann ich mir aber nur bedingt vorstellen. Denn über das private Postfach eines Betroffenen Spam-Mail zu versenden, macht keinen Spaß. Spätestens nach ein paar hundert Mails würde das gestoppt werden, denn kein großer Mail-Anbieter erlaubt einem Kunden das Versenden von Mails in großem Stil. Wahrscheinlich ist daher, dass mit den Zugangsdaten anderer Schindluder betrieben wird. Identitätsdiebstahl ist am wahrscheinlichsten.

Aber irgendwie werden nicht die richtigen Fragen gestellt und vor allem nicht die richtigen Konsequenzen gezogen, denn denselben Fall hatten wir WDR: Anfang Januar ja schon einmal. Da wurden 16 Millionen Adressen samt Passwörter entdeckt. Und was hat sich geändert? Nichts. Man muss klar sagen, dass sowohl die Mail-Provider als auch die User selbst etwas träge sind. Denn das Problem lässt sich sehr wohl in den Griff bekommen - oder zumindest dramatisch eindämmen.


Deeplink: So funktioniert das sichere Login


Zwei-Wege-Authentifizierung macht die Konten sicherer
Schon seit ein paar Jahren gibt es die Blog: Zwei-Wege-Authentifizierung. Die funktioniert so, dass man beim Login auf einem neuen Gerät nicht nur Benutzername und Passwort eingeben muss, sondern auch einen individuell erzeugten Code. Der Code selbst wird im eigenen Handy mit einer App erstellt (oder per SMS zugeschickt). Jedes Mal ein neuer Code. Deswegen macht es gar nichts, wenn einem Hacker mein Passwort in die Händen fallen sollte. Er kann sich trotzdem nicht anmelden, er kann mein Konto nicht übernehmen. Ätschibätsch.

Einige Onlinedienste bieten diesen zusätzlichen Service längst an, etwa Google, Facebook, Microsoft, Paypal, Apple und viele andere, auch kleinere Mail-Provider wie mail.de. Allerdings machen noch viel zu wenige User von diesem Sicherheits-Plus Gebrauch: Die Zwei-Wege-Authentifizierung muss extra im Online-Konto aktiviert werden. Ich kann aber nur jedem raten, genau das möglichst bald zu machen. Dann verlieren zum einen Meldungen über geklaute Zugangsdaten ihren Schrecken - und vielleicht die Datendiebe auch irgendwann die Lust am Klauen. Denn wenn alle auf diese Weise abgesichert wären, würde es sich nicht mehr lohnen.

Selber Ätschibätsch! Isch 'abbe gar kein 'ändy! Watt nu?

Andy ohne Handy am 5.04.14 11:40

Hallo Herr Schieb,
mich würde mal interessieren, woher Sie wissen, dass es sich bei den geklauten Daten um Zugangsdaten zu E-Mail-Konten handelt?
Das schreiben zwar viele Medien, das hier nachzuplappern macht die Sache aber nicht besser. In der offiziellen Mitteilung des BSI ist nur von Identitätsdiebstahl die Rede - das können also auch Zugangsdaten zu Shopping-Seiten, Spiele-Seiten oder was immer sein, wo man sich anmelden muss. Meistens wird da als Nutzername ja auch die Mail-Adresse eingesetzt. "Macht die E-Mail sicherer" scheint mit da nicht unbedingt der richtige Ansatz zu sein.
Dann schon eher die Frage, warum die Behörden hier so versagen. Etwas mehr Infos, zum Beispiel, was genau das für Zugangsdaten sind, von welchen Diensten sie stammen - das wäre eine viel wichtigere Info gewesen. Bisher weiß ich ja nicht mal, ob ich betroffen bin - und ob ich meine Mail wirklich sicherer machen muss...

