Posts Tagged: ‘Security’

Wichtig für jeden IT-Nutzer: Mit welchen Methoden Cyberkriminelle die Sorge um Covid-19 ausnutzen

25. Mai 2020 Posted by Stefan Pfeiffer

Eine Hör- und Sehempfehlung für alle, die am Computer oder auch Smartphone sitzen (und nicht nur die IT-ler): Die Angriffe durch Cyberkriminelle haben in den vergangenen Tagen und Wochen dramatisch zugenommen. Und das größte Einfallstor sind E-Mails, die immer „besser gemacht“ sind, sich immer besser tarnen. Hinter der E-Mail von Paketzulieferern kann sich ein Angriff verbergen. Auch die vermeintlich offizielle Mail vom Gesundheitsministerium mit Dateianhang ist wahrscheinlich ein Angriff.

Ich habe mich dieser Tage mit meinem Kollegen Carsten Dietrich über Cybersecurity-Bedrohungen in Zeiten von Covid-19 unterhalten. Carsten ist Security Experte und Program Director der IBM X-Force Threat Intelligence in Kassel. Und die Mädels und Jungs, die weltweit verteilt arbeiten, kenne sich wirklich aus und waren wohl die ersten, die bereits im Januar eine Kampagne entdeckt haben, die sich Covid-19 zunutze machen wollte. Und seitdem geht die Post ab. Im wahrsten Sinne des Wortes: Bei jeder neuen Information oder Nachrichtenlage rund um Covid-19 ist mit neuen getarnten E-Mails und darin enthaltenen Ransomware-Attacken und Phishing-Angriffen zu rechnen. Die Mails enthalten entweder dubiose Links zu Webseiten, wo man sensible Daten hinterlassen soll, und/oder es sind schädliche Anhänge enthalten.

Carsten schildert die Bedrohungen sehr plastisch. Deshalb rein hören und daran denken: Immer misstrauisch sein. Prüfen, ob eine Mail plausibel ist. Habe ich zum Beispiel wirklich etwas bestellt, wenn eine durchaus perfekt aussehende Nachricht vom Paketzulieferdienst kommt. Schauen, ob die E-Mail-Adresse, von der die Mail kommt, plausibel oder aber kryptisch ist. Nie Dateien öffnen, die angeblich von einer Behörde wie dem Gesundheitsministerium kommen. Die Behörden werden in aller Regel nie solche Dateien verschicken. Nicht blauäugig Webseiten öffnen und gar dort Daten hinterlassen. Und natürlich immer die eigene Sicherheitssoftware wie den Virenschutz auf dem neuesten Stand halten! Das rund zehnminütige Gespräch, das Teil des IBM Livestudio Magazins war, beginnt mit dem Gespräch mit Carsten:

Das X-Force Team informiert kostenlos aktuell auf dieser Webseite über Bedrohungen rund um Covid-19. Sicherlich von besonderem Interesse für Mitarbeiter von IT-Abteilungen. Wer sich nicht registrieren will, kann als Gast die Informationen einsehen:

Und ich blende hier bewusst den kompletten Link ein.

https://exchange.xforce.ibmcloud.com/search/coronavirus

(Stefan Pfeiffer)

Bild von Elchinator auf Pixabay

Kurz notiert die zu erwarteten B2B-Software-Umsätze: 40 Prozent kaufen mehr Software ein – Videokonferenz- und Security-Lösungen vorne

16. April 2020 Posted by Stefan Pfeiffer

Für mich als Marketer im B2B IT-Umfeld natürlich eine relevante Umfrage von Trust Radius, wie sich das Kaufverhalten von Software weltweit angesichts der COVID-19-Herausforderungen gestalten wird. 40 Prozent der Befragten gehen davon aus, dass sie mehr ausgeben werden, vor allem, um auf die neuen Anforderungen von Remote Working (Stichwort Homeoffice) reagieren zu können. Dabei investieren 30 Prozent mehr in Videokonferenz-Lösungen, 15 Prozent kaufen Security-Lösungen wie VPN oder Firewalls, so der Bericht auf eMarketer.

How Software Buyers Worldwide Expect the Coronavirus to Affect Their Spending, March 2020 (% of respondents)

Im Fokus des IBM Livestudio Magazins: Virtuelle Angebote des Watson Centers (wie Garage Café) und Sicherheit für Endgeräte (nicht nur) im Homeoffice

8. April 2020 Posted by Stefan Pfeiffer

Gestern haben wir das dritte IBM Livestudio Magazin gesendet, leider noch immer nicht auf LinkedIn Live, da es dort noch Herausforderungen mit der länder- oder sprachspezifischen Ausstrahlung gibt.

Hier unsere Themen, gerne auch zum Teilen beispielsweise auf Twitter:

Das #IBM #Livestudio Magazin hat gesendet. @meinradmuch und @freeeq stellen zu Beginn der Sendung die spannenden, neuen virtuellen Angebote des IBM Watson Centers in München vor buff.ly/2wYmo7D

Das #Homeoffice stellt neue Anforderungen an #Datenschutz und #Security. @Soeren_Laader und @MLyschik diskutieren im #IBM #Livestudio Magazin die Herausforderungen und empfehlen #Maas360 zur Verwaltung der Geräte (ab 10:35 Min.) https://buff.ly/3dW4RgZ

Lust auf einen Kaffee? Dorothee Koppermann und @JoergHolzschuh laden Sie dazu ein! Gerade jetzt digitale Projekte mit dem Konzept der #IBM #Garage starten! Unser Gespräch im #IBM #Livestudio Magazin (ab 21:20 Min) https://youtu.be/agraYmt7Mj8?t=1280

Mein Favorit in punkto Humor ist dann das Outtake* am Ende bei Minute 32:40 mit und von Markus Lyschik mit dem denkwürdigen Zitat: „Ich will wieder schöne Flyer drucken.“

* Outtakes (auch Nichtkopierer) sind Teile des gefilmten Materials, die nicht für den Film verwendet werden (können). Während das Wort Outtake grundsätzlich jede Art von nicht in den Film aufgenommene Szenen (ob fehlerhaft oder nicht) bezeichnen kann, werden im engeren Sinne solche Szenen, die (häufig auf komische Weise) schief gegangen (vor allem in den USA) auch Blooper genannt. (zitiert nach Wikipedia)

Heute erstmals gesendet: Das IBM Livestudio Magazin zum #WirVsVirusHack, zu Quantum-Computing in Deutschland und zu CyberSecurity in der gegenwärtigen zeit

24. März 2020 Posted by Stefan Pfeiffer

Wir haben heute erstmals unser neues beziehungsweise runderneuertes IBM Livestudio Magazin gesendet. Ab heute werden wir jeden Dienstag um 11 Uhr Neuigkeiten und Talks aus der Welt der IBM senden. Unser erstes Magazin stand natürlich unter dem Eindruck der gegenwärtigen Ereignisse und ist auch quasi eine „Betaversion“. Diese Nullnummer ist wirklich handgemacht. Die meisten Beiträge wurden via Skype geführt und von mir im Home Office am Rechner aufgezeichnet und danach geschnitten. Wir beziehungswesie ich übe noch und ich bin sicher, dass wir in den kommenden Ausgaben, wenn ein kleines Team zusammen kommt, technisch besser werden.

