Sicherheit bei der Dropbox

Viele v.a. Smartphone- und iPad-Nutzer greifen zum Sichern von Dateien in der Cloud auf die Dropbox zurück (www.dropbox.com).  Bequem kann man kostenlos bis zu 2 GB Daten hinterlegen und von allen Geräten, auf denen man die Dropbox eingerichtet hat, zugreifen.

Nun ist auch die Dropbox wegen Sicherheitsproblemen ins Gerede gekommen: es geht darum, dass Mitarbeiter/-innen auf Kundendaten zugreifen können oder anders ausgedrückt unzureichende Verschlüsselung.

Zur Stellungnahme von Dropbox und evtl. Alternativen zu diesem Dienst erschien heute dieser Artikel: http://web.de/magazine/digitale-welt/internet/12804362-wie-sicher-ist-dropbox.html#.A1000109

Veröffentlicht unter Anwendungen & Dienste | Schreib einen Kommentar

Zensus2011 und https – Unterbrechung der Kühlkette

Ähnlich, wie beim Transport von Gefriergut, ist es auch in der EDV, wenn es um Sicherheitsfragen geht. Eine kleine Nachlässigkeit oder Unterlassung in einer einzelnen Komponente macht den Aufwand für Sicherheit an anderer Stelle hinfällig.

Wir haben jetzt den „orangenen Fragebogen“ der Volkszählung zugesandt bekommen. Um die Sachen schnell und schmerzlos hinter uns zu bekommen, haben wir von der Möglichkeit Gebrauch gemacht, den Bogen online auszufüllen. Dabei tritt natürlich die Frage auf, ob man wirklich mit der richtigen Webseite verbunden ist. Dafür gibt es heute eigentlich ein gut funktionierendes und etabliertes Konzept, nämlich https. Ich will die Technik des Verfahrens hier nicht erklären. Da gehen wir mal davon aus, dass das alles durchdacht ist und die Web-Browser dem Nutzer die Details abnehmen. Der Browser meldet dann „Ja, Ok! Die Verbindung ist sicher“ oder „Vorsicht! Die Verbindung ist unsicher“.

Nach dem ich die Anweisungen auf dem Fragebogen befolgt habe, bin ich nach einigen „Klicks“ auf der Seite https://www.zensus2011-gwz.de/idev gelandet und mein Browser sagt mir, dass die Verbindung sicher ist. Das bedeutet zum einen, dass die Datenübertragung verschlüsselt abläuft und zum anderen, dass ich wirklich mit dem Server www.zensus2011-gwz.de verbunden bin. Ob der Server mit dem Namen www.zensus2011-gwz.de aber der offizielle Server für das Ausfüllung der Zensus-Fragebögen ist, geht daraus nicht hervor. Ich weiß es auch nicht. Denn in dem zugesandten Fragebogen und in dem Begleitmaterial wird diese Web-Adresse nicht genannt. Stattdessen wird der Servername www.zensus2011.de genannt. Dahin kann man aber nur eine http-Verbindung aufbauen. Wenn ich diese Site aufrufe, kann ich also nicht sicher sein, das ich wirklich mit dem Server www.zensus2011.de verbunden bin. Was nutzen mir dann die Sicherheitshinweise auf dieser Seite? Und wenn diese unsichere Seite einen neuen Servernamen in die Welt setzt, ist es eigentlich Augenwischerei, dass man eine sichere Verbindung dorthin aufbaut.

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , | Ein Kommentar

iPad vs. Cray

Computer und Smartphones werden immer leistungsfähiger. Das ist hinlänglich bekannt. Dabei erfolgt die Verdoppelung der Leistung ca. alle 20 Monate (Mooresches Gesetz). Aber was ist, wenn man nun rückwärts blickt und in die Vergangenheit schaut.

Der US-amerikanische Professor Jack Dongarra hat sich jetzt, laut einem Artikel der New York Times, mit der Leistung von iPads beschäftigt und herausgefunden, dass diese es in die TOP500-Liste der Supercomputer geschafft hätten. Dies jedoch in den 1980er/1990er Jahren. Ein iPad 2 hätte es demnach mit einer Cray-2, dem schnellsten Supercomputer 1985, aufnehmen können und wäre mit seiner Leistung sogar bis 1994 in der TOP500-Liste vertreten gewesen.

