SSL / Verschlüsselung (Forum für Naturfotografen)

SSL / Verschlüsselung

Angelegt 2013-10-27 durch Uwe Ohse.

Es gibt tatsächlich eine solche Minderheit. Vielleicht ist sie nur zwei oder drei Personen groß, von denen eine hier auch kaum aktiv ist, aber immerhin. Alle nicht verschlüsselten Verbindungen (http://naturfotografen-forum.de) werden auf Verschlüsselte umgebogen (https://naturfotografen-forum.de/). Die Minderheit derer, die es interessiert, findet auf der Login-Seite und Zugang / Verwaltung / Informationen / Debugging die Information, welches Verschlüsselungsverfahren verwendet wird. Ich erlaube mir an dieser Stelle den hier völlig nebensächlichen Hinweis, dass IE 7 etwas für Masochisten ist. 8 ist wesentlich fixer, und 9 oder gar 10 noch mehr… wer ein Problem mit der Geschwindigkeit des Forums mit alten IEs hat, sollte mal über ein Update nachdenken. Das Forum verwendet nur noch halbwegs aktuelle Verschlüsselungs-Verfahren und Protokolle. An dieser Stelle verabschieden wir uns endgültig von Internet Explorer 6. Das Forum versucht, Mails verschlüsselt zuzustellen und zu erhalten. 75% der ausgehenden Mails können bis zum nächsten Mailserver verschlüsselt übertragen werden. Ist besser als nichts, aber… na ja, optimal ist es nicht. Bei den einkommenden Mails sieht's anders aus, aber das liegt daran, dass nur ein geringer Teil der Spammer Wert auf Verschlüsselung legt, und rund 99,5 Prozent der Mails, die hier eingehen wollen, werden als Spam aussortiert. Aus der geringen Zahl tatsächlich legitimer eingehender Mails eine Statistik zu machen hat keinen Sinn. Das geschieht natürlich nur, damit unsere Freunde bei den Nachrichtendiensten Gelegenheit zur Übung haben. Denn praktisch gesehen ist es nutzlos, weil die großen Email-Provider eure Daten und Geheimnisse sowieso weiter geben, und verschlüsselte Übertragungen, die dieses Jahr abgefangen werden (und sie werden, gebt euch da keiner Illusion hin) in ein paar Jahren entschlüsselt werden werden - falls ihr interessant genug seid, jedenfalls. Ihr erwartet doch nicht, daß irgendein Unternehmen, das in den USA oder Großbritannien Geschäfte machen will, den Schutz eurer Daten für wertvoller hält als das Geld der NSA, oder? Eben. Eine größere Gefahr als irgendwelche Schnüffler im Netz stellen sicherlich Damen und Herren dar, die euch bei einer persönlichen Begegnung anbieten, euch entweder die Knochen zu brechen oder eure Passwörter und Schlüssel in Verwahrung zunehmen. Okay, wir leben in zivilisierten Ländern… wie wäre es statt dessen mit Beugehaft (RIPA) oder Beschlagnahmung an der britischen Grenze? Richtervorbehalt? Das war vor Mollath ein stärkeres Argument. Aber dass es größere Gefahren gibt, heißt ja nicht, dass man die Kleineren ignorieren darf. Selbst wenn ihr für Geheimdienste nicht interessant genug seid, solltet ihr trotzdem mal darüber nachdenken, ob Geheimdienste die Richtigen sind, eure Daten aufzubewahren. Nicht etwa wegen LOVEINT (obwohl das schon Grund genug zur Unzufriedenheit sein sollte), sondern wegen dieser Fragen: Will man einer Organisation oder einem Verbund von Organisationen alle () Daten anvertrauen? Könnt ihr euch überhaupt vorstellen, was passiert, wenn diese Daten geballt lecken ()? Nein, das könnt ihr nicht. Der kleinste Teil des Problems ist, dass eure Adressen und die zuletzt gekauften Objektive und Kameras an die Herren von der Häuser ausräumenden Fraktion verkauft werden - zusammen mit dem wahrscheinlichen nächsten Urlaubszeitraum. Schlimmer wäre es, wenn peinliche Partybilder (ob eure oder die eurer Nachkommen ist hier egal) beim