Kategorien
Hardware & Software Windows 10 Windows 7 Windows 8 Windows 8.1

Windows: So einfach ist das Auslesen von SSL-Keys

Für das Auslesen von SSL-Keys benötigt man nicht zwingend zusätzliche Software. Mit Bordmitteln geht das auch recht einfach.

Dazu öffnest du den Datei-Explorer und klickst du im Verzeichnisbaum mit der rechten Maustaste auf den Eintrag Computer (ältere Windows-Versionen) oder auf Dieser PC (Windows 10). Im Kontextmenü wählst du dann die Eigenschaften aus.

Im nächsten Fenster klickst du auf Erweiterte Systemeinstellungen | Erweitert | Umgebungsvariablen.

Im Dialogfenster der Umgebungsvariablen legst du mit der Schaltfläche Neu im Bereich Benutzervariablen einen neuen Eintrag an.

Als Namen der neuen Variablen muss SSLKEYLOGFILE eingetippt werden. Im Eingabebereich von Wert der Variablen legst du den Speicherort der Textdatei ssl.txt fest und bestätigst die Eingabe mit dem Button OK. Das sollte dann in etwa so aussehen:

c:\users\Benutzername\Desktop\ssl.txt

Den Speicherort kannst du natürlich individuell auswählen.

Sobald du nun deinen Browser öffnest und im Web surfst, wird eine Textdatei mit den SSL-Keys erstellt. Diese kannst du dann zum Beispiel kopieren und in Tools wie WireShark zur weiteren Bearbeitung einfügen.

Kategorien
Hardware & Software

Endlich! Die De-Mail wird tatsächlich sicherer

Das die De-Mail, die von unserer Bundesregierung so hochgelobt und als sicher propagiert wurde, hat sich in den letzten Jahren als ziemlicher Flop herausgestellt. An dieser trügerischen Sicherheit haben auch unsere Vorzeigefirmen wie die Deutsche Telekom, GMX, Web.de und 1 & 1 nichts geändert. Aber das soll jetzt definitiv anders werden.

de-mail-sicher-email-end-to-end-encryption-verschluesselt-telekom-1und1

Wesentlicher Sicherheitsaskpekt fehlt bisher

Bisher fehlte der De-Mail ein wesentlicher Sicherheitsfaktor: Die Ende-zu-Ende-Verschlüsselung. Nachrichten erhalten derzeit lediglich eine Transferverschlüsselung. Dies bedeutet lediglich, dass die E-Mail nur auf dem Transportweg verschlüsselt wird. Und dafür benötigt man keine kostenpflichtige De-Mail. Bei vielen E-Mail-Providern ist diese Verschlüsselung ohnehin schon Standard. Weitere Informationen kannst du in diesem Artikel erfahren.

Das Fehlen der End-to-End-Verschlüsselung öffnet nicht nur den kriminellen Hackern ein Hintertürchen, sondern ermöglicht auch im Zweifelsfall den Verfolgungsbehörden ein einfaches Ausspähen der Kommunikation. Ein Schlingel, wer Böses dabei denkt…

Start ist voraussichtlich April 2015

Ab April 2015 soll nun alles besser und sicherer werden. Dann sollen die E-Mails neben einem Zertifikat auch eine digitale Signatur erhalten. Dies soll durch die Verschlüsselung per PGP (Pretty Good Privacy) erfolgen. Die Anbieter von United Internet (GMX, Web.de, 1&1), die Deutsche Telekom, sowie das Unternehmen Francotyp-Postalia, wollen die Sicherheitslücke nun endgültig schließen und das (nie erreichte) Vertrauen in die Sicherheit der De-Mail wieder herstellen.

End-to-End-Verschlüsselung legt der Nutzer selbst an

Ob das klappt, wird man bestimmt bald sehen. Wie hoch der Sicherheitsgrad sein wird, liegt nämlich in der Verantwortung von Sender und Empfänger. Denn die Anbieter stellen nur die technischen Möglichkeiten zur Verfügung. Im Prinzip ist es wie mit der Vergabe von Passwörtern, je komplexer, desto besser.

Bleibt nur zu hoffen, dass dies bedienerfreundlich umgesetzt wird.

