Artikel

„Das Problem ist mir bereits bekannt“

Sicherheit bei Online-Produkten sind immer so eine Sache: die Absolute gibt es eben so wenig wie im realen Leben. Aber es können viele Maßnahmen ergriffen werden, um Sicherheit zu erhöhen und Gefahren zu verringern.

Kostet halt leider Zeit und Geld.

Der wahrscheinlich häufigste Grund, warum das Thema sowohl bei Unternehmen wie Privatpersonen niedriger priorisiert wird als es sollte. Wenn es dann mal kracht, ist die Überraschung groß – zumindest bei manchen. Andere haben sich eine „kann man eh nichts machen“ Mentalität zugelegt. Ole.

Wie Unternehmen reagieren sollten, wenn Sicherheitsforscher Probleme aufdecken, hat N26 gezeigt: im Gegensatz zu ihren desaströsen Maßnahmen mit Kündigung ohne Ankündigung, was dann zu ihrer Fair-Use-Policy führte, haben sie bei den aufgedeckten Schwachstellen durch den Sicherheitsforscher Vincent Haupert solide reagiert. Wer eine halbe Stunde Zeit hat, kann sich bei C3TV den gesamten Vortrag ansehen. Hierbei wird klar, dass ein paar grundlegende Design-Entscheidungen falsch getroffen wurden und bei der Sicherheit einfach geschlampt wurde. Umso erfreulicher ist es immerhin, dass sie die angesprochenen Schwachstellen zeitnah beheben konnten.

Bei anderen Seiten kann so etwas leider länger dauern. Eine kompromittierte WordPress-Seite zum Beispiel, die neben den eigentlichen Neuigkeiten auch noch Links und Weiterleitungen zu phänomenalen Gewinnspielen beinhaltet. Per E-Mail auf diese Tatsache hingewiesen, kam vom zuständigen Administrator eine freundliche Antwort mit dem Inhalt:

„Vielen Dank für die Info.
Das Problem ist mir bereits bekannt. Leider ist WordPress sehr anfällig für Angriffe.
Die Seite wird in Kürze auf ein anderes CMS umgestellt.“

Ich muss gestehen, hier war ich überrascht. Die Antwort kam vor über einer Woche, der Schadcode befindet sich noch immer aktiv auf der Seite. Wird ja bald umgestellt. Auf ein „sicheres“ CMS. Auf die neue Seite bin ich gespannt.

  • Kommentare deaktiviert für „Das Problem ist mir bereits bekannt“
  • Veröffentlicht in: Datenschutz
Artikel

WordPress mit FIDO U2F absichern – so geht’s (mit Update Oktober 2016)

Yubikey Neo und WordPress

WordPress kann den neu aufkeimenden Standard FIDO U2F. Was das ist? Yubico erklärt das Verfahren anschaulich auf ihrer Webseite ». Um nicht nur den eigenen Google-Account und hoffentlich bald viele weitere Dienste mit dem eigenen Sicherheitsschlüssel absichern zu können, sondern auch WordPress, braucht ihr Folgendes:

Zutatenliste

Durchführung

HILFE! Klappt nicht!

Ja, leider kann das sein. Die größten Stolperfallen:

  • Kein PHP 5.5 oder höher aktiv  (all-inkl setzt z. B. bei der Standard-WordPress-Installation PHP 5.4 ein!)
  • Du hast die PHP-U2F-Library nicht mit in das Plugin kopiert
  • Du verwendest nicht den Chrome Browser (keine Sorge: Mozilla Firefox will bald nachziehen und Microsoft ist ebenfalls in der FIDO-Allianz; die Zukunft wird’s richten)

Und was, wenn ich den sicherheitsschlüssel verliere?

Das U2F Plugin für WordPress ist – abgesehen von der eher komplizierten Installation – eigentlich richtig mächtig: wenn du dein Sicherheitsschlüssel gerade nicht zur Hand hast, kannst du die integrierte Rückfall-Lösung verwenden: du bekommst einen kurzen Schlüssel bestehend aus Buchstaben und Zahlen an die in deinem WordPress-Account hinterlegte E-Mail Adresse zugesendet. E-Mail öffnen, Code rauskopieren, bei der 2FA-Anmeldung eingeben und WordPress normal nutzen wie zuvor!

2FA auch für Benutzer ohne Sicherheitsschlüssel

Einen weiteren Vor- oder auch Nachteil (Bequemlichkeit!) bringt das U2F-Plugin dadurch ebenfalls mit: alle Benutzer, egal ob mit oder ohne registrierten Sicherheitsschlüssel, benötigen bei aktivem Plugin eine Zwei-Faktor-Authentifizierung. Für die ohne Schlüssel heißt das: Mails checken. Eine einfache aber effektive Möglichkeit, unerlaubte Logins in den eigenen WordPress Account abzuwehren.


