Digitale Ignoranz oder digitales Ausbremsen?

Zwei Artikel sind mir diese Woche besonders unangenehm aufgefallen.

Die Ignoranten

Meinen Ärger über die digitale Ignoranz in unserem Land habe ich schon früher Ausdruck verliehen. Nun konnte man hier lesen, dass nicht mal die Hälfte aller DAX-Vorstände irgendein Social-Media-Konto hat.

Ach so, Vorstände großer Gesellschaften haben Anderes zu tun? Das scheint man im Ausland allerdings anders zu sehen, da sind die Damen und Herren anscheinend weiter.

Die Damen sind es übrigens in Deutschland auch, es ist gerade der männliche C-Level, der durch fehlendes digitales Engagement unangenehm auffällt.

Die Ausbremser

In dem anderen Beitrag ging es, so mein erster Eindruck, um etwas Ähnliches: golem berichtete, dass die Kommunen die vom Bund für den Breitband-Ausbau bereitgestellten Millionen praktisch gar nicht abrufen. 690 Mio € lagen 2017 bereit, 2% davon wurden abgerufen.  Aha, dachte ich spontan, ignorante Bürgermeister auch noch! Aber so scheint es nicht zu sein.

Vielmehr sind es zu viele bürokratische Hürden, die einer sinnvollen und umfassenden Verwendung im Wege stehen. Für Bürokratie ist ja bekanntlich niemand direkt verantwortlich. Sie ergibt sich eher „irgendwie“ so, schleicht sich ein, über Jahre.

Das mag an vielen Stellen so sein, bei einem so jungen Thema aber vermutlich doch nicht. Es gibt ja auch eine klar und eindeutig zuständige Stelle, das BMVI, das Ministerium für Verkehr und digitale Infrastruktur. Das „I“ ist zwar erste Ende 2013 dazu gekommen, aber das Thema hat das Haus schon länger betreut, es passt ja auch unter den Hut „Verkehr“.

In diesem Ministerium dürfte ein Großteil der Verantwortung für die diversen Malaisen des digitalen Ausbaus in Deutschland zu finden sein. Und wenn man sich das ein wenig auf der Zunge zergehen läßt, dann fallen ein paar weiter Dinge auf.

  • Das Ministerium ist seit 2009 unter CSU-Führung – und wird es für die kommenden 4 Jahre wohl wieder sein.
  • Bayern unter CSU-Führung gilt seit langem als Musterland der digitalen Entwicklung. Ist es nicht komisch, dass die Republik von dieser besonderen Kompetenz so gar nicht profitiert?
  • Im Bereich Verkehr ist es längst bekannt, dass Verkehrs-Prioritäten schon lange sehr speziell gesetzt werden – aus bayerischer Sicht eben. Die seit vielen Jahren überfällige Erneuerung des Nord-Ostsee-Kanals etwa ist ein gutes Beispiel. Könnte es sein, dass auch die digitale Verkarstung der Republik – mit Ausnahme von Bayern! – sozusagen „mit Fleiß“ erfolgt?

Ist es wirklich nur digitale Ignoranz, was uns bremst? Wie national ist die CSU wirklich aufgestellt? Betont nicht jeder führende CSU-Kopf, zu allererst Bayer zu sein, und erst danach Deutscher? Und liefert die explizite CSU-Polititk, das, was in die Mikros so getextet wird, nicht laufend Belege dafür, dass das Wohl der Republik bei den CSU-Politikern immer nur an zweiter Stelle steht?

Nicht verfassungskonform

Ich plädiere jedenfalls schon lange dafür, dass eine Partei, deren Vertreter ihre Pläne, ihre Karriere-Chancen, ihren Lebensentwurf, ihre Identität einzig durch die bayerische Brille sehen und sehen müssen, kein nationales Ministerium führen dürfen. Alle Gremien, die diese Politiker fördern, stützen und auffangen, werden doch immer nur eine Frage stellen: was tut er für Bayern? In Bayern werden die Herren Dobrindt und Scheuer gewählt – nirgendwo sonst.

Regionale Interessen sind zudem völlig ausreichend im Bundesrat abgebildet, für alle Bundesländer gleich. In der Exekutive haben sie nichts zu suchen! Nur die Bayern dürfen hier zweigleisig fahren, exekutiv und legislativ.