Über ein wirklich tolles Projekt, den #WirVsVirusHack-Hackathon habe ich mit Anna Hupperth vom Organisationsteam und meinen Kollegen Max Dargatz und Florian Scheil über dieses unglaubliche Projekt gesprochen. Und ich gebe gerne die Aufforderung von Florian an alle weiter: Voten, voten, voten. Hier findet man die vorgeschlagenen Lösungen.

In weiteren Gesprächen geht es um das Thema Security. Lisa Unkelhäusser erklärt uns, was in diesen Zeiten besonders zu beachten ist. Doch wir hatten auch ein Thema auf der Agenda, das in die Zukunft zeigt. Fraunhofer und IBM bringen den Quantencomputer nach Deutschland. Diese Meldung ging vor wenigen Tagen durch die Presse. Was das bedeutet, gerade auch für den Standort Deutschland, das diskutiere ich mit Dirk Wittkopp. Dirk ist Chef des IBM Labors in Böblingen. Als Labor bezeichnet die IBM eines ihrer Forschungs- und Entwicklungszentren, zu deren besten Böblingen gehört. Und mit dabei ist Ingolf Wittmann, dem Q Ambassador der IBM, dessen Team das über 100 Mitglieder starke Quantum Netzwerk der IBM betreut.

Und wenn alles gut geht, senden wir auch wieder kommenden Dienstag um 11 Uhr und natürlich sind die Sendungen immer auf dem YouTube-Kanal der IBM Deutschland und der entsprechenden Facebook-Seite abrufbar.

Bleibt alle gesund und bis dann!

(Stefan Pfeiffer)

Social Media-Splitter: Auch wenn WhatsApp Deine Nachrichten nicht lesen kann, hat Besitzer Facebook ein klares Profil von Dir

14. Februar 2020 Posted by Stefan Pfeiffer

Meine Social Media-Splitter sind diesmal eigentlich vor allem Datenschutz – und Security-Splitter: Man kann einfach nicht genug auf die Datensammlerei von Facebook und Co über deren Werkzeuge aufmerksam machen. Im Interview mit Stern.de erklärt Katharina Nocun, warum Facebook ein klares Profil von uns bekommt, auch wenn die eigentlichen Nachrichten, die wir per WhatsApp senden verschlüsselt sind. Die Metadaten wie die Namen der Gesprächsteilnehmer, die Telefon- und Gerätenummer, die Netzwerkdaten, die IP-Adressen, Informationen über das verwendete Gerät oder Standortinformationen zeichnen ein genaues Bild von uns, ohne dass wir es merken.

Katharina wollte wissen, wer ihre Daten übertragen hat, bekam aber keinen Einblick:

Ich war entsetzt: Facebook hortet Unmengen Daten, aber man enthält sie denjenigen vor, die es betrifft. Vermutlich, weil viele Nutzer das reale Ausmaß erschreckend finden und sich dann von dem Dienst abwenden würden.

Katharina Nocun über Whatsapp: „Man sollte im Zweifel davon ausgehen, dass die Konzerne alles sammeln, was sie können“ | STERN.de

Nicht nur der Inhalt Deiner Nachrichten verrät etwas über Dich

In das gleiche Horn stößt auch der Artikel auf SecureThoughts.com zum Facebook Messenger. Im Beitrag wird aufgedröselt, was Facebook alle so darf, wenn man den Terms & Conditions für die Nutzung zustimmt. Wer versteht schon solche Ausführungen und Datenschutzerklärungen? Der Facebook Messenger kann sensible Daten auf dem Gerät lesen, vom Browserverlauf bis zu den verwendeten anderen Apps, kann Deine Profilinformationen lesen und verändern, Konten hinzufügen, Deine Kontakte lesen, ändern und ihnen Nachrichten senden. Und auch hier können Standortdaten ausgewertet werden. Ich wiederhole Katharinas Statement: Man kann nur entsetzt sein.

Do you know what Facebook does with the information it collects? We do know it sells some of this information to third-parties, which is why the app remains free. … But with the cyber-crimes black market growing at an exponential rate, what stops someone from hacking into Facebook and getting this information? If this information were to get into the wrong hands, information like names, phone numbers, pictures, and locations can be sold to the highest bidder.

Is Facebook messenger security tighter than Fort Knox? We’d like to think so, but …

Facebook Messenger Sending out More than Just Your Message?

Passend dazu folgende Nachricht auf Bloomberg vom 12. Februar 2020:

WhatsApp now has 2 billion users — 500 million more than it had just two years ago. … Facebook is working to encrypt all of its messaging apps, including Messenger and Instagram.

WhatsApp Hits 2 Billion Users, Defends Encryption Features – Bloomberg

Und was ist die am zweit häufigsten genutzte Messenger-App? Der Gewinner bekommt 100 Messi-Punkte …

Und nochmals: Die ganze Verschlüsselung muss sein, aber damit ist die Problematik nicht gelöst, dass der Konzern ein klares Profil von uns hat, es dort schon zahlreiche Datenlecks und Verstöße gegen Data Privacy gegeben hat und die Marktmacht der eines Monopols gleich kommt. Ich kann nur immer wieder dazu ermuntern, Alternativen wie Signal oder Threema zu nutzen!

Instagram boomt und übertrifft Umsätze von YouTube

Bleiben wir im Facebook-Konzern und gehen auf ein weiteres Tool ein, das immer wichtiger wird. Bloomberg berichtet am 4.2.2020:

Instagram, the photo-sharing app Facebook Inc. acquired for $715 million in 2012, generated more than a quarter of the social-media company’s revenue last year, according to people familiar with the matter. The app brought in about $20 billion in advertising revenue in 2019, said the people, who asked to remain anonymous because the figures aren’t public. That beats Google video unit YouTube, which recorded $15.1 billion in ad sales — a number parent company Alphabet Inc. revealed Monday for the first time. Facebook declined to comment.

Instagram Brings In More Than a Quarter of Facebook Sales – Bloomberg

So viel zum Thema Marktdominanz.

Die Suppen-App von Facebook (leider nicht zum Lachen)

Und wer sich intensiver mit Facebook und seinen Plänen auseinandersetzen will, hier noch der Hinweis auf den Podcast und Newsletter The Pioneer Tech Briefing: Wie Mark Zuckerberg ein Darkweb und eine Super-App baut mit Richard Gutjahr und Daniel Fiene. Zitat Richard Gutjahr:

Facebook soll zur Super-App ausgebaut werden – eine App, die Dutzende Apps in sich vereint. Online-Shopping, Online-Banking, Essen bestellen, Konzerttickets kaufen, Filme schauen – alles unter einer Haube, so dass man die App gar nicht mehr zumachen muss. So etwas gibt es schon: Nennt sich WeChat und kommt aus China. Zuckerberg ist dabei, das WeChat des Westens zu bauen.

Tech Briefing: Wie Mark Zuckerberg ein Darkweb und eine Super-App baut

Facebook wolle die digitale Infrastruktur unseres Lebens werden. Da werden sich Google, Amazon und die chinesischern Wettbewerber freuen.

