Als Telekom-Kunde Post von der Telekom anfordern.

Mir fiel jetzt kein besserer Titel für diesen Blog-Eintrag ein, aber tatsächlich ärgere ich mich gerade etwas über die Telekom für eine völlig ohne Not produzierte Dummheit.

Ich habe heute Post bekommen, nämlich eine „Wichtige Sicherheitswarnung zu Ihrem Internetzugang“. Einer meiner Rechner, „z.B. Smartphone“ sei mit einem Virus/Trojaner infiziert und ich möge bitte umgehend alle meine Rechner prüfen und Passwörter ändern. Nähere Informationen gäbe es in meiner Mail, die via Mail geschickt wurde. Diese Mail, die sich dann in meinem so gut wie nie benutzten T-Online-Postfach fand, enthielt immerhin den Hinweis, dass ich mir den Wannacrypt-Trojaner eingefangen haben soll.

Aus dem Bauch heraus gesagt: Kaum möglich. Meine Rechner sind alle gepatcht, ich habe funktionierende Antivirensoftware drauf und keiner meiner Rechner hängt nackt in irgendwelchen WLAN-Netzwerken herum. Trotzdem habe ich Laptop und Desktop-PC gescannt, so ganz ohne Grund verschickt ja wohl die Telekom keine solche Post. Wobei es hier schon das zentrale Ärgernis gibt, denn was taugt bitteschön eine Sicherheitswarnung, wenn darin nicht zumindest für Experten lesbar steht, wie man denn darauf gekommen ist, dass der betreffende Kunde ein Sicherheitsproblem haben könnte. Nur die angegebene IP-Adresse und der genaue Zeitpunkt helfen da den meisten Kunden recht wenig.

Des Rätsels Lösung kam dann, als ich den Zeitpunkt, den die Telekom in ihrem Brief angegeben hatte, minutiös nachverfolgt habe in meinen Systemprotokollen und vor allem im Browserverlauf. Denn exakt zu diesem Zeitpunkt habe ich folgende Website aufgesucht, die in der Wannacrypt-Trojanerwelle als Killswitch benutzt wurde. (Kurzfassung: Ist der Wannacrypt-Trojaner auf einem Rechner, überprüft er zunächst, ob die folgende Web-Adresse existiert und legt erst dann los, wenn diese Website nicht existiert.)

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/

Die Telekom-Kollegen haben also einen Paketfilter ins Backbone gebastelt, der alle Zugriffe auf die obige Adresse meldet und ein Ticket im Abuse-Department der Telekom auslöst. Auf den ersten Blick okay, aber, liebe Telekom: Man schreibt die Art und Weise, wie ein Sicherheitsproblem offenbar existiert, dem Kunden dann dazu.

Oder auch anders gesagt: Willst du als Telekom-Kunde Post von der Telekom (und mehr passiert dann auch nicht)? Dann einfach auf den obigen Link klicken.

Wann man externe Dienste zum Verwalten seiner Passwörter nutzen sollte.

Ganz einfach: Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals.

Das Ende von TrueCrypt?

TrueCrypt hat sich im Laufe der Jahre einen Namen gemacht als Werkzeug, um verschlüsselte Container auf normalen unverschlüsselten Laufwerken abzubilden, die dann als normale Ordner oder Laufwerke gemountet werden können. Das geschieht technisch sehr zuverlässig, auch wenn die TrueCrypt-Macher eher eine Politik des Versteckens lebten. Es gab kaum Informationen über sie, ebenso gab es zwar die Beteuerung, dass TrueCrypt Open Source sei, die proprietäre „TrueCrypt-Lizenz“ dies aber nicht in der Eindeutigkeit hergab, wie das z.B. von der Open-Source-Foundation gefordert wird.

Wie auch immer: Ein externes Audit-Team sammelte letztes Jahr einen Haufen Geld, um ein externes Audit der Software zu bezahlen. Und auch wenn dieses Audit noch nicht beendet ist, zeigte es doch schon nach den ersten Analysen, dass die Software das tut, was sie versprach und nach allgemeiner Untersuchung auch keine größeren Sicherheitslöcher oder Backdoors enthielt und enthält. Die Version 7.1a ist daher das, was man nach heutiger Aussage noch als sicher und funktionsfähig bezeichnen kann.

Was nun nicht mehr für die Version 7.2 gilt, die seit gestern im Umlauf ist. Und auch nicht mehr für zukünftige Versionen, die es wohl nicht mehr geben wird, weil das TrueCrypt-Projekt sich seit gestern als beendet erklärt und die eigene Software als unsicher bezeichnet.

Ist TrueCrypt tatsächlich plötzlich unsicher geworden?

