Posts Tagged ‘Passwort’

Vielleicht hat der Hackerangriff etwas Gutes …

8. Januar 2019

So hart es klingt, vielleicht hat der Hackerangriff und die Veröffentlichung von privaten Daten von Prominenten doch eine gute Seite. Vielleicht dringt endlich das Thema IT-Sicherheit und Medienkompetenz in das Bewusstsein der breiten Masse. Interessant ist, dass bei uns sofort nach dem Staat gerufen wird, der endlich handeln soll. Der Ruf darf nicht ungehört bleiben, es muss sich etwas verändern in unseren Staat durch unseren Staat. Aber ändern muss sich vor allem die Kompetenz der Bürger im Umgang mit Daten ändern. Solange jeder Datenkraken wie WhatsApp verwendet und seine Adressbücher zu Herrn Zuckerberg hochlädt, solange wird sich nichts ändern. „Aber WA ist doch so bequem“, höre ich immer und „Threema hat doch kein Mensch.“ 

Zwei Beispiele zum Thema Passwörter

Ich möchte zwei Beispiele anfügen, die mir auf meinen Digitalisierungsseminaren und Schulungen zur Medienkompetenz passiert sind und im Grunde die gleiche Aussage haben. 

Ich sprach über den Hack des Sony-Playstation Netzwerkes und die Teilnehmerinnen und Teilnehmer grinsten. Ob man denn denn Punktestand der Spiele klauen wollte? Naja, den Punktestand vielleicht nicht, aber wohl eher das Passwort. Viele Leute verwenden ein- und dasselbe Passwort für verschiedene Netzwerke. Habe ich dein Playstation-Passwort samt Mailadresse, dann habe ich vielleicht auch Zugriff auf dein Amazon-Konto. Da wurde es still im Teilnehmerkreis. Ich blickte in lange Gesichter. 

Bei so manchen Gesprächen in der Bahn sollte man nicht einsteigen.

Bei so manchen Gesprächen in der Bahn sollte man nicht einsteigen.

Das zweite Beispiel war eine Bahnfahrt – ich bin ein großer Bahnfahrer. Ich saß bei einem Freundespaar am Tisch im ICE, die sich über die komplizierten Passwörter beklagten. Wie soll man sich die ganzen Sachen denn merken? So oder ähnlich lautete die Klage. Nun, ein Passwort für alles und kein Problem. Oh mein Gott und dann regen wir uns über Datenklau auf.

Sichere Passwörter 

Es gibt zahlreiche Möglichkeiten, ein halbwegs sicheres Passwort zu erstellen. Nein bitte nicht die Klassiker 1234567890 oder Passwort – man glaubt gar nicht, wie oft dies vorkommt. Wie wäre denn ein Passwort wie: Dis012019esP! – die Auflösung ist ein einfacher Merksatz: Das ist seit 012019 ein sicheres Passwort! Und natürlich gilt, für jede Plattform ein eigenes Passwort. 

Und wer unbedingt nur einen Merksatz verwenden möchte, dem empfehle ich ein F für Facebook, A für Amazon und T für Twitter hinter den Merksatz zu machen. Aber so richtig sicher ist die Sache ja eigentlich nicht, denn der gemeine Hacker ist ja auch nicht auf den Kopf gefallen. 

Passwort-Manager

Ich empfehle in den Seminaren immer Passwort-Manager. Dazu muss man sich das Masterpasswort merken und hat dann Zugriff auf alle seine Passwörter, die im Passwort-Manager hinterlegt sind. Es gibt eine stattliche Anzahl von Datentresoren. Ich bin jahrelang sehr zufrieden mit 1Password gewesen und wäre es auch heute noch, wenn der Hersteller nicht auf ein Abo-Modell umgestiegen wäre. 1Password gibt es für MacOS, Win, Linux, iOS und Android sowie ChromeOS. Kosten für Privatanwender zwischen 3 und 5 US-Dollar pro Monat. 

Im Moment gefällt mir Enpass deutlich besser. Einmal bezahlt und fertig. Auch dieses Tool gibt es für alle relevanten Betriebssysteme. 

Medienkompetenz bei Facebook

Mit Kopfschütteln reagiere ich auf die Wiederkehr der Facebook-Widerspruchmeldungen. Es geistert seit Tagen die jährliche Meldung durch die Plattform „hiermit widerspreche ich …“ Ich hab den aktuellen Schwachsinns-Screenshot mal als Bild angefügt. Früher habe ich unter die Posts noch Erklärungen geschrieben, heute reagiere ich mehr und mehr gehässig. Warum ist die Menschheit nicht lernfähig? Und die gleichen Menschen, die solche Widerspruchsmeldungen posten, rufen dann nach den Staat.