Dass die Vertreter des CSU entsprechend denken und handeln, ist normal, Menschen sind so, überall. Es wäre bei jeder anderen Partei genauso. Es ist auch kein bayerisches Thema, Hamburger oder Sachsen wären ebenfalls genauso. Aber sie sind nun mal nicht in der Situation.

Das Problem ist, dass wir die CSU ihren Bärendienst leisten lassen, dass sie es dürfen. Das Problem ist, dass wir Vertretern eines einzigen Bundeslandes die Zukunfts-Chancen der ganzen Republik in den Schoss legen. Aus meiner Sicht ist das verfassungswidrig. Vielleicht nicht den Worten nach, aber auf jeden Fall dem Geiste nach.

Was müßte man darum tun? Ganz generell einer Partei, die nicht national antritt, den Zugang zu Minsterämtern verbieten. Nur Vertreter bundesweit aufgestellter Parteien sollten in die Bundesregierung dürfen.

Diese Regel gesetzlich zu etablieren erfordert eine Verfassungsänderung – und bedeutete für die betroffenen Parteien, CDU und CSU, erhebliche Kosten. Wäre sie also mehrheitsfähig? Wohl kaum. Sehr bedauerlich.

Authentifizierung – so weist man sich aus

Hintergrund

Ich arbeite zur Zeit viel im Umfeld „Passworte“, suche, lese und schreibe täglich irgendetwas dazu.

Eine Abstraktionsstufe höher heißt das Ganze dann „Authentifizierung“. Wer über Authentifizierung nachdenkt, hebt den Blick über den Tellerrand der einfachen Passwort-Suppe.

Ein weiterer spannender Begriff in diesem Kontext ist „Identität“, noch etwas abstrakter und schon irgendwie fast philosophisch.

Wie hängen die drei zusammen?

In der digitalen Welt hat jeder soviele Identitäten, wie er will. Jedes neue Online-Konto etabliert eine neue Identität. Der Otto-Kunde ist vom Amazon-Kunden verschieden, auch wenn dahinter die gleiche physische Person steht. Doch wie erkennt das Shopping-Portal, die Bank, das E-Mail-Konto, der Router, das Vereinsblog und so weiter: wie erkennen sie alle, wer da gerade mit ihm irgendwie in Kontakt tritt? Via Authentifzierung.

Und die läuft heutzutage nun mal in erster Linie über Passworte. Bei besonders kritischen Themen kommt gelegentlich 2FA zum Einsatz, die 2 Faktor Authentifizierung. Der zweite Faktor ist dann etwa eine TAN, die per SMS zugestellt wird.

IBM-Studie

Vor kurzem bin ich nun auf eine Studie von IBM zu diesem Thema gestoßen, „Future of Identity Study, Consumer perspectives on authentication: Moving beyond the password“, erschienen im Januar 2018. Da haben wir gleich alle drei Begriffe in einem Titel.

In diesem Artikel wird die Studie recht ausführlich vorgestellt, er enthält auch einen Link zum Original-Dokument. Es ist kostenfrei, man muss aber seine Kontaktdaten angeben.

Die englisch-sprachige Studie hat einige interessante Ergebnisse zu Tage gefördert. Doch ob und in wie weit die Daten überhaupt belastbar sind, ist zumindest unsicher.

Kritisches Studien-Design

Es handelt sich um eine „globale Studie“ mit insgesamt 3.977 Befragten.

  • 1.976 in den USA
  • 1.004 in der EU (UK, F, I, D, E)
  • 997 im APAC-Raum (Australien, Indonesien, Singapur)

Süd- und Mittelamerika sowie Afrika sind nicht dabei und im APAC-Raum wurden auch nur Kandidaten aus sehr willkürlich ausgewählten Ländern befragt.

2.000 Befragte in den USA mag noch so gerade angehen, jeweils 1.000 Befragte in so inhomogenen Bevölkerungen wie in der EU oder im APAC-Raum ist deutlich zu wenig. Und eine Studie „global“ zu nennen, bei der gute zwei Drittel fehlen – nun ja.

