Warum eine professionelle Passwortverwaltung? Ein paar Argumente:

• Man hat immer mehr Passwörter zu verwalten, als man glaubt.
  Glauben Sie nicht? Ist aber so. Wenn ich aktuell in meine KeePass-Datenbank schaue, dann sind da rund 200 Login-Einträge verzeichnet. Einfache Kundennummern, aber auch Zugänge zu allen von mir genutzten Diensten und auch Kundenpasswörter (sofern ich die wissen muss). Eine solche Basis an Passwörtern merkt sich niemand im Kopf.
• Passwörter bzw. Logins werden immer mehr. Und mehr. Und mehr.
  Auch das ist ein Phänomen. Ich habe einmal online angefangen, da musste ich nur zwei Passwörter kennen: Das von der Modemeinwahl und das für mein E-Mail-Postfach. Heute kommen Logins quasi täglich dazu und Logins werden immer mehr. Sicherlich gibt es bei immer mehr Diensten die Möglichkeit, sich mit dem obligatorischen Facebook-Login anzumelden aber was würden sie davon halten, wenn Sie in Ihren geliebten Supermarkt nur noch hineinkommen würden, wenn Sie sich einmalig mit ihrem Haustürschlüssel registrieren und den dort auch immer zum Türöffnen einsetzen müssten?
• Sie müssen mit anderen Leuten Passwörter teilen?
  Okay, zugegeben, das müssen die meisten Passwortbesitzer nicht, im geschäftlichen Umfeld lässt es sich jedoch nicht vermeiden, für zentrale Logins Passwörter zu vergeben, die mehrere Menschen wissen müssen und die – jetzt wird es spannend – auch unabhängig voneinander recherchierbar sein sollen. Dass nur einer das Passwort kennt und der andere ihn ja fragen könnte, prellt spätestens dann, wenn der Passwortwisser nachts aus dem Bett geklingelt werden muss oder der Passwortwisser einfach verunglückt und das Passwort nicht nennen kann.
• Passwörter müssen zwangsläufig immer komplexer werden.
  Moderne Rechenpower ermöglicht das Ausprobieren von kompletten Zeichenräumen in immer kürzeren Zeiten. Schon heute sind sechsstellige Passwörter ein No-Go, selbst mit Zeichen aus dem Groß- und Klein-Alphabet, Zahlen und Sonderzeichen. Acht Stellen sind aktuell das Mindestmaß, zehn und mehr Zeichen wünschenswert. Das merken Sie sich weiterhin alles im Kopf?
• Ein Passwort für alles?
  Super Sache – einfach ein Passwort für alle Dienste. Wird ja schon niemand wissen, wo man noch alles ist. Das wissen mehr Leute, als sie denken und der Rest probiert es einfach aus. Facebook, Twitter, PayPal, YouTube, StudiVZ, Ihr Mailprovider. Wo Sie überall sind, kann Ihr Bekanntenkreis mit relativ wenig Aufwand herausbekommen und wenn man es darauf anlegt, sich auch gleich überall einloggen, wenn Sie überall das gleiche Passwort einsetzen.
• Passwortverwaltung als Zettelwirtschaft?
  Immerhin. Mit einer Zettelwirtschaft ist die Chance, unterschiedliche Passworte zu nutzen, deutlich höher, allerdings wird alles nicht wirklich besser, wenn alle Passwörter schön aufgereiht auf gelben Zettelchen rund um den Bildschirm kleben. Und auch die Schreibunterlage ist kein besseres “Versteck”. Wo Zugangsdaten im Klartext stehen, ist es gefährlich.
• Passwortnutzung evaluieren?
  Sony hat es nach dem PS3-Hack von seinen Nutzern gefordert: Das Zugangspasswort zum PlayStation Network ändern und, falls dieses Passwort auch bei anderen Diensten eingesetzt wurde, dort entsprechend auch zu ändern. Aber wie soll man das herausfinden, wenn man nicht ein Elefantengedächtnis hat? Eine Passwortverwaltung kann das, wenn dort eine Suche auch nach Passwörtern möglich ist. So habe ich z.B. herausgefunden, dass ich tatsächlich das Passwort für das PlayStation Network auch für einen Login für einen gänzlich anderen Dienst genutzt hatte.
• Mobilität rulez!
  Auch so eine Mär der modernen Welt: Menschen, die daherkommen und sagen, sie bräuchten unterwegs keine Passwörter. Gut, kann man tatsächlich so handhaben, dann funktioniert aber mobiles Internet eben nicht mehr. Ohne einige Passwörter wäre ich auch unterwegs im Zweifelsfall aufgeschmissen und so muss eben eine gute Passwortverwaltung auch mobil sein können. Und zwar nomadisch mobil, also mit einer verschlüsselten Datenbank auf den Geräten und nicht einer Passwortverwaltung im Web. Denn dann können Sie Ihre Passwörter auch gleich twittern und behaupten, bei Twitter seien sie ja in der Cloud und immer zugänglich.
• Passwörter gehen ja noch – aber was machen Sie mit Schlüsseldateien? TAN-Listen?
  Ich bin kein Fan davon, auf dem Handy Bankgeschäfte zu erledigen. Aber zu wissen, dass dies ginge, beruhigt erstaunlicherweise. Mit zusätzlichen Lesegeräten, “Chip-TAN” und TAN-Listen ist das alles schwierig und ein einfacher Scan der TAN-Liste als Bild ist inakzeptabel unsicher. Eine sichere Passwortverwaltung hat auch Platz hierfür und ist, bei entsprechend komplexem Passwort der Passwortverwaltung, sicherer, als die zu Hause abgeheftete TAN-Liste.