Arbeitgeber, Facebook oder in der Zeitung landen. Noch schlimmer wäre es, wenn ein böswilliges Individuum über Löcher in der EDV unserer ach so professionellen Geheimdienste (*) diese Partybilder durch Kinderpornos ersetzte. Die Möglichkeiten sind endlos. Ja, alle - es geht längst nicht mehr um Verbindungsdaten oder auch nur sämtliche Daten, die über das Netz gehen, sondern eben auch um die Daten auf allen erreichbaren Computern, denn Geheimdienste und Polizei planen nicht nur den Einsatz des sogenannten Staatstrojaners und ähnlicher Schadsoftware, sondern haben mindestens einen Kooperationspartner, der Systeme hackt. Im Übrigen ist das Internet ja amerikanisch und deshalb darf die NSA sich auch eine Kopie machen. Unrechtsbewusstsein? Eher die Arroganz der Macht. Geballt, aber nicht unbedingt wie in "alle". Möchte jemand wetten, wie viele Leute vor Snowden schon Festplattenweise Geheimdaten aus den NSA-Rechenzentren getragen haben? Solche mit Konto/Kreditkartennummern darauf? Warum sollte das nicht so sein? Weil in den Geheimdiensten nur moralisch einwandfreie Menschen arbeiten? * Dieselben Geheimdienste, die beim NSU in jede Richtung geguckt haben, nur nicht in die Richtige. Die Geheimdienste, die nicht mal eine Aktenauskunft in unter 60 Tagen schaffen. Die Geheimdienste des Staates, bei dem ausnahmlos jedes große EDV-Projekt der letzten 10 oder 15 Jahre in einem Ausmaß verkackt worden ist, das bis dahin unglaublich war. Wenn man das will, will man das auch mit Organisationen, die ohne jede effektive Kontrolle arbeiten, und deren ganzes Wesen darauf ausgelegt ist, unkontrollierbar zu sein? Will man das auch mit Solchen, die an der Regierung und parlamentarischen Kontrolle vorbei mit anderen Nachrichtendiensten Abkommen schließen? Vielleicht sogar Abkommen, deren Inhalt auch vor den Kontrollgremien geheim gehalten wird? Selbst wenn man das alles will oder hinzunehmen bereit ist: Wie kann es sein, daß diese Daten in den Klauen der Kreise sind, die sie nutzen können, um ihre eigene parlamentarische Kontrollinstanz zu erpressen? Ihr meint, das täten die edlen Damen und Herren aus den Drei-Buchstaben-Organisationen BKA, BfV, BND und MAD niemals? Hm. Okay, das kann ich verstehen. So schläft man nachts wenigstens gut - bis es zu spät ist. Halten wir also fest, unsere Geheimdienste halten sich an geltendes Recht, unsere Polizei auch und das Bundesinnenministerium würde niemals lügen oder gar Dokumente fälschen. Glaubt ihr, eure Daten wären nicht betroffen? Weil ihr Deutsche seid? Ein Zehntel unserer angemeldeten Benutzer der letzten 20 Tage kommt aus der Schweiz oder Österreich. Möchte denen jemand erklären, warum sie verdachtslos beschnüffelt werden? (ich versuch's gar nicht erst). Apropos Kompetenz der Sicherheitsdienste: Wie kann es eigentlich sein, dass unsere Sicherheitsdienste über 10 Jahre nicht mitbekommen, dass Angela Merkels Handy abgehört wird? Egal wie ich es drehe und wende, und egal wie viel sträfliche Inkompetenz ich Angela Neuland zu unterstellen bereit bin, es bleibt trotzdem eine Bankrotterklärung für die Spionageabwehr. Ok, auch die Deutschen wissen eigentlich, dass sie beschnüffelt werden, verdachtslos beschnüffelt werden, von ihren eigenen Geheimdiensten und voraussichtlich etlichen Anderen dazu. Wir wissen das seit drei Monaten und nichts ist passiert… Nun kommt endlich Bewegung in die Sache - weil das Parteihandy der Kanzlerin abgehört worden ist. Das macht man unter Freunden ja auch nicht. Die Bevölkerung und die Wirtschaft auszuspionieren ging aber in Ordnung, ja, Frau Merkel? Herr Pofalla? Wenn man das