Kategorien
Chrome Google Internet & Medien

Schnelle AES-Verschlüsselung für Ihre Google-Mail-Nachrichten

E-Mails mit wichtigem Inhalt oder sensiblen Daten sollten nicht für jeden lesbar versendet werden. In Büros mit vielen Kollegen oder auch zu Hause muss nicht jeder jede Nachricht lesen können. Im Web gibt es eine Menge Programme und Anleitungen zur Absicherung der elektronischen Post. Für das Browser basierende Google Mail (GMail) gibt es die Erweiterung SecureGmail, die Nachrichten mit nur zwei Mausklicks per AES-Verschlüsselung sichert.

Gesicherte Leitung – Text unverschlüsselt

Alle Anbieter versprechen zwar sicheren E-Mail-Versand, meist ist aber nur die Leitung zwischen den E-Mail-Servern abgesichert. Standardmäßig wird hier meistens die SSL-Verschlüsselung verwendet. Die Nachricht selber wird aber nicht verschlüsselt. Das gilt sogar für die viel gepriesene DE-Mail.

Wirklich sicher sind die Nachrichten nur dann, wenn Sie schon auf dem Computer des Absenders verschlüsselt und auf dem Rechners des Empfängers (End-to-End-Verschlüsselung) wieder entschlüsselt werden.

Die Verschlüsselungstechnik

Die Programmierer von SecureGmail nutzen zur Verschlüsselung die Open Source Stanford-Javascript-Crypto-Library, die den AES-Algorithmus verwendet. Nach Aussage der Stanford-Programmierer werden noch weitere Elemente der Library verwendet, die ein verwendetes Passwort um das 1000-fache verstärken sollen.

Trotz allem gilt: Die Verschlüsselung ist nur so gut wie das Passwort. Aus diesem Grund sind leicht zu erratene Passwörter wie Namen von Haustieren, Kindern, Ehefrauen und -männern sowie Geburtsdaten nicht empfehlenswert.

Download und Installation von SecureGmail für den Chrome Browser

Wer aber den Browser basierenden E-Mail-Dienst von Google nutzt, dem hilft diese Möglichkeit leider nicht. Hier sorgt das kostenlose Add-On SecureGmail aus dem Chrome Web Store für die nötige Sicherheit.

gmail-google-mail-verschluesseln-aes-stanford-chrome-passwort

Klicken Sie auf den blauen Kostenlos Button, um die Erweiterung SecureGmail Ihrem Chrome-Browser hinzuzufügen. Ein Neustart des Browsers ist nicht notwendig.

Kinderleichte Bedienung

Die Installation des Add-ons hat Ihrem Google Mail Konto eine neue Schaltfläche hinzugefügt. Neben dem Button Schreiben befindet sich nun eine Schaltfläche mit einem Vorhängeschloss. Klicken Sie auf dieses Symbol, um eine neue Nachricht zu erstellen, die verschlüsselt werden soll.

neues-symbol-schloss-encryption-stanford-aes-passwort-securegmail-addon-erweiterung

Erstellen Sie Ihre E-Mail wie gewohnt und klicken Sie dann auf die Schaltfläche Send Encrypted. Vorteilhaft ist hier, dass man vor jeder E-Mail-Erstellung wählen kann, ob verschlüsselt werden soll, oder nicht.

email-erstellen-schreiben-encrypted-passwort-streak-encrypt-and-send

Im Nachfolgedialog tragen Sie ein Passwort ein und geben optional ein Passworthinweis ein. Mit dem blauen Button Encrypt & Send wird die Nachricht verschlüsselt und anschließend versendet.

passwort-eingeben-hinweis-senden-empfaenger-abschicken-secure-gmail-extension-chrome

Entschlüsselung der E-Mail beim Empfänger

Der Empfänger der dieser Nachricht erhält einen Hinweis, dass diese verschlüsselt ist. Zum Entschlüsseln der E-Mail muss auf den Link Decrypt message with password geklickt und das vorher vereinbarte Passwort eingegeben werden.

nachricht-entschluesseln-decrypt-passwort-link-eingeben-gmail

Bei Empfängern, die das Add-on SecureGmail noch nicht installiert haben, wird automatisch der Downloadlink für die Erweiterung in die E-Mail eingefügt.

download-empfaenger-email-gmail-google-mail-addon-passwort

 

Vor- und Nachteile von SecureGmail

Wo Licht ist, ist leider auch Schatten. Die Vorteile dieser Tools beschränken sich leider ausschließlich auf GMail in Verbindung mit dem Browser Google Chrome. Nutzer anderer E-Mail-Dienste und/oder Webbrowsern schauen hier leider in die Röhre.