• 

Das hat unser Nachbar getan, was ich zunächst einmal nur dadurch erkannt habe, dass er ein offenes WLAN hatte. Der Rest war dann ein Einloggen in das Netzwerk und simple Recherche, die erschreckende Löcher zu Tage brachte. Ich habe mir daher erlaubt, auf dem Desktop des Nachbars eine Datei mit folgendem Inhalt abzulegen. Durch das Fenster habe ich gesehen, dass er das Erscheinen dieser Datei auch gesehen und die Datei geöffnet hat. Zumindest ist er bis zum Punkt 12 vorgedrungen und hat ihn ausgeführt.

1. Dein WLAN möchte verschlüsselt werden, bitte WPA2 aktivieren und einen Key eintragen.
2. Deine Fritzbox möchte ein Passwort haben.
3. Du möchtest deine Fritzbox so konfigurieren, dass sie nicht automatisch neue Rechner im WLAN akzeptiert.
4. Dein XP-Rechner möchte eine aktivierte Windows-Firewall haben.
5. Dein Benutzerprofil auf deiner Kiste möchte ein Passwort haben.
6. Du möchtest den Remote-Desktop so einstellen, dass er nicht alle Anfragen akzeptiert.
7. Dein Virenscanner ist out of date.
8. Dein NAS-Gerät hätte ebenfalls gern ein Passwort.
9. Die zwei Festplatten deines NAS sind in einem RAID 0 konfiguriert. So kannst du sie auch gleich löschen, wenn du sie eigentlich gesichert sehen willst.
10. Du willst deine TAN-Liste niemals mehr einscannen und auf dem Desktop ablegen.
11. Du möchtest bitte die Dateifreigabe für einige Verzeichnisse schließen, wenn du die obigen Punkte nicht beachtest. Mindestens für den Ordner “C:FRAUEN”.
12. Drehe dich mal um. Der, der dir gerade winkt, hat dir diese Datei auf den Desktop gelegt und hilft dir gern dabei, dies alles nun anzupacken. Fange bitte SOFORT mit Punkt 1 an.

Natürlich sind die obigen Empfehlungen nicht wirklich ernst gemeint. Denn eigentlich steht bei ihm nun Großreinemachen an und das heißt: Neukonfiguration bzw. -installation von Fritzbox, Notebook, NAS. Weiß der Geier wer da in der letzten Zeit noch alles bei ihm zu Besuch war.

• 

Über was sich allerdings relativ wenig Nutzer Gedanken machen, ist die Übertragungssicherheit. Bei offenen WLAN-Netzwerken wird in der Regel nicht mit Verschlüsselung gearbeitet, um das Benutzen des WLAN-Netzwerks zu vereinfachen. Das bedeutet allerdings, dass Übertragungen von und zum Access Point so offen sind, wie Postkarten. Schneidet ein Nutzer einfach mal den Datenverkehr im Äther mit, sind Zugangsdaten, Passwörter und vertrauliche Informationen offen, wenn der Einzelne nicht mit einer optionalen Verschlüsselung seine Übertragungen absichert, beispielsweise durch die Nutzung sicherer Kanäle per SSL oder einem VPN. Letzteres wäre der Königsweg: VPN aufbauen und den gesamten Übertragungsweg absichern, dann spielt auch das offene WLAN-Netzwerk keine Rolle.

Zwar können die meisten Endgeräte (selbst Smartphones) heutzutage als VPN-Client tätig werden – sogar das iPhone – allerdings scheitert es meist daran, dass es an einem VPN-Endpunkt fehlt, der idealerweise im eigenen Betrieb oder zu Hause steht. Es gibt zwar kommerzielle Dienste, die VPN-Endpunkte anbieten, aber im Grunde genommen höhlt das jede Sicherheitsphilosophie schon wieder aus.

