IT Technik und -Sicherheit im Tiroler Oberland

EDV - INTERNET - PROGRAMMIERUNG - IT-SICHERHEIT - DATENSCHUTZ

"Sicherheit ist kein Produkt, sondern ein dauerhafter Vorgang."
(Bruce Schneier)

News...

Whatsapp und Datenschutz

Derzeit wird heftig über Whatsapp und Datenschutz diskutiert.
Unsererseits ist hier unbedingt anzumerken:

  • Wer den AGBs zustimmt, stimmt zu, dass die verfügbaren Whatsapp Daten mit Facebook geteilt werden, also auch Kontakte, die evtl. gar nichts mit Facebook zu tun haben möchten.
  • Facebook erhält damit auch die Erlaubnis, dass jetzt noch nicht verfügbare Daten (z.B. Nachrichtentexte) verwendet werden dürfen.
  • Alternative Messenger, wie Signal oder Threema sind datenschutzrechtlich weit unbedenklicher.
    Ein Parallelbetrieb ist ohne weiteres möglich.
  • Wer sich nicht sicher ist, ob er zustimmen sollte, oder wozu er hier zustimmt, sollte keineswegs zustimmen, Alternativen testen und erst knapp vor Ablauf der Frist entscheiden.
Wir beantworten natürlich auch gerne persönlich Fragen zu Datenschutz und Messenger.
Hier ein Link zu einem Mitschnitt und Teilen eines Interviews welches für Life Radio Tirol gegeben wurde:

EuGH kippt Datenschutzabkommen "Privacy Shield"

Im Zuge des Verfahrens von Max Schrems gegen Facebook kippt der Eu Gerichtshof das Datenschutzabkommen zwischen EU und USA wegen übermäßiger Überwachung. Ein Erfolg des Datenschützers. Weitreichende Folgen sind zu erwarten.
Information auf NOYB – European Center for Digital Rights

2020-03-30 Warnung vor Datenschutz im Videochat

Datenschützer warnen vor der Videochatsoftware 'Zoom' Ein entsprechender Artikel findet sich heute im Handelsblatt ...
Ein entsprechender Artikel findet sich heute im Handelsblatt

Der gläserne Bürger...

In einem Brandbrief warnen in Deutschland 13 NGOs vor staatlichem Zugriff auf private Daten.
Unser Gedanke dazu ist, dass diese Daten für privatwirtschaftliche Unternehmungen bereits weitgehend soundso verfügbar sind, die Staaten diese Informationen also einfach (mit Steuergeldern) kaufen können. Weiters ist der Ansatz nicht weitere Datensammlung, sondern grenzüberschreitender Austausch von Beweismitteln, also bereits bestehender Daten.
Nachdem Verbrechen keine Grenzen kennen, ist hier wohl eher festzustellen, dass dieser Austausch sinnvoll wäre...
Heise Artikel zu E-Evidence

Cyberkrieg, Informationskrieg...

Wer sich über Sicherheit im Internet interessiert, abseits von dem Klischeehacker...
Klar verständliche Grundinformation über (Cyber)war / Informational Warfare / Fake News / Propagandakriege.
"Sicherheitshalber" ist ein Potcast, der deutschssprachig im Klang einer Studentenbude, aber extrem kompetent, Sicherheitsfragen verständlich diskutiert...
Sicherheitshalber spezial Aspen Cyber Security

Kopfhörer, die den Polizeifunk stören, Sendeleistungen über gesetzlichem Limit...

Die Bundesnetzagentur macht Aktion scharf gegen mangelhafte Produkte
Allerdings ist vorwiegend der Konsument selbst gefragt, der nicht beim erstbesten Internetprodukt zuschlägt, weil's billig ist.
Kritische Betrachtung des Produkts und Prüfkennzeichnungen sollten betrachtet werden. Es nützt nichts, wenn man sich über die Krebsgefahr durch Sendemasten beschwehrt, während man eine Smartwatch trägt, die einem das Handgelenk unbemerkt grillt.
Gilt auch für österreichische Konsumenten...
Pressemitteilung der Bundesnetzagentur Deutschland

