Gefährliches Internet

Jeder Internetnutzer wird eine oder auch mehrere davon haben und auch mehr oder weniger regelmäßig nutzen. Sie sind der Dreh- und Angelpunkt unseres digitalen Selbst. Gemeint ist die allgegenwärtige Mailadresse. Man benötigt sie, um mit Freunden und Kollegen zu kommunizieren, zur Onlinebewerbung bei einem anderen Arbeitgeber, aber auch um sich bei diversen Diensten, wie Facebook, Twitter, Amazon und Co anzumelden. Das macht das eigene Mailpostfach zum Zentrum unseres digitalen Lebens. Und das wissen leider auch diverse kriminelle Persönlichkeiten, die sich auf Kosten anderer Leute gern bereichern wollen.

Wurde die E-Mailadresse von Fremden gekapert, so ist es ein Leichtes, sich über die Funktion Passwort vergessen bei verschiedenen Diensten, sich ein neues Passwort zuschicken zu lassen und sich mit dem beispielsweise bei Facebook oder Amazon anzumelden. Das kann ernsthafte Rufschädigungen oder finanzielle Schäden zur Folge haben, wenn nicht noch schlimmeres.

Deshalb gibt es im Internet Dutzende verschiedener Dienste, die sogenannte Einmal-Adressen oder Wegwerfadressen anbieten. Diese nutzt man beispielsweise, um sich bei verschiedenen Foren und Diensteanbietern zu registrieren, empfängt dort seinen Link zur Aktivierung des Accounts und löscht die Adresse gleich wieder, oder nach einem bestimmten Limit an eingegangenen Mails per Hand oder automatisch. Eine Liste mit Wegwerfadressen hat Google ausgespuckt und wird am Ende des Artikels als Link eingefügt.

Wie kann ich meine Mailadresse und Accounts von anderen Anbietern am besten sichern?

Allerdings ist es nicht immer mit Wegwerfadressen getan. Man braucht wenigstens eine oder zwei dauerhafte Mail-Adressen für die alltägliche Korrespondenz – beruflich oder privat. Natürlich hat man auch Accounts bei Amazon, Ebay, Facebook, Banken und so weiter. Deshalb heißt es überall: Absichern.

Die erste Sicherheit ist das Passwort. Es sollte möglichst lang sein und eine zufällige Folge von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen sein. Zur Erstellung solcher zufälligen Passwörter gibt es Passwortgeneratoren, direkt für Windows, oder als AddOns für die beliebten Browser Chrome und Firefox.

Legitim ist es, sich auch Zettelchen zu schreiben, auf denen man seine Passwörter vermerkt und diese sicher zu verwahren. Man sollte aber auch immer den Verlust einkalkulieren und nicht sämtliche Daten zum Passwort aufschreiben. Oder man chiffriert hier das Passwort noch ein wenig.

Um sich lange Passwörter einfacher merken zu können, baue ich mir ein langes Passwort aus zwei Zufallsgruppen aus Ziffern, Buchstaben und Sonderzeichen zusammen, getrennt durch ein spezielles Sonderzeichen. Die eine Buchstabengruppe ist leicht oder durch häufige Eingabe zu merken. Die zweite Zeichengruppe ist völlig zufällig und unterscheidet sich von Dienst zu Dienst. Notiert wird eben nur der zweite Teil, der erste Teil steckt bei mir im Kopf. Ein solches Passwort kann wie folgt aussehen:

H8/z2#1GsdT5@A1b2d3E4

Man merkt, die zweite Zeichengruppe ist leicht zu merken, die behält man einfach im Kopf. Den ersten Teil kann man getrost aufschreiben, denn ohne den zweiten Teil ist er faktisch wertlos.

Seit geraumer Zeit gibt es hier in Europa eine neue Richtlinie zur Datensicherheit, FIDO2 genannt. Diese verpflichtet Onlinedienstleister, wie Mailprovider, Onlinewarenhäuser, Banken und andere zu einer Zwei-Faktor-Authentifizierung (2FA).

Früher war es gang und gäbe als zweiten Faktor eine oder zwei Fragen mit Antworten beim Dienstleister zu hinterlegen. Häufig genutzte Beispiele waren die Frage nach dem Mädchennamen der Großmutter oder ähnlich. Das mag zwar nirgendwo bei Facebook stehen, ist aber durch Dreistigkeit durchaus zu erfahren. Social Energeering heißt das zu Neudeutsch.

Die direkte Frage „Wie hieß deine Oma mit dem Mädchnnamen?“ wird wohl niemand direkt beantworten, schon keinem Fremden. Das geht aber auch anders herum in einem Unverfänglichen Gespräch konnte dann schonmal folgender Dialog zustande kommen: „Hieß ihre Oma Müller?“ „Nein, Meier, aber ohne Ypsilon!“

Das hat sich heutzutage der Technik und Regulierungen sei Dank geändert. Neben dem recht unsicheren Passwort, werden bei Mailprovidern und anderen Onlinediensten beispielsweise Handynummern hinterlegt, die beim Login einen Code zugesandt bekommen, der zusätzlich eingegeben werden muss, wobei die SMS TAN auch wegen der Unsicherheiten mit Sim-Karten und im Handynetz zurückgedrängt werden.

Bei Banken setzt es sich immer mehr durch, den sowieso schon vorhandenen TAN-Generator und eine EC-Karte zu Nutzen um für den Login eine zusätzliche TAN zu generieren – als Ausweis sozusagen. Auch immer mehr Apps wurden als zweiter Faktor für Überweisungen und den Login bei der Bank entwickelt und sollen laut Banken recht sicher sein.

Viele Dienste bieten mitterweile auch an, die zumeist 6-stelligen Codes für die Zwei-Faktor-Authentification per App auf dem Smartphone oder Tablet zu generieren. Das sind meist zufällige Ziffernfolgen, mit recht begrenzter Haltbarkeit (meist 1 Minute). Bei den meisten Diensten ist die Einrichtung recht einfach. Die meisten solcher Authentificator-Apps liefern einen QR-Code-Scanner, mit dem man einen solchen Code ins Gerät einliest. Mit diesem werden nach einem bestimmten Zufallsprinzip diese Ziffernfolgen generiert.

Fazit

Es bedeutet schon einen Mehraufwand alle Accounts mit sicheren Passwörtern und einem zweiten Faktor auszustaffieren. Der Sinn dahinter ist es, die Masse an Hackern mit etwas Mehraufwand zu verschrecken. Die suchen sich meist die leichteren Opfer aus, die mit wenig Aufwand zu knacken sind. Geheimdienste sind schon eine andere Nummer, aber die größte Gefahr geht immer noch von den Allerweltskriminellen aus, die mit euren Daten Geld verdienen wollen oder euch irgendwie Schaden wollen. Der geringe Mehraufwand, einen Code oder eine TAN einzutippseln lohnt sich allerdings.

E-Mail Verschlüsselung mit Thunderbird – Ein How To

Thunderbird Logo
Thunderbird Logo

Der neue Mailer von Mozilla ist draußen. Thunderbird mit der Versionsnummer 78. Und er bringt eine integrierte Ende-zu-Ende-Verschlüsselung mit – durch die enge Integration sehr vereinfacht und intuitiv. Um was es genau geht, erfahrt ihr hier.

Was ist Ende-zu-Ende-Verschlüsselung?

In der Regel sind E-Mails nichts anderes als ganz einfache Postkarten, die man im Urlaub mit besten Wünschen versieht und an den einen oder anderen daheimgebliebenen Empfänger verschickt. Eine Postkarte kann ein Postmitarbeiter beim Leeren des Posteinwurfkastens lesen oder im Verteilerzentrum oder der Postbote, der die Karte im heimischen Briefkasten versenkt.

E-Mails funktionieren ähnlich. Geschrieben werden diese am heimischen PC, der die fertige Mail dann dem Server des eigenen Mailproviders übergibt. Von dort aus wandern die Mails zum Postkasten des Empfängers (auf den Servern eines anderen Mailproviders). Auf eben jenen Servern ist die geschriebene Mail noch für jeden, der Zugriff auf die Server hat (sei es ein Mitarbeiter des Mailproviders oder ein fieser Hacker) lesbar. Das nennt man Klartext.

Ende-zu-Ende-Verschlüsselung setzt jetzt auf den PCs von Sender und Empfänger an. Im einfachsten Fall chiffiriert (neudeutsch für verschlüsselt) der Computer des Senders automatisch und ohne weiteres Zutun die Mail während des Sendevorganges. Das geht mit der heutigen Technik schon recht fix und der Sender merkt vom Chiffirieren nichts. Genau das Selbe passiert beim Empfänger in Gegenrichtung. Er ruft die Mail ab und der Computer entschlüssselt diese während des Ladevorganges und der Empfänger kann die Mail in Ruhe lesen.

Dieser ganze Vorgang passiert im Idealfall auf den heimischen Endgeräten, sei es der PC oder Laptop, aber auch das Smartphone oder Tablet. Doch die Praxis sieht auch hier ganz anders aus.

Was bringt diese Verschlüsselung eigentlich?

Fakt ist – jede Verschlüsselung kann mit mehr oder weniger (Zeit)Aufwand geknackt werden. Allerdings ist dieser Aufwand schon eine Hürde und schreckt die meisten, die fieses im Sinn haben, ab. Der Sinn hinter der ganzen Aktion ist ein Sicherheitsgewinn, der eigentlich mit wenigen Handgriffen installiert sein sollte. Private und geschäftlche Kommunikation geht im Prinzip niemanden etwas an, gerade weil da auch viel persönliches (oder geschäftliches) versendet wird, was im Zweifel nur der Empfänger lesen darf. Aber keine Angst, mit dem neuen Thunderbird ab Version 78, bekommt man schon alle Tools an die Hand und die Verschlüsselung ist schnell eingerichtet. Aber vorher noch etwas zu den Grundlagfgen.

Wie funktioniert die Ende-zu-Ende-Verschlüsselung eigentlich?

In früheren Artikeln über Verschlüsselung, habe ich das Problem schon erklärt, aber es passt hier auch wieder wunderbar zum Thema und deswegen kommt das auch hier wieder rein. Wem das zuviel ist, kann ja diesen Absatz überspringen.

Bei E-Mails gibt es immer mindesten 2 Leute, die an einer Korrespondenz beteiligt sind. Im Prinzip müssen sich alle (Sender und Empfänger) einig sein, eine Verschlüsselung einzusetzen. Denn Verschlüssselung heißt, daß jeder ein eigenes Schlüsselpaar, bestehend aus öffentlichem und geheimen Schlüssel, besitzen muss, mit dem zu sendende E-Mails chiffriert und empfangene dechiffriert werden. Das besagt prinzipiell schon alles.

Der Öffentliche Schlüssel wird öffentlich gemacht, beispielsweie über Schlüsselserver, oder als Anhang einer E-Mail. Der geheime Schlüssel wird daheim auf dem eigenen PC verwahrt.

Bob will nun seinem Freund Anton eine E-Mail schreiben, beide wollen in Zukunft auf die sichere Verschlüsselung setzen. Nun generieren beide ein Schlüsselpaar. Anton schickt seinen öffentlichen Schlüssel dem Bob zu und Bob macht das selbe mit seinem öffentlichen Schlüssel.

Jetzt schreibt Bob seine E-Mail und verschlüsselt die mit dem öffentlichen Schlüssel Antons und seinem (Bobs) geheimen Schlüssel. Anton empfängt jetzt erst einmal unleserliches Kauderwelsch. Doch in Kombination mit seinem eigenen geheimen Schlüssel und Bobs öffentlichen wird die Mail lesbar.

Was benötigt man nun zum Verschlüsseln von E-Mails?

Einfach gesagt: Nur noch Thunderbird ab Version 78. Der Mailclient liefert schon alles von Haus aus mit. Man braucht keine komplexen Installationen mit OpenPGP, Enigmail und Schlüsselverwaltung mehr. Der aktuelle Donnervogel vereint das alles für den PC (Linux, Mac und Windows) unter einer Haube.

Die Erstellung eigener Schlüssel ist hier nun sehr einfach. Man klickt einfach auf die Mailadresse, die gesichert werden soll und dann auf Ende-zu-Ende-Verschlüsselung. Im nächsten Menü auf Schlüssel erstellen.

 

Verschlüsseln mit Thunderbird
Verschlüsseln mit Thunderbird

 

Hat man sich für die Ende-zuEnde-Verschlüsselung entschieden, kann man bereits vorhandene Schlüssel einsehen oder einen neuen Schlüsseln Generieren.

Verschlüsselung Schritt 2
Verschlüsselung Schritt 2
Verschlüsselung Schritt 3
Verschlüsselung Schritt 3

Hier hat man nun die Wahl zwischen RSA und einer eliptischen Kurve. Beides sind verschiedene Kryptografieverfahren. Da ich jetzt nicht zu Tief in der Materie drin stecke, kann ich jetzt auch nicht beurteilen, welches Verfahren das sicherere und zukunftsträchtigere ist. Fakt ist jedenfalls, daß man die Schlüssellänge so lang wie möglich wählen sollte, denn das erhöht den Zeitaufwand beim Entschlüsseln enorm. Selbst mit einem Verfallsdatum kann man, wenn man möchte, das eigene Schlüsselpaar ausstaffieren.

Verschluesselung Schritt 4
Verschluesselung Schritt 4

 

Wo liegen die Vor- und Nachteile?

Thunderbird bringt schon alles fürs sichere Mailen am PC mit – Kryptografietool und eine Schlüsselverwaltung. Generell macht es der Mailer auch Anfängern einfacher, sicher zu kommunizieren. Im Falle eines Daten-GAUs durch Trojaner oder einfach nur, weil ein neuer PC her soll, kann man die Schlüssel samt Einstellungen mit dem Profil-Ordner Umziehen oder sichern. Das habe ich bereits in anderen Artikeln beschrieben.

Nicht so einfach und trivial wird das Portieren des eigenen Schlüsselpaares und der gesammelten öffentlichen Schlüssel (Schlüsselbund) von Kommunikationspartnern auf ein Smartphone oder Tablet sein. Auf absehbare Zeit wird es kein Thunderbird für Android oder iOS geben, in den man einfach den Profil-Ordner vom PC packen kann. Damit wird man, es sei denn man hat ein Workaround gefunden, seine verschlüsselten Mails nicht lesen und bearbeiten können.