Hat mal also kein VPN, muss man zuschauen, wie man seine Dienste auf verschlüsseltem Wege nutzt. Bei HTTP, IMAP, SMTP und POP3 ist das theoretisch alles kein Problem, hier gibt es verschlüsselte Varianten, sofern die Gegenstelle mitspielt. Tja, sofern. Bei E-Mail kann man da ja durchaus mit seinem ISP diskutieren, aber bei HTTP und einem Web-2.0-Dienst ist man darauf angewiesen, dass der Diensteanbieter auch HTTPS anbietet. Twitter und Facebook, um bei zwei größeren Anbietern zu testen, tun das – hier kann man die Portale auch via “https://” erreichen.

Alles kein Problem, wenn die Dienste direkt im Browser aufgerufen werden, denn dort hätte man die Wahl, einfach HTTPS zu verwenden. Die wenigsten Clients und Apps bieten das jedoch. Die meisten Twitter- und/oder Facebook-Clients bieten erst gar keine Einstellmöglichkeit für den API-Zugriff hinsichtlich HTTPS und das bedeutet, dass die meisten Clients unverschlüsselt mit den jeweiligen Diensten kommunizieren. Und das bedeutet, dass Zugangsdaten für die jeweiligen Dienste bzw. Cookie-Authentifizierungen unverschlüsselt über die Luftschnittstelle wandern, wenn das WLAN-Netzwerk offen ist.

Was tun? In solchen Umgebungen entweder tatsächlich den eigenen Datenverkehr über einen VPN-Tunnel absichern oder lieber auf das WLAN-Netzwerk verzichten und auf GSM/UMTS umschwenken. Genau genommen ist auch die Verschlüsselung im GSM-Standard nicht wirklich (mehr)  frei von Fragwürdigkeiten, allerdings besser als gar nichts.

• 

Wohingehend eine automatische Gesichtserkennung hochinteressant wird, ist bei Bildern, auf denen viele Menschen sind. Ich habe Picasa spaßeshalber auf die rund 3.000 Fotos losgelassen, die derzeit auf meiner Festplatte liegen.

Wichtiger Vorabhinweis für Freund und Feind: Ich teste die Gesichtserkennung von Picasa lokal auf meinem Rechner und werde weder die betreffenden Bildersammlungen, noch die durch Picasa erstellten Metadaten ins Internet hochladen oder weiter verarbeiten.

Um was geht es eigentlich?

Picasa ist eine kostenlose Bildverwaltungssoftware von Google. Was einst als einfach zu bedienende Software begann, ist in der Zwischenzeit ein ausgewachsenes Programm, mit dem man auch viele tausend Bilder in verschiedensten Bildformaten und selbst auch RAW-Formate von Kameras übersichtlich sortieren kann. Neben dem Sortieren gibt es auch Möglichkeiten, Bilder automatisch zu korrigieren und neben den üblichen Dingen wie Helligkeit oder Kontrast beispielsweise auch “rote Augen”. Damit das schon funktionieren kann, muss Picasa logischerweise menschliche Gesichter eben als menschliche Gesichter erkennen können.

Mit der Version 3.6 hat Picasa eine weitergehende automatische Gesichtserkennung implantiert bekommen, die erheblich mehr kann – nämlich das Erkennen von Gesichtern und das Gruppieren von offensichtlich gleichen Gesichtern in virtuelle Alben, die dann benannt werden können.

Wie funktioniert das?

Zunächst rattert Picasa, wenn man die automatische Gesichtserkennung starten möchte, los und braucht durchaus eine Weile: Bei 3.000 Fotos nudelte Picasa auf meiner 2-GHz-Dualcore-Maschine geschlagene 90 Minuten, immerhin sieht man die ersten Ergebnisse jedoch schon nach den ersten Bildern.

Diese Ergebnisse sehen zunächst recht unspektakulär aus (die Gesichter habe ich, bis auf meines, unkenntlich gemacht). Picasa zeigt in Vorschaubildern die Gesichter an, die es in Fotos erkennen konnte:

Unter den einzelnen Bildern gibt es jeweils eine Textbox, in die der Name des Menschen eingetragen werden kann, der auf dem Bild erscheint. Gibt es den Namen noch nicht, kann ein neuer Eintrag der Personenverwaltung von Picasa angelegt werden:

Und schon hier wartet eine erste Fußfalle, mit der man fotografierte Menschen schön durchsuchbar ins Internet setzen kann. Die kleine, versteckte Funktion auf der rechten Seite namens “Mit Kontakten und Webalben synchronisieren” ermöglicht es nämlich einem so markierten Personeneintrag, dass dieser beim Hochladen von Bildern offensichtlich in das Picasa-Webalbum des Benutzers mitwandern darf. Hat man also schön ein Bild mit einem Gesicht und dieses Gesicht brav mit Vorname und Name versehen, wandert beim Hochladen des Bildes ins Webalbum auch gleich die Personeninformation mit, wenn dies in den Optionen nicht deaktiviert wird.