Ohne jetzt einer tiefen Software-Analyse vorzugreifen, die ich auch gar nicht vornehmen könnte: Wohl kaum. Die plötzliche Einstellung des Projektes riecht eher so, als ob das Projekt mehr oder weniger hastig eingestampft werden musste. Da kann es mehrere Gründe dafür geben, die allesamt unbestätigt und Vermutungen von mir sind:

  • Es gab möglicherweise Druck, die Software im jetzigen Umfang nicht mehr zu veröffentlichen oder weiterzuentwickeln. Dafür spricht, dass die Macher verkündet haben, dass das Projekt eingestellt wurde, dennoch aber eine neue Version 7.2 veröffentlichten, die einen kleinen, aber feinen Unterschied zur vorherigen Version 7.1a hat: Es können mit der neuen Version keine neuen verschlüsselten Container erstellt werden und zudem meldet die Software beim Start, dass sie nicht sicher sei. Das macht niemand, der an seine Software glaubt, selbst wenn er sie einstellen muss.
  • Die TrueCrypt-Macher empfehlen auf der TrueCrypt-Projektseite allen Ernstes unter anderem Bitlocker als Alternative, das ist das eingebaute Laufwerkverschlüsselungssystem von Windows. Das zwar wohl auch stark verschlüsseln kann, dem aber kaum zu trauen ist, wenn es darum geht, etwas wirklich geheimzuhalten. Das fängt damit an, dass Bitlocker über Gruppenrichtlinien konfiguriert werden kann, mit mehreren privaten Schlüsseln zu verschlüsseln und endet damit, dass Bitlocker auf einem Rechner mit TPM-Chip diesen nutzt. Es ist mir herzlich egal, was Sicherheitsleute darüber sagen, aber für mich (und viele andere) ist das ein No-Go. Es ist davon auszugehen, dass Bitlocker zwar stark verschlüsselt, diese Verschlüsselung aber für (US-)Behörden keinen nennenswerte Hürde darstellt. Wenn die TrueCrypt-Macher einfach so plötzlich Bitlocker empfehlen, ist das daher keine Empfehlung, sondern ein deutlicher Hinweis.
  • Wer erwartet, dass sich die TrueCrypt-Macher über die wahren Beweggründe erklären, kennt die Realität nicht. Es ist davon auszugehen, dass wenn Punkt 1 eingetreten sein könnte, das über einen so genannten „National Security Letter“ oder eine ähnliche Ansprache erfolgt ist. Diese Ansprachen haben als eminentesten Punkt die Regel, dass über die Ansprache selbst unter Strafandrohung nicht geredet werden darf. Der Schritt der TrueCrypt-Macher ähnelt, wenn man eine behördliche Ansprache in Erwägung zieht, der Vorgehensweise des Betreibers des ehemaligen Maildienstes Lavabit, der nicht der behördlich angeordneten Übergabe seiner privaten Schlüssel entsprach, sondern seinen Maildienst kurzerhand einstellte.

Sicherlich ist das alles vor allem eine große Verschwörungstheorie, über die man vortrefflich streiten kann. Mit rechten Dingen geht es hier nicht mehr zu. Aber dass TrueCrypt jetzt einfach plötzlich über Nacht unsicher geworden sei, nicht argumentiert wird, warum das so sei und dann plötzlich auch noch Bitlocker empfohlen wird, das einer der Hauptgründe für viele ist, bisher eben TrueCrypt einzusetzen, halte ich für fragwürdig. Hier stinkt es.

Es bleibt abzuwarten, wie sich die Fragezeichen im TrueCrypt-Ende auflösen und wie die Entwicklung von TrueCrypt weitergeht bzw. ob sich ein Nachfolgeprojekt entwickelt. Zum jetzigen Zeitpunkt sagen kann man nur:

  1. Bei TrueCrypt 7.1a bleiben, Finger weg von der beschnittenen Version 7.2. Keine Panik vor der Panikmache.
  2. Schon mal ganz sicher nicht auf Bitlocker oder anderen Verschlüsselungsmechanismen wechseln, die von kommerziellen Anbietern von Betriebssystemen oder Verschlüsselungsprogrammen mitgeliefert werden. 😉
  3. TrueCrypt-Installationspakete nur aus vertrauenswürdigen Quellen beziehen und immer prüfsummenchecken. Golem.de hat z.B. die aktuellen 7.1a-Versionen gesichert und stellt sie zur Verfügung, ebenso die relevanten Prüfsummen.
  4. Und auch eines gilt immer für Verschlüsselungscontainer: Den Inhalt sollte man an anderer, sicherer Stelle nochmal gesichert haben, wenn einem die Daten lieb sind. Und das gilt auch für die Verschlüsselungssoftware selbst, denn auch diese sollte man als Kopie nochmal parat haben.

Datenschutz ade auf SPD.de.

Ich habe heute meinen SPD-Mitgliedsbeitrag gesenkt. Das hat seinen guten Grund, denn ich möchte Mitglied in einer Rettungsorganisation werden, ich habe für gemeinnützige Dinge einen Etat in meinem Einkommen und dann muss im Zweifel halt jemand daran glauben, wenn ich darin umschichte. Die SPD wird es überleben.

Ob ich die Änderung des Mitgliedsbeitrages überlebe, ich schon wieder eine andere Frage. Denn in Sachen Datenschutz erlaubt sich die SPD auf ihrer Online-Plattform eine Schwachstelle, die so derartig dumm, dreist, gestört, bescheuert ist, dass man kotzen könnte bei so viel Dummheit. Und das allein schon aus dem Hintergrund heraus, dass die SPD vor vielen, vielen Jahren einmal online so etwas wie Pionierarbeit geleistet hat. Lange her.