Fazit

Die Integration der beschriebenen Verschlüsselungstools in den beliebten Mailclient Thunderbird, ist schon ein Schritt in die richtige Richtung. So wird das Verschlüsseln eigener E-Mails zugänglicher und leichter, ohne die zusätzliche Installation von Software, die das erledigt. Jetzt müssen plattformübergreifend weitere beliebte Mailclients nachziehen und insgesamt den Austausch der eigenen Schlüsselpaare vereinfachen. Das was Mozilla mit Thundrbird macht, ist vorbildlich. Bleibt zu hoffen, daß unser Donnervogel in Zukunft zum Mailen, geschäftlich wie privat eingesetzt wird. So braucht man für verschlüsseltes und sicheres Mailen kein komplexes Workaround mehr, weil man schon alles aus einem Guss hat.

Weiterführende Artikel

  1. Wie man Firefox und Thunderbird wieder herstellt
  2. Firefox und Thunderbird ganz mobil

Von der Impressumspflicht und der neuen Datenschutz-Grundverordnung

Am vergangenem Freitag (25. Mai 2018) ist die neue DSVGO in Kraft getreten. Die bringt kleine Seitenbetreiber ins Schwitzen, obwohl die eigentlich auf große Unternehmen abzielt. Allerdings ist die DGSVO in Teilen so schwammig formuliert, daß sie auch auf den kleinen Webseitenbetreiber anwendbar ist.

Disclaimer

Ich bin kein Jurist und kein Experte in Sachen Recht, daher darf dieser Artikel nicht als Rechtsberatung angesehen werden. Ich habe mich in den letzten Wochen allerdings mit der neuen Datenschutzverordnung auseinander gesetzt, um meinen Blog so gut es geht rechtssicher zu machen. Daher kann dieser Artikel nur als kleiner Leitfaden und Chekliste mit Tips und Tricks, sowie Anregungen zur DSGVO und zum Impressum dienen. Meine Checkliste erhebt auch keinen Anspruch auf Vollständigkeit und Fehlerfreiheit.

Die umstrittene Impressumspflicht

Eine Diskussion in einem IRC-Channel befleißigt mich, dieses Thema anzunehmen. Im Allgemeinen ging es bei dieser Argumentation, wo privat aufhört und kommerziell anfängt, im Zusammenhang mit der Impressumspflicht nach TMG §5 und der neuen Datenschutzgrundverordnung.

Der Paragraph 5 des Telemediengesetzes schreibt Anbietern vor, die ihre Dienste geschäftsmäßig in er Regel entgeltlich anbieten, ein Impressum vor. Das bezieht auch den kleinen Seitenbetreiber mit ein, der auf seiner Seite mit den privaten Kochrezepten ein bisschen Werbung setzt, um die Kosten für seine Domain zu refinanzieren.

Kann aber eine Seite, die öffentlich zugänglich ist als Privat gelten? Daum ging es in der Diskussion vornehmlich. Eine private Seite bedeutet für mich auf einer technischen Ebene, daß nur der Seitenbetreiber und ein paar seiner Bekannten darauf Zugriff haben. Das geht recht einfach via .htaccess, wo der Seitenbetreiber Passwörter einträgt, die er an Freunde und Familie weitergibt. Um eine ungewollte Verbreitung der Passwörter vorzubeugen, kann man hin und wieder ändern und neu vergeben.

Die neue Datenschutzverordnung

Eigentlich sollte das neue Gesetz den Bürger vor großen Internetkonzernen schützen. Laut einiger Recherchen im Netz treibt die Verordnung reichlich kuriose Stilblüten. Anwaltskammern schließen ihren Internetauftritt, Blogs schließen … zumindest temporär. Europäer dürfen keine amerikanischen Medien mehr lesen, Twitter sperrt Konten, vieles gibt es in diesen Tagen zu berichten.

Das neue europäische Recht, soll die Datenverarbeitung transparenter machen, Konzerne wie Facebook, Google und Co nehmen das allerdings zum Anlass, ihre Datenschutzerklärungen zu überarbeiten. Gerade bei sozialen Netzwerken gab es in den letzten Tagen schon fälle, daß Konten gesperrt wurden, weil die neue Datenschutzerklärung nicht aktzeptiert wurde – aus dem einfachen Grund, weil sich amerikanische Konzerne nicht um das neue europäische Recht scheren und ihre Datensammelwut mit einer überarbeiteten und an das neue Getz angepasste Erklärung rechtfertigen.

Kleine Websitebetreiber haben allerdings ein Problem, denn auch auf sie kommen hohe Strafen bei Verstößen zu, ebenfalls auch hohe Kosten, wenn sie ihren Auftritt korrekt rechtssicher gestalten wollen. Aber zur Erleichterung der kleinen Webseitebetreiber wie Blogger – Datenschutzbeauftragte werden nicht benötigt, daß man kein Unternehmen mit mindestens 10 Angestellten führt, was als Kerntätigkeit die Verarbeitung von Daten hat.

Aber dennoch gilt es als erstes die Webseite abzuklopfen und zu schauen wohin überall Daten abfließen. Mit Pi Hole kann man das selbst sehr schön nachvollziehen. Man loggt sich dort einfach ins Dashboard ein und schaut einfach in die Logs, wohin welche Abfragen gehen, wenn man seine Seite öffnet und welche Domains angepingt werden.

Meist findet man dann doch Anfragen neben seiner Domain zu Google Analytics, Google Ads (oder Google allgemein) oder anderen Werbenetzwerken (wenn man denn soetwas eingebunden hat).

Als erste Anlaufstelle für die Umsetzung der eigenen DSGVO Konformen Seite sollte der Provider sein, wenn man sich irgendwo eine Domain und ein bisschen Webspace für den eigenen Blog besorgt hat. Der müsste einen rechtssicheren Vertrag für die Datenverarbeitung anbieten, den man mit dem Provider abschließen muß. Das Selbe muß man mit Google tun, sofern man irgendwelche Trackingdienste für Werbung und Analyse nutzt.

Blogger benutzen gern auch diverse Tools für die Spamabwehr. Akismet ist da führend, überprüft aber jede IP Adresse auf ausländischen Server ob die für Spam bekannt sind. JetPack und Matomo – ehemals Piwik – sind ebenfals sehr mächtige Analystools. Der Unterschied: JetPack sendet auch Daten an fremde Server, Piwik speichert anonymisiert auf dem eigenen Webspace. Matomo ist als Statistictool Google Analytics aus genannten Gründen vorzuziehen. Bleiben beim Ersteren die Satistikdaten anonymisiert auf dem eigenen Webspace, so funkt Google Analytics diese auf Google Server, die mitunter auch im Ausland stehen. Bleibt noch eine Frage offen: Speichert Google diese Daten auch anonymisiert?

Die Originalen Like-Buttons von Facebook, Twitter und co. werden zumeist als iFrame eingebunden. Das sind meist kleine Browserfenster im Browerfenster. Man lädt also einn Teil von einem sozialen Netzwerk, mit einer Seite, auf dem einer der Buttons eingebunden ist. So fließen ungewollt Daten auf andere Server ab.

Für alle Plugins, die auf Fremden Servern Daten auslagern: Man muß im Zweifelsfall einen Vertrag zur Auftragsdatenspeicherung abschließen. Meine Ansicht dazu: Wenn man ohne Trackingtools nicht leben kann, dann sollte die man auf dem eigenen Server bzw. bei seinem Webhoster betreiben, denn mit dem hat man ja bereits einen Vertrag. Like-Buttons sollte man lieber als HTML Version oder 2-Clickmethode einbinden, so wie ich das mit Shariff schon früher beschrieben habe.

Als nächstes ist natürlich eine DSGVO Konforme Datenschutzerklärung notwendig. Hier ändert sich allerdings nicht viel, denn ähnliches war schon im deutschen Datenschutzrecht verankert. Für die Hobbyblogger unter uns gibt es zahlreiche DSGVO Konforme Generatoren für die Datenschutzerklärung im Netz, die man schon für lau nutzen kann. Aber auch da gibt es keine Hundertprozentige Sicherheit für eine Fehlerfreie Erklärung.

Hat man unter der Haube eine Bestandsaufnahme gemacht und eine Datenschutzerklärung fertig, so fällt meistens auf, daß man sowieso nicht alles DSGVO-konform ist. Jetzt geht es daran Plugins, Kontaktformulare und Kommentarspalten abzuklopfen.

Kann man auf diverse Dinge, wie Statistik nicht verzichten, sollte man sich villeicht nach Alternativen zu den Diensten von Google und Co. umsehen. Piwik währe da eine gute Alternative, hier hat man 99protzentig selbst in der Hand was wie gespeichert wird. Akismet ist beispielsweise durch die AntiSpamBee auszutauschen, die setzt auf unsichtbare Formularfelder um Spambots draußen zu halten.

Trackt man irgendwie, so werden Cookies und/oder Zählpixel eingebettet, das heißt, eine Zustimmung für das Setzen von Cookies muß beim Betreten der Seite her. Auch bei der Kommentarfunktion sowie Kontaktformularen werden Daten wie IP Adresse und Mailadresse gespeichert. Bei WordPress kann man Kinderleicht mit WP GDPR Compliance Checkboxen setzen, die die entsprechenden Zustimmungen einholen.

Dann bleiben noch die IP Adresssen, die die Kommentarfunktion speichert. Hier gibt es einen tieferen Eingriff ins Getriebe von WordPress um bereits gespeicherte Adressen zu löschen und einige Scripte, die künftiges Speichern verhindern. Darauf werde ich allerdings in einem kommenden Artikel eingehen, dafür habe ich einen schönen Workflow recherchiert und erarbeitet.

Ja, angebotene Downloads. Hier sind wieder Urheberrechte und Lizenzrechte zu beachten. Aber ich gehe mal davon aus, daß ihr alle, wenn ihr etwas zum Download anbietet, das auch auf legale Weise tut. Vor Jahren habe ich aus Mangel an bezahlbaren Alternativen einige Downloads einfach in die Dropbox geschubst. Synchroordner auf der Festplatte erstellt, Dateien dort reingeschmissen und wusch, verlinkt. Dropbox ist ein US-amerikanisches Unternehmen mit Serverstandorten in den USA und auf der Welt verteilt. Auch wenn da sowieso nur Downloads drin waren, die für die Öffentlichkeit bestimmt sind, so können doch beim Klick auf die entsprechende Verlinkung, Daten zu dieser Firma abfließen. Daten dafür sind nunmal IP-Adressen, damit die Server wissen, wohin sie die Downloads schicken müssen. Also dran denken: Wenn ihr einen deutschen oder europäischen Server für eure Webseite nutzt, dann lagert eure Downloads auch dort.

Bleibt noch die Frage zu den Bildern. Im Prinzip gilt hier immer noch das Urheberrecht. Der Blogger, der ein Bild aufnimmt darf das auch online stellen, sofern eine schöpferische Tiefe erkennbar ist. Stehen allerdings Personen im Vordergrund, auf denen der Hauptaugenmerk liegt, so muß da eine schriftliche Einverständniserklärung vorliegen, denn die haben auch noch Rechte am eigenen Bild, um es mal in juristischer Fachsprache zu versuchen. Fotografiert man allerdings ein öffentliches Panorama, auf dem in einiger Entfernung viele Leute durch das Bild laufen, so kann man das soweit posten. Für Bilder aus der Wikipedia so gilt der Beitrag den ich früher schonmal geschrieben habe. Auch wenn es Creative Commons ist, Quellenangaben und die Lizenz dazu, dabei hilft der dort vorgestellte Lizenzgenerator.

Fazit

Die DSGVO ist ein ganz schönes Bürokratiemonster und setzt dem eh schon straffen deutschen Datenschutz noch einiges drauf. Für kleine Webseitenbetreiber kommt einiges an Arbeit zu, vielleicht auch an Kosten für die rechtskonforme Umsetzung der DSGVO.

Links

  1. Das virgestellte Shariff Plugin
  2. Der Lizenzhinweisgenerator von Wikimedia Commons für sorgenfreie Bilder
  3. Facebook, Datenskandale und Maßnahmen gegen Trcking wie Pihole
  4. FAQ zur Absicherung des Blogs

Efail: Was Sie jetzt beachten müssen, um sicher E-Mails zu lesen

Mit PGP und S/MIME verschlüsselte E-Mails können unter bestimmten Umständen von Angreifern aus dem Netz mitgelesen werden. Was man tun muss, um weiterhin verschlüsselte Mails sicher zu lesen, erklärt dieser Artikel.

Nachdem nun die Details zum Angriff auf die heute veröffentlichten Sicherheitslücken in PGP und S/MIME bekannt geworden sind, bleiben viele Anwender verunsichert und fragen sich, was sie tun müssen, um nach wie vor sicher verschlüsselte Mails versenden zu können. Wir wissen, dass Angreifer unter Umständen verschlüsselte Mails abfangen und manipulieren können, um an den entschlüsselten Inhalt der Mails – oder zumindest Teile davon – zu gelangen. Die als Efail bekannt gewordene Schwachstelle betrifft dabei die meisten gängigen Mail-Programme, die HTML-E-Mails empfangen und darstellen können wenigstens in Teilen. Um sich und seine Geheimnisse zu schützen, gibt es mehrere Möglichkeiten.

Ein guter Anfang ist damit gemacht, das Anzeigen externer Bilder in Mails zu unterbinden. Das ist sowieso zum Schutz der Privatsphäre, auch bei unverschlüsselten Mails, immer empfehlenswert. Wer damit Leben kann, Mails als Plaintext ohne HTML angezeigt zu bekommen, sollte das Anzeigen von HTML in Mails deaktivieren und ist damit nach aktuellem Kenntnisstand erst mal sicher.
Mail-Programme und Plug-ins aktualisieren

Laut der Veröffentlichungen der Efail-Entdecker ist S/MIME weitaus angeschlagener als PGP. Eigentlich sind alle von ihnen getesteten Programme, die HTML und S/MIME unterstützen, betroffen. Beim Einsatz von PGP sind vor allem Thunderbird (mit Enigmail), Outlook 2007, Apple Mail und Airmail betroffen.