Doch es geht noch besser.

Ich hatte beispielsweise ein Gesicht auf drei Bildern erfolgreich identifiziert. Also stand in der Personenübersicht auch der Name mit einer nachfolgenden Zahl “3″. Nun war in der Sammlung der unbenannten Bilder das Gesicht nochmal vertreten. Offensichtlich hatte es Picasa nicht automatisch erkennen können. Ich fügte dieses Bild manuell dem Personenalbum zu, der Zähler stieg aber nicht auf vier, sondern auf sechs. Tatsächlich hatte ich also das Gesicht auf einem Bild identifiziert, Picasa hatte aber offensichtlich dieses unbekannte Gesicht wiederum auf zwei weiteren Bildern erkannt.

Picasa arbeitet nämlich schon während des Sammelprozesses daran, Gesichter zu gruppieren, die aber nicht alle auf der Seite der unbenannten Gesichter gezeigt werden. Anders gesagt: Wird ein Gesicht mit Namen versehen, gilt das nicht nur für dieses eine Bild, sondern möglicherweise auf einen Schlag auch für eine Reihe von weiteren Bildern, auf denen Picasa das gleiche Gesicht erkannt hat. Hat man also beispielsweise schon einen Hans Mustermann identifiziert und den Personenkontakt angelegt und erscheint auf der Seite mit den unbenannten Fotos noch ein Foto dieses Herrn Mustermannes, das Picasa nicht automatisch erkennen konnte, dann kann man dort dieses Bild benennen und zum Personenkontakt hinzufügen, sieht aber nicht sofort, dass da vielleicht noch mehrere Bilder folgen, die Picasa mit dem fraglichen Bild gruppiert hat.

Wo ist jetzt das Problem?

Das Problem ist mehrschichtig.

1. Die Gesichtserkennung ist erschreckend gut. Auf einigen Bildern einer Sportveranstaltung, auf denen ich die Tribüne mit im Bild hatte, hat Picasa gleich dutzendweise Gesichter erkannt und zur Erkennung vorgeschlagen. Da die Bilderkennung offensichtlich immer besser wird, je mehr Gesichter pro Person vorhanden ist, identifiziert Picasa bekannte Gesichter immer schneller und zuverlässiger im Bildbestand. Bei Bildern, die dann später möglicherweise über Webalben veröffentlicht werden, kann man richtig viele Personeninformationen veröffentlichen.
2. Durch die weit gehende Gesichtserkennung, die in der Ansicht zur Identifizierung von nicht erkannten Personen unter Umständen eine Reihe von Bildern nicht anzeigt, auf denen das identifizierte, aber zumindest schon mit erkannten Gesichtern, die auf weiteren Fotos zu sehen sind, kann ein Benutzer eine Person auf einen Schlag auf einer Vielzahl von Bildern identifizieren, ohne diese im einzelnen zu sehen.
3. Ein unerfahrener Benutzer, der in Picasa automatisch Gesichter erkennen lässt, kann problemlos andere Menschen auf seinen Fotos identifizieren und diese so erstellten Metadaten in sein öffentlich zugängliches Webalbum hochladen, ohne dass er sich dem wirklich bewusst ist, weil die Voreinstellungen dies grundsätzlich erlauben. Dass die identifizierten Personen davon logischerweise nichts mitbekommen, muss man nicht weiter erwähnen.
4. Hochgeladene Bilder mit Personeninformationen sind, wenn das Webalbum öffentlich ist, entsprechend in den Webalben suchbar.

Wie kann ich meine Picasa-Installation bändigen?

Das geht, je nach Stärke des Holzhammers, auf verschiedene Weisen:

• Die automatische Gesichtserkennung lässt sich zentral in den Picasa-Optionen (im Menü “Tools“) ausschalten, nämlich auf der Registerkarte “Namens-Tags“. Ist die Funktion deaktiviert, können Bilder nur noch manuell mit Personeninformationen versehen werden, Picasa selbst tut das dann nicht mehr automatisch.
• Wer auf die Bilderkennung nicht verzichten will, aber zumindest sicherstellen möchte, dass Personeninformationen nicht in Webalben in die Öffentlichkeit getragen werden, kann, ebenfalls in den Picasa-Optionen, auf der Registerkarte “Webalben” den Haken bei “Namens-Tags: In Foto-Uploads einschließen” den Haken herausnehmen.