Christian Müller am 5.04.14 12:00

Hallo Herr Schieb,
mich würde mal interessieren, woher Sie wissen, dass es sich bei den geklauten Daten um Zugangsdaten zu E-Mail-Konten handelt?
Das schreiben zwar viele Medien, das hier nachzuplappern macht die Sache aber nicht besser. In der offiziellen Mitteilung des BSI ist nur von Identitätsdiebstahl die Rede - das können also auch Zugangsdaten zu Shopping-Seiten, Spiele-Seiten oder was immer sein, wo man sich anmelden muss. Meistens wird da als Nutzername ja auch die Mail-Adresse eingesetzt. "Macht die E-Mail sicherer" scheint mit da nicht unbedingt der richtige Ansatz zu sein.
Dann schon eher die Frage, warum die Behörden hier so versagen. Etwas mehr Infos, zum Beispiel, was genau das für Zugangsdaten sind, von welchen Diensten sie stammen - das wäre eine viel wichtigere Info gewesen. Bisher weiß ich ja nicht mal, ob ich betroffen bin - und ob ich meine Mail wirklich sicherer machen muss...

Christian Müller am 5.04.14 12:01

Hallo Herr Schieb,
mich würde mal interessieren, woher Sie wissen, dass es sich bei den geklauten Daten um Zugangsdaten zu E-Mail-Konten handelt?
Das schreiben zwar viele Medien, das hier nachzuplappern macht die Sache aber nicht besser. In der offiziellen Mitteilung des BSI ist nur von Identitätsdiebstahl die Rede - das können also auch Zugangsdaten zu Shopping-Seiten, Spiele-Seiten oder was immer sein, wo man sich anmelden muss. Meistens wird da als Nutzername ja auch die Mail-Adresse eingesetzt. "Macht die E-Mail sicherer" scheint mit da nicht unbedingt der richtige Ansatz zu sein.
Dann schon eher die Frage, warum die Behörden hier so versagen. Etwas mehr Infos, zum Beispiel, was genau das für Zugangsdaten sind, von welchen Diensten sie stammen - das wäre eine viel wichtigere Info gewesen. Bisher weiß ich ja nicht mal, ob ich betroffen bin - und ob ich meine Mail wirklich sicherer machen muss...

Christian Müller am 5.04.14 12:03

Zwei-Wege-Authentifizierung braucht, wie Andy oben schon beklagte, zwei getrennte Geräte. Sprich, man muss sein Handy immer dabei haben, sonst geht's eben nicht.
Ob die SMS-Variante allerdings besonders sicher ist? SMS werden doch sicher im Klartext verschickt, und die Moblfunkstandards sind ja alles andere als wirklich sicher. Außerdem: Wenn man mir mein email-Passwort klaut, weil der Anbieter das unverschlüsselt speichert, wie sicher ist dann meine Handynummer da aufgehoben?

Im aktuellen Fall sieht's ja wohl eher danach aus, dass ein webshop angegriffen wurde, als ein einzelner mail-Anbieter. Vielleicht sollte man den Leuten erstmal eintrichtern, dass man verschiedene Passwörter für verschiedene Dienste nutzen sollte. Wenn dann Dienst A mein Passwort verliert, muss der Angreifer dann nicht notwendig sofort Zugriff auf Dienst B haben. Bevor dieses Problem ("one password fits all") nicht gelöst ist, nutzt auch Zwei-Wege-Auth nix. Es sei denn, man führt es konsequent überall ein.

Bedenkenträger am 5.04.14 13:40

@christian: Ich sehe das genauso. Ich denke nicht, dass es sich ausschließlich um E-Mail-Zugangsdaten handelt, sondern um Zugangsdaten mit E-Mail-Adresse als Benutzername. Völlig klar. Aber das Problem ist: Viele nutzen bei E-Mail und anderswo dasselbe Passwort. Also ist das Risiko eben, dass das E-Mail-Postfach gekapert wird. Genau das lässt sich verhindern, mit der 2 Wege Authentifizierung. Damit wäre der Datenklau nicht vermieden worden, aber zumindest der Missbrauch lässt sich vermeiden.