Bias

Die Studie erfolgte online und es gibt keinen Hinweis darauf, dass in der jeweiligen Landessprache befragt wurde. Im Gegenteil, die Aufbereitung läßt vermuten, dass die Fragebögen nur in englischer Sprache waren.

Neben der zu kleinen Stichprobe ist das Studien-Design also ziemlich sicher auch ergebnisverfälschend: Befragt wurden nur Menschen die recht gut englisch sprechen. Wenn auch andere teilgenommen haben, ist anzunehmen, dass sie die Fragen gar nicht verstanden haben.

Gute Aufbereitung

Die Ergebnisse werden in 14 interpretierten und kommentierten Diagrammen präsentiert. Jedes Thema hat seine eigene Seite, ein Diagramm und etwas erläuternden Text. Das ist lesefreundlich und gut strukturiert umgesetzt. Die Komplexität des Themas belastet nicht die Klarheit und Verständlichkeit der Präsentation.

Findings

Die 14 Grafiken enthalten zahlreiche interessante und zum Teil überraschende Informationen. Wer sich mit dem Thema Authentifizierung beschäftigt, sollte diese Studie kennen.

Besonders aufgefallen sind mir diese Ergebnisse:

E-Mail-Sicherheit wird für unkritisch gehalten

Gleich die erste Grafik gibt Antwort auf die Frage: welche digitalen Bereiche halten die Menschen für besonders schutzbedürftig, und wo sollte es in erster Linie mehr um Bequemlichkeit gehen? Besonderen Schutz soll es danach für Finanzielle Anwendungen geben, ganz zuerst Banking-Apps. Deutlich weniger Schutz, aber dafür viel mehr Komfort benötigen hingegen E-Mail- und Social Media Apps.

Das ist eine sehr gefährliche Sichtweise. Denn das E-Mail-Konto ist mittlerweile von einem Kommunikationsmittel zu einer umfassende Authentifizierungs-Plattform mutiert. Sich irgendwo registrieren lassen? Das kann nur, wer eine E-Mail-Konto hat. Da wird der Bestätigungs-Link hingeschickt. Passwort vergessen? Die Rücksetzungs-Nachricht geht ans E-Mail-Konto.

Wenn Dritte unser E-Mail-Konto kontrollieren, dann kontrollieren sie unser digitales Ich.

Die Verkennung dieses Zusammenhangs bzw. der sehr blauäugige Umgang mit dem eigenen E-Mail-Konto sind besorgniserregend.

Alte Menschen sind vorsichtiger als junge

39% der 18-24-Jährigen verwenden komplexe Passworte aus Buchstaben, Zahlen und Sonderzeichen. In der Altersgruppe 55+ sind es 49%.

Und umgekehrt sagen 42% der Jungen, dass sie das gleiche Passwort mehrfach verwenden, bei den „Alten“ sind es nur 31%.

Die Werte zwischen diesen Jung-Alt-Eckpunkten verlaufen kontinuierlich steigend bzw. fallend.

Ergebnis-Summary

Im Summary der Studie werden noch diese Punkte besonders herausgestellt:

  • Die Menschen sind insgesamt über die verschiedenen Authentifizierungs-Möglichkeiten recht gut informiert.
  • Sie sind sich der Bedeutung des Themas Sicherheit bewusst.
  • Manchen biometrischen Methoden der Authentifizierung stehen viele noch skeptisch gegenüber, aber die allgemeine Bereitschaft dafür ist vorhanden. Man möchte nur die Wahl haben und nicht eine Methode aufgezwungen bekommen.
  • Der Gedanke des Sicherheits-Risikos im Sinne einer Gefährdungs-Wahrscheinlichkeit („risk-based authentication“) stößt auf Akzeptanz. In der Tat ist es schon jetzt absurd, wenn einfach zwischen sicher und nicht sicher unterschieden wird. Schon jetzt gibt es nur eine kleine oder eine größere Chance, dass zum Beispiel ein Konto gehackt wird. Entsprechend dieser Chance könnte die Authentifizierungs-Methode angepasst bzw. ausgewählt werden.