Der Schwachsinn geistert gerade durch Facebook.

Der Schwachsinn geistert gerade durch Facebook.

Staat ist gefordert

Aber auch der Staat ist gefordert. Beispielsweise in der Anpassung der Lehrpläne. Themen wie E-Mail-Verschlüsselung werden nicht unterrichtet. Vielleicht liegt es auch daran, dass Lehrerinnen und Lehrer keine Ahnung bei diesen Themen haben, aber ich möchte nicht in ein allgemeines Lehrerbashing verfallen. Dennoch kann der Staat hier eingreifen. In Bayern sprechen wir sehr viel zum Thema digitale Schule und ich bin mir sicher, dass es dort gute Ansätze gibt. 

Lehrer bilden sich fort und das ist gut so - aber es könnte mehr sein.

Lehrer bilden sich fort und das ist gut so – aber es könnte mehr sein.

Eigene Apple-Geräte im Unternehmen

2. September 2015

Als ich noch bei Verlagen angestellt war, nutze ich in der Regel den IT-Park des Unternehmens. Größter Nachteil: Das Zeug war in der Regel veraltet und nicht flexibel. Für einen Chefredakteur und meinen Mitarbeitern von IT-Zeitschriften also ein Alptraum. Also nutzen wir Zug um Zug auch eigene IT-Infrastruktur, um unsere Arbeit richtig machen zu können. Das Schlimmste war für mich die Nutzung eines Uralt-Blackberry, der in der Schublade lag, während ich das erste iPhone benutzte. Wir wussten, was wir da tun.

Bei Wearables wird der Einsatz Privat und Beruflich noch schwieriger

Bei Wearables wird der Einsatz Privat und Beruflich noch schwieriger

Dass dies nicht überall zu so, zeigt eine Studie von Centrify, ein Anbieter von Lösungen für Identity & Access Management (IAM). Hier wurde die Compliance von Apple Geräten am Arbeitsplatz hinsichtlich bestimmter Sicherheitsrichtlinien untersucht. Die Studie bezieht sich zwar auf die USA, aber lässt sich teilweise auch auf Deutschland übertragen. Die in Zusammenarbeit mit Dimensional Research durchgeführte Studie zeigte, dass mittlerweile viele US-amerikanische Anwender Apple Geräte am Arbeitsplatz nutzen. Allerdings sind Unternehmen durch die mangelnde Sicherheit und die fehlende Verwaltung der Geräte hohen Risiken ausgesetzt.
Von insgesamt 2.249 befragten Arbeitnehmern gab knapp die Hälfte an, beruflich mindestens ein Apple Gerät zu benutzen. Darüber hinaus zeigte sich:

  • Die meisten dieser Apple Geräte (63%) sind kein Firmeneigentum, sondern in Privatbesitz und werden für die Arbeit mit Firmenmails, Dokumenten und Geschäftsapplikationen verwendet.
  • 59% der Mac Computer greifen auf vertrauliche Unternehmensinformationen zu, bei sensiblen oder reglementierten Kundendaten sind es sogar 65%.
  • 51% der iPhones und 58% der iPads werden am Arbeitsplatz genutzt, um auf Geschäftsapplikationen zuzugreifen.
  • Trotz der hohen Popularität von Apple Geräten am Arbeitsplatz investieren Unternehmen nicht genug in die Sicherheit und Verwaltung dieser Geräte.
  • Über die Hälfte (51%) aller Geräte ist lediglich von einem einfachen Passwort wie einem einzigen Wort oder einer Zahlenfolge gesichert.
  • Auf den meisten Geräten (58%) ist  keine Software installiert,  die komplexere Passwörter erzwingt.
    Über die Hälfte der Anwender (56%) gibt an, ihre Passwörter anderen mitgeteilt zu haben.
  • Nur 17% der Apple Geräte verfügen über einen vom Unternehmen gestellten Passwort-Manager.
    Unternehmenseigene Geräte-Management Lösungen sind nur auf 28% der Apple Geräte installiert.
  • Nur bei 35% der Geräte erzwingen Unternehmen eine Verschlüsselung der gespeicherten Daten.
    Ebenfalls wurde festgestellt, dass es keinen erkennbaren Zusammenhang zwischen der Komplexität des Passwortes und der Sensibilität der Daten gibt, die das Passwort schützt.

Ich will nicht den schwarzen Peter in die eine oder andere Richtung schieben. Aber für mich steht zweierlei fest: Unternehmen müssen attraktiver in ihrer IT-Infrastruktur werden und Mitarbeiter brauchen ein Bewusstsein für IT-Sicherheit.