Update 30. Oktober 2016: Plugin Two-Factor

Ein Plugin, das es eigentlich schon vor geraumer Zeit (zu Recht) in den WordPress-Core schaffen sollte, hört auf den schlichten aber eingängigen Namen Two-Factor.

Das 2FA-Plugin wird noch als dev-Version ausgegeben, funktioniert aber bei meinen WordPress-Installationen absolut reibungslos und ist richtig fein konzipiert: statt nur einen zweiten Faktor einzurichten, kann jeder Nutzer nach persönlicher Vorliebe seine eine oder mehrere 2FA-Lösung verwenden. Sinnvollerweise nisten sich die Möglichkeiten zur Einrichtung da ein, wo sie hingehören: in das persönliche Profil unter das Passwort. Das Plugin erlaubt auch – vorausgesetzt, es wird entsprechend eingestellt – den einfachen Wechsel des zweiten Faktors, sollte der Yubikey grad nicht am Mann sein.

Fazit aus mehreren Wochen Einsatz: so gehört ein Sicherheitsplugin aus Usability-Sicht! Einfach zu bedienen, unaufdringlich und sauber. Bitte weiter so!

Artikel

Erweiterter Passwortschutz: Datenschutz Teil II

Im ersten Teil der Serie ging es darum, wie andere Seiten beim einfachen Surfen Informationen über uns und unsere Gewohnheiten sammeln. Hier geht es um etwas viel tiefgreiferenderes: die eigene Online-Identität. Denn die ist voll mit Daten: den persönlichen E-Mails, vertraulichen Facebook-Nachrichten, dem eigenen Adressbuch, teils sogar den persönlichen Suchverlauf bei Google. Alles Inhalte, die fremde Personen nun wahrlich nichts angehen.

Es ist so schön einfach: du hast ein langes, (vermeintlich) sicheres Passwort. Mit Zahlen. Und Großbuchstaben. Und Sonderzeichen! Und du kannst es dir merken. Denn du brauchst es überall: Bei Facebook. Bei Twitter. Beim Bezahlen via PayPal. Und natürlich für deinen Google Account. Und eine eigene Website hast du inzwischen auch. Da nimmst du es natürlich auch her. Ist so ja so schön lang und sicher.

Und ich sage: am Arsch. Du weißt nicht, wie der billig programmierte Dienst von nebenan dein super langes und sicheres Passwort speichert. Du gibst es bei Online-Diensten ein, die ihren Login nicht über TLS (http:// statt https://) verschlüsseln und somit kann jeder, der sich im gleichen Netzwerk befindet, deine Anmeldeinformationen mitlesen. Und du weißt auch nicht, ob dir beim letzten Eintippen nicht vielleicht doch jemand ganz genau auf die Finger geschaut hat. Oder einen Keylogger auf seinem PC mitlaufen lässt, auf dem du dich „mal eben kurz“ anmeldest.

Die schlechte Nachricht: du solltest dir unbedingt einen Passwort-Tresor zulegen. Und für jeden Dienst im Web ein eigenes Passwort verwenden. Und ja, das ist umständlicher als dein einzelnes Standard-Passwort. Unbequemer. Aufwändiger. Aber es schützt vor Viagra-Werbung auf der Seite und einem plötzlich geleertem Bankkonto.

2FA und U2F

Die gute Nachricht: du kannst dein super Passwort behalten. Zumindest bei Diensten, die dir eine Zwei-Faktor-Authentifizierung anbieten. 2FA kurz erklärt: du hast einen Benutzernamen und ein Passwort, brauchst aber neben diesen Authentifizierungsdaten noch eine zweite Instanz, die dich autorisiert. Das kann ein PIN-Code sein, der an dein Handy geschickt wird, das kann eine TAN sein, wie man es vom Online-Banking kennt. Es kann aber auch ein Sicherheitsschlüssel sein. Letzteres ist Hardware und kostet Geld. In der Top-Ausstattung und mit allen fancy Funktionen um die 50-60 Euro. Einmalig. Für einige Dienste ist er bereits nutzbar und viele weitere Folgen hoffentlich in Zukunft. Denn es gibt endlich einen Standard, auf den sich die großen Unternehmen im Markt verständigt haben: Intel, Lenovo, Microsoft, PayPal, RSA, Visa, Samsung, um nur einige wenige zu nennen.