Allerdings könnte SecureGmail bei Browsern, die ebenfalls auf Google-Chrome (Chromium) basieren, kompatibel sein. Auf jeden Fall funktioniert es auch mit dem Comodo Dragon. Alle beteiligten Parteien sollten daher den Einsatz dieser Tools vorher absprechen.

Alternativen

Eine gute, wenn auch etwas aufwendig zu installierende Möglichkeit der End-to-End-Verschlüsselung, bietet der E-Mail-Client Thunderbird. Lesen Sie dazu am besten unseren Artikel Das unbefugte (Mit)lesen Ihrer E-Mails kann verhindert werden. Hier wird beschrieben, wie Sie mit Firefox und Thunderbird eigene Zertifikate zur Verschlüsselung anlegen.

Kategorien
Hardware & Software Outlook Software

Das unbefugte (Mit)lesen Ihrer E-Mails kann verhindert werden

Nicht nur die Geheimdienste lesen unsere E-Mails, auch die E-Mail-Anbieter lesen die Inhalte unserer Nachrichten. Letzteres hat aber auch für uns User einen Vorteil: Spam-Filter müssen so arbeiten, damit Junk-Mails effektiv aussortiert werden. Das beste Beispiel hierfür ist Google Mail (Gmail). Was man immer vermutet hat, wurde vor kurzem Gewissheit: Google liest unsere E-Mails um uns zusätzlich noch individuellere Werbung zu präsentieren. Wer dies nicht will, hat wenig Möglichkeiten dies zu unterbinden. Man kann abgesicherte Messenger für Chats oder Sprachverbindungen nutzen (z. B. PhoneCrypt), oder wichtige Texte als verschlüsseltes Word-Dokument per Mail zu versenden (Simple File Encryptor). Mit dem Open Source Email-Client Thunderbird und persönlichen Email-Zertifikaten lassen sich E-Mail-Nachrichten vor fremden Blicken schützen.

Voraussetzung für abhörsicheren E-Mail-Verkehr

Sie benötigen dazu nur das E-Mail-Programm Mozilla Thunderbird, sowie den Webbrowser Mozilla Firefox. Sollte beides noch nicht vorhanden sein, dann installieren Sie beide Programme und richten im Thunderbird Ihr E-Mail-Konto ein. Den Thunderbird-Einrichtungsassistenten finden Sie über Extras | Konten-Einstellungen. Es können alle großen Mailanbieter wie Microsoft, Google oder GMX verwendet werden, aber auch bei lokalen Anbietern wie Unitymedia klappt es problemlos.

thunderbird-mozilla-firefox-zertifikat-persoenlich-comodo

Vorhandene Mailzertifikate prüfen

Im Thunderbird bereits vorhandene Mailzertifikate können Sie über die erweiterten Einstellungen einsehen. Klicken Sie dazu auf Extras | Einstellungen | Erweitert. Danach wählen Sie die Registerkarte Zertifikate aus und rufen über den Button Zertifikate den Zertifikat-Manager auf. Im Register Zertifizierungsstellen werden alle bereits vorhandenen Zertifikate aufgelistet. Hier werden Sie später auch Ihr persönliches Zertifikat finden.

vorhanden-zertifikate-pruefen-wisekey-startcom-comodo-anlegen-erstellen-thunderbird

Anbieter auswählen und ein persönliches Zertifikat erstellen

Kostenlose Mailzertifikate sind bei Anbietern wie WISeKey, StartCom oder bei der Comodo Group erhältlich. Für diesen Tipp verwenden wir die Zertifikate der Comodo Group. Rufen Sie die Webseite www.comodo.com/home/email-security/free-email-certificate.php auf und klicken Sie auf den Button Free EMail Certificate.