alles nicht will… wird es nicht Zeit, diese Organisationen zu reformieren, damit sie überhaupt kontrollierbar werden? Und sollte man dann nicht gleich die Frage nach dem Sinn stellen? Nein, nicht nur der Geheimdienste. Auch, sicher, aber nicht nur. Wir sollten auch über den Sinn des Bundesamts für Sicherheit in der Informationstechnik nachdenken: Für die Geheimdienste ist nun Finfisher der Kandidat für den neuen Staatstrojaner - Finfisher, entwickelt von einer britisch-deutschen Firma, zu mindestens 85% im britischem Besitz. Für wen arbeiten die wirklich? Und der deutsche Staat läßt nun CSC Deutschland Solutions GmbH "die Prüfung des Quellcodes auf Übereinstimmung mit den Vorgaben der SLB und grundsätzlicher Aspekte der IT-Sicherheit" durchführen (https://netzpolitik.org/wp-upload/BMI-Bericht-Sachstand-CC-TK...pdf), weil der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und das Bundesamt für Sicherheit in der Informationstechnik das nach eigenem Bekunden nicht leisten können. Lasstt euch das auf der Zunge zergehen: Die zuständigen deutschen Behörden können die Sicherheit von Finfisher und die Einhaltung der Vorgaben nicht prüfen. Bitte? Wofür sind die eigentlich überhaupt gut? Als kleinen Bonus: CSC Deutschland Solutions GmbH ist eine Tochter der Computer Sciences Corporation, einem amerikanischen multinationalen Konzern, der schon für die CIA Gefangene nach Guantanamo geflogen hat. Deren Selbstbeschreibung klingt nicht wie die eines Unternehmens, der ich einen Sicherheitsaudit anvertrauen würde, sondern wie die eines Unternehmens, wegen dem ich einen Audit machen würde! Ist euch auch aufgefallen, dass deutsche Behörden ein CIA-Partnerunternehmen damit beauftragen, die Sicherheit des Staatstrojaners zu prüfen, den ein im Wesentlichen britisches Unternehmen liefert? Gut. Ist das jetzt extreme Inkompetenz oder Satire? Aber nein, statt dessen wird ein IT-Sicherheitsgesetz angeregt, das Providern von Internetseiten eine Kooperationspflicht mit den Sicherheitsbehörden auferlegt, wenn sie Opfer von Späh-Angriffen im Internet geworden sind? (Hinweis: Seiten sind typischerweise öffentlich sichtbar. Worum mag es da also wirklich gehen?) Ich bin nicht gegen eine Meldepflicht - die ist in der Tat lange überfällig. Und natürlich stellt man eine Strafanzeige. Aber mir erschliesst sich nicht, warum die Unternehmen mit den Sicherheitsbehörden kooperieren sollen, nachdem die Sache passiert ist. Was sollen die Behörden tun? Sollen die Behörden nun etwa die IT-Sicherheit des Unternehmens auf Vordermann bringen? Vielleicht noch kostenlos? Was soll das? Es gibt so viel Wichtiges, was nach einem Hack getan werden muss: Loch stopfen (und gleich die Nächsten mit - ein Sicherheitsloch ist selten alleine, das sind gesellige Tierchen, in der realen Welt jedenfalls ). Schadensumfang feststellen. Betroffene informieren. Banken/Kreditkartenunternehmen informieren. Strafanzeige stellen. In der realen Welt wird auf Schritte 3 bis 5 aus verschiedenen Gründen gerne verzichtet: Ruf, Schadensersatz, und oftmals auch, dass niemand weiss, wie kritisch ein Loch eigentlich gewesen ist. Ich sehe nicht, was die Kooperation mit den Sicherheitsbehörden nun verbessern könnte. Und dass die Mails "also direkt von Köln nach Düsseldorf [...] und nicht erst über einen Server in den USA" gehen sollen, ist eine unsinnige Forderung desselben Experten, der genau wissen muss, dass die meisten innerdeutschen Verbindungen über einige wenige Knoten in Deutschland gehen, auf die USA direkt oder indirekt längst Zugriff haben… Apropos "Innerdeutsche Email nicht über das