Digitale Reife

Abstract

Die mangelnde digitale Reife in Deutschland ist Ursache für seine international zweitklassige IT-Position. Aber digitale Reife hat nichts mit modernen Geräten und üppiger Bandbreite zu tun. Die Ursachen des Mangels stecken in unseren Köpfen.

Die folgenden drei Beispiel zeigen einmal mehr: die wichtigste Zukunfstinvestition in Deutschland muss der digitalen Reife gelten.

weiterlesen

Software-Schwachstellen gehen zurück, yippie!?

Gute Nachricht?

Anfang des Jahres erreichte uns diese tolle Nachricht: Gegenüber 2015 ist die Anzahl der registrierten Software-Schwachstellen weltweit von 6.400 auf 5.600 zurückgegangen, über 10% minus! Die Quelle ist das Hasso-Plattner-Insititut in Potsdam.

Die Nachricht ist aus dem Januar 2017, jetzt, einen Monat später sind wohl doch noch ein paar Bugs nachgemeldet worden, jetzt sieht es doch wieder nach Anstieg aus. (gelb = geringer Schweregrad, rot = hoher Schweregrad). Schade, zu früh gefreut.

Software-Schwachstellen laut Hasso-Plattner-Institut am 18.2.17

Ein Armutszeugnis

Doch es ist eigentlich gar nicht so wichtig, ob die Werte nun noch ein wenig gestiegen oder womöglich wirklich ein kleines bisschen gesunken sind. Viel wichtiger ist mir ihre absolute Höhe. 6.500 Schwachstellen sind einfach zu viele. Diese Zahlen sind darum für mich ein Armutszeugnis für eine ganze Branche.

Es gab alleine knapp 2.500 schwere Software-Schwachstellen – so groß ist der rote Balken. Wenn das Autos wären, dann würden in all den betroffenen Modellen die Bremsen oder die Lenkung nicht funktionieren. Kühlschränke würden über Nacht abtauen. Atomkraftwerke würden unerlaubte Mengen Strahlung abgeben.

Seit 30 Jahren haben wir uns aber daran gewöhnt, dass das gute alte Prinzip der 0-Fehler-Auslieferung für Software einfach nicht gilt. Hier herrscht statt dessen das Multi-Fehler-Prinzip, ganz hemmungslos. Die spätere Fehlerbehebung ist ja bereits Teil des initialen Roll-Out-Plans, sie ist Teil der Marketing Strategie.

Zugegeben: es klappt auch bei den Autos, Kühlschränken und Atommeilern nicht immer. Wir kennen aufwendige Rückrufaktionen und wir kennen auch Tschernobyl. Aber in diesen Branchen wird es zumindest angestrebt. Im IT-Bereich ist grüne Banane das Geschäftsprinzip.

Ebenfalls zugegeben: Eine Ursache der Malaise ist der massive Preisdruck – und dafür sind am Ende ja wir selbst verantwortlich. Aber andererseits: bei Autos und Kühlschränken sind wir doch nicht wirklich großzügiger.

Dabei misst dieser Index (es ist der CVSS-Index) nur die Sicherheits-Schwachstellen, die Angreifbarkeit. Die reine Funktionalität (tut es, was es verspricht?) steht dabei noch gar nicht zur Debatte. Vermutlich könnte man alle Werte verdoppeln oder verdreifachen, wenn die Qualität in diesem Sinne ganzheitlich bewertet würde.

Die wirkliche Ursache

Aus meiner Sicht ist die wirkliche Ursache, dass Software keinen ernst zu nehmenden Zulassungsbedingungen unterliegt. Jeder, der sich für einen Entwickler hält, kann entwickeln und dann vermarkten. Angesichts der IT-Abhängigkeit von immer mehr Lebensbereichen ist diese Situation wirklich absurd fahrlässig. Doch welche (semi-)staatliche Stelle traut sich an eine solche Aufgabe heran?

Die schwierigen Deutschen gelten nicht gerade als Digitalisierungs-Fans. Sie sind eben Qualitäts-Fans, schon immer gewesen. Ein Grund für ihre Zurückhaltung ist darum sicher in dieser Multi-Fehler-Kultur zu suchen.

