Heartbleed – wie schlimm ist es wirklich

Heartbleed, blutendes Herz. Doch blutet das Internet wirklich?
Was ist genau passiert. Ein Programmierer, hat in den Code von OpenSSL einen Programmierfehler verursacht. Somit war es Eindringlingen über 27 Monate möglich, an Passwörter und sonstige Information derer zu gelangen, die geglaubt haben, sie hätten mit den verwendeten Service eine gesicherte Verbindung aufgebaut.

Ob in wie intensiv diese Schwachstelle genutzt wurde, kann mit Sicherheit keiner sagen. Die Microsoft Dienste, wie Hotmail, Skype, Microsoft Konto, Live- Postfächer oder gar Office365 sind nicht betroffen. Aber Dienste wie Yahoo, GMail, Instagram (u.v.m.), waren vermutlich betroffen.

Um sich selber zu schützen, ist es mit Sicherheit notwendig, seine Passwörter zu ändern. Dieses macht aber erst Sinn, wenn der betroffene Dienst die Sicherheitslücke auch geschlossen hat. Um das zu testen, gibt es bereits einen Dienst im Internet.

Doch wie sollte der Benutzer mit Passwörtern eigentlich umgehen? Gerne versuchen Anwender möglichst nur ein Passwort zu verwenden. Das ist dann zwar einfach zu merken, aber bei derartigen Angriffen höchst unsicher. So sollte man Dienste, wie Onlineshopping oder andere Dienste mit Geldtransfer, mit möglichst komplexen Passwörtern ausstatten, die nicht mit denen des E-Mail Kontos identisch sind. Sogar für soziale Netzwerke, sind separate Passwörter zu empfehlen. Für den Anwender vielleicht aufwändiger, aber ein besserer Schutz vor Datendiebstahl oder gar finanzieller Schaden.
Welche Dienste waren betroffen? Leider sind die Listen etwas länger, so dass dieses die Informationsflut des Blogs sprengen würde. Senden sie einfach eine Mail an support(at)kroenert.info mit dem Wort OpenSSL-Liste im Betreff.

Computers

Die NSA hört mit – sicher kommunizieren.

 

In den letzten Tagen zeigte uns eine Pressemeldung, dass niemand vor Hackern wirklich sicher sein kann. Es wurden Millionen von E-Mail Konten gehackt. Leider erfährt man meist nicht, wie dieses geschah. Schaut man sich aber die Sicherheitsscans der betroffenen Systeme, so findet man meist Hacktools (Spyware) in irgendwelchen Verzeichnissen. Diese Spyware mit dubiosen Dateinamen wie ganzguteidee.exe, lassen sich dabei recht einfach aufspüren. Bei Windows 8 bspw. mit dem Windows Defender, oder dem Microsoft Safety Scanner .

Doch wenn schon Windows Defender, warum hat das System nie etwas gemeldet? Auch diese Frage ist schnell erklärt. Ein sogenannter Voll Scan, ist im System nicht voreingestellt. In diesem Artikel ist eine Anleitung zu finden, die sehr gut beschreibt, wie man das System zum automatischen Scannen des PC’s bringen kann und das sogar automatisiert.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet einen Sicherheitstest an, der einem die Möglichkeit bietet, zu prüfen, ob sich die eigene E-Mail Adresse mit unter den vermutlich gehackten E-Mailkonten befindet. Natürlich bietet so ein Sicherheitsscheck keinen absoluten Garant, dass man nicht betroffen ist, da die Hackerszene weiterhin aktiv ist. Um zu prüfen, ob das eigene Netz sicher ist oder Teil eine BotNetzes, gibt es hier einen Sicherheitscheck, der auch vom BSI empfohlen wird.

Doch wie schütze ich nun meine E-Mails. Bevor wir diese Frage beantworten, müssen wir uns erst einmal ein bewusst machen. E-Mails sind dem Grunde nach, genauso wie ein Brief zu behandeln. Die in der E-Mail versendeten Informationen sollten grundsätzlich geschützt werden. Spätestens dann, wenn die E-Mail, E-Mail Adressen anderer Personen beinhaltet, als die des Empfängers. Aber auch Adressen und Telefonnummern, müssen genauso geschützt werden, wenn man ein wenig Wert auf Datenschutz legen will. Gerade wenn Daten anderer, bspw. Familienmitglieder, versendet werden, ist man zum Datenschutz verpflichtet.