Anwender sollten jetzt vor allem ihre Mailprogramme und Verschlüsselungs-Plug-ins aktualisieren. Die Enigmail-Entwickler empfahlen auf Nachfrage von heise online, mindestens auf Version 2.0 des Plug-ins zu aktualisieren, in dem die Efail-Lücken bereits geschlossen wurden. Nutzer mit aktuellen Thunderbird- und GPG-Versionen sollten dieses Update über die automatische Update-Funktion des Plug-ins bereits erhalten haben. Thunderbird hat mit Version 52.7 fast alle der Sicherheitslücken geschlossen, Version 52.8 verspricht weitere Fixes. Bis dahin empfehlen die Entwickler, Mails nur als Plaintext anzuzeigen.

Sichere PGP-Clients

Die PGP-fähigen Mailprogramme K-9 Mail und Delta.chat für Android waren nicht von den Lücken betroffen. Das teilten deren Entwickler auf der Mailingliste des PGP-Werkzeugs autocrypt mit. Man beobachte die Situation allerdings aufmerksam und werde auch diese Apps updaten, falls das in Zukunft nötig wird. Die Entwickler wollen also nicht ausschließen, dass nicht doch noch Wege entdeckt werden, wie man die Efail-Schwachstellen mit ihren Apps ausnutzen kann.

Die Programme des pEp-Projektes sind ebenfalls nicht angreifbar, da sie aus Sicherheitsgründen das Nachladen von externen Bildern deaktiviert haben. Wie uns die Entwickler mitteilten, konnten sie Angriffe auf Efail-Angriffe auf pEp for Outlook nicht reproduzieren.

Grundsätzlich lassen sich alle Risiken nur mit Veränderungen an den zugrundeliegenden Protokollen für PGP und S/MIME ausräumen. Die Protokolle müssen besser die Integrität der verschlüsselten Mails sicherstellen, damit Angreifer diese nicht auf dem Weg zum Empfänger manipulieren können. Bis solche grundlegenden Änderungen greifen, wird allerdings noch einige Zeit ins Land gehen.

Mails extern entschlüsseln, HTML abschalten

Am sichersten ist es, verschlüsselte Mails nicht im Mail-Client zu entschlüsseln. Die Entdecker der Efail-Lücke empfehlen, den verschlüsselten Ciphertext aus der Mail zu exportieren und in einem eigenständigen Programm (etwa der Kommandozeilen-Ausgabe von GPG) zu entschlüsseln. Auf diesem Wege kann ein eventuell anfälliges Mailprogramm oder dessen Plug-Ins den geheimen Inhalt der Nachricht nicht an den Angreifer im Web verraten. Allerdings ist das ein sehr umständlicher und für die meisten Endbenutzer wohl unakzeptabler Ansatz.

Wer seine Mails trotzdem im Mailprogramm entschlüsseln will oder muss, der schaltet am besten den Empfang von HTML-Mails ab und lässt alle Nachrichten als Plaintext darstellen. Das stopft zwar nicht alle möglichen Schwachstellen, sollte momentan allerdings so gut wie alle praktischen Angriffe verhindern. Entsprechend sind auch Plaintext-Only-Clients wie Claws oder Mutt nicht betroffen.

Auch die meisten Web-Apps scheinen sicher zu sein. Eine Ausnahme bildet Gmail mit S/MIME und auch der Mailer Horde ist für GPG-Angriffe und, falls der Nutzer mithilft, für die S/MIME-Schwachstellen verwundbar. Roundcube scheint unter bestimmten Umständen für PGP-Lücken anfällig zu sein. Es bleibt zu hoffen, dass die Anbieter die verbliebenen Lücken bald schließen. Admins von Webmail-Systemen sollten hier auf jeden Fall ein wachsames Auge auf Updates halten und diese zeitnah einspielen.

 

Quelle: heise.de

Autor: Fabian A. Scherschel

Facebook und der Datenskandal – Wie schütze ich mich effektiv vor Tracking?

Der Skandal um den Mißbrauch von Facebookprofilen geistert nunmehr schon seit mehreren Wochen durch die Medien. Was das heißt, beschreibe ich in diesem Artikel.

Böses Google - Big Brother is watching you
Böses Google – Big Brother is watching you

Googles Tracking

Es war schon ein Hype, der an der Schwelle des 20. Jahrhunderts mit einer neuen Suchmaschine aus Silikon Valley losgetreten wurde. Auch ein neues soziales Netzwerk, was um 2005 an den Start ging wurde hoch gelobt. Alles war neu… und besser… und schneller.
Die Suchmaschine, Google genannt, lieferte auf Stichworte hin bessere Treffer, war schneller und krempelte den Suchvorgang im Netz um. Es wurden zur Suche nicht nur Schlagworte verwendet, die der Seitenbetreiber angeben konnte. Es wurden sämtliche Verlinkungen auf die Seite relevant, aber auch wie gut andere Seiten besucht sind, die auf die eigene Seite verlinken.

Content – also der Inhalt der eigenen Seite – wurde immer wichtiger und wie oft spezielle Schlüsselwörter (die der geneigte User in die Suchzeile eingibt) im Inhalt vorkommen. Spezielle Wörter – sogenannte Adwords – kann man beim Suchmaschinenbetreiber gegen Bares erwerben.
Für Webmaster und Seitenbetreiber bietet Google auch umfangreiche Analysetools an, die Aufschluss über ds Nutzerverhalten auf der Webseite geben und was den User interesiert, das sogenannte Google Analytics.

Sucheingaben und das, was der Nutzer in der Suche angeht, interessiert Google. Das ganze wird angeblich anonymisiert gespeichert. Hat man bei Google Plus (G+) ein Profil mit Namen, Adresse, Vorlieben und anderen Daten gespeichert, werden Suchanfragen personalisiert, was die Daten für Google noch wertvoller macht.
Dann sind da noch die ganzen Android-Smartphones. Auf denen ist Google omnipräsent, ohne Google läuft da recht wenig. Neben GPS-Trackern (für Navi) befinden sich noch eine ganze Menge andere Sensoren im Handy. Zudem gibt man seinem Smartphone doch eine Menge vertraulicher Daten in den Speicher – Kontaktdaten, Nutzungsdaten auch bei der Navigation. Aber auch andere Apps nehmen sich einige Rechte heraus, die sie eigentlich nicht brauchen. So bekommt Google noch mehr Daten, auch wenn man nicht am heimischen PC sitzt.

Daumen nach unten für Facebook
Daumen nach unten für Facebook

Facebooks Datensammelei

Facebook spielt in einer ähnlichen Liga wie Google. Hier wird man explizit aufgefordert ein Profil anzulegen, um sich mit anderen Leuten, sogenannte Freunde, zu vernetzen. In Profil gibt man schon allerhand von sich preis, neben Name, Anschrift, Interessen und vieles mehr. Auch wenn man spezielle Webseiten „liked“ wie es im Facebookjargon heißt, weiß Facebook, was einem gefällt.

Vom surfen im Internet kennt jeder die kleinen Facebooksymbole – ein Daumen nach oben – mit denen man Webseiten mit einem Klick in seinem Facebook-Profil verlinken kann. Auch ohne ein solches Profil fließen schon Daten über die besuchten Seiten, IP Adresse vom Rechner, aber auch Infos zu installierter Software (Betriebssystem, Browser etc.) zu Facebook ab. Ist man beim sozialen Netzwerk registriert, hat man also ein Profil dort, werden die Surfdaten mit dem Profi verknüpft – auch wenn man sich für den Moment bei Facebook ausgeloggt hat. Ähnlich wie Google sammelt Facebook die Daten – wenn sie durch ein Profil personalisiert sind werden diese um so wertvoller – und verwurstelt diese zu personalisierter Werbung.

Kurz zusammengefasst: Jeder Klick wird gespeichert und wenn das still und heimlich im Hintergrund passiert, nennt man das Tracking. Nutzt man die Services von Facebook, Google und co, so spielt man denen zusätzlich in die Hände. Man kommt aber weder als normaler Nutzer oder als Webseitenbetreiber nicht drum herum, die Services aus Mangel an sinnvollen Alternativen in irgendeiner Form zu nutzen. Man kann ungewollten Datenabfluss aber eindämmen, es gibt dafür mehr oder minder effektive Tools.

Gegenmaßnahmen zur Datensammlung
Gegenmaßnahmen zur Datensammlung

Gegenmaßnahmen

Abwehrmaßnahmen für den Einsteiger

Fangen wir beim Browser auf dem Computer an.
Und zwar hat die Mozilla-Stiftung Ende März ein neues Plugin für den Firefox vorgestellt, was einen Tab mit geöffnetem Facebook in einem Container isolieren soll. Hat man nebenher weitere Internetseiten offen, beispielsweise mit dem angesprochenem Daumensymbol, so werden keine weiteren Daten (wie besuchte Webseite, Software etc.) an Facebook übermittelt. Dieses Plugin gibt es für jede Firefoxvariante. Nutzt man im Browser noch Plugins uBlock und NoScipt, fließen Daten auch nicht zu anderen Werbenetzwerken ab.

Um das besagte Plugin zu installieren einfach im AddOn Manager nach dem Facebook Container von Mozilla suchen. Mittlerweile gibt es einen Fork von diesem AddOn mit dem sprechendem Namen Google Container, der aber von einem anderen Entwickler betreut wird und nicht von Mozilla. Dieses Addon arbeitet im Prinzip genau so wie das Offizielle Anti-Facebook Plugin von Mozilla.

Weiterhin gibt es noch Werbeblocker wie AdBlock oder uBlock für den Firefox zu installieren. Beide Addons sind für sämtliche Firefoxvarianten erhältlich und das kostenlos. Diese Addons blockieren recht zuverlässig Werbung beim Surfen und verhindern somit auch das ungewollte Tracking.
Zudem bieten die hier vorgestellten Softwarelösungen auch einen gewissen Grundschutz vor Schädlingen wie Trojanern und Co, da viele dieser Schadprogramme auch über Werbenetzwerke verteilt werden. Allerdings greifen diese Softwarelösungen nur auf dem Rechner auf dem sie gerade eingesetzt werden. Smart-TV oder Daddelbox werden außen vorgelassen und können unerlaubt Werbung bekommen.

[Update] Die hier vorgestellten AddOns gibt es für Firefox und für Chrome.

Die Profiprivatisierung

Ich nutze für mich und mein Netzwerk allerdings die Profivariante. Auf einem Orange Pi – das ist ein kleiner Einplattinencomputer wie der Raspberry Pi – läuft eine PiHole-Installation.

„Was ist denn nun PiHole schon wieder?“

Das Internet arbeitet mit sogenannten Domains, wie www.medienspürnase.de. Gibt man diese Domain in seinem Browser ein, oder klickt man auf einen Link dazu, so sucht der Browser im Internet auf einem DNS-Server (DNS=Domain Name System) nach einer passenden IP Adresse dazu, zu der er dann die Verbindung aufbaut und sich die entsprechenden Daten abholt.

Allerdings besteht eine Internetseite aus vielen einzelnen Teilen – Texte, Bilder, Videos, Formulare, Facebooks Like-Buttons, Werbung und anderen Sachen. Oftmals sind Dinge wie Videos, Like Buttons und Werbung extern eingebettet. Das heißt, daß ein Video zum Beispiel bei Youtube liegt und mittels speziellem Link ein Player in die Webseite eingebettet wird, der das Video direkt auf der Webseite abspielt. Schon ein Besuch auf einer Seite, die ein solches Video eingebettet hat oder auf der ein Like-Button vorhanden ist, sendet an betreffende Betreiber (Facebook, Youtube…) ungewollt Informationen.

Werbung ist im Prinzip genauso eingebettet – das sind Links, die automatisch Inhalte aus Fremdquellen nachladen. Für jede besuchte Domain – die Medienspürnase, Youtube oder Werbedomains – macht der Browser immer vorher eine DNS Abfrage, nach der IP-Adresse.

Eine IP-Adresse ist im Prinzip mit einer Telefonnumer vergleichbar, die einem bestimmten Festnetzanschluß oder einem Handy zugeordnet ist. So besitzt jeder Computer, jeder Server (und damit jeder Webdienst) und jedes netzwerkfähige Gerät eine eigene IP-Adresse, die nur ihm gehört. Das ist wichtig, damit die einzelnen Geräte untereinander kommunizieren können und Daten austauschen können.

Und genau da greift PiHole ein. PiHole ist im Prinzip nichts anderes als ein DNS-Server, nur mit der Besonderheit, daß der zum Ersten im eigenem Netzwerk steht und zum zweiten mit Blacklisting und Whitelisting funktioniert. PiHole ist mit dem heimischen Internetrouter verbunden. Das darf via Kabel (Ethernet, LAN) oder kabellos (W-LAN) passieren. Jede Anfrage von einem im Netzwerk hängendem Gerät läuft nun über unser PiHole. PiHole ermittelt jetzt nun die IP-Adresse beispielsweise von www.Medienspürnase.de, blättert aber in den angegebenen Listen nach, ob die Domain durchgelassen werden darf oder auch nicht. Das geschieht mit jeder gleichgearteten Anfrage, genauso bei Facebook, Google oder Werbung. Unerwünschtes wird blockiert und erwünschte Inhalte dürfen passieren.

PiHole ist zudem recht flexibel zu konfigurieren, so daß der Schutz von Paranoia (alles wird blockiert und muß manuell freigeschaltet werden) bis leicht (nur einige Sachen werden blockiert) eingestellt werden kann. Das will heißen, der geneigte Nutzer kann blockieren was er will, oder über die Whitelists alles, was er braucht wieder freischalten.

Ich schrieb ja, daß PiHole die Blockierlisten namhafter Adblock-Plugins von Browsern nutzt. PiHole wendet diese Blockierlisten auf alle Geräte, die ihren Traffic ins Internet haben, an. Zudem ist es eine zentralisierte Lösung, die leicht zu warten ist und auch keine hohen Hardwareanforderungen stellt. Es reicht schon wenn die auf einem Einplatinenrechner mit 10 Watt Stromverbrauch läuft.