Ein Sicherheitsproblem?

Eher nicht. Eher ein Privacy-Thema, das dank zu lascher Voreinstellungen schnell zu peinlichen Ergebnissen führen kann. Man könnte daran arbeiten.

• 

Mit dem Skandal – denn nichts anderes ist die Sicherheitspanne wirklich – am Münchner Flughafen hat sich genau das gezeigt. An Orten, in denen die Präsenz von Sicherheitspersonal immer weiter aufgelöst wird und durch die Illusion einer angeblich funktionierenden, technischen Überwachung ersetzt wird, geht die Sicherheit so flöten, dass am Ende vermutlich jeder Halbaffe hineinspazieren kann. Abschrecken lassen sich nur noch die Idioten, der echte Terrorist pinkelt sich vor Glück in sein Höschen. Oder sprengt es gegebenenfalls dann später im Flugzeug.

Bis jetzt wackelt noch kein Posten eines Verantwortlichen. Es wird Zeit und sei es nur zur Abschreckung. Das macht man ja immerhin vortrefflich mit den Überwachungskameras vor.

• 

Es spaziert ein Flugpassagier in den Check-In am Flughafen. Er hat offensichtlich sein Ticket und seinen Personalausweis am Eingang gezeigt, denn sonst wäre er nicht bis zum zweiten Schritt gekommen, der Personen- und Handgepäckkontrolle. Der Passagier hatte ein Notebook dabei, das nochmal gesondert kontrolliert werden sollte.

An vielen Flughäfen ist die Kontrolle eines Notebooks relativ simpel – Notebook auspacken und gesondert aufs Röntgenband legen. Ist das Sicherheitspersonal nicht ganz so gelangweilt, hat man das Notebook einmal zu starten, so als ob ein Windows-Startschirm ein perfekter Indikator dafür wäre, dass in einem Notebook nicht noch zusätzlich ein kleines Päckchen Plastiksprengstoff eingepackt wäre (beispielsweise bei größeren Notebooks im Slot für eine eventuell zweite Festplatte oder einfach im Slot eines ausgedockten CD-ROM-Laufwerks).

Die einzig korrekte Prüfmethode ist tatsächlich ein Test nach eventuellen Sprengstoffpartikeln. Dazu wird mit einer Art Staubsauger das Notebook abgesaugt, die eingesogene Luft durch ein Filterpapier geleitet und dieser Filter in einem Analysegerät getestet. Ein Vorgang, der ca. 3 bis 5 Minuten dauert und der darüber hinaus auch noch zusätzlich Geld kostet und vom Sicherheitsunternehmen, das dies vornimmt, in Rechnung gestellt wird.

Offenbar kam man beim betreffenden Passagier mit seinem Notebook auch schon soweit und die Analyse schlug an. Das muss erst einmal noch nichts heißen, da solche Analysen verhältnismäßig breit greifen und beispielsweise schon Probleme anzeigen, wenn jemand nach einem Feuerwerk mit schwarzpulverkontaminierten Händen am Notebook arbeitet und diese Rückstände einige Tage und Wochen am Gerät verbleiben können. Im Prinzip sagt so eine Analyse auch nur aus, dass das betreffende Gerät und dessen Besitzer nochmal genauer unter die Lupe genommen werden müssen.

Und genau hier hat man in München kläglich versagt, denn der Passagier ist hastig weitergegangen. Ursprünglich hat er in den ersten Meldungen die Flucht ergriffen, inzwischen ist man sich gar nicht mehr ganz so sicher, ob der Passagier nicht eventuell aufgrund eines kurz bevorstehenden Fluges die Nase voll hatte und die Sicherheitsprüfung einfach auf seine eigene Faust hin beendet hat. Dann wäre das tatsächlich ein Skandal, denn was nützt eine Sicherheitsüberprüfung, wenn jeder, der möglicherweise verdächtig ist, einfach so weitergehen kann?

Vor allem zeigt es eine Sache: Die immer stärkere Dezentralität der Flughafen-Security erzeugt immer bizarrere Blüten. Der Staat vergibt seine eigentlich von ihm auszuführende Arbeiten immer weiter an Unternehmer und Subunternehmer, der Sicherheitsvorgang ist eine Frage der Preisklasse geworden und dann passieren eben auch mal so Dinge, dass keiner so recht weiß, was da eigentlich passiert. Die eigentliche, höchst spannende Frage wird sein, wer die Zeche  zahlt, wenn am Ende doch noch der betreffende Passagier gefunden wird.

