Posts Tagged: ‘verschlüsselung’

WhatsApp dominiert – auch wenn Deutsche angeblich Wert auf Datenschutz und Verschlüsselung legen

22. Dezember 2018 Posted by Stefan Pfeiffer

Die Woche dominieren Social Media-Themen meinen Blog. So bin ich passend zu meinem Beitrag zu Support über Messenger auf die Ergebnisse der Studie von YouGov und MessengerPeople gestossen:

WhatsApp erreicht 50 Mio Deutsche (81%! aller Internetnutzer) täglich und ist zu 98% mobil. Noch Fragen …

über WhatsApp ist derzeit nicht zu schlagen | LEAD

Und WhatsApp dringt durch – auch auf den Sperrbildschirm:

StudieMessengerPeopleYouGov1

Damit sind wir auch wieder beim Thema Dominanz des Unternehmens Facebook mit dem sozialen Netzwerk, Instagram und eben Whatsapp.

Mit WhatsApp und dem Facebook Messenger liegt das Unternehmen in der Nutzung weit vor allen anderen, wie eine Studie von Bitkom Research belegt. Vom Messenger Signal von Open Whisper Systems, dem Favoriten der Netzelite, noch keine Spur. Einmal wieder eine Open Source-Lösung (mit sicherer End-to-End-Verschlüsselung), die es schwer hat.

180418-Messenger-Nutzung-PG

„Erschwerend“ kommt hinzu, dass zwar die von Bitkom Befragten angeben, dass ihnen Datenschutz und Verschlüsselung wichtig sind, aber trotzdem nutzen sie WhatsApp und Facebook-Messenger.

Auch die Datenschutz-Richtlinien des Anbieters stufen die Messenger-Nutzer bei ihrer Entscheidung für einen Kurznachrichtendienst als sehr wichtig oder eher wichtig ein. 90 Prozent ist der datenschutzrechtliche Umgang des Anbieters mit ihren persönlichen Daten wichtig und 87 Prozent die Datensicherheit der Kommunikation, etwa durch Ende-zu-Ende-Verschlüsselung.

über Neun von zehn Internetnutzern verwenden Messenger | bitkom

Wer sich zur Nutzung von WhatsApp und generell Messengern informieren will, dem sei die komplette Studie von YouGov und MessengerPeople empfohlen, die über diesen Link nach Hinterlassen der Kontaktdaten heruntergeladen werden kann. Demnach sind die Nutzer an Terminvereinbarungen oder Reklamationen per Messenger interessiert, weil sie hier nicht an Warteschleifen und Öffnungszeiten gebunden sind. Kein Wunder auch, dass die MessengerPeople WhatsApp als den Kanal für Marketing und Vertrieb empfehlen:

Wenn den Leuten etwas gefällt, dann teilen sie es über WhatsApp! …

Man kann natürlich auch darauf hoffen, dass Leute den Content irgendwo bei Facebook, Instagram oder der Webseite entdecken und dann per WhatsApp teilen. Viel smarter ist es jedoch, den Content direkt für WhatsApp aufzubereiten und zur Verfügung zu stellen. Dafür eigenen sich WhatsApp Newsletter hervorragend!

über WhatsApp ist derzeit nicht zu schlagen | LEAD

Gut nur, dass ich noch keine Newsletter per WhatsApp oder einen anderen Messenger installiert habe. Die Meldungen kann ich im Sperrbildschirm nun wirklich nicht brauchen. Wenn schon Newsletter, dann bleibe ich altmodisch bei … E-Mail.

(Stefan Pfeiffer)

WhatsApp Verschlüsselung auf den Zahn gefühlt

9. Juni 2016 Posted by Robert Becker

WhatsApp verschlüsselt massentauglich – aber …

WhatsApp Verschlüsselung mit RestrisikoWhatsApp, der Messenger-Dienst mit rund 1 Milliarde Nutzer, verschlüsselt seit April seine Kommunikation vollständig und plattformübergreifend. Seit zwei Monaten werden nicht nur Anrufe sondern auch Nachrichten, Fotos und Videos verschlüsselt verschickt.