Erhöhte Obacht! Phishing:“Du hast gewonnen“ oder „Bitte überprüfe Dein Passwort“

Und noch eine weitere Erinnerung, die eigentlich nur am Rande mit Social Media zu tun hat. Phishing bleibt ein ernstes Problem, wie Michael Kroker unter Bezug auf eine Studie von KnowBe4 titelt: „Phishing: Ein Viertel aller Nutzer fällt auf Mails zur sofortigen Passwort-Überprüfung herein„. Neben der Aufforderung, das eigene Passwort zu überprüfen, sind Gewinn- und Belohnungsmeldungen natürlich auch immer verdächtig. Deshalb immer aufmerksam sein, von wem eine E-Mail oder Nachricht auf LinkedIn, Facebook oder WhatsApp kommt, E-Mail-Adresse prüfen, kennt man den Abesnder und keine in diesen Nachrichten enthaltenen Links öffnen.

Ein wenig Hoffnung bezüglich Phishing scheint es zu geben. Laut dem aktuelle IBM X-Force Threat Intelligence Index 2020 ist Phishing mit 31 Prozent immer noch die belieteste Angriffsmethode, aber 2018 waren das sogar einmal nahezu 50 Prozent. Der gesamte englischsprachige Report kann hier – gegen Hinterlassen der Kontaktdaten – heruntergeladen werden.

Lesezeichen: Apple, das liberale China oder ein Konzern in der Mid-Life-Krise

15. Januar 2020 Posted by Stefan Pfeiffer

Über den Newsletter des Social Media Watchblogs bin ich auf diesen Beitrag über Apple aufmerksam geworden. Für jeden, der so wie ein technologisch zu hause, mobil und im Büro verapfelt ist, eine sehr interessante Lektüre. Vor geraumer Zeit hatte ich ja im Job mit Apple tun und ich erkenne einige im Beitrag beschriebene Prinzipien wieder, die ich beobachten und erfahren durfte: Die absolute, zentrale Kontrolle. In den Ländern, lokal, scheint wenig oder gar nichts entschieden zu werden. Die Zentrale gibt beispielsweise bis ins Detail vor, wie Apple auftritt. Die einen nennen es Branding. Man kann es eben auch Kontrolle nennen. Mir stieß die fast sektenhafte Firmenphilosphie auf, die man auch bei anderen Konzernen wie Google beobachten kann und konnte.

Von der Company mit geilen Produkten zum Anbieter von Services

Im Beitrag wird beschrieben, wie Tim Cook den Kurs von Steve Jobs verändert hat – und den Marktwert von Apple nach dessen Tod dramatisch gesteigert hat. Cook entwickelt Apple weg von einer Firma, die Geräte produziert, zu einem Unternehmen, das mit Services wie Apple TV+, Music, News+ oder Apple Pay in unseren Alltag eindringt. Und für die Services braucht man natürlich Apple-Geräte. Doch der Weg weg von der Firma, die immer wieder innovative Produkte erfindet, könnte durchaus riskant sein.

Tortoise Media analysiert in diesem Beitrag – weitere zu anderen Tech-Giganten sollen folgen – Apple als ein liberales China. Geheimhaltung ist innerhalb von Apple ein Prinzip. das sich durch das ganze Unternehmen zieht. Der Beitrag spricht von einer Geheimhaltungskultur. Geheimhaltung sei alles, so wird ein Mitarbeiter zitiert.

Geheimhaltung als Credo

Vertrauen ist gut … Man darf individuell kreativ sein, aber eben nur zu den Regeln und in der Hierarchie, die Cook kultiviert. Doch wie innovativ und wettbewerbsfähig ist man in Zukunft? Laut Artikel und Einschätzung von anderen Industrieexperten fällt man im Bereich Künstliche Intelligenz gegenüber Google und Facebook zurück. Das Rennen für autonomes Fahren und Augmented Reality ist offen. Und im Video Streaming Markt gibt es bereits Platzhirsche, mit denen man konkurriert.

Vieles erinnert an die Zeit von Microsoft nach Bill Gates mit Steve Ballmer und der Vergleich mit dem Wechsel von Steve Jobs zu Tim Cook ist nicht neu. Es bleibt spannend, ob der Kurs von Cook erfolgreich sein wird, ob es auch dort eines Wechsels bedarf oder ob es zu einer neuen, ernsthaften Krise bei Apple kommen wird. Der Beitrag schließt wie folgt: „Dies ist eine Firma in der Umklammerung einer Mid-Life Crisis“.

Warum bin ich „auf“ Apple: Sicherheit und Datenschutz

Bemerkenswert und für mich persönlich der Grund, warum ich Apple-Geräte benutze, ist der Anspruch an Datenschutz, Data Privacy, der auch in den vergangenen Monaten immer wieder in Werbekampagnen postuliert wird. Angelehnt an den bekannten Was in Las Vegas passiert, bleibt in las Vegas wurde promotet What happens on your iPhone, stays on your iPhone.

Und es es scheint so, dass Apple wirklich im Vergleich zu anderen Anbietern, am meisten Rücksicht auf Datenschutz nimmt, angefangen vom iPhone bis zu Siri. Dieses Vertrauen lässt man sich natürlich mit dem im Vergleich hohen Preisen im geschlossenen Apple Ökosystem entsprechend bezahlen. Es wird auch interessant sein, ob man diese Linie – teure Geräte und hoher Datenschutz – im Rahmen der Neuorientierung Richtung Services beibehalten kann.

Der Artikel ist – so der Social Media Watchblog – Auftakt einer Reihe, in der Tech-Giganten von Tortoise Media so analysiert werden, als wären sie Staaten. Die weiteren Artikel sollen dann kostenpflichtig sein. Nochmals lieben Dank für den Hinweis.

(Stefan Pfeiffer)

Einige, selektierte weitere Beiträge rund im Apple aus meinem „Block“:

DQL, hübsche Domino Applikationen und sichere Domino Web-Server – ITWU bei der DNUG46 in Essen

7. Oktober 2019 Posted by Lela Meiners

Im Juni war ITWU auf der DNUG46 um sich umzuhören, was sich in der NotesDomino-Welt gerade so interessantes tut. Die Messe war vom 3. bis zum 5. Juni 2019 in Essen und sehr gut besucht. Wir fanden die Vorträge sehr spannend und man merkte grundsätzlich bei der Veranstaltung, dass viel Neues im Gange ist und eine breitere Fülle an Themen aufgefahren wurden, als zu Zeiten unserer letzten DNUG-Besuche – Domino ist und bleibt einfach eine spannende Plattform! Wir finden auch super, dass HCL wieder den Fokus auf die Security legt und es ist überwältigend, wie viel Elan HCL ins Produkt Domino steckt. Den Vorträgen nach können wir schon auf eine riesige Fülle an Möglichkeiten gespannt sein, die in Domino endlich eingebaut werden sollen und auf welche die Nutzer schon lange warten – z.B. Stichwort: ADSync.

