Tag Archives: Internet

Passwort-Safes zu Unrecht wenig beliebt

Von | 27. Oktober 2014

Laut einer aktu­el­len Bit­kom Stu­die nut­zen ledig­lich 24% der befrag­ten Inter­net­nut­zer Passwort-Safes für Com­pu­ter und Online-Dienste. Das sind 5% Pro­zent­punkte mehr als im ver­gan­ge­nen Jahr, was sei­tens Bit­kom auf ein gestie­ge­nes Pro­blem­be­wußt­sein sei­tens der Nut­zer auf­grund der NSA Affäre zurück­zu­füh­ren sei. Die Mehr­heit bevor­zugt jedoch nach wie vor ein­fa­che und mehr­fach genutzte Pass­wör­ter. Letz­ters wird schnell zum Pro­blem, wenn ein Account erfolg­reich kom­pro­mit­tiert wurde.

Über die Länge und Kom­ple­xi­tät von Pass­wör­tern wer­den wahre Glau­bens­kriege geführt. Kann es der einen Par­tei nicht lang und kom­plex genug sein, zeich­net sich die Gegen­seite durch eine teil­weise naive Sicht­weise auf das Thema aus. Die Lösung wird — wie so oft — dazwi­schen lie­gen. Fakt ist, zu kurze Pass­wör­ter even­tu­ell noch ohne Kom­ple­xi­tät sind ein gefun­de­nes Fres­sen, sofern keine wei­te­ren Hür­den wie Login Sper­ren nach x Fehl­ver­su­chen auf­ge­stellt sind. Fakt ist aber auch, ein zu lan­ges Pass­wort ist aus der Pra­xis her­aus unsi­cher, da es sich der Anwen­der nicht mer­ken kann und irgendwo niederschreibt.

Einen Kom­pro­miss stel­len Passwort-Safes dar. Diese wer­den durch ein ein­ma­li­ges kom­ple­xes siche­res Pass­wort geschützt und in der dahin­ter­lie­gen­den Daten­bank wer­den alle ande­ren Zugangs­da­ten für Com­pu­ter und Online-Dienste ver­schlüs­selt abge­legt. So muss sich der Nut­zer erst mal nur das Haupt­pass­wort mer­ken, das … Weiterlesen

Neuer (trauriger) Rekord: 1,2 Milliarden Datensätze gehackt

Von | 6. August 2014

Ame­ri­ka­ni­sche und nun auch deut­sche Medien berich­ten vom wohl größ­ten Daten­klau in der Geschichte des Inter­nets. Zumin­dest vom größ­ten bekann­ten Daten­klau kann man wohl getrost ausgehen.

Einer rus­si­schen Hacker­gruppe soll es gelun­gen sein, über 1,2 Mil­li­ar­den Daten­sätze zu hacken. Betrof­fen seien Benut­zer­na­men, Pass­wör­ter und auch Email-Adressen. Das deut­sche Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik, kurz BSI warnt vor der opti­mis­ti­schen Ein­schät­zung, deut­sche Nut­zer könn­ten even­tu­ell nicht betrof­fen sein. Sobald man wei­tere Infor­ma­tio­nen aus den USA vor­lie­gen habe, werde man sich um Hil­fe­stel­lun­gen für deut­sche Inter­net­nut­zer bemü­hen und diese ver­öf­fent­li­chen. Ursprüng­lich seien wohl sogar mehr als 4 Mil­li­ar­den Daten­sätze betrof­fen gewe­sen, doch durch Aus­schluß von Dopp­lun­gen sei es zu einer Reduk­tion auf 1,2 Mrd. gekommen.

Nun heißt es also wie­der mal, breit­flä­chig Pass­wör­ter ändern. Das diese gewiße Sicher­heits­an­for­de­run­gen genü­gen müs­sen, sollte sich mitt­ler­weile rum­ge­spro­chen haben. Auch die Nut­zung von einem Pass­wort für meh­rere Dienste ist geeig­net, es Hackern und Die­ben leich­ter zu machen — von daher keine gute Idee. Da man sich diese nicht alle mer­ken kann, bie­tet sich die Nut­zung eines Passwort-Tresors wie Kee­pass an. Cloud basierte Pass­wort­ma­na­ger ohne Ver­schlüs­se­lugn oder gar von ame­ri­ka­ni­schen Anbie­tern soll­ten sich von selbst verbieten.

