Digitale Reife

Abstract

Die mangelnde digitale Reife in Deutschland ist Ursache für seine international zweitklassige IT-Position. Aber digitale Reife hat nichts mit modernen Geräten und üppiger Bandbreite zu tun. Die Ursachen des Mangels stecken in unseren Köpfen.

Die folgenden drei Beispiel zeigen einmal mehr: die wichtigste Zukunfstinvestition in Deutschland muss der digitalen Reife gelten.

weiterlesen

Software-Schwachstellen gehen zurück, yippie!?

Gute Nachricht?

Anfang des Jahres erreichte uns diese tolle Nachricht: Gegenüber 2015 ist die Anzahl der registrierten Software-Schwachstellen weltweit von 6.400 auf 5.600 zurückgegangen, über 10% minus! Die Quelle ist das Hasso-Plattner-Insititut in Potsdam.

Die Nachricht ist aus dem Januar 2017, jetzt, einen Monat später sind wohl doch noch ein paar Bugs nachgemeldet worden, jetzt sieht es doch wieder nach Anstieg aus. (gelb = geringer Schweregrad, rot = hoher Schweregrad). Schade, zu früh gefreut.

Software-Schwachstellen laut Hasso-Plattner-Institut am 18.2.17

Ein Armutszeugnis

Doch es ist eigentlich gar nicht so wichtig, ob die Werte nun noch ein wenig gestiegen oder womöglich wirklich ein kleines bisschen gesunken sind. Viel wichtiger ist mir ihre absolute Höhe. 6.500 Schwachstellen sind einfach zu viele. Diese Zahlen sind darum für mich ein Armutszeugnis für eine ganze Branche.

Es gab alleine knapp 2.500 schwere Software-Schwachstellen – so groß ist der rote Balken. Wenn das Autos wären, dann würden in all den betroffenen Modellen die Bremsen oder die Lenkung nicht funktionieren. Kühlschränke würden über Nacht abtauen. Atomkraftwerke würden unerlaubte Mengen Strahlung abgeben.

Seit 30 Jahren haben wir uns aber daran gewöhnt, dass das gute alte Prinzip der 0-Fehler-Auslieferung für Software einfach nicht gilt. Hier herrscht statt dessen das Multi-Fehler-Prinzip, ganz hemmungslos. Die spätere Fehlerbehebung ist ja bereits Teil des initialen Roll-Out-Plans, sie ist Teil der Marketing Strategie.

Zugegeben: es klappt auch bei den Autos, Kühlschränken und Atommeilern nicht immer. Wir kennen aufwendige Rückrufaktionen und wir kennen auch Tschernobyl. Aber in diesen Branchen wird es zumindest angestrebt. Im IT-Bereich ist grüne Banane das Geschäftsprinzip.

Ebenfalls zugegeben: Eine Ursache der Malaise ist der massive Preisdruck – und dafür sind am Ende ja wir selbst verantwortlich. Aber andererseits: bei Autos und Kühlschränken sind wir doch nicht wirklich großzügiger.

Dabei misst dieser Index (es ist der CVSS-Index) nur die Sicherheits-Schwachstellen, die Angreifbarkeit. Die reine Funktionalität (tut es, was es verspricht?) steht dabei noch gar nicht zur Debatte. Vermutlich könnte man alle Werte verdoppeln oder verdreifachen, wenn die Qualität in diesem Sinne ganzheitlich bewertet würde.

Die wirkliche Ursache

Aus meiner Sicht ist die wirkliche Ursache, dass Software keinen ernst zu nehmenden Zulassungsbedingungen unterliegt. Jeder, der sich für einen Entwickler hält, kann entwickeln und dann vermarkten. Angesichts der IT-Abhängigkeit von immer mehr Lebensbereichen ist diese Situation wirklich absurd fahrlässig. Doch welche (semi-)staatliche Stelle traut sich an eine solche Aufgabe heran?

Die schwierigen Deutschen gelten nicht gerade als Digitalisierungs-Fans. Sie sind eben Qualitäts-Fans, schon immer gewesen. Ein Grund für ihre Zurückhaltung ist darum sicher in dieser Multi-Fehler-Kultur zu suchen.

Der Passwort-Reim so kräftig holpert, …

…dass Brute-Force-Angriff sich verstolpert.

Dieser Vers ist ein mögliches Format für wirkliche sichere Passworte, folgt man einer Arbeit von Marjan Ghazvininejad und Kevin Knight von der University of Southern California (USC).

Der Reim ist ein vierfüßiger Jambus (aka „Knittelvers“), in dem sich betonte und unbetonte Silben abwechseln, beginnend mit einer unbetonten. Binär würde man dieses Ab und Auf in jeder Zeile so abbilden: 01010101. (In unserem Beispiel haben wir das Schema etwas stark „verknittelt“: die unbetonte letzte Silbe gehört da eigentlich nicht hin.)

Auf Englisch ist es etwas leichter:

Sophisticated potentates
misrepresenting Emirates

macht so gut wie keinen Sinn mehr, aber ist formal voll korrekt und reimt sich eben.

Und was soll der ganze Poesie-Zirkus? Die Verse sind gute Passworte!

weiterlesen

Phishing Fritz phished frisch

phishingGerade ist eine recht gut gemachte Phishing-Mail im Umlauf. Sie ähnelt recht stark den Mails, die man sofort nach einer Zahlung von PayPal bekommt.

Als Phishing ist die Mail eigentlich nur erkennbar an der fehlenden Anrede, da müsste „Guten Tag, Peter Apel!“ stehen. Ein weiteres Indiz ist noch die Referenznummer. Bei PayPal heißt das Transaktionscode – aber wer merkt sich solche Details?

Verdächtig sollte dem Empfänger die Mail allerdings sofort sein, denn erstens hat er die Bestellung ja gar nicht ausgelöst und zweitens stimmt die Lieferadresse nicht (hier mit grauem Balken).

Letzte Sicherheit, dass es sich um Phishing handelt, gibt dann ein Besuch beim Online Konto, kennt PayPal diese Zahlung? Nein, natürlich nicht.

PayPal ist ein beliebtes Angriffsziel für Spoofer und Phishermen, alles ist immer nur Online und gerade die vielen Sicherheits-Mails stumpfen irgendwie ab, machen den Aufmerksamkeits-Sensor taub. Darum hat das Unternehmen auch selbst dazu eine FAQ-Seite eingestellt.

Unter anderem findet man da eine Adresse, an die man verdächtige Mails schicken kann: spoof@paypal.com. Und auf der Facebook-Seite von PayPal sollen immer aktuelle Phishing-Fälle vorgestellt werden. Der hier gezeigt Fall ist da allerdings noch nicht, das frischeste Beispiel ist vom 21.10.15, also gut 20 Tage alt.

Wie schützt man sich gegen Phishing?

weiterlesen

IT-Sicherheit: Sind die Deutschen Pharisäer?

riskyUnvorsichtige Bürger

Vor wenigen Tagen konnte man erfahren: nur jeder vierte Internetnutzer verwendet systematische Methoden zur Passwortverwaltung wie Passwortmanager oder Passwortsafe (BITKOM vom 22.10.14). Und in der FAZ konnte man fast zeitgleich lesen, dass knapp 30% der Internetnutzer aus Sicherheitsgründen auf Online Banking verzichtet, Quelle wiederum BITKOM.

Schaut man auf die andere Seite der Kuchen, auf die anderen jeweils 70-75%, dann stellt man fest: Wie immer man die halben und Viertel-Torten übereinander legt, übrig bleiben rund 50%, die am Online Banking teilnehmen und ihre Passwörter nicht mit den o.g. Tools verwalten und schützen.

Nun ist Online-Banking ja kein Kinderfasching, hier kann man nicht nur versehentlich ein paar peinliche Fotos aus der Sauna oder Joint-Bekenntnisse aus frühen Schultagen den falschen Leuten zugänglich machen. Beim Online Finanzmanagement kann man richtig was versemmeln!

Alles Pharisäer?

Haben wir hier also einen weiteren Beleg für die schizophren-hysterischen Deutschen, die zwar abstrakt und theoretisch sehr viel Angst vor allen möglichen Bedrohungen der IT-Welt äußern (BITKOM: 81% haben Angst vor Ausspähung im Web), die aber, wenn es um das eigene umsichtige und sicherheitsbewusste Datenmanagement geht, sehr nachlässig weil vermutlich bequem sind? Sind wir Deutschen IT-Pharisäer?

weiterlesen

Huch – Twitter Account gesperrt! Und dann?

130517 Twitter Sperre kleinEs ist wirklich passiert! Unser Twitter Account war gesperrt. Wir haben mal rumgehört, das geschieht nicht so oft. Und auch im Web findet man dazu kaum Beiträge. Also ist ein kleiner Erlebnisbericht vielleicht allgemein interessant.

Gleich vorneweg sei gesagt: der Account (@trendticker) ist wieder offen, 4 lange Tage, von Freitag bis Montag kauten wir aber auf den Nägeln.

Twitter Sperre – da drängen sich diverse Fragen auf:

  1. Woran merkt man das?
  2. Wie wirkt es sich aus?
  3. Was kann man dagegen tun?
  4. Was war überhaupt die Ursache?
  5. Kann man sich irgendwie preemptiv schützen (aka: was lernt uns das?)

Doch der Reihe nach!

1. Woran merkt man es?

Man merkt es eigentlich daran, dass man nicht mehr tweeten kann. Zwischen dem 10. und 14. Mai hatte unser Vogel Sendepause. Wollten wir Seiten twittermäßig weiter verbreiten, kam die Nachricht, dass eine Sendung aktuell nicht möglich sei, man habe den Tweet in den Entwurfsspeicher gelegt. (Wo ist der denn bei Twitter?)

Und bei Twitter direkt kam die Nachricht:

  • Ihr Account ist momentan gesperrt…
  • Das Ganze kann ein Irrtum sein. Dafür entschuldigte man sich vorsichtshalber.
  • Man solle die Twitter Rules aufmerksam lesen und sicherstellen, dass man sie einhält
  • Es gab einen Link, über den man „etwas“ an Twitter schreiben konnte. Aber da es keinen Vorwurf gab, konnte man auch schwer irgendwas entkräften.

Wir haben das ausgefüllt, es kamen 3 Eingangsbestätigungen zurück, textidentisch, nur mit unterschiedlicher Case-ID. Die halfen auch nicht weiter.

2. Wie wirkt es sich aus?

Man hat keinen Zugang zu seinem Account. Und die Following / Follower-Werte stehen beide auf 0. Aber der Account ist da, sichtbar für Dritte. Following / Follower wird da einfach gar nicht angezeigt (die 0 sieht also niemand).

Und Dritte können auch weiterhin Tweets des Accounts retweeten.

Der Account ist jetzt wieder aktiv mit der ganzen „Gemeinde“. Größeren Followerschwund konnten wir nicht feststellen.

3. Was kann man dagegen tun?

Die Ursache vermeiden. Da gehen wir beim nächsten Punkt tiefer ins Detail.

Und wenn das Kind schon im Brunnen liegt? Auf Basis Stichprobe N=1 hier eine Empfehlung, die zumindest nach knapp 4 Tagen geholfen hat:

  • Den Einwand gegen die Sperre in englisch formulieren (wer weiß, wer das liest)
  • Zusichern, dass man alle Regeln einhalten will (und bisher auch immer eingehalten hat)
  • Das Ganze abschicken von dem Mailaccount, der bei Twitter registriert ist (hatten wir zunächst nicht).
  • Und wenn man eigentlich nichts verbrochen hat: vertrauensvoll warten. Wir hatten jedenfalls an Tag 3 auf Fatalismus geschaltet.

4. Was war der Grund?

Warum unser Twitter Account gesperrt war, wissen wir nicht und wir erwarten auch nicht, es positiv zu erfahren. Die folgenden „Theorien“ haben wir später als unwahrscheinlich bis eigentlich unmöglich verworfen:

  • Unser Account wurde gehackt und jemand hat schlimme Sachen veranstaltet, die wir nicht gesehen haben.
  • Trolle und andere böse Geister haben es auf uns abgesehen und unsere Account in großem Stil „gemeldet“. Über solche Aktionen hätte man aber irgendwas gelesen.
  • Wir haben 3 Auto-Retweets am Laufen (via twitterfeed), und eine der Quellen hat Böses getan. Ist jedoch nicht erkennbar so.
  • Wir sind durch Retweeten eines Links in einen anderen „Strudel“ geraten (bei Associated Press war z.B. was im April, und wir hatten die zitiert in der Zeit).

In Hamburg würde man dazu sagen: Alles „Spökenkiekerei“!

Plausibel bis wahrscheinlich erscheint uns aber dies:

Am 8. Mai haben wir einen Bericht von gizmodo retweetet. Es ging um eine spanische Plakat-Kampagne gegen Gewalt und Missbrauch von Kindern (gut gemacht: durch eine Art Wackelbildtechnik lasen die Kinder den „unteren“ Text, Tenor: melde Dich!; die Großen den „oberen“, Tenor: melden Sie das! Fanden wir gut.)

Schon beim Schreiben dieser Zeilen ziehe ich aber die Augenbrauen hoch, denn wir wollen nicht mit WordPress erleben, was wir mit Twitter gerade hinter uns haben. Unser tweet vom 8. Mai beinhaltet nämlich sowohl das deutsche Wort für diesen Straftatbestand (beginnt mit „K“, 4 Silben) als auch als Hashtag das englische Wort (beginnt mit „c“, 3 Silben). Wir hatten sogar den Hashtag extra gesucht, um das auch zutreffend zu markieren.

Was ist daraufhin vermutlich passiert? Wir sehen 2 Möglichkeiten:

  • Entweder einige superpflichtbewusste Aufpasser haben sich einen Automatismus programmiert, der bei der Verwendung bestimmter Worte den entsprechenden Beitrag „meldet“. Und Twitter hat sicher irgend einen Schwellwert, ab dem sie sagen: 200 Meldungen? den Account machen wir mal ein paar Tage dicht und prüfen das. 20, 200, 2.000, wer weiß das?
  • Oder eine amerikanische, schottische, singapurianische, deutsche Sittenpolizei hat mit Twitter einen Deal: Tweets mit einem der Worte von der schlimmen Liste, werden mal ein paar Tage auf Eis gelegt und genauer beleuchtet.

Wenn man länger drüber nachdenkt, sind beide Varianten wirklich nicht unplausibel. Man könnte fast umgekehrt fragen: wie soll eine Böse-Menschen-Überwachung denn sonst funktionieren? Am eigenen Twitter-Leib ausbaden möchte es aber wohl doch keiner.

5. Wie kann man das also (als Unschuldiger) vermeiden, wie kann man sich schützen?

Mit der größte Horror ist, alle Follower zu verlieren (haben wir nicht, aber hätte ja…). Leider gibt es bei Twitter noch nicht die Möglichkeit, ein Archiv als Download zu erhalten (Facebook hat das). Ein unbefriedigender Workaround ist, die Follower in Listen zu sortieren und sich zumindest die wirklich wichtigen irgendwie zu kopieren. Oder man kennt jemand, der sich mit der die Twitter API unterhalten kann…. Den Weg werden wir gehen.

Die Sorge, ein Anderer schreibt fahrlässig bis de facto gefährlich, und man selbst posaunt das ungeprüft, nämlich automatisch weiter rum, ist weiter im Raum. Unsere Auto-Retweets via twitterfeed werden wir nochmal sehr genau prüfen.

Und wir werden über gute Kampagnen o.ä. zu „öffentlich angespannten Themen“ nur noch mit Vorsicht berichten. Nun ist das zwar nicht unser Brot-und-Butter-Geschäft, es gibt genug andere Themen. Aber blöd ist es schon, dass bestimmte Themen nicht beim Namen genannt werden können, weil man dann ins Visier irgendeiner Rasterfahndung gerät.

Wenn diese 4-Tage-Aussetzer der Preis für ein paar automatische Sicherheits-Checks wären, und danach ist wieder alles gut (wenn alles gut ist) – das wäre vielleicht noch akzeptierbar. Aber wenn uns das nun erneut passiert, erneut de facto völlig unberechtigt, wer garantiert, dass es dann nicht 10 Tage sind – weil wir ja schon eine „kritische-Leute-Markierung“ auf irgendeiner Liste haben? Oder sogar Account ganz weg?

An solchen Stellen spürt man gut, wie schwierig das Gelände ist, das zwischen Cyberkriminalität und Datenschutz liegt. Schnelle Lösungen sind immer billig zu haben, gute aber sehr selten und meist auch so kompliziert, dass sie kaum einer versteht.

Letzter Aspekt: Das ganze Wohl und Wehe seiner Unternehmung zu 100% auf so virtuellen Diensten, wie soziale Netze es sind, zu fußen, ist riskanter, als man gemeinhin denkt. Über Nacht und ohne Vorwarnung kann alles futsch sein. Es gibt keine Ansprechpartner, keine Telefonnummer, und schon gar nichts „Einklagbares“. In manchen Staaten kann man immer noch grundlos für ein paar Tage verhaftet werden – und kommt ohne weitere Erklärungen dann plötzlich wieder frei. Ein wenig so war es hier auch.

Und ob man immer alles zurück kriegt und alles ist dann wieder, wie zuvor (so wie bei uns jetzt anscheinend) – wer weiß das schon?

Nachbemerkung

Dieser Beitrag erschien im Mai 2013. Bis heute, Oktober 2013, sind darauf sehr viele Kommentare eingegangen mit dem Tenor: „Mein Account wurde auch gesperrt, bitte helfen Sie!“ Viele dieser Kommentare haben wir hier nicht veröffentlicht, sei es weil sie extrem wirr, kaum verständlich oder zum Teil auch aggressiv oder demagogisch waren.

Sollte Ihr Account auch gesperrt sein und Sie eine Lösung suchen: Wir sind hier nicht die richtige Adresse dafür! Wir kennen keine Entsperrungs-Werkzeuge oder -Tricks.

Unsere generellen Ratschläge für die, die auf jeden Fall eine Sperrung vermeiden wollen, sind:

  1. Bitten Sie bei Twitter in englischer Sprache formell um Aufhebung der Sperre. Versichern Sie dabei, dass die möglichen Gründe für die Sperre von Ihnen nicht beabsichtigt waren und dass Sie solche Anlässe in Zukunft vermeiden werden.
  2. Haben Sie Geduld.
  3. Vermeiden Sie in Zukunft „Problemwörter“.
  4. Vermeiden Sie aggressives Following.
  5. Vermeiden Sie Beleidigungen.
  6. Ergreifen Sie nicht Partei für eine Seite im syrischen oder türkischen Konflikt.

Zweite Nachbemerkung

Immer wieder kommen hier Anfragen an, wie man einen Einspruch bei Twitter formulieren soll. Wir wissen das nicht, aber haben trotzdem ein Musterschreiben verfasst, das aus unserer Sicht geeignet ist.

Jeder kann es wie er will verwenden, es gibt keinen Copyright-Schutz. Aber es gibt auch überhaupt keine Garantie, dass das Schreiben „funktioniert“ und irgendetwas löst oder beschleunigt. Wir würden halt so schreiben, auf deutsch wie auf englisch.

Wir wünschen allen unberechtigt gesperrten Accounts eine schnelle Entsperrung!

 

Sterben auf die doofe Art

Es klingt makaber und das ist es irgendwie auch.

Aber die Melbourne Metro hat einen tiefschwarz-unterhaltenden Weg gefunden, auf die Gefahren im öffentlichen Verkehr hinzuweisen: Dumb ways to die – Sterben auf die doofe Art. Ein animierter Struwwelpeter auf australisch.

Mit diesem Video verabscheiden wir uns ins Wochenende – passen Sie auf sich auf!

  • Ihnen hat dieser Artikel gefallen? Dann teilen Sie ihn doch mit Anderen, via Mail oder via die sozialen Netze.
  • Sie wollen keinen Artikel unseres Blogs verpassen? Dann folgen Sie uns einfach auf twitter: @trendticker ist da unser Name. Auf twitter stellen wir jeden Beitrag noch einmal kurz vor. Kommen Sie zu den anderen gut 1.000 Followern dazu. Ein Re-Follow ist wahrscheinlich…
  • Oder Sie abonnieren unseren RSS Feed, rechts oben ist der Link.
  • Und last not least: wir freuen uns über jeden Fan von trickr auf Facebook. Aktuell sind es schon über 1.000.

"Wenn Sie Nick treffen wollen…

130212 Suche… oder Zugriff auf sein Laptop brauchen, wäre Montagmorgen 6 Uhr im Fitnessstudio die beste Zeit dafür.“

So beschreibt Raytheon (amerikanische Rüstungsfirma) lt. Spiegel Online sein neuestes Produkt „RIOT“,

Mit RIOT werden öffentliche zugängliche Informationen aus sozialen Netzwerken (Facebok, Twitter, Foursquare…) auf Personenebene zusammengeführt und ausgewertet. So kann man zukünftige Aufenthaltsorte, aber auch Netzwerke von Personen mit einiger Wahrscheinlichkeit erkennen.

Der Spiegel-Artikel beschreibt weitere Details recht ausführlich.

Mich erstaunt nicht, dass es das Produkt gibt, sondern nur, dass es jetzt am Markt angeboten wird.

Risiko: was mobile Spiele Apps heimlich noch so machen

Wir ahnen es ohne es –bisher- konkret erfahren zu haben: Manche Spiele auf dem Handy sind nicht nur zu unserer Unterhaltung da, sondern verfolgen noch „weitergehende“, potenziell heimliche Ziele. Gerade bei Free-Games hat sich wohl jeder schon gefragt, wie da eigentlich der Business Case aufgeht, was dem Entwicklungs- und Pflege-Aufwand an Einnahmen wohl gegenübersteht.

Vor einiger Zeit berichtete nun Veracode auf ihrem Blog von Untersuchungen in den USA zu dem Thema – und da war man zumindest in Teilen fündig geworden.

weiterlesen