Wir haben uns drei Vorträge herausgepickt, von denen wir euch in diesem Artikel berichten möchten:

- Making cool websites with Classic Notes

- Domino Query Language (DQL)

- Domino Webserver Security

 

Making cool websites with Classic Notes

Im Vortrag „Making cool websites with Classic Notes“ war der Clue des Ganzen, dass der Redner bei der Erstellung einer Notes-basierten Webseite ganz ohne Xpages ausgekommen ist und den Webseiten-Code in Formulare geschrieben hat. Diesen Code hat er dann später mit jQuery aus den Views auslesen lassen. Auf diese Weise konnte er die Vorteile von Notes (super schnelle Anwendungsentwicklung, einfache Integration von weiteren Tools wie JQuery, Bootstrap etc., Weltklasse No-SQL Datenbank, …) mit von Notes nicht unterstützten Tools vereinen, da auf diese Weise keine Validierung stattfindet und man prinzipiell im HTML-Code einbinden kann was man möchte.

-> Hier geht es zum vorgestellten Webseiten-Beispiel

Wir waren beeindruckt, wie gut die Beispiel-Webseite aussah. Allerdings sind uns auch Nachteile dieser Methode aufgefallen: z.B. bekommt man auf diese Weise ellenlange und unübersichtliche Views. Zudem ist unseren Kunden in der Regel die schnelle Erzeugung der gewünschten Anwendungsfunktionalität wichtiger als die Verschönerung der Eingabemasken – die Anwendungen sollen einwandfrei laufen, der Rest ist eher Nebensache. Und last but not least kann man den Code mit dieser Methode im Designer nicht debuggen – was für uns ein ziemlicher Schwachpunkt darstellt, weil dadurch nicht so leicht festgestellt werden kann, an welcher Stelle die Anwendung in einen Fehler läuft.

Quelle: Vortrag „Making cool websites with Classic Notes – Theo Heselmans https://dnug46.sched.com/event/LMOg/making-cool-websites-with-classic-notes

 

Domino Query Language (DQL)

Domino Query Language ist als zusätzliche Sprache mit Domino 10 hinzugekommen und dient dazu sich schnelle Datenbankabfragen (kurze Schreibweisen) zu konstruieren (z.B. zur Programmierung von Suchfunktionen). Ohne DQL muss man sich für Datenbankabfragen sehr lange query strings zusammenbauen um Daten einer zugrunde liegenden Datenbank abzurufen. DQL soll recht komplizierte Abfragen mit vielen Dokumenten in kurzer Zeit durchlaufen können und durch eine leicht verständliche Syntax sehr einfach sein, sodass kein Domino-spezifisches Wissen z.B. zu formular language benötigt wird. Da unsere Entwickler allerdings alle bisher noch auf Notes 9 entwickeln, können wir euch noch nichts über unsere eigenen Erfahrungen zu DQL erzählen. Nichtsdestotrotz finden wir, hört sich das Ganze wirklich super vielversprechend an!

Quelle: Vortrag „Domino Query Language (DQL) – John Curtis https://dnug46.sched.com/event/LMQK/domino-query-language-dql

 

Domino Webserver Security

Der Vortrag zur Domino Webserver Security war besonders spannend: Es wurden weit verbreitete Annahmen zu Sicherheitsaspekten von Webservern widerlegt, die wir übrigens in unserer jahrelangen Erfahrung schon leider viel zu oft gehört haben.

Die erste Annahme war, dass ein Webserver nicht gefunden werden kann, wenn dieser nicht öffentlich ist und somit nicht darauf zugegriffen werden kann. Allerdings wird das Web kontinuierlich gescannt und die Ergebnisse sind auf Webseiten wie z.B. „Shodan.io“ ohne Probleme einsehbar. Und sobald die IP Adresse bekannt ist, ist erstmal jeder Server angreifbar. Es ist also auch bei nicht-öffentlichen Webservern sinnvoll und nötig Sicherheitsfeatures zu aktivieren.

Der zweite Einwand war, dass ein Domino (Web-)Server ja recht spezifisch sei und deshalb nicht so leicht zu hacken ist. Die Entgegnung hierauf war, dass es mittlerweile für alles Toolkits gibt mit denen es nicht mehr notwendig ist, dass Hacker sich mit der Serverarchitektur z.B. eines Domino Servers auskennen müssen. Angriffe auf veraltete Systeme seien hier besonders einfach. Ungesicherte Domino Webserver sind also mit den entsprechenden Tools genauso angreifbar, wie gewöhnliche Webserver, besonders diejenigen mit veralteten Betriebssystemen.

In der dritten Fehlannahme ging es darum, dass auf die eigenen Webanwendungen ja nicht ohne weiteres zugegriffen werden könne. Es gibt allerdings in dieser Hinsicht einige mögliche Sicherheitslücken, wie z.B. rein clientseitige Validierungen, die grundsätzlich manipulierbar sind oder schlecht eingestellte Zugriffskontrollen (ACLs). Als Beispiel wurde gezeigt, wie bei einer Anwendung mit schlecht eingestellten ACLs mittels Übergabe von Befehlen über die URL Aktionen ausgeführt werden konnten (z.B. http://Host/Database/View/Document?DeleteDocument – löscht Dokument). Der URL-Befehl-Trick war besonders eindrucksvoll und auch eine Warnung: Wer seine ACLs nicht gut im Blick hat, riskiert nicht-autorisierte Datenbankzugriffe und -manipulationen – nicht nur im Web.

Annahme vier war, dass Verschlüsselung im internen Netz nicht wichtig sei.  Zu dieser Aussage wurde entgegnet, dass HTTP-Verbindungen sehr einfach über bestimmte Software, Hardwaresniffer oder selbst per Smartphone abhörbar sind, d.h. alles was über einen Webserver ausgetauscht wird, ist grundsätzlich abgreifbar. Zwar sind nicht alle Daten schützenswert, aber Nutzer- und Anmeldeinformationen sind es immer! Es ist also grundsätzlich besser auch intern SSL-Verschlüsselung einzusetzen.

Und last but not least die Annahme, dass es schon ausreicht, wenn die Nutzer ihre Kennwörter einmal im Monat ändern. Besser wäre als Admin nicht zu häufige Passwortwechsel zu erzwingen und vom Nutzer ein Passwort wählen zu lassen, welches sehr sicher und einzigartig unter seinen Passwörtern ist, anstatt eines seiner Standardpasswörter hochzuzählen (sind wir mal ehrlich, wer tut es nicht …). Hierzu muss man sagen, dass die Zertifizierung in Notes über die Notes ID schon sehr sicher ist. D.h. man kann einen Notes-Account nicht einfach so Hacken, denn dafür braucht man die Notes ID an die man nicht ganz so einfach kommt. Allerdings bleibt das Thema Passwortsicherheit auch in der Domino Umgebung weiterhin wichtig, allein wenn es um das Internet-Kennwort des Nutzers für Web-Anwendungen geht. Auf letztere kann man nämlich auch ohne Notes-ID zugreifen. So kann z.B. über die altbekannte Bruteforce-Methode versucht werden Zugriff bekommen: Per Script werden hier verschiedene Kennwörter-Nutzername-Kombinationen ausprobiert. So ein Angriff erfolgt meist über Kennwortlisten, welche z.B. nach einem Angriff auf Facebook oder Twitter im Netz auftauchen. Hat man auch woanders ein ähnliches Passwort passend zur selben Mailadresse gewählt, ist es nicht mehr ganz so schwer Passwörter zu knacken. Domino erlaubt per Default unendlich viele Login-Versuche, deshalb ist es sinnvoll als Gegenmaßnahme das sogenannte Internet Lockout im Server-Konfigurationsdokument zu aktivieren. Auf diese Weise deckelt man die möglichen Login-Versuche auf ein gesetztes Maximum.