zertifikat-comodo-webseite-kostenlos-download-integrieren

Bestmögliche Verschlüsselung: 2048-Bit-RSA

Im nächsten Fenster füllen Sie die erforderlichen Formularfelder (First Name, Last Name, Email Address, Country) aus. Danach stellen Sie bei den Private Key Options den Grad der Verschlüsselung auf Hochgradig ein, um die sichere RSA-2048-Bit-Verschlüsselung zu gewährleisten. Dann tragen Sie noch ein Passwort ein, bestätigen das Subscriber Agreement und bestätigen mit dem Button Next.

comodo-registrierung-kostenlos-zertifikat-anmelden-erstellung-hochgradig-rsa-2048-bit

Ihr persönlicher Schlüssel wird nun erstellt und an die angegebene E-Mailadresse versendet.

bestaetigung-email-schluessel-comodo-zusenden-adresse-thunderbird-mozilla-keystore

Zertifikat zum Firefox importieren

Öffnen Sie die E-Mail und klicken Sie auf den Button Click & Install Comodo Email Certificate.

schluessel-click-install-zertifikat-certificate-comodo-firefox

Die Installation ist nur dann erfolgreich, wenn der Firefox Webbrowser installiert ist, da nur er die Daten aus dem Mozilla-Keystore verarbeiten kann.

zertifikat-installieren-firefox-erforderlich-browser-keystore

Zertifikat exportieren und auf der Festplatte speichern

Im nächsten Schritt muss zuerst das neue Zertifikat auf Ihrem Rechner gesichert werden. Dazu öffnen Sie die erweiterten Einstellungen im Firefox-Browser über Extras | Einstellungen | Erweitert. Auf der Registerkarte Zertifikate öffnet die Schaltfläche Zertifikate anzeigen den Zertifikat-Manager.

Rufen Sie das Register Ihre Zertifikate auf, markieren Sie den neuen Eintrag, und klicken Sie dann auf Sichern. Speichern Sie die PKCS12-Datei mit einem Passwort in einem beliebigen Ordner auf Ihrer Festplatte.

persoenliches-zertifikat-firefox-export-thunderbird-sichern

Import des Zertifikats nach Thunderbird

Starten Sie nun, wie bereits anfangs beschrieben, den Zertifikat-Manager des Mozilla Thunderbird. Auf der Registerkarte Ihre Zertifikate klicken Sie auf Importieren und navigieren anschließend zum Speicherort des vorher exportierten Zertifikats. Markieren Sie Ihr persönliches Zertifikat, klicken Sie auf Öffnen und geben in dem Nachfolgedialog das zuvor erstellte Passwort ein.

import-certificate-comodo-thunderbird-schluessel-zertifikat-passwort-firefox-mozilla-keystore

Ab sofort steht einer sicheren Kommunikation nichts mehr im Wege.

Natürlich müssen Sie Ihre ausgehenden Nachrichten auch so konfigurieren, dass der persönliche Schlüssel auch tatsächlich verwendet wird.

Kategorien
Hardware & Software Office Outlook

Mozilla Thunderbird: Automatische Verschlüsselung von Nachrichten

Die Verschlüsselung von E-Mails wird immer wichtiger. Nicht nur Firmen sichern so Ihren E-Mail-Verkehr, auch immer mehr Privatanwender nutzen Verschlüsselungsprogramme. Aber hier ist guter Rat teuer, weil das Angebot sehr unübersichtlich ist. Eine gute, sowie kostenlose Lösung bietet der Mozilla Thunderbird in Verbindung mit dem Add-on „Enigmail“.

Zwei Zusatz-Programme sind nötig

Die Erweiterung „Enigmail“ nutzt das Verschlüsselungs-Tool „GPG4Win“, dessen Herstellung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veranlasst wurde. Es unterstützt die kryptografischen Standards „OpenPGP“ und „S/MIME (X.509)„.

Um den E-Mail-Versand mit dem Thunderbird zu verschlüsseln, müssen erst diese zwei Programme heruntergeladen und installiert werden. Danach wird ein Sicherheitsschlüssel erstellt, der dann die Sicherheit herstellt. Zudem kann man bei der Einrichtung entscheiden, ob generell alle E-Mails automatisch verschlüsselt werden sollen oder nicht.