Absurdistan ist gar nicht so weit weg, es beginnt überall da, wo der Staat anfängt, sich zurückzuziehen und mit angeheuerten Sicherheitsunternehmen, deren Mitarbeiter Hunderlöhne verdienen und Stundenzeiten ansammeln, die kein Beamter jemals ansammeln würde, versucht, die entstehende Sicherheitslücke auszufüllen. Auf der Strecke bleibt: Die Sicherheit. Aber immerhin wissen wir immer häufiger dann später, wenn möglicherweise dann tatsächlich der Sprengstoff hochgeht, anhand einer der tausendfach installierten Kameras und deren Aufzeichnungen, welche Krawatte der Terrorist hatte.

• 

Enterprise-Lösungen von Anti-Viren-Lösungen haben neben dem reinen Virenscannen noch zusätzliche Absicherungsfunktionen, beispielsweise das Blocken von problematischen Websites. Solche Listen kann der Administrator bestücken, in der Regel werden die Inhalte aber von den Herstellern selbst bereitgestellt. So ist es für den Administrator möglich, beispielsweise Websites mit Malware, Pornografie, Sozialen Netzwerken etc. zu filtern. Davon kann man halten, wie viel man möchte – wenn der Arbeitgeber verfügt, dass bestimmte Inhalte geblockt werden sollen und das private Surfen eh untersagt ist, ist das zu akzeptieren.

Als Administrator in unserem Netz schaue ich mir gelegentlich mal an, was unsere Anti-Viren-Lösung so meldet. Und siehe da: Sie meldet aktuell eine Bedrohung, gemeldet vom URL-Filter (Screenshot für eine Großansicht anklicken):

Unter anderem gemeldet vom TrendMicro-Client auf meinem Rechner. Das weckt natürlich meinen Fahndungsinstinkt und ich schaue mal, was mein Client so loggt. Und es überrascht auf den ersten Blick (auch hier ein Klick auf den Screenshot für eine Großansicht):

Hübsch. Offensichtlich Pornografie, abgerufen von meinem Rechner. Sowas hebt die Stimmung in einem Beschäftigungsverhältnis ungemein. Für Arbeitnehmer, die sehr strenge Regeln für die Internet-Nutzung einhalten müssen, unter Umständen ein Problem, wenn der Chef sich mal die Logs anschaut. Aber schauen wir uns mal den URL genauer an.

Vom Aufbau her sind das API-Aufrufe, also vermutlich Aufrufe, die von externen Websites initiiert werden. So was hat man schon, wenn man Badges von Anbietern auf seine Homepage pappt, Suchboxen von Suchmaschinenanbietern, eine Facebook-Meldungsbox usw. Und wenn man sich den Anbieter, der da im Log geblockt ist, anschaut (Vorsicht, wenn ein Virenscanner läuft…), so sieht das schon weniger dramatisch aus, handelt es sich doch um eine eher mäßige Singlebörse. Dennoch, verniedlichen wir nichts: Wenn ein Arbeitgeber unbedarft an das Thema herangeht oder einen Mitarbeiter, der in die Falle getreten, auf dem Kieker hat, könnte das Ärger geben.

So, und wer verbrockt mir den untergejubelten Reputationsverlust? Wer sich im obigen Screenshot den URL näher anschaut, sieht recht schnell, wer die Lorbeeren für die Vermittlung kassiert, nämlich in diesem Fall die Pforzheimer Zeitung, die auf ihrer Website rechts im unsäglich langen Werbeblock ganz unten, gefühlte 40.000 Pixel tief, “Singles aus der Region” feilbietet (die Gesichter habe ich ausradiert):

Wohlgemerkt: Man muss gar nicht das Formular ausfüllen und eine Suchanfrage nach Singles auslösen, um im Scanner-Radar aufzufallen, es genügt schon vollkommen, einfach mal ahnungslos die Tageszeitung anzusurfen. Die Voreinstellung des API-Aufrufes suggeriert sogar auch noch sexuelle Vorlieben, nämlich dass ich angeblich Männer oder Frauen suche, die zwischen 20 und 44 Jahre alt sind.