Heute kann man sich auf SPD.de im Mitgliederbereich mit Zugangsdaten anmelden und dann in einem verschlüsselten Mitgliederbereich seine Kontaktdaten und Mitgliedsbeitrag ändern. Das Formular ist bis auf die Mitgliedsnummer nicht vorab ausgefüllt, aber nun gut, damit kann man leben. Vielleicht ist das ja auch nur eine Art Gedächtnistest oder eine Kindersicherung.

Also, Formular ausgefüllt, auch nochmal mit meinen Kontaktdaten. Aus Deutschland wurde am Ende zwar Djibuti und der Startzeitpunkt für den neuen Mitgliedsbeitrag änderte sich auf magische Weise von „9 2013“ auf „9 2012“, aber das kann ja auch mein Fehler gewesen sein. Es macht natürlich auch vollkommen Sinn, bei der Auswahl des Zeitpunktes für den neuen (!) Mitgliedsbeitrag noch das Jahr 2012 anzubieten. Und es macht auch vollkommen Sinn, bei der Angabe eines neuen Mitgliedsbeitrages zwingend einen Beruf angeben zu müssen, bei dem dann aber der Beruf eines Minusstriches („-„) akzeptiert wird. Ist ja eigentlich auch ein ehrenwerter Beruf, so ein Minusstrich. Denkt man sich bestimmt so, wenn man damit beauftragt wird, ein dämliches Online-Formular zu basteln.

Was definitiv nicht mein Fehler ist, ist das, was nach dem Absenden des SSL-gesicherten Online-Formulares passiert. Die SPD hat zwar ein Intranet mit ihren Landesniederlassungen und Kreisbüros und auch eine zentrale Mitgliederdatenbank, aus der sich letztendlich die ganzen Gliederungen auch bedienen, aber dennoch wird eine E-Mail an meinen Kreisverband, an „eintreten@spd.de“ und an mich versendet. Unverschlüsselt. Mit all den Daten, die ich soeben in das verschlüsselte Formular eingegeben hatte. Also auch mit meinen Daten meines Girokontos.

Screenshot, bitte. Die wirklich sensiblen Bereiche habe ich in diesem Screenshot netterweise mal geschwärzt (mit einem Klick darf man das alles großmachen):Unverschlüsselte Bestätigungsmail von SPD.de mit sensiblen Kontaktdaten

Für den, der das bei der SPD oder bei der Online-Agentur, die die SPD derzeit betreut, verbockt hat: Du alter Pimmelkopp, man sollte solche Anfänger wie dich wegsperren und zwangsumschulen auf Fensterputzer oder sowas ähnliches.

Ergänzung: Ja, natürlich habe ich den Betreffenden über dieses Sicherheitsloch informiert, nämlich via Rückantwort an die „Eintreten“-Mailadresse. Ich habe danach dennoch darüber gebloggt, weil die Veröffentlichung des Sicherheitsproblems keinen Raum für direkte Datenmanipulationen eröffnet (so hoffe ich doch wenigstens). Schlicht gesagt: Es ist haarsträubende Schlamperei und verpasstes Sicherheitsauditing und solche Defekte gehören unmittelbar an die Öffentlichkeit.

Der Staat schnüffelt in deinen Daten? Weil du sie nicht schützt!

Ein offensiver Titel, ich weiß. Und natürlich ist das auch nur die halbe Wahrheit, denn man kann nicht alle Daten schützen, ohne zumindest ein Teil dieser Daten auch zu kommunizieren. Wer niemals spricht, wird auch nicht gehört, aber gelegentlich muss man eben sprechen.

Datensicherheit fängt jedoch immer hinten an, niemals vorn. Daten zu sichern ist keine Eintagsgeschichte und das gilt für Unternehmen genauso, wie für Privatmenschen. Wenn mir ein Privatmensch sagt, er habe keine zu sichernden Daten, dann ist das glatt gelogen, denn wenn ich in meine Passwortverwaltung schaue, finde ich da weit über 200 zu sichernde Passwörter für verschiedene Logins. Das fängt von Karten-PINs an, geht über Facebook & Co. bis hin zu Logins für so exotischere Dienste wie die Packstation oder das Passwort für die Gastherme im Haus. Alles Dienste und Gerätschaften, die Passwörter brauchen und Sicherheit fängt damit an, dass man niemals immer das gleiche Passwort verwendet.

Sicherheit ist eine unglaubliche Schweinearbeit, das stimmt. Ich kenne Unternehmer, deren IT-Abteilung inzwischen weit über die Hälfte ihrer Arbeitszeit in IT-Sicherheit investiert und dennoch gibt es dort viel zu tun. Vollkommene Sicherheit ist eine Utopie, aber dennoch muss man zuschauen, sich vor Virenbefall weitestgehend zu schützen und dafür zu sorgen, dass sicherheitsrelevante Daten nicht in falsche Hände geraten. Oder eben in falsche Netze. Sicherlich würden die Behörden dieser Welt an alle meine Login-Daten kommen, wenn sie das unbedingt wollten. Es ist aber immer eine Frage des Aufwandes, wenn sie alle diese Dienste fragen müssten und nicht durch meine Dummheit vielleicht an ein Passwort kommen würden, das ich, wenn ich fahrlässig wäre, für alle Logins einsetzen würde.