Jörg Schieb am 5.04.14 14:04

@kappaplus: Stimmt, das Handy muss man immer dabei haben - aber das dürfte wohl bei nahezu jedem der Fall sein, der ein Handy hat. Abgesehen davon, dass es technisch extrem schwierig ist, SMSe abzufangen (wenn auch nicht unmöglich), so ist der Aufwand doch um ein 1000faces höher, hier einzubrechen. Darüber hinaus: Heute bekommt man die Codes in der Regel nicht mehr per SMS, sondern erzeugt sie mit einer App/einem Generator. Ihre Argumente entkräften nicht die Tatsache, dass eine 2 Wege Authentifizierung die Sicherheits dramatisch erhöht.

Jörg Schieb am 5.04.14 14:08

Das mit dem Cellphone klappt schon bei Android usern nicht-denn Android ist grundsaetzlich unsicher.
Da koennen die apps jederzeit code nachladen und aus einer scheinbar harmlosen app wird ein trojaner.Nix ist mit kompliziert sms "abfangen"MitM findet auf dem eigenem Geraet statt!

Ach je am 5.04.14 15:24

Hallo, Herr Schieb!

Zwei Kritikpunkte an Ihrem Vorschlag:

1) Nicht jeder hat immer ein Mobiltelefon parat und obendrein noch am Rechner-Aufstellort sauberen Empfang. Letzteres ist nicht ganz uninteressant, da die Netzteile und Prozessoren der Rechner auch in Frequenzen stören, die für Mobilfunk vorgesehen sind.

2) Diese Authentifizierung klappt höchstens dann, wenn der Mail User Agent die Mails beim Provider abholt. Wird ein eigener Mail Transfer Agent dazwischen geschaltet, der die Nachrichten bei Providern abholt und in lokalen Postfächern zur Verfügung stellt, ist die zwei-Wege-Authentifizierung unbrachbar. So arbeiten aber viele kleine und mittelständische Unternehmen.

Da sich SMS gerne abfangen lassen, sollten wir besser auf starke Verschlüsselung mit hochwertigen Zertifikaten setzen.

Viele Grüße
RSchwentker

RSchwentker am 5.04.14 18:49

@RSchentker: Man braucht keinen Empfang, wenn man eine Generator App wie den Google Authenticator verwendet. Aber das Handy braucht man dann schon, logisch. :) Wobei man sich -- bei Google -- auch für solche Fälle besonders lange, besonders kryptische Einmal-Passwörter generieren kann. Was den MTA betrifft: Das stimmt natürlich, aber auch das würde gehen, bei Google zumindest, denn dort kann man sich anwendungsspetifische Passwörter erzeugen lassen. Eine 100% Lösung für jede Situation kenne ich nicht, aber die 2 Wege Authentifizierung bedeutet ein enormes Plus an Sicherheit.

Jörg Schieb am 5.04.14 19:00

"Generator App wie den Google Authenticator"-heisst Android und dies OS ist by default unsafe!Abgesehen davon nutzt alles nichts solange die ISPs und webshops generell unsafe sind-denn DAS ist das Hauptproblem!Ein derartige Masse an gekaperten logindaten laesst sich nur duch gehackte ISPs erkleaeren.Daher ist es,solange die Situation so ist,wie sie ist-pupsegal wie safe mein pw ist.Gleiches gilt fuer die webshops.Wenn man dort(verbotenerweise)den 3stelligen safety code speichert dann nutzen mir alle meine Sicherheitsvorkehrungen nichts!

Hahah am 5.04.14 22:11

Kommentieren



Die mit * gekennzeichneten Felder müssen ausgefüllt werden.


Angaben speichern (Cookie)?


Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage:


Trackbacks zum Eintrag Macht die E-Mail sicherer

Zum Anfang dieses Eintrags

Donnerstag, 03.04.2014

Gut gebrüllt, liebes EU-Parlament

Ein Sieg der Vernunft. Ich muss gestehen: Ich hatte wirklich schon nicht mehr damit gerechnet, war schon auf das Schlimmste eingestimmt. Längst war ich davon ausgegangen, dass das EU-Parlament heute bei seiner Abstimmung über das "neue Gesetz für den Telekommunikationsmarkt" die WWW: Netzneutralität aufweicht. Die Vorzeichen ließen das jedenfalls befürchten.