• 

Seit genau neun Monaten mache ich nun schon mit der Fritzbox herum, endlich einmal ein VPN zu bewerkstelligen, so dass ich von “draußen” mit meinem Notebook und einem vernünftigen IPSec-abgesicherten VPN-Tunnel in mein Netz zu Hause zugreifen kann. Während ich an sich alle notwendigen Zutaten hatte, scheiterte es daran, dass die Dokumentation der VPN-Funktionalität leider nicht sehr gut und ich jedes Mal nach mehreren Stunden schlicht aufgegeben habe. Jetzt aber tut es, hier eine Anleitung:

1. Der wichtigste Punkt ist die Klärung, wie die Fritzbox aus dem Internet erreicht werden kann. Ist man bei einem besseren DSL-Anbieter, gibt es eine feste IP-Adresse, bei den Discountern gibt es IP-Adressen mitunter nur dynamisch zugewiesen. Hier muss man sich mit einem Dyn-DNS-Dienst wie beispielsweise “dyndns.org” behelfen. In aktuellen Firmware-Versionen unterstützt die Fritzbox Dyn-DNS-Dienste aktiv, die Einstellungen finden sich unter “Einstellungen”, dort unter “Internet”, “Freigaben” und der Registerkarte “Dynamic DNS”. Wer also von seinem DSL-Anbieter nur eine dynamische IP-Adresse bekommt, kümmert sich erst einmal um dieses Thema.
2. Nun die Firmware der Fritzbox aktualisieren, falls noch nicht aktuell. VPN-Funktionalität gibt es für die Fritzboxen 7270, 7170, 7240, 3270, 2170 und höchstwahrscheinlich auch in zukünftigen Fritzboxen. Die aktuellen Firmware-Version gibt es entweder durch das Servicemenü der eigenen Fritzbox oder auch über das AVM-VPN-Portal.
3. Als nächstes muss ein VPN-Zugangsprofil eingerichtet werden. Das kann man leider nicht direkt über die Fritzbox eingeben, sondern braucht dazu ein Programm namens “FRITZ!Fernzugang einrichten”. Das Windows-Programm herunterladen, installieren und ausführen. Mit diesem Programm werden dann einige Netzwerkparameter abgefragt, die angegeben werden müssen. Darunter unter anderem das verwendete IP-Adressnetz im LAN und die IP-Adresse bzw. den Hostnamen (bzw. auch den DNS-Namen über einen Dyn-DNS-Dienst).
4. Das Programm aus dem obigen Punkt erzeugt zwei Dateien, die man abspeichern sollte. Die Datei, die mit “fritzbox” beginnt, enthält die VPN-Einstellungen, die nun in die Fritzbox importiert werden müssen. Dazu in das Servicemenü der Fritzbox einloggen und im Startmenü auf “Fernzugang (VPN) klicken. Dort lässt sich nun das Profil auf dem lokalen Rechner auswählen und importieren. Ist der Import erfolgreich gewesen, erscheint das Profil unter “VPN-Verbindungen”.
5. Nun kümmern wir uns um den VPN-Client. Hat man ein 32-Bit-Windows, kann man getrost den AVM-eigenen VPN-Client nutzen, der vor allem die hübsche Annehmlichkeit mitbringt, dass der sehr einfach mit der anderen Datei konfiguriert werden kann, der unter Punkt 3/4 eingerichtet wurde. Also den Client installieren, Konfigurationsdatei importieren und loslegen. Sie haben ein 64-Bit-Windows? Nächster Punkt…
6. Dummerweise gibt es den AVM-eigenen VPN-Client nicht für 64-Bit-Windows-Versionen. Die 32-Bit-Version lässt sich nicht installieren und eine Anfrage an den AVM-Support kann man sich in der Sache auch sparen. Netterweise gibt es aber im Dickicht der vielen IPSec-Clients, die teilweise richtig viel Geld kosten, eine lohnenswerte Ausnahme: der Shrewsoft VPN Client. Den bekommt man auf der Shrewsoft-Download-Seite. Ich habe übrigens den letzten Release Candidate der zukünftigen Version 2.1.5 genommen, der ist schon hinreichend stabil.
7. Wer den Shrewsoft VPN-Client installiert hat, braucht jetzt nur noch eine Anleitung und die findet sich freundlicherweise auch auf dem AVM-VPN-Portal, hübsch mit Screenshots bebildert: Shrew Soft VPN Connect zur Fritzbox
8. Ergebnis: Funktioniert. Auf Anhieb.

• 

Also, meine SignTrust-Signaturkarte verliert am 31. Dezember 2009 ihre Gültigkeit. Das ist ein normaler Vorgang, da Signaturzertifikate nur eine definierte Gültigkeit haben. Aus diesem Grund hat mir SignTrust vor einigen Tagen eine Nachfolgekarte zugeschickt, die ein nachfolgendes Zertifikat beinhaltet

Problem: Die neue Signaturkarte funktioniert an meinem Bürorechner problemlos, zu Hause jedoch nicht. An beiden Rechnern ist ein funktionierender Kartenleser angeschlossen und an beiden Rechnern die Software “OpenLimit CC Sign” installiert, gleicher Versionsstand. Sowas hebt die Stimmung ungemein, da es keine sinnvolle Möglichkeit gibt, mit einer Fehlersuche anzusetzen, da leider auch die OpenLimit-Software eben nur meldet, dass die neue Karte nicht erkannt werden kann. Warum die Karte aber nicht erkannt werden kann, darüber schweigt die Software.

