Datenklau bei Sky?

Uns wurde von einigen Sky Kunden mitgeteilt, dass diese eine etwas außergewöhnliche E-Mail bekommen haben. Inhaltlich ging es in dieser Mail darum, dass wohl einige Sky Kunden, gehäuft mit Telefonaten, zwecks Gewinnspiel, attackiert werden. In dieser Mail wird dabei versichert, dass man bereits Untersuchungen eingeleitet hätte.

Liest man diese Mail, so bekommt man schon den Eindruck, dass ein Datenklau stattgefunden hat. Jedoch wird dieses nur indirekt deutlich.
Es sind keine Hinweise zu erkennen die darauf vermuten lassen, ob der vermutete Datenklau ein Cyberangriff war oder durch interne Mitarbeiter erfolgt ist.

Fakt ist: Sky informiert derzeitig seine Kunden darüber und publiziert das Thema öffentlich auf seiner Internetseite.

Quelle: Sky

Smartphone Markt – Verliert Microsoft den Anschluss?

Wohl kaum so ein Markt, wie der Smartphone Markt, ist so dynamisch. Dabei sind die Kriterien der Käufer so unterschiedlich, wie kaum bei einer anderen Produktsparte. Der eine sucht nach dem ultimativen Design, der andere achtet auf die Benutzeroberfläche, der Nächste auf die App Auswahl und nur ganz wenige auf die Sicherheit und das trotz NSA Skandal. Der Nutzer scheint immer noch Design vor Sicherheit oder App- Auswahl vor Sicherheit zu stellen.

Nur so lässt sich eigentlich erklären, warum Microsoft mit seinem Windows Phone 2,2% Marktanteile im europäischen Markt verliert. Noch im Vorjahr, lag Microsoft bei 10,3%. Selbst in Italien, wo Windows Phone bei 17,1% lag, sank der Anteil auf 13,9%. In Frankreich von 12,9% auf 8,3%. (Quelle: KantarWorldPanel)

Auch wenn der weltweite Marktanteil besser aussieht, ist das nur ein schwacher Trost. Über Gründe kann man nur spekulieren. Eine Rolle wird mit Sicherheit, auch der Preis spielen. Ob sich die Anteile mit dem im Sommer erscheinenden Windows Phone 8.1 ändern wird, steht noch in den Sternen, denn Verkaufsargumente wie Bedienbarkeit und Sicherheit, scheinen die Käufer nicht zu interessieren. Dabei wird gerade mit Windows 8.1, wieder eine Menge in Punkto Sicherheit und Benutzeroberfläche getan. Selbst Anwender konkurrierender Produkte, erkennen die Unschlagbarkeit in Bedienbarkeit und Funktionen, die das Windows Phone 8.1 bringen wird. Doch reicht das aus? Oder ist es vielmehr die Jagd nach Apps und das obwohl der Windows Phone Marketplace schon sehr gut an seine Konkurrenz heran kommt?
Wirklich verstehen wird man es nie, denn gerade die Anwender, die sich über die NSA Affäre aufgeregt haben, machen es mit der Nutzung unsicherer Konkurrenzsysteme, den Interessierten an Datenklau, besonders einfach. So durfte ich neulich beobachten, wie ein Polizist ein Smartphone vorläufig beschlagnahmte, zur Sicherung der damit erstellten Beweisfotos. Hätte der Besitzer ein Windows Phone genutzt, so wäre die Beschlagnahmung vielleicht erfolgt, aber die Sicherung der Beweisfotos unmöglich gewesen.
Somit wird es wohl nie zu verstehen sein, warum die Menschen über mangelnde Sicherheit klagen, während sie diese gleichzeitig unterstützen.

IT- Fitness – Wie fit sind sie im Umgang mit Ihren Daten oder an Ihrem PC?

Wussten Sie schon, dass die meisten Internetuser mehr Angst vor Cyberattacken haben, als das bei ihnen eingebrochen wird und trotzdem die eigene Wohnung/Haus besser sichern, als ihren Computer?

Woran mag das liegen. Eins der wesentlichen Ursachen ist der Glaube zu wissen, geschützt zu sein, ohne zu wissen, was zum Schutz erforderlich ist. Der SPAM- Filter oder Virenscanner, ist für die meisten ausreichender Schutz. Gekoppelt mit einer Firewall, dürfte eigentlich nichts passieren. Doch genau diese Vermutung ist ein Trugschluss. Selbst der Aufruf einer HTTPS Seite kann schon bedeuten, dass man den Eindringling in sein Haus (den Computer) gelassen hat. Der Glaube „Mein Virenscanner macht das schon“ ist ein Irrtum das einen erst dann deutlich wird, wenn man die Trefferquote bedenkt, die die meisten Virenscanner mit sich bringen. Einen 100% Schutz kann es nicht geben.