Zudem sorgt eine hochgedrehte Passworthash-Einstellung intern dafür Nutzerpasswörter recht sicher zu speichern. Beim Passworthash handelt es sich um eine nicht zurückberechenbare Verschlüsselungsfunktion die Anwendung findet in Datensignaturen und der sicheren Ablage von Kennwörtern, in unserem Fall z.B. in der Ablage der Internet-Kennwörter der Nutzer im Domino Directory. Seit Domino 8 ist beispielsweise schon eine recht hohe Passworthash-Verschlüsselung auswählbar, die allerdings nicht standardmäßig eingestellt ist. Um die Passworthash-Einstellung anzupassen, kann man das Domino Directory öffnen und dann über „Actions“>“Edit Directory Profile“ zu den Konfigurationsprofil-Einstellungen gelangen.

Wenn ihr euch für spezifischer mit dem Thema Passwort-Hashes in Domino beschäftigen möchtet, kommt ihr hier auf einen sehr interessanten Artikel dazu.

Quelle: Vortrag „Domino – Webserversecurity – Markus Petzold“ https://dnug46.sched.com/event/LMOm/domino-web-security

 

Abschließend möchten wir nochmal unsere Freude darüber betonen, dass HCL wieder die Sicherheit von Domino als eine seiner großen Stärken aufgreift und daran weiterarbeitet. Grundsätzlich warten wir schonmal sehr gespannt auf die Sicherheitsfeatures von Domino 11.

Habt ihr Fragen oder Anregungen? Ruft uns einfach an unter 05251-288160 oder schreibt uns eine Mail an info@itwu.de.

Unter dem Radar: Microsoft macht es sehr clever und überlässt Facebook, Google, Amazon und Co. die „Aufmerksamkeit“

9. August 2019 Posted by Stefan Pfeiffer

Vor meinem Urlaub habe ich noch einen Artikel von Robert Linder in der Frankfurter Allgemeinen vom 20. Juli unter dem Titel „Unter dem Radar“ gelesen. Er beschäftigt sich darin damit, dass die großen Tech-Konzerne Google, Amazon, Facebook und Apple derzeit in Washington nicht sehr gut gelitten sind. Sogar von Zerschlagung wird gesprochen.

Nur ein Unternehmen bleibt außen vor, fliegt quasi „unter dem Radar“: Microsoft. So habe ich es selbst auch im Januar 2019 formuliert:

Fast unbemerkt unter dem Radar fliegt Microsoft dahin und geniesst gerade auch in Deutschland vergleichsweise großes Vertrauen und das obwohl auch das Redmonder Unternehmen Dreck am Stecken zu haben scheint. Ein Grund dafür ist sicher, dass ein großer Teil der Presse – Ausnahme der heise-Verlag – einfach nicht oder nur wenig darüber berichten: Microsoft bekam für die Datenübermittlung im Betriebssystem Windows 10 an Microsoft-Server den Big Brother-Award wurde. Seit Jahren gibt es immer wieder Sicherheitslücken in den Produkten. Windows mit der Version 10 war erneut in 2018 kein Ruhmesblatt. Office 365 verletzt EU-Recht und sammelt massiv Daten, was in Deutschland kaum registriert und verbreitet wurde. LinkedIn, bei dem es auch in 2018 mindestens einen Vorfall gegeben hat, lasse ich hier einmal außen vor.

über Datenschutz oder „Ich habe ja nichts zu verbergen“ oder was 2018 so passierte bei Amazon, Google, Facebook und Microsoft – StefanPfeiffer.Blog

Satya Nadella, der Microsoft CEO, hat das Unternehmen neu positioniert, ist erfolgreich im Cloud-Geschäft und gebärdet sich bescheidener als zu Zeiten eines Steve Ballmer. Clever. Chapeau. Aber für mich gehört Microsoft unbedingt auf die Watchlist GAFAM mit Google. Apple, Facebook, Amazon und eben Microsoft. Treffende Analyse, aber leider scheint der Kommentar nicht mehr online verfügbar zu sein und ist über Blendle auch nicht mehr verfügbar. Schade. Hätte ihn gerne verlinkt. Wer ihn findet: Trage den Link gerne nach.

Weiter aktuell: Das Magazin vom 6. Juni mit Oliver und Gunnar in Marzahn, dem Sicherheitslaster CTOC und #FreierCode für freie Bürger

7. Juni 2019 Posted by Stefan Pfeiffer

Auf dem Rückweg von Berlin schaffe ich es jetzt endlich, auch hier das gestrige Magazin mit einer Vielzahl interessanter Themen zu publizieren. Gunnar hat mit meinem Kollegen Oliver Hüfner eine mit dem Malteser Hilfsdienst entwickelte altersgerechte Musterwohnung in Marzahn besucht, ein hochaktuelles Thema sowohl unter sozialen wie auch finanziellen Aspekten. Er wird auch noch eine ausführlichere Version des Beitrags für Euch schneiden. Lars hat wichtigen Aussagen der lebhafte Podiumsdiskussion zum Thema Freier Code für freie Bürger zusammengeschnitten – und mich dabei herausgeschnitten. Ich bin jetzt schon ein bisschen nachdenklich, was das bedeuten könnte.

Und daneben gibt es noch eine Vielzahl weiterer Impressionen zum Beispiel vom Security Summit und dem X-Force Command Cyber Tactical Operations Center, kurz CTOC, dem mobilen Sicherheitszentrum, das sich in einem Truck befindet. Hoffentlich haben wir Euch auch den Mund wässrig gemacht auf weitere Beiträge, die wir heute aufnehmen beziehungsweise aufgenommen haben: Wir besuchen den Parfumeur Marc vom Ende von Symrise, der mit Unterstützung künstlicher Intelligenz neue Düfte kreiert. Im Bikini bauen/bauten am 7.Juni 300 Schüler Wettersensoren und verteilen sie in der Stadt, um die Luftqualität zu messen*.

Bei der We Are Developers-Konferenz wird das Projekt und der Call for Code mit dem UN Office für Human Rights vorgestellt, in dem IT-Lösungen entwickelt werden, die Menschen im Fall von Naturkatastrophen helfen sollen. Am 15. und 16. Juni gibt es dazu auch einen Hackathon während der Think at IBM. Wir hoffen, dass noch viele Entwickler bei diesem sozialen Projekt mitmachen. Und hoffentlich schafft es Sascha Pallenberg ins Bikini, um mit uns über den Chatbot Ask Mercedes zu sprechen. All diese Beiträge werden die Tage geschnitten und gehen dann neben anderem Material live.