Denn vor knapp drei Wochen hat der Blog: Industrieausschuss im EU-Parlament dem Entwurf für eine EU-weite Telekommunikationsverordnung zugestimmt. Manche EU-Politiker hatten das als Stärkung der Netzneutralität verkauft. Doch in Wahrheit ist das genaue Gegenteil zutreffend: Problematisch ist vor allem ein Passus, der es Providern in Europa erlauben sollte, künftig "Specialized Services" anzubieten, die dann bevorzugt behandelt werden dürfen. Viele waren ARD: besorgt.

DSL-Kabel mit Knoten; Rechte: dpa/Picture Alliance
Auch künftig sollen Daten alle gleichberechtigt transportiert werden


Netzneutralität gestärkt - auf Dauer
Ein "Ja, aber" bei der Netzneutralität, das hätten die Telekommunikationsriesen sicher gerne gehabt. Denn so etwas verspricht deutlich mehr Umsatz: Sich extra bezahlen zu lassen, was bislang einfach dazu gehört - klar, für die Telcos ein riesen Geschäft. Und die Konsumenten wären die Dummen. Doch das EU-Parlament hat das Problem erkannt und sich von den Lobbyisten nicht einwickeln lassen. Eine Koalition aus Sozialdemokraten, Grünen, Linken und Liberalen hat dafür gesorgt, dass an der Netzneutralität nicht gerüttelt wird.

Im Gegenteil: Die Netzneutralität wird zementiert. Es gilt "der Grundsatz, dass der gesamte Internetverkehr gleich und ohne Diskriminierung, Einschränkung oder Störung unabhängig von Absender, Empfänger, Art, Inhalt, Gerät, Dienst oder Anwendung behandelt wird." So muss es sein. Ich höre das Fluchen in den Chefetagen der großen Telco-Unternehmen, denen dadurch Milliardenbeträge flöten gehen.

Auf jeden Fall ist die Entscheidung des EU-Parlaments gut und richtig. Sie ist im Sinne der Verbraucher - und sie ist im Sinne des Internet. Die Netzneutralität ist ein Grundpfeiler des Netz und sollte es auch bleiben. Allerdings müssen die EU-Staaten das Gesetz noch bestätigen. Für alle Aktivisten, die sich für die Netzneutralität eingesetzt haben, war heute allerdings ein guter Tag.


Video erklärt aus Sicht der Kritiker, wie wichtig Netzneutralität ist


Auch Roaminggebühren einkassiert
Doch als wäre das noch nicht genug, hat das EU-Parlament auch noch die bei Urlaubern verhassten und bei Mobilfunkanbietern geliebten Roaminggebühren einkassiert. Wenn alles so läuft wie geplant, werden Roaminggebühren ab 15. Dezember 2015 in Europa verboten. Dazu bedarf es allerdings ebenfalls noch der Zustimmung der EU-Staaten. Bedeutet für uns Konsumenten aber: Es ist in Zukunft einerlei, ob wir in Deutschland, Österreich, Italien oder Spanien telefonieren - es kostet immer dasselbe. Dasselbe gilt für den mobilen Datenfunk. Exorbitante Kosten für das Anschauen von Videos und das Abrufen von E-Mails im europäischen Ausland gehören dann endgültig der Vergangenheit an.

Das wird auch Zeit, denn die meisten Mobilfunkanbieter sind sowieso in ganz Europa aktiv. Die hohen Auslandsgebühren sind künstlich hoch. Es gibt kein wirklich gutes Argument, wieso man in den Niederlanden mehr für das Abrufen einer Webseite bezahlen soll als in Nordrhein-Westfalen. Im nicht-europäischen Ausland gilt aber auch weiterhin: Vorsicht vor hohen Roamingkosten.

"Eine Koalition aus Sozialdemokraten, Grünen, Linken und Liberalen hat dafür gesorgt, dass an der Netzneutralität nicht gerüttelt wird." Danke WDR! Allein dieser Satz reicht völlig aus, um ganz sicher zu sein, daß die EU wieder einmal eine weitere Bevormundung der Menschen in Europa manifestiert hat. Aber das Glühbirnenverbot war ja auch ein großer Wurf dieser abgehalfterten Schwachköpfe in Brüssel. Und diese Liste ließe sich unendlich fortsetzen.

