Software-Schwachstellen gehen zurück, yippie!?

Gute Nachricht?

Anfang des Jahres erreichte uns diese tolle Nachricht: Gegenüber 2015 ist die Anzahl der registrierten Software-Schwachstellen weltweit von 6.400 auf 5.600 zurückgegangen, über 10% minus! Die Quelle ist das Hasso-Plattner-Insititut in Potsdam.

Die Nachricht ist aus dem Januar 2017, jetzt, einen Monat später sind wohl doch noch ein paar Bugs nachgemeldet worden, jetzt sieht es doch wieder nach Anstieg aus. (gelb = geringer Schweregrad, rot = hoher Schweregrad). Schade, zu früh gefreut.

Software-Schwachstellen laut Hasso-Plattner-Institut am 18.2.17

Ein Armutszeugnis

Doch es ist eigentlich gar nicht so wichtig, ob die Werte nun noch ein wenig gestiegen oder womöglich wirklich ein kleines bisschen gesunken sind. Viel wichtiger ist mir ihre absolute Höhe. 6.500 Schwachstellen sind einfach zu viele. Diese Zahlen sind darum für mich ein Armutszeugnis für eine ganze Branche.

Es gab alleine knapp 2.500 schwere Software-Schwachstellen – so groß ist der rote Balken. Wenn das Autos wären, dann würden in all den betroffenen Modellen die Bremsen oder die Lenkung nicht funktionieren. Kühlschränke würden über Nacht abtauen. Atomkraftwerke würden unerlaubte Mengen Strahlung abgeben.

Seit 30 Jahren haben wir uns aber daran gewöhnt, dass das gute alte Prinzip der 0-Fehler-Auslieferung für Software einfach nicht gilt. Hier herrscht statt dessen das Multi-Fehler-Prinzip, ganz hemmungslos. Die spätere Fehlerbehebung ist ja bereits Teil des initialen Roll-Out-Plans, sie ist Teil der Marketing Strategie.

Zugegeben: es klappt auch bei den Autos, Kühlschränken und Atommeilern nicht immer. Wir kennen aufwendige Rückrufaktionen und wir kennen auch Tschernobyl. Aber in diesen Branchen wird es zumindest angestrebt. Im IT-Bereich ist grüne Banane das Geschäftsprinzip.

Ebenfalls zugegeben: Eine Ursache der Malaise ist der massive Preisdruck – und dafür sind am Ende ja wir selbst verantwortlich. Aber andererseits: bei Autos und Kühlschränken sind wir doch nicht wirklich großzügiger.

Dabei misst dieser Index (es ist der CVSS-Index) nur die Sicherheits-Schwachstellen, die Angreifbarkeit. Die reine Funktionalität (tut es, was es verspricht?) steht dabei noch gar nicht zur Debatte. Vermutlich könnte man alle Werte verdoppeln oder verdreifachen, wenn die Qualität in diesem Sinne ganzheitlich bewertet würde.

Die wirkliche Ursache

Aus meiner Sicht ist die wirkliche Ursache, dass Software keinen ernst zu nehmenden Zulassungsbedingungen unterliegt. Jeder, der sich für einen Entwickler hält, kann entwickeln und dann vermarkten. Angesichts der IT-Abhängigkeit von immer mehr Lebensbereichen ist diese Situation wirklich absurd fahrlässig. Doch welche (semi-)staatliche Stelle traut sich an eine solche Aufgabe heran?

Die schwierigen Deutschen gelten nicht gerade als Digitalisierungs-Fans. Sie sind eben Qualitäts-Fans, schon immer gewesen. Ein Grund für ihre Zurückhaltung ist darum sicher in dieser Multi-Fehler-Kultur zu suchen.

Facebook-News: 10 Quellen um up-to-date zu bleiben

Im Oktober 2013 habe ich das erste Buch zu Facebook geschrieben (Autoren sagen eigentlich: „vorgelegt“), eine Benutzungsanleitung für Einsteiger, herausgegeben von der Stiftung Warentest. Das Buch ist recht gut angenommen worden, die Stiftung als Verlag ist natürlich ein guter Absender.