Unsere nächsten Magazine senden wir dann jeweils dienstags am 11. Juni, 18. Juni und am 25. Juni. Natürlich werden zwischendurch auch einzelne Berichte publiziert. Also dran bleiben. Es lohnt sich

(Stefan Pfeiffer)

* Über 200 Schülerinnen und Schüler haben in Teams selbst einen Umweltsensor zur Messung von Temperatur, Feuchtigkeit und Feinstaub aus einfachen Bauteilen gebaut und gelernt, sie sinnvoll aufzustellen und auf der Online-Plattform luftdaten.info einzuhängen. Die so anfallenden Daten können dann später im Unterricht mit Verkehrs- und Wetterdaten verbunden werden und bieten Grundlage für die Auseinandersetzung mit IoT, BigData und Citizen Science an einem konkreten, aktuellen Beispiel.

 

Ein Thema bleibt sicher in den kommenden Jahren: Cybersecurity und Datenschutz #ThinkatIBM

12. Mai 2019 Posted by Stefan Pfeiffer

Vor einigen Tagen hatte ich die Gelegenheit mit Michael Cerny, dem Verantwortlichen der IBM für Security in der Region Deutschland, Österreich und Schweiz, über die aktuellen Themen rund um Cybersecurity von mangelnder Vorbereitung der Unternehmen, den nur zu menschlichen Herausforderungen bis zu technischen Lücken, von Datenschutzregulierungen wie DSGVO bis zu Sicherheitsattacken oder aktuellen Herausforderungen im Zeitalter des Internets der Dinge in der „Operational Technology“ (OT) unterhalten. Und natürlich weisen wir beide auch auf die Veranstaltungen zum Thema Security während der Think at IBM in Berlin hin:

 

Und Schmankerl ist das C-TOC, das IBM® X-Force® Command Cyber Tactical Operations Center (C-TOC) ist das weltweit erste mobile Sicherheitszentrum, das in Berlin ab 3. Juni vor Ort sein wird: ein 23 Tonnen schwerer schwarzer Truck! Cool. Und wir werden mit dem IBM Livestudio nicht nur aus dem Laster über die Laster der Bedrohungen von Sicherheit und Privatsphäre berichten.

Cybersecurity und Datenschutz: Menschliche Bequemlichkeit und Versagen einerseits, Sicherheitslücken in Systemen andererseits

29. April 2019 Posted by Stefan Pfeiffer

Viele Nutzer predigen bei der Privatsphäre nach außen hin Wasser, trinken im stillen Kämmerlein aber dann doch lieber Wein – indem sie aus Bequemlichkeit oder Ahnungslosigkeit Daten preisgeben.

So schreibt Michael Kroker in seinem Rant vom 26. April und trifft ins Schwarze. Auf der einen Seite wollen wir alle mehr Datenschutz, Privatsphäre und Sicherheit, auf der anderen Seite sind die meisten von uns bequem. Aus Bequemlichkeit geben wir unsere Daten „weg“, die von dem ein oder anderen Konzern monetarisiert werden. Oft sind wir einfach nur zu bequem, wenn es beispielsweise um unser Passwort geht. Die zweistufige Authentifizierung ist nun halt mal etwas aufwendiger – aber eben sicherer.

Doch das Thema Sicherheit geht auf vielerlei Ebenen noch deutlich weiter. Privat, im Geschäftsleben, aber auch im Alltag, wo unsere Infrastruktur mehr und mehr bedroht wird.  Mal ist es menschliche Bequemlichkeit, mal sind es technische Unzulänglichkeiten, Sicherheitslücken in den Systemen, die uns bedrohen. Das Problem sitzt zwar oft, aber nicht immer vor dem Rechner oder am Steuer oder im eigenen Heim.

Das vernetzte Auto als Sicherheitsrisiko

Hackern ist es vor kurzem gelungen, das Elektroauto Tesla Model 3 zu knacken, wie die NZZ berichtet. Im Rahmen eines Hacker-Contests entdeckten sie eine Sicherheitslücke im auf dem Open-Source-Browser-Projekt Chromium von Google basierenden Infotainment-System. Doch auch schon vorher wurde nachgewiesen, dass Teslas (und bestimmt nicht nur die) „geknackt“ werden können. Die Basler Polizei durfte, wie futurezone.at berichtete, Ende vergangenen Jahres wegen Datenschutzbedenken extra umgebaute Teslas nicht in Betrieb nehmen, da der Autohersteller die Fahrzeuge remote kontrollieren könne und natürlich wisse, wo sich diese aufhielten.

Neue Fahrzeuge werden und sind immer mehr fahrende Computer, manchmal „Smartphones auf Rädern“ genannt, deren Apps und Steuerungssysteme Daten erfassen, vom Bewegungsprofil bis potentiell zu den Kameras. Solche Daten können missbraucht, das ganze Fahrzeug im schlimmen Fall angegriffen werden.

100 Millionen Zeile Code beim #ConnectedCar

Das IBM Institite for Business Value (IBV) hat übrigens aktuell zu diesem Thema den Report Securing privacy for the future of connected cars publiziert, der hier heruntergeladen werden kann. Demnach prozessieren vernetzte Autos (#ConnectedCars) bis zu 25 Gigabyte Daten pro Stunde. Die entsprechende Software des Fahrzeugs könne mehr als 100 Millionen Zeilen Code umfassen, deutlich mehr, als die 93.5 Million Zeilen Code, die es benötigt die Flug- und Unterstützungssysteme einer Boeing 787 zu. betreiben. Da wundert es auch nicht, dass beim Volkswagen der 8. Generation laut FAZ  „haperte es vor allem an der Vernetzung des Autos und an der Ausstattung mit softwaregestützten Funktionen und Diensten„.

Die Fragen rund um Datenschutz in Kombination mit Sicherheit werden uns bei allem Komfort und oft auch sinnvollen Anwendungsgebieten überall dort beschäftigen, wo immer mehr „intelligente“ Geräte und Software zum Einsatz kommen, vom eigenen Wagen bis zum Smart Home. Je mehr Devices wir im eigenen Heim einsetzen, desto potentiell anfälliger wird auch das eigene Heim.

Angriffsziel: Unser aller Infrastruktur

Aber denken wir weiter. Es geht unterdessen um weit mehr als das eigene Zuhause. Unsere Infrastruktur könnte angegriffen, gehackt, stillgelegt werden, wird es teilweise schon. Eva Wolfangel berichtet auf Zeit Online über Hackerangriff auf ein saudi-arabisches Kraftwerk, der zu eklatanten Umweltschäden hätte führen können. Auch hier war wohl wieder eine Mixtur von menschlichem – die Fernwartungssoftware sei aus Bequemlichkeit eingeschaltet gewesen, obwohl gerade nicht benötigt – und technischem Versagen – die Steuerungsmodule eines Herstellers wurden „geknackt“ – schuld.

Saudi-Arabien, das ist weg und die blicken es eh nicht? Von wegen, auch unsere Infrastruktur ist angreifbar. Erinnern wir uns nur an den Trojaner WannaCry, der eine Lücke in Windows nutzte und auch in Deutschland IT-Systeme der Deutschen Bahn, von Krankenhäusern und Unternehmen befiel. Und die Bedrohung nimmt zu: Laut eines Berichtes der Welt vom Februar 2019 vermeldet das Bundesamt für Sicherheit in der Informationstechnik deutliche mehr und eine neue Qualität Cyberangriffe. Die Gefahr sei deutlich gestiegen, dass Strom, Wasser oder andere lebenswichtige Versorgung angegriffen und ausfallen könnten.