Eine weitere große Gefahr sind die Phishing E-Mails. Mails die aussehen, als wenn diese von einem vertrauten Absender kommt und Inhalte liefert, die ich durch Anklicken aufrufen muss. Hier kann es schnell zu Fehlleitungen auf täuschend echte Internetseiten kommen, die eigentlich nur eins beabsichtigen. Das Abfangen von Kennwörtern (wir berichteten). Die weitere Gefahr besteht in Dateianhängen bei E-Mails. Ist es ein Bild, so glauben wir es ist wichtig dieses aufzurufen. Genauso verhält es sich mit Dokumenten etc. Doch Vorsicht. Auch diese Anhänge können Viren enthalten, oder sogar Tools um bspw. E-Mail Passwörter an einen unbekannten Empfänger zu leiten. Diese Methode wurde bei den letzten Großattacken angewandt, wo mehrere Millionen E-Mail Passwörter gestohlen wurden (wir berichteten).

So wird es eine wichtige Aufgabe sein, nicht nur für heute, sondern auch für die Zukunft dafür zu sorgen, dass die Menschen fit für die IT werden. Aus dieser Idee heraus entstand die Initiative IT-Fitness die einen kostenlosen Test zur IT-Fitness anbietet. Dieser Test hat bereits viele Millionen Menschen erreicht und ist so gut gestaltet, dass er auch behilflich sein kann, eigene „Schwachstellen“ in der IT-Fitness zu erkennen.

Zum Test  IT-Fitness

Mehrere PC's im Einsatz? Kostengünstige Lösung für eine zentrale Verwaltung

Doch noch eine Chance für Windows XP?

Laut einer Studie, sollen 17% aller mittelständischen Unternehmen noch Windows XP im Einsatz haben und keine Umstellung planen. Das obwohl der Windows XP Support ausgelaufen ist, es keine Sicherheitsupdates mehr geben wird. Dem Grunde nach, könnte es jedem egal sein, ob ein Unternehmen die Umstellung angeht oder weiterhin mit Windows XP arbeitet, wenn da nicht das Problem Sicherheit wäre, denn schließlich werden mit den Geräten, auch Kundendaten verarbeitet

Mit dem Upgrade Assistenten bietet Microsoft eine Möglichkeit seinen PC/Laptop auf Windows 8.1 Tauglichkeit zu prüfen. Umzugtools wie der PC Mover unterstützen beim Umstieg, wie auch viele Microsoft Partner.
Trotzdem soll der Support für bestimmte Anti-Malware Software, bis zum 14.Juli 2015 bestehen bleiben. So wird weiterhin unterstützt: System Center Endpoint Protection, Forefront Client Security, Forefront Endpoint Protection, Windows Intune und für Konsumenten Microsoft Security Essentials.
Das bedeutet aber nicht, dass man sich jetzt weiterhin zeitlassen darf. Sollte es bspw. im Betriebssystem zu einer Sicherheitslücke kommen, wird diese durch kein Update behoben. Von daher ist ein zeitnahes Update die sicherste Alternative.

Natürlich gibt es immer noch viele Anwender, die schon wegen der neuen Metrooberfläche, den Umstieg vermieden haben. Wie wir aber auch schon in einem unserer letzten Artikel beschrieben haben, kann man sich das fehlende Startmenü, zum Teil mit wenigen Mausklicks, wieder selbst erschaffen. Die Wiederkehr des Startmenüs wurde aber auch schon von Microsoft angekündigt und wird wohl mit dem Nächten größeren Update zurückkehren, so wie mit dem Update vom 8. April 2014 auch schon einige neue Funktionen im System zu erkennen waren.


 

 

Heartbleed – wie schlimm ist es wirklich

Heartbleed, blutendes Herz. Doch blutet das Internet wirklich?
Was ist genau passiert. Ein Programmierer, hat in den Code von OpenSSL einen Programmierfehler verursacht. Somit war es Eindringlingen über 27 Monate möglich, an Passwörter und sonstige Information derer zu gelangen, die geglaubt haben, sie hätten mit den verwendeten Service eine gesicherte Verbindung aufgebaut.

Ob in wie intensiv diese Schwachstelle genutzt wurde, kann mit Sicherheit keiner sagen. Die Microsoft Dienste, wie Hotmail, Skype, Microsoft Konto, Live- Postfächer oder gar Office365 sind nicht betroffen. Aber Dienste wie Yahoo, GMail, Instagram (u.v.m.), waren vermutlich betroffen.

