Skip to content

Sammelsurium

Eigentlich wollte ich das als Stoffsammlung für Blogartikel verwenden. Liegt jetzt aber schon so lange herum, dass ich die kleine Linksammlung jetzt einfach raushaue.

Jan Tschichold: A Brief History of the Ampersand
Don't Design Your Emails
via Kiki@e13Kiki (Twitter; Blog siehe Kiki Thaerigen | e13.de)

Bienenfutter – die Imkerin im Ort empfiehlt

https://www.privacy-handbuch.de/

https://epic.org/privacy/tools.html

Unverschlüsselte E-Mail ist wie eine Postkarte

... jeder, der sie transportiert oder lagert kann sie lesen, vernichten, umleiten. Schlimmer noch: VERÄNDERN.

Das weiß eigentlich jeder. Zumindest von den alten Hasen. Man vergisst es bloß immer und der Nachwuchs ist sich dessen vielleicht nicht bewußt.

Mir wurde es neulich wieder richtig klar, als ich als Admin unserer Bandseite mit überlaufenden E-Mailpostfächern zu kämpfen hatte. Zwar war bei allen Weiterleitung aktiv, aber bei einigen wurden die Mails zusätzlich auf dem Server gespeichert.

Nach Rücksprache mit dem Postfachbesitzer sollte ich das alles löschen. Dazu musste ich das Webmail-Passwort zurücksetzen und das Postfach öffnen, um die Mails zu löschen. Weil das bei diesem Provider sehr umständlich zu machen ist, musste ich den Betreff jeder E-Mail einzeln markieren und löschen.

Das heißt also, dass ich zwangsläufig jeden Betreff zumindest überflogen habe. Und jede Mail auch hätte LESEN können. Und dem eigentlich Mailempfänger war nicht bewusst, dass die Mails da gespeichert waren.

Und das kann JEDER Admin des Providers auch. Ebenso jeder, dessen Server in der Mailkette drinhängt. Und man hat – soweit ich weiß – KEINEN Einfluss darauf, über welche Server eine E-Mail zum Empfänger wandert. Das ist auch so gewollt: man schreibt die E-Mail und muss sich nicht über den Weg den Kopf zerbrechen.

Tja.

Ich habe mich einige Zeit mit Mailverschlüsselung herumgeärgert. Es ist umständlich und selbst in Firmen meistens nicht konsequent umgesetzt. Man braucht z. B. ein persönliches Zertifikat oder einen persönlichen öffentlichen Schlüssel. Verteilung und Verwaltung sind ein Problem. Und ist der Schlüssel überhaupt echt?

Bei Mails an mehrere Personen wirds auch schwierig, wenn man nicht für jeden einen Schlüssel hat. Und für die sog. Role Accounts vergisst man gerne mal, das die vielleicht auch einen Schlüssel brauchen.

Selbst mit gutem Willen ist das aktuell erhältliche Verschlüsselungszeug im Alltag unbrauchbar. Funktioniert allenfalls mit einigen wenigen Leuten, die sich aktiv damit beschäftigen müssen.

Das leidige Thema: Passwörter

Die alte Leier: Jeder Dienst braucht Zugangsdaten mit langen Passwörtern, jeder Dienst ein anderes. Wer soll sich das merken?

Lösungsmöglichkeiten

  • Papier und Bleistift. Zumindest für daheim eine Option. Solange das Blatt nicht unter der Tastatur liegt, sondern z. B. in der Bibel im Bücherregal steckt. Garantiert hackersicher. Hilft nicht gegen Personen, die Zugriff auf das Bücherregal haben.
  • Basispasswort mit Änderungen, die sich z. B. aus der Anwendung ableiten. Also blafasel als Basis und Ergänzungen wie z. B. fk8 für Facebook– Anfangsbuchstabe, letzter Buchstabe, Anzahl Buchstaben. Nachteil: wenn jemand die Facebook-Passwörter klaut, kann er das Schema erkennen und das bei Deinem Paypal- oder Amazon-Account ausprobieren. Deshalb auf keinen Fall ein offensichtliches Muster verwenden. Also eher der dritte Buchstabe und die Zahl mit irgendwas multipliziert oder ähnliches. Kreativ sein.
  • Logo KeepassXC Passwortmanager: man speichert die Daten in einer verschlüsselten Datei und benutzt ein Master-Passwort. Entweder im Browser oder mit einer eigenen Software wie z. B. KeePassXC. Problem: alle Eier in einem Korb. Ist die Software fehlerhat oder das Master-Passwort geknackt, hat der Dieb alles auf einmal in der Hand.
  • Für wichtige Anwendungen sollte man unbeding die sogenannte Zwei-Faktor-Authentisierung (2FA) nutzen: Man hat ein Passwort und einen Gegenstand. Bei der Bank EC-Karte und Pin. Bei Anwendungen (Amazon, Paypal) ein Passwort am PC und eine SMS, die aufs Handy geschickt wird. Umständlicher zu handhaben, erhöht die Sicherheit beträchtlich. No-go: wenn man alles per Handy abwickelt, wird der Vorteil zunichte gemacht. Und Mobiltelefone zählen zwangsläufig zu den unsichersten Geräten. Nachteil: Facebook verwendet z. B. die für 2FA hinterlegte Handynummer für Werbung!