Doch die Welt bleibt nicht stehen, Facebook schon gar nicht. Ende 2015 haben wir einen Update („Facebook“) herausgebracht, der umfangreicher ausfiel, als zunächst geplant war. Es hatte sich viel zwischenzeitlich geändert.

Um die Dynamik im Blick zu behalten und die vielen Schrauben, an denen ständig gedreht wird, habe ich mir einen kleinen News-Feed zusammengestellt. Damit trage ich die allermeisten Änderungen und Aktualisierungen zusammen. Hier finde ich viele wichtige Facebook-News für die nächste Auflage. Seit dem letzten Redaktionsschluss im Oktober 2015 habe ich so schon wieder 147 solche Nachrichten gesammelt

In diesem Beitrag stelle ich die zehn wichtigsten Quellen meiner Facebook-News vor, sortiert nach Wichtigkeit – für mich. Wer also im Themenumfeld des Buches mehr wissen will, der kann meinen Quellen hier folgen und sich selbst einen aktuellen Eindruck verschaffen.

weiterlesen

Digitaler Nachlass – ein guter Auftaktevent: digina16

Am 24. November 2016 haben sich Unternehmer, Wissenschaftler, Juristen, Journalisten und Blogger getroffen, um das Themenfeld „Digitaler Nachlass“ gemeinsam zu diskutieren – auf der digina16 (digitaler Nachlass 2016). Es war die erste Veranstaltung dieser Art, und die anregenden Vorträge, Gespräche und Kontakte, aber auch die öffentliche Resonanz (Tagesschau!) lassen annehmen, dass im nächsten Jahr die digina17 folgen wird.

Die Veranstalter haben hier bereits viele interessante Ergebnisse zusammengefasst.

In meinem Beitrag hier stelle ich einige persönliche Eindrücke sowie ergänzende Aspekte, die kaum zur Sprache kamen, vor.

weiterlesen

Standort-Tracking via Facebook

Sie befinden sich hier auf Geolocation- Symbol blauEins meiner Lieblings-Cartoons geht so: Die Katze („Le Chat“ von Philippe Geluck) steht vor einer öffentlichen Stadtkarte und sieht den Pfeil „Sie sind hier“. Le Chat sagt: „Das hat sich aber schnell rumgesprochen!“

Vielen Facebook-Nutzern ist nicht bekannt, dass die Mutter aller sozialen Netze diesen schnellen Info-Austausch zum aktuellen Standort des mobilen Mitglieds bereits jetzt technisch ermöglicht. Spannend ist daran insbesondere, dass auch, wenn die Facebook App gar nicht genutzt wird, trotzdem ein solches Standort-Tracking erfolgt.

In einem aktuellen Beitrag hat Jens Wiese von allfacebook.de hierauf hingewiesen und auch gezeigt, wie man das Protokoll dieses Standort-Trackings, also alle bisherigen Einträge, mit 2 Klicks löscht.

Wir fassen die wichtigsten Punkte des guten Beitrags hier noch einmal zusammen und zeigen zudem, wie man das Standort-Tracking via Facebook auch für die Zukunft auf seinem Smartphone unterbindet – wenn man es denn will.

weiterlesen

Unsichere Telekom Cloud wird sicherer

Das war knapp!

In meinem letzten Artikel hier hatte ich von dem ärgerlichen „Administrator-Zwang“ bei der Installation der App zur Telekom Cloud, der MagentaCloud-App also, berichtet. Dieser Rechte-Zwang bedeutete wirklich einen Rückschritt in Sachen Datensicherheit.

Mein work-around zu dieser Sicherheitslücke war dann zwar nur halb befriedigend und immer noch ein wenig Bastelei. Für die Mehrzahl der interessierten Nutzer wird er wohl ausgereicht haben, für alle sicher nicht. Und besser ging’s halt nicht.

Doch unsere Meckerei (und die vieler Anderer, keine Frage) wurde anscheinend gehört, denn kurz nachdem der Artikel erschienen war, kam ein neues Release von der Telekom.

Um es aufzuspielen, mußte man zwar wieder Admin-Recht am PC haben, also wieder der gleiche Zirkus wie zuvor. Aber mit diesem Update sollte das Problem dann behoben sein.

