Schlagwort: unsicher

  • Dateien ohne Cloud-Umleitung mit beliebig vielen Personen teilen

    Daten mit anderen Personen teilen ist nicht immer so einfach wie es sich anhört. Viele Dateien die per E-Mail versendet werden sollen, sind einfach viel zu groß. Auch die Cloud hat ihre Tücken und wird daher nicht von allen Usern eingesetzt. Wer seine Dateien nicht auf DVD´s oder Speicherkarten kopieren will um sie weiterzugeben, der kann eine direkte Datenleitung zu den Empfängern anlegen.

    Daten werden nicht gespeichert

    Bei dieser Direktverbindung werden keine Daten auf fremden Servern (zwischen-)gespeichert. Der deutsche Anbieter O&O Software erzeugt einen einzigartigen Link, über den der Empfänger die Daten direkt von deinem PC erhält.

    Die Software, O&O FileDirect,  ist nur für dich als Absender erforderlich. Das Tool ist auf der Webseite des Anbieters kostenlos erhältlich.

    Simple Benutzungsoberfläche

    Die Bedienung ist denkbar einfach. Starte das Programm FileDirect und ziehe die Datei(en) die du versenden möchtest, einfach in das Programmfenster. Eine Größen- oder Mengenbeschränkung seitens O&O gibt es übrigens nicht.

    Der Download-Link wird sofort automatisch erzeugt und kann direkt per E-Mail, Facebook, Twitter oder Google+ versendet werden.

    Über den Button Einstellungen kannst du auf Wunsch festlegen, wie lange dieser Link gültig sein soll und wie oft die Datei von einem Nutzer heruntergeladen werden darf. Ein Passwort als Zugriffsschutz lässt sich auch eingeben.

    Download per Web-Browser

    Der Empfänger benötigt, wie oben bereits erwähnt, keine Zusätzliche Software. Der Download erfolgt über einen Webbrowser, außerdem müssen alle beteiligten Rechner während des Up-/Downloadprozesses eingeschaltet sein und über eine aktive Internetverbindung verfügen.

    FileDirect unterstützt die Browser Google Chrome, Mozilla Firefox, Opera und Vivaldi. Nicht kompatibel sind iOS-Geräte, der Microsoft Internet Explorer und der Edge-Browser.

    Hinweis

    Beim Download über den Mozilla Firefox gibt es noch eine Besonderheit. Er beschränkt die maximale Größe von herunterzuladenden Dateien auf 50 Prozent der freien Speicherkapazität deiner Festplatte.

    Das bedeutet im Klartext: Wenn dir noch 500 GB freier Speicherplatz zur Verfügung stehen, kannst du pro Download nur maximal 250 GB herunterladen. Weitere Informationen über die Download-Begrenzung beim Firefox kannst du hier nachlesen.

  • Warnung vor unsicheren Cloudspeichern von ownCloud und Nextcloud

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf Sicherheitslücken in den Onlinespeichern von Nextcloud und ownCloud hin. Grund dafür ist in der Regel der Einsatz von veralteter Software. Betroffen sind alle Bereiche, wie Unternehmen, öffentliche Einrichtungen, Krankenhäuser, Anwälte und private Nutzer.

    Abhilfe schafft nur konsequentes Überprüfen auf Updates. Jeder Betreiber von Cloudspeichern ist für die Sicherheit seines Onlinespeichers selbst verantwortlich und sollte daher regelmäßig die Webseite seines Cloud-Anbieters auf neue Sicherheitsupdates kontrollieren.

    Eine „Update-Faulheit“ führt dazu, dass den Kriminellen der Zugriff auf sensible Daten zu leicht gemacht wird. Sogar Produktionsprozesse können durch diese Nachlässigkeit negativ beeinflusst werden.

    Die beiden Anbieter von Cloud-Software, ownCloud und Nextcloud bieten eine kostenlose Überprüfung des Sicherheitsstatus deiner Cloud-Software an. Die Links hierzu lauten:

    Das Bundesamt für Sicherheit in der Informationstechnik veröffentlichte auf ihrer Webseite zu diesen Vorfällen auch weitere Informationen und Empfehlungen für Cloud-Nutzer und Betreiber.