Um heute in der Top500-Liste vertreten zu sein, muss es schon eine Cray XT6m sein, wie sie vom ZIM für die Wissenschaftler der UDE betrieben wird. Dann reicht es immerhin noch zum Platz 447.

Ein Vergleich der Rechenleistung:

Weitere Links zu diesem Thema:

http://www.tuaw.com/2011/05/09/ipad-2-would-have-bested-1990s-era-supercomputers/
http://www.macnews.de/ipad/benchmark-ipad-2-leistung-vergleichbar-mit-supercomputer-der-90er-jahre-172844

 

Veröffentlicht unter Allgemein, Trends & Entwicklungen | Verschlagwortet mit , , , , , , | Schreib einen Kommentar

Bezahlen und Betrügen im Internet.

Der Zeit-Journalist Thomas Fischermann wollte herausbekommen, was mit gestohlenen Kreditkartendaten im Internet weiter passiert. Er hat sich in die Szene begeben und versucht, solche Daten zu kaufen. Das ist ihm zuletzt nicht gelungen, doch war er überrascht wie offen diese kriminelle Halbwelt ist. Sein Bericht „Hinterhof des Cyberspace“ ist in der aktuellen Zeit-Ausgabe vom 5.5.2011 und bei Zeit-Online unter http://www.zeit.de/2011/19/Datenklau zu lesen. Den aktuellen Datenklau bei Sony im Kopf, war mein erster Gedanke beim Lesen des Artikels: „Müssen die ganzen Online-Dienste, denn überhaupt meine Personen- und Kontodaten haben? Kann meine Bank das denn nicht organisieren, dass ich im Internet sicher und anonym bezahlen kann? Nach weiterem Lesen war ich aber entsetzt über mich selbst. Mir wurde klar, dass gut funktionierende anonyme Bezahlmechanismen genau das sind, was die digitale Halbwelt braucht (und zum Teil auch hat).

Was bietet mir meine Bank denn in Bezug auf sicheres Einkaufen im Internet an? Vor gut einem Jahr habe ich einen Flyer bekommen, der das Verfahren 3-D Secure für sicheres Bezahlen mit der Kreditkarte im Internet beschreibt. Wie war das noch? Was hatte ich damals an den Online-Support meiner Bank gemailt?

Wenn man sich für 3d-secure registrieren will, erscheint der Hinweis, dass man die Web-Site der Bank verlasse und „Die Deutsche Bank Gruppe übernimmt keinerlei Haftung für die Richtigkeit, Vollständigkeit und Aktualität dieser Informationen.“ Alle Beschreibungen über 3d-secure, die ich gelesen habe, sagen, dass man sein Passwort über eine Seite der eigene Bank vereinbart und immer dort verifiziert. Sie haben mir einen Flyer geschickt. Sie hätten dort darüber aufklären müssen, dass die Bank das Verfahren durch eine externe Firma durchführen lässt, und Sie hätten mir die URL der „Verified by Visa“-Site bekannt geben müssen. Ich hätte auch erwartet, dass für die Freischaltung ein Kunden-Login bei der Deutschen Bank erforderlich ist. Jeder der mein Geburtsdatum kennt, meine Kartennummer und meine Kontonummer hat, könnte auch die Registrierung durchführen.

Der nörgelnde Kunde hat aber eine höfliche Antwort bekommen:

Herzlichen Dank für Ihr Feedback zur 3D Secure-Registrierung. Wir arbeiten kontinuierlich an der Optimierung unseres Serviceangebotes. Dabei sind wir natürlich auch auf Ihre aktive Mithilfe angewiesen. Sehr gerne nehmen wir Ihre Hinweise in unsere Überlegungen auf, um unseren Qualitätsstandard zu überwachen und zu verbessern. Für Ihre Verbesserungsvorschläge bedanken wir uns und würden uns freuen, Sie bald wieder als zufriedenen Kunden begrüßen zu können.