Weitere Passwort-Beiträge

In der jüngeren Vergangenheit sind hierzu noch diese Beiträge von mir erschienen:

  • Teil drei einer Serie rund um das Thema Passwort. Geplant waren ursprünglich sieben Artikel, aber das wird wohl nicht reichen, acht oder neun sind möglich.
  • 8 Fakten zu Passworten, die helfen das Thema Passworte besser zu verstehen.

Facebook Neuerungen zum Jahresende

Facebook NeuerungenSteckbrief zur Beitrags-Serie

Thema der Serie:

  • Neuerungen und Updates von und zu Facebook.
  • Nur Informationen, die in Deutschland wichtig oder frisch aktiviert sind.

Zielgruppe: Ganz normale Mitglieder, keine Profi-Anwender.

Serien-Takt: Alle 5-12 Wochen ein neuer Beitrag. Wenn’s was zu berichten gibt.

Bisher erschienen:

  • „Facebook“ 3. Auflage, erschienen bei der Stiftung Warentest; siehe auch rechter Rand (Desktop-Browser) bzw. unten (mobile App) in diesem Blog. Das Buch ist ist nicht wirklich Teil der Serie. Aber der erste Beitrag setzte beim Redaktionsschluss des Buches auf.
  • Beitrag vom 5.12.2017 mit den Themen Marketplace, An diesem Tag, Entdecker Feed, Crisis Response, Änderungen für Gruppen-Admins, Suizid-Prevention, Design und Creator.

Neuerungen in diesem Beitrag

Jede Woche gibt es irgendwas Neues, mal von Facebook, mal über Facebook und mal von Dritten zu Facebook. Zum Jahresende sind wieder ein paar interessante Funktionen, Infos, Meinungen und Fakten zusammengekommen, hier erstmal die Übersicht:

weiterlesenFacebook Neuerungen zum Jahresende

Software-Schwachstellen gehen zurück, yippie!?

Gute Nachricht?

Anfang des Jahres erreichte uns diese tolle Nachricht: Gegenüber 2015 ist die Anzahl der registrierten Software-Schwachstellen weltweit von 6.400 auf 5.600 zurückgegangen, über 10% minus! Die Quelle ist das Hasso-Plattner-Insititut in Potsdam.

Die Nachricht ist aus dem Januar 2017, jetzt, einen Monat später sind wohl doch noch ein paar Bugs nachgemeldet worden, jetzt sieht es doch wieder nach Anstieg aus. (gelb = geringer Schweregrad, rot = hoher Schweregrad). Schade, zu früh gefreut.

Software-Schwachstellen laut Hasso-Plattner-Institut am 18.2.17

Ein Armutszeugnis

Doch es ist eigentlich gar nicht so wichtig, ob die Werte nun noch ein wenig gestiegen oder womöglich wirklich ein kleines bisschen gesunken sind. Viel wichtiger ist mir ihre absolute Höhe. 6.500 Schwachstellen sind einfach zu viele. Diese Zahlen sind darum für mich ein Armutszeugnis für eine ganze Branche.

Es gab alleine knapp 2.500 schwere Software-Schwachstellen – so groß ist der rote Balken. Wenn das Autos wären, dann würden in all den betroffenen Modellen die Bremsen oder die Lenkung nicht funktionieren. Kühlschränke würden über Nacht abtauen. Atomkraftwerke würden unerlaubte Mengen Strahlung abgeben.

Seit 30 Jahren haben wir uns aber daran gewöhnt, dass das gute alte Prinzip der 0-Fehler-Auslieferung für Software einfach nicht gilt. Hier herrscht statt dessen das Multi-Fehler-Prinzip, ganz hemmungslos. Die spätere Fehlerbehebung ist ja bereits Teil des initialen Roll-Out-Plans, sie ist Teil der Marketing Strategie.

Zugegeben: es klappt auch bei den Autos, Kühlschränken und Atommeilern nicht immer. Wir kennen aufwendige Rückrufaktionen und wir kennen auch Tschernobyl. Aber in diesen Branchen wird es zumindest angestrebt. Im IT-Bereich ist grüne Banane das Geschäftsprinzip.

Ebenfalls zugegeben: Eine Ursache der Malaise ist der massive Preisdruck – und dafür sind am Ende ja wir selbst verantwortlich. Aber andererseits: bei Autos und Kühlschränken sind wir doch nicht wirklich großzügiger.