Zugegeben, das hört sich kompliziert an, ist aber mit unserer Schritt-für-Schritt-Anleitung schnell erledigt. Außerdem hilft ein komfortabler „OpenPGP“-Einrichtungs-Assistent den Sicherheitsschlüssel zu erstellen. Aber der ganze Aufwand lohnt sich auf jeden Fall!

Download und Installation von GPG4Win

Zuerst muss das Verschlüsselungs-Tool „GPG4Win“ auf Ihren Computer heruntergeladen und installiert werden. Rufen Sie die Webseite www.gpg4win.de auf und klicken Sie auf den grünen Download-Button.

bild-1-mozilla-thunderbird-tb-erweiterung-tool-gpg4win-installieren-kostenlos-email-verschlüsseln-download-enigmail-sicher-schlüsselpaar-erstellen-exportieren

Auf der nachfolgenden Seite wählen Sie die benötigte Version aus. Wir empfehlen die Vollversion. Folgen Sie danach den Download- und Installationsanweisungen.

bild-4-thunderbird-verschlüsselung-sicher-schnüffeln-openpgp-gpg4win-download-herunterladen-kostenlos

Während der Installation werden zusätzliche Komponenten installiert, die die Verwaltung von Sicherheitsschlüsseln, die nicht über „Enigmail“ kommen, ermöglicht.

bild-2-weitere-komponenten-andere-verwaltung-sicherheit-schlüssel-verwalten-erforderlich-nötig-thunderbird-enigmail

Im letzten Installationsschritt aktivieren Sie zusätzlich die Option „Wurzelzertifikate festgelegt oder Konfiguration überspringen“.

Download und Installation des Add-ons „Enigmail“

Starten Sie nun den Mozilla Thunderbird und öffnen Sie mit „Extras | Add-ons“ den Add-ons-Manager. Geben Sie dann oben rechts in das Suchfeld „enigmail“ ein und klicken Sie auf das Lupen-Symbol. Die benötigte Erweiterung erscheint in der Ergebnisliste an erster Stelle. Mit der Schaltfläche „Installieren“ fügen Sie das Add-on dem Thunderbird hinzu. Ein anschließender Neustart aktiviert „Enigmail“.

bild-3-installieren-thunderbird-addon-erweiterung-enigmail-installieren-download-neustart-erforderlich-gnupg

Eigenes Schlüsselpaar erzeugen

Die Menüleiste wurde nun um einen Menüpunkt, „OpenPGP“ erweitert. Klicken Sie auf „OpenPGP | OpenPGP-Assistent“ um das Schlüsselpaar zu erzeugen.

bild-5-gpg4win-schlüsselpaar-erstellen-open-assistent-anlegen-exportieren

Im Verlauf der Erstellung werden Sie zunächst gefragt, ob der Schlüssel für alle E-Mail-Accounts oder nur für ausgewählte E-Mail-Adressen gelten soll. In diesem Beispiel gilt der Schlüssel nur für ein Konto. Danach müssen noch entscheiden, ob alle Nachrichten der/des ausgewählten E-Mail-Konten verschlüsselt werden sollen.

bild-6-unterschreiben-selber-festlegen-alle-emails-empfängerregel-standard-abgehend-nachricht

Entscheiden Sie sich gegen die generelle Verschlüsselung, wie in unserem Beispiel, dann können Sie zu einem späteren Zeitpunkt eine Regel festlegen, welcher Empfänger die verschlüsselten Mails bekommt. Legen Sie keine Regel fest, dann verschlüsseln Sie einfach nach Bedarf.

Im letzten Schritt legen Sie ein Passwort für den privaten Schlüssel fest. Mit „Weiter“ speichern Sie das Schlüsselpaar in einem beliebigen Ordner.

bild-7-schlüsselpaar-erstellen-benutzer-id-passphrase-unterschreiben-digital-verschlüsselt-öffentlicher-schlüssel

Öffentlicher und privater Schlüssel

Das so erzeugte Schlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel. Der öffentliche Schlüssel ist zur Weitergabe an Ihre Kommunikationspartner vorgesehen. Sie können auch auf spezielle Schlüsselserver hochgeladen werden. Der private Schlüssel sorgt dafür, dass Sie eingehende, verschlüsselte Nachrichten mit Ihrem Passwort lesbar machen können.