[Update] In Deutschland und der EU sind die Datenschutzanforderungen sehr hoch angesiedelt, leider sind Kontrollen durch betreffende Behörden rar. Dafür allerdings gibt es eine reihe Anwälte, die sich selbst mit Abmahnungen bereichern, werden irgendwelche (vermeintliche) Verstöße aufgedeckt oder angezeigt. Die meisten größeren Webseiten und Portale in Deutschland wissen selbst um die Gefahr durch dubiose Anwälte oder den Staat abgestraft zu werden.

Deshalb setzen immer mehr Webseitenbetreiber auf Datenschutzkonforme Lösungen, beispielsweise bei den Like-Buttons von Facebook und co. Ich schrieb bereits vor geraumer Zeit darüber, daß es sogenannte Zwei-Klick Lösungen für alle erdenklichen Webseiten gibt. Diese Buttons haben den Vorteil, daß man die Like-Funktion mit dem ersten Klick aktiviert und beim zweiten Klick den Link sendet.

Think Social – Medienspürnase goes to Facebook, Twitter and Google+

Mittlerweile bin ich schon seit geraumer Zeit noch einen Schritt weiter gegangen. Der Heise Verlag bietet für WordPress und andere Contant Managementsysteme ein Plugin namens Shariff an. Das platziert die Like-Buttons als simplen HTML-Link, der mit stinknormalem CSS gestaltet wurde unter die Artikel. Reines HTML und CSS sendet von sich aus nichts, nur nach einem Klick auf den Button öffnet sich ein Anmeldefenster für das besuchte soziale Netzwerk zum teilen.

Die Medienspürnase wandelt sich

Fazit

Der Aufwand um die eigenen Daten besser zu Schützen bleibt auf einem erfreulich niedrigem Niveau, gerade bei den Addons für die gängigsten Browser. Hier punkten Firefox und Chrome gegenüber Internetexplorer und Edge. Die Addons für die Browser aktualisieren sich in gewissen Abständen automatisch und ohne den Nutzer zu belästigen.
Bei PiHole dauert das Aufsetzen schon ein wenig länger. Man benötigt eine gewisse Hardware und man ist da schon mit 40 bis 50 Euro plus Stromkosten dabei. Die Einarbeitung und Konfiguration dauert hier natürlich, wenn es aber läuft bietet es einen zuverlässigen Schutz. Wenn es optimal konfiguriert ist, zieht es sogar Updates von selbest. Der Aufwand wird der Laufzeit geringer. Anfangs ist das System auf sein Surfverhalten zu trainieren, denn einige Seiten, die man gern besuchen würde, landen vielleicht schon in der Blackliste, von der man sie in die eigene Whiteliste herausholen muß.
Beide Maßnahmen zu kombinieren ist recht Sinnvoll. Nutzt man PiHole, so können die Ad-Blocker und Container Plugins noch störende Platzhalter beim Browser entfernen. Vielleicht arbeiten dann bei euch die Sachen so miteinander, daß diese sich ergänzen?

Links

  1. Pi Hol – offizielle Seite
  2. Facebook Container für Firefox
  3. Google Container für Firefox

Erpressungstrojaner als Word-Dokument getarnt

VorsichtWir leben wieder einmal in Zeiten, in denen man allgemein den Dateianeghängen in den Mails mißtrauen sollte. In letzter Zeit häufen sich die Vorfälle, in denen präparierte Word-Dateien Computer infizieren. Die aktuelle Welle ist sogar bis ins Innenministerium von NRW vorgedrungen.

 

Bei Dateianhängen der neuesten Mails sollte man besonders vorsichtig sein, auch wenn die Absendeadresse von einem Bekannten stammt. Aktuell rollt eine Viren-Welle durch das Internet, bei der die Schädlinge – in erster Linie Verschlüsselungstrojaner – mit auf den ersten Blick harmlosen Word-Dokumenten (.doc) oder Zip-Dateien (.zip) daherkommen.

Die Word-Dateien weisen gefährliche Makros auf und die Archive enthalten bösartige ausführbare Dateien (.exe) oder JavaScript (.js). Auf JavaScript setzen die Angreifer, da dieses von vielen Mailservern nicht blockiert wird. Von der Viren-Welle sind in erster Linie Windows-Nutzer betroffen.

Bis zur Inbfektion sind allerdings mehrere Handgriffe notwendig. Beim Empfang einer Mail mit entsprechendem Anhang passiert ersteinmal gar nichts. Öffnet der Empfänger den Anhang, kann dieser eine bösartige ausführbarde Datei starten, die sich im System einnistet. Versteckt sich der Schadcode in einem Zip-Archiv, muß man dieses erst öffnen und die entpackte Datei ausführen. Es sind also mehrere Schritte nötig um die Infektion einzuleiten.

Die Makros in einer Word-Datei versuchen beim Öffnen der Datei Schadsoftware auf Computer zu laden. Derartige Makro-Viren galten eigentlich als quasi ausgestorben, doch vor einigen Monaten tauchte derartige Malware wieder auf. Die Makros in einer Word-Datei versuchen beim Öffnen der Datei Schadsoftware auf Computer zu laden. Derartige Makro-Viren galten eigentlich als quasi ausgestorben, doch vor einigen Monaten tauchte derartige Malware wieder auf. Da die Ganoven ihre Malware anscheinend regelmäßig warten, kommen die Anbieter von Antiviren-Anwendungen nicht hinterher, denn Leser von heise online berichten, dass ihre Virenscanner oft nicht anspringen.

Mittlerweile häufen sich die Berichte, daß Nutzer mittlerweile auch von Verwandten und Bekannten Mails mit schädlichem Dateianhang bekommen haben. Den Anhang sollte man bei bekanntem Absender nicht abnicken, sondern vorher ersteinmal nachfragen, ob der von der Mail auch etwas weis. Denn oft genug nutzen kriminelle Elemente gekaperte Mail-Accounts für ihre Zwecke und kopieren das Adressbuch des übernommenen Accounst gleich mit.

Erschreckend dabei ist, daß sich die Angreifer immer plausiblere Formulierungen einfallen lassen, damit der Empfänger den infizierten Dateianhang öffnet.

Wenn von einer bekannten Adresse Dateien versendet werden, fragt einfach beim Versender nach, was das ist. Weiß er nichts von der Mail, dann ist definitiv ein Trojaner drin. In dem Fall, sollte der Bekannte sein Passwort zu seinem Mailaccount sofort ändern.

Vorsicht vor extrem gut gemachten Phishing-E-Mails
Auch aktuelle Phishing-E-Mails werden immer perfider und selbst versierte und skeptische Internet-Anwender können auf die vermeintliche PayPal-Buchungen oder Amazon-Warnungen vor „ungewöhnlichen Logins“ hereinfallen.

In diesem Fall sollte man immer die URL, zu dem der Link aus einer Phishing-E-Mail führt, untersuchen, denn etwa

sicherheitscenter-9830.amazon-daten-updates.ru

gehört nicht zur Amazon-Domain.

Verschlüsselungstrojaner im Innenministerium

Im Zug der aktuellen Viren-Welle sorgen vor allem Verschlüsselungstrojaner für Frust. So einen hat sich auch das nordrhein-westfälische Innenministerium Mitte dieser Woche eingefangen und verschiedene Computer in der Verwaltung vorsorglich abgeschaltet. Sicherheitsrelevante Systeme, etwa von der Polizei, sind aber nicht betroffen, berichtet der WDR.

schaedlich
schaedlich

Den eigenen Blog rechtssicher gestalten

Manch ein Hobbyblogger wird sich doch hin und wieder die Frage stellen, wo denn die rechtlichen Grenzen liegen, wenn er denn eine eigene Website oder ein eigenes Blog betreibt. Hier habe ich ein paar Fragen und Antworten zusammengestellt, die für Blogger recht interessant sind. Allerdings ersetzen diese Ausführungen keine Beratung bei einem Anwalt oder anderem Spezialisten.

 

Impressumspflicht

Frage: Ich habe ein privates Blog ohne Einnahmen. Bin ich trotzdem verpflichtet ein Impressum vorzuhalten?

Antwort: Paragraf 55 des Rundfunkstaatsvertrages legt fest, daß Angebote, die „ausschließlich persönlichen oder familiären Zwecken dienen“ keine Anbieterkennzeichnung benötigen. Wer also zum Beispiel ein Blog betreibt, in dem er lediglich eigene Katzenbilder präsentiert, braucht kein Impressum, wenn er darauf keine Werbung schaltet. Anders sieht es aus, wenn ein professioneller Züchter auf den Bildern seine schönsten Zuchterfolge darstellen will. Selbst wenn man die Tiere nicht unmittelbar über die Website erwerben kann, verbindet er mit der Darstellung ein werbendes und damit wirtschaftliches Interesse. Es handelt sich dann nach Paragraf 5 Telemediengesetz um „geschäftsmäßige, in der Regel gegen Entgelt angebotene Telemedien“. Diese gesetzgeberisch völlig misslungene Formulierung meint damit nicht etwa Websites, die eine Vergütung für ihre Nutzung verlangen, sondern alle Angebote, die den wirtschaftlichen Interessen des Betreibers oder Dritter dienen. Im Zweifelsfall sollte man aber immer ein Impressum bereithalten, meist reicht es aus, eine Kontaktperson mit Telefon/Handy und Mailadresse dort zu benennen.

Anzeigen kennzeichnen
Frage: Inwieweit muss ich „Sponsored Postings“ kennzeichnen?
Antwort: Der Begriff der Werbung geht im juristischen Kontext sehr weit. Darunter fallen auch alle Arten von bezahlten Postings oder native Advertising. Soweit die Gefahr besteht, dass der Seitenbesucher Werbung nicht als solche erkennt, muss diese deutlich als Werbung oder Ähnliches gekennzeichnet sein, zum Beispiel mit einem deutlichen sichtbaren Hinweis „Anzeige“.

 

„Geschäftlicher Verkehr“
Frage: Handelt man kommerziell, wenn man Werbung oder Affiliate-Links zur Finanzierung einblendet?
Antwort: Das Gesetz spricht nicht von kommerziellem Handeln, sondern vom Agieren „im geschäftlichen Verkehr“. Hierzu zählen grundsätzlich alle Handlungen, die einem beliebigen eigenen oder fremden Geschäftszweck dienen. Im Gegensatz dazu stehen rein private, wissenschaftliche, politische und amtliche Handlungen. Schaltet man Banner auf seiner Website oder baut bezahlte Links ein, so entsteht dadurch ein Handeln im geschäftlichen Verkehr. Dies hat neben einer Impressumspflicht auch die heikle Nebenfolge, dass auf solche Websites unter anderem das Wettbewerbs- und Markenrecht anwendbar sind. Letztlich erhöht sich für den Betreiber das Risiko einer kostenintensiven Abmahnung um ein Vielfaches.

 

Haftung ab Kenntnis
Frage: Hafte ich für Kommentare von anderen auf meiner Seite, wenn diese auf illegale Websites hinweisen oder Beleidigungen aussprechen?
Antwort: Das Telemediengesetz (TMG), das die Haftung im Internet regelt, sieht in Paragraf 7 vor, dass ein Website-Betreiber nicht dazu verpflichtet ist, die Postings von Dritten zu überwachen, also zum Beispiel Kommentare in seinem Blog. Das gilt für private ebenso wie für geschäftliche Seiten. Anders sieht es aus, wenn der Anbieter Kenntnis von derartigem Inhalt erhält, zum Beispiel durch einen gezielten Hinweis. In diesem Fall muss er nach Paragraf 10 TMG unverzüglich tätig werden, „um die Information zu entfernen oder den Zugang zu ihr zu sperren“. Ansonsten riskiert er, für die Aussage des Dritten genauso zu haften wie für eigene Beiträge. Nicht ausdrücklich geregelt ist die Haftung für Links, die Dritte in Blog-Kommentaren posten. Es ist aber davon auszugehen, dass man auch hier erst ab Kenntnis haftet.

 

Grenzen des Zitatrechts
Frage: Auf einer Seite habe ich tolle Aussagen gefunden, die ich komplett, aber zu – sammen mit einem Kommentar von mir veröffentlichenmöchte. Darf ich das?
Antwort: Das Zitatrecht ist wohl die am meisten missverstandene Vorschrift des deutschen Urheberrechts. Richtig ist, dass durch diese Regelung in Paragraf 51 des Urheberrechtsgesetzes (UrhG) grundsätzlich die teilweise oder komplette Übernahme eines geschützten Werks erlaubt wird. Allerdings sind die Voraussetzungen sehr eng gesteckt. Es reicht insbesondere nicht, nur die Quelle anzugeben, wie manche vermuten. Dazu ist man zwar durchaus verpflichtet. Allerdings darf man nach dem Zitatrecht fremde Inhalte nur dann verwenden, wenn sie eine Belegfunktion aufweisen und es einen inneren Zusammenhang zwischen Werk und Zitat gibt. Der Artikel muss dementsprechend so geschrieben sein, dass er ohne den Bezug zum Zitat nicht funktionieren würde, da er sich inhaltlich entscheidend damit auseinandersetzt und den übernommenen Teil als Beleg für seine eigenen Aussagen nutzt. Ein Zitat ist unzulässig, wenn es nur der Ausschmückung oder Bebilderung eines eigenen Beitrags dient. Einen Artikel aus einer Zeitschrift zu übernehmen und dann einfach etwas im Sinne von „Stimmt!“ darunterzuschreiben, ist unzulässig. Bei Bildern ist es darüber hinaus entscheidend, dass das verwendete Bild nicht austauschbar ist. Bei einem Artikel über eine neue ICE-Generation ist die Übernahme eines beliebigen Fotos nicht vom Zitatrecht gedeckt. Anders sieht es aus, wenn man etwa einen Artikel über eine berühmte Aufnahme eines bestimmten Fotografen schreibt. Dann darf man das Bild natürlich auch verwenden. Insgesamt sind die Grenzen für Zitate eng gesteckt. In der Praxis gilt für Texte: Übernehmen Sie so wenig wie möglich. Ein oder maximal zwei kurze Sätze fallen meist noch nicht in den Schutzbereich des Urheberrechts, sodass man sie problemlos übernehmen darf.