  • Wifi-Spot: Unitymedia und ihre WLAN-Sicherheitslücke sind immer noch aktuell

    Ein Sprichwort besagt: „Gegensätze ziehen sich an.“ Das scheint wohl auch Unitymedia und deren WLAN-Sicherheit zu betreffen. Bereits Anfang des Jahres 2016 warnte das Unternehmen davor, die Standard-Passwörter, die auf der Rückseite des Routers mit einem Aufkleber angebracht sind, weiterhin zu benutzen. Sie sollten sobald als möglich gegen ein eigenes Passwort ersetzt werden. Nun gibt es offenbar nach dem Start von WifiSpot wieder (oder immer noch) ein Sicherheitsproblem. Bei einigen Nutzern, deren WLAN-Router für das freie WLAN-Netz freigeschaltet wurden, sind die Standard-Passwörter geknackt worden.

    Über diese Sicherheitslücke, die Unitymedia seit Bekanntwerden immer noch nicht geschlossen hat, gewährt den Zugriff über das Netzwerk auf die Daten des oder der angeschlossenen Computer.

    Sie ist außerdem so eklatant groß, dass es keine hochspezialisierten Hacker braucht, um einen Angriff auf einen WLAN-Router durchzuführen. Mit den richtigen Suchbegriffen findet jedes Kind im Google Play Store die passende Router-Keygen-App zum Auslesen des Standard-Passwortes.

    Unitymedia hat auf dieses Problem (wie auch im Januar) lediglich mit dem Rat reagiert, dass die Kunden ihr Standard-Passwort gegen ein Eigenes ersetzen sollen.

    Zusätzlich hat das Unternehmen (Vorsicht, Ironie!) sogar noch eine Info-Seite (FAQ) geschaltet, wie man bei den Geräten das Passwort ändert. Es betrifft nämlich nicht nur ein Gerät sondern gleich sechs Modelle:

    1. Ubee Modem
    2. Fritz!Box 6360
    3. Fritz!Box 6490
    4. Technicolor Modem TC7200
    5. Horizon Box
    6. Connect Box

    Tipp:

    In diesem Artikel erfährst du, wie einfach man sichere Passwörter erstellt, die man sich sogar gut merken kann.

  • Angst vor Bloßstellung? Apple wirft Security-App „SysSecInfo“ aus dem Store.

    Dass Apple unangenehme Wahrheiten lieber verschweigt, ist hinlänglich bekannt. Diesmal hat der Rotstift der Zensur die iOS-App System and Security Info der Kölner Firma SektionEins erwischt. Nach knapp einer Woche im App-Store landete das Tool auf Platz 1 der Verkaufs-Charts und anschließend direkt im digitalen Mülleimer.

    Warum?!

    Die Software der Firma SektionEins überprüft iOS-Geräte auf versteckte Jailbreaks und verdächtige Hintergrunddienste, die Geheimdienste sowie Hacker nutzen können um sie abzuhören oder mit Schadsoftware zu infizieren.  Die Ergebnisse werden dann in Prozesslisten und in Systeminformationen abgebildet. Außerdem zeigt die Sicherheitssoftware auch Anomalien, wie beispielsweise unsignierte Binaries, an. Das kompromittiert recht schnell iOS-Spionage-Software, wie sie von Firmen wie FinFisher (FinSpy) und HackingTeam verkauft wird.

    Offensichtlich fühlte sich Apple – zu Recht – bloßgestellt. Denn anders kann man den Rausschmiss der App System and Security Info nicht werten, da andere Apps, die auch Prozesslisten und Systeminformationen anzeigen, im App-Store weiterhin erhältlich sind.

    Wer mehr über die App System and Security Info und dessen Funktionsweise erfahren möchte, der kann sich auf der Webseite von SektionEins  oder im hauseigenen Blog informieren.

    Peinlich, Peinlich…

    Nach dem Rechtsstreit mit dem FBI um die Offenlegung der Verschlüsselung, will Apple wohl nicht dass weitere Sicherheitslücken bekannt werden.

    Mein Tipp an Apple: Setzt euch mit Firmen wie SektionEins zusammen um wirklich sichere Handys zu bauen. Niemand ist perfekt und solche Zensurversuche sind einfach nur peinlich.

    Rechtsstreitigkeiten, wie die mit dem FBI, sind sonst nicht mehr Wert als ein PR-Gag um im Gespräch zu bleiben.