Auch der TÜV Rheinland stößt in seinem Cybersecurity Trend Report 2019 (Download gegen Registrierung hier) in dieses Horn: Cyberangriffe werden zu einem immer höheren Risiko und bedrohen Technologien wie Operational Technology (OT) in der Industrie sowie das Internet der Dinge. Hier möchte ich auch nochmals auf mein Gespräch mit Lisa Unkelhäußer von der Hannover Messe 2019 verweisen.

Das Thema muss uns weiter beschäftigen: privat, in Unternehmen und Verwaltungen und als generelle Bedrohung unserer Infrastruktur. Weniger Bequemlichkeit der Anwender in jedem Lebenszusammenhang, intensive Schulungen, immer wieder, ja lebenslang, und natürlich auch sinnvolle Vorkehr- und Abwehrmaßnahmen müssen die Antwort sein.

Thema auf der Think at IBM am 5. und 6. Juni in Berlin

Das Thema Cybersecurity und Datenschutz wird auch ein zentrales Thema während der Think at IBM zwischen dem 20. Mai und 29. Juni 2019 in Berlin sein. Das Security Summit am 5. und 6. Juni ist sicherlich das zentrale Event zu diesem Thema. Auch im Livestudioio zur Think at IBM werden wir ganz sicher über das Thema berichten. Lust zu einigen Gesprächsrunden, Lisa Unkelhäußer, Michael Cerny, Carsten Dietrich und Martin Runde. Vielleicht kommt ja auch das BSI zu der ein oder anderen Diskussionsrunde dazu?

Und natürlich sind wir auf das C-TOC gespannt, das 23 Tonnen schwere Trainings-, Simulations- und Sicherheitszentrum auf Rädern – integriert in einen beeindruckenden schwarzen Truck. Den werden wir uns im Livestudio nicht entgehen lassen. Hier ein Vorgeschmack:

(Stefan Pfeiffer)


Michael Kroker hat in seinem Blog eine für sich sprechende Infografik von Varonis veröffentlicht, in der die Wahrscheinlichkeit eines Cyberangriffs im Vergleich mit Einbruch, Blitzschlag verglichen werden: Die Wahrscheinlichkeit eines Cyberangriffs liegt bei 1 zu 4, bei einem Wohnungseinbruch bei 1 zu 345

CyberWahrscheinlichkeitIG


Re: Make sure that the “Names.nsf” cannot be accessed via Internet!

11. Februar 2019 Posted by Sven Hasselbach

Because my comments are still awaiting moderation (tried two times hours ago, but no luck), I have decided to answer to this post from Milan in my blog:

„Yes, it is not good that these passwords are reachable from „outside“, but keep in mind that under normal circumstances the access to the names.nsf is restricted by default, because “Anonymous” is set to “No access”. So, the “exposed data” to the web are the informations which would be accessible for all users when using the Notes client.

The exposed data itself are hashed and salted, so even if the password hashes are reachable this does not mean that this is directly a security nightmare – you should not sleep well, but it is enough time to fix this in the next days. I don’t want to play it down, but the CVE is from 2016 and does not contain an exploit to extract the passwords from the hashes.

For more details, Ben has written a very informational post on passwords and hashes: Deep Dive into IBM Domino Security Part 1: Password Hashes

Also, you can use xACL for protecting these sensitiv data. Here is what IBM wrote about this topic: Securing Internet passwords

Exchange API for Java: Allow *all* type of certificates

29. Januar 2019 Posted by Sven Hasselbach

I had troubles accessing internal Exchange servers using the EWS Java API because of self-signed SSL certificates (and not matching host names), that’s why I created a patch which overrides the existing certificate check and allows all type of SSL certificates.

The code can be found here: https://github.com/hasselbach/ews-java-api

Be aware that this is lowers the security, so you should know what you are doing before using it in productive environments!

#9vor9 Premiere 2019 frei nach @gsohn: #Habeck, #Hass und #Hacker

15. Januar 2019 Posted by Stefan Pfeiffer

Unser Gunnar ist in der zweiten Januar-Woche wieder aufgewacht und hat zu #9vor9 geblasen und Lars und ich sind gekommen. Unser Thema – klar – war das „Hackerangriff“, das „Doxing“, warum Emma und Otto Nomalanwender/in überfordert sind und dass der Staat eigentlich Open Source-Plattformbetreiber werden müsste – daran aber wohl keine Partei wirklich Interesse hat. Die Lobbyisten eh nicht. Hier über den Periscope-Link reinhören. Weiter unten füge ich dann einig Tweets und Pins zum Thema ein:

Zum Thema:

Das Internet of Things (IoT), der Stoff, aus dem Träume auch im eigenen Heim gemacht sind?

27. November 2018 Posted by Stefan Pfeiffer

Welch ein Pamphlet von Greg James, Global Chief Strategy Officer der Havas Media Group, auf LEAD. Die schöne neue Welt der vernetzten Städte und des voll automatisierten Heims …

Unser Zuhause ist nicht nur unser Zufluchtsort, sondern auch ein sorgfältig kalibriertes und hochgradig personalisiertes Ökosystem, das auf uns allein oder wenige andere Personen angepasst ist. Oder zumindest wird es dies bald sein.

So sehr ich mich über die Aussicht freue, in einer Smart City zu leben, umso ungeduldiger warte ich auf den Tag, an dem mein Roomba nicht nur die Wollmäuse entfernt, sondern sich auch noch um die Wäsche, das schmutzige Geschirr, und meine Steuererklärung kümmert – man wird ja noch träumen dürfen.

über Smart Cities: Wie die Städte der Zukunft aussehen werden | LEAD

Und wenn ich seine Träume lese, denke ich an meinen Roomba, der immer am Teppich und an Ecken gescheitert ist und deshalb verkauft wurde. Und dann frage ich nach der Sinnhaftigkeit und stolpere wenig später über den Beitrag von Mirko Borsche, der sich zu Hause sicherer fühlen wollte, und deshalb „eine Welcome-Kamera von Netatmo“ zum Testen bestellte:

Sie nimmt jeden Menschen auf, der zur Tür hereinkommt, identifiziert ihn per Gesichtserkennung und verschickt eine Nachricht an den Wohnungsbesitzer … Handelt es sich um eine noch nicht abgespeicherte Person, bekommt man eine Nachricht mit dem Hinweis: „Unbekanntes Gesicht gesehen.“

Der große Vorteil liegt also darin, dass man durch die Fotos der Kamera Einbrecher identifizieren könnte. Andererseits gibt es auch einen Nachteil. Wenn man – wie ich – vergisst, die Privatsphäre so einzustellen, dass bekannte Gesichter nicht mehr gemeldet oder aufgezeichnet werden, kriegt man jedes Mal eine Nachricht, wenn jemand an der Kamera vorbeiläuft. Da das in einer Wohnung recht häufig passiert, habe ich inzwischen gefühlt 10.000 Fotos von meiner Familie, dem Nachbarsjungen und auch von mir selber zugeschickt bekommen.