Der Teufel liegt im Detail: Die neue Signaturkarte beinhaltet nämlich nicht einfach nur einen neuen Satz an Zertifikaten, sondern die Karte beinhaltet auch ein neues Betriebssystem. Dieses Betriebssystem der Signaturkarten, die SignTrust verwendet, nennt sich “STARCOS” und war in meiner alten Signaturkarte auf dem Versionsstand 3. Die neue Signaturkarte bringt als Betriebssystem jedoch STARCOS 3.2 mit.

Und tatsächlich liegt hier der Hund auch begraben, denn die aktuelle Version von OpenLimit CC Sign konnte anfänglich mit STARCOS 3.2 nicht umgehen, was mit einem Patch zur STARCOS-3.2-Unterstützung geändert wurde. Das Dumme dabei ist nur, dass die Software vor dem Patch die Version 2.5.0.1 trägt und nach dem Patch ebenso – der Anwender ist also nicht in der Lage, zu überprüfen, ob seine Installation eigentlich STARCOS-3.2-fähig ist oder nicht. Warum nun die Version im Büro ohne Patch funktionierte? Nun, weil die Installation da erst zwei Wochen alt ist und der notwendige Patch ohne weitere Hinweise schon während der Installation eingespielt wurde.

Diesen Faux-Pas, den Versionsstand einer Software mit einem signifikanten Patch bzw. einer Funktionserweiterung nicht zu erhöhen und damit als Anwender nicht erkennen zu können, ob man nun eine STARCOS-3.2-Unterstützung hat oder nicht, hat bei OpenLimit leider Tradition, denn ich hatte ein ähnliches Problem schon vor fast genau einem Jahr beim OpenLimit-Support moniert, was auch mit der Rückmeldung, dass man dies an die zuständige Abteilung weitergeben wolle, beantwortete – leider offenbar ohne messbaren Erfolg.

In Sachen Programmiertechnik spätere Funktionserweiterungen und Patches einer Software nicht in einer höheren Versionsnummer zu führen, ist finsteres Mittelalter und eine Sache, die man im ersten Semester Informatik lernt.

• 

Es handelt sich hierbei um eine Erweiterung namens “Microsoft .NET Framework Assistant 1.1”, die nichts anderes macht, als die installierte Version des .NET-Frameworks an den Webserver zu übermitteln und um das Plugin namens “Windows Presentation Foundation”, das immerhin schon etwas wichtiger ist, ebenfalls zum .NET-Framework gehört, und, in sehr einfachen Worten umfasst, einen Baukasten bereitstellt, um Benutzeroberflächen abzubilden.

Das Unniedliche an der Geschichte dieser zwei Module ist, dass sie Microsoft dem Firefox weitgehend ungefragt unterjubelt, wenn der Benutzer das .NET-Framework installiert oder aktualisiert, beispielsweise mit einem Service Pack. Installiert man das Framework bzw. das Service Pack, befinden sich diese beiden Module danach in der Firefox-Installation – ohne dass der Benutzer das irgendwie steuern könnte.

Hübscherweise ist Microsoft bei der Idee, diese beiden Module dem Browser unterzujubeln, kurzfristig offenbar den alten, herrschaftlich veranlagten Zeiten verfallen und hat gar nicht daran gedacht, dass ein Benutzer das vielleicht gern wieder deinstallieren würde: Die im Firefox implementierte Deinstallationsfunktion für Add-Ons wurde von Microsoft für diese beiden Add-Ons einfach außer Kraft gesetzt.

Dieser gequirlte Mist – von Seiten Microsofts für diese Aktion und auch von Seiten der Firefox-Macher für so einen architektonischen Schnittstellenpfusch – hat sich nun gerächt, da über diese Module eine aktuelle Sicherheitslücke des .NET-Frameworks ausgenutzt werden könnte. Und deshalb haben sich die Firefox-Macher nach Rücksprache (!) mit Microsoft dazu entschlossen, diese beiden Module, wiederum ungefragt, zu deaktivieren. Informiert hat natürlich keiner von beiden und so muss der geneigte Interessierte das entweder aus dem Heise-Ticker lesen oder dumm sterben.

Mal so die Frage am Rande, gerichtet an Microsoft und an die Firefox-Macher: Was glaubt ihr Helden eigentlich, wem der Computer hier auf dem Tisch gehört, auf dem ihr hier eure Schlampereien ein- und ausschaltet, wie euch gerade der Rotz aus der Nase tropft?

•