Wohl dem, der in sei­nen Online Pro­fi­len nicht alle Komfort-Merkmale … Weiterlesen

Neues Paypal Phishing dank SEPA

Von | 9. Juli 2014

Es ist erneut eine gut gemachte Phis­hing Email im Umlauf. Die­ses mal trifft es den Anbie­ter Pay­Pal. Als Zug­pferd wird das SEPA Ver­fah­ren her­an­ge­zo­gen. Man möge doch so nett sein, sich über den Link hin­ter dem But­ton “Jetzt auf SEPA umstel­len” ein­zu­log­gen und seine Bank­da­ten zu veri­fi­zie­ren. Man darf sicher sein, zumin­dest die Zugangs­da­ten zu Pay­pal wer­den danach nicht mehr sicher sein. Der Link führt näm­lich mit­nich­ten zu Pay­pal, son­dern über einen URL Shor­te­ner Dienst ganz woan­ders hin. Pro­bie­ren Sie es bes­ser nicht aus! Es reicht, wenn Sie sich den hin­ter­leg­ten Link anzei­gen las­sen, in dem Sie mit der Maus über den fah­ren. Der Link wird dann angezeigt.

Gut, wer in Pay­Pal zusätz­li­che Sicher­heits­fea­tures akti­viert hat, wie den SMS Login (Pay­pal Sicher­heits­schlüs­sel). Nach dem Login wird eine SMS an die regis­trierte Mobil­te­le­fon­num­mer ver­sandt. Erst nach der Ein­gabe des Codes aus die­ser SMS erfolgt der Zugriff auf das Pay­pal Konto.

Soll­ten Sie eine Email erhal­ten, die aus­sieht, wie folgt — ein­fach löschen. :-)

Paypal Phishing Email
Pay­pal gibt auf der Unter­neh­mens­web­seite wei­tere Tipps, wie der Nut­zer Phi­sing Mails erken­nen und sich davor schüt­zen kann.

Content Management Systeme (CMS) absichern

Von | 1. Juli 2014

Con­tent Manage­ment Sys­teme (CMS) sind weit ver­brei­tet. Ein­fa­che Instal­la­tion und hoher Bedien­kom­fort unter­stüt­zen die Ver­brei­tung. Doch nicht jeder Betrei­ber weiß um die Sicher­heits­ri­si­ken, die aus einem sol­chen CMS ent­ste­hen. Und das sogar Unge­mach aus dem Bun­des­da­ten­schutz­ge­setz droht, hat man erst recht nicht auf dem Schirm. In einem Bei­trag auf der a.s.k. Bera­tungs­seite haben wir wei­tere Infor­ma­tio­nen für Sie zusammengestellt.

Wir wollen mitlesen

Von | 3. Juni 2014

Mann mit Lupe - Unter BeobachtungVor­rats­da­ten­spei­che­rung, Abhör­wahn, NS Affäre und kein Ende in Sicht

Um nicht hin­ter aus­län­di­schen Geheim­diens­ten zurück­ste­hen zu müs­sen, setzt nun auch der Bun­des­nach­rich­ten­dienst auf akti­ves Mit­le­sen in sozia­len Netz­wer­ken wie Face­book und Twit­ter sowie Blogs in Echt­zeit. Dem­nach sol­len die Akti­vi­tä­ten der Nut­zer noch wäh­rend deren akti­ven Sit­zung auf­ge­zeich­net und aus­ge­wer­tet wer­den. Man erhofft sich durch das bis 2020 für 300 Mil­lio­nen Euro schwere Pro­gramm “Echt­zeit­ana­lyse von Streaming-Daten” ver­tie­fende Kennt­nisse über die Lage im Aus­land.

Nichts gelernt, Herr de Maizière

Edward Snow­den, hin­läng­lich bekann­ter Aus­lö­ser der nach wie vor durch die Bun­des­re­gie­rung her­un­ter­ge­spiel­ten und teil­weise bewußt igno­rier­ten NSA Affäre, äußerte sich in einem Inter­view der NBC Nighlty News Ende Mai 2014 kri­tisch zum Über­wa­chungs­wahnsinn. Noch vor den Anschlä­gen 9/11 oder auch dem Bos­ton Mara­thon lagen alle rele­van­ten Infor­ma­tio­nen vor. Doch man war nicht in der Lage, das gesamte Bild zu sehen und die Anschläge zu verhindern.

Doch genau die­ses Argu­ment füh­ren immer wie­der Geheim­dienste und auch die deut­sche Poli­tik ins Feld, wenn es um mehr Über­wa­chung und eine wei­tere Aus­höh­lung der Schutz­rechte der Bür­ger geht. Edward Snow­den meint hierzu (über­setzt): “Ist das wirk­lich der beste Weg, unser Land zu schüt­zen, oder ver­su­chen wir Geld in eine magi­sche Weiterlesen

Erneut Handlungsbedarf HPI stellt Datenbank zu Identitätsklau online

Von | 20. Mai 2014

Neuer Online Check nicht iden­tisch mit BSI

Bereits zwei Mal die­ses Jahr stellte das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik ein Online Prüf-Tool zur Ver­fü­gung. Mit­tels die­ses Tools konn­ten Nut­zer tes­ten, inwie­weit ihre Email-Adresse(n) in Ver­bin­dung mit Web­log­ins bereits aktiv miß­braucht wurde(n). Mil­lio­nen Anwen­der haben die­ses Tool bis­her genutzt.