 

Tracking nur mit Einwilligung
Frage: Ich tracke meine Besucher mit Google Analytics und Piwik. Inwieweit muss ich sie darüber unterrichten?
Antwort: Wer zur Erstellung von Statistiken personenbezogene Daten seiner Nutzer verwenden will, braucht dafür vorab die explizite Erlaubnis der User. Hierzu zählen auch die IP-Adressen. Doch auch wer nur pseudonyme Daten erfassen will, muss die Besucher darüber aufklären und ihnen eine Widerspruchsmöglichkeit geben. Dies ergibt sich auch aus Paragraf 15 TMG. Google Analytics bietet eine datenschutzfreundliche Variante, die ähnlich wie Piwik mit gekürzten IP-Adressen arbeitet. Allerdings erstellen beide auch pseudonyme Nutzerprofile. Daher hat das Landgericht Frankfurt/Main in einem Urteil von Februar 2014 explizit entschieden, dass ein abmahnbarer Datenschutzverstoß vorliegt, wenn Piwik ohne die Verwendung einer Datenschutzerklärung eingesetzt wird (Az. 3-10 O 86/12). Gleiches gilt für Google Analytics, das bereits einen entsprechenden Passus für den Einsatz auf Websites anbietet.

Phishing im Namen Amazons

Wieder einmal machen Phishingmails die Runde, dieses mal wieder im Namen von Amazon. Auffällig dabei ist wieder die Mailadresse des Absenders. Es ist keine Mail von Amazon, das erkennt man schon an der Erweiterung hinter dem @-Zeichen. Ein genauerer Blick in den Header der Mail brachte keine klaren Ergebnisse über die Herkunft. Laut Utrace kam die Mail aus einem Ort auf halben Wege zwischen Marburg und Kassel – von einer deutschen Firma – was aber nicht viel heißen mag, denn deren Server können unwissentlich gekapert worden sein und für Spam missbraucht werden.

Beunruhigender ist die Tatsache, daß man wirklich mit Vor- und Nachnamen angesprochen wird und eine Mailadresse verwendet wird, die schon lang nicht mehr bei Amazon registriert ist. Vielleicht wurde der Provider gehackt. Aus technischen Gründen habe ich die Mail hier anonymisiert. Auffällig ist diesmal, daß die Mail nur ganz simpel gestaltet ist. Schwarzer Text auf weißem Grund ohne irgendwelche Firmenlogos und Farben von Amazon.

Erwähnenswert ist noch der Anhang. Finger weg davon, es ist ein Schädling – digitale Influenza ist garantiert!

Sachbearbeiter Amazon GmbH < *****@webholic.de>
Von: Sachbearbeiter Amazon GmbH < *****@webholic.de>
Ordner: ********@gmx.de/Posteingang
Datum: Thu, 12 Mar 2015 11:03:00 GMT
Betreff: Petra Mustermann Ihr gespeichertes Konto ist nicht hinreichend gedeckt
Ein Anhang: Forderung an Petra Mustermann 12.03.2015 – Sachbearbeiter Amazon GmbH.zip (120 KB)

Sehr geehrte Kundin Petra Mustermann,

Ihr Kreditinstitut hat die Lastschrift zurück gebucht. Sie haben eine nicht bezahlte Forderung bei Amazon GmbH.

Aufgrund des bestehenden Zahlungsrückstands sind Sie gebunden außerdem, die durch unsere Beauftragung entstandenen Kosten von 45,63 Euro zu tragen. Wir erwarten die Überweisung inklusive der Mahnkosten bis spätestens 17.03.2015 auf unser Bankkonto.

Es erfolgt keine weitere Erinnerung oder Mahnung. Nach Ablauf der Frist wird die Angelegenheit dem Gericht und der Schufa übergeben. Die vollständige Forderungsausstellung, der Sie alle Einzelpositionen entnehmen können, ist beigefügt. Für Fragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

In Vollmacht unseren Mandanten fordern wir Sie auf, die noch offene Forderung schnellstens zu bezahlen.

Mit verbindlichen Grüßen

Sachbearbeiter Brandt Alexander

Wie Samsungs Fernseher zum Spion im Wohnzimmer werden

Gebogen und Hellhörig - Foto: Samsung
Gebogen und Hellhörig – Foto: Samsung

Netzpolitik.org berichtete neuerdings, daß Besitzer von Samsungs Fernsehgeräten mit Sprachsteuerung nichts privates mehr sagen dürften. Selbst Samsung weißt in den Endbenutzer-Lizenzvereinbarungen (Eula) darauf hin, daß gesprochenes über die eingebaute Sprachsteuerung mitgeschnitten werden könnte und an die Server von Drittanbietern gesendet werden kann. Diese Server dienen dazu, die gesprochenen Kommandos zu verarbeiten, auszuwerden und in Schaltbefehle für den Fensher umzusetzen.

In der Eula heißt es wortgenau:

“Please be aware that if your spoken words include personal or other sensitive information, that information will be among the data captured and transmitted to a third party through your use of Voice Recognition.” (Seien Sie sich bitte bewußt, dass wenn das Gesagte persönliche oder sensible Informationen enthält, diese Information Teil der erfassten Daten ist und durch die Spracherkennung an Drittanbieter weitergegeben wird.)

In einem Statement von Samsung heißt es, daß dieses nur gilt, wenn die Sprachsteuerung aktiviert ist.

Links und Quellen

  1. Netzpolitik.org -Samsung warnt…
  2. EULA des Konzern Samsung

Mojang bietet Hilfe für betroffene Minecraftaccounts an

Minecraft Dorf
Minecraft Dorf

Vorgestern berichtete ich über 1800 gehackte und kompromitierte Minecraft-Accounts. Mojang will allen betroffenen Spielern mit Rat und Tat unter die Arme greifen, aber mittlerweile sind weitere Zugangsdaten im Netz aufgetaucht.

Betroffene Spieler sollen den Support der Firma kontaktieren (Links dazu wie immer am Ende des Artikels) – nach Angaben von Mojang geht das sogar auf Deutsch. Vorgestern sind die Zugangsdaten von 1800 Minecraft-Accounts öffentlich geworden, weitere will man inzwischen im Netz gesichtet haben. Mittlerweile melden sich dazu immer mehr Nutzer die Listen mit erbeuteten Daten gesehen haben wollen. Bei manchen dazu handelt es schlichtweg um Doppelungen, andere scheinen neue Login-Daten gefunden zu haben.

Aber momentan ist es fraglich, ob ein Großteil der betroffenen Nutzer überhaupt weiß, daß ihr Zugang kompromitiert wurde. Mittlerweile will man sämtliche Nutzer aus der bekannt gewordenen Liste via E-Mail informiert haben, aber es befanden sich auch alte Minecraft.net Konten, die nicht mit einer Mail-Adresse verknüpft waren.

Wer auf Nummer sicher gehen will, der kann natürlich sein Passwort ändern. Besonders dringlich ist es, wenn man das Passwort auch für andere Webseiten und Dienste (wie Banking, Paypal, Mailadresse etc) verwendet hat.

Links

  1. Mojang Support-Seite für betroffene Accounts
  2. Sicherheitsnotiz – 1800 gehackte Accounts beim beliebten Minecraft

Sicherheitsnotiz – 1800 gehackte Accounts beim beliebten Minecraft

Minecraft gehackt

Heise Security hat berichtet, daß im Netz derzeit eine lange Liste mit gehackten Minecraft-Zugangsdaten kursiert. Wie die Daten erbeutet wurden, läßt sich derzeit noch nicht sagen.

Die Security Abteilung vom Heise-Verlag hat heute im Netz eine Liste von 1800 Zugangsdaten des Open-World-Spiels Minecraft gesichtet. Diese enthalten Mailadresse und das zugehörige Passwort zum Spiel und das alles ganz unverschlüsselt im Klartext. Unter den Accounts befinden sich einige Daten, die sich auch Nutzern aus Deutschland zuordnen lassen. Stichproben haben ergeben, daß die Daten aktuell und funktionsfähig sind. Wie die Daten abgegriffen wurden, ist derzeit noch unklar.

Was kann passieren?

Im Namen des des legitimen Account-Besitzers kann man die Vollversion des Spieles herunterladen und an Spielen auf Online-Servern mitmachen. Ferner kann man sich mit dem Login auf Minecraft.net und Mojang.com anmelden, sofern keine Sicherheitsfragen gesetzt wurden. Auch besteht die Gefahr von Passwortrecycling. Das heißt, daß es richtig gefährlich werden kann, wenn das gleiche Passswort bei Mailadresse, Onlinebanking-Accounts und bei Paypal genutzt wird. In diesem Fall kann sich der Angreifer mit dem erbeuteten Passwort fvonb einem Dienst zum anderen Hangeln.

Derzeit steht noch eine Stellungnahme von Microsoft aus, daß Mojang im Herbst von Microsoft übernommen wurde.

Sicherheitsnotiz – Kritische Sicherheitslücke im WordPress Downloadmanager

Seit Anfang Dezember ist eine kritische Sicherheitslücke im beliebten WordPress-Plugin Download Magager bekannt, die es sogar Script-Kiddies erlaubt ungepatchte Server zu kapern.

Ein offen im Internet verfügbares Script nutzt diese Lücke aus, um einen zusätzlichen Administratoraccount anzulegen. Wenn man zusätzlich Shell-Skripte bedienen kann, ist es sogar möglich, ungepatchte Server zu bedienen.

Von der Sicherheitslücke sind die Version 2.7.5 und älter vom Plugin Download Manage. Nutzt man eine dieser Versionen, sollte man schleunigst auf die aktuelle Version 2.7.81 updaten. Bei Updates vor der 2.6er Version gibt es allerdings einiges zu beachten. Mehr dazu auf dem Link am Ende des Artikels.

Links

Download Manager Update auf 2.6 – Hürden

Die Medienspürnase wandelt sich

Der Advent ist seit gestern vorbei, die Weihnachtsfeiertage und der Jahreswechsel rücken erstaunlich schnell näher. Im NSA-Skandal tut sich indes erstaunlich wenig, was die Aufklärung des selbigen betrifft, aber seitens amerikanischer, englischer und deutscher Geheimdienste sehr viel, die immer mehr Macht an sich reisen. Daher hat es ein paar Änderungen bei der Medienspürnase gegeben, als kleine Überraschung sozusagen.

Was genau hat sich getan?

Es wurde einiges für die Sicherheit und den Komfort für euch Leser und Leserinnen getan. Einige Plugins wurden ausgetauscht und ein SSL Zertifikat für die Transportverschlüsselung von Daten und Inhalten wurde aufgesetzt. Neben dem Zertifiakt wurde noch das Social-Media-Plugin ausgetauscht. Manch einer wird sich noch an den Artikel Think Social und die Zwei-Klick Methode erinnern. Dieses Plugin wurde durch das Plugin Shariff ersetzt. Für Leser/innen, die schon immer nach ähnlichen Inhalten zum gerade gelesenen Artikel suchen, habe ich das Plugin Yet Another Related Posts Plugin installiert. YARPP schlägt ähnliche Artikel am Ende eines jeden Beitrages vor und verlinkt diese als Relevant. Allerdings mußte das Plugin Print Friendly aus Kompatibiltätsgründen entfernt werden. Print Friendly war dazu gedacht, Artikel via Mail zu teilen, Inhalte als PDF abzulegen und zu drucken. Mit dem neuen SSL-Zertifikat kam es da zu Störungen.

Warum genau diese Änderungen?

Das SSL-Zertifikat Der Größte Nutzen der Änderungen liegt ersteinmal in der Sicherheit. Das SSL-Zertifikat verschlüsselt alle gesendeten und empfangenen Daten auf dem Weg zwischen Server und Browser. Dritte, die sich also am Transportweg durch das Internet zwischenschalten, haben es somit schwerer irgendwelche Daten abzufangen und zu verändern. Es kommt also genau das beim Empfänger an, was der Webhoster der Spürnase auch abgesendet hat… und anders herum eben. Weiterhin kann sich jede Leserin und jeder Leser darauf verlassen, daß er/sie bei der einzig echten Medienspürnase gelandet ist. Die verschlüsselte Verbindung erkennt man in der Adresszeile am Browser an einem Sicherheitsschloss und einem https:// vor der Domain. Ein Klick auf das Schloss bringt noch einige Infos zum Zertifikat zum Vorschein. SSL Zertifikat Zertifikatinfos Shariff-Plugin

Mehr Komfort und eine Verbesserung des Datenschutzes bringt das Plugin Shariff mit sich. Komfort und Sicherheit? Da gibt es keinen Haken. Leser brauchen jetzt nur noch ganz genau einen Klick statt wie bisher zwei, um Artikel auf einer gwünschten Social-Media-Plattform zu tauschen. Dennoch erhöht sich der Datenschutz noch einiges.

Was war! Beim alten 2-Klick verfahren, aktivierte man die Buttons und schon da wußten die sozialen Netzwerke, wo man sich gerade aufhielt. War man noch bei diesen angemeldet, so verknüpften diese die Daten mit den Sachen, die man bereits in Chronik und Profil eingegeben hat.

Was ist! Jetzt allerdings wurde eine bessere Methode entwickelt, um den Komfort zu erhöhen, die Datensicherheit noch besser zu gewährleisten. Man muß die Buttons nicht mehr aktivieren und von allein senden diese auch keinee Daten zu Facebook, Google und Co. Diese neuen Knöpfe bestehen aus einfachen HTML und CSS. Ein auf Javascript basierender Codeschnipsel auf dem Server der Medienspürnase dient als Vermittler zwischen den Netzwerken und den Lesern. Dieses Script wird erst dann aktiv, wenn man sich entschließt einen Beitrag zu teilen. Vorher werden absolut keine Daten von den Social-Media Plattformen gesammelt. Hier habe ich deutlich mehr Netzwerke freigeschaltet. Und eine Funktion aus dem verflossenem Print friendly bringt Shariff trotzdem noch mit. Hat man einen Mailer wie Thunderbird oder Outlook installiert, so kann man auch über seine eigene Mailadresse Artikel als E-Mail weiterempfehlen. Social Media Buttons Yet Another Related Posts

Dieses Plugin dient nur dem Komfort der Leserschaft. Ähnliche Beiträge, wie gerade gelesene, werden am Ende des Artikels als kurze Linkliste beigefügt. Das hat auch den Vorteil, daß ältere Beiträge nicht einfach ganz verschwinden. So wird der Suche nach ähnlichen Themen vorgebeugt. Diese Relevanten Artikel sind zur Ergänzung für deie abschließende Linkliste gedacht. Yet another Related Posts Plugin YARPP

Update 23.Dezember 2014 9 Uhr 45

Ich habe zwecks der SSL-Zertifikate noch ein bisschen recherchiert. Google bevorzugt SSL-Verschlüsselte Verbindung beim Ranking ein bisschen und liefert diese noch vor unverschlüsselten Seiten aus.