Da das E-Mail Protokoll aber ein Protokoll ist, welches die Daten grundsätzlich offen, sprich für jeden lesbar, über das Internet sendet, hilft nur noch, das Verschlüsseln der Daten. Das Verschlüsseln ist dabei einfacher, wie es den meisten Anwendern bewusst ist. Ein Stichwort, ist dabei, OpenPGP. OpenPGP ist eine Verschlüsselungsmethode, die für viele Clients verfügbar ist. Auf der Internetseite von gpg4win findet man eine Lösung, die sich recht einfach in Outlook einbinden lässt und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) beauftragt wurde.

Neben dieser Lösung, gibt es auch Lösungen für andere Mail Clients, wie Open Office. Aufgrund der Verbreitung von Microsoft Office, welches mittlerweile auch in günstigen Preismodellen erhältlich ist, möchten wir hier nicht auf die anderen weiteren Lösungen eingehen.

Ein besonderes Plus an Verschlüsselung, haben die Office365 Anwender. Mit Office365 wurde ein Verschlüsselungsverfahren angeboten, das es den Absender erlaubt, auch ohne jede Zusatzinstallation von Zertifikaten, verschlüsselte E-Mails zu versenden. Ergänzt wird das System durch ein weiteres Tool (Microsoft Rights Management), welches auch das Verschlüsseln von Daten erlaubt. Hierbei geht es insbesondere um Cloud Daten, wie beispielsweise auf OneDrive. Diese Daten lassen sich mit dem Tool nicht nur verschlüsseln, sondern können über das gleiche Tool von jedem anderen PC entschlüsselt werden, wenn Sie sich dort anmelden. Vorteil dieser Technologie: Auch für die gängigen Smartphone Plattform gibt es ein App, um diese Daten zu lesen oder zu verschlüsseln. So kann selbst das mit dem Smartphone erstellte Foto, verschlüsselt werden.

 

Verschlüsselung mit OpenPGP oder Zertifikatdiensten

OpenPGP ist ein Produkt, was die Verschlüsselung von E-Mails erlaubt. Da OpenPGP für die unterschiedlichsten Clients angeboten wird, ist es weit verbreitet. Für Outlook gibt es dafür ein passendes Plugin, was sich nach der Installation, wie folgt im Outlook darstellt:

 

 

 

Zur Installation, benötigen Sie zwei Dateien, die Sie hier herunterladen können -> Download

1. Entpacken Sie die Datei.

2. Als erstes installieren Sie : gpg4win-2.1.1.exe

3. Führen Sie die setup.exe aus

 

Damit ist die eigentliche Installation beendet. Zum Abschluss muss noch das Programm "Kleopatra" gestartet werden.
Gehen Sie dort auf "Datei" und dann "Neues Zertifikat"

 

Danach öffnet sich folgendes Fenster:

 

Suchen Sie sich eine Option aus. Im Folgedialog füllen Sie unbedingt ALLE Felder wahrheitsgemäß aus.

Wenn Sie alle Felder ausgefüllt haben und auf "weiter" klicken, werden Sie zur Eingabe eines Passwortes aufgefordert. Merken Sie sich dieses Passwort gut. Dieses Passwort wird später erforderlich sein, um Mails zu verschlüsseln.

Wenn Sie wieder in der Klepatra Startmaske sind, müssen wir das Zertifikat noch zum Server hochladen, damit auch andere Personen uns verschlüsselte Mails senden können. Dazu machen Sie auf den Eintrag einen Rechtsklick.

 

 

Wenn Sie das durchgeführt haben, steht nichts mehr im Wege, verschlüsselte Mails zu versenden. 

 

Eine weitere Methode ist die Nutzung von X509 Zertifikaten. Diese werden kostenlos über Dienste wie Comodo angeboten und im Mailclient integriert.

 

Um überhaupt eine E-Mail verschlüsseln zu können, ist es erforderlich, den öffentlichen Schlüssel des Empfängers zu besitzen. Hierbei können zentrale Dienste im Internet genutzt werden. Dienste wie Global Trustpoint bieten sich hierfür an. Vorteil dieser Dienste, ist die gute Integrationsmöglichkeit in den Mailclient

Soziale Netzwerke (Teil1)

Soziale Netzwerke Fluch oder Segen ?