Etwas wundern darf man sich noch über den Stil, in dem dieser sinnvolle Update vorgestellt wurde. Nicht etwa: „Wenn Sie Zeit haben, lieber Kunden, bitten wir Sie…“ oder gar: „Wir entschuldigen uns für die Unannehmlichkeiten, die Ihnen …“. Nee, nur flapsig: „Sie müssen den Update installieren. So lange Sie das nicht machen, haben Sie keinen Zugriff mehr auf Ihre Daten!“

Klingt für mich nach Nötigung. Vielleicht habe ich gerade keine Zeit, diese Rechte-Hampelei mitzumachen und muss einfach nur ganz schnell an diese eine Datei ran – tja, dumm gelaufen.

Aber unerfreuliche Umgangsformen sind anscheinend Teil der Technik. Microsoft stellt sich ja nicht mal mehr vor, wenn man plötzlich den sehr beruhigenden Satz liest „Ihre Daten sind da, wo Sie sie abgelegt haben.“ – Ja, wo denn sonst? Und wer teilt einem diese Selbstverständlichkeit gerade mit? Ist es ein Wunder, dass die Sitten im Web verrohen, wenn selbst die edle Kundenbetreuung großer Firmen auf Flegel-Niveau ist?

Aber sich zu ärgern bringt ja nichts.

Ergänzen will ich hier noch, dass Dateien, die mit Boxcryptor im Mediencenter verschlüsselt wurden, und die jetzt also in die MagentaCloud umgezogen sind, mit dem gleichen Passwort auch wieder entschlüsselt werden können. Der „Boxcryptor-Safe“ hat den Umzug also unbeschadet überlebt.

Aus meiner Sicht und nach allem, was ich dazu gelesen habe, ist die deutsche Boxcryptor-Software eine ähnlich sichere Verschlüsselungs-Methode wie damals TrueCrypt, ich kann sie empfehlen. Auch das Zusammenspiel mit MagentaCloud funktioniert gut.

Wer mit anderen Verschlüsselungs-Tools in Verbindung mit MagentaCloud Erfahrungen gesammelt hat, ist herzlich eingeladen, diese hier kurz vorzustellen. Wenn gewünscht ist auch ein Gast-Artikel möglich.

Zero – ein Cyber-SciFi-Krimi

zero

Das Titel-Monstrum zeigt: es ist gar nicht so einfach, das Genre dieses Romans richtig zu beschreiben.

  • Krimi – denn Menschen werden in dem Roman aus ausgesprochen niedrigen Beweggründen getötet. Und alle suchen den Täter, aber niemand kann glauben, wer’s wirklich war.
  • SciFi – denn manches ist dann doch zu abgefahren, als dass es schon in einigen Ecken des Silicon Valley Realität sein könnte. Auch gut ein Jahr nach Erscheinen dudelt immer noch Zukunftsmusik im Hintergrund.
  • Cyber – denn es geht ums Internet, die Macht der Apps, ihre alles kontrollierende Präsenz und die Schwächen unserer Datensicherheit und unseres Datenschutzes.

Man könnte Zero aber auch durchaus einen politischen Roman nennen. Eine Kampfschrift gegen übermächtige Datenkraken und einen Appell an uns, kritisch und wehrhaft zu bleiben.

Dafür spricht unter anderem, dass der Autor eine zwar marketing-technisch voll aufgebrezelte, aber letztlich doch recht engagierte Seite betreibt: www.marcelsberg.de. Hier findet man mehr rund um private Transparenz und möglichen Schutz vor zu viel Intimitätsverlust, als auf manchen offiziellen Seiten zu dem Thema.

Worum es in Zero geht

weiterlesen

Mein Recht im Netz – die komplette Inhaltsübersicht

Im Herbst 2015 ist „Mein Recht im Netz“ bei der Stiftung Warentest erschienen. Der Titel klingt interessant, aber um was es genau darin geht, ist vermutlich gar nicht so leicht zu erkennen.

Auf der entsprechenden Webseite von test.de findet man immerhin eine Kurzbeschreibung zum Inhalt mit einigen weiteren Stichworten sowie der Möglichkeit, einige Seiten des Buchs zu besichtigen. amazon.de und thalia.de haben Teile dieser Informationen übernommen.