Links

  1. Download Shariff
  2. Yet another related Posts Plugin (YARRP) Download
  3. Print Friendly & PDF Plugin Download
  4. 2 Click Social Media Buttons Download

Sicherheitsnotiz – Schädling nutzt alte WordPress-Sicherheitslücke aus

SoakSoak-RU-Blacklisted
SoakSoak-RU-Blacklisted

Der Schädling namens SoakSoak hat hunderttausende Webseiten über das Plug-in Slider Revolution befallen und spioniert die Server aus. In einigen Fällen werden auch Besucher per Drive-By-Download infiziert.

Mittlerweile warnt man erneut vor einer bereits seit Monaten bekannten Sicherheitslücke im beliebten WordPress-Plugin Slider-Revolution. Mittlerweile wird die altbekannte Lücke von der Schadsoftware ausgenutzt. SoakSoak lädt ein bösartiges JavaScript von der Domain soaksoak.ru nach, was dem Schädling seinen Namen gab.  Der Code spät den Webserver aus und infiziert auch Besucher via Drive-by-Download. Google will nach eigenen Angaben bereits hunderttausend infizierte Seiten gesperrt haben.

Ein Update für Slider-Revolution gibt es bereits seit Februar diesen Jahres. Allerdings ist dieser Code auch in einer großen Anzahl von WordPress-Themes verbastelt und deren Nutzer scheinen sich dessen nicht immer bewußt zu sein.

Slider Revolution wird verwendet um Bilder in Teasern und Bilderstrecken rotieren zu lassen. Themes, die jetzt nach über einem dreiviertel Jahr noch diese Sicherheitslücke aufweisen, kann man nicht als gepflegt betrachten. Daher sollte man sich als WordPressnutzer überlegen, auf sichere Alternativen bei den Themes umzusteigen.

Ansonsten ist den Nutzern von Slider-Revolution empfohlen, schnellstens das Update auf Version 4.2 dieses Plugins zu installieren.

Die Firma Sucuri bietet einen einen kostenlosen Seiten-Scanner an. Alle wichtigen Links habe ich noch einmal am Artikelende zusammengefasst.

Links

  1. Warnung vor SoakSoak
  2. Sucuri – kostenloser Websitenscanner

Sicherheitsnotiz – Cross Site Scripting bei WordPress

WordpressAm Wochenende kam ein umfangreicheres Softwareupdate auf WordPress 4.0.1 heraus. Dieses Update behebt massive Sicherheitstechnische Lücken, gerade in den Versionen 3.0 bis 3.9.2 von WordPress. In diesen alten Versionen ist WordPress anfällig für Cross Site Scripting.

Was genau ist Cross Site Scripting eigentlich?

Beim Cross Site Scripting werden Sicherheitslücken in Webseiten und Contant Management Systemen (CMS) dahin ausgenutzt. Hierbei wird von außen, also vom Hackerschädlicher Code in eigentlich in Seiten eingepflanzt, denen die meisten Internetnutzer vertrauen. Dieser Code überträgt dann beim Ansurfen Computerschädlinge auf den Rechner, oder manipuliert den eingehenden und ausgehenden Netzwerkverkehr auf irgend einer Weise um den unbedarften Surfer Schaden zu zu fügen. Beispielsweise werden sensible Daten wie Passwörter und Anmelde-Daten bei Foren und dergleichen abgegriffen, was dann zum Identitätsdiebstahl führen kann.

Und was genau passiert bei WordPress?

Bei WordPress war es in den Versionen 3.0 bis 3.9.2 möglich, via Kommentarfunktion schädlichen Code auf Java-Script Basis einzufügen. Liest ein Moderator oder ein Administrator einer WordPress-Installation neu hinzugekommene Kommentare, war es möglich den Code auszuführen. Damit ist es möglich das Admin-Passwort zu ändern, andere Nutzerkonten anzulegen und bestehende zu sperren. Somit wäre der gesamte Blog von Fremden übernommen. Die aktuelle Version 4.0 ist nicht betroffen, allerdings steht ein umfangreiches Sicherheitsupdate auf 4.0.1 zur Installation bereit, welches diese Lücke und einige weitere schließen soll.

WP-Statistics ist auch betroffen …

Das beliebte Statistic-Plugin für WordPress ist auch von einer solchen Sicherheitslücke empfohlen. Über diese kann auch ein Angreifer Administratorrechte im Blog erlangen. Weiterhin kann man darüber auch SEO-Spam in Blog-Posts einfügen. Auch hier steht ein Update zur Verfügung.

Was kann ich nun gegen solche Lücken tun?

Das WordPress-Team bringt regelmäßig, aber auch außerhalb des normalen Updatezyklus immer neue und verbesserte Versionen für die beliebte Bloggingsoftware heraus. Im Normalfall wird der Administrator im Dashboard eine Information mit neuen Updates, die gerade verfügbar sind, erhalten. Auch gibt es zu solchen Updates im Regelfall über die WSordpress Nachrichten im WP-Channel noch einen Beitrag zu Neuerungen. Updates für Plugins und Themes werden auch im Dashboard angezeigt.

Das Meiste an Updates kann man gleich mit wenigen Mausklicks installieren lassen. Das geht schnell und problemlos und passiert auch im Hintergrund. Unterbindet das der Webhoster aus irgend einem Grund, so sollte man das Update manuell einspielen. Wie das geht, habe ich bereits früher schon einmal beschrieben.

Plugins kann man ganz ähnlich auch einer Frischzellenkur unterziehen. Das geht wie das WordPressupdate auch aus dem Dashboard heraus. Gibt es da Seitens der Webhoster Probleme, so kann man das auch manuell durchführen. Einfach das Plugin aus dem offiziellen WordPress Pluginverzeichnis downloaden, auf dem heimischen Rechner entpacken und dann via FTP-Programm in den Plugin-Ordner unter wp-content schubsen. Meist noch kurz im Dashboard aktivieren und fertig ist das Update von Plugins.

Fazit

Auch Updateverweigerer sind in der Pflicht ihre Software aktuell zu halten. Momentan nutzen noch über 80 Prozent aller Blogger eine veraltete WordPress Installation. Mit dieser gefährden sie nicht nur sich selbst, auch ihre Leser und sogar die Webspacebetreiber, auf deren Servern die Blogs liegen. Es ist grob fahrlässig, nicht zu updaten. Da gelten auch keine Ausreden, daß man am Blog irgendetwas kaputt machen kann. Es gibt genug Tutorials im Internet, die dazu Unterstützuing geben und genug Foren, wo man seine Fragen loswerden kann und Hinweise zu Updates finden kann. Zur Erleichterung habe ich fürher schon einmal ein Tutorial geschrieben, was ich hier wieder verlinke. Also macht euch dran und aktualisiert eure Seiten.

Links

  1. Rezepteküche: WordPress – WordPress Updaten
  2. Offizielles WordPress Pluginverzeichnis

Verordnete Demenz beim Feuerfuchs

Gestern hat die Mozilla-Foundation zum 10-jährigen Bestehen des Firefox ein kleines Überraschungsupdate mit der Versionsnummer 33.1 herausgebracht. Das bringt anlässlich der eskalierenden Datenspionage ein kleines Schmankerl mit sich. Auf Knopfdruck vergisst Firefox die Chronik der in den letzten 24 Stunden angesuften Seiten. Zum Download steht der aktuelle Firefox für MacOS, Windows und Linux bereit.

Was muß ich dafür tun?

Um den Firefox dafür vorzubereiten brauchts erst einmal nur wenige Handgriffe. Die sind in nicht einmal 2 Minuten erledigt.

1. Dazu klackert man auf die Menüschaltfläche new fx menu

2. Ein Klick auf Schaltfläche Anpassen öffnen bringt uns in einen neuen Tab mit Weiteren Werkzeugen und Funktionen

3. Jetzt zieht man die Schaltfläche Vergessen  forget button gray aus dem Menüteil Weitere Werkzeuge und Funktionen in die Symbolleiste und klicken Sie dann auf Schaltfläche Anpassen abschließen.

4. Will man nun die kürzlich angelegte Chronik löschen klickert man nun auf Vergessen  forget button gray .

5. Es erscheint ein Dialog, in dem man den Zeitraum der Löschung (5 Minuten. 2 Stunden oder 24 Stunden) auswählen kann. Ein Klick auf den roten Knopf läßt Firefox die angefallene Chronik in dieser Zeit vergessen.

Loesch Dialog

Links

Firefox Download

Kurios: Neulich auf meinem Facebook-Konto

Rezepte-App: „Fianna hat gerade ein Rezept für Schweinefleisch in Käse-Sahne-Sauce abgerufen. Soll ich ihr Hähnchenbrust und Diätsahne unterjubeln?“

Gesundheit-App: „Ihre Cholesterinwerte sind schon bedenklich hoch, dazu der Harnsäurespiegel – Kannst du sie nicht zu etwas Vegetarischem überreden?“

Waagen-App: „Wollt ihr mal ihre Gewichtskurve der letzten Monate sehen? Da tut eine heftige Diät dringend Not.“

Watchweighters-App: „Tut mir leid, aber sie hat ihr Abo gekündigt. Mir sind da leider die Hände gebunden.“

Rezepte-App: „Dann lock sie doch mit einem Preisausschreiben zurück.“

Watchweighters-App: „Glaubst du, ich hätte das nicht schon versucht? Die Waagen-App soll mal ein Wörtchen mit ihr sprechen.“

Waagen-App: „Die Dicke hat alle Alarmfunktionen abgestellt. Bevor mich Facebook nicht trotzdem die Daten in ihre Timeline schreiben läßt, kann ich keinen Druck machen.“

Facebook-Ad: Hallo Fianna, bitte beachten Sie die aktuellen Sonderangebote bei Burger-Schlemm: Das King-Size-Menü kostet diese Woche nur die Hälfte und ein leckerer Zuckerschock-Nachtisch ist gratis dabei.

Geotag-App: „Vielleicht kann ich da helfen. Mir liegen mehrere Geostatus-Einträge vor, wonach die Gute ein bisschen sehr schnell gefahren ist. Ich bin befugt, das der Polizei zu melden. Damit dürfte ihr Führerschein ein paar Monate weg sein. Und Radeln soll ja gesund sein.“

Gesundheit-App: „Ich bezweifle, daß ein paar Monate Bewegung das Problem lösen.“

Krankenkassen-App: „Lasst mich mal ran. Nachricht an Fianna: ‚Unter Berücksichtigung Ihres aktuellen Übergewichts und Ihrer Blutwerte müssen wir Sie ab sofort in eine neue Risikogruppe einstufen. Ihre Beiträge zur Krankenversicherung erhöhen sich ab dem nächsten Monat um 50 Prozent.‘ Das sollte reichen.

Facebook-Sys: „Alarm: Fianna versucht gerade, ihre Mitgliedschaft zu beenden. Sie will sogar erfasste Informationen löschen. Der Datenschutz wird aktiviert.“

Bundes-App (garantiert 100 Prozent Trojaner-frei): „Sehr geehrte Bürgerin, bitte bachten Sie, daß Sie verpflichtet sind, Ihren Lebenslauf in der Facebook-Timeline zu dokumentieren. Dies hilft nicht nur, gefährliche Tendenzen frühzeitig zu erkennen, um Sie und andere zu schützen, sondern garantiert auch die Gerechtigkeit in unserem Sozialsystem. Mit einer Unbedenklichkeitsbescheinigung Ihres Bürgeramtes können Sie ersatzweise ein Google+-Konto anlegen. Dann ist allerdings die Nutzung von Latitude und Google-Mail vorgeschrieben. Viele Grüße ihre Bundesregierung (81.757.999 gefällt das).“

Sicherheitsnotiz: WordPress-Plugin Mailpoet erlaubt Angriff auf Webserver

Eine kürzlich entdeckte Sicherheitslücke in dem Plugin MailPoet für WordPress, erlaubt das systematische Kapern von Webservern. Das Anfang Juli veröffentlichte Update sollte also schleunigst nachgerüstet werden, sofern dies noch nicht geschehen ist.

Vor ein paar Tagen entdeckten Sicherheitsforscher eine kritische Schwachstelle in dem Plugin. Die Entwickler reagierten prompt und stellten eine aktualisierte Version des Newsletter-Managementsystems für WordPress zur Verfügung. Betroffen sind allerdings alle Versionen von MailPoet bis inklusive Version 2.6.8. Aktuell trägt MailPoet die Versionsnummer 2.6.9. Alle älteren und kleineren Versionsnummern sind betroffen.

Ein Propgrammierfehler in den alten Versionen erlaubt es, die Uploadfunktion, die nur für Admins gedacht ist, um beliebige Dateien hochzuladen. Das betrifft natürlich auch gefährlichen Quellcode, der so auf den Server gelangen kann. Angreifern ist es so möglich, eine PHP-Datei mit einer Hintertür hochzuladen, mit der man den gesamten Webserver kontrollieren kann. Einige Webhoster wie 1&1 erkennen solcherlei Angriffe und informieren betroffene Kunden.

Die Hintertür wird vor allem genutzt, um Spam-Mails zu versenden. Dazu werden an verschiedenen Stellen Dateien mit manipuliertem PHP-Code versteckt und andere Dateien abgeändert. Die Reinigung eines Systems ist mühselige Arbeit, weil der Code recht durcheinander und nicht leicht aufzuspüren ist. Einen ersten Anhaltspunkt für die weitere Inspektion kann eine Suche nach PHP-Funktionen mit _replace, _decode oder eval im Namen sein. Doch für eine zuverlässige Desinfektion wird das kaum ausreichen.