Ausland schicken": Das Problem würde sich sofort lösen, wenn die Telekom endlich bereit wäre, in Deutschland mit anderen Providern Peerings einzugehen. So lange allerdings die Telekom darauf beharrt, nur mit etwa gleich grossen Providern Peering zu machen, und von allen Anderen Geld haben zu wollen (für beidseitigen Datenaustausch), so lange wird innerdeutscher Datenverkehr über das Ausland laufen, einfach weil es günstiger ist. Und es ist auch völlig egal, ob irgendwelche Sonderstricke für Email gemacht werden oder nicht. Ich weiss wirklich nicht, warum euer Online-Banking durch die USA laufen sollte… Hinweis: Ich will jetzt nicht fordern, die Telekom zu zerschlagen, aber dass sie ihre übergroße Marktmacht keineswegs zum Vorteil der Kunden einsetzt, sollte klar sein. Das gilt übrigens auch für andere Unternehmen mit übergroßer Marktmacht - ich denke da besonders an jene Suchmaschine mit dem Hauptgeschäft Werbung, die ebenfalls der Privatsphäre keinen großen Wert beimisst. Apropos Mail: Wisst ihr, wenn ihr Google, GMX oder ... eure Emails aufbewahren lasst, ist das so, als würdet ihr Kopien eurer altmodischen Post (diese Dinger mit dem Umschlag) offen in Ordnern in einem Lagerhaus lagern, zu dem rund 10000 Leute Zugang haben. Das wäre schön doof, nicht? Auf so eine dämliche Idee kämet ihr nie, richtig? Warum in aller Welt macht ihr genau das mit elektronischer Post? Ihr zahlt nichts, wirklich gar nichts für eure Postfächer bei den üblichen Massenanbietern. Aber nichts auf der Welt ist kostenlos, irgendjemand muss den Preis bezahlen. Möglicherweise deckt die Werbung die Kosten (obwohl ich mir das nicht vorstellen kann) , aber meint ihr, dass das bisschen Geld reicht, um auch noch eine kleine Summe in Sicherheit zu investieren? Einen Netzwerkdienst gegen Hacks von aussen zu sichern ist schon aufwändig, aber ihn gegen Untreue von Mitarbeitern zu sichern ist… so gut wie aussichtslos, es sei denn, man nimmt richtig Geld in die Hand (ja, ich habe Ahnung vom Thema, danke der Nachfrage). Und das passt nicht zu kostenloser Speicherung von Mails. Was ich damit sagen will: seid vorsichtiger. Es gibt wirklich wenige gute Gründe, Mails länger beim Emailanbieter zu lassen als unbedingt notwendig, und Bequemlichkeit und Blödheit zählen nicht dazu. Das geschieht mit eurer Privatsphäre. Hier geht endlich wieder zurück zum Forum Ähnliches kann man übrigens auch über die Speicherung von PMs auf dem Forumsserver sagen. Sie werden zwar mit Sichtschutz gespeichert, so dass selbst die zwei Leute, die legal auf die Datenbank zugreifen können, den Inhalt nicht ohne etwas Aufwand sehen können, aber es gibt keine Möglichkeit, den paar Leuten mit vollem Zugriff eben den Zugriff auf beliebige PMs zu verwehren, wenn sie den denn wirklich wollten (nein, keine. Und irgendjemand braucht volle Zugriffsrechte - typischerweise sind das die Leute, die eben im Notfall alles flicken können müssen). Eure intimsten Geheimnisse, Paypal-Passwörter und so weiter gehören nicht auf den Forumsrechner. Schon alleine, weil sie eigentlich überhaupt nicht ins Netz gehören. Nur so am Rande bemerkt… Apropos PMS: Um euch das Löschen zu erleichtern, gibt es auf der PM-Übersichtsseite jetzt auch Möglichkeiten, mehrere Nachrichten zu markieren (Checkboxen) und über einen Button zu löschen ("Alle markierten entfernen"). Außerdem könnt ihr euch nun alle PMs mit demselben Titel anzeigen lassen. Und dazu gibt es nun einen Button "Alle Sichtbaren markieren". Das sollte euch, zusammengenommen, das Entfernen alter PMs erleichtern. Gruß, Uwe (3/10)
Anhänge	anhang-kralle.jpg (56 KB)