Google-Suche – aber bitte aktuell!

Geht Ihnen das auch so? Bei den allermeisten Google-Suchen bin ich nur an aktuellen Treffern interessiert und ärgere mich über die ollen Kamellen aus 2012 oder noch früher, die das Bild verstellen.

Um die also auszublenden wähle ich dann oben rechts „Suchoptionen“ und stelle ein passendes Zeitfenster ein – meistens 1 Jahr.

Google1Schon oft habe ich mich gefragt, warum man das nicht in Google (oder dem Browser) voreinstellen kann, so wie die Sprache auch. Alle Treffer sollen höchstens 12 Monate alt sein. Das macht doch Sinn in den allermeisten Fällen.

Vermutlich will Google vermeiden, dass die organischen Reichweiten älterer Beiträge in den Keller sacken (das würden sie ja zwangsläufig) und bietet diese Funktion bewusst nicht an. Nun ja. Man merkt schon wieder, wer hier der wichtige Kunde ist. Wir Nutzer sind es jedenfalls nicht.

Nun hat mir ein Freund einen kleinen Trick gezeigt (auf den ich eigentlich auch allein hätte kommen können). Man ruft Google schon mit dieser zeitlichen Einschränkung auf, der http-string heißt: „https://www.google.de/#&tbs=qdr:y„, das Y am Schluss steht für „year“. Wer’s lieber monatsaktuell mag, wählt eben „m“.

Weil ich diese Einstellung regelmäßig verwenden will, habe ich mir in der Symbolleiste ein zusätzliches kleines Lesezeichen angelegt, es heißt „G-12“. Alles was ich über dieses Fenster suche, ist dann nie älter als 12 Monate.Google2

Danke, Dirk.

Unsichere Telekom Cloud wird sicherer

Das war knapp!

In meinem letzten Artikel hier hatte ich von dem ärgerlichen „Administrator-Zwang“ bei der Installation der App zur Telekom Cloud, der MagentaCloud-App also, berichtet. Dieser Rechte-Zwang bedeutete wirklich einen Rückschritt in Sachen Datensicherheit.

Mein work-around zu dieser Sicherheitslücke war dann zwar nur halb befriedigend und immer noch ein wenig Bastelei. Für die Mehrzahl der interessierten Nutzer wird er wohl ausgereicht haben, für alle sicher nicht. Und besser ging’s halt nicht.

Doch unsere Meckerei (und die vieler Anderer, keine Frage) wurde anscheinend gehört, denn kurz nachdem der Artikel erschienen war, kam ein neues Release von der Telekom.

Um es aufzuspielen, mußte man zwar wieder Admin-Recht am PC haben, also wieder der gleiche Zirkus wie zuvor. Aber mit diesem Update sollte das Problem dann behoben sein.

Etwas wundern darf man sich noch über den Stil, in dem dieser sinnvolle Update vorgestellt wurde. Nicht etwa: „Wenn Sie Zeit haben, lieber Kunden, bitten wir Sie…“ oder gar: „Wir entschuldigen uns für die Unannehmlichkeiten, die Ihnen …“. Nee, nur flapsig: „Sie müssen den Update installieren. So lange Sie das nicht machen, haben Sie keinen Zugriff mehr auf Ihre Daten!“

Klingt für mich nach Nötigung. Vielleicht habe ich gerade keine Zeit, diese Rechte-Hampelei mitzumachen und muss einfach nur ganz schnell an diese eine Datei ran – tja, dumm gelaufen.

Aber unerfreuliche Umgangsformen sind anscheinend Teil der Technik. Microsoft stellt sich ja nicht mal mehr vor, wenn man plötzlich den sehr beruhigenden Satz liest „Ihre Daten sind da, wo Sie sie abgelegt haben.“ – Ja, wo denn sonst? Und wer teilt einem diese Selbstverständlichkeit gerade mit? Ist es ein Wunder, dass die Sitten im Web verrohen, wenn selbst die edle Kundenbetreuung großer Firmen auf Flegel-Niveau ist?

Aber sich zu ärgern bringt ja nichts.