Sicherheitsnotiz – Trügerische Mail made in Germany

Mail made in Germany
Mail made in Germany
Zum heutigen Tag soll die Initiative Mail made in Germany der Mail-Provider abgeschlossen sein. Alle Nutzer der deutschen Mail-Dienste Web.de, GMX, Telekom und Freenet versendenihre E-Mails über verschlüsselte Transportwege. Kurzum bedeutet das in der Theorie für die Nutzer folgendes: Die Verbindung zwischen den Computer des Nutzers und einem der oben genannten Provider ist via TLS/SSL verschlüsselt. Weiterhin verschlüsseln die genannten Dienste die Transportwegen zwischen ihren Servern auch via TLS/SSL. Ob andere Mailanbieter eine Verschlüsselung des Transportweges auch annehmen, ist ersteinmal etwas Fragwürdig.

Was bedeutet das für den Kunden? Eine versendete E-Mail kann jetzt nur noch direkt am Server der Provider oder am Computer des Kunden abgefangen und gegebenenfals verändert werden. Die Wege zwischen den einzelnen Stationen sind gesichert. Aber das ganze ist immer noch eine trügerische Sicherheit. Auf den Computern von Sender und Empfänger, aber auch auf den Servern der Mail-Providern (also in den Postämtern) liegen die Mails unverschlüsselt. Bei einem Datenabriff durch kriminelle Elemente oder Geheimdienste sind diese E-Mails immer noch lesbar. Um dem abhilfe zu schaffen, sollten Sender und Empfänger die Mail an ihren Rechnern direkt ver- und Entschlüsseln. Weiterhin können Angreifer die Sende- und Empfängerserver durch Fluten des DNS Caches mit falschen Antworten über eigen Server umleiten. Der Sender hält wegen der falschen DNS-Antwort den Server des Angreifers für das Ziel und gibt ihm Mails preis, die nicht für ihn bestimmt sind.

Sicherheitsnotiz – Routercheck von Heise Security

In den letzten Wochen und Monaten kursieren immer mehr Meldungen über unsichere Router-Firmware. Das liegt daran, daß viele Leute ihren Router eher stiefmütterlich behandeln. Läuft er einmal, bekommt er kaum neue Firmwareupdates spendiert. Diese muß man heutzutage in den meisten Fällen noch per Hand einspielen. Entweder man vergisst einen regelmäßigen (manuellen) Check der Herstellerseiten für den Router (was mir manchmal auch so geht), oder man hat einfach schlichtweg keine Ahnung wie das alles alles geht – Firmwareupdate herunterladen, entpacken, im Router einloggen und dort über das Admininterface einspielen.

Andere Software, wie die Betriebssysteme auf Smartphones, im Computer und wo auch immer, sind da Nutzerfreundlicher. Die informieren über Updates und spielen diese auch automatisch, oder nach kurzer Bestätigung des Nutzers ein. Im krassen Gegensatz dazu stehen die Router. Deren Firmware will manuell, oder auf Anstoß des Nutzers installiert werden. Kommt neue Software mit automatischer Updatefunktion für solche Geräte heraus ist es meist schon zu spät für die Vergesslichen oder Ahnungslosen unter uns. Denn die will auch ersteinmal manuell installiert werden – vorrausgesetzt man denkt daran oder hat eine Ahnung davon, welche Handgriffe bei dem eigenen Router anfallen.

Der unten verlinkte Routercheck überprüft, ob irgendwelche Sicherheitslücken im Router aufklaffen. Zumindestens denkt man bei Sicherheitslücken so groß wie offene Scheunentoren daran, die Website des Routerherstellers zu besuchen und auf frische Software zu prüfen. Tun wir uns als Menschen ein Beauty- und Wellnessworchenende an, so benötigen unsere Hausrouter auch etwas Zuwendung in Form einer Frischzellenkur für die Firmware. Pflegen Sie ihren Router gut, er dankt es Ihnen, in dem er keine Kriminellen Elemente, die Ihre persönlichen Bankdaten ausspähen wollen, in Ihr Netzwerk läßt. Folgen Sie einfach den aufgestellten Hinweisschildern zum Routercheck. Es ist ganz leicht und kostet kein Geld. Eine Anleitung zum Firmwareupdate Ihres Routers, finden Sie auf der Herstellerwebsite ihres Routers oder in dessen Handbuch.

Der Wegweiser zum zum Routercheck

Netzwerk- und Routercheck von Heise-Security

Spuren im Sande des Internets – Teil 2

Seit einigen Wochen schon ist es bekannt, daß die Spitzelei von Geräteherstellern und Onlinediensten nicht einmal vor dem heimischen Wohnzimmer halt macht. LG hat es bewiesen, in dem man dem Fernsehzuschauer sagte, daß die Datenübertragung von Inhalten ausgeschaltet sei, aber man dennoch heimlich Daten sammelte. Von seiten der Hersteller schob man das auf ein Sicherheitsleck in der Firmware der Geräte…

Smart-TV

Unlängst gab es bei Fernsehgerätehersteller LG eine Panne. In der Firmware einiger TV-Modelle fand sich eine Option, die das Fernsehverhalten des TV Besitzers protokollierte, dazu mit der Serien- und Modellnummer des verwendeten Gerätes, die die erfassten Daten personenbezogen zu LG und diversen anderen Diensteanbietern übertrug. Weiterhin bedienten sich die TV Modelle noch auf Datenspeichern, die via USB an den Fernseher angeschlossen waren. Eine Liste von gespeicherten Dateien wurde samt dem Fernsehverhalten unverschlüsselt an LG übermittel. Wie LG begründete, wurden diese Daten erhoben, um Werbung und Sendeempfehlungen gezielter zu vermitteln. Im vorliegendem Fall war die Option der Nutzerbeobachtung abgeschaltet, die Smart-TVs übermittelten aber dennoch fleißig Daten.

Smart-TV
Smart-TV
Nun schauen Technikbegeisterte nicht nur auf LG sondern auch auf andere Marken wie Sony, Samsung, Phillips, Technisat und co. Alle Hersteller bauen Smart-TVs, die in Wahrheit abgespeckte Computer sind. Dazu gehören LAN Anschlüsse, USB-Ports, W-LAN. Durch gängige Hardware, die auch in PCs oder Tablets verbaut wird, sind die Fernsehgeräte recht schnell über LAN/W-LAN über den obligatorischen Router ins Heimnetz eingebunden und bieten dazu eben den Vorteil in der Werbepause schnell mal im Internet vorbeizuschauen oder auch abseits der Quoten bringenden Fernsehzeiten Filmchen aus dem Internet oder dem eigenen Heimnetz zu streamen. Das bauen die Hersteller aber nicht nur aus Nächstenliebe ein.

Über spezielle Techniken, wie beispielsweise HbbTV – Hybrid Broadcast Broadband TV – werden auch Daten wie Teletext oder ganze Mediatheken der einzelnen Fernsehsender zugänglich. Ein Teil kommt übers Internet, ein anderer, je nach Auslastung über den heimischen Fernsehempfang (DVB-S, DVB-T oder DVB-C). Hierbei werden Fernsehinhalte mit Webinhalten recht gut verknüpft. Und das weckt natürlich auch Begehrlichkeiten. Auf dem Weg des Internets steht nicht nur der Empfang bereit, sondern auch der Weg aus dem Wohnzimmer hinaus in die Untiefen des World Wide Web. Hersteller von Fernsehergeräten, sowie Fernsehsender, aber auch Werbepartner und Google profitieren davon. HbbTV ist zumeist immer aktiv, auch wenn der Hinweis zur Aktivierung schon wieder aus dem Bild verschwunden ist.

Im Hintergrund werden verschiedene Daten übertragen. Typ und Modellnummer des Fernsehers, dazu Sendeanstalt, Zeitstempel, wie lang man welche Sendungen und Sender geschaut hat, wie oft man herumgezappt hat und alles Verbunden mit einer eindeutigen Geräte- und Nutzer-ID zur Widererkennung. Diese Infos fließen beispielsweise an die Fernsehsender ab, die damit ihre Quoten bestimmen können. Ruft man über HbbTV die Internetseiten der Sender ab, so verwenden diese beispielsweise Google-Analytics um Statistiken über Besucherzahlen und dergleichen zu erheben. Diese Daten werden dann meist auf den Googleservern im Ausland gespeichert.

Leider bekommt der Nutzer von der Datensammelwut der TV-Hersteller und Fernsehsender kaum einen Mehrwert. Wenn man schon so fleißig mitprotokolliert, könnte man nach dem Fernsehverhalten Sendungen und Filme genau für den Nutzer empfehlen oder zu einer laufenden TV-Sendung sagen „Das interessiert dich doch eh nicht“

Fazit

In Zeiten von Geheimdienstspähaffären, Staatstrojanern und Vorratsdatenspeicherung ist es doch gut zu wissen, was alles möglich ist, um Daten zu sammeln. Vielleicht überlegt man sich dann doch, wie man es Geheimdiensten und Werbetreibenden doch etwas schwerer machen kann, um an die begehrten Nutzerdaten heranzukommen. In Deutschland ist, das wurde nach bekanntwerden der NSA Spähaffäre, von unseren Spitzenpolitikern konstatiert jeder Einzelne für seinen Datenschutz selbst verantwortlich. Betrachtet man es aber aus sicht unserer Politiker, so besteht seitens der Regierung kein Interesse, die Bürger vor unbefugtem Zugriff durch Geheimdienste zu schützen, auch dann nicht, wenn das Recht auf ein Fernmeldegeheimnis immer noch im Grundgesetz unseres Staates verankert ist. Normalerweise sollte der Staat, mit diesem verbrieften Recht für die Bürger, dafür Sorge tragen, daß zumindestens keine ausländischen Geheimdienste unsere Post öffnen. Davor kann sich ein Bürger kaum bis gar nicht selbst schützen. Schaut man sich die ganze Sache von der Seite des doofen Wahl- und Wutbürgers an, so werden gleich mehrere durch das Grundgesetz verbriefte Grundrechte damit aufgeweicht und ausgehebelt.

Spuren im Sande des Internets – Teil 1

Schaut man sich das Internet an, so scheint es, als währe es in den letzten Jahren zum Selbstbedienungsladen beim Abgriff von Nutzerdaten geworden zu sein. Egal mit welchem Gerät – Smartphone, Tablet, PC oder sogar den Smart-TV – man sich im Internet anmeldet und wohin die Reise im Weltweiten Netz einen verschlägt. Die Wirtschaft hat Interesse an Werbeiennahmen und Verkäufen von Autos bis Viagra und Geheimdienste meinen uns vor Terrorkanidaten zu schützen, wenn sie alles, auch vom Otto Normal Bürger, mitprotokolliert. Aber was wird denn nun eigentlich so heimlich und unbewußt übertragen? Dieser und der nächste Artikel geben einen kleinen Überblick.

Jeder Internetnutzer, der sich beruflich oder geschäftlich ins Internet einloggt, verschiedene Webseiten ansurft und diverse Dienste im Netz nutzt, hinterläßt Spuren, die so einige für legale oder illegale Zwecke genutzt werden können.

Smartphones und Tablets

ipad-mini
ipad-mini
Das sind Geräte, die recht viel über den Nutzer wissen. Durch GPS wissen diese, wo man sich gerade aufhält. Auf Smartphones gespeicherte Kontaktlisten samt Postanschrift, Mailadresse und Telefonnummern geben viel über Freunde, Familie und Arbeitskollegen preis, sofern diese denn dort gespeichert sind. sdazu noch eine günstige Datenflat, über die man sich übers Mobilfunknetz recht einfach ins Internet einwählen kann. Und daran bedienen sich viele Apps gern. Das meiste geschieht im Hintergrund und ist meist in verschiedenen Komfortfunktionen versteckt. Da wird das Adressbuch von Apps, die für Google+, Twitter, Facebook und co bestimmt sind, durchstöbert und zur Auswertung an die Server übertragen, um schneller Bekannte in den sozialen Netzwerken zu finden. Die Suche könnte ja auch lokal auf dem Smartphone passieren, aber es sind die Daten, die Begehrlichkeiten wecken. Kostenlose Apps, meist werbefinanziert, tracken User gern schonmal auf Schritt und Tritt, zum Teil bewußt, um auf Shoppingmöglichkeiten mit guten Angeboten in der Nähe honzuweisen, aber auch im Hintergrund und unbewusst, um das Surfverhalten zu protokollieren. Durch Daten wie Gerätekennung und Telefonnummer kann man Nutzer heute schon recht eindeutig erkennen. Meist aber sind es die Komfortfunktionen, die zwar Hinweise enthalten (können) und die man, nachdem man diese schon mehrfach angezeigt bekommen hat, einfach weggeklickt werden.

PCs und Notebooks

Nutzt man einen PC zum Surfen und Mailen, greifen diverse Dienste und Webseiten Daten ab um Besucherstatistiken zu erheben. Das sollte im Impressum klar hervorgehen, was gespeichert wird. Oftmals wird hier auch Google-Analytics verwendet und die Statistiken auf ausländischen Servern gespeichert. Datenschutzrechtlich sollten anonymisierte oder verkürzte IP-Adressen gespeichert werden, aber als Otto-Normal-Nutzer Kann man nicht prüfen was genau gespeichert wird. Neben den IP Adressen, also der Kennung des Computers, werden verschiedene andere Daten noch gespeichert. Beispielsweise mit welchem Browser man die Seite besucht hat, welches Betriebssystem genutzt wird. Anhand der IP Adresse bekommt man auch eine Länderkennung oder eine grobe Einschätzung, wo genau man mit seinem Rechner sitzt. Daher sollte diese nur anonym vom Dienstebetreiber gespeichert werden.

Sind auf Webseiten Like-Buttons von Facebook, Twitter und Google Plus Buttons vorhanden, so bekommen diese Netzwerke auch Daten über die Besucherströme auf dieser Webseite. Dazu auch noch ähnliche Details wie weiter oben. Ist man zusätzlich bei den sozialen Medien angemeldet und eingeloggt, so kann ein personenbezogenes Profil zum Surf- und Kaufverhalten protokolliert werden. Websitebetreiber sollten sich daher Gedanken über sogenannte 2-Click Lösungen zu den Buttons machen. Hier wird generell nichts übertragen, außer der User möchte es so.