Das könnte glatt von uns sein. Leider hat sich bis jetzt an dem Dienst und der Darstellung des Dienstes nichts verändert. In der Praxis funktioniert es so. Will man bei einem Online-Anbieter mit einer Visakarte bezahlen und nimmt der Anbieter an dem 3-D-Secure-Verfahren teil, muss man sich trotzdem erstmal mit seinen Kartendaten beim Anbieter registrieren. Bevor der Kauf dann entgültig getätigt wird, wird man zu der URL einer Verified-by-Visa-Seite (deren Name nicht genannt werden darf) umgelenkt. Dort authentifiziert man sich mit seinem Passwort, das man bei der 3-D-Secure Registrierung gesetzt hat. Dann wird man wieder zurück zum Shop gelenkt und Verified by Visa bestätigt dem Shop die Korrektheit der Daten. Ziel des Ganzen ist es, den schwarzen Peter der Haftung weiterzureichen, falls die Kreditkarte missbraucht wird. Nimmt der Dienstleister nicht an dem Verfahren Teil, d.h. nutzt er nicht das angebotene Verfahren zur Kontenverifizierung, ist er der Dumme. Wird aber das Verfahren verwendet und die Karte trotzdem missbraucht, hat der Bankkunde das Problem den Missbrauch nachzuweisen.

Auf jeden Fall verhindert das 3-D-Secure-Verfahren nicht, dass Kunden- und Kontodaten bei Dienstleistern gespeichert werden und gestohlen werden können, und es verhindert auch nicht, dass ein Fremder mit erbeuteten Daten die Identität einer anderen Person annehmen kann und deren Bankkonto belasten kann.

Veröffentlicht unter Allgemein | Verschlagwortet mit , , | Schreib einen Kommentar

iPad – aber sicher!

Mobile Geräte wie Smartphones und iPads sind einfach zu bedienen und oft ständig im Zugriff. Da kann es natürlich lästig sein, das Gerät mit Codes und Sperren zu versehen. Ein solcher Schutz ist jedoch sinnvoll, gerade da das mobile Gerät mobil ist. Wie sieht es also aus mit der Sicherheit im Bereich Zugriffsschutz und Sicherheit der Daten? Das iOS bietet für iPad und iPhone mehrere Stellen, einen Schutz zu aktivieren.

Eine Übersicht:

  • Zugriffsschutz beim Einschalten
    Um das Gerät direkt beim Einschalten vor unerwünschtem Zugriff zu schützen, kann die Code-Sperre (Einstellungen -> Code-Sperre) aktiviert werden. Wird der Schalter „Einfacher Code“ deaktiviert, sind auch mehr als 4 Zahlen als Zugriffsschutz möglich. Diese Einstellung verhindert auch das Backup der Daten auf einem fremden PC oder Mac.
  • Automatische Sperre aktivieren
    Der Zugriffsschutz ist nur dann aktiv, wenn das Gerät nicht eingeschaltet ist. Daher sollte die automatische Sperre nach, z. B. 15 Minuten, gewählt werden, damit das Gerät nicht versehentlich immer eingeschaltet bleibt.
  • Backups verschlüsseln
    Wird das iPad/iPhone mit iTunes verbunden und synchronisiert, wird ein Backup erstellt. Dieses kann bei angeschlossenem Gerät in iTunes auch verschlüsselt werden. Der Punkt befindet sich direkt unter „Übersicht->Optionen“.
  • Einschränkungen
    Unter diesem, auch mit einem Code gesperrten Punkt können Sie die Nutzung von einigen Programmen, z. B. Safari oder Facetime, unterbinden. Hier ist es auch möglich, Punkte wie Installation oder Löschen von Apps auszuschalten sowie die In-App-Käufe zu unterbinden. Dies kann auch zum eigenen Vorteil sein.
  • Gesucht – Gefunden
    Mit dem Programm „Mein iPad/iPhone suchen“ Über diese Programm ist es möglich, das iPhone/iPad zu orten, Meldungen darauf einzublenden, mit einem Code zu versehen oder es „Fernzulöschen“. Dieser Dienst ist mittlerweile kostenfrei, eine Registrierung bei Mobile Me ist jedoch erforderlich. Einen Haken hat dieses Verfahren, wer Zugriff auf das Gerät hat, kann den Punkt wieder ausschalten.

Ob dies alles genügt, mag jeder selbst entscheiden. Diskussionen und weitere Hilfe findet sich bei einer Suche nach „iPad und Sicherheit“ im Internet.

Zuletzt noch einige Links:

 

Veröffentlicht unter Allgemein, Anwendungen & Dienste, Tipps & Tricks | Verschlagwortet mit , , , , , | Schreib einen Kommentar