Dabei misst dieser Index (es ist der CVSS-Index) nur die Sicherheits-Schwachstellen, die Angreifbarkeit. Die reine Funktionalität (tut es, was es verspricht?) steht dabei noch gar nicht zur Debatte. Vermutlich könnte man alle Werte verdoppeln oder verdreifachen, wenn die Qualität in diesem Sinne ganzheitlich bewertet würde.

Die wirkliche Ursache

Aus meiner Sicht ist die wirkliche Ursache, dass Software keinen ernst zu nehmenden Zulassungsbedingungen unterliegt. Jeder, der sich für einen Entwickler hält, kann entwickeln und dann vermarkten. Angesichts der IT-Abhängigkeit von immer mehr Lebensbereichen ist diese Situation wirklich absurd fahrlässig. Doch welche (semi-)staatliche Stelle traut sich an eine solche Aufgabe heran?

Die schwierigen Deutschen gelten nicht gerade als Digitalisierungs-Fans. Sie sind eben Qualitäts-Fans, schon immer gewesen. Ein Grund für ihre Zurückhaltung ist darum sicher in dieser Multi-Fehler-Kultur zu suchen.

Google-Suche – aber bitte aktuell!

Geht Ihnen das auch so? Bei den allermeisten Google-Suchen bin ich nur an aktuellen Treffern interessiert und ärgere mich über die ollen Kamellen aus 2012 oder noch früher, die das Bild verstellen.

Um die also auszublenden wähle ich dann oben rechts „Suchoptionen“ und stelle ein passendes Zeitfenster ein – meistens 1 Jahr.

Google1Schon oft habe ich mich gefragt, warum man das nicht in Google (oder dem Browser) voreinstellen kann, so wie die Sprache auch. Alle Treffer sollen höchstens 12 Monate alt sein. Das macht doch Sinn in den allermeisten Fällen.

Vermutlich will Google vermeiden, dass die organischen Reichweiten älterer Beiträge in den Keller sacken (das würden sie ja zwangsläufig) und bietet diese Funktion bewusst nicht an. Nun ja. Man merkt schon wieder, wer hier der wichtige Kunde ist. Wir Nutzer sind es jedenfalls nicht.

Nun hat mir ein Freund einen kleinen Trick gezeigt (auf den ich eigentlich auch allein hätte kommen können). Man ruft Google schon mit dieser zeitlichen Einschränkung auf, der http-string heißt: „https://www.google.de/#&tbs=qdr:y„, das Y am Schluss steht für „year“. Wer’s lieber monatsaktuell mag, wählt eben „m“.

Weil ich diese Einstellung regelmäßig verwenden will, habe ich mir in der Symbolleiste ein zusätzliches kleines Lesezeichen angelegt, es heißt „G-12“. Alles was ich über dieses Fenster suche, ist dann nie älter als 12 Monate.Google2

Danke, Dirk.

Unsichere Telekom Cloud wird sicherer

Das war knapp!

In meinem letzten Artikel hier hatte ich von dem ärgerlichen „Administrator-Zwang“ bei der Installation der App zur Telekom Cloud, der MagentaCloud-App also, berichtet. Dieser Rechte-Zwang bedeutete wirklich einen Rückschritt in Sachen Datensicherheit.

Mein work-around zu dieser Sicherheitslücke war dann zwar nur halb befriedigend und immer noch ein wenig Bastelei. Für die Mehrzahl der interessierten Nutzer wird er wohl ausgereicht haben, für alle sicher nicht. Und besser ging’s halt nicht.

Doch unsere Meckerei (und die vieler Anderer, keine Frage) wurde anscheinend gehört, denn kurz nachdem der Artikel erschienen war, kam ein neues Release von der Telekom.

Um es aufzuspielen, mußte man zwar wieder Admin-Recht am PC haben, also wieder der gleiche Zirkus wie zuvor. Aber mit diesem Update sollte das Problem dann behoben sein.