Onlineshops, Werbebtreibende und soziale Netzwerke speichern gern Cookies auf dem Rechner des Nutzers. Cookies sind kleine Textdateien, die eine Computerkennung enthalten und das Surf- und Kaufverhalten protokollieren. Damit kann der Nutzer gezielter mit Werbung zugepflastert werden, so nach dem Motto „Sie und drei andere interessierte doch das hier und nicht das was Sie gerade ansehen“. Man kann aber seinen Lieblingsbrowser anweisen, bei jedem Schließen des Browsers die Cookies zu löschen.

Jaja, die gute alte E-Mail. Das ist nur eiune Postkarte, die jeder vertrauens(un)würdige Postbote mitlesen kann. Und die Postboten sind die Server, über die diese Mail zum Empfänger kommt. Auch wenn man die Mail verschlüsselt, so werden nur Textkörper und Anhänge verschlüsselt. Absendeadresse und Empfänger, also das was die Post benötigt, um zu wissen wohin die Mail geliefert werden soll, bleibt natürlich unverschlüsselt. Und das interessiert natürlich auch die Geheimdienste.

[Update 7. März 20 Uhr] Um Mailadressen zu verifzieren, werden oftmals Mails verchickt, die von externen Servern und Diensteanbietern zusätzliche Inhalte, wie Bilder nachladen. Das trifft gerade bei Werbung und Spam zu. Man will damit herausfinden, ob die versendeten Mails tatsächlich gelesen werden oder ob die ohne Umwege (oder mit dem Umweg über den Spamordner) gelesen werden. Bei Post von Spamversendern und Botnetzen weren oftmals fürs Auge unsichtbare Zählpixel in die Mail eingebettet. Hier hat es den Sinn und Zweck zu testen, ob eine Adresse noch benutzt wird, oder ob diese Still gelegt wird.

Fazit

Egal wo man sich im Internet bewegt, es wird protokolliert, getrackt und übertragen, was das Zeug hält. Unternehmen möchten immer mehr Daten zum Surf und Kaufverhalten und Geheimdienste wollen wissen, zu welcher Zeit ich mit wem und wie lang Kontakt hatte. Alles beides bringt aber wenig Nutzen für den Otto Normal Bürger, der im Grunde nichts außer teilweise lästiger Werbung von der Datensammelei hat, oder Besuch von der Polizei bekommt, weil er Online ein Faß Dünger (und weil es das gleich im Angebot gab noch das Computerspiel Battlefield 4 dazu) für seinen Garten bestellt hat.

Sicherheitsnotiz – Telekom und der verschlüsselte Mailtransport

Nach United Internet (GMX und Web.de) zieht die Telekom mit der Verschlüsselung der Transportwege für Mails nach. Nun sollen die Mails auf dem Transport vom Kunden zum Telekom eigenen Mailserver und zwischen den Mailservern der Telekom und anderen Mail-Providern künftig per SSL verschlüsselt werden. Bis zum 31. März will die Telekom ihre Mailserver entsprechend umgestellt haben.

Nutzer, die ihre Mails über das Webfrontend der Telekom verschicken und empfangen, werden den Wechsel nicht zu spüren bekommen. All Jene, die einen Mailclient (beispielsweise MS Outlook oder Thunderbird) nutzen, müssen ihr Programm mit wenigen Schritten auf das neue Verfahren einrichten. Wie das geht, beschreibt die Telekom auf dem unten genannten Link. Ein tutorial für sämtliche Mailclients zu erstellen, würde hier den Rahmen sprengen. Die Telekom hat diese Arbeit schon recht gut und bebildert erledigt.

Aber Achtung: Die Verschlüsselung der Transportwegen zwischen den Mailserver und dem Kunden ist keine End-to-End Verschlüsselung. Die Mails liegen noch unverschlüsselt im Klartext auf den jeweiligen Mailservern. Die Verschlüsselung der Transportwege bringt nur den Vorteil, daß die Nachrichten auf dem Weg von einem zum anderen Empfänger nicht abgefangen und verändert werden können. Bricht jemand direkt auf Mailserver mit unverschlüsselten Mails ein, so kann er auf diesem Weg an den begerten Inhalt kommen.

Bei vielen anderen Mail-Providern ist eine Verschlüsselung der Transportwege via SSL Standard. Telekom und United Internet betreiben die Kampange Mail made in Germany seit bekannt werden der Lauschangriffe der NSA. Mit dieser Methode möchte man unerfahrene Nutzer in relativer (Un)Sicherheit wiegen.

Wer seine Mails wirklich komplett verschlüsseln will, sollte daher auf einen Mailclient setzen und auf seinem Rechner mit Verschlüsselungsprogrammen wie Pretty Good Privacy bestücken, die jeweils einen privaten und einen öffentlichen Schlüssel erzeugen. Wie das genaue Verfahren dazu abläuft, habe ich bereits im Artikel Privates verschlüsselt – Sicher Chatten mit Pidgin angerissen.

Wie man genau seine Mails sichert, beschreibt der Heise Zeitschriftenverlag in einem Sonderheft der c’t.

Links:

  1. Telekom SSL Verschlüssleung für den Mailclient
  2. c’t wissen Sichere E-Mail

Ähnliche Artikel zum Thema

Sicherheitsnotiz – Windows Xp und die Virenwächter

Am 8. April ist es vorbei. Microsoft liefert nach diesem Stichtag keine Updates für Windows XP mehr aus. Einige der bereits bestehenden Sicherheitslücken könnten von diversen Hackern nicht mehr gemeldet werden, damit diese bis zum 8. April nicht geschlossen werden. Allerdings haben die großen und namhaften Hersteller für Virenwächter und Securityprogramme bereits angekündigt, für mindestens ein weiteres Jahr Virensignaturen nachzuliefern. Auch Microsoft möchte seinen Virenwächter für XP für noch ein Jahr frische Virensignaturen spendieren.

Diese Nachricht dürfte Administratoren freuen, die jetzt bald auf ein aktuelleres Betriebssystem umstellen müssen. So wird die Gnadenfrist für bestehende Installationen mit XP ein bisschen verlängert und der Druck, sofort umstellen zu müssen, entfällt ersteinmal… oder verschiebt sich um ein weiteres Jahr.

Allerdings hat diese Gnadenfrist aber auch einen Haken. Bei den versprochenen Updates für die Virenwächter und Sicherheitsprogrammen handelt es sich hauptsächlich um Virensignaturen. Aufgedeckte Sicherheitslücken im Betriebssystem werden von Microsoft nicht mehr geflickt. Das eröffnet natürlich immer mehr und größere Einfallstore für Angriffe und neue Schadsoftware auf das Betriebssystem. Aktuelle Virenwächter können ohne die Hilfe von Microsoft diese Schwachstellen nicht mehr effizient schützen.

Auch haben es Hersteller von Securityprogrammen schwer, Updates für ihre eigenen Produkte auf Windows XP anzupassen, da Microsoft auch die Zusammenarbeit hinsichtlich dieses Betriebssystems mit diesen Produzenten einstellt.

Von daher ist es angebracht, so schnell wie möglich auf ein neues Betriebssystem (Windows 7; 8 oder Linux) umzusteigen. Windows XP weckt durch seine große Beliebtheit und die damit verbundene Faulheit beim Upgrade auf ein aktuelles System natürlich die Begehrlichkeiten von Kriminellen. Von daher sollte es nicht mehr als Produktivsystem an Rechnern mit Internetanschluss betrieben werden. Für die meisten Softwareperlen gibt es unter Windows 7 den WinXP Modus oder eben andere Alternativen, die unter aktuellen Systemen laufen.

Wer partout nicht umsteigen will, oder XP noch benötigt, dem sei empfohlen, dieses in einer Virtuellen Maschine, die speziell abgesichert ist, laufen zu lassen, oder an einem älteren Rechner, der nicht mit dem Internet verbunden ist. Microsoft bietet solchen Nutzern weiterhin eine kostelose Online Aktivierung über die offiziellen Microsoft Server an.

Links

  • Windows XP scheidet dahin – Die Medienspürnase im Januar 2013
  • Windows 8 steht in den Startlöchern – Die Medienspürnase im Oktober 2013

Von Abmahnwellen und Spamtsunamis

Seit Wochen mahnt die Regensburger Anwaltskanzelei Urmann + Collegen (U+C) massenhaft Nutzer der Streamingseite Redtube ab. Neben saftigen Gebühren, bekommen die Nutzer noch Unterlassungserklärungen zum Unterschreiben zugeschickt.

In der Region Vogtland haben sich in der letzten Zeit über 50 betroffene Besucher der oben genannten Pornoseite bei der Verbraucherzentrale gemeldet um sich beraten zu lassen. Die Dunkelziffer dürfte aber noch etwas höher liegen, denn aus Scham oder Unsicherheit melden sich viele Leute nicht erst und unterschreiben die zugesandten Unterlagen. Laut Angaben der hießigen Verbraucherzentrale sollte man die geforderten Geldbeträge nicht gleich und die Unterlassungserklärung nicht unterschreiben. Weiterhin gilt der Rat vorher erst eine rechtliche Beratung in Anspruch zu nehmen. Rechtliche und anwaltliche Beratungen bieten beispielsweise die Verbraucherzentralen vor Ort. Auf keinen Fall sollten die Abmahngebühren ungeprüft überwiesen werden und die Unterlassungserklärung ohne rechtlichen Rat unterzeichnet werden.

Was ist mit Abmahn-Mails?

Die Abmahnwelle der Regensburger Kanzlei U+C ruft natürlich auch Trittbrettfahrer auf den Plan. In E-Mails drohen sie beliebigen Leuten und mahnen diese im Namen der oben genannten Kanzlei oder anderen Anwälten ab. Den Mails liegt ein Anhang bei, der Rechner mit Trojanern und Maleware infiziert. So können Daten ausgelesen und mißbraucht werden, aber auch Dateien auf dem Rechner zerstört werden, oder der Computer selbst durch Hintertüren gekapert werden. Die Mails können getrost gelöscht werden. Laut der Verbraucherzentrale haben E-Mails keine rechtliche Handhabe vor Gericht, sind also dort bedeutungslos.

Fazit

Was Urmann + Collegen mit Redtube getan haben, war augenscheinlich nur die Spitze des Eisberges. Wegen Streaming abzumahnen steht auch rechtlich gesehen auf wackeligem Fuß. Wer weiß wie lang diese Kanzlei damit durchkommen wird, oder wie die Gerichte in solchen Fällen künftig entscheiden.

Begriffserklärung

Streaming: Diesen Begriff kann man am besten mit einer Sendung oder einem Film im Fernsehen vergleichen. Ein Anbieter von Content (neudeutsch für Inhalt) sendet von irgend einem Punkt der Welt aus einen Film. Dieser wird dann zuhause empfangen und kann direkt während der Sendung angesehen werden. Das geschieht beispielsweise über Satelitt, Kabel oder eben das Internet.

Nur kann man im Internet recht genau bestimmen, wer auf die Inhalte eines Anbieters zugreift, denn jedem DSL-Anschluss wird eine IP-Adresse zugeordnet. Wird diese mit einem Zeitstempel (beispielsweise Zeitpunkt des Zugriffs auf einen Film) versehen, kann man über eine Provideranfrage, die richterlich genehmigt werden muss, den Anschlussbesitzer herausfinden.

Beim Streaming empfängt man nur Daten in Form von Filmen und Musik, man könnte sie wie beim Fernsehen auf dem Computer speichern (neudeutsch für aufnehmen). Streaming bedeutet also gleichzeitiges Senden und Ansehen eines Filmes.

Da liegt der Unterschied zu Peer-to-Peer Tauschbörsen dem Filesharing. Hier lädt man sich Daten aller Art (Musik, Filme, Bilder, Word-Dokumente etc. etc.) auf seinen PC. Diese Daten liegen verteilt bei mehreren anderen Computernutzern auf den Rechnern.

Lädt man sich dort beispielsweise einen Film herunter, kann man diesen nicht gleich ansehen, man muß warten bis er fertig geladen ist. Während der Film vom Internet auf den eigenen PC lädt, werden die empfangenen Bits und Bytes dieses Filmes schon wieder anderen Leuten zur Verfügung gestellt.

Kurz: Man empfängt (Download) und sendet (Upload) zugleich. Hier kommt es ganz auf den Inhalt an. Meist sind Bilder, Filme und Musik urheberrechtlich geschützt. Aber es gibt natürlich auch Musik, Bilder, Software, Filme, die einem Wust an Lizenzen unterliegen, die das freie Tauschen und Bearbeiten erlauben (in engen oder weiteren Schranken). Dazu gehören beispielsweise die Lizenzen der Creative Commons (meist für künstlerische Inhalte) oder die GNU/(L)GPL für Softwarelizenzen (beispielsweise für Linux, Openoffice oder Libreoffice).

Update am 17. Dezember

Beim klassischen Streaming von Filmen und Musik, man kennt es ja von Youtube, werden Daten vom Server auf den Computer übertragen, meist sogar etwas schneller als man sich den Film ansehen kann oder das Musikstück anhören kann. Das nennt man im Fachjargong das sogenannte Buffering (neudeutsch für Puffern oder zwischenspeichern). Das sorgt dafür, daß der Film nicht zwischendurch ruckelt und die Musik nicht aussetzt. Und das sehen die Anwälte als Verfielfältigung.

Beauftragt wurde die regensburger Anwaltskanzle Urmann + Collegen von einer schweizerischen Firma The Archive AG Unterlassungserklärungen in Deutschland zu versenden. Bisher gibt es in Deutschland noch kein Gerichtsurteil, welches das Streamen von Inhalten im Internet verbietet. Auf Europäischer Ebene gibt es eine Richtlinie mit der Nummer 2001/29/EG. Als diese Richtline 2001 beschlossen wurde, gab es das Streaming noch nicht.

Jetzt muß man auf gültige Gerichtsurteile warten, aber es gibt Gerichte, die in dieser Hinsicht ganz unterschiedlich urteilen mögen oder ihre Urteile ganz unterschiedlich begründen.