Fabo am 3.04.14 23:38

Freue mich über diese Nachricht. Besonders bei den Roaminggebühren. Nachdem sich kleinere Mobilfunkanbieter gegenseitig 'aufgefressen' haben (aud D2 mach Vodafone etc), welche nun große Firmen sind, die wiederum ganz in Europa tätig sind, sind Roaminggebühren absolut nicht mehr zu rerchtfertigen!
Wo ist denn der Unterschied ob ich als deutscher Vodafone Kunde (nur mal als Beispiel) nun im deutschen oder britischen Vodafone Netz telefoniere? Ich bin weiterhin im selben Land (nämlich Europa - ja, wir sind ja schließlich ein 'vereinigtes Europa'!) und auch noch bei derselben Firma eingebucht! Wo 'roame' ich denn da auch? Verstehe ich bereits heute nicht mehr.

Chris26 am 4.04.14 7:17

@Fabo: "Danke WDR! Allein dieser Satz reicht völlig aus, um ganz sicher zu sein, daß die EU wieder einmal eine weitere Bevormundung der Menschen in Europa manifestiert hat." --- Was meinen Sie an der Netzneutralität als Bevormundung ausmachen zu können? Wäre Ihnen denn auf Aufweichung oder gar Abschaffung tatsächlich lieber? Und wenn ja, warum genau?

pat am 4.04.14 7:40

Aldi hat die Roaming-Gebühren in der EU ja schon nahezu abgeschafft, allerdings sollte dann auch meine Internet Flatrate im EU-Ausland gelten, momentan ist das ja noch nicht so und so wie es sich anhört, wird es auch erstmal so bleiben...

Kritiker am 4.04.14 7:59

@Kritiker: Genau das finde ich auch interessant. Werden unsere Inlands-Flatrates auch im Ausland gelten, oder muss ich dann für das Surfen im Nachbarland wieder eine eigene Flat buchen, um nicht die teuren 'à la Carte Preise' zahlen zu müssen?

AP am 4.04.14 11:03

Kommentieren



Die mit * gekennzeichneten Felder müssen ausgefüllt werden.


Angaben speichern (Cookie)?


Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage:


Trackbacks zum Eintrag Gut gebrüllt, liebes EU-Parlament

Zum Anfang dieses Eintrags

Mittwoch, 02.04.2014

Wie ein Hügel zum Sinnbild für XP wurde

Am 8. April 2014 ist es so weit: Microsoft stellt den WWW: Support für sein populäres Betriebssystem Windows XP ein. Endgültig. Und woran erinnern sich die meisten Menschen, wenn sie an Windows XP denken? Richtig: Sie denken an das Foto, das als Startbild bei Windows XP zu sehen ist. Jenes Foto, das in der US-Version von Windows XP als "Bliss" (Wonne, Glück) in der Auswahl für Hintergrundbilder aufgelistet ist und in der deutschen Version mit "Grüne Idylle" wirklich zutreffend umschrieben ist.

Windows XP Desktop-Bild Bliss; Rechte: Microsoft
In Zukunft seltener zu sehen: Das Desktop-Bild "Bliss"


Keine Grafik, sondern ein Foto
Ich muss gestehen: Ich habe immer gedacht, es handelt sich dabei weniger um ein Foto als um eine Grafik, die am Computer entstanden ist. So viel sattes Grün auf der Wiese, so viel dunkles Blau am Himmel, dann diese kuscheligen weißen, vollen Wolken: Das ist irgendwie wie aus dem Bilderbuch, wie gemalt, ein bisschen Natur-Kitsch pur. Doch wie ich jetzt im WWW: Sydney Morning Herald erfahren durfte, handelt es sich bei dem berühmten XP-Hintergrund um keine Grafik, sondern um ein Foto. Sogar um ein Foto, das in keinster Weise tricktechnisch am Computer nachbearbeitet wurde, wie der Fotograf des Bildes stolz betont.