Logo WhatsApp WhatsApp hat dazu eine sichere Ende-zu-Ende-Verschlüsselung für alle Betriebssysteme eingeführt. Ende-zu-Ende verschlüsselt bedeutet: Sämtliche Daten werden auf Seite des Absenders verschlüsselt und erst wieder beim Empfänger entschlüsselt. Kein Dritter, nicht einmal WhatsApp selbst, kann also die Kommunikation mitlesen. Die Verschlüsselungsfunktion ist bei WhatsApp automatisch aktiv und an einem Schloss-Symbol erkennbar.

WhatsApp Verschlüsselung von einem der Besten

Mehr Privatsphäre mit Sicherheitslücken Die Verschlüsselung stammt von Krypto-Koryphäe Moxie Marlinspike und seinem Team von Openwhisper-Systems, die sich bester Reputation erfreuen. Marlinspike hatte bereits die Ende-zu-Ende Verschlüsselung der Messenger-App TextSecure entwickelt, welche unter Fachleuten lange als sichere Alternative zu WhatsApp galt.

Das alles klingt also erst einmal nach deutlich mehr Privatsphäre bei WhatsApp. Auf den zweiten Blick tun sich jedoch einige Lücken auf: So werden beispielsweise weiterhin Metadaten gesendet und manche Chats bleiben weiterhin unverschlüsselt. Aber gehen wir dem Ganzen der Reihe nach auf den Grund:

Unverschlüsselte Chats

Die Verschlüsselung funktioniert nur, wenn alle Chatpartner die neueste WhatsApp-Version verwenden. Für Gruppenchats bedeutet es: Nutzt eine Person eine ältere Version, wird der gesamte Gruppenchat unverschlüsselt übertragen – andernfalls könnte der entsprechende Teilnehmer die Nachrichten ja nicht mitlesen. Ob der Gruppenchat verschlüsselt ist, erkennen Sie am Schloss-Symbol in den Gruppeninfos.

Metadaten weiterhin auswertbar

Auswertung der Metadaten zu Marketingzwecken sowie aus wirtschaftlichen und politischen Gründen Dass Inhalte bei WhatsApp jetzt verschlüsselt übertragen werden, bedeutet nicht, dass der Messenger-Dienst nicht trotzdem nachvollziehen kann, wem Sie wann eine Nachricht übermittelt haben. Anhand von sogenannten Metadaten lässt sich genau das nachvollziehen. Metadaten sind natürlich einerseits für die eigenen Marketingzwecke attraktiv. Denn vergessen Sie nicht: Die Facebook Chat-App ist kostenlos und werbefrei – das Netzwerk hat also allein aus wirtschaftlichem Grund ein Interesse an seinen Nutzerdaten. Andererseits sind Metadaten für Geheimdienste und Strafverfolgungsbehörden hochinteressant, denn auf diese Weise lassen sich beispielsweise Kommunikations-Netzwerke aufdecken und herausfinden, wer mit wem in Verbindung steht.

(Kontakt-) Datenspeicherung in den USA

Hinzu kommt: Das Adressbuch, sprich die Kontaktdaten seiner Nutzer, überträgt WhatsApp weiterhin ungefragt auf US-amerikanische Server und ist damit nicht mit dem deutschen Datenschutzrecht vereinbar. WhatsApp beteuert immerhin, dass es sich ausschließlich um die Telefonnummern und nicht um Namen, E-Mail oder Adressen handelt. Da WhatsApp das Adressbuch auch bei Facebook hoch lädt und damit dort auch sämtliche (Geschäfts- ) Kontakte ohne Zustimmung der Betroffenen landen, lässt uns davon abraten, die App auch im Firmenumfeld einzusetzen.

WhatsApp ist nicht Signal

WhatsApp nutzt die gleiche sichere Verschlüsselung wie die von Whistleblower Edward Snowden empfohlene Chat-App Signal. Das Signal-Protokoll gilt unter IT-Sicherheitsexperten als vorbildlich. Aber: Anders als Signal ist WhatsApp kein Open Source System. Man kann also nicht einfach den Quellcode einsehen und darin nach möglichen Kryptographie-Fehlern oder eventuellen Sicherheitslücken und Hintertürchen suchen. Oder anders gesagt: Wir wissen nicht, wie die Verschlüsselung implementiert ist und wo der private Schlüssel gespeichert wird.