Etwas wundern darf man sich noch über den Stil, in dem dieser sinnvolle Update vorgestellt wurde. Nicht etwa: „Wenn Sie Zeit haben, lieber Kunden, bitten wir Sie…“ oder gar: „Wir entschuldigen uns für die Unannehmlichkeiten, die Ihnen …“. Nee, nur flapsig: „Sie müssen den Update installieren. So lange Sie das nicht machen, haben Sie keinen Zugriff mehr auf Ihre Daten!“

Klingt für mich nach Nötigung. Vielleicht habe ich gerade keine Zeit, diese Rechte-Hampelei mitzumachen und muss einfach nur ganz schnell an diese eine Datei ran – tja, dumm gelaufen.

Aber unerfreuliche Umgangsformen sind anscheinend Teil der Technik. Microsoft stellt sich ja nicht mal mehr vor, wenn man plötzlich den sehr beruhigenden Satz liest „Ihre Daten sind da, wo Sie sie abgelegt haben.“ – Ja, wo denn sonst? Und wer teilt einem diese Selbstverständlichkeit gerade mit? Ist es ein Wunder, dass die Sitten im Web verrohen, wenn selbst die edle Kundenbetreuung großer Firmen auf Flegel-Niveau ist?

Aber sich zu ärgern bringt ja nichts.

Ergänzen will ich hier noch, dass Dateien, die mit Boxcryptor im Mediencenter verschlüsselt wurden, und die jetzt also in die MagentaCloud umgezogen sind, mit dem gleichen Passwort auch wieder entschlüsselt werden können. Der „Boxcryptor-Safe“ hat den Umzug also unbeschadet überlebt.

Aus meiner Sicht und nach allem, was ich dazu gelesen habe, ist die deutsche Boxcryptor-Software eine ähnlich sichere Verschlüsselungs-Methode wie damals TrueCrypt, ich kann sie empfehlen. Auch das Zusammenspiel mit MagentaCloud funktioniert gut.

Wer mit anderen Verschlüsselungs-Tools in Verbindung mit MagentaCloud Erfahrungen gesammelt hat, ist herzlich eingeladen, diese hier kurz vorzustellen. Wenn gewünscht ist auch ein Gast-Artikel möglich.

MagentaCloud nur für PC-Admins? Nein!

 

Bis vor wenigen Monaten hieß das Cloud Angebot der Deutschen Telekom „Mediencenter“. Dieser Name war nun nicht gerade ein Marketing-Geniestreich, unter einem Mediencenter konnte man sich alles mögliche vorstellen. Zum Glück wurde das Mediencenter Mitte 2015 umbenannt. Nun heißt das Telekom-Angebot MagentaCloud, das neue Logo sieht auch deutlich besser aus, als das fitzelige Mediencenter-Icon zuvor.

 

Alte Datenbestände wurden übernommen und einige Funktionen hat man optimiert. Doch das Optimieren gelang nicht immer. So ist der freie Speicher von 25GB nur noch Kunden der Telekom vorbehalten – die anderen müssen nun mit mageren 10 GB zurecht kommen. Das ist immer noch mehr als zum Beispiel dropbox gratis liefert (popelige 2 GB), aber weniger als bei Google Drive (15 GB for free) und eben auch gegenüber dem Vorgänger ein klarer Rückschritt.

Aus meiner Sicht ist das besonders ärgerlich, denn in meinem Buch „Mein Recht im Netz“ hatte ich den großzügigen Cloudspeicherplatz des Mediencenters ausdrücklich betont und gelobt – und dann sowas. Alle Nicht-Telekom-Kunde, die ihre Fotosammlungen & Co im Mediencenter gesichert hatten und nun eine neue Cloud-Heimat für ihre Daten suchen müssen, werden sich mit mir geärgert haben.

Doch auch technisch gibt es was zu meckern, und das ist mindestens so schlimm, wie die Preissteigerung über Nacht: Die MagentaCloud kann nicht mehr so komfortabel genutzt werden. Sie ist nur für den Administrator des PCs bequem zu erreichen.

In diesem Beitrag beschreibe ich kurz das Problem – und zeige dann eine 80%-Lösung. Besseres gibt meines Wissenses aktuell nicht.

weiterlesenMagentaCloud nur für PC-Admins? Nein!

Zero – ein Cyber-SciFi-Krimi

zero

Das Titel-Monstrum zeigt: es ist gar nicht so einfach, das Genre dieses Romans richtig zu beschreiben.