Um sich selber zu schützen, ist es mit Sicherheit notwendig, seine Passwörter zu ändern. Dieses macht aber erst Sinn, wenn der betroffene Dienst die Sicherheitslücke auch geschlossen hat. Um das zu testen, gibt es bereits einen Dienst im Internet.

Doch wie sollte der Benutzer mit Passwörtern eigentlich umgehen? Gerne versuchen Anwender möglichst nur ein Passwort zu verwenden. Das ist dann zwar einfach zu merken, aber bei derartigen Angriffen höchst unsicher. So sollte man Dienste, wie Onlineshopping oder andere Dienste mit Geldtransfer, mit möglichst komplexen Passwörtern ausstatten, die nicht mit denen des E-Mail Kontos identisch sind. Sogar für soziale Netzwerke, sind separate Passwörter zu empfehlen. Für den Anwender vielleicht aufwändiger, aber ein besserer Schutz vor Datendiebstahl oder gar finanzieller Schaden.
Welche Dienste waren betroffen? Leider sind die Listen etwas länger, so dass dieses die Informationsflut des Blogs sprengen würde. Senden sie einfach eine Mail an support(at)kroenert.info mit dem Wort OpenSSL-Liste im Betreff.

Computers

Die NSA hört mit – sicher kommunizieren.

 

In den letzten Tagen zeigte uns eine Pressemeldung, dass niemand vor Hackern wirklich sicher sein kann. Es wurden Millionen von E-Mail Konten gehackt. Leider erfährt man meist nicht, wie dieses geschah. Schaut man sich aber die Sicherheitsscans der betroffenen Systeme, so findet man meist Hacktools (Spyware) in irgendwelchen Verzeichnissen. Diese Spyware mit dubiosen Dateinamen wie ganzguteidee.exe, lassen sich dabei recht einfach aufspüren. Bei Windows 8 bspw. mit dem Windows Defender, oder dem Microsoft Safety Scanner .

Doch wenn schon Windows Defender, warum hat das System nie etwas gemeldet? Auch diese Frage ist schnell erklärt. Ein sogenannter Voll Scan, ist im System nicht voreingestellt. In diesem Artikel ist eine Anleitung zu finden, die sehr gut beschreibt, wie man das System zum automatischen Scannen des PC’s bringen kann und das sogar automatisiert.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet einen Sicherheitstest an, der einem die Möglichkeit bietet, zu prüfen, ob sich die eigene E-Mail Adresse mit unter den vermutlich gehackten E-Mailkonten befindet. Natürlich bietet so ein Sicherheitsscheck keinen absoluten Garant, dass man nicht betroffen ist, da die Hackerszene weiterhin aktiv ist. Um zu prüfen, ob das eigene Netz sicher ist oder Teil eine BotNetzes, gibt es hier einen Sicherheitscheck, der auch vom BSI empfohlen wird.

Doch wie schütze ich nun meine E-Mails. Bevor wir diese Frage beantworten, müssen wir uns erst einmal ein bewusst machen. E-Mails sind dem Grunde nach, genauso wie ein Brief zu behandeln. Die in der E-Mail versendeten Informationen sollten grundsätzlich geschützt werden. Spätestens dann, wenn die E-Mail, E-Mail Adressen anderer Personen beinhaltet, als die des Empfängers. Aber auch Adressen und Telefonnummern, müssen genauso geschützt werden, wenn man ein wenig Wert auf Datenschutz legen will. Gerade wenn Daten anderer, bspw. Familienmitglieder, versendet werden, ist man zum Datenschutz verpflichtet.

Da das E-Mail Protokoll aber ein Protokoll ist, welches die Daten grundsätzlich offen, sprich für jeden lesbar, über das Internet sendet, hilft nur noch, das Verschlüsseln der Daten. Das Verschlüsseln ist dabei einfacher, wie es den meisten Anwendern bewusst ist. Ein Stichwort, ist dabei, OpenPGP. OpenPGP ist eine Verschlüsselungsmethode, die für viele Clients verfügbar ist. Auf der Internetseite von gpg4win findet man eine Lösung, die sich recht einfach in Outlook einbinden lässt und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) beauftragt wurde.

Neben dieser Lösung, gibt es auch Lösungen für andere Mail Clients, wie Open Office. Aufgrund der Verbreitung von Microsoft Office, welches mittlerweile auch in günstigen Preismodellen erhältlich ist, möchten wir hier nicht auf die anderen weiteren Lösungen eingehen.

Ein besonderes Plus an Verschlüsselung, haben die Office365 Anwender. Mit Office365 wurde ein Verschlüsselungsverfahren angeboten, das es den Absender erlaubt, auch ohne jede Zusatzinstallation von Zertifikaten, verschlüsselte E-Mails zu versenden. Ergänzt wird das System durch ein weiteres Tool (Microsoft Rights Management), welches auch das Verschlüsseln von Daten erlaubt. Hierbei geht es insbesondere um Cloud Daten, wie beispielsweise auf OneDrive. Diese Daten lassen sich mit dem Tool nicht nur verschlüsseln, sondern können über das gleiche Tool von jedem anderen PC entschlüsselt werden, wenn Sie sich dort anmelden. Vorteil dieser Technologie: Auch für die gängigen Smartphone Plattform gibt es ein App, um diese Daten zu lesen oder zu verschlüsseln. So kann selbst das mit dem Smartphone erstellte Foto, verschlüsselt werden.

 

Verschlüsselung mit OpenPGP oder Zertifikatdiensten

OpenPGP ist ein Produkt, was die Verschlüsselung von E-Mails erlaubt. Da OpenPGP für die unterschiedlichsten Clients angeboten wird, ist es weit verbreitet. Für Outlook gibt es dafür ein passendes Plugin, was sich nach der Installation, wie folgt im Outlook darstellt:

 

 

 

Zur Installation, benötigen Sie zwei Dateien, die Sie hier herunterladen können -> Download

1. Entpacken Sie die Datei.

2. Als erstes installieren Sie : gpg4win-2.1.1.exe

3. Führen Sie die setup.exe aus

 

Damit ist die eigentliche Installation beendet. Zum Abschluss muss noch das Programm "Kleopatra" gestartet werden.
Gehen Sie dort auf "Datei" und dann "Neues Zertifikat"

 

Danach öffnet sich folgendes Fenster:

 

Suchen Sie sich eine Option aus. Im Folgedialog füllen Sie unbedingt ALLE Felder wahrheitsgemäß aus.

Wenn Sie alle Felder ausgefüllt haben und auf "weiter" klicken, werden Sie zur Eingabe eines Passwortes aufgefordert. Merken Sie sich dieses Passwort gut. Dieses Passwort wird später erforderlich sein, um Mails zu verschlüsseln.

Wenn Sie wieder in der Klepatra Startmaske sind, müssen wir das Zertifikat noch zum Server hochladen, damit auch andere Personen uns verschlüsselte Mails senden können. Dazu machen Sie auf den Eintrag einen Rechtsklick.

 

 

Wenn Sie das durchgeführt haben, steht nichts mehr im Wege, verschlüsselte Mails zu versenden. 

 

Eine weitere Methode ist die Nutzung von X509 Zertifikaten. Diese werden kostenlos über Dienste wie Comodo angeboten und im Mailclient integriert.

 

Um überhaupt eine E-Mail verschlüsseln zu können, ist es erforderlich, den öffentlichen Schlüssel des Empfängers zu besitzen. Hierbei können zentrale Dienste im Internet genutzt werden. Dienste wie Global Trustpoint bieten sich hierfür an. Vorteil dieser Dienste, ist die gute Integrationsmöglichkeit in den Mailclient

Soziale Netzwerke (Teil 2)

Wie sicher sind meine Daten in den sozialen Netzwerken ?

Wer in der Vergangenheit die Medienberichte verfolgt hat, der wird sich sicherlich die Frage stellen dürfen, ob die Daten im Netz sicher sind oder nicht. Grundsätzlich muss man aber eins verstehen. Alles was ich ins Internet an Informationen bringe, ist auch irgendwie einsehbar.

Bei den sozialen Netzwerken wird es aber meistens so gehalten, dass ich bestimmen kann, wer auf welche Informationen zugreifen darf. So habe ich für „alle“ eigentlich nur mein Bild und meinen Namen freigeschaltet. Alle Kontakte, die in meinem sozialen Netzwerk registriert sind, dürfen dann vielleicht noch meine Kontaktdaten einsehen.

Ist man registriert, benötigt man Kontakte. Hier kann man seine eigenen Freunde einladen. Es kann aber auch sein, dass man von anderen Anwendern als Kontakt eingeladen wird. Doch man sollte vorsichtig sein, wenn man eine Kontaktanfrage in seinen sozialen Netzwerk annimmt. Meine Grundregel ist es, nur Kontaktanfragen an zu nehmen, die ich auch wirklich persönlich kenne. So minimiere ich das Risiko, dass mit meinen Daten Schindluder getrieben wir.

Gerade bei Kindern/Jugendlichen ist zu sehen, dass diese schnell mal mehr als tausend Kontakte haben. Da man davon ausgehen kann, dass diese Kinder diese nicht alle persönlich kennen, haben wir hier ein Punkt, wo es gefährlich werden kann. Denn eins kann man in den sozialen Netzwerken nicht : Prüfen, ob die angegebenen Kontaktdaten wirklich echt sind.
Schnell kommt es vor, dass der 17jährige Freund, in Wirklichkeit jemand anderer Altersklasse ist, der ganz andere Interessen verfolgt. Schnell kommt es zu Anfragen wie : „willst Du Dein Taschengeld aufbessern …“. Nicht selten werden diese Kontakte von Kindern und Jugendlichen intensiviert, da das Geld lockt. Sexuelle Interessen oder die Verführung zu kriminellen Handlungen sind da keine Seltenheit.

In vielen Sozialen Netzwerken sind oft bekannte Persönlichkeiten zu finden. Nur oftmals, haben genau diese Personen, sich nie im Netzwerk angemeldet …. Diese sogenannten "Fakeaccounts" sind ein weiteres Beispiel, dass eben Identitäten nicht geprüft werden.

Kann ich Kinder und Jugendliche schützen ?

Grundsätzlich kann man diese Frage mit einem Ja beantworten. In unserem Beitrag „Gefahren im Interne für Kinder“ (erscheint in den nächsten Tagen) werden wir  ein paar grundsätzliche Möglichkeiten erörtern.

Ich bin zum Schutze meiner eigenen Kinder so vorgegangen, dass ich für mein Kind alle sozialen Netzwerke und Seiten mit sexuellem Inhalt sowie Glücksspielseiten gesperrt habe. Dazu bediene ich mich dem kostenlosen Tool Family Safety aus der Windows Live® Familie vom Microsoft® (Family Safety ist bei Windows 8, Bestandteil des Betriebssystems). Falls dann mein Kind mit dem Bedarf ankommt, was wohl nur noch eine Frage der Zeit ist, sich auch im sozialen Netzwerk registrieren zu lassen, so werde ich ihm die Seite zwar freischalten, aber nicht nur mit meinen Kind zusammen den Zugang einrichten, sondern auch auf die Gefahren hinweisen. Dabei ist ganz wichtig, sich Zeit zu nehmen, denn das kindliche Verständnis ist oftmals noch ein anderes, als bei Erwachsenen.
Technik ersetzt nicht das Gespräch.

Ein weiterer Tipp hierzu: Für das soziale Netzwerk, benötigt man ein Benutzeraccount mit Passwort. Kinder sind sich oftmals gar nicht bewusst, was das bedeutet. Nur zu schnell wird das Passwort mal an andere Freunde. Das die Weitergabe eines Passwortes auch zum Missbrauch führen kann, über derartige Gefahren sind sich Kinder noch nicht bewusst.

Wir sollten die Kontrolle der Aktivitäten unserer Kinder in Sozialen Netzwerken nicht als Misstrauen betrachten, sondern eher als zusätzlichen Schutz vor Gefahren. Kinder und Jugendliche, sind oft nicht in der Lage, die Gefahren wirklich zu erfassen. Für das was unsere Kinder tun, sind immer noch wir, die Eltern, verantwortlich. Mache ich das Internet zu einer offenen Plattform für mein Kind, so verletze ich ganz schnell einen Teil meiner Aufsichtspflicht.

Gerade neulich wurde mir von einem Fall berichtet, wo sich ein Kind mit Unwissenheit auf einer Seite registriert hat, um ein Liebeshoroskop zu erstellen.  Kaum eine Woche vergangen, kam dann eine Rechnung über einen dreistelligen Eurobetrag ..

Man kann aber auch ganz klar sagen : Es gibt bei den sozialen Netzwerken, große Unterschiede. So gibt es einige, in denen man mit den beruflichen Focus registrieren kann und seinen Lebenslauf ablegt. Hier können sich in der Tat, für den registrierten Anwender Chancen für die Zukunft entwickeln. Da hier aber eine andere Altersgruppe mit einer völlig anderen Zielegruppe angesprochen wird, gehen hier auch wenige Gefahren von aus. Aber auch da : Aufklärung und dem Kind und Jugendlichen helfen!

Noch ein Nachsatz : Ich habe es hier bewusst vermieden, irgend welche soziale Netzwerke auf zu listen, da ich hier nicht beabsichtige, direkt oder indirekt Bewertungen durch zu führen.
Gestern Abend, bin ich auf eine Seite gestoßen, wo derartige Bewertungen gemacht werden. Nur leider, können solche Bewertungen auch das gegenteilige bewirken und man erweckt die Neugier der Kinder und Jugendlichen in die falsche Richtung.