Ergänzen will ich hier noch, dass Dateien, die mit Boxcryptor im Mediencenter verschlüsselt wurden, und die jetzt also in die MagentaCloud umgezogen sind, mit dem gleichen Passwort auch wieder entschlüsselt werden können. Der „Boxcryptor-Safe“ hat den Umzug also unbeschadet überlebt.

Aus meiner Sicht und nach allem, was ich dazu gelesen habe, ist die deutsche Boxcryptor-Software eine ähnlich sichere Verschlüsselungs-Methode wie damals TrueCrypt, ich kann sie empfehlen. Auch das Zusammenspiel mit MagentaCloud funktioniert gut.

Wer mit anderen Verschlüsselungs-Tools in Verbindung mit MagentaCloud Erfahrungen gesammelt hat, ist herzlich eingeladen, diese hier kurz vorzustellen. Wenn gewünscht ist auch ein Gast-Artikel möglich.

MagentaCloud nur für PC-Admins? Nein!

 

Bis vor wenigen Monaten hieß das Cloud Angebot der Deutschen Telekom „Mediencenter“. Dieser Name war nun nicht gerade ein Marketing-Geniestreich, unter einem Mediencenter konnte man sich alles mögliche vorstellen. Zum Glück wurde das Mediencenter Mitte 2015 umbenannt. Nun heißt das Telekom-Angebot MagentaCloud, das neue Logo sieht auch deutlich besser aus, als das fitzelige Mediencenter-Icon zuvor.

 

Alte Datenbestände wurden übernommen und einige Funktionen hat man optimiert. Doch das Optimieren gelang nicht immer. So ist der freie Speicher von 25GB nur noch Kunden der Telekom vorbehalten – die anderen müssen nun mit mageren 10 GB zurecht kommen. Das ist immer noch mehr als zum Beispiel dropbox gratis liefert (popelige 2 GB), aber weniger als bei Google Drive (15 GB for free) und eben auch gegenüber dem Vorgänger ein klarer Rückschritt.

Aus meiner Sicht ist das besonders ärgerlich, denn in meinem Buch „Mein Recht im Netz“ hatte ich den großzügigen Cloudspeicherplatz des Mediencenters ausdrücklich betont und gelobt – und dann sowas. Alle Nicht-Telekom-Kunde, die ihre Fotosammlungen & Co im Mediencenter gesichert hatten und nun eine neue Cloud-Heimat für ihre Daten suchen müssen, werden sich mit mir geärgert haben.

Doch auch technisch gibt es was zu meckern, und das ist mindestens so schlimm, wie die Preissteigerung über Nacht: Die MagentaCloud kann nicht mehr so komfortabel genutzt werden. Sie ist nur für den Administrator des PCs bequem zu erreichen.

In diesem Beitrag beschreibe ich kurz das Problem – und zeige dann eine 80%-Lösung. Besseres gibt meines Wissenses aktuell nicht.

weiterlesen

Zero – ein Cyber-SciFi-Krimi

zero

Das Titel-Monstrum zeigt: es ist gar nicht so einfach, das Genre dieses Romans richtig zu beschreiben.

  • Krimi – denn Menschen werden in dem Roman aus ausgesprochen niedrigen Beweggründen getötet. Und alle suchen den Täter, aber niemand kann glauben, wer’s wirklich war.
  • SciFi – denn manches ist dann doch zu abgefahren, als dass es schon in einigen Ecken des Silicon Valley Realität sein könnte. Auch gut ein Jahr nach Erscheinen dudelt immer noch Zukunftsmusik im Hintergrund.
  • Cyber – denn es geht ums Internet, die Macht der Apps, ihre alles kontrollierende Präsenz und die Schwächen unserer Datensicherheit und unseres Datenschutzes.

Man könnte Zero aber auch durchaus einen politischen Roman nennen. Eine Kampfschrift gegen übermächtige Datenkraken und einen Appell an uns, kritisch und wehrhaft zu bleiben.

Dafür spricht unter anderem, dass der Autor eine zwar marketing-technisch voll aufgebrezelte, aber letztlich doch recht engagierte Seite betreibt: www.marcelsberg.de. Hier findet man mehr rund um private Transparenz und möglichen Schutz vor zu viel Intimitätsverlust, als auf manchen offiziellen Seiten zu dem Thema.

Worum es in Zero geht

weiterlesen

Mein Recht im Netz – die komplette Inhaltsübersicht

Diesen Herbst ist „Mein Recht im Netz“ bei der Stiftung Warentest erschienen. Der Titel klingt interessant, aber um was es genau darin geht, ist vermutlich gar nicht so leicht zu erkennen.

Auf der entsprechenden Webseite von test.de findet man immerhin eine Kurzbeschreibung zum Inhalt mit einigen weiteren Stichworten sowie der Möglichkeit, einige Seiten des Buchs zu besichtigen. amazon.de und thalia.de haben Teile dieser Informationen übernommen.

Wir werfen hier jetzt einen ausführlichen Blick ins Buch.

weiterlesen

Der Passwort-Reim so kräftig holpert, …

…dass Brute-Force-Angriff sich verstolpert.

Dieser Vers ist ein mögliches Format für wirkliche sichere Passworte, folgt man einer Arbeit von Marjan Ghazvininejad und Kevin Knight von der University of Southern California (USC).

Der Reim ist ein vierfüßiger Jambus (aka „Knittelvers“), in dem sich betonte und unbetonte Silben abwechseln, beginnend mit einer unbetonten. Binär würde man dieses Ab und Auf in jeder Zeile so abbilden: 01010101. (In unserem Beispiel haben wir das Schema etwas stark „verknittelt“: die unbetonte letzte Silbe gehört da eigentlich nicht hin.)

Auf Englisch ist es etwas leichter:

Sophisticated potentates
misrepresenting Emirates

macht so gut wie keinen Sinn mehr, aber ist formal voll korrekt und reimt sich eben.

Und was soll der ganze Poesie-Zirkus? Die Verse sind gute Passworte!

weiterlesen

Phishing Fritz phished frisch

phishingGerade ist eine recht gut gemachte Phishing-Mail im Umlauf. Sie ähnelt recht stark den Mails, die man sofort nach einer Zahlung von PayPal bekommt.

Als Phishing ist die Mail eigentlich nur erkennbar an der fehlenden Anrede, da müsste „Guten Tag, Peter Apel!“ stehen. Ein weiteres Indiz ist noch die Referenznummer. Bei PayPal heißt das Transaktionscode – aber wer merkt sich solche Details?

Verdächtig sollte dem Empfänger die Mail allerdings sofort sein, denn erstens hat er die Bestellung ja gar nicht ausgelöst und zweitens stimmt die Lieferadresse nicht (hier mit grauem Balken).

Letzte Sicherheit, dass es sich um Phishing handelt, gibt dann ein Besuch beim Online Konto, kennt PayPal diese Zahlung? Nein, natürlich nicht.

PayPal ist ein beliebtes Angriffsziel für Spoofer und Phishermen, alles ist immer nur Online und gerade die vielen Sicherheits-Mails stumpfen irgendwie ab, machen den Aufmerksamkeits-Sensor taub. Darum hat das Unternehmen auch selbst dazu eine FAQ-Seite eingestellt.

Unter anderem findet man da eine Adresse, an die man verdächtige Mails schicken kann: spoof@paypal.com. Und auf der Facebook-Seite von PayPal sollen immer aktuelle Phishing-Fälle vorgestellt werden. Der hier gezeigt Fall ist da allerdings noch nicht, das frischeste Beispiel ist vom 21.10.15, also gut 20 Tage alt.

Wie schützt man sich gegen Phishing?

weiterlesen

Win 10 Umstellung – erstaunlich problemlos

win10Während eines laufenden Projekts mal eben das Betriebssystem ändern, das hätte ich vielleicht früher riskiert. Doch so mutig bin ich nicht mehr. Vielleicht habe ich auch dazugelernt.

Jedenfalls habe ich die immer drängenderen Aufforderungen von Microsoft zum Win 10 Upgrade standhaft ignoriert, bis eben gerade ein Fenster relativer Ruhe aufging. Das war vorvorgestern.

Aber von wegen relative Ruhe: entspannt war ich absolut nicht.

Das waren meine drei größten Sorgen:

weiterlesen