Das Dilemma, US IT-Dienstleister zu sein

Skepsis bleibt Nicht quelloffen, auswertbare Metadaten und Kontaktdatenspeicherung: Ein wirklich sicheres Gefühl hinterlässt das alles nicht. An dieser Stelle müssen wir dennoch eine Lanze für WhatsApp brechen. Denn als amerikanischer IT-Dienstleister bleibt WhatsApp fast gar nichts anderes übrig als entweder eine Hintertür einzubauen oder aber die Verschlüsselung für US-Behörden offenzulegen. Begründet liegt dies im 2001 erlassenen Patriot Act, nach dem US-Unternehmen Kundendaten aus der ganzen Welt an US-Behörden wie die Bundespolizei FBI übergeben müssen.
Dazu meint auch Blogger und IT-Sicherheitsexperte Mike Kuketz, Dozent an der dualen Hochschule Karlsruhe: „Auch nach Einführung einer Ende-zu-Ende Verschlüsselung ist und bleibt WhatsApp kein Garant für eine sichere Kommunikation. Es sei denn wir formulieren die Definition von sicherer Kommunikation neu und ergänzen: [ … ] Kommunikation ist auch dann als sicher einzustufen, wenn Behörden und andere regierungsnahe Institutionen über die Möglichkeit verfügen diese in lesbarer bzw. unverschlüsselter Form auszulesen.“

Eine Nummer für die Sicherheit

Ist mein Chatpartner tatsächlich derjenige, für den er sich ausgibt? Die Frage ist nicht ganz unberechtigt, denn Handys und Smartphones können gestohlen werden – und die SIM-Karte in fremde Hände gelangen. So gelangt dann auch ein Dritter an die mit WhatsApp verbundene Telefonnummer des eigentlichen Chatpartners. Für diesen Fall hat der Messenger-Dienst eine Lösung gefunden, die an Signal erinnert: Um sicherzugehen, dass am anderen Ende tatsächlich die Person sitzt, mit der Sie kommunizieren möchten und der Verschlüsselungscodes Ihres Handys mit dem des Empfängers übereinstimmt, sollten Sie die Sicherheitsnummern überprüfen. Dazu können Sie sich entweder mit Ihrem Chatpartner treffen und den im Chat angezeigten QR-Code scannen oder die 60-stellige Nummer austauschen. Ist diese auf beiden Geräten identisch, sind die WhatsApp Nachrichten sicher verschlüsselt.

Übrigens: Ändert sich die Sicherheitsnummer eines Chat-Partners, zeigt WhatsApp einen Hinweis an. Das funktioniert jedoch nur, wenn man diese Benachrichtigung im Menü „Sicherheit“ aktiviert hat.

Fazit

WhatsApp macht trotz Kritik einen großen Schritt nach vorn in Sachen Privatsphäre. Massentauglich ist die Ende-zu-Ende Verschlüsselung von WhatsApp allemal: Anwender müssen schließlich nichts weiter tun, als sie die aktuellste Version zu installieren.

Natürlich bleibt ein gewisses Restrisiko – insbesondere hinsichtlich der beim Betreiber anfallenden Metadaten – aber diese fallen auch beim Telefonieren, beim Mailen mit PGP oder Signal, oder bei SMS an. Und was das Vertrauen angeht: Als Nutzer sind Sie mangels Offenlegung des Quellcodes eben nicht 100 prozentig sicher, ob die Facebook-Tochter Ihnen nicht doch eine manipulierte App unterschummelt, die die Verschlüsselung untergräbt.

Ähnlich sieht das auch Mike Kuketz: „Die Einführung der verbesserten Verschlüsselung ist tatsächlich ein Schritt in die richtige Richtung, sollte aber niemals von der Tatsache ablenken, dass sichere Kommunikation damit weiterhin unmöglich bleibt. Zumindest dann, wenn wir außer Kontrolle geratene Behörden und Geheimdienste in unsere Überlegungen mit einbeziehen.“

Wie bewerten Sie die Ende-zu-Ende Verschlüsselung von WhatsApp? Nutzen Sie bereits die neue WhatsApp Version? Ich freue mich auf Ihren Kommentar.

Der Beitrag WhatsApp Verschlüsselung auf den Zahn gefühlt erschien zuerst auf GBS - Der Blog rund um Collaboration & Co.