Dazu kommt, dass man sensible Daten nicht einfach nur auf die Festplatte legt. Und auch nicht in ein besonders verstecktes Verzeichnis. Oder auf einen USB-Stick, den man bei Omi in der Schublade versteckt. Nein, Daten sind niemals sicher, wenn sie nicht sinnvoll verschlüsselt sind. Sind sie sinnvoll verschlüsselt und ist das Passwort hinreichend komplex, spielt es keine Rolle, wo die Dateien liegen.

In der IT-Sicherheit unterscheidet man nicht zwischen Unbefugtem, Ex-Mitarbeiter, Hacker, feindlichem Staat oder Heimatstaat. Es gibt schutzbedürftige Daten und die müssen geschützt werden, Punkt. Da man davon ausgehen darf, dass Verkehrsdaten, also Daten, die man beim Kommunizieren erzeugt, allesamt alle aufgezeichnet und mit allen anderen, verfügbaren Verkehrsdaten in Beziehung gesetzt werden – ob nun vom Geheimdienst der USA, Deutschlands, Großbritanniens oder vom Geheimdienst von Krypton, ist irrelevant. Sie schnüffeln alle, sie tauschen alle munter Daten aus, wenn es ihren eigenen Interessen nicht zuwiderläuft und alle verantwortlichen Politiker werden einen Teufel tun, diesem Treiben ein Ende zu setzen, weil Intelligence deren Hintern politisch absichert und die Schnüffelindustrie den nächsten Wahlkampf finanziert. Der Staat gibt auf deinen Datenschutz keinen Pfifferling.

Deshalb: Datenschutz fängt immer von unten an. Und zwar bei dir. Nicht der Staat schützt deine Daten, sondern du selbst musst sie schützen. Und das machst du sinnvollerweise nicht beispielsweise mit den eingebauten Verschlüsselungssystemen von Windows, MacOS, iPhone, Android & Co., sondern nutzt dazu alternative, unabhängige Programme und Verschlüsselungssysteme und Einrichtungen, die ein Stück deiner Privatsphäre schützen und für dich allein sichtbar halten.

Als da wären ein paar Tipps:

Und gleich der Hinweis vorweg: IT-Sicherheit ist harte Arbeit und hat viel mit Disziplin zu tun, um die einmal aufgebaute Sicherheitsebene auch dauerhaft zu halten. Es gibt keine einfachen Lösungen. Es ist aber dafür sehr leicht, seine Daten nicht halbwegs im Griff zu haben. Die Wahl hat da jeder ganz persönlich.

Die Notwendigkeit einer Passwortverwaltung.

Ich habe gerade einmal geschaut: Der letzte Artikel, in dem ich über Passwortverwaltung mit KeePass geschrieben habe, stammt vom Juli 2007, also glatte vier Jahre her und einer der ersten Artikel in diesem kleinen, bescheidenen Weblog. An der Anleitung selbst hat sich nicht viel geändert und ich nutze KeePass immer noch als meine zentrale Passwortverwaltung, über alle Gerätegrenzen hinweg. Windows, Windows Mobile, iPhone und nun Android und alles mit ein und derselben Passwortdatei.

Warum eine professionelle Passwortverwaltung? Ein paar Argumente:

  • Man hat immer mehr Passwörter zu verwalten, als man glaubt.
    Glauben Sie nicht? Ist aber so. Wenn ich aktuell in meine KeePass-Datenbank schaue, dann sind da rund 200 Login-Einträge verzeichnet. Einfache Kundennummern, aber auch Zugänge zu allen von mir genutzten Diensten und auch Kundenpasswörter (sofern ich die wissen muss). Eine solche Basis an Passwörtern merkt sich niemand im Kopf.
  • Passwörter bzw. Logins werden immer mehr. Und mehr. Und mehr.
    Auch das ist ein Phänomen. Ich habe einmal online angefangen, da musste ich nur zwei Passwörter kennen: Das von der Modemeinwahl und das für mein E-Mail-Postfach. Heute kommen Logins quasi täglich dazu und Logins werden immer mehr. Sicherlich gibt es bei immer mehr Diensten die Möglichkeit, sich mit dem obligatorischen Facebook-Login anzumelden aber was würden sie davon halten, wenn Sie in Ihren geliebten Supermarkt nur noch hineinkommen würden, wenn Sie sich einmalig mit ihrem Haustürschlüssel registrieren und den dort auch immer zum Türöffnen einsetzen müssten?
  • Sie müssen mit anderen Leuten Passwörter teilen?
    Okay, zugegeben, das müssen die meisten Passwortbesitzer nicht, im geschäftlichen Umfeld lässt es sich jedoch nicht vermeiden, für zentrale Logins Passwörter zu vergeben, die mehrere Menschen wissen müssen und die – jetzt wird es spannend – auch unabhängig voneinander recherchierbar sein sollen. Dass nur einer das Passwort kennt und der andere ihn ja fragen könnte, prellt spätestens dann, wenn der Passwortwisser nachts aus dem Bett geklingelt werden muss oder der Passwortwisser einfach verunglückt und das Passwort nicht nennen kann.
  • Passwörter müssen zwangsläufig immer komplexer werden.
    Moderne Rechenpower ermöglicht das Ausprobieren von kompletten Zeichenräumen in immer kürzeren Zeiten. Schon heute sind sechsstellige Passwörter ein No-Go, selbst mit Zeichen aus dem Groß- und Klein-Alphabet, Zahlen und Sonderzeichen. Acht Stellen sind aktuell das Mindestmaß, zehn und mehr Zeichen wünschenswert. Das merken Sie sich weiterhin alles im Kopf?
  • Ein Passwort für alles?
    Super Sache – einfach ein Passwort für alle Dienste. Wird ja schon niemand wissen, wo man noch alles ist. Das wissen mehr Leute, als sie denken und der Rest probiert es einfach aus. Facebook, Twitter, PayPal, YouTube, StudiVZ, Ihr Mailprovider. Wo Sie überall sind, kann Ihr Bekanntenkreis mit relativ wenig Aufwand herausbekommen und wenn man es darauf anlegt, sich auch gleich überall einloggen, wenn Sie überall das gleiche Passwort einsetzen.
  • Passwortverwaltung als Zettelwirtschaft?
    Immerhin. Mit einer Zettelwirtschaft ist die Chance, unterschiedliche Passworte zu nutzen, deutlich höher, allerdings wird alles nicht wirklich besser, wenn alle Passwörter schön aufgereiht auf gelben Zettelchen rund um den Bildschirm kleben. Und auch die Schreibunterlage ist kein besseres „Versteck“. Wo Zugangsdaten im Klartext stehen, ist es gefährlich.
  • Passwortnutzung evaluieren?
    Sony hat es nach dem PS3-Hack von seinen Nutzern gefordert: Das Zugangspasswort zum PlayStation Network ändern und, falls dieses Passwort auch bei anderen Diensten eingesetzt wurde, dort entsprechend auch zu ändern. Aber wie soll man das herausfinden, wenn man nicht ein Elefantengedächtnis hat? Eine Passwortverwaltung kann das, wenn dort eine Suche auch nach Passwörtern möglich ist. So habe ich z.B. herausgefunden, dass ich tatsächlich das Passwort für das PlayStation Network auch für einen Login für einen gänzlich anderen Dienst genutzt hatte.
  • Mobilität rulez!
    Auch so eine Mär der modernen Welt: Menschen, die daherkommen und sagen, sie bräuchten unterwegs keine Passwörter. Gut, kann man tatsächlich so handhaben, dann funktioniert aber mobiles Internet eben nicht mehr. Ohne einige Passwörter wäre ich auch unterwegs im Zweifelsfall aufgeschmissen und so muss eben eine gute Passwortverwaltung auch mobil sein können. Und zwar nomadisch mobil, also mit einer verschlüsselten Datenbank auf den Geräten und nicht einer Passwortverwaltung im Web. Denn dann können Sie Ihre Passwörter auch gleich twittern und behaupten, bei Twitter seien sie ja in der Cloud und immer zugänglich.
  • Passwörter gehen ja noch – aber was machen Sie mit Schlüsseldateien? TAN-Listen?
    Ich bin kein Fan davon, auf dem Handy Bankgeschäfte zu erledigen. Aber zu wissen, dass dies ginge, beruhigt erstaunlicherweise. Mit zusätzlichen Lesegeräten, „Chip-TAN“ und TAN-Listen ist das alles schwierig und ein einfacher Scan der TAN-Liste als Bild ist inakzeptabel unsicher. Eine sichere Passwortverwaltung hat auch Platz hierfür und ist, bei entsprechend komplexem Passwort der Passwortverwaltung, sicherer, als die zu Hause abgeheftete TAN-Liste.

Sicherheitsanalyse in der Nachbarschaft.

Netzwerkpenetration gehört zu meinen heimlichen Leidenschaften. Ein vermeintlich abgesichertes Netzwerk ist erst dann halbwegs vertrauenswürdig, wenn es einigen Standardangriffen standhält. Während im privaten Haushalt es früher einmal ausreichte, zumindest einen aktuell gepatchten Windows-PC zu haben, ist heutzutage im Zeitalter von veritablen Heimnetzwerken eine weitergehende Vorsicht empfohlen. Zumindest sollte man Passwortfunktionen nicht einfach mal so abschalten.

Das hat unser Nachbar getan, was ich zunächst einmal nur dadurch erkannt habe, dass er ein offenes WLAN hatte. Der Rest war dann ein Einloggen in das Netzwerk und simple Recherche, die erschreckende Löcher zu Tage brachte. Ich habe mir daher erlaubt, auf dem Desktop des Nachbars eine Datei mit folgendem Inhalt abzulegen. Durch das Fenster habe ich gesehen, dass er das Erscheinen dieser Datei auch gesehen und die Datei geöffnet hat. Zumindest ist er bis zum Punkt 12 vorgedrungen und hat ihn ausgeführt.