    Die glücklichen Nutzer, die System and Security Info bereits heruntergeladen haben, können sie natürlich weiterhin nutzen. Da aber zukünftige Updates nicht erfolgen (können), wird die Software wohl recht schnell veraltet sein. Die Entwickler von Spionage-Software schlafen schließlich auch nicht.

    Bleibt nur abzuwarten, welchen Clou Stefan Esser von SektionEins als nächstes veröffentlicht.

  • Wichtige Textpassagen in Word-Dokumenten unleserlich machen

    Wer Textpassagen mit wichtigem Inhalt vor dem Versenden unleserlich machen will, der muss sich etwas anstrengen. Ein schwarzer Balken und die Konvertierung in das PDF-Format reichen leider nicht aus. Diesen vermeintlichen „Schutz“ hebelt die Copy/Paste-Funktion sehr leicht aus. Hier sind ein paar Arbeitsschritte erforderlich, damit der Text wirklich nicht mehr wiederherstellbar ist.

    Es ist zwar sehr bequem, bei Word die Funktion Texthervorhebungsfarbe zu verwenden und dann das Dokument als PDF zu speichern. Dies ist aber nur eine trügerische Sicherheit.

    Bei diesem Verfahren wird der schwarze Balken nur über den Text gelegt. Diese Stelle wird aber trotzdem als Text konvertiert. Um dies zu demonstrieren, markiere einen Text mit gelber Farbe anstatt mit schwarz und speichere die Datei als PDF.

    Im Adobe Reader kann man den schwarzen Balken zwar nicht entfernen, aber man kann den Text sichtbar machen. Dazu kopierst du die geschwärzte Stelle in die Zwischenablage und fügst sie in ein Word-Dokument ein. Und voilá: Der Text ist sichtbar!

    Mit einem PDF-Editor Markierungen entfernen

    Die schwarzen Balken entfernt man mit einem PDF-Editor wie dem Foxit Phantom. Er ist als kostenlose Testversion erhältlich.

    Sichere Varianten

    Zum Anonymisieren von Texten führen eigentlich nur drei Maßnahmen zum Erfolg.

    1.) Überschreibe die betreffenden Texte mit Platzhaltern wie XXXXXXXX oder mit Sonderzeichen und erstelle von dieser Datei eine Kopie im PDF-Format. Anschließend machst du den überschriebenen Text im Word-Dokument wieder rückgängig.

    2.) Ein sicheres Schwärzen von Texten in PDF-Dateien ermöglicht nur ein professionelles Programm wie der Adobe Acrobat Pro. Doch dieser ist nach Ablauf der 30-tägigen Testphase recht teuer. Ein Abo kostet derzeit 17,84 Euro, die Kaufversion schlägt mit stolzen 665,21 Euro zu Buche.

    3.) Am sichersten ist immer noch die klassische Methode. Word-Dokument ausdrucken, Texte mit einem schwarzen Filzstift unkenntlich machen und wieder im PDF-Format einscannen.

    Tipp:

    Mit den PDF-Versionen von Powerpoint- und Excel-Dateien ist ähnlich zu verfahren, da sie genauso unsicher sind wie die Word-Dokumente.

  • Chrome: Google stellt den Support für alte Windows- und MAC-Systeme ein

    Im April 2015 kündigte Google an, dass Chrome für Windows XP nur noch für das restliche Jahr 2015 unterstützt wird. Am 10. November 2015 teilte Google nun das endgültige Aus für Chrome unter Windows XP und Vista mit. Das Support-Ende gilt auch für die alten MAC-Versionen 10.6, 10.7 und 10.8.

    Ab April 2016 ist nun endgültig Schluss mit Programm- und Sicherheits-Updates für diese „veralteten“ Betriebssysteme. Google Chrome funktioniert dann zwar immer noch, wird mit zunehmender Zeit aber immer unsicherer werden.

    Google will durch diese Aktion – wie auch seinerzeit Microsoft – die Nutzer dazu bewegen, auf neuere Betriebssysteme umzusteigen. Da interessiert es niemanden, dass Windows XP immer noch zu einem der beliebtesten Systemen gehört und nahezu den gleichen Marktanteil wie Windows 8/8.1 aufweist. Stand Anfang November 2015 lag XP bei 11,7 Prozent, Windows 8/8.1 dagegen nur bei 13,2 Prozent.