Verschlüsselung einer E-Mail

Die Verschlüsselung von Nachrichten erfolgt im automatisch im Hintergrund wenn die benötigten Schlüssel der Kommunikationspartner vorliegen. Möchten Sie eine verschlüsselte Nachricht an einen Empfänger senden, der Ihren Schlüssel noch nicht vorliegen hat, dann können Sie Ihren öffentlichen Schlüssel an die E-Mail anhängen.

Erstellen Sie Ihre E-Mail wie gewohnt. Vor dem Senden klicken Sie in der Menüleiste der neuen Nachricht auf „OpenPGP“ und aktivieren im Kontextmenü folgende Optionen:

  • Nachricht unterschreiben
  • Nachricht verschlüsseln
  • Meinen öffentlichen Schlüssel anhängen

bild-8-email-thunderbird-nachricht-unterschreiben-erstellen-verschlüsseln-öffentlich-schlüssel-anhängen

Mit dem Button „Senden“ öffnet sich das Dialogfenster „OpenPGP-Schlüssel auswählen“. Wählen Sie den entsprechenden Schlüssel aus und bestätigen Sie mit „OK“.

bild-10-schlüssel-auswählen-anhängen-empfängerregel-erstellen-möchlich-öffentlich

Die Schaltfläche „Empfängerregeln erstellen“ ermöglicht gleichzeitig eine automatisierte Verschlüsselung von Nachrichten an diesen Empfänger.

bild-11-regel-thunderbird-email-nachricht-adresse-erstellen-verschlüsselung-openpgp-enigmail

Wird die verschlüsselte Nachricht ohne Sicherheitsschlüssel geöffnet…

bild-9-verschlüsselte-nachricht-anhang-schlüsselpaar-öffentlich-privat-gnupg-openpgp

…dann ist nur ein Wirrwarr an Buchstaben und Zeichen zu sehen. Der Empfänger benötigt dann nur noch seinen eigenen privaten Schlüssel um die E-Mail wieder lesbar zu machen.

Kategorien
Internet & Medien

Phishing-Webseiten erkennen

Phishing-Mails sind ganz schön gemein. Über gefälschte E-Mails locken Betrüger Sie auf gefälschte Webseiten, um Ihnen dort PIN- und TAN-Nummern zu entlocken. Wie Sie erst gar nicht auf Phishing-Mails hereinfallen und Fisching-Mails sofort erkennen, haben wir bereits im Tipp „Phishing-Mails erkennen“ beschrieben.  Sollten Sie trotz aller Vorsicht versehentlich doch einmal auf einen Link in einer Phishing-E-Mail geklickt haben, ist es noch nicht zu spät. Erst wenn Sie auf der gefälschten Seite Zugangsdaten oder PIN und TAN-Nummern eingeben und das gefälschte Formular abschicken, haben die Gauner ihr Ziel erreicht. Anhand einiger Merkmale können Sie leicht erkennen, ob Sie sich auf einer Phishingseite befinden.

Phishing-Seiten lassen sich anhand folgender Merkmale leicht erkennen:

Fehlender Buchstabe s in https

Die wichtigsten Erkennungsmerkmale finden Sie in der Adresszeile des Browsers. Alle seriösen Anbieter übertragen Eingabeformulare nur in verschlüsselter Form. Sobald Sie das Eingabeformular für Kontonummer und PIN aufrufen, müssen in der Adresszeile statt http die Buchstaben https stehen. Das s steht für Sicherheit und zeigt an, dass alle Daten verschlüsselt an die Bank übertragen werden. Fehlt der Buchstabe s handelt es sich mit aller Wahrscheinlichkeit um eine gefälschte Seite. Sie sollten den Browser dann sofort schließen.

phishing-webseiten-erkennen

Fehlendes Schlosssymbol

Sichere Verbindungen zur Hausbank werden im Internet Explorer mit einem kleinen Symbol eines Vorhängeschlosses gekennzeichnet. Sie finden das Symbol rechts neben der Adresszeile. Mit einem Mausklick auf das Schloss können Sie das zugehörige Sicherheitszertifikat der Bank einsehen. Bei vertrauenswürdigen Webseiten wird die gesamte Adresszeile zusätzlich grün eingefärbt. Fehlt das Schlosssymbol, handelt es sich um eine Phishing-Webseite.

phishing-webseiten-erkennen-2

phishing-webseiten-erkennen-3

Fehler in der Adresse

Phishingseiten verwenden meist eine leicht geänderte Adresse. Statt www.postbank.de lautet die Adresse zum Beispiel www.post-security-update.com. Oder die Adresse führt nicht zu einer Seite mit der deutschen Kennung .de, sondern ausländischen Kürzeln wie .ru für Russland.