  1. Dein WLAN möchte verschlüsselt werden, bitte WPA2 aktivieren und einen Key eintragen.
  2. Deine Fritzbox möchte ein Passwort haben.
  3. Du möchtest deine Fritzbox so konfigurieren, dass sie nicht automatisch neue Rechner im WLAN akzeptiert.
  4. Dein XP-Rechner möchte eine aktivierte Windows-Firewall haben.
  5. Dein Benutzerprofil auf deiner Kiste möchte ein Passwort haben.
  6. Du möchtest den Remote-Desktop so einstellen, dass er nicht alle Anfragen akzeptiert.
  7. Dein Virenscanner ist out of date.
  8. Dein NAS-Gerät hätte ebenfalls gern ein Passwort.
  9. Die zwei Festplatten deines NAS sind in einem RAID 0 konfiguriert. So kannst du sie auch gleich löschen, wenn du sie eigentlich gesichert sehen willst.
  10. Du willst deine TAN-Liste niemals mehr einscannen und auf dem Desktop ablegen.
  11. Du möchtest bitte die Dateifreigabe für einige Verzeichnisse schließen, wenn du die obigen Punkte nicht beachtest. Mindestens für den Ordner „C:FRAUEN“.
  12. Drehe dich mal um. Der, der dir gerade winkt, hat dir diese Datei auf den Desktop gelegt und hilft dir gern dabei, dies alles nun anzupacken. Fange bitte SOFORT mit Punkt 1 an.

Natürlich sind die obigen Empfehlungen nicht wirklich ernst gemeint. Denn eigentlich steht bei ihm nun Großreinemachen an und das heißt: Neukonfiguration bzw. -installation von Fritzbox, Notebook, NAS. Weiß der Geier wer da in der letzten Zeit noch alles bei ihm zu Besuch war.

Unsicherheiten auf Unkonferenzen.

WLAN-Netzwerke sind eine coole Sache. Gerade auf Barcamps. Und dabei stört meist noch nicht mal, dass gerade auf solchen „nerdigen“ Unkonferenzen die aufgebauten WLAN-Netzwerke schwer unter Last stehen und schon die Netzplanung für eine kleinere Veranstaltung recht anspruchsvoll sein kann. Die hohe Zahl an Geräten ist auch recht einfach zu erklären: Zwei WLAN-fähige Gerätschaften sind mit Smartphone und Laptop fast schon normal und nicht wenige Nutzer bringen es auf drei, vier oder gar mehr WLAN-fähige Geräte. Mal eben einen Access Point hinstellen, um einen WLAN-Hotspot aufzubauen, ist da nicht. Da braucht es schon segmentierte Netze.

Über was sich allerdings relativ wenig Nutzer Gedanken machen, ist die Übertragungssicherheit. Bei offenen WLAN-Netzwerken wird in der Regel nicht mit Verschlüsselung gearbeitet, um das Benutzen des WLAN-Netzwerks zu vereinfachen. Das bedeutet allerdings, dass Übertragungen von und zum Access Point so offen sind, wie Postkarten. Schneidet ein Nutzer einfach mal den Datenverkehr im Äther mit, sind Zugangsdaten, Passwörter und vertrauliche Informationen offen, wenn der Einzelne nicht mit einer optionalen Verschlüsselung seine Übertragungen absichert, beispielsweise durch die Nutzung sicherer Kanäle per SSL oder einem VPN. Letzteres wäre der Königsweg: VPN aufbauen und den gesamten Übertragungsweg absichern, dann spielt auch das offene WLAN-Netzwerk keine Rolle.

Zwar können die meisten Endgeräte (selbst Smartphones) heutzutage als VPN-Client tätig werden – sogar das iPhone – allerdings scheitert es meist daran, dass es an einem VPN-Endpunkt fehlt, der idealerweise im eigenen Betrieb oder zu Hause steht. Es gibt zwar kommerzielle Dienste, die VPN-Endpunkte anbieten, aber im Grunde genommen höhlt das jede Sicherheitsphilosophie schon wieder aus.

Hat mal also kein VPN, muss man zuschauen, wie man seine Dienste auf verschlüsseltem Wege nutzt. Bei HTTP, IMAP, SMTP und POP3 ist das theoretisch alles kein Problem, hier gibt es verschlüsselte Varianten, sofern die Gegenstelle mitspielt. Tja, sofern. Bei E-Mail kann man da ja durchaus mit seinem ISP diskutieren, aber bei HTTP und einem Web-2.0-Dienst ist man darauf angewiesen, dass der Diensteanbieter auch HTTPS anbietet. Twitter und Facebook, um bei zwei größeren Anbietern zu testen, tun das – hier kann man die Portale auch via „https://“ erreichen.

Alles kein Problem, wenn die Dienste direkt im Browser aufgerufen werden, denn dort hätte man die Wahl, einfach HTTPS zu verwenden. Die wenigsten Clients und Apps bieten das jedoch. Die meisten Twitter- und/oder Facebook-Clients bieten erst gar keine Einstellmöglichkeit für den API-Zugriff hinsichtlich HTTPS und das bedeutet, dass die meisten Clients unverschlüsselt mit den jeweiligen Diensten kommunizieren. Und das bedeutet, dass Zugangsdaten für die jeweiligen Dienste bzw. Cookie-Authentifizierungen unverschlüsselt über die Luftschnittstelle wandern, wenn das WLAN-Netzwerk offen ist.