CEO Fraud auch in Tirol und bei kleineren Firmen: Betrug in sechststelliger Höhe

Beim CEO Fraud wird das Opfer gezielt ausspioniert. Briefpapier wird gefälscht. Und der Angriff gezielt zeitlich abgestimmt. Meist wird per Email die Buchhaltung "vom Chef" angewiesen, schnell Geld an eine Kontonummer zu überweisen. Dabei wird darauf geachtet, das die Führungsperson nicht erreichbar ist und die Zeit drängt (z.B. vor einem Feiertag, vor dem Wochenende).
Der humane Faktor wird hier gezielt ausgespielt. Schutz dagegen bietet "zwei Faktor Authentizierung" auch im normalen Leben (z.B. Überweisungsaufforderungen per Email immer nur mit telefonischer Bestätigung).
Schulung von Mitarbeitern und Führungspersonen, Sensibilisierung für Angriffe, ist unumgänglich. - Fragen sie auch bei uns nach personalisierten Trainings. TT Artikel über aktuelle Angriffe

Sichtherheit vor Überwachung

Man muss nicht alle Daten in die Cloud stellen. - Bilder und Kontakte kann man auch am PC speichern. - Klar, ist nicht so bequem. Aber was für den Anwender bequem ist, ist auch für den Angreifer bequem
Wir sind auf unseren Betriebs-Smartphones auch per sicherem Kommunikationsdienst Signal erreichbar. Whatsapp wird wohl in näherer Zukunft entfernt.
Eine Zusammenfassung über Sicherheit am Smartphone gibt es heute Als Artikel vom Webstandard

Sicherheitstechnik ist in vielen Fällen ein zweischneidiges Schwert

Besonders Cloud Lösungen bieten immer wieder Möglichkeiten für Angreifer, die Überwachungstechnik umzukehren. Das Risiko betrifft dabei nicht nur zufällig anwesende Personen sondern primär die Schutzbedürftigen selbst. Daher ist immer zwei mal zu überlegen, wie man Kameraüberwachung plant und ausführt...
Futurezone: Sicherheitslücken in neun Millionen Überwachungskameras...

Stelle dir vor, Du bekommst ein Email und im Betreff steht deine Emailadresse und dein geheimes Passwort.

So ist es uns vor einer Woche gegangen. - Nein, natürlich handelte es sich um eine Benutzername/Passwort Kombination der "unsicheren" Kategorie, die so seit 10 Jahren nicht mehr in Verwendung ist.
Trotzdem: Ein Benutzer, der seit Jahren das selbe Passwort verwendet, wird sich ertappt fühlen. Und dann kommt die Geschichte, vom Surfen auf Webseiten vom Hacken des eigenen Rechners und von einem Video, das seiner Frau zugespielt wird.
Die Erpressungsversuche liegen dann zwischen 1000$ und 3000$ in Bitcoins. Wer die Geschichte glaubt hat verloren...
Bruce Schneier und Brian Krebs erzählen euch, wie das so funktioniert und warum man den Erpressern nicht glauben sollte.
Reasonably Clever Extortion E-mail Based on Password Theft (by Bruce Schneier)
Sextortion Scam Uses Recipient's Hacked Passwords (by Brian Krebs)

Mal ein kreativer Ansatz: Hackerangriff via Fax.

Israelische und US amerikanische Sicherheitsforscher haben eine Lücke gefunden, wie man mit einem Fax Multifunktionsdrucker angreifen könnte.
Zeit-Online Artikel: Manipuliertes Fax ermöglicht Einbruch in Firmennetzwerke

Lidl beendet Projekt mit SAP

Standardisierte Lösungen, wie SAP, sind prinzipiell wohl der bessere Weg der Implementierung. Aber sie sind nicht immer die beste Lösung.
Auch im Kleinst- und Kleinunternehmerbereich können Standardlösungen nicht immer alle Bedürfnisse abdecken. Man aber muss auch nicht immer den Weg einer eigenen Komplettlösung wählen. Manchmal ist die idealste Variante ein Hybridsystem aus standardatisierter Software und individuellen AddOns...
Heise Artikel: "Elwis" ist tot: Lidl stoppt millionenschweres Projekt mit SAP

Sicherheitslücke in Überwachungssoftware

Was bequem für den Administrator oder User ist, ist auch meist bequem für den Hacker...
Heise meldet Sicherheitslücke in Überwachungs-Software Nagios XI

Update Spectre: Browser nicht sicher...