Generationen von XP-Benutzern haben das Foto nach dem Einschalten ihres Rechners als Desktop-Bild gesehen, denn die meisten verändern den Standardhintergrund nicht. Bliss dürfte eine Art Mona Lisa der PC-Industrie sein: Kein anderes Bild wurde häufiger angeschaut. Selbst heute kann man die grüne Idylle noch bestaunen: Auf der Webseite, die Microsoft betreibt, um uns über das nahende Supportende zu informieren, sehen wir "Grüne Idylle" oder "Bliss". Während die deutsche Version im Namen erklärt, was wir sehen, haben die Amerikaner sich für einen Namen entschieden, der beschreibt, was wir beim Betrachten fühlen (könnten). Ein interessanter kultureller Unterschied.


Charles O'Rear erklärt die Geschichte zum Windows-XP-Foto


Fotograf hat schlechte Konditionen ausgehandelt
Im entscheidenden Moment auf den Auslöser gedrückt hat der Berufsfotograf Charles O'Rear. Er hat die Aufnahme nach eigener Erinnerung 1996 gemacht. Zu sehen ist eine Landschaft im kalifornischen Weinanbaugebiet von Sonoma County in der Nähe von Napa, nördlich von San Francisco. Wir sehen einen ursprünglich für den Weinanbau genutzten Hügel, der damals wegen einer Pflanzenseuche mit üppigem Gras bedeckt war. Der heute 73-jährige O'Rear hat das Foto damals eher aus privaten Gründen gemacht, um einer Freundin zu zeigen, wie die Landschaft aussieht.

Später hat er das Foto bei der Fotoagentur WWW: Corbis eingestellt. Hier können Fotografen ihre Fotos verkaufen, etwa Zeitungen oder Zeitschriften zur Verwendung anbieten. Was man wissen muss: Corbis gehört dem Microsoft-Gründer Bill Gates. Er hat die Bildagentur gegründet. Als Windows XP in der Planung war, suchte man bei Microsoft nach einem passenden Foto - und hat die Aufnahme von O'Rear entdeckt. Ohne ihm zu sagen, was man mit dem Bild konkret vor hat, wurden ihm die Recht abgekauft.

Heute ärgert sich der Fotograf, damals keinen besseren Tarif ausgehandelt zu haben. "Hätte ich für jedes Mal, wenn dieses Foto angesehen wird, nur den Bruchteil eines Cents erhalten, wäre ich ein gemachter Mann", erklärt er. Wieviel er genau für das Foto bekommen hat, verrät er hingegen nicht.

Wer die Stelle mal besuchen möchte: Bitte sehr - dank WWW: Google Maps heute kein Problem. Aber sie sieht dort deutlich weniger idyllisch aus als in Windows XP.

Und ich dachte immer, das sei der Hügel im Teletubbie Land :0))

Elsa am 2.04.14 13:41

Damals hat man diesen Desktophintergrung mit der grünen Idylle nicht verändert damit jeder in der Bekanntschaft sehen konnte man hatte nach 98 SE ein Windows XP auf dem PC. Das machte am Anfang schon etwas her. Die letzten Jahre wurde die grüne Idylle dann doch ersetzt man konnte sie nicht mehr sehen. Jetzt wo sie bald nicht mehr da ist wird sie manchem fehlen.

MG am 2.04.14 20:46

Kommentieren



Die mit * gekennzeichneten Felder müssen ausgefüllt werden.


Angaben speichern (Cookie)?


Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage:


Trackbacks zum Eintrag Wie ein Hügel zum Sinnbild für XP wurde

Zum Anfang dieses Eintrags

April 2014

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30

Über das Blog

Digitalistan: Heimatkundliches aus dem Land der Einsen und Nullen

Suche im Blog

Aktuelle Einträge

Autoren

Blogregeln und Glossar

Newsreader-Feeds (XML/RSS)


Permanente URL dieser Seite: http://wdrblog.de/digitalistan/