Was tun? In solchen Umgebungen entweder tatsächlich den eigenen Datenverkehr über einen VPN-Tunnel absichern oder lieber auf das WLAN-Netzwerk verzichten und auf GSM/UMTS umschwenken. Genau genommen ist auch die Verschlüsselung im GSM-Standard nicht wirklich (mehr)  frei von Fragwürdigkeiten, allerdings besser als gar nichts.

Die ungebändigte Gesichtserkennung von Picasa.

Nun ist eine automatische Gesichtserkennung weitgehend langweilig, wenn das Bildmaterial aus Familienfotos besteht. Wie Mami, Papi, Oma, Opa und Tantchen aussehen, dürfte für die restlichen Familienangehörigen weitgehend klar sein.

Wohingehend eine automatische Gesichtserkennung hochinteressant wird, ist bei Bildern, auf denen viele Menschen sind. Ich habe Picasa spaßeshalber auf die rund 3.000 Fotos losgelassen, die derzeit auf meiner Festplatte liegen.

Wichtiger Vorabhinweis für Freund und Feind: Ich teste die Gesichtserkennung von Picasa lokal auf meinem Rechner und werde weder die betreffenden Bildersammlungen, noch die durch Picasa erstellten Metadaten ins Internet hochladen oder weiter verarbeiten.

Um was geht es eigentlich?

Picasa ist eine kostenlose Bildverwaltungssoftware von Google. Was einst als einfach zu bedienende Software begann, ist in der Zwischenzeit ein ausgewachsenes Programm, mit dem man auch viele tausend Bilder in verschiedensten Bildformaten und selbst auch RAW-Formate von Kameras übersichtlich sortieren kann. Neben dem Sortieren gibt es auch Möglichkeiten, Bilder automatisch zu korrigieren und neben den üblichen Dingen wie Helligkeit oder Kontrast beispielsweise auch “rote Augen”. Damit das schon funktionieren kann, muss Picasa logischerweise menschliche Gesichter eben als menschliche Gesichter erkennen können.

Mit der Version 3.6 hat Picasa eine weitergehende automatische Gesichtserkennung implantiert bekommen, die erheblich mehr kann – nämlich das Erkennen von Gesichtern und das Gruppieren von offensichtlich gleichen Gesichtern in virtuelle Alben, die dann benannt werden können.

Wie funktioniert das?

Zunächst rattert Picasa, wenn man die automatische Gesichtserkennung starten möchte, los und braucht durchaus eine Weile: Bei 3.000 Fotos nudelte Picasa auf meiner 2-GHz-Dualcore-Maschine geschlagene 90 Minuten, immerhin sieht man die ersten Ergebnisse jedoch schon nach den ersten Bildern.

Diese Ergebnisse sehen zunächst recht unspektakulär aus (die Gesichter habe ich, bis auf meines, unkenntlich gemacht). Picasa zeigt in Vorschaubildern die Gesichter an, die es in Fotos erkennen konnte:

Unter den einzelnen Bildern gibt es jeweils eine Textbox, in die der Name des Menschen eingetragen werden kann, der auf dem Bild erscheint. Gibt es den Namen noch nicht, kann ein neuer Eintrag der Personenverwaltung von Picasa angelegt werden:

Und schon hier wartet eine erste Fußfalle, mit der man fotografierte Menschen schön durchsuchbar ins Internet setzen kann. Die kleine, versteckte Funktion auf der rechten Seite namens „Mit Kontakten und Webalben synchronisieren“ ermöglicht es nämlich einem so markierten Personeneintrag, dass dieser beim Hochladen von Bildern offensichtlich in das Picasa-Webalbum des Benutzers mitwandern darf. Hat man also schön ein Bild mit einem Gesicht und dieses Gesicht brav mit Vorname und Name versehen, wandert beim Hochladen des Bildes ins Webalbum auch gleich die Personeninformation mit, wenn dies in den Optionen nicht deaktiviert wird.

Doch es geht noch besser.

Ich hatte beispielsweise ein Gesicht auf drei Bildern erfolgreich identifiziert. Also stand in der Personenübersicht auch der Name mit einer nachfolgenden Zahl „3“. Nun war in der Sammlung der unbenannten Bilder das Gesicht nochmal vertreten. Offensichtlich hatte es Picasa nicht automatisch erkennen können. Ich fügte dieses Bild manuell dem Personenalbum zu, der Zähler stieg aber nicht auf vier, sondern auf sechs. Tatsächlich hatte ich also das Gesicht auf einem Bild identifiziert, Picasa hatte aber offensichtlich dieses unbekannte Gesicht wiederum auf zwei weiteren Bildern erkannt.