Eingabe von PIN- und TAN-Nummer auf einer Seite

Beim Onlinebanking haben es Phishing-Betrüger auf Ihre PIN- und TAN-Nummern abgesehen. Sobald auf einer einzigen Seite PIN- und TAN-Nummer gleichzeitig oder gleich mehrerer TAN-Nummern eingegeben werden sollen, ist etwas faul. Keine Bank verlangt die gleichzeitige Eingabe von PIN und TAN-Nummer auf einer Seite. Beim Onlinebanking wird die PIN ausschließlich für den Zugang zum Onlinekonto verwendet, die TAN-Nummern für Überweisungen und ähnliche Transaktionen – gemeinsam werden Sie von Banken nie abgefragt.

phishing-webseiten-erkennen-4

So sehen sichere Onlinebanking-Seiten im Internet Explorer und Firefox-Browser aus: Wichtig sind die Buchstaben https in der Adresszeile (1 im Bild oben), das Schlosssymbol (2) sowie das grün eingefärbte Sicherheitszertifikat (3). Fehlen die Sicherheitsmerkmale, handelt es sich mit großer Wahrscheinlichkeit um eine Phishingseite.

Kategorien
Firefox Internet & Medien

Sicherer surfen mit Firefox: Seitenidentität prüfen, Zertifikate und weitere Zusatzinformationen einblenden

Die Zahl der im Internet lauernden Gefahren scheint unendlich und ist für viele normale Computernutzer kaum noch zu überschauen. Schon das einfache Aufrufen von Seiten per Webbrowser kann dazu führen, dass der eigene Rechner mit Schadsoftware infiziert wird. Um so wichtiger ist es deshalb, dass Sie sich vor solchen Gefahren wirksam schützen. Ein sehr wirksamer Schutz, der leider von vielen oft überhaupt nicht beachtet wird, ist die Überprüfung der Identität der Webseite direkt in der Browseradresszeile. Der Firefox-Browser bietet hierfür sehr gute Möglichkeiten, und mit etwas Aufmerksamkeit gehen Sie so gleich vielen Gefahren wirksam aus dem Weg.

Wer steckt wirklich hinter einer Seite

So funktioniert’s: Haben Sie eine Internetseite per Firefox aufgerufen, bekommen Sie ganz links in der Adresszeile entweder eine kleine Weltkugel oder ein kleine Schloss angezeigt. Die Weltkugel steht dabei für eine unverschlüsselte Verbindung zum Webserver, das Schloss symbolisiert eine verschlüsselte Verbindung.

firefox-identitaet-verschluesselung-pruefen-ueberpruefen-check-2

firefox-identitaet-verschluesselung-pruefen-ueberpruefen-check

Klicken Sie mit der Maus auf das Symbol, bekommen Sie weitere Informationen zur Seite angezeigt. So werden Sie informiert, wer die Seite betreibt und welche Organisation sie verifiziert hat. Dadurch haben Sie schon mit einem Mausklick wichtige Informationen zur Identität einer Seite und können eventuell betrügerische Seiten schon hier erkennen. Bei vielen Webseiten und Blogs ist es normal, dass nur eine Weltkugel erscheint. Beim Onlinebanking oder Shopping und überall dort, wo Sie persönliche Daten und Kennwörter eingeben, sollte aber unbedingt das grüne Schloss erscheinen. Das ist im wahrsten Sinne des Wortes alles im grünen Bereich.