Richtig Schwung in die Sache hat aber der Online-Gigant Google gebracht: dieser bietet seit Mai 2015 die sogenannte U2F (Universal 2. Factor) Authentifizierung an, um den eigenen Google-Account abzusichern. Kein Warten auf eine Bestätigungs-SMS inklusive Abtippen, sondern einloggen, Sicherheitsschlüssel schnell in den USB-Port, einmal drauf tippen, fertig.

Also selbst wenn jemand eure Zugangsdaten rausfindet: der unerwünschte Eindringling benötigt dann immer noch die zweite Authentifizierungs-Stufe – und die hängt im Idealfall an eurem Schlüsselbund und somit nicht in Reichweite von dem Übeltäter.

Schwachstelle: aktuelle Verbreitung

Der Standard ist geschaffen, aber noch längst nicht etabliert. PayPal lässt leider noch auf sich warten (bieten aber bereits 2FA via SMS und ihren proprietären TOTP-Schlüssel), Microsoft will FIDO 2.0 in Windows 10 integrieren und bei den hiesigen Banken sieht es noch richtig mau aus. Den eigenen Google-Account aber mit einer Zwei-Faktor-Authentifizierung abzusichern ist bei der Vielzahl an Diensten goldwert. Und wer WordPress nutzt, sollte sich ebenfalls mal mit dem genialen Plugin 2FA beschäftigen.

Weiterführende Informationen

  • Kommentare deaktiviert für Erweiterter Passwortschutz: Datenschutz Teil II
  • Veröffentlicht in: Datenschutz
Artikel

Keine neue Vorratsdatenspeicherung!

Kurz notiert: eigentlich wollte ich einen schönen Artikel zum Thema Vorratsdatenspeicherung (kurz VDS) veröffentlichen, aber mit diesem Kommentar von Judith Horchert auf Spiegel Online ist eigentlich alles gesagt: » „Lassen Sie sich nicht für dumm abspeichern!“

Also bitte liebe Politik: einfach mal in die Richtung nichts tun und die eigene Zeit und Aufmerksamkeit den viel wichtigeren Themen widmen. Danke.

P.S.: eigentlich sollte das Ganze gar nicht Vorratsdatenspeicherung heißen – „Kommunikations-Überwachung“ trifft es doch viel besser. Versehen mit dem Spruch: „Wir speichern, wann Ihr mit wem wo und wie kommuniziert. Immer.“ Na das klingt doch verlockend.

P.P.S: » Kopfschütteln… (unbedingt das Protokoll lesen. Macht Angst.)

  • Kommentare deaktiviert für Keine neue Vorratsdatenspeicherung!
  • Veröffentlicht in: Datenschutz, Grant
Artikel

Seite ist jetzt (fast) Google-frei: Datenschutz Teil I

Noch ist nicht viel los auf diesem Webauftritt – ändert sich bestimmt mal, wenn ich groß bin. Doch bis dahin kommen trotzdem schon paar Besucher – das erfuhr ich bisher immer aus Google Analytics. Ihr wisst schon, dieses schöne Stasi-Modul vom Internet-Riesen. Ich will an dieser Stelle den Laden aber gar nicht verteufeln – was Google macht, ist für ein gewinnorientiertes Unternehmen nur normal und konsequent. Aber mit voller Breitseite muss man dieses Geschäft und diese Politik ja nicht unbedingt unterstützen – schon gar nicht, wenn ich persönlich nicht auf Googles Dienste wie AdWords, die tiefgehende Analytics-Funktionen oder die Google-Webfonts angewiesen bin.

Nun werde ich auch in Zukunft wissen, dass sich ein paar Besucher auf dieser Seite tummeln – Open Web Analytics wird es mir verraten. Der Dienst ist mit Sicherheit nicht so schön wie GA, jedoch bietet er einen großen Vorteil: die erhobenen Informationen werden selbst gehostet und wandern nicht zu Google in die USA. Und mich interessiert hier eigentlich eh nur, ob überhaupt jemand vorbei schaut.

Mut zu mehr Datenschutz

Was war nun der Grund und was wurde gemacht? Vor der Umstellung wurden neben den lokalen Abfragen auf sebastian-eggersberger.de auch weitere durchgeführt: zu Google Analytics, Google Webfonts und zu Youtube. Bei vielen anderen privaten wie kommerziellen Seiten horcht natürlich noch der blaue Riese Facebook mit dem Social Plugin mit; und bei den etablierten Nachrichtenseiten im deutschsprachigen Web wird zwar gerne auf die Internetriesen und ihre Gier nach persönlichen Daten eingedroschen – aber zeitgleich laufen 20 Tracker von den verschiedensten kommerziellen Diensten ohne großen Hinweis mit (natürlich, in den Datenschutzbestimmungen ist es vermutlich aufgeführt – wird auch bestimmt oft aufgerufen): Beispiel Zeit Online, Spiegel Online oder Focus Online (aber auch alle anderen sind hier nicht besser).