  • Mozilla Firefox: Sichere SSL-Links einer Webseite identifizieren

    Einen SSL-gesicherten Link erkennt man in der Adresszeile eines Browsers an der vorangestellten Abkürzung https (= HyperText Transfer Protocol Secure) der URL. Fehlt das s am Ende, ist die Verbindung nicht verschlüsselt und somit nicht Secure. Aber selbst auf einer mit SSL abgesicherten Webseite können sich weiterführende Links befinden, die unverschlüsselt, also nicht sicher sind. Auf den ersten Blick sieht man dies leider nicht. Für Firefox-User gibt es aber eine Browser-Erweiterung mit der man auf einen Blick sieht, welche eingebetteten Webadressen verschlüsselt oder unverschlüsselt sind.

    Das Add-On Secure or Not ist natürlich kostenlos und auf der Add-Ons-Seite von Mozilla erhältlich.

    Nach der Installation der Browser-Erweiterung Secure or Not ist ein Neustart des Firefox erforderlich, damit die Änderungen aktiviert werden.

    Möchtest du nun auf einer Webseite die eingebetteten Links auf eine SSL-Verschlüsselung prüfen, dann klickst du mit der rechten Maustaste in eine freie Stelle der aktuellen Webseite und wählst im Kontextmenü den Eintrag Secure or Not aus. Sofort werden alle URL´s die mit https beginnen, mit einem grün gestrichelten Rahmen umgeben. Unsichere Verbindungen werden mit rotem Rahmen angezeigt.

    Bei obigem Bild fällt auf, dass der Link zur Ebay-Kontoansicht unverschlüsselt ist, während der Werbebanner über eine gesicherte SSL-Verbindung verfügt…

    Ohne die Erweiterung Secure or Not müsste man die betreffenden Links über die Statuszeile des Browsers kontrollieren. Dies ist recht umständlich und in der Praxis kaum umsetzbar.

  • Gläserne Postfächer: Wer alles E-Mails mitlesen kann und warum E-Mails nicht mehr als digitale Postkarten sind

    Viele Anwender glauben, E-Mails seien private Nachrichten, die nur Absender und Empfänger einsehen können. Weit gefehlt. Elektronische Nachrichten sind vergleichbar mit Postkarten. Jeder, der die Postkarte in die Finger bekommt – von der Postannahmestelle über Verteilzentrum und Briefträger – kann Postkarten lesen. Gleiches gilt bei E-Mails: Elektronische Nachrichten gehen offen und ohne Briefumschlag auf die weltweite Reise. Jede Station im Web kann die Nachrichten problemlos lesen.

    Im Vergleich zur Postkarte gibt es bei E-Mails sogar wesentlich mehr Gelegenheiten, die Nachricht abzufangen. Denn um zum Empfänger zu gelangen, wandert die Nachricht oft über zehn oder mehr Server; sie wird unverschlüsselt von einem zum nächsten Server weitergeleitet, bis sie beim Empfänger landet. An jedem Knotenpunkt und auf den Internetleitungen dazwischen können die Nachrichten ohne viel technischen Aufwand „belauscht“ werden. Sicherheitsvorkehrungen sind im etablierten Mail-Protokoll SMTP nicht vorgesehen. Die Nachrichten werden weltweit im Klartext verschickt und bleiben meist mehrere Tage auf den Mailservern liegen.

    Daher unser Rat: Wer sensible Daten wie Kontonummer oder Gesundheitsdaten per E-Mail verschickt, sollte die Nachricht nur verschlüsselt auf die Reise schicken. Wie Sie E-Mails sicher verschlüsseln, zeigt unser Workshop „Workshop E-Mails sicher verschlüsseln mit PGP„.

  • Cloud-(Un)sicherheit: US-Behörden haben Zugriff auf sämtliche Cloud-Daten

    Lange wurde es vermutet, jetzt ist es sogar amtlich: US-Behörden dürfen ungeniert auf sämtliche Daten in Clouds zugreifen. Und das bereits seit Jahren. Wer Daten zum Beispiel bei iCloud, Google Drive oder Dropbox gespeichert hat, muss damit rechnen, dass auch FBI, NSA, CIA und wie die US-Behörden alle heißen darauf Zugriff haben. Einzige Bedingung: Die Cloud-Server müssen in den USA stehen – was bei fast allen Cloud-Diensten der Fall ist.