Eine etwas andere Daten­ba­sis bie­tet nun das HPI der Uni­ver­si­tät Pots­dam. Deren Tool prüft ein­schlä­gige Foren und Boards, ob dort Email-Adresse und / oder wei­tere per­so­nen­be­zo­gene Anga­ben inklu­sive Pass­wort öffent­lich zum Miß­brauch zur Ver­fü­gung gestellt wer­den. Zur Zeit umfasst die Daten­bank 171 Mil­lio­nen Einträge.

Nach Ein­gabe einer Email-Adresse erhält der Nut­zer zeit­nah eine Email mit genauer Angabe der kom­pro­mit­tier­ten Daten. Wenn kein Ein­trag gefun­den wurde, wird keine Email ver­sandt. Das bedeu­tet jedoch nicht, dass diese Daten nicht ander­wei­tig bekannt sind und miß­braucht werden.

Top 10 der unsi­che­ren Passwörter

Obwohl die Tat­sa­che hin­läng­lich bekannt ist, wie ein eini­ger­ma­ßen siche­res Pass­wort aus­se­hen sollte, fin­den sich in der Top 10 der Sta­tis­tik alte Bekannte wie “123456”, “pass­word” und “qwertz” wie­der. Details über unsi­chere Pass­wör­ter und Hil­fe­stel­lun­gen zu merk­ba­ren siche­ren Pass­wör­tern fin­den Sie hier im a.s.k. Datenschutz-Blog

Zum Online Check des HPI: https://sec.hpi.uni-potsdam.de/leak-checker/search

Es lohnt sich, nicht nur alle pri­va­ten Email Adres­sen zu prü­fen, … Weiterlesen

Apps geht immer! – Die Daten sind frei …

Von | 17. Oktober 2013

appsgehtimmerUnter­hal­tung und Infor­ma­tion zum pri­va­ten Daten­schutz im Rah­men der Roten Kul­tur­wo­chen. Für Satire sorgt der Kaba­ret­tist Wer­ner Meier, der im Juli in der Lach– und Schieß­ge­sell­schaft mit „Apps geht immer“ die Lach­mus­keln der Zuhö­rer stra­pa­zierte. Für Auf­klä­rung sorgt der vom ZDF pro­du­zierte Film „Der glä­serne Deut­sche — Wie Bür­ger aus­ge­späht wer­den!“, zur Ver­fü­gung gestellt von der Otto Bren­ner Stif­tung in Frank­furt. Inter­es­sante Infor­ma­tion zur pri­va­ten Daten­si­cher­heit bie­tet der Daten­schutz­be­auf­tragte Sascha Kuhrau aus Nürnberg.

Ort: Huber­wirt Eching
Beginn: 19:00 Uhr
Ter­min: 18.10.2013

Datenschutz geht zur Schule” in Lauf und Erlangen

Von | 27. Juni 2013

Ken­nen Sie schon die Initia­tive “Daten­schutz geht zur Schule” von unse­rem  Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V.? Diese wurde 2011 mit dem Preis “Deutsch­land Land der Ideen — Aus­ge­wähl­ter Ort” ausgezeichnet.

Seit Anfang 2010 sind Dozen­tin­nen und Dozen­ten des BvD mit Unter­richts­kon­zep­ten für die Sekun­dar­stu­fen I und II bun­des­weit an Schu­len unter­wegs, um Schü­le­rin­nen und Schü­lern klare und ein­fa­che Ver­hal­tens­re­geln für den sen­si­blen Umgang mit ihren per­sön­li­chen Daten im Netz näher zu bringen.

a.s.k. Daten­schutz wird am 10.07.2013 in der Kuni­gun­den­schule in Lauf und am 19.07.2013 am Fri­de­ri­cia­num Gym­na­sium in Erlan­gen mit meh­re­ren Schul­klas­sen das bri­sante Thema Soziale Netz­werke — Chan­cen, Risi­ken und Gefah­ren beleuch­ten. In 90-minütigen Vor­trä­gen und Gesprä­chen, Dis­kus­sio­nen, kur­zen Film­se­quen­zen und  Erfah­rungs­aus­tau­schen ver­su­chen wir mit viel Pra­xis­nähe und Erfah­rung im Dia­log mit den Kin­dern einige „AHA-Effekte“ zu erzielen.