Soziale Netzwerke sind in aller Munde und werden auch schon viel genutzt.

Wer sich einmal umschaut, wird dabei zwei Kategorien an Anwender finden. Die einen, die mit irgendwelchen Aliasnamen möglichst hohe Anonymität erhalten wollen und natürlich auch die, die sich hier transparent mit Namen registrieren.

Aber was wollen die User, die die sozialen Netzwerke anonym beitreten ? Sind es die Gamer ? Oder jene, die einfach nur mit ihrem Freundeskreis in Kontakt bleiben wollen ? Ich glaube, bevor wir jetzt diese Fragen beantworten können, gehen wir einmal an die Basis.

Mein erster Kontakt. Was muss ich tun ?

Wenn wir uns die verschiedenen Portale ansehen, so finden wir immer ein Grundsatzmodell. Der Anwender muss sich auf der entsprechenden Seite registrieren und viele, teils auch persönliche, Daten angeben. Dabei bleibt es dem Anwender meist selbst überlassen, ob diese Daten öffentlich, also für alle einsehbar, oder nur für einen auswählbaren Anwenderkreis sichtbar sind. Bei diesem Anwenderkreis handelt es sich um Personen, die ich nach erfolgreicher Registrierung, als Kontakte einladen kann. Soweit so gut. Wenn man sich die Portale ansieht, wird man schnell feststellen, dass das eigentliche Ziel die Kommunikation mit meinen Kontakten ist.

Gibt es bei den Portalen Unterschiede ?

Die verschiedenen Portale haben unterschiedliche Zielgruppen. Wir finden Portale, die eigentlich mehr von der Allgemeinheit aus rein privaten Aspekten genutzt werden.

Einige wenige Portale, haben Ihren Schwerpunkt auf rein berufliche Kontakte gesetzt. Hier werden dann in der Tat Informationen über Karriere und berufliche Laufbahn bereitgestellt. Das ganze macht sogar einen großen Sinn. Gerade wenn es darum geht, auf Jobsuche zu gehen, oder geschäftliche Kontakte zu knüpfen. Ich habe mich spaßeshalber mal auf ein dieser Portale registriert. Kaum auf speichern gedrückt, kam auch schon die ersten Anfragen von Personen, die mich als Kontakt speichern wollten. Alle diese Personen habe ich bestätigt, denn es waren überraschender Weise alles Personen, mit denen ich schon geschäftlich zu tun hatte. Innerhalb von nur 10min. hatte ich 20 Geschäftskontakte

Wenn ich jetzt registriert bin und einige Kontakte habe, was kann ich dann überhaupt mit den sozialen Netzwerken anfangen ?

Meistens sind die Sozialen Netzwerde so ausgelegt, dass man mit seinen Kontakten Informationen austauschen kann. Man muss diese Informationen nur bereitstellen und meine Kontakte können diese zu jedem Zeitpunkt wieder abrufen. Weltweit und zur jeder Zeit.

Ein schönes Beispiel :

Ein Arbeitskollege von mir, war für einige Wochen in Amerika. Da die Zeitverschiebung nicht unbedingt das Telefonat zuließ, hat er auf einen dieser Portale, immer Informationen hinterlassen, wo er gerade ist, oder was er gerade macht. Auch frische Bilder hat er mit übertragen. Eigentlich eine tolle Sache, denn somit waren wir immer wunderbar informiert. Das schöne, er brauchte dafür nicht einmal einen PC. Um die Informationen für uns bereit zu stellen, hat er einfach eine Anwendung auf seinem Handy genutzt.

Ein weiteres Anwendungsbeispiel ist Microsoft Office. Für Office gibt es den sogenannten sozialen Connector. Einmal installiert und eingerichtet , kann ich schön in Outlook Informationen über meinen E-Mail Empfänger/Sender erhalten. Bedingung, er muss im selben Portal registriert sein. Ein andere praktische Anwendung. Ich bekomme eine Mail von jemanden den ich nicht kenne. Frage mich : Was will der ? Im sozialen Netzwerk nachgesehen, konnte ich sehr schön erkennen, wie er mit seinem Anliegen auf mich gekommen sein könnte. Das Geheimnis war : Über ein Arbeitskollegen ….

Doch birgt das alles nicht auch Gefahren ? Darüber mehr im 2. Teil …