EFF-Logo Fazit: Sicherheit ist aufwendig, ein kontinuierlicher Prozess. Ohne Nachdenken und auf dem Laufenden bleiben geht es leider nicht. Gute Informationsquellen sind z. B. https://www.heise.de/security/ oder auf Englisch die EFF.org (Electronic Frontier Foundation).

40 von 176

Jetzt 55 (40) von 176 Seiten von Youtube-Videos hier im Blog gesäubert. Alles neu macht der Ma ... die DS-GVO.

'Tschuldigung an die Feedreaderleser, die jetzt einige alte Artikel in den Reader gespült bekommen.

Bitte weitergehen. Hier gibt es nichts zu sehen.

Hilfreiche Lektüre rund um IT-Sicherheit

»Spurenarm Surfen mit Mozilla Firefox, Mails verschlüsseln mit Thunderbird, Anonymisierungsdienste nutzen, chatten und Daten verschlüsseln.«

Das ist das Motto der Webseite privacy-handbuch.de. Man mag auf den ersten Blick die Macher für paranoid halten. Spätestens seit Edward Snowden sollten wir gelernt haben, dass die Wirklichkeit die schlimmsten Befürchtungen übertrifft.

Von dieser Seite bin ich auf kuketz-blog.de gelandet, die mich mit den ersten Sätzen der Datenschutzerklärung für sich eingenommen hat:

»An dieser Stelle erwarten Sie bestimmt einen Satz wie: Wir nehmen den Schutz Ihrer Daten sehr ernst. Doch diese oder ähnliche Eingangsformulierungen werden Sie hier vergeblich suchen. Vielmehr habe ich das, was durch solche Sätze versucht wird auszudrücken, direkt in Taten umgesetzt.«

Statt juristischem Geschwafel wird dort verständlich erklärt, welche Daten tatsächlich beim Besuch der Webseite erhoben werden. Und die Artikel über sichere Browsereinstellungen, Add-Ins etc. sind sehr lohnenswert.

Kommentarfunktion außer Betrieb

Viele Experten (alle?) schließen aus den gesetzlichen Regelungen, insbesondere der DSGVO, dass Datenaustausch nur noch verschlüsselt erfolgen dürfe. Vereinfacht ausgedrückt.

Praktisch verstehen das viele (alle?) so, dass Webseiten mit Eingabefeldern (wie z. B. Kommentare im Blog) nur bei Verwendung von https zulässig seien.

Weil ich aktuell keine Zeit habe, mich darum zu kümmern, sind Kommentare aktuell deaktiviert, sorry. Natürlich kann man auch weiterhin E-Mails an die Adresse im Impressum schicken.

Kekse

Ich hab die Keks-Warnung-Nerv-Meldung wieder deaktiviert, weil ich folgenden Absatz dazu gefunden habe.

Quelle:
https://hosting.1und1.de/digitalguide/websites/online-recht/die-eu-cookie-richtlinie-teil-1-was-gilt-in-deutschland/

»[...] Cookies dürfen laut der Richtlinie nur dann ungefragt gesetzt werden, wenn sie technisch notwendig sind – also beispielsweise um einen durch den Nutzer erwünschten Dienst umzusetzen. Hierzu zählen etwa Session-Cookies zur Speicherung der Spracheinstellung, der Log-in-Daten und des Warenkorbs oder Flash-Cookies zur Wiedergabe von Medieninhalten. [...]«

Soweit ich das verstanden habe, wird von s9y hier im Blog ein Cookie gesetzt, das für den Login benötigt wird. Ohne das könnte ich mich nicht einloggen, hat man mir gesagt.

Beim Kommentieren werden vermutlich zusätzliche Kekse gesetzt, deshalb habe ich dort im Text den Hinweis auf Cookies mit untergebracht.

In der Datenschutzerklärung habe ich nach einer Bemerkung von Mark folgende Einleitung hinzugefügt:

Anmerkungen des Blogbesitzers zum Geleit

Wichtiger als eine Datenschutzerklärung sind ein Minimum an technischem Verständnis, entsprechende Browsereinstellungen und der gesunde Menschenverstand.

Informieren Sie sich per Suchmaschine über sichere Browsereinstellungen, schützende Add-Ons etc.

Schauen Sie doch mal bei der Electronic Frontier Foundation (EFF), bei Digitalcourage oder Netzpolitik.org vorbei.