Die Abfragen von fonts.gstatic.com, Youtube und Co. auf meiner Seite hatten zur Folge, dass Google hier sämtliche Besucher – sofern diese die Abrufe nicht blockieren (vgl. hierzu Link- und Plugin-Empfehlung am Ende des Beitrags) – theoretisch tracken könnte. Wie sich das auf anderen Seiten für jeden selbst auswirkt, kann man mit dem Firefox-Addon Lightbeam für sich persönlich herausfinden (natürlich vorausgesetzt, er nutzt Firefox). Selbst nach einem kurzen Surfen zeigen sich schnell zwei große Zentren, die mit anderen Diensten verknüpft sind: Google und Facebook.

Screenshot Lightbeam

Das Add-On Lightbeam zeigt die Vernetzungen der verschiedenen Websites und Dienste grafisch auf

 

Google erreicht dies durch die Services Webfont, Google+, Analytics, Youtube und weitere; Facebook schafft das Tracking durch die direkte Einbindung von Like-Buttons und Fanboxen. Wie sich diese Informations-Sammlung auswirkt, kann ein jeder bei Google auch selbst nachschlagen: Einschätzung von Google zu dem Nutzer

Google Webfonts konnte ich dank der Anleitung auf coder-welten.com selbst abändern. Statt also die zwei Fonts Crimson Text und Raleway von Google zu beziehen (und somit Informationen über den Seitenabruf weiterzugeben), laden die Schriftarten nun von dem lokalen Webspace.

Nicht verteufeln, aber informieren

Grundsätzlich gilt es an dieser Stelle festzuhalten: es ist nicht das Böse per se, Werbeanbieter, andere Webdienste und Cloud-Lösungen einzusetzen – nur jede Seite sollte es bewusst und wissentlich tun. Auch eine personalisierte Werbung kann in vielen Fällen angenehmer sein als wenn mir irgendein Mist eingeblendet wird, der mich überhaupt nicht interessiert.
Aber eine solide Aufklärung darüber, was wie wo eingesetzt wird, herrscht nur in den wenigsten Fällen, wobei gerade bei diesem Thema eine Nachvollziehbarkeit über die Erhebung und Verfolgung von Tracking-Daten so wichtig wäre.

Ghostery Info - BeispielDamit wenigstens auf Seite der Otto-Normal-Verbraucher ein wenig direkte Aufklärung herrscht, gibt es das grandiose Tool Ghostery für alle gängigen moderne Browser. Dieses kleine Add-On informiert dezent an der Seite, welche zusätzlichen Tracking-Maßnahmen auf einer Webseite neben den einfachen Cookies laufen – und können auf Knopfdruck auch deaktiviert werden.

Natürlich gibt es aber eine ganze Reihe klick- und lesenswerter Links, die ich hier aufliste und kurz beschreibe:

Add-Ons und Opt-outs für Browser

  • Ghostery – das Datenschutz-Tool hilft, das eigene Surf-Verhalten zu verstehen und die Datenerhebung von Dritten zu kontrollieren
  • Lightbeam – Visualisierung der Vernetzung von Tracking-Tools, nur für den Firefox-Browser
  • Disconnect.me – Open Source und eine Mischung aus Ghostery und Lightbeam
  • Präferenzmanagement – Opt-Outs für personalisierte Online-Werbung
  • Digital Advertising Alliance – Opt-Outs für amerikanische Online-Werbedienste

Lesenswertes zu dem Thema

So, das war es jetzt auch schon fast wieder. Und warum heißt der Beitrag „Seite ist jetzt (fast) Google-frei“? Weil Google Font im WordPress-Backend noch aktiv ist. Betrifft also nur mich, die Seite ist aber halt trotzdem noch mit einer dünnen Nabelschnur mit Google verbunden. Lesenswerter Beitrag (und damit die letzte Empfehlung in dem Artikel) auf xwolf.de. Werde ich auch noch kappen. Einfach weil ich es kann ;)

  • Kommentare deaktiviert für Seite ist jetzt (fast) Google-frei: Datenschutz Teil I
  • Veröffentlicht in: Arbeit, Datenschutz