Es gibt tatsächlich eine solche Minderheit. Vielleicht ist sie nur zwei oder drei Personen groß, von denen eine hier auch kaum aktiv ist, aber immerhin.

Alle nicht verschlüsselten Verbindungen (http://naturfotografen-forum.de) werden auf Verschlüsselte umgebogen (https://naturfotografen-forum.de/).

Die Minderheit derer, die es interessiert, findet auf der Login-Seite und
Zugang / Verwaltung / Informationen / Debugging die Information, welches Verschlüsselungsverfahren
verwendet wird.
Ich erlaube mir an dieser Stelle den hier völlig nebensächlichen Hinweis, dass IE 7 etwas für Masochisten ist. 8 ist wesentlich fixer, und 9 oder gar 10 noch mehr… wer ein Problem mit der Geschwindigkeit des Forums mit alten IEs hat, sollte mal über ein Update nachdenken.

Das Forum verwendet nur noch halbwegs aktuelle Verschlüsselungs-Verfahren und Protokolle. An dieser Stelle verabschieden wir uns endgültig von Internet Explorer 6.
Das Forum versucht, Mails verschlüsselt zuzustellen und zu erhalten.

75% der ausgehenden Mails können bis zum nächsten Mailserver verschlüsselt übertragen werden. Ist besser als nichts, aber… na ja, optimal ist es nicht.

Bei den einkommenden Mails sieht's anders aus, aber das liegt daran, dass nur ein geringer Teil der Spammer Wert auf Verschlüsselung legt, und rund 99,5 Prozent der Mails, die hier eingehen wollen, werden als Spam aussortiert. Aus der geringen Zahl tatsächlich legitimer eingehender Mails eine Statistik zu machen hat keinen Sinn.

Das geschieht natürlich nur, damit unsere Freunde bei den Nachrichtendiensten Gelegenheit zur Übung haben.

Denn praktisch gesehen ist es nutzlos, weil die großen Email-Provider eure Daten und Geheimnisse sowieso weiter geben, und verschlüsselte Übertragungen, die dieses Jahr abgefangen werden (und sie werden, gebt euch da keiner Illusion hin) in ein paar Jahren entschlüsselt werden werden - falls ihr interessant genug seid, jedenfalls.

Ihr erwartet doch nicht, daß irgendein Unternehmen, das in den USA oder Großbritannien Geschäfte machen will, den Schutz eurer Daten für wertvoller hält als das Geld der NSA, oder?

Eben.

Eine größere Gefahr als irgendwelche Schnüffler im Netz stellen sicherlich Damen und Herren dar, die euch bei einer persönlichen Begegnung anbieten, euch entweder die Knochen zu brechen oder eure Passwörter und Schlüssel in Verwahrung zunehmen. Okay, wir leben in zivilisierten Ländern… wie wäre es statt dessen mit Beugehaft (RIPA) oder Beschlagnahmung an der britischen Grenze?

Richtervorbehalt? Das war vor Mollath ein stärkeres Argument.

Aber dass es größere Gefahren gibt, heißt ja nicht, dass man die Kleineren ignorieren darf.

Selbst wenn ihr für Geheimdienste nicht interessant genug seid, solltet ihr trotzdem mal darüber nachdenken, ob Geheimdienste die Richtigen sind, eure Daten aufzubewahren.
Nicht etwa wegen LOVEINT (obwohl das schon Grund genug zur Unzufriedenheit sein sollte), sondern wegen dieser Fragen:

Will man einer Organisation oder einem Verbund von Organisationen alle (*) Daten anvertrauen?

Könnt ihr euch überhaupt vorstellen, was passiert, wenn diese Daten geballt lecken (**)? Nein, das könnt ihr nicht.
- Der kleinste Teil des Problems ist, dass eure Adressen und die zuletzt gekauften Objektive und Kameras an die Herren von der Häuser ausräumenden Fraktion verkauft werden - zusammen mit dem wahrscheinlichen nächsten Urlaubszeitraum.
- Schlimmer wäre es, wenn peinliche Partybilder (ob eure oder die eurer Nachkommen ist hier egal) beim Arbeitgeber, Facebook oder in der Zeitung landen.
- Noch schlimmer wäre es, wenn ein böswilliges Individuum über Löcher in der EDV unserer ach so professionellen Geheimdienste (***) diese Partybilder durch Kinderpornos ersetzte.
Die Möglichkeiten sind endlos.