Picasa arbeitet nämlich schon während des Sammelprozesses daran, Gesichter zu gruppieren, die aber nicht alle auf der Seite der unbenannten Gesichter gezeigt werden. Anders gesagt: Wird ein Gesicht mit Namen versehen, gilt das nicht nur für dieses eine Bild, sondern möglicherweise auf einen Schlag auch für eine Reihe von weiteren Bildern, auf denen Picasa das gleiche Gesicht erkannt hat. Hat man also beispielsweise schon einen Hans Mustermann identifiziert und den Personenkontakt angelegt und erscheint auf der Seite mit den unbenannten Fotos noch ein Foto dieses Herrn Mustermannes, das Picasa nicht automatisch erkennen konnte, dann kann man dort dieses Bild benennen und zum Personenkontakt hinzufügen, sieht aber nicht sofort, dass da vielleicht noch mehrere Bilder folgen, die Picasa mit dem fraglichen Bild gruppiert hat.

Wo ist jetzt das Problem?

Das Problem ist mehrschichtig.

  1. Die Gesichtserkennung ist erschreckend gut. Auf einigen Bildern einer Sportveranstaltung, auf denen ich die Tribüne mit im Bild hatte, hat Picasa gleich dutzendweise Gesichter erkannt und zur Erkennung vorgeschlagen. Da die Bilderkennung offensichtlich immer besser wird, je mehr Gesichter pro Person vorhanden ist, identifiziert Picasa bekannte Gesichter immer schneller und zuverlässiger im Bildbestand. Bei Bildern, die dann später möglicherweise über Webalben veröffentlicht werden, kann man richtig viele Personeninformationen veröffentlichen.
  2. Durch die weit gehende Gesichtserkennung, die in der Ansicht zur Identifizierung von nicht erkannten Personen unter Umständen eine Reihe von Bildern nicht anzeigt, auf denen das identifizierte, aber zumindest schon mit erkannten Gesichtern, die auf weiteren Fotos zu sehen sind, kann ein Benutzer eine Person auf einen Schlag auf einer Vielzahl von Bildern identifizieren, ohne diese im einzelnen zu sehen.
  3. Ein unerfahrener Benutzer, der in Picasa automatisch Gesichter erkennen lässt, kann problemlos andere Menschen auf seinen Fotos identifizieren und diese so erstellten Metadaten in sein öffentlich zugängliches Webalbum hochladen, ohne dass er sich dem wirklich bewusst ist, weil die Voreinstellungen dies grundsätzlich erlauben. Dass die identifizierten Personen davon logischerweise nichts mitbekommen, muss man nicht weiter erwähnen.
  4. Hochgeladene Bilder mit Personeninformationen sind, wenn das Webalbum öffentlich ist, entsprechend in den Webalben suchbar.

Wie kann ich meine Picasa-Installation bändigen?

Das geht, je nach Stärke des Holzhammers, auf verschiedene Weisen:

  • Die automatische Gesichtserkennung lässt sich zentral in den Picasa-Optionen (im Menü „Tools„) ausschalten, nämlich auf der Registerkarte „Namens-Tags„. Ist die Funktion deaktiviert, können Bilder nur noch manuell mit Personeninformationen versehen werden, Picasa selbst tut das dann nicht mehr automatisch.
  • Wer auf die Bilderkennung nicht verzichten will, aber zumindest sicherstellen möchte, dass Personeninformationen nicht in Webalben in die Öffentlichkeit getragen werden, kann, ebenfalls in den Picasa-Optionen, auf der Registerkarte „Webalben“ den Haken bei „Namens-Tags: In Foto-Uploads einschließen“ den Haken herausnehmen.

Ein Sicherheitsproblem?

Eher nicht. Eher ein Privacy-Thema, das dank zu lascher Voreinstellungen schnell zu peinlichen Ergebnissen führen kann. Man könnte daran arbeiten.

We’re watching you… maybe.

Was für einen effektiven Stellenwert hat die lückenlose Überwachung mit Kameras in sicherheitsrelevanten Umgebungen genau? Offensichtlich gar keinen. Das offenbart die Nachuntersuchung des Vorfalles am Münchner Flughafen und dem Passagier mit dem angeblich sprengstoffverseuchten Laptop. Der ist nämlich am Ende gar nicht geflüchtet, sondern laut der Auswertung der Überwachungskameras danach in einen Duty-Free-Shop und in ein Restaurant gewandert, unmittelbar in der Nähe der Sicherheitskontrollen.

Mit dem Skandal – denn nichts anderes ist die Sicherheitspanne wirklich – am Münchner Flughafen hat sich genau das gezeigt. An Orten, in denen die Präsenz von Sicherheitspersonal immer weiter aufgelöst wird und durch die Illusion einer angeblich funktionierenden, technischen Überwachung ersetzt wird, geht die Sicherheit so flöten, dass am Ende vermutlich jeder Halbaffe hineinspazieren kann. Abschrecken lassen sich nur noch die Idioten, der echte Terrorist pinkelt sich vor Glück in sein Höschen. Oder sprengt es gegebenenfalls dann später im Flugzeug.

Bis jetzt wackelt noch kein Posten eines Verantwortlichen. Es wird Zeit und sei es nur zur Abschreckung. Das macht man ja immerhin vortrefflich mit den Überwachungskameras vor.