  • Krimi – denn Menschen werden in dem Roman aus ausgesprochen niedrigen Beweggründen getötet. Und alle suchen den Täter, aber niemand kann glauben, wer’s wirklich war.
  • SciFi – denn manches ist dann doch zu abgefahren, als dass es schon in einigen Ecken des Silicon Valley Realität sein könnte. Auch gut ein Jahr nach Erscheinen dudelt immer noch Zukunftsmusik im Hintergrund.
  • Cyber – denn es geht ums Internet, die Macht der Apps, ihre alles kontrollierende Präsenz und die Schwächen unserer Datensicherheit und unseres Datenschutzes.

Man könnte Zero aber auch durchaus einen politischen Roman nennen. Eine Kampfschrift gegen übermächtige Datenkraken und einen Appell an uns, kritisch und wehrhaft zu bleiben.

Dafür spricht unter anderem, dass der Autor eine zwar marketing-technisch voll aufgebrezelte, aber letztlich doch recht engagierte Seite betreibt: www.marcelsberg.de. Hier findet man mehr rund um private Transparenz und möglichen Schutz vor zu viel Intimitätsverlust, als auf manchen offiziellen Seiten zu dem Thema.

Worum es in Zero geht

weiterlesenZero – ein Cyber-SciFi-Krimi

Der Passwort-Reim so kräftig holpert, …

…dass Brute-Force-Angriff sich verstolpert.

Dieser Vers ist ein mögliches Format für wirkliche sichere Passworte, folgt man einer Arbeit von Marjan Ghazvininejad und Kevin Knight von der University of Southern California (USC).

Der Reim ist ein vierfüßiger Jambus (aka „Knittelvers“), in dem sich betonte und unbetonte Silben abwechseln, beginnend mit einer unbetonten. Binär würde man dieses Ab und Auf in jeder Zeile so abbilden: 01010101. (In unserem Beispiel haben wir das Schema etwas stark „verknittelt“: die unbetonte letzte Silbe gehört da eigentlich nicht hin.)

Auf Englisch ist es etwas leichter:

Sophisticated potentates
misrepresenting Emirates

macht so gut wie keinen Sinn mehr, aber ist formal voll korrekt und reimt sich eben.

Und was soll der ganze Poesie-Zirkus? Die Verse sind gute Passworte!

weiterlesenDer Passwort-Reim so kräftig holpert, …

Phishing Fritz phished frisch

phishingGerade ist eine recht gut gemachte Phishing-Mail im Umlauf. Sie ähnelt recht stark den Mails, die man sofort nach einer Zahlung von PayPal bekommt.

Als Phishing ist die Mail eigentlich nur erkennbar an der fehlenden Anrede, da müsste „Guten Tag, Peter Apel!“ stehen. Ein weiteres Indiz ist noch die Referenznummer. Bei PayPal heißt das Transaktionscode – aber wer merkt sich solche Details?

Verdächtig sollte dem Empfänger die Mail allerdings sofort sein, denn erstens hat er die Bestellung ja gar nicht ausgelöst und zweitens stimmt die Lieferadresse nicht (hier mit grauem Balken).

Letzte Sicherheit, dass es sich um Phishing handelt, gibt dann ein Besuch beim Online Konto, kennt PayPal diese Zahlung? Nein, natürlich nicht.

PayPal ist ein beliebtes Angriffsziel für Spoofer und Phishermen, alles ist immer nur Online und gerade die vielen Sicherheits-Mails stumpfen irgendwie ab, machen den Aufmerksamkeits-Sensor taub. Darum hat das Unternehmen auch selbst dazu eine FAQ-Seite eingestellt.

Unter anderem findet man da eine Adresse, an die man verdächtige Mails schicken kann: spoof@paypal.com. Und auf der Facebook-Seite von PayPal sollen immer aktuelle Phishing-Fälle vorgestellt werden. Der hier gezeigt Fall ist da allerdings noch nicht, das frischeste Beispiel ist vom 21.10.15, also gut 20 Tage alt.

Wie schützt man sich gegen Phishing?

weiterlesenPhishing Fritz phished frisch