*
Ja, alle - es geht längst nicht mehr um Verbindungsdaten oder auch nur sämtliche Daten, die über das Netz gehen, sondern eben auch um die Daten auf allen erreichbaren Computern, denn Geheimdienste und Polizei planen nicht nur den Einsatz des sogenannten Staatstrojaners und ähnlicher Schadsoftware, sondern haben mindestens einen Kooperationspartner, der Systeme hackt.
Im Übrigen ist das Internet ja amerikanisch und deshalb darf die NSA sich auch eine Kopie machen. Unrechtsbewusstsein? Eher die Arroganz der Macht.

**
Geballt, aber nicht unbedingt wie in "alle". Möchte jemand wetten, wie viele Leute vor Snowden schon Festplattenweise Geheimdaten aus den NSA-Rechenzentren getragen haben? Solche mit Konto/Kreditkartennummern darauf? Warum sollte das nicht so sein? Weil in den Geheimdiensten nur moralisch einwandfreie Menschen arbeiten?

***
Dieselben Geheimdienste, die beim NSU in jede Richtung geguckt haben, nur nicht in die Richtige.
Die Geheimdienste, die nicht mal eine Aktenauskunft in unter 60 Tagen schaffen. Die Geheimdienste des Staates, bei dem ausnahmlos jedes große EDV-Projekt der letzten 10 oder 15 Jahre in einem Ausmaß verkackt worden ist, das bis dahin unglaublich war.
Wenn man das will, will man das auch mit Organisationen,
die ohne jede effektive Kontrolle
arbeiten,
und deren ganzes Wesen darauf ausgelegt ist, unkontrollierbar zu sein?
Will man das auch mit Solchen, die an der Regierung und parlamentarischen Kontrolle vorbei
mit anderen Nachrichtendiensten Abkommen schließen? Vielleicht sogar Abkommen, deren Inhalt auch vor den Kontrollgremien geheim gehalten wird?
Selbst wenn man das alles will oder hinzunehmen bereit ist: Wie kann es sein, daß diese Daten in den Klauen der Kreise sind, die sie nutzen können, um ihre eigene parlamentarische Kontrollinstanz zu erpressen?

Ihr meint, das täten die edlen Damen und Herren aus den Drei-Buchstaben-Organisationen BKA, BfV, BND und MAD niemals? Hm.

Okay, das kann ich verstehen. So schläft man nachts wenigstens gut - bis es zu spät ist. Halten wir also fest,
unsere Geheimdienste halten sich an geltendes Recht, unsere Polizei auch und das Bundesinnenministerium würde niemals lügen oder gar Dokumente fälschen.
Glaubt ihr, eure Daten wären nicht betroffen? Weil ihr Deutsche seid?
Ein Zehntel unserer angemeldeten Benutzer der letzten 20 Tage kommt aus der Schweiz oder Österreich. Möchte denen jemand erklären, warum sie verdachtslos beschnüffelt werden? (ich versuch's gar nicht erst).
Apropos Kompetenz der Sicherheitsdienste: Wie kann es eigentlich sein, dass unsere Sicherheitsdienste über 10 Jahre nicht mitbekommen, dass Angela Merkels Handy abgehört wird?

Egal wie ich es drehe und wende, und egal wie viel sträfliche Inkompetenz ich Angela Neuland zu unterstellen bereit bin, es bleibt trotzdem eine Bankrotterklärung für die Spionageabwehr.

Ok, auch die Deutschen wissen eigentlich, dass sie beschnüffelt werden, verdachtslos beschnüffelt werden, von ihren eigenen Geheimdiensten und voraussichtlich etlichen Anderen dazu. Wir wissen das seit drei Monaten und nichts ist passiert…

Nun kommt endlich Bewegung in die Sache - weil das Parteihandy der Kanzlerin abgehört worden ist. Das macht man unter Freunden ja auch nicht.

Die Bevölkerung und die Wirtschaft auszuspionieren ging aber in Ordnung, ja, Frau Merkel? Herr Pofalla?

Wenn man das alles nicht will… wird es nicht Zeit, diese Organisationen zu reformieren, damit sie überhaupt kontrollierbar werden?

Und sollte man dann nicht gleich die Frage nach dem Sinn stellen? Nein, nicht nur der Geheimdienste. Auch, sicher, aber nicht nur. Wir sollten auch über den Sinn des Bundesamts für Sicherheit in der Informationstechnik nachdenken:

Für die Geheimdienste ist nun Finfisher der Kandidat für den neuen Staatstrojaner - Finfisher, entwickelt von einer britisch-deutschen Firma, zu mindestens 85% im britischem Besitz. Für wen arbeiten die wirklich?

Und der deutsche Staat läßt nun CSC Deutschland Solutions GmbH "die Prüfung des Quellcodes auf Übereinstimmung mit den Vorgaben der SLB und grundsätzlicher Aspekte der IT-Sicherheit" durchführen (https://netzpolitik.org/wp-upload/BMI-Bericht-Sachstand-CC-TK...pdf), weil der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und das Bundesamt für Sicherheit in der Informationstechnik das nach eigenem Bekunden nicht leisten können.

Lasstt euch das auf der Zunge zergehen: Die zuständigen deutschen Behörden können die Sicherheit von Finfisher und die Einhaltung der Vorgaben nicht prüfen. Bitte? Wofür sind die eigentlich überhaupt gut?

Als kleinen Bonus: CSC Deutschland Solutions GmbH ist eine Tochter der Computer Sciences Corporation, einem amerikanischen multinationalen Konzern, der schon für die CIA Gefangene nach Guantanamo geflogen hat. Deren Selbstbeschreibung klingt nicht wie die eines Unternehmens, der ich einen Sicherheitsaudit anvertrauen würde, sondern wie die eines Unternehmens, wegen dem ich einen Audit machen würde!

Ist euch auch aufgefallen, dass deutsche Behörden ein CIA-Partnerunternehmen damit beauftragen, die Sicherheit des Staatstrojaners zu prüfen, den ein im Wesentlichen britisches Unternehmen liefert? Gut. Ist das jetzt extreme Inkompetenz oder Satire?

Aber nein, statt dessen wird ein IT-Sicherheitsgesetz angeregt, das Providern von Internetseiten eine Kooperationspflicht mit den Sicherheitsbehörden auferlegt, wenn sie Opfer von Späh-Angriffen im Internet geworden sind? (Hinweis: Seiten sind typischerweise öffentlich sichtbar. Worum mag es da also wirklich gehen?)

Ich bin nicht gegen eine Meldepflicht - die ist in der Tat lange überfällig. Und natürlich stellt man eine Strafanzeige.
Aber mir erschliesst sich nicht, warum die Unternehmen mit den Sicherheitsbehörden kooperieren sollen, nachdem die Sache passiert ist. Was sollen die Behörden tun?

Sollen die Behörden nun etwa die IT-Sicherheit des Unternehmens auf Vordermann bringen? Vielleicht noch kostenlos?

Was soll das? Es gibt so viel Wichtiges, was nach einem Hack getan werden muss:

Loch stopfen (und gleich die Nächsten mit - ein Sicherheitsloch ist selten alleine, das sind gesellige Tierchen, in der realen Welt jedenfalls
).
Schadensumfang feststellen.
Betroffene informieren.
Banken/Kreditkartenunternehmen informieren.
Strafanzeige stellen.

In der realen Welt wird auf Schritte 3 bis 5 aus verschiedenen Gründen gerne verzichtet: Ruf, Schadensersatz, und oftmals auch, dass niemand weiss, wie kritisch ein Loch eigentlich gewesen ist.
Ich sehe nicht, was die Kooperation mit den Sicherheitsbehörden nun verbessern könnte.

Und dass die Mails "also direkt von Köln nach Düsseldorf [...] und nicht erst über einen Server in den USA" gehen sollen, ist eine unsinnige Forderung desselben Experten, der genau wissen muss, dass die meisten innerdeutschen Verbindungen über einige wenige Knoten in Deutschland gehen, auf die USA direkt oder indirekt längst Zugriff haben…

Apropos "Innerdeutsche Email nicht über das Ausland schicken": Das Problem würde sich sofort lösen, wenn die Telekom endlich bereit wäre, in Deutschland mit anderen Providern Peerings einzugehen. So lange allerdings die Telekom darauf beharrt, nur mit etwa gleich grossen Providern Peering zu machen, und von allen Anderen Geld haben zu wollen (für beidseitigen Datenaustausch), so lange wird innerdeutscher Datenverkehr über das Ausland laufen, einfach weil es günstiger ist.

Und es ist auch völlig egal, ob irgendwelche Sonderstricke für Email gemacht werden oder nicht. Ich weiss wirklich nicht, warum euer Online-Banking durch die USA laufen sollte…

Hinweis: Ich will jetzt nicht fordern, die Telekom zu zerschlagen, aber dass sie ihre übergroße Marktmacht keineswegs zum Vorteil der Kunden einsetzt, sollte klar sein.
Das gilt übrigens auch für andere Unternehmen mit übergroßer Marktmacht - ich denke da besonders an jene Suchmaschine mit dem Hauptgeschäft Werbung, die ebenfalls der Privatsphäre keinen großen Wert beimisst.

Apropos Mail:

Wisst ihr, wenn ihr Google, GMX oder ... eure Emails aufbewahren lasst, ist das so, als würdet ihr Kopien eurer altmodischen Post (diese Dinger mit dem Umschlag) offen in Ordnern in einem Lagerhaus lagern, zu dem rund 10000 Leute Zugang haben. Das wäre schön doof, nicht? Auf so eine dämliche Idee kämet ihr nie, richtig? Warum in aller Welt macht ihr genau das mit elektronischer Post?

Ihr zahlt nichts, wirklich gar nichts für eure Postfächer bei den üblichen Massenanbietern. Aber nichts auf der Welt ist kostenlos, irgendjemand muss den Preis bezahlen. Möglicherweise deckt die Werbung die Kosten (obwohl ich mir das nicht vorstellen kann) , aber meint ihr, dass das bisschen Geld reicht, um auch noch eine kleine Summe in Sicherheit zu investieren?

Einen Netzwerkdienst gegen Hacks von aussen zu sichern ist schon aufwändig, aber ihn gegen Untreue von Mitarbeitern zu sichern ist… so gut wie aussichtslos, es sei denn, man nimmt richtig Geld in die Hand (ja, ich habe Ahnung vom Thema, danke der Nachfrage). Und das passt nicht zu kostenloser Speicherung von Mails.

Was ich damit sagen will: seid vorsichtiger. Es gibt wirklich wenige gute Gründe, Mails länger beim Emailanbieter zu lassen als unbedingt notwendig, und Bequemlichkeit und Blödheit zählen nicht dazu.

Das geschieht mit eurer Privatsphäre.

Ähnliches kann man übrigens auch über die Speicherung von PMs auf dem Forumsserver sagen. Sie werden zwar mit Sichtschutz gespeichert, so dass selbst die zwei Leute, die legal auf die Datenbank zugreifen können, den Inhalt nicht ohne etwas Aufwand sehen können, aber es gibt keine Möglichkeit, den paar Leuten mit vollem Zugriff eben den Zugriff auf beliebige PMs zu verwehren, wenn sie den denn wirklich wollten (nein, keine. Und irgendjemand braucht volle Zugriffsrechte - typischerweise sind das die Leute, die eben im Notfall alles flicken können müssen).

Eure intimsten Geheimnisse, Paypal-Passwörter und so weiter gehören nicht auf den Forumsrechner. Schon alleine, weil sie eigentlich überhaupt nicht ins Netz gehören. Nur so am Rande bemerkt…

Apropos PMS:

Um euch das Löschen zu erleichtern, gibt es auf der PM-Übersichtsseite jetzt auch Möglichkeiten, mehrere Nachrichten zu markieren (Checkboxen) und über einen Button zu löschen ("Alle markierten entfernen").

Außerdem könnt ihr euch nun alle PMs mit demselben Titel anzeigen lassen.

Und dazu gibt es nun einen Button "Alle Sichtbaren markieren".

Das sollte euch, zusammengenommen, das Entfernen alter PMs erleichtern.

Gruß, Uwe (3/10)

Anhänge

anhang-kralle.jpg (56 KB)

Schriftart wählen

Schriftgröße wählen

Zeilenabstand wählen

SSL / Verschlüsselung