    Schnüffelerlaubnis nur für Nicht-US-Bürger

    Der freie Zugriff auf die Cloud-Daten ist in den USA durch das Gesetz „Foreign Intelligence Surveillance Act„, kurz FISA geregelt. US-Behörden wie FBI, CIA oder NSA dürfen demnach ohne Einwilligung der Nutzer die Cloud-Daten durchforsten. Ausgenommen sind kurioserweise alle US-Bürger. Die Schnüffelerlaubnis gilt nur für Nicht-US-Bürger.

    Die US-Behörden können damit bei jedem Cloud-Benutzer Data-Mining betreiben und Profile anlegen, das bis zum Jahr 2008 zurückreichen. Und das ohne Begründung oder richterlichen Beschluss. Die Cloud-Daten liegen offen wie Postkarten.

    Was man dagegen tun kann

    Wehren kann man sich gegen die Durchsuchung nicht. Wer nicht möchte, dass US-Behörden in den eigenen Cloud-Daten herumschnüffeln, bleibt nur eins: der Rückzug aus Dropbox, Google Drive, SkyDrive und anderen Cloud-Diensten, deren Server in den USA stehen. Bei Cloud-Diensten mit Servern ausschließlich in Europa wie die TelekomCloud (MedienCenter) besteht die Schnüffelgefahr nicht. Ganz im Gegenteil: Der in Deutschland geltende Bußgeldrahmen im Bundesdatenschutzgesetz (BDSG) wurde bei einfachen Ordnungswidrigkeiten kürzlich auf bis zu 50.000 Euro erhöht; schwerwiegende Ordnungswidrigkeiten wie die unbefugte Datensammlung werden mit bis zu 300.000 Euro geahndet.

    Eine andere Lösung: Sie verwenden Clouds, die Daten per se verschlüsseln, etwa Wuala. Etwas aufwändiger aber ebenfalls sicher ist das eigene Verschlüsseln der Cloud-Daten, bevor sie in der Cloud gespeichert werden. Dropbox-Daten können Sie beispielsweise mit TrueCrypt oder Boxcryptor sicher verschlüsseln und damit vor den Augen der US-Behörden verbergen.

  • Kennwortsicherheit: Online prüfen, ob und wie schnell sich Kennwörter knacken lassen

    Mit Kennwörtern ist es so eine Sache. Damit sich die Kennwörter leicht merken lassen, verwenden viele einfach simple Konstrukte wie „password“, den Namen des Partners oder das Geburtsdatum. Lässt sich einfach merken – und genau so einfach knacken. Wie sicher ein Kennwort ist und wie viele Minuten oder Sekunden Hacker zum Knacken brauchen zeigt die Webseite „PW Security“.

    Wie sicher ist mein Kennwort?

    Sicher sind Kennwörter nur, wenn Sie aus Zufallsbuchstaben und Zufallsziffern bestehen. Dass sich auch komplizierte Kennwörter wie eFiwaWdWib!(/)b leicht merken lassen, haben wir bereits im Tipp „Unknackbare und sichere Passwörter“ gezeigt. Falls Sie gerade keine Ideen für ein sicheres Kennwort haben, können Sie sich unter strongpasswordgenerator.com auch ein unknackbares Kennwort generieren lassen. Allerdings lässt sich das nicht so einfach merken wie die Eselsbrücken-Variante.

    Und wie sicher ist jetzt mein Kennwort? Das können Sie im Web leicht überprüfen. Der kostenlose Onlineservice „PW Security“ verrät, wie lange es dauert, ein Kennwort zu knacken. Sie müssen ins Formular nur das zu prüfende Kennwort eingeben.

    Am besten verwenden Sie kein echtes Kennwort, sondern ein ähnliches – beim obigen Beispiel tauschen Sie zum Beispiel die Buchstaben aus, lassen die Anzahl und Positionen der Klein- und Großbuchstaben sowie Zahlen und Sonderzeichen aber gleich. Nach einem Klick auf „check pw“ erfahren Sie, wie sicher das Kennwort ist und wie viele Sekunden, Minuten, Stunden, Tage oder Jahre ein Hacker braucht, um das Kennwort mittels der Brute-Force-Methode (Ausprobieren aller Kombinationen und Verwendung von Wortlisten) braucht, um das Kennwort mit einem Standard-Rechner  zu knacken. Als Berechnungsbasis wird dabei angenommen, dass der Hackerrechner 2,1 Milliarden Schlüssel pro Sekunde durchprobiert – eine gängige Größe für heutige Rechner.

Die mobile Version verlassen