GBS live von der CeBIT: Das bewegt IT-Manager und CIOs in diesem Jahr

14. März 2016 Posted by Andreas Richter

d!conomy: join – create – succeedWir blicken auf einen erfolgreichen ersten CeBIT Tag zurück. Angetreten ist GBS in diesem Jahr in Halle 2 mit einem spannenden Themenmix aus E-Mail Sicherheit, Workflow-Technologien und Anwendungserstellung – und der stößt beim Messepublikum auf enormes Interesse.

Die weltweit größte ITK-Messe hat das Motto „digitale Transformation“ ausgerufen. Die Digitalisierung hat inzwischen alle Bereiche von Wirtschaft und Gesellschaft erreicht und bietet gewaltige Chancen aber auch Herausforderungen. Vor dem Hintergrund der digitalen Transformation spielt die Plattformunabhängigkeit von Geschäftsprozesse und deren mobile Verfügbarkeit eine immer größere Rolle. Gleichzeitig funktioniert Digitalisierung jedoch nicht ohne umfassende IT-Sicherheitsmaßnahmen.

Wir haben bei unseren Kolleginnen und Kollegen am Stand nachgefragt, was die Gemüter von IT-Managern, CIOs und Geschäftsführern in diesem Jahr besonders bewegt. Das einhellige Feedback: Die zunehmende Zahl von Cyberattacken denen Unternehmen ausgesetzt sind, als Begleiterscheinung der wachsenden Digitalisierung sowie deren effektive Abwehr. Ein großes Thema ist außerdem der Datenschutz beziehungsweise die Vermeidung von ungewolltem Datenabfluss im E-Mail-Verkehr.

Mit dem verbesserten Phishing- und Spam-Schutz der iQ.Suite, durch Integration der Kaspersky Sicherheitstechnologien sowie der Erweiterung von iQ.Suite DLP um fortschrittliche Technologien zur Erkennung von Verhaltensanomalien im E-Mail-Versand, haben wir offenbar genau ins Schwarze getroffen.

E-Mail: Einfallstor für Malware

E-Mail hat sich zum Einfallstor Nummer 1 für Cyberbedrohungen entwickelt. Unsere Kollegen werden deshalb nicht müde darauf aufmerksam zu machen, dass gerade E-Mail-Sicherheit nicht dem einzelnen Mitarbeiter im Unternehmen überlassen bleiben sollte. Vielmehr sind es hier zentrale Lösungen, die Datenklau verhindern, durchgängigen Schutz gewährleisten und obendrein Anwender entlasten. Themen wie die frühzeitige Analyse von Bedrohungen, eine bessere Erkennung von Phishing Mails, die Verbesserung des Datenschutzes durch E-Mail Verschlüsselung sowie die Vermeidung von Datenklau stehen im Mittelpunkt der Beratung.

Phishing erlebt „Comeback“

Insbesondere Phishing-Attacken erleben derzeit ein „Comeback“. Etliche Messebesucher erzählen uns, wie ihre Mitarbeiter mit täuschend echt aussehenden E-Mails dazu verleitet werden schadhafte Dateianhänge zu öffnen oder in Mails eingebauten Links zu folgen. Diese werden dann wiederum unbemerkt Malware ins Netzwerk einzuschleusen.

Ransomware als neue Bedrohung

Zunehmend Schwierigkeiten bereitet Ransomware. Es handelt sich dabei um Trojaner, die Geschäftsdateien verschlüsseln und ein Erpresserschreiben mit Zahlungsaufforderung für die Entschlüsselung der Dateien hinterlassen. Die Verschlüsselungstrojaner finden ihren Weg über „Drive-by-Downloads“ oder diverse „Spam-Kampagnen“ auf die IT-Systeme: Ganz gezielt verschicken Cyberkriminelle E-Mails an Mitarbeiter, um diese mit fingierten Bewerbungen, gefälschten Rechnungen oder vermeintlichen Paketlieferungen in die Falle zu locken und den infizierten Anhang ausführen zu lassen.

Locky und TeslaCrypt: Reale Bedrohungen

Die Bedrohung durch Trojaner und Viren ist dabei ganz real: Erst letzten Monat hat ein als Anhang einer E-Mail verschickter Computervirus die IT-Systeme eines Krankenhauses in Neuss lahmgelegt. Zwar seien keine Patientendaten abhandengekommen, dennoch musste der Normalbetrieb unterbrochen und sogar Operationen verschoben werden.