Mit gleich­blei­bend hoher Qua­li­tät und Aktualität

Anhand der prak­ti­schen Erfah­run­gen, der Beur­tei­lun­gen und Hin­weise aus den bun­des­weit gehal­te­nen Vor­trä­gen, ent­wi­ckelt ein Team von Daten­schutz­be­auf­trag­ten unsere Vor­trags­un­ter­la­gen bestän­dig wei­ter und stellt sicher, dass alle Dozen­tIn­nen mit den aktu­ells­ten Infor­ma­tion arbei­ten können.

Für Schul­klas­sen kostenfrei

Es ist uns ein Anlie­gen den ver­ant­wor­tungs­vol­len Umgang mit den Medien die­ser Zeit kon­struk­tiv zu beglei­ten! Dem­ent­spre­chend inves­tie­ren unsere Dozen­tin­nen und Dozen­ten kos­ten­frei ihre … Weiterlesen

Webhoster Hetzner gehackt, Zahlungsinformationen von Kunden betroffen

Von | 7. Juni 2013

Wäh­rend sich die Inter­net­seite des Web­hos­ters Hetz­ner noch in Still­schwi­gen hüllt (07.06.2013, 07:00), ver­mel­dete u.a. heise secu­rity am Vor­abend einen weit­rei­chen­den Hack der Ver­wal­tungs­ober­flä­che Robot für dedi­zierte Ser­ver­sys­teme. Neben Passwort-Hashes sind auch Zah­lungs­da­ten wie Bank­ver­bin­dun­gen von Kun­den für Last­schrif­ten betrof­fen. Der Anbie­ter kann zur Zeit nicht aus­schlie­ßen, dass die für die Ent­schlüs­se­lung der Daten benö­tig­ten pri­va­ten Krypto-Schlüssel nicht eben­falls ent­wen­det wur­den. Lt. Hetz­ner fand der Angriff auf einem tech­nisch unge­wöhn­lich hohen Niveau statt. Das BKA soll nach eige­nen Anga­ben bereits ein­ge­schal­tet sein.

Was es mit mel­de­pflich­ti­gen Daten­pan­nen auf sich hat, erfah­ren Sie hier.

a.s.k. Datenschutz auf dem 9. Sicherheitstag NRW am 16.05.2013 in Oberhausen

Von | 13. April 2013

In Ober­hau­sen fin­det am 16.05.2013 der neunte Sicher­heits­tag NRW des Ver­bands für Sicher­heit in der Wirt­schaft Nordrhein-Westfalen e.V. (VSW NW) unter der Schirm­herr­schaft des Innen– und Kom­mu­nal­mi­nis­ters von Nordrhein-Westfalen statt. Das dies­jäh­rige Thema steht ganz im Zei­chen sozia­ler Netzwerke:

Soziale Netz­werke und Social Engi­nee­ring -
Bedeu­tung für die Unternehmenssicherheit

Ver­tre­ter aus Wirt­schaft, Poli­tik und Ver­wal­tung refer­rie­ren und dis­ku­tie­ren zu aktu­el­len The­men wie

  • Digi­tal Poli­cing — Soziale Netz­werke im Fokus der Poli­zei (Lan­des­kri­mi­nal­di­rek­tor Die­ter Schür­mann, Abt. 4, Minis­te­rium für Inne­res und Kom­mu­na­les NRW)
  • Daten­schutz und Soziale Netz­werke — Part­ner oder Kon­tra­hen­ten (Sascha Kuhrau, a.s.k. Daten­schutz, Bera­ter für Daten­schutz + Datensicherheit)
  • Soziale Netz­werke stel­len die Unter­neh­mens­si­cher­heit vor große Her­aus­for­de­run­gen (Prof. Dr. Gor­don Rohr­mair, Vize­prä­si­dent für For­schung und Wis­sens­trans­fer, Hoch­schule Augs­burg — Fak. für Informatik)
  • Von net­ten und ande­ren Men­schen — Social Engi­nee­ring (Fred Maro, Lei­ter des inter­na­tio­nal auf die Abwehr von Social Engi­nee­ring Angrif­fen spe­zia­li­sier­ten Unter­neh­mens FM-nospy)
  • Infor­ma­tion Secu­rity @ 2013 (Andreas Ebert, Head of Infor­ma­tion Secu­rity, RWE AG)

Der Vor­tag von a.s.k. Daten­schutz wird das Span­nungs­feld zwi­schen Daten­schutz und sozia­len Netz­wer­ken beleuch­ten im Hin­blick auf den oft­mals sorg­lo­sen Umgang mit den eige­nen Daten durch die Nut­zer einer­seits und dem hin­ter den sozia­len Netz­wer­ken ste­hen­den Geschäfts­mo­dell ande­rer­seits unter … Weiterlesen