Ist True Crypt unsicher?

Es erfreut sich schon lange großer Beliebtheit. Das Festplattenverschlüsselungsprogram Truecrypt. Doch nun der "Knaller" in den Medien. Truecrypt soll unsicher sein. Etwas was uns nicht wirklich verwundert. Ist es doch ein Projekt, deren Entwickler offensichtlich nicht bekannt sind. Bei den Truecrypt Anwendern mag sicherlich Verwunderung auftauchen, so raten die Truecrypt den Wechsel zu Bitlocker und beschreiben auf ihrer Internetseite auch noch, wie diese Umstellung durchzuführen ist.

Warum die jetzige Warnung kommt, mag sicherlich ein Rätsel bleiben. Vermutungen gibt es viele, die bleiben jedoch Spekulation.
Gerne werden Vergleiche mit dem einstigen E-Mail Anbieter Lavabit sein, der seinerzeit seine Dienste abgeschaltet hatte, als die US-Behörden die privaten Schlüssel zu E-Mail Verschlüsselung, forderten.

Schon vor mehreren Jahren, gab es die ersten "Verschwörungstheoretiker" die in Truecrypt eine mögliche Hintertür vermuteten. Da alles nur Spekulation ist, kann man sich eigentlich nur den Warnungen der Entwickler anschließen und auf andere Verschlüsslungsmethoden wechseln. Bitlocker von Microsoft ist mit Sicherheit eine einsetzbare Technologie. Zumal mit Bitlocker auch eine Zwei-Wege Authentifizierung möglich ist, indem man zur Entschlüsselung der Daten eine Smartcard, statt einem Passwort, einsetzen kann.

Aber auch andere Verschlüsselungsmethoden, wie EFS oder das Azure-Rights-Management wären weitere Alternativen, die einzeln oder auch zusätzlich einsetzbar sind.

Welche Methode auch immer verwendet wird. Die NSA Affäre hat uns gezeigt, dass wir nicht nur in der Kommunikation (E-Mail mit SMIME oder PGP) unsere Daten verschlüsseln sollten. Dabei ist die Achtsamkeit nicht nur in der Passwortkomplexität zu suchen, sondern auch in der Frage welche Techniker zur Verschlüsselung eingesetzt werden.

Egal welche Technik eingesetzt wird. Wen der Anwender seine Wiederherstellungsschlüssel nicht sicher aufbewahrt, oder Produkte zum Einsatz kommen, die für sich nicht sicher sind, dann ist die beste Verschlüsselung mehr als sinnlos.

Datenklau bei Sky?

Uns wurde von einigen Sky Kunden mitgeteilt, dass diese eine etwas außergewöhnliche E-Mail bekommen haben. Inhaltlich ging es in dieser Mail darum, dass wohl einige Sky Kunden, gehäuft mit Telefonaten, zwecks Gewinnspiel, attackiert werden. In dieser Mail wird dabei versichert, dass man bereits Untersuchungen eingeleitet hätte.

Liest man diese Mail, so bekommt man schon den Eindruck, dass ein Datenklau stattgefunden hat. Jedoch wird dieses nur indirekt deutlich.
Es sind keine Hinweise zu erkennen die darauf vermuten lassen, ob der vermutete Datenklau ein Cyberangriff war oder durch interne Mitarbeiter erfolgt ist.

Fakt ist: Sky informiert derzeitig seine Kunden darüber und publiziert das Thema öffentlich auf seiner Internetseite.

Quelle: Sky

IT- Fitness – Wie fit sind sie im Umgang mit Ihren Daten oder an Ihrem PC?

Wussten Sie schon, dass die meisten Internetuser mehr Angst vor Cyberattacken haben, als das bei ihnen eingebrochen wird und trotzdem die eigene Wohnung/Haus besser sichern, als ihren Computer?

Woran mag das liegen. Eins der wesentlichen Ursachen ist der Glaube zu wissen, geschützt zu sein, ohne zu wissen, was zum Schutz erforderlich ist. Der SPAM- Filter oder Virenscanner, ist für die meisten ausreichender Schutz. Gekoppelt mit einer Firewall, dürfte eigentlich nichts passieren. Doch genau diese Vermutung ist ein Trugschluss. Selbst der Aufruf einer HTTPS Seite kann schon bedeuten, dass man den Eindringling in sein Haus (den Computer) gelassen hat. Der Glaube „Mein Virenscanner macht das schon“ ist ein Irrtum das einen erst dann deutlich wird, wenn man die Trefferquote bedenkt, die die meisten Virenscanner mit sich bringen. Einen 100% Schutz kann es nicht geben.

Eine weitere große Gefahr sind die Phishing E-Mails. Mails die aussehen, als wenn diese von einem vertrauten Absender kommt und Inhalte liefert, die ich durch Anklicken aufrufen muss. Hier kann es schnell zu Fehlleitungen auf täuschend echte Internetseiten kommen, die eigentlich nur eins beabsichtigen. Das Abfangen von Kennwörtern (wir berichteten). Die weitere Gefahr besteht in Dateianhängen bei E-Mails. Ist es ein Bild, so glauben wir es ist wichtig dieses aufzurufen. Genauso verhält es sich mit Dokumenten etc. Doch Vorsicht. Auch diese Anhänge können Viren enthalten, oder sogar Tools um bspw. E-Mail Passwörter an einen unbekannten Empfänger zu leiten. Diese Methode wurde bei den letzten Großattacken angewandt, wo mehrere Millionen E-Mail Passwörter gestohlen wurden (wir berichteten).

So wird es eine wichtige Aufgabe sein, nicht nur für heute, sondern auch für die Zukunft dafür zu sorgen, dass die Menschen fit für die IT werden. Aus dieser Idee heraus entstand die Initiative IT-Fitness die einen kostenlosen Test zur IT-Fitness anbietet. Dieser Test hat bereits viele Millionen Menschen erreicht und ist so gut gestaltet, dass er auch behilflich sein kann, eigene „Schwachstellen“ in der IT-Fitness zu erkennen.

Zum Test  IT-Fitness

Mehrere PC's im Einsatz? Kostengünstige Lösung für eine zentrale Verwaltung

Heartbleed – wie schlimm ist es wirklich

Heartbleed, blutendes Herz. Doch blutet das Internet wirklich?
Was ist genau passiert. Ein Programmierer, hat in den Code von OpenSSL einen Programmierfehler verursacht. Somit war es Eindringlingen über 27 Monate möglich, an Passwörter und sonstige Information derer zu gelangen, die geglaubt haben, sie hätten mit den verwendeten Service eine gesicherte Verbindung aufgebaut.

Ob in wie intensiv diese Schwachstelle genutzt wurde, kann mit Sicherheit keiner sagen. Die Microsoft Dienste, wie Hotmail, Skype, Microsoft Konto, Live- Postfächer oder gar Office365 sind nicht betroffen. Aber Dienste wie Yahoo, GMail, Instagram (u.v.m.), waren vermutlich betroffen.

Um sich selber zu schützen, ist es mit Sicherheit notwendig, seine Passwörter zu ändern. Dieses macht aber erst Sinn, wenn der betroffene Dienst die Sicherheitslücke auch geschlossen hat. Um das zu testen, gibt es bereits einen Dienst im Internet.

Doch wie sollte der Benutzer mit Passwörtern eigentlich umgehen? Gerne versuchen Anwender möglichst nur ein Passwort zu verwenden. Das ist dann zwar einfach zu merken, aber bei derartigen Angriffen höchst unsicher. So sollte man Dienste, wie Onlineshopping oder andere Dienste mit Geldtransfer, mit möglichst komplexen Passwörtern ausstatten, die nicht mit denen des E-Mail Kontos identisch sind. Sogar für soziale Netzwerke, sind separate Passwörter zu empfehlen. Für den Anwender vielleicht aufwändiger, aber ein besserer Schutz vor Datendiebstahl oder gar finanzieller Schaden.
Welche Dienste waren betroffen? Leider sind die Listen etwas länger, so dass dieses die Informationsflut des Blogs sprengen würde. Senden sie einfach eine Mail an support(at)kroenert.info mit dem Wort OpenSSL-Liste im Betreff.

Computers

Die NSA hört mit – sicher kommunizieren.

 

In den letzten Tagen zeigte uns eine Pressemeldung, dass niemand vor Hackern wirklich sicher sein kann. Es wurden Millionen von E-Mail Konten gehackt. Leider erfährt man meist nicht, wie dieses geschah. Schaut man sich aber die Sicherheitsscans der betroffenen Systeme, so findet man meist Hacktools (Spyware) in irgendwelchen Verzeichnissen. Diese Spyware mit dubiosen Dateinamen wie ganzguteidee.exe, lassen sich dabei recht einfach aufspüren. Bei Windows 8 bspw. mit dem Windows Defender, oder dem Microsoft Safety Scanner .

Doch wenn schon Windows Defender, warum hat das System nie etwas gemeldet? Auch diese Frage ist schnell erklärt. Ein sogenannter Voll Scan, ist im System nicht voreingestellt. In diesem Artikel ist eine Anleitung zu finden, die sehr gut beschreibt, wie man das System zum automatischen Scannen des PC’s bringen kann und das sogar automatisiert.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet einen Sicherheitstest an, der einem die Möglichkeit bietet, zu prüfen, ob sich die eigene E-Mail Adresse mit unter den vermutlich gehackten E-Mailkonten befindet. Natürlich bietet so ein Sicherheitsscheck keinen absoluten Garant, dass man nicht betroffen ist, da die Hackerszene weiterhin aktiv ist. Um zu prüfen, ob das eigene Netz sicher ist oder Teil eine BotNetzes, gibt es hier einen Sicherheitscheck, der auch vom BSI empfohlen wird.

Doch wie schütze ich nun meine E-Mails. Bevor wir diese Frage beantworten, müssen wir uns erst einmal ein bewusst machen. E-Mails sind dem Grunde nach, genauso wie ein Brief zu behandeln. Die in der E-Mail versendeten Informationen sollten grundsätzlich geschützt werden. Spätestens dann, wenn die E-Mail, E-Mail Adressen anderer Personen beinhaltet, als die des Empfängers. Aber auch Adressen und Telefonnummern, müssen genauso geschützt werden, wenn man ein wenig Wert auf Datenschutz legen will. Gerade wenn Daten anderer, bspw. Familienmitglieder, versendet werden, ist man zum Datenschutz verpflichtet.

Da das E-Mail Protokoll aber ein Protokoll ist, welches die Daten grundsätzlich offen, sprich für jeden lesbar, über das Internet sendet, hilft nur noch, das Verschlüsseln der Daten. Das Verschlüsseln ist dabei einfacher, wie es den meisten Anwendern bewusst ist. Ein Stichwort, ist dabei, OpenPGP. OpenPGP ist eine Verschlüsselungsmethode, die für viele Clients verfügbar ist. Auf der Internetseite von gpg4win findet man eine Lösung, die sich recht einfach in Outlook einbinden lässt und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) beauftragt wurde.

Neben dieser Lösung, gibt es auch Lösungen für andere Mail Clients, wie Open Office. Aufgrund der Verbreitung von Microsoft Office, welches mittlerweile auch in günstigen Preismodellen erhältlich ist, möchten wir hier nicht auf die anderen weiteren Lösungen eingehen.

Ein besonderes Plus an Verschlüsselung, haben die Office365 Anwender. Mit Office365 wurde ein Verschlüsselungsverfahren angeboten, das es den Absender erlaubt, auch ohne jede Zusatzinstallation von Zertifikaten, verschlüsselte E-Mails zu versenden. Ergänzt wird das System durch ein weiteres Tool (Microsoft Rights Management), welches auch das Verschlüsseln von Daten erlaubt. Hierbei geht es insbesondere um Cloud Daten, wie beispielsweise auf OneDrive. Diese Daten lassen sich mit dem Tool nicht nur verschlüsseln, sondern können über das gleiche Tool von jedem anderen PC entschlüsselt werden, wenn Sie sich dort anmelden. Vorteil dieser Technologie: Auch für die gängigen Smartphone Plattform gibt es ein App, um diese Daten zu lesen oder zu verschlüsseln. So kann selbst das mit dem Smartphone erstellte Foto, verschlüsselt werden.

 

Verschlüsselung mit OpenPGP oder Zertifikatdiensten

OpenPGP ist ein Produkt, was die Verschlüsselung von E-Mails erlaubt. Da OpenPGP für die unterschiedlichsten Clients angeboten wird, ist es weit verbreitet. Für Outlook gibt es dafür ein passendes Plugin, was sich nach der Installation, wie folgt im Outlook darstellt:

 

 

 

Zur Installation, benötigen Sie zwei Dateien, die Sie hier herunterladen können -> Download

1. Entpacken Sie die Datei.

2. Als erstes installieren Sie : gpg4win-2.1.1.exe

3. Führen Sie die setup.exe aus

 

Damit ist die eigentliche Installation beendet. Zum Abschluss muss noch das Programm "Kleopatra" gestartet werden.
Gehen Sie dort auf "Datei" und dann "Neues Zertifikat"

 

Danach öffnet sich folgendes Fenster:

 

Suchen Sie sich eine Option aus. Im Folgedialog füllen Sie unbedingt ALLE Felder wahrheitsgemäß aus.

Wenn Sie alle Felder ausgefüllt haben und auf "weiter" klicken, werden Sie zur Eingabe eines Passwortes aufgefordert. Merken Sie sich dieses Passwort gut. Dieses Passwort wird später erforderlich sein, um Mails zu verschlüsseln.

Wenn Sie wieder in der Klepatra Startmaske sind, müssen wir das Zertifikat noch zum Server hochladen, damit auch andere Personen uns verschlüsselte Mails senden können. Dazu machen Sie auf den Eintrag einen Rechtsklick.

 

 

Wenn Sie das durchgeführt haben, steht nichts mehr im Wege, verschlüsselte Mails zu versenden. 

 

Eine weitere Methode ist die Nutzung von X509 Zertifikaten. Diese werden kostenlos über Dienste wie Comodo angeboten und im Mailclient integriert.

 

Um überhaupt eine E-Mail verschlüsseln zu können, ist es erforderlich, den öffentlichen Schlüssel des Empfängers zu besitzen. Hierbei können zentrale Dienste im Internet genutzt werden. Dienste wie Global Trustpoint bieten sich hierfür an. Vorteil dieser Dienste, ist die gute Integrationsmöglichkeit in den Mailclient

Windows Phone - Eine neue Ära?

Diese Frage taucht immer wieder auf. Warum Windows Phone? Es gibt doch kaum Apps etc. Ich denke aber, wer mit dieser Argumentation in die Auswahl seines Smartphone geht, macht ein paar grundlegende Fehler.

Bei einem Smartphone, sollte erst einmal die Bedienbarkeit und die Sicherheit im Vordergrund stehen. Gerade die NSA Affäre hat uns gezeigt, wie wichtig es ist, nicht nur unsere eigenen Daten zu schützen, sondern auch die Daten, die wir von anderen Personen haben (Adresse, Telefon, E-Mail). Microsoft hat hier mit dem kommenden Windows Phone 8.1 ein System entwickelt, was all diese Anforderungen zu 100% erfüllt. Nicht nur das. Microsoft geht noch einen Schritt weiter und verschlüsselt die Daten. Somit ist der Datenklau, selbst auf der SD, unmöglich. Highlights wie: Favoritensynchronisation des IE mit dem PC, fallen da kaum auf.

Schauen wir uns die Higlights vom Windows 8.1 Phone, einmal an:

Windows Phone 8.1 Highlights für Privatanwender

Info-Center.
Das Infocenter wird die neue Nachrichtenzentrale für den WP Anwender, damit diesem keine Informationen mehr entgehen.

Lernende Word Flow-Tastatur.
Die Tastatur soll inteligenter werden, indem sie lernt, was der Anwender eingibt und somit eine bessere Autovervollständigung durchführen kann. Zudem braucht der Anwender nur noch über die Tastatur zu gleiten, um zu schreiben.

Skype integriert.
Mit dem Wegfall vom Live Messenger, hat Microsoft nun Skype voll integriert, so wie wir es bereits aus Windows 8.1 kennen.

Kalender mit Zusatzinfos.
Die Kalenderansicht ist verbessert und wird, ähnlich wie bei Outlook, Wetterdaten anzeigen

Cortana.
Die neue Spracherkennung wird wohl erst 2015 den deutschen Markt erreichen.

Musik, Video, Podcasts.
Die Apps wurden separiert und funktional verbessert.

Personalisierung.
Die Personalisierung ist erheblich, in allen Bereichen, verbessert worden. So wird das Windows Phone zu "Mein Phone"


Windows Phone 8.1 – Optimierte Gerätenutzung

Datenoptimierung.
Das Datenvolumen lässt sich noch genauer kontrollieren.

WLAN-Optimierung.
WP kann sich automatisch mit offenen kostenlosen HotsPots verbinden, was das Datenvolumen reduziert. Zudem können Freunden Zugang zum WLAN gegeben werden, ohne diesen die Zugangsdaten preis geben zu können. Wir werden uns überraschen lassen wie das funktioniert.

Speicheroptimierung.
Ein heikles Thema. Neben Medien, lassen sich nun auch die Apps auf der SD-Karte speichern, wobei die Daten auch dort verschlüsselt werden.

Stromsparmodus.
Der Energieverbrauch der einzelnen Apps lässt sich grafisch darstellen. Hilfreich um "Energiefresser" bei Bedarf, zu deaktivieren.

Windows Phone 8.1 – Highlights für Geschäftskunden

Für IT Manager wird das Verwalten vereinfacht. Zudem bieten SMINE -Verschlüsselung und VPN noch weitere Funktionen, die auch den Privatanwender interessieren könnten.

Internet Explorer 11
Mit dem Einzug des IE11 auf der WP Plattform, wird es möglich sein "inPrivat" zu surfen und die Favoriten zwischen Windows 8.1 Rechner und seinem Smartphone, zu synchronisieren.


Windows 8.1 und Windows Phone 8.1 im engen Zusammenspiel:
Verwendet man auf PC und dem WP das gleiche Microsoft Konto so können viele Einstellungen aus dem PC, auch auf das WP übertragen werden. (WLAN Passwörter, Design, offene Tabs im IE)


Fazit:
Man könnte sagen, "Warum nicht gleich so". Die dargestellten neuen Funktionen, lassen das Windows Phone endlich erwachsen aussehen. Selbst die App Problematik, die viele kritisieren, ist schon längst nicht mehr existent, denn der Windows Phone Marketplace, kann sich sehen lasse. Für Anwender, die ein sicheres Smartphone suchen, gute Bedienbarkeit wünschen, wird mit Windows Phone 8.1, das Windows Phone mit Sicherheit interessanter sein, wie so manch andere Smartphone Plattform. -->BlogArtikel

Die Technik geht weiter .... gestern LiveMesh - heute Skydrive

Vor einigen Jahren wurde dieser Artikel veröffentlicht (siehe hier). Doch was hat sich in den letzten Jahren wirklich geändert?

Smartphones haben sich in das Leben der Menschen integriert. Die mobile Kommunikation findet schon lange nicht mehr über Sprache statt, sondern über Netzwerke im Internet. (ca 90% aller Smartphones werden kaum noch zum telefonieren genutzt).

Ein weiterer Schritt, ist die Touch- Welt über entsprechende Tablet-PC`s. Der Gewinn für jedn ist klar. Zeit effektiver zu nutzen, überall erreichbar zu sein.

Heute legen wie Wert auf Dienste, die in der Cloud liegen. Warum? Um unsere Daten nicht lästig vom PC zum Tablet oder gar Handy transportieren zu müssen. Unterstützt werden wir dabei durch Clouddienste wie Skydrive und Co. Gerade im Beispiel von Skydrive, sind aber für die Anwender neue Fragen entstanden. Wo früher LiveMesh simpel die Daten syncronisiert werden, muss der Anwender heute ein wenig mehr tun. Der Skydrive Client ist schnell über die Windows Live Essentials 2012 installiert oder kann, noch besser, direkt herunter geladen werden.

Doch dann beginnt die erste Hürde. Skydrive ist installiert und wie sage ich es jetzt meinem PC, dass dort jetzt meine Standardbibliotheken (Bilder, Fotos, Musik, Videos) liegen?

Eigentlich ist die Lösung wiedereinmal ganz einfach. Wer unter "C:\users\benutername) in sein Profil geht, sieht dort seine Bibliotheken. Schon mal mit Rechtsklick auf diese gegangen? Wenn man das tut und dann auf "Eigenschaften" geht, sieht man einen Reiter "Pfad" und genau dort kann man den Pfad ins Skydrive verlagern.

Natürlich gibt es den entsprechenden Client nicht nur für Windows, sondern es ist eine plattformübergreifende Synchronisation möglich.