Durch einen Klick auf den Button „Weitere Informationen …“ bekommen Sie noch ausführlichere Informationen. So können Sie sich auch das Zertifikat der Seite anzeigen oder ablesen wie oft Sie diese Seite bereits besucht haben. Steht hier zum Beispiel ein sehr kleine Zahl obwohl Sie die Seite meinen täglich zu nutzen, sollten Sie schon hellhörig werden. des weiteren Zeigt Ihnen das Informationsfenster an, ob die Webseite so genannte Cookies zum Tracken der User benutzt und ob Firefox Passwörter zur Seite gespeichert hat.

firefox-identitaet-verschluesselung-pruefen-ueberpruefen-check-3

Um sicherer im Internet zu surfen, sollten Sie sich angewöhnen bei jedem Besuch einer Seite, auf diese Informationen zu achten. So können Sie zum Beispiel beim Online-Banking sehr schnell Phishing-Seiten von den echten Seiten unterscheiden.

Kategorien
Firefox Internet & Medien

DigiNotar CA Zertifikat Skandal: Gefälschtes SSL-Zertifikat aufspüren und löschen

Böses Erwachen für alle Google-Nutzer: Offenbar ist bei vielen Browsern ein ungültiges SSL-Zertifikat für Google-Dienste im Umlauf. Das gefälschte SSL-Zertifikat soll sich angeblich die iranische Regierung erschlichen haben, um darüber Nutzer von Google-Diensten wie Google Mail zu überwachen. Es wird mittlerweile von Chrome, Internet Explorer und Firefox blockiert – ist aber auf immer noch auf vielen Rechnern installiert. Aus Sicherheitsgründen sollte es besser gelöscht werden. Das dauert nur wenige Augenblicke.

DiginNotar CA Zertifikat ist gefälscht

Hintergrund des SSL-Gaus: SSL-Zertifikate sind dafür zuständig, sichere SSL-Verbindungen (erkennbar am https- statt http-Protokoll) zu verschlüsseln. Das Zertifikat ist praktisch der Schlüssel. Sicherheitsexperten sind darauf aufmerksam geworden, dass Google Chrome ein im Juli 2011 vom holländischen Unternehmen DigiNotar ausgestelltes SSL-Zertifikat, das für alle google-Domains gültig war, offensichtlich missbraucht wurde (die technischen Details finden Sie hier). Aufmerksam wurden Sicherheitsexperten durch eine neu eingeführte Sicherheitsfunktion in Google Chrome. Denn im Gegensatz zu anderen Browsern prüft Chrome nicht nur die Gültigkeit des Zertifikats, sondern auch dessen Zertifizierungsstelle (CA, Certificate-Authority).

Das gefälschte Zertifikat löschen

Die Browserhersteller haben bereits reagiert und angekündigt, in den nächsten Browserversionen und mit den nächsten Updates das gefälschte Zertifikat wieder zu entfernen. Microsoft hat das falsche DigiNotar-Root-Zertifikat bereits aus der Microsoft Certificate Trust Liste (eine Liste vertrausenswürdiger Zertifikate) entfernt und das gefälschte Root-Zertifikat damit unbrauchbar gemacht (weitere Infos finden Sie im Microsoft Security Advisor 2607712); es erscheint ein Zertifikatsfehler. Automatisch geschützt sind allerdings nur Nutzer ab Windows Vista; für Windows XP und Server 2003 hat Microsoft separate Sicherheitsupdates veröffentlichet. Weitere Infos dazu finden Sie im Tipp „Microsoft Update KB 2607712: Fix für das DigiNotar-Zertifikatsproblem„.

Wer nicht auf Updates warten oder auf ganz Nummer sicher gehen möchte, kann selbst Hand anlegen und das falsche SSL-Zertifikat für Google von Hand löschen. Beim Firefox-Browser geht das  folgendermaßen:

1. Klicken Sie auf den Firefox-Button, und rufen Sie den Befehl „Einstellungen“ auf.

2. Klicken Sie auf „Erweitert“ und dann aufs Register „Verschlüsselung“.

3. Es folgt ein Klick auf „Zertifikate anzeigen“

4. Markieren Sie in der Liste den Eintrag „DigitNotar Root CA“, und klicken Sie auf „Löschen und Vertrauen entziehen“.

5. Bestätigen Sie die nachfolgende Meldung per Klick auf „OK“. Das ungültige Zertifikat ist damit aus der Zertifikatsliste verschwunden und kann keinen Schaden mehr anrichten. Schließen Sie alle Fenster mit OK.

Weiterführende Links zum Thema: