Office 365 stell Dir vor, keiner macht mit?

Office 365 stell Dir vor, keiner macht mit?

Ein paar kritische Gedanken zum Thema Cloudcomputing am Beispiel Office 365

Office 365 der Firma Microsoft ist das cloudbasierte MS-Office. Seit ca. 2014 gilt bei Microsoft die Devise „Cloud-first“, dieser Slogan kommt uns doch irgendwie bekannt vor, oder?

Das Konzept ist recht ausgeklügelt, es werden viele Businessanwendungen wie Skype for Business, Microsoft OneDrive und ähnliches angeboten. Hier liegt der Fokus auf dem Wort „Business“ und schon sind wir mitten in der DSGVO. Microsoft besitzt die Daten, deren Eigentümer wir selber sind. Nach DSGVO liegt die Verantwortung für die verarbeiteten Daten aber bei uns, dem Käufer von Office 365. Also wir haften, nicht Microsoft!

Wie kann man DSGVO und Office 365 in Einklang bringen, kann man das denn überhaupt?

Natürlich hat Microsoft einen Auftrags-Datenverarbeitungs-Vertrag  (ADV) bereitgestellt. Microsoft ist der Verarbeiter im Auftrag und muss sich nach den Weisungen des Verantwortlichen der Daten, wie gesagt, das sind wir, richten. So jedenfalls sieht es die DSGVO vor.

Microsoft klärt hier über alle möglichen Fragen zum Thema Compliance/Datenschutz/etc. auf.  Klingt erstmal gut und zugewandt. Das meiste ist sehr allgemein und wenig konkret gehalten.

Weiterhin stellt Microsoft die sogenannte „Prüfliste zu den Verantwortlichkeiten für die DSGVO für Microsoft Office 365 zur Verfügung -> hier lesen

Dieser Katalog gibt zum größten Teil Empfehlungen, welche Einstellungen der Verantwortliche am besten vornimmt, um seine Daten besser schützen zu können. Im Prinzip sind es techn. und organisatorische Massnahmen, vom Auftragsverarbeiter an den Verantwortlichen. Die DSGVO sieht dies aber in anderer Richtung vor.

Beim Lesen stellt sich die Frage, wie es funktionieren kann, wenn der Verantwortliche, der ja nach DSGVO weisungsbefugt ist, dem Auftragnehmer eine Weisung erteilen möchte. Dafür ist dann einer dieser Textbausteine verlinkt, die dem Verantwortlichen etwas von oben herab empfehlen, wie er mit seinen Daten umzugehen hat. Eine konkrete Information wie eine diesbzgl. Weisung an den Auftragsverarbeiter zu richten hat und was dieser dann in welcher Zeit tut, konnte ich hier nicht finden.

Die Einhaltung der DSGVO alleine zu betrachten, empfinde ich immer als ein wenig zu kurz gedacht. Es ist, als hätte ich ein Auto ohne Führerschein, beides geht… DSGVO funktioniert meines Erachtens nur, wenn man die Einhaltung als QM-Massnahme betrachtet, nur dann muss man auch gleichzeitig das Thema IT-Sicherheit betrachten.

Ein Beispiel, das wohl jeder nachvollziehen kann. Ich lege meine Passwortliste in die Cloud (in irgendeine, fremdgehostete), weil ich mir ja nicht alles merken kann und es ja so praktisch ist. Beim Anbieter findet ein erfolgreicher Cyber-Angriff statt. So ein Angriff wird fast immer erst später oder auch manchmal nie erkannt. Und jetzt? Vielleicht wird meine Identität geklaut, vielleicht meine Konten abgeräumt, wer weiß, welche Ideen jemand entwickelt.

Es lohnt sich also, ein paar Sicherheitsüberlegungen im Vorfeld anzustellen und nicht jedem Microsoft-Platin-Partner zu vertrauen. Oder würdest Du, wenn es klingelt und Dir jemand irgendeinen Vertrag (nennen wir ihn ADV-Vertrag) unter die Nase hält, glauben, dass er Deine Bankzugangsdaten besser aufbewahren kann als Du selber?

Weil alles, was irgendwie mit IT zu tun hat, auch irgendwie etwas undurchsichtig ist, muss man sich hier wohl einige Gedanken mehr machen. Für IT gibt es zum Glück die BSI-Grundschutzkataloge. Für einen Brand hat man einen Notfallplan, warum nicht auch für IT-Vorfälle? Hier heißt es dann Incidence response. Hat man ein paar Notfallpläne, weiß jeder, was zu tun ist, es wird schneller reagiert und weniger Spuren verwischt. Während man sich Gedanken macht und Konzepte entwickelt, kann man eine höhere Sensibilität entwickeln und Unsicherheiten abbauen. Danach sollte man noch einmal neu überprüfen, welche Anwednugnen mit Fremddatenspeicherung man wirklich benötigt und ob man bei Konzepten wie Office 365 überhaupt mitmachen möchte.

Sehr modern momentan ist es auch, gleichzeitig die Übertragung der Active-Directory-Domain. Dann kann man die Office-Produkte ganz bequem mit seinen Domänenanmeldedaten aktivieren. Echt jetzt?

Alternativen?

Für alles gibt es immer und überall Alternativen. Oft sind sie sogar preisgünstiger und ein Wechsel läßt sich einfacher gestalten. Jeder betreibt ja heutzutage irgendeinen Webserver und wenn nicht, läßt man sich einen einrichten. Dort könnte man seinen eigenen Clouddienst einrichten. Natürlich kann man auch hier Emails, Dateien, Kalender und alles mögliche teilen. Auch kann man hier seinen eigenen Officeserver aufsetzen, z.B: LibreOffice.

Und nun wird alles durch den Adminstrator des eigenen Vertrauens betreut und DSGVO in Verbindung mit IT-Sicherheit sind plötzlich Peanuts.

Anmerkung

Dieser Artikel ist entstanden, weil mich in meinem täglichen Beratungsgeschäft die Naivität von Geschäftsführern und Inhabern mitunter mittelständischer oder sogar größerer Unternehmen oft wie ein Tsunami trifft.

Beispielphrasen:

  • Machen doch alle, dann muss es doch sicher sein
  • Microsoft, ist doch der Größte, die müssen es doch wissen usw.
  • Ohne WhatsAPP kann man keine Photos schicken
  • bei uns ist doch nichts zu holen
  • geht unendlich so weiter

Es ist mitunter schwierig, in diesen Unternehmen wenigstens ein minimales Sicherheitsniveau zu etablieren.  Hochinteressant, dass viele immer noch ein Urvertrauen in Unternehmen haben, deren Inhaber, sie gar nicht kennen. Cybercrime ist ein einträgliches Geschäft, Bankraub vom Sofa aus, während die Lieblingsserie auf Netflix läuft, oder so. Es gibt zwar nie keine 100-%ige Sicherheit, aber man sollte sich wenigstens Gedanken darüber machen, was man zu verlieren hat. Oft gibt es imUnternehmen die teuerste Alarmanlage, mit Wachdienst, Videoüberwachung u.ä. und dann kopieren diese Unternehmen ihre Geschäftsgeheimnisse in irgendwelche Clouds. Das muss man erstmal sacken lassen.

Deshalb ist dieser Artikel für die, die kein Lichtschwert besitzen, für die anderen nicht 😉

 

Wirtschaftsschutztagung am 26.11.2018

Wirtschaftsschutztagung am 26.11.2018

Wirtschaftsschutztagung am 26.11.2018Jedes Jahr lädt der niedersächsische Verfasssungsschutz zu einer Wirtschaftsschutztagung ein. Hier ein wenig Branchengeflüster als Zusammenfassung der Tagung, natürlich wie immer gespickt mit einigen Ergänzungen bzw. Anmerkungen.

Begrüßung

Die größten Schwachstellen sind in Reihenfolge:

  1. Fehlverhalten von Mitarbeitern
  2. Fehlkonfigurationen von Software und Geräten
  3. Nichteinspielen der erforderlichen Sicherheitspatches

Weltweit sind heute ca. 800.000.000 (ja Millionen) Schadprogramme bekannt. Jeden Tag kommen ca. 400.000 neue hinzu. Die Angriffspunkte mehren sich, da jeder immer noch mehr mobile Endgeräte benötigt, wie z.B. Smarthome, Alexa, Kaffeemaschinen etc.

Es stellt sich die Frage, ob wirklich jedes Gerät vernetzt sein muss.

Mehr Geräte – mehr Angriffspotenzial.

Keynote der Wirtschaftsschutztagung von Boris Pistorius

Die Keynote der Wirtschaftsschutztagung wurde gehalten von unserem niedersächsischen Minister für Inneres und Sport Boris Pistorius.

Boris Pistorius wagte einen Ausblick, was uns in 10 Jahren erwartet. In 10 Jahren werden wahrscheinlich alle oder fast alle Desktop PCs durch mobile Endgeräte ersetzt sein. Gespeichert wird in der Cloud. Hier stellt sich die Frage, was ist mit Sicherheit und informationeller Selbstbestimmung?

Nach einer Bitcom Studie haben
68% der Unternehmen Schäden im Bereich Cybercrime zu verzeichnen
19% vermuten, dass ein Angriff stattgefunden hat.

Anmerkung: Natürlich im Zeitalter des Cybercrimes werden Daten meist nicht gestohlen, sondern dupliziert. Manch einer bekommt das gar nicht mit.

Viele Angriffe werden gar nicht erkannt oder erst viel später. Betroffen ist vorrangig der Mittelstand. Der Mittelstand, der Bestandteil von Lieferketten der Industrie ist, ist Einfallstor für Cyber Kriminalität. Über den Mittelstand gelingt der Zugriff auf Großunternehmen.

Unternehmer müssen sich besser vorbereiten. Wichtig sind hier die Themen IT-Infrastruktur, Beratung und auch Vernetzung mit Fachleuten, so wie hier auf der Wirtschaftsschutztagung.

Durch Cybercrime können unser Wohlstand und unsere Sicherheit nachhaltig gefährdet werden. Angriffe auf kritische Infrastrukturen wie Krankenhäuser, öffentlichen Nahverkehr u.ä. können lebenswichtige Versorgungsbereiche bedrohen.

Es wurden bereits Krankenhäuser komplett stillgelegt, z.B. in England und dies betraf auch OP-Säle und andere kritische Bereiche, nicht nur die Verwaltung.

Niemand ist vor Angriffen gefeit, auch nicht Experten. Wir haben hier 95% menschl. Versagen, man muss sich darüber klar werden, dass jeder einzelne Verantwortung trägt. Viele Angriffe funktionieren nach der Kombination digitaler Angriff/menschl. Handeln. Hier greifen 2 Dinge in einander, unzureichendes Sicherheitsverständnis und die mangelnde Einbindung von Mitarbeitern.

Boris Pistorius fordert eine Gewohnheit zur Cyberhygiene.

Dies sei eine gesamtgesellschaftliche Herausforderung. Alle müssen eingebunden werden. Die Privatwirtschaft muss eng mit den Behörden zusammen arbeiten. Die Behörden wollen Ansprechpartner sein.

Blockchain, Bitcoin und Smart Contracts

Zunächst wurden einige Erklärungen geliefert.

Bitcoin werden in Blockchain gespeichert und seien dadurch sicher. Blockchain sind Datencluster aus Blöcken einer bestimmten Einzelgröße von z.B. 1 MB. Hier werden Daten über einen SHA-256 Hash verschlüsselt gespeichert. Ist der Block voll, wird der Hash auf den nächsten Block übertragen, also eine Art Verlinkung, dort werden die weiteren Daten gespeichert. Weil alle Blöcke auf diese Art mit einander verbunden sind, ist diese Art der Speicherung sehr sicher. Durch die Dezentralisierung, im Prinzip kann jeder Blockchain Anbieter werden, gibt es keinen einzelnen Server, der alle Daten zusammenfasst, es handelt sich hier um ein verteiltes Netzwerk. Die Nodes (Einzelsystem) müssen eine Übereinstimmung von 51% haben, ein manipulierter Node wird aus der Kette ausgeschlossen.

Eine kleine Bitcoin-Statistik:

1 Block – 1,02 MB
1 Blockchain – 185 GB
akt. Transaktionen -500.000/Tag
Transaktionszeit – 9 Minuten (mit 3 Bestätigungen)
Median Grunsgebühr – 0,6 USD
Bitcoins sent pro 24 h – 1 Mio BTC + 4,2 Mrd. USD
Marketcap 130 Mrd USD  (Vergleich Gold 700 Mrd)
Die Bitcoin Blockchain umfasst zur Zeit 12-12.000 Nodes.

Anfang der 90-er Jahre war das www ein abstraktes Konzept ohne leicht erkennbaren Anwendungsbereich. So ist es auch mit Blockchain. Trotzdem ließen sich hiermit in Verbindung mit dem Blockchain Konzept zahlreiche sichere Anwendungen abbilden:

  • Führung von Registern, z.B. Handelsregister
  • Speicherung von Patientendaten
  • Direktverkauf von Konsumgütern Künstler – Kunde
  • eStrom Transaktionen
  • ….

Bitcoin ermöglicht virtuelle Transaktionen. Die Eigenschaften von Bargeld und elektronischen Überweisungen werden verbunden. Das Konzept wurde 2008 von Satoshi Nakamoto entwickelt. Der 1. Block wurde am 03.01.2009 angelegt, der erste Verkauf fand am 22.05.2009 statt. In Berlin wurden 2 Pizzen für 10.000 BTC verkauft.

Der Gesamtwert von Bitcoin ist auf 21 Mio begrenzt, dies ist softwaretechnisch vorgegeben und kann nicht geändert werden. Es gibt keine Regulierungsmöglichkeiten. Es wird eine vollkommene interne Transparenz bei möglicher externer Anonymität geboten. Es gibt keine zentralisierten Ausgabestellen. Es gibt keine Zuordnung zu Personen oder Firmen. Der Zugriff erfolgt ausschließlich über Schlüssel.

Es gibt noch ca. 4.000 andere Kryptowährungen.

PApps und Smart Contracts

Hier handelt es sich um dezentralisierte Apps auf etherium Basis. Kleine Programme, die unantastbar und unmanipulierbar sind.

Smart Contracts

Werden verwendet zur Automatisierung von Dienstleistungsprozessen. Entscheidungen fallen vollautomatisiert anhand von Algorithmen.

Beispiel:

Ernteversicherung

Hier kann der Zeitraum eingegeben werden, es werden Wetterdaten für den Zeitraum automatisiert abgerufen, Prämie wird gezahlt oder nicht.

Genauso z.B. Flugausfallversicherungen u.ä. Dies kann zur Verschlankung von Prozessen und zu einer Kostenoptimierung führen.

Real World Cyber: Hintergründe, Ziele und Motivation stattlich gesponserter Angreifer

Hier ging es um Hacking im Regierungsauftrag. Es wurden einige Beispiele und deren Ziele genannt, z.B. Russland, Korea, China, USA

China – Panda

Wollen gerne im Cyberraum autonom sein. Verfügen über eigene IT-Fähigkeiten, haben eine zentrale Toolentwicklung für Angriffswerkzeuge. Ziel ist die Dominanz des Webs.

Es wird u.a. der 5-Jahresplan 2018-2020 verfolgt. „Industry made in China 2025
Es gibt verschiedene Gruppen mit unterschiedlichen Aufträgen.

Zum besseren Verständnis, wie China tickt, wurde der Film „Der tausendköpfige Drache“ empfohlen.

Nord Korea – Chollima

Hier gibt es einen ganz klaren Devisenbeschaffungsauftrag.

Iran – Shamoon

Hier geht es um Öl, Gas, Kampf gegen Israel und nuclearen Vorsprung. In einem Racheakt gegen Saudi Arabien wurde mittels einem Cyber Angriff eine Unzahl von PCs verschrottet. Shamoon gegen Saudi Aramco.

Sie legen auch gerne honeytraps in social media Portalen, um Kontakt mir nützlichen Personen herzustellen.

USA – 5-eyes

Ein Spionagezusammenschluss von Kanada, USA, UK, Neu Seeland, Australien.

Hier ist das Ziel die Hoheit über den Cyberraum.

Es wurden einige interessante Anekdoten gebracht, wer was warum tut und auch wie infantil zuweilen vorgegangen wird.

Alles in allem eine lohnende Wirtschaftsschutztagung, mit und für  Fachpublikum.

Kaspersky Anti Virus * ein Produkttest

Kaspersky Anti Virus * ein ProdukttestKaspersky Anti Virus

Kaspersky Anti Virus, hier handelt es sich um einen beauftragten Produkttest der Firma Kaspersky. Da dieser Blog einen hohen Anspruch daran hat, unabhängige Berichte zu veröffentlichen, dachten wir eine Weile darüber nach, was wir testen, ob wir testen und wie wir testen.

Schon wieder so ein Test, in dem ein  Virenscanner in Bezug auf die Erkennung von Viren gestestet wird? Ist das nicht furchtbar langweilig? Heute gewinnt x den Test und morgen y? Weil y etwas langsamer war, eine neue Virensignaturdatei zu  liefern? Och nee, sind ja auch schon Menschen an Langeweile gestorben, oder?

Wir zweifeln die Seriösität dieser Tests deutlich an, aber dazu unten mehr.

Ich fragte in den Seminaren, die ich gebe, ein wenig herum, weil ich herausfinden wollte, was die Leute interessiert. Und siehe da, hier kamen sehr interessante Anregungen:

Benutzerfreundlichkeit

  • Wie bedienerfreundlich ist Kaspersky Anti Virus?
  • Brauche ich Spezialkenntnisse, um alles zu konfigurieren?
  • Kann Oma Meyer, die ihren PC nur nutzt, um mit den Enkeln zu skypen, damit umgehen?
  • Läßt es sich leicht installieren?
  • Wird der PC durch die Installation langsamer?
  • reicht die kostenlose Version?
  • was kann die Bezahlversion mehr?
  • etc

technische Funktion

  • Das Programm soll die Schadsoftware erkennen und entfernen
  • Es soll immer auf dem neuesten Stand sein
  • Es gibt ständig neue Viren, Trojaner etc., da kann ich mich nicht selber drum kümmern
  • Ich bin darauf angewiesen, dass das Programm funktioniert
  • ….

Genauso haben wir deshalb auch unseren Kaspersky Anti Virus Test durchgeführt. Wir haben uns entschieden, die o.g. Aspekte zu betrachten und die kostenlose Version mit der kostenpflichtigen Lizenz zu vergleichen, so wurde es dann auch mit dem Auftraggeber abgesprochen.

Auf der Download Seite ist allerdings keine kostenlose Version zu finden????? Ok, dann nehmen wir gleich die Bezahlversion. Der Lizenzkey wurde uns ja zur Verfügung gestellt, also los gehts.

Download und Installationsbeginn funktionieren ohne Probleme, allerdings müssen bereits vorhandene Virenscanner, sogenannte „inkompatible Software“ deinstalliert werden. Nach der Installation wird der Rechner neu gestartet , danach eine erneute Suche nach „inkompatibler Software“ gesucht, das dauert sage und schreibe 10 Minuten. An dieser Stelle habe ich irgendwie das Gefühl, ich hätte meinen Rechner langzeit-vermietet.

Nachdem der Prozess abgeschlossen ist, wird der Lizenzcode abgefragt, hier könnte ich nun auch die Testversion wählen. Aufgrund der Angaben gehe ich davon aus, dass es sich um eine zeitlich begrenzte Vollversion handelt, das spare ich mir also lieber. Der gewünschte Vergleich kann somit nicht so erfolgen, wie im Vorfeld besprochen…

Also gebe ich den gelieferten Aktivierungsschlüssel ein und wir verzichten auf den Test einer nicht vorhandenen kostenlosen Kaspersky Anti Virus Version.

LeideKaspersky Benutzerkonto anlegenr werde ich bei der Installation gezwungen, ein Benutzerkonto anzulegen, dieses muss dann auch noch per Mail bestätigt werden. Nun ja, hier kann ich die Erforderlichkeit nicht erkennen und bin etwas verstimmt. Andere Virenscanner kann ich über den Lizenzkey aktivieren und das wars, ich wette, die Adresse geht gleich ungefragt in den Werbeverteiler.

Erster Eindruck Kaspersky Anti Virus

Obwohl es mir persönlich nicht gefällt, dass  ich gezwungen werde, andere Virenscanner zu deinstallieren und die Software ohne ein Benutzerkonto nicht verwenden kaKaspersky Dashboardnn, macht das Programm auf den ersten Blick einen guten Eindruck. Es ist übersichtlich strukturiert, alle Funktionen sind schnell erreichbar, alles ok.

Es belastet die Systemressourcen nicht merklich, auf dem Dashboard sind die wichtigsten Punkte angeordnet.

Ich starte eine Untersuchung, des gesamten Systems. Nach einer halben Stunde sieht die Anzeige aus wie folgt. Die Untersuchung startete allerdings mit einer veranschlagten Zeit von 9 Stunden, nun wurde sie korrigiert.Kaspersky Vollscan

Das Notebook, mit dem dieser Test durchgeführt wird, hat keine Installationen außer Office und Firefox. Da wären 9 Stunden Fahrradkurier verdächtig gewesen.

2 Stunden erscheinen mir für dieses spartanisch installierte Gerät trotzdem sehr lang. Immerhin, es wird keine Schadsoftware gefunden. Yeah!

Hier einige der möglichen Optionen:

benutzerdefinierte Untersuchung

Kaspersky benutzerdefinierte UntersúchungSchnellüberprüfung, ok kennt man ja. Aber hier kann ich eine benutzerdefinierte Untersuchung einrichten, d.h. ich wähle genau die Verzeichnisse und Dateien, die untersucht werden sollen. Nicht verkehrt.

Untersuchung externer Geräte

Die Untersuchung externer Geräte eignet sich für den Scan von USB-Sticks, externen Festplatten u.ä. Kennt ja jeder, man bekommt einen Stick in die Hand gedrückt, von dem man mal schnell etwas laden soll.

Kaspersky externe GeräteIch persönlich wünsche mir bei Virenscannern immer eine Möglichkeit des Externchecks, z.B: für Wepräsenzen. Hier haben wir aber die ganz spartanische Kaspersky Version, da kann man das nicht wirklich erwarten.

 

Berichte

Kaspersky BerichteDer Bereich Berichte liefert mir sehr übersichtlich, was das Programm tut, bzw. zuletzt getan hat.

Sehr übersichtlich und leicht verständlich.

Bildschirmtastatur

Den Bereich Bildschirmtastatur kann man erst nach einem erneuten Neustart verwenden.

Kaspersky BildschirmtastaturDiese Funktion eignet sich für die Eingabe von Zugangsdaten für sicherheitsrelevante Webseiten, zum Beispiel banking.

Andere Scanner machen beispielsweise einen geschützten Browser auf, um Banking Daten zu schützen.

Kaspersky Anti Virus Browser AddIn

Kaspersky Anti Virus klinkt sich auch in den Browser ein, ich erwarte die Blockierung von Popups, Erkennung irgendwelcher Skripte, die ich nicht geladen habe etc. Aber soweit komme ich gar nicht.

Kaspersky BrowserDiese Meldung ist nun sehr verwirrend, „another Program?“ Welches denn? Ist es Kaspersky selber? Wenig bis gar keine Information. Nachdem ich cancel wähle ist klar, dass ich das Kaspersky Browser Addin deaktiviert habe, es handelte sich also um Kaspersky Anti Virus selber, das die Berechtigung angefragt hatte.

„Access your data for all websites“ Um welche Daten geht es denn hier genau? Ok, das fragte ich mal auf der Webseite nach. Hier gibt es einen Chat, Anna meldet sich, sobald man sich auf der Kaspersky Webseite befindet:

Schnell wird klar, das kann man getrost vergessen. Anna ist völlig unbrauchbar. Anna ist ein schlecht gemachter Automat.

Ich schau mal auf der Webseite nach einer ordentlichen Supportmöglichkeit. Das ist offensichtlich nicht erwünscht, man muss sehr geduldig sein und viele Klicks hinter sich lassen, bis man etwas findet.

Technischer Support, die werden mir sicher sofort sagen können, was ich wissen möchte.

Kaspersky Live ChatOk, nach 6 Minuten kommt eine Antwort, es scheint ein Mensch dahinter zu stehen. Ich muss Programmversion und schon wieder meine Mailadresse angeben.  Es folgt viel Herumgeeiere, eine Antwort erhalte ich allerdings nicht.

 

„Es handelt sich um eine autom. Browsermeldung, Kaspersky hat damit nichts zu tun“.

Auf meinen Hinweis, dass die Berechtigungen, die angefragt werden, von dem AddIn angefragt werden, kommt auch keine Antwort. Ich schlage also vor, meine Anfrage zu recherchieren und dann zu beantworten. Ich weise noch darauf hin, dass ich das unbedingt wissen möchte. Der Mitarbeiter willigt ein. Ich erhalte nur wenig später die Nachricht, dass das Ticket geschlossen wurde.

Fazit

Die Software ist genau das, was meine Kursteilnehmer sich gewünscht haben. Sie läßt sich einfach installieren, ist leicht zu bedienen, genau das, was man möchte. Ein Virenscanner soll schließlich im Hintergrund aufpassen und ansonsten unauffällig sein. Es kostet rund € 30,- für ein Jahr ist auch ok, wobei andere Produkte für diesen Preis weit mehr Funktionen bieten.

Mir persönlich gefällt allerdings überhaupt nicht, dass ich mir ein Sicherheitsprodukt kaufe, dass dann auf meine Daten zugreifen will, ich aber als normaler User nicht herausfinden kann, auf welche Daten es zugreift. Das widerspricht meinem Sicherheitsgedanken, ich gebe schließlich die Verantwortung an ein kommerzielles Produkt ab. Wenn man schon einen technischen Support anbietet, dann sollte sich dieser etwas bemühen, ernst gemeinte Anfragen auch zu beantworten, ganz besonders, wenn es um undurchsichtige Zugriffe geht. Um Zugriffe dieser Art zu unterbinden habe ich schließlich einen Virenscanner, wenn der sich aber selber so verhält, dann habe ich vielleicht den Bock zum Gärtner gemacht.

Das hält mich eindeutig davon ab, dieses Produkt weiter zu verwenden.

Kaspersky flutet uns wie erwartet mit Werbung, sehr unschön. Schade, dass diese Vermutungen sich immer bewahrheiten.

Testberichte

Hier noch ein aktueller Test zur Erkennung von Viren. Das hier für den Test lizensierte Produkt ist leider nicht dabei, sondern nur eine Version höher:

https://www.bundespolizei-virus.de/virenschutz/

hier noch ein anderer Test. Im Vergleich kann man gut die Art der Auswertung erahnen.

https://www.testit.de/tag/virenscanner-1347459.html

Schaut man sich 5 verschiedene dieser Tests an, ist man am Ende ratlos. Aus unsererer Erfahrung ist das Ranking eng mit dem entsprechenden Marketing verbunden. Die Quote wurde von uns bewußt nicht untersucht, dann wäre der Test hier anders ausgefallen.

Für die Bereinigung virenbefallener Kundensysteme nutzen wir ein Produkt, dass bei dem einen Test sehr gut abgeschnitten hat und bei dem anderen nicht so gut. Wir konnten damit bisher immer jegliche Schadsoftware entfernen, mit den beiden anderen Produkten, die wir zur Sicherheit zusätzlich verwenden, nicht, obwohl diese zum Teil besser abgeschnitten haben.

Der Kettenbrief, eine philosophische Betrachtung

Kettenbrief, das altbewährte Schneeballsystem

Sicher habt ihr sie auch bekommen, Kettenbriefe, über Facebook, WhatsApp, irgendwelche Messenger wie auch immer. Es ist ja auch total out, ein eigenes Bild mit einem eigenen Gruß zu versenden, man kann doch lieber wertfrei das nehmen, was einem jemand geschickt hat. Und ein Arbeitsauftrag ist auch gleich dabei, da macht man doch gerne mit, dabei sein ist alles. Alles andere wäre auch zu persönlich, es könnte falsch verstanden werden, man eckt an, wieder ein paar Freunde weniger. Ein schöner Kettenbrief, nach dem altbekannten Schneeballprinzip schafft Abhilfe.

Bei mir kamen Massen dieser Spams an, hier nur zwei Beispiele, ich bin sicher, Ihr kennt sie alle und die meisten von Euch haben sie, wie verlangt, weiterverteilt:

Kettenbrief zu Weihnachten Kettenbrief zu Silvester

Anstatt eines persönlichen Grußes, geht es auch gleich los mit einer Aufforderung. Die Uhr soll man gar erst anklicken.

Ja, Ihr Lieben, bei mir versandet so etwas, NATÜRLICH! Ich klicke nicht an und ich leite auch nicht weiter, Ihr könnt das aber gerne tun 😉

Ach, was könnte man damit alles machen…

Ganz früher, damals, Ihr wisst schon, so in den 90-er Jahren, da gab es mal ein Video „bad day“, das ist dieser Typ, der in einem Großraumbüro einen Wutanfall bekommt und seinen Rechner kurz und klein schlägt. Damals hatte man es ja noch nicht so mit Bandbreite und Rechnerleistung. Dieses Video hat damals, nur aufgrund seiner Größe, mehrere Hallen an verschiedenen Produktionsstandorten eines Automobilherstellers lahmgelegt. Und nur, weil jemand diesen infantilen Mist, nun so super lustig fand, er wurde dann als Folge davon fristlos entlassen.

Aber heute, ja heute, hätte man ganz andere Möglichkeiten

Mangels einer besonders entwickelten kriminellen Energie will ich es mal versuchen.

Ein Bot, wie wäre es mit einem Bot?

Ich könnte ein kleines Skript darin verstecken, das auf allen Rechnern, von denen es wunschgemäß empfangen, angeklickt, what ever wurde, einen Bot installiert. So könnte ich mein eigenes kostenloses Botnetz schaffen, um damit überleg, grübel, na sagen wir mal, alle Bridgeclubs in Bremen lahmzulegen, oder so.

Wie wäre es mit einem Verschlüsselungstrojaner?

Weihnachten war wieder mal teuer, mein Portemonnaie zeigt Ebbe. Wenn jeder, der die Kettenbriefe erhalten hat, also eins der kursierenden Videos und wahrscheinlich gibt es noch viele mehr, an mich € 5,-/zahlt, dann wäre alles wieder chic und ich könnte mir Silvesterknaller kaufen, tu ich nicht, aber könnte ich.

Wie wäre es mit einem Phishing-Skript?

Es ist ja viel zu mühsam für Euch, wenn Ihr alle € 5,- an mich überweisen müßt, Zeit ist Geld, ich könnte mir gleich Eure Zugangsdaten schicken lassen. Ist ja viel bequemer und es bleibt doch im „facebook“-Freundeskreis, oder?

Sonstige Ideen könnt Ihr sicher mit ein wenig Anleitung selber entwickeln.

Ich weiß, ich weiß, Ihr wolltet doch nur ein wenig Spaß haben. Könnt Ihr ja auch, aber bitte schickt mir sowas nicht, ich will das nicht haben. Es wurde zwar von einem Freund geschickt, oder wer war noch der Urheber, Herr Putin, nee der nicht, oder? Oder Kim Dingsda, der Eure Rechner benötigt, um seine Raketen zu steuern, nee war ein enger Freund, den Ihr persönlich kennt?

Also, es handelt sich um Kettenbriefe, um das gute alte Schneeballprinzip. Im ungefährlichsten Fall geht es nur um Adresslisten, aber es könnte auch um etwas anderes gehen.

Ich wünsche Euch allen einen guten Rutsch, ein gesundes und erfolgreiches Jahr 2018 und freue mich, darauf Euch alle im kommenden Jahr persönlich wiederzusehen.

trau schau wem, Eure Spaßbremse

Facebook Konto gehackt?

Wurde Dein Facebook Konto gehackt?

Facebook Hacking ist ein Dauerbrenner, da in meinem Facebook-Freundeskreis in der letzten Zeit mehrere Konten gehackt wurden, dachte ich, ich schreibe mal etwas darüber. Wie kannst Du erkennen, ob Dein Facebook Konto gehackt wurde, wie kannst Du vorbeugen?

Ziel der Hacker ist es immer, über das gehackte Profil an weitere Profile zu bekommen. In vielen Profilen sind Bezahldaten hinterlegt, die kann man dann natürlich auch sehen.

Gehackte Profile kann man so nicht erkennen, sie outen sich aber fast immer durch eine vermehrte Aktivität. Wenn jemand sonst sehr selten mal etwas schreibt, aber plötzlich ständig kryptische Links schickt, dann ist etwas komisch. Genaues Hinsehen und ein gesundes Mißtrauen zahlen sich also wie immer aus.

Hier 2 Beispiele, wie sich gehackte Profile momentan oft verhalten (natürlich gibt es unzählige Möglichkeiten):

Es wird in die Chroniken von Freunden des Profils gepostet und alle Freunde markiert. Im Posting gibt es dann meist einen Link mit kryptischem Namen, ein Video, dass das Profilbild des gehackten Profils, also Eure FB Freundin oder Freund zeigt.

Da sollte die dunkel gelbe Warnleuchte angehen, wer macht sich die Mühe und markiert in einem Posting 100 und mehr Freunde. Vor allem, wenn es evtl. nur eine Bekannte/ein Bekannter ist, mit dem man selten oder gar nichts privat unternimmt.

Per PN kommt ein Link auf eine Webseite mit vermeintlicher Werbung. Vor kurzem erhielt ich sowas von einer ganz entfernten Bekannten, und es war eine Werbung für RayBan Sonnenbrillen. Da war gleich die Überlegung, hat sie jetzt einen Shop aufgemacht, nein hat sie natürlich nicht, ist das ein gängiger Weg für Werbung, nein, auch nicht.

Da ich Werbung fast nie anklicke, es sei denn, es sind die Firmen meiner Freunde direkt, habe ich sie also gelöscht und gut. Diese PN kam dann an demselben Tag dreimal, da habe ich die Freundin dann kontaktiert und gefragt, was das soll, das hatten andere dann auch bereits getan, sie konnte das Konto retten und gut.

Menschen, deren Profil gehackt wurde, sollten, wenn alles wieder bereinigt ist, in ihrem Profil posten, was genau sich zugetragen hat und wie sie das Konto gerettet haben. Falsche Scham ist irgendwie doof, durch diese Information kann man andere User bewahren auf so etwas hereinzufallen. O.g. FB Freundin, die mit den Sonnenbrillen, hatte ich auch darum gebeten, hat sie leider nicht gemacht, schade.

Was also tun, wenn Dein Facebook Konto gehackt wurde?

Wenn Du glaubst, Dein Facebook Konto wurde gehackt, solltest Du die folgenden Überprüfungen/Änderungen machen:

  • sofort ein neues Passwort vergeben, Tipps zur Komplexität hier
  • nachsehen, welche Emailadressen mit Deinem Facebook-Konto verbunden sind
  • Ggf. macht es auch Sinn, den Codegenerator zu aktivieren
  • Ich würde auch empfehlen, Facebook direkt zu benachrichtigen

Wenn alles nichts hilft, deaktiviere Dein Konto (löschen geht ja leider nicht) und lege Dir ein neues an.

Wie kannst Du vermeiden, dass Dich jemand hackt?

Um zu vermeiden, dass Dein Facebook Konto gehackt wird, gelten eigentlich dieselben Regeln wie immer:

  • Vorsicht ist die Mutter der Porzellankiste
  • Auf alle Geräte, auch aufs Handy, gehört ein Virenscanner mit Phishing-Schutz, der natürlich aktuell gehalten wird
  • Jede Zusendung genau ansehen, sieht sie irgendwie merkwürdig aus, löschen, blockieren, was auch immer, aber nicht lesen, keine Links anklicken
  • Vorsichtig mit Kennwörtern, natürlich niemandem verraten und öfter mal ändern
  • Keine Kennwörter speichern, lieber manuell eingeben
  • bestätige nur Freundschaftsanfragen von Leuten, die Du kennst, wenn plötzlich ganz viele kommen, wurde evtl. ein Konto eines Deiner FB Freunde gehackt
  • Die Bestätigungsmitteilung für Markierungen von Bildern mit Deinem Namen einstellen
  • Wenn der Verdacht besteht, dass Dein Konto gehackt wurde, sofort das Kennwort ändern und in der darauffolgenden Meldung alle mobilen Geräte automatisch abmelden lassen, weitere Infos s. oben

Wenn Du Postings/PNs … von gehackten Konten bekommst

  • Kontaktiere die Person und frag nach, der Betroffene bekommt es meist als letztes mit
  • Wenn wie eben beschrieben, viele Empfänger markiert sind, akzeptiere die Markierung nicht, kennzeichne es als Spam und blockiere den Absender erstmal
  • Kommen merkwürdige Werbeangebote, genauso

Hier ein paar sinnvolle Einstellungen

Findest Du in Deinem Facebook-Profil (unter Einstellungen):

Hier kannst Du sehen, welche Mailadresse(n) mit Deinem Konto verbunden sind. Stehen da Adressen, die Du nicht kennst, löschen und ggf. die Adressen an Facebook schicken.

Facebook Konto gehackt

Weiterhin kannst Du einstellen, dass Du benachrichtigt wirst, wenn eine Anmeldung von unbekannten Geräten erfolgt.

Facebook Konto gehackt

Regelmäßiges Ändern des Passwortes ist dringend zu empfehlen, auch eine gewisse Passwortkomplexität schützt vor unerwünschten Anmeldeversuchen

Facebook Konto gehackt

Hier kann man einstellen, wer in der eigenen Chronik posten darf und dass man evtl. Markierungen der eigenen Person bestätigen muss.

Facebook Konto gehackt

Nicht zuletzt können unerwünschte/aufdringliche User blockiert werden

Facebook Konto gehackt

Sorglosigkeit und blindes Vertrauen haben im Internet nichts zu suchen. Den Betreibern von Social Media Portalen blind zu vertrauen, hilft auch nichts, man muss schon selbst für sich sorgen.

Top 10 der grössten Internetbedrohungen

Top 10 der grössten Internetbedrohungen

Eine aktuelle Bitkom Studio hat die Top 10 der grössten Internetbedrohungen untersucht.  Interessant ist, dass Spam mittlerweile an letzter Stelle auftaucht und die ersten Plätze durch ausgeklügelte Techniken belegt sind, die vom normalen PC-Anwender schwer bis gar nicht erkannt werden. Wie immer, ich weiß, ich wiederhole mich, hilft auch hier wieder nur aktuelle Software zum Schutz des Rechners, ein aufmerksames Auge und gesundes Misstrauen.

Hier eine Auswahl aus den Top 10 der grössten Internetbedrohungen

Platz 1 wird belegt durch Drive-by-Downloads

Hier lädt man sich durch den Besuch auf manipulierten Webseiten Schadsoftware herunter. Leider kann man mitunter schlecht erkennen, ob die Seite manipuliert ist, insbesondere, wenn man sie das erste Mal besucht.

  • Abhilfe schafft hier nur, alle Browsersicherheitsupdates auch einzuspielen

Auf Platz 2 sind Trojaner und Würmer, auf Platz 4 schon die Virenbaukästen

Dies möchte ich beides zusammen betrachten, zumal Trojaner und Würmer auch Viren sind. Die Gefahr bei den Virenbaukästen ist, man kann sie sich recht einfach herunterladen und dann selber Schadsoftware zusammenbauen. Das ist so einfach, dass man kein Programmierer sein muss, um das hinzubekommen, also kann das im Prinzip jeder. Natürlich ist es so, wenn heute einer einen Virus baut, dann kennt mein Virenscanner den nicht zeitgleich. Alle Hersteller von ernstzunehmenden Virenscannern sind aber sehr interessiert daran, dass Ihre Programme alle aktuellen Schädlinge finden und scannen deshalb das Netz ständig nach neuen Viren. Das ist auch der Grund dafür, dass gute Virenscanner gefühlt jeden Tag eine neue Signaturdatei bekommen.

  • Die Abhilfe kann also nur sein, den Virenscanner aktuell zu halten.

Platz 7 Phishing und Platz 9 Scareware

Rückt immer weiter vor, hier geht es um das Erlangen von Zugangsdaten und/oder Erpressung auf immer neuen Wegen. Hier hilft recht zuverlässig der gesunde Menschenverstand. Banken und Behörden fragen nicht nach Zugangsdaten, ich gebe auch meine Zugangsdaten an niemanden. Bei Behörden kann man sich auch nicht durch die Zahlung von Geldbeträgen freikaufen. Kommt mir der Absender oder Betreff komisch vor, lösche ich die Mail sofort und sehe sie mir nicht noch lange an. Bekomme ich vermeintlich von einer Bundesbehörde eine Mail mit einem Bußgeldbetreff bin ich auch skeptisch, normalerweise kommt sowas mit der Post, woher haben die überhaupt meine Mailadresse, also sofort löschen.

Im Ranking sind natürlich auch wieder Botnetze, ein Dauerbrenner; Verschlüsselungstrojaner werden nicht explizit genannt, was mich wundert, aber wahrscheinlich fallen sie unter den Rankingpunkt Trojaner.

  • Hier helfen regelmäßige Datensicherungen auf externen Geräten, um im Falle einer Verschlüsselung, die Daten zurücksichern zu können
  • Virenscanner und Firewall aktuell halten
  • Auf Erpressungen niemals eingehen

 

Wer die gesamte Auswertung lesen möchte, findet sie hier