Wir werfen hier jetzt einen ausführlichen Blick ins Buch.

weiterlesen

Der Passwort-Reim so kräftig holpert, …

…dass Brute-Force-Angriff sich verstolpert.

Dieser Vers ist ein mögliches Format für wirkliche sichere Passworte, folgt man einer Arbeit von Marjan Ghazvininejad und Kevin Knight von der University of Southern California (USC).

Der Reim ist ein vierfüßiger Jambus (aka „Knittelvers“), in dem sich betonte und unbetonte Silben abwechseln, beginnend mit einer unbetonten. Binär würde man dieses Ab und Auf in jeder Zeile so abbilden: 01010101. (In unserem Beispiel haben wir das Schema etwas stark „verknittelt“: die unbetonte letzte Silbe gehört da eigentlich nicht hin.)

Auf Englisch ist es etwas leichter:

Sophisticated potentates
misrepresenting Emirates

macht so gut wie keinen Sinn mehr, aber ist formal voll korrekt und reimt sich eben.

Und was soll der ganze Poesie-Zirkus? Die Verse sind gute Passworte!

weiterlesen

Phishing Fritz phished frisch

phishingGerade ist eine recht gut gemachte Phishing-Mail im Umlauf. Sie ähnelt recht stark den Mails, die man sofort nach einer Zahlung von PayPal bekommt.

Als Phishing ist die Mail eigentlich nur erkennbar an der fehlenden Anrede, da müsste „Guten Tag, Peter Apel!“ stehen. Ein weiteres Indiz ist noch die Referenznummer. Bei PayPal heißt das Transaktionscode – aber wer merkt sich solche Details?

Verdächtig sollte dem Empfänger die Mail allerdings sofort sein, denn erstens hat er die Bestellung ja gar nicht ausgelöst und zweitens stimmt die Lieferadresse nicht (hier mit grauem Balken).

Letzte Sicherheit, dass es sich um Phishing handelt, gibt dann ein Besuch beim Online Konto, kennt PayPal diese Zahlung? Nein, natürlich nicht.

PayPal ist ein beliebtes Angriffsziel für Spoofer und Phishermen, alles ist immer nur Online und gerade die vielen Sicherheits-Mails stumpfen irgendwie ab, machen den Aufmerksamkeits-Sensor taub. Darum hat das Unternehmen auch selbst dazu eine FAQ-Seite eingestellt.

Unter anderem findet man da eine Adresse, an die man verdächtige Mails schicken kann: spoof@paypal.com. Und auf der Facebook-Seite von PayPal sollen immer aktuelle Phishing-Fälle vorgestellt werden. Der hier gezeigt Fall ist da allerdings noch nicht, das frischeste Beispiel ist vom 21.10.15, also gut 20 Tage alt.

Wie schützt man sich gegen Phishing?

weiterlesen

Koppelungsverbot – Facebook nicht mehr kostenlos?

Data and MoneyEin alter Spruch sagt: Geld allein macht nicht glücklich – es gehören auch Aktien und Grundstücke dazu. Heute müsste man besser ergänzen: es gehören auch Stammdaten und persönliche Merkmale vieler Privatpersonen dazu.

Denn schon längst wird der Wert eines New Economy Unternehmens nicht mehr in den klassischen „Assets“ gemessen, Mitarbeiter, Maschinen, Grundstücke, Patente, Beteiligungen. Immer wichtiger ist der laufende Zugang zu aktuellen Personendaten geworden, je mehr desto besser. Der Grund ist einfach: diese Daten lassen sich hervorragend weiter nutzen wie auch verkaufen. Das nennt man dann ein Koppelungsgeschäft.

Kostenlose Services können durch solche Koppelungen also durchaus erfolgreich und lukrativ sein – wie das Beispiel Facebook sehr anschaulich zeigt.

In einem lesenswerten FAZ-Artikel beleuchtet Rolf Schwartmann die Bedeutung dieser neuen Währung „Daten“ und zeigt einen Weg, wie die digitale Transparenz in rechtlichen Einklang gebracht werden kann mit moderner unternehmerischer Wertschöpfung.

weiterlesen