über Welcome-Kamera: Mirko Borsche will sich zu Hause sicherer fühlen | ZEITmagazin

10.000 Fotos  und allein der Name Welcome-Kamera, quasi willkommen, liebe Einbrecher oder was … Sorry, natürlich das genau nicht. Einbrecher sollen ja ferngehalten werden. Auch ich habe mal überlegt, mir eine Sicherheitslösung wie das Arlo Pro System von Netgear zu zulegen, mich aber bisher dagegen entschieden. Wegen des Preises und des Blickes meiner Göga. Meine geplante Ausrede war, dass in der Nachbarschaft eingebrochen wurde, aber ich habe mich dann (doch noch) am Riemen gerissen.

In meinem Smart Home hat es bisher nur zur Heizungssteuerung gereicht und ganz ehrlich hätte ich mir hier eine komfortablere Lösung gewünscht. Gut, das MAX!-System von ELV tut es, hat aber nicht gerade die benutzerfreundlichste Bedienung. Zum Zeitpunkt, als ich MAX! anschaffte, fand ich kein in preislich vernünftiges System, das mit zu Apple Home kompatibel war. Meine heimischer IT-Zoo ist halt total veräppelt.

Und gehen wir mal einen Schritt zurück. Liest man den typisch amerikanischen Beitrag von Greg James, dann ist künftig alles vernetzt vom Kochtopf bis zur Clospülung. Wunderbare neue Welt:

Für viele von uns ist der Begriff eines vollständig verwirklichten Internets der Dinge (IoT) – einschließlich wirklich digital verbundener Städte – der Stoff, aus dem Träume gemacht sind.

über Smart Cities: Wie die Städte der Zukunft aussehen werden | LEAD

An der Stelle muss ich dann schon einmal STOP sagen und dazu raten, darum bitten, das Hirn bei der Vernetzung – hier des eigenen Heims, aber auch generell von Städten und Unternehmen – einzuschalten und die Chancen und Risiken bewusst abzuwägen. Wie schreibt Mirko Bosche:

Die Digitalisierung soll helfen, das Wohnen nicht nur einfacher und effizienter zu machen, sondern auch sicherer.

über Welcome-Kamera: Mirko Borsche will sich zu Hause sicherer fühlen | ZEITmagazin

Was ist überhaupt sinnvoll und – ganz wichtig – was ist sicher? Unter Experten ist es keine Frage, dass mit immer mehr Sensoren und „Devices“ im Internet der Dinge (Internet of Things, IoT) auch immer größere Sicherheitsanforderungen auf Unternehmen, aber eben auch Privatpersonen zukommen. Ende 2016 fielen 900.000 Telekom-Router durch eine Schadsoftware aus. Nun streiten gerade das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Chaos Computer Club (CCC)  darüber, wie man auf das „Mindesthaltbarkeitsdatum“ von Routern aufmerksam machen sollte, also den Zeitraum kennzeichnet, wie lange ein Router mit aktueller Firmware (Software) unterstützt wird. Der CCC will einen „Aufkleber auf der Packung, als wäre der Router ein leicht verderbliches Lebensmittel“.

Und es geht latent mit Vorfällen weiter, manchmal nicht öffentlich kommuniziert, manchmal sehr publik wie im Oktober 2017. Da wurde durch KRACK die WPA2-Verschlüsselung von drahtlosen Netzwerken bedroht und die entsprechend Meldung schaffte es bis in die Tagesschau.

Jedes Gerät im Internet der Dinge ist angreifbar

KRACK war nur ein Fanal: Router, Überwachungskameras, das per W-LAN öffnende Garagentor, der Kühlschrank, alle SmartHome-Geräte, alle Devices, das im Internet der Dinge in das Netzwerk eingebunden werden, müssen auf dem neuesten Sicherheitsstand sein und sollten die neuesten Patches eingespielt haben. Aber das ist bestimmt nicht immer der Fall und so raten viele Experten beispielsweise dazu, nur Geräte von größeren, bekannten Herstellern zu kaufen.

Und nochmals explizit: Je vernetzter das eigene Heim ist, je mehr IoT-Geräte dort im Einsatz sind, umso wichtiger ist das Thema Sicherheit. Ich glaube nicht – und das ist snobistisch gemeint, denn auch ich blicke da nicht durch -, dass jeder Häusle- und Heimbesitzer sich der Risiken bewusst ist und die entsprechenden Kenntnisse hat.

Drüber nachdenken: Was machen Alexa & Co mit uns oder wir mit ihnen?

Über eine andere potentielle Sicherheitsbedrohung habe ich in den vergangenen Monaten zur Genüge geschrieben. Für mich sind smarte Lautsprecher und Geräte wie Alexa von Amazon oder Google Assistant ebenfalls ein Sicherheitsrisiko. Wer garantiert, dass unsere Gespräche nicht aufgezeichnet werden? Sind die Geräte wirklich ausgeschaltet, wenn ich sie OFF schalte? Wo und wie werden die erfassten Gespräche und damit Daten gespeichert? Wer hat Zugriff darauf und vermarktet sie potentiell? Platziert man mit Alexa & Co den permanenten Dauerverkäufer im eigenen Wohnzimmer? Amazon freut sich darüber in vielerlei Beziehung. Alexa wird zum neuen Windows, zum Betriebssystem unseres Heims und bald Autos und hält auch teilweise Einzug in Unternehmen

Nochmals zum Ursprung: Was ist überhaupt sinnvoll, habe ich gefragt. Brauche ich wirklich den Kochtopf, den ich per Sprachsteuerung sage, dass ich zu spät komme. Ist das der riesige Nutzen- und Komforteffekt? Meiner Meinung nach nicht. Die Frage Brauche ich das wirklich? sollte durchaus gestellt werden dürfen. Und, Männer, manchmal auf Eure Frau hören.

Vernetzen, aber dabei Hirn einschalten

Zum Abschluss des Beitrags nochmals klar und deutlich: Ich bin ein absoluter Freund intelligenter Geräte und damit des Internet of Things auch im eigenen Heim. Wir sollten uns bewusst dort vernetzen, wo es Sinn macht. Ich bin davon überzeugt, dass sich Sprachassistenten wie Alexa oder Siri durchsetzen werden und die natürliche Art sind, wie man gerade zu Hause Geräte bedienen sollte. Wenn ich das schreibe, schaue ich beispielsweise auf sage und schreibe 7 Fernbedienungen, aber das ist eines eigenen Beitrags wert. Und, liebe Frauen, wir Männer dürfen auch mal die Tech Gadgets spielen, aber lasst uns alle unser Hirn einschalten, was das Thema Sicherheit und Datenschutz angeht. Gerade auch im Smart Home.

(Stefan Pfeiffer)

P.S. Bei wem die doch wohl vorhandene klassische Rollenverteilung Mann will neue technische Spielzeuge und Frau ist (in dieser Beziehung) vernünftig, anders herum verteilt ist, der möge meine Zuordnung oben verzeihen. Es ist in keiner Weise diskriminierend gemeint und auch manche Männer lieben Schuhe!