"Die Patches, die Chrome, Edge und Safari gegen Spectre V1 bekamen, verhindern Angriffe auf die Lücke nicht vollständig. Lediglich Firefox ist im Moment sicher." zum Artikel von Heise...

Email Sicherheit

Eigentlich hätten wir keine DSGVO benötigt, um Emails sicher zu halten.
Email ist ein Kommunikationskanal, welcher bei unverschlüsselter Übertragung die Sicherheit einer Postkarte aufweist.
Der heutige technische Standard in unseren Landen ist, dass Emails nur mehr verschlüsselt übertragen werden. Sollte man sich darüber nicht im Sicheren sein, kann man den Techniker des Vertrauens nachschauen lassen.
Für den normalen Geschäftsverkehr ist diese Sicherheitsmaßnahme auch sicherlich ausreichend. Man schickt ja auch Geschäftsbriefe selten in versiegelten Kuverts mit Durchleucht-Schutz eingeschrieben, oder?
Bei vertraulichen Daten reicht dies aber oftmals nicht aus. Das Mail in sich verschlüsseln, ist problematisch, weil der Empfänger die selbe Software benötigt. Also was tun, wenn man ab und an vertrauliche Daten per Mail versenden möchte?
Eine einfache Methode ist, die Daten per komprimierten Archiv mit Passwortschutz zu versenden. (ZIP File)
Nun sind allerdings gerade diese zip Files in Verruf gekommmen, da sie gerne als trojanisches Pferd für Schadsoftware verwendet werden.
Hier unser Tipp, wie es sauber und sicher funktioniert:

  • Komprimieren Sie die Dokumente mit einem sicheren Passwort: Unzusammenhängend, mind. 8 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
  • Schreiben Sie im Mailtext, dass das Archiv verschlüsselt ist, und dass der Empfänger auf einem anderen direkten Kanal (z.B. SMS) das Passwort erhält. Schicke niemals das Passwort in einem weiteren Mail hinten nach oder schreibe es ins Mail.
  • Versende das Passwort über den anderen Kanal.

Dadurch kann sich der Empfänger sicher sein, dass das Archiv gezielt versandt wurde und hat - bei SMS - gleich eine Rückrufnummer, sollte es noch Zweifel geben.

Bruce Schneier on spying

Der Sicherheitsexperte in einem Gastkommentar auf CNN über den Überwachungs-Markt...
"there are 2500 to 4000 data brokers in the United States"...
Ich würde gerne eine Komponente mit einwerfen: WIR geben die Daten frei zur Verfügung, haben einen Kontrakt, dass im Gegenzug Social Network unsere Daten verwenden kann. WIR Installieren Fun-Apps, verzichten auf Schutzmaßnahmen, ziehen keine rote Linie zwischen Öffentlichkeit und Privatleben.
Eine günstige und einfache Multi Deivce Security Lösung für alle Geräte schützt schon fast. Man muss sie nur auch benutzen, indem man z.B. regelt, welche App am Smartphone welche Daten haben darf.
Was wir aber immer vergessen ist: Data Broker können Daten zusammen führen, die wir getrennt veröffentlichten. Was wir in Social Media stellen, sollten wir daher immer für Broker als "öffentlich" betrachten. Auch dann, wenn wir's für Anwender als "privat" markieren. Bruce Schneier on CNN: "It's not just Facebook." (english)

Computersicherheit vs. Features. Sicherheit von Programmen und Apps

Im Editorial des aktuellen C'T schreibt Fabian A. Scherschel einen Apell an Programmierer, welchen wir wohl vorbehaltlos unterschreiben können. Wir würden uns ebenfalls freuen, wenn Software auch an ihrer Qualität und Sicherheit bewertet wird. Hier sind aber vorwiegend kritische Konsumenten gefragt.
"Echt jetzt?" Editorial c't 2018/8

Malware attackiert Router

...Kaspersky Lab hat eine Malware aufgedeckt, welche gezielt MikroTik Router attackiert. Lt. dem Sicherheitsunternehmen scheint es sich hierbei um Schadsoftware aus der Quelle einer Überwachungsbehörde handeln.
zum Artikel von Jon Fingas (endgadget)