Dass solche Vorkommnisse kein Einzelfall sind, zeigt Krypto-Trojaner Locky: Der Windows-Schädling, der aktuell hierzulande sein Unwesen treibt, wird per E-Mail verschickt und infiziert allein in Deutschland mehr als 5000 Rechner pro Stunde. Und die Cyberkriminellen schlafen nicht: Kaum ist der nicht minder berühmt berüchtigte Verschlüsselungs-Trojaner TeslaCrypt 2 geknackt worden, kursiert auch schon der Nachfolger TeslaCrypt 3. Die fränkische Gemeinde Dettelbach hat erst kürzlich Lösegeld für die Freigabe von EDV-Daten gezahlt, nachdem sie Opfer der Schadsoftware Version 3 wurde.

Phishing Mails erkennen

Was kann man also tun um Phishing Mails rechtzeitig zu erkennen? Gefragt ist ein dedizierter Schutz, der verdächtige URLs in E-Mails zuverlässig identifiziert und die gesamte E-Mail in Quarantäne stellt. Allerdings entbindet dies Unternehmen nicht von ihrer Pflicht, Mitarbeiter zu schulen und für die Gefahren durch Phishing Mails zu sensibilisieren. Denn eine 100%-ige Sicherheit gibt es nicht!

Vertraulichkeit durch E-Mail Verschlüsselung

Trotz der wachsenden Bedrohungslage setzen längst nicht alle Unternehmen auf E-Mail-Verschlüsselung. Oft heißt es, Verschlüsselung sei zu komplex, die Mitarbeiter mit diesem Thema am Arbeitsplatz überfordert. Möchte man Vertraulichkeit und Datenschutz verbessern, empfehlen wir deshalb einen zentralen Ansatz zu verfolgen: Mitarbeiter müssen sich dadurch nicht mit der Ver- und Entschlüsselung beschäftigen. iQ.Suite setzt hier auf ein zentrales Management und innovative web- oder PDF-basierte Technologien. Unternehmen schaffen so auch den Spagat zwischen Benutzerfreundlichkeit, Sicherheit und Wirtschaftlichkeit.

Vermeidung von Datenabfluss

Häufig noch unterschätzt wird das Thema Datenabfluss – hervorgerufen entweder böswillig durch Angreifer oder fahrlässig durch eigene Mitarbeiter. Dabei sollen bei sage und schreibe 55 Prozent aller Cyberattacken die eigenen Mitarbeiter involviert sein. Unsere Kollegen setzen sich deshalb auf der CeBIT verstärkt auch für den Schutz der ausgehenden Kommunikation ein und beraten zu möglichen Lösungswegen. Es greifen hier nur Automatismen, die an zentraler Stelle Datenklau erkennen und verhindern. GBS setzt dazu auf Techniken, die Dateitypen oder sensible E-Mail Inhalte identifizieren und deren Versand verhindern können. Selbst die intelligente Erkennung von Verhaltensanomalien, beispielsweise ein unverhältnismäßig hoher Versand an E-Mails, kann damit aufgedeckt und unterbunden werden. In Kopplung mit einer 4-Augen-Prüfung kann Datendiebstahl wirksam eingedämmt werden.

Themen rund um Workflow und Geschäftsprozesse werden wir im nächsten Blogbeitrag näher beleuchten.

Der Beitrag GBS live von der CeBIT: Das bewegt IT-Manager und CIOs in diesem Jahr erschien zuerst auf GBS - Der Blog rund um Collaboration & Co.

42. DNUG Konferenz: Schluss mit kompliziert: PDF-basierte E-Mail-Verschlüsselung – ein Schwerpunkt des Partners GBS

9. Juni 2015 Posted by Roswitha Boldt

 

„Schluss mit kompliziert: PDF-basierte E-Mail-Verschlüsselung“

Besuchen Sie den GBS Vortrag der DNUG Frühjahrskonferenz. Erfahren Sie hier und am Demopunkt , wie mithilfe des PDF-Standards E-Mails und Anhänge verschlüsselt übertragen werden können.

 

 

Erfahren Sie mehr über die 42. DNUG Konferenz in Dortmund:

Überblick

Vortragsprogramm

Anmeldung als Teilnehmer

Übersicht über Sponsoren und Aussteller mit Kontaktmöglichkeit