Hier nutze ich mein privates iPhone für meine berufliche Arbeit.

Hier nutze ich mein privates iPhone für meine berufliche Arbeit.

„Die Apple Studie von Centrify verdeutlicht die großen Sicherheitslücken die entstehen, wenn Geräte nicht den Sicherheitsrichtlinien eines Unternehmens entsprechen”, sagt Bill Mann, Marketingchef bei Centrify. „Besonders Kundendaten stellen eine große Verantwortung für die Unternehmen dar. Wenn vertrauliche Informationen wie zum Beispiel Krankenakten bekannt werden, können Geldbußen und weitere rechtliche Schritte gegen das Unternehmen die Folge sein. Dabei gibt es bereits heute Lösungen, mit denen sich Apple Geräte sehr einfach sichern lassen, ohne die Produktivität der Nutzer einzuschränken. IT-Abteilungen sollten jetzt handeln.“ Freilich bietet Centrify die entsprechenden Lösungen, wie es in der Pressemitteilung des Unternehmens heißt.
Mir ist aber die Medienkompetenz innerhalb eines Unternehmens wichtig. Ich hatte für kurze Zeit Mitarbeiter, die immer nur von ihrem Arbeitgeber Leistungen eingefordert haben: Nach dem Motto „Ohne Schulung während der Arbeitszeit kann ich das nicht.“ Selbstinitiative war nicht vorhanden. Diese Mitarbeiter waren die längste Zeit meine Mitarbeiter. Sowohl Unternehmen als auch Mitarbeiter müssen ein Bewusstsein entwickeln oder schärfen. Medienkompetenz gehört da dazu.

Angriff auf das PlayStation Network

27. April 2011

Mit Macht drängt uns die Industrie in die Wolke. Cloud Computing ist das Zauberwort des Jahres. Allen voran Sony hatte mit PlayStation Network eine Vorreiterrolle und wird getzt bestraft. Das PlayStation Network ist abgeschaltet, weil es von 17. April bis 19. April 2011 von Hackern angegriffen wurden. Dabei wurden wohl Millionen von Daten, darunter auch Kreditkarteninfos, gestohlen. Mehr als 75 Millionen Nutzer des Playstation Network (PSN) und des Video- und Musikservices Qriocity weltweit sind betroffen

Als Folge dieser Eingriffe hat Sony vorübergehend sämtliche PlayStation Network und dem Musikservice Qriocity ausgeschaltet. Hier die offizielle Stellungnahm von Sony.

Jetzt soll der Vorfall aufgeklärt und der Schutz meiner Daten verbessert werden. Mit dem Vorfall hat sich gezeigt: Cloud Computing ist doch nicht so sicher, wie es die Industrie versprochen hat. Sony schreibt: „Wir schätzen aufs Äußerste Ihre Geduld, Ihr Verständnis sowie Ihre Kulanz, während wir alles nur mögliche tun, um diese Angelegenheit schnellst- und bestmöglich aufzuklären und zu bearbeiten.“

Sony räumt ein:  „Auch wenn wir derzeit noch bei der Untersuchung aller relevanten Details zu dem Vorfall sind, meinen wir, dass sich eine unbefugte Person Zugriff zu folgenden persönlichen Daten verschaffen konnte: Name, Adresse (Stadt, Bundesland, Postleitzahl), Land, E-Mail Adresse, Geburtsdatum, PlayStation Network/ Qriocity Passwort und Login sowie PSN Online ID. Es kann darüber hinaus möglich sein, dass auch Ihre Profilangaben inklusive Ihrer Kaufhistorie und Ihrer Rechnungsanschrift (Stadt, Bundesland, Postleitzahl) sowie die Sicherheitsfragen zu Ihrem Passwort widerrechtlich abgerufen wurden. … Falls Sie Ihre Kreditkarteninformationen im PlayStation Network oder Qriocity angegeben haben, möchten wir Sie sicherheitshalber darüber benachrichtigen, dass auf Ihre Kreditkartennummer (exklusive Ihres Sicherheitscodes) sowie auf die Gültigkeitsdauer zugegriffen werden konnte.“

Was können wir Anwender tun? Sony rät uns besonders wachsam vor potenziellen Gaunereien via E-Mail, Telefon und Post zu sein, in denen persönliche, private Informationen ausgehorcht werden. Sony wird Sie in keiner Form kontaktieren – auch nicht per E-Mail –, um Kreditkarten-, Sozialversicherungs-, Steueridentifikationsnummern oder andere Informationen zur Person zu erfragen.

Wenn das PlayStation Network wieder hergestellt ist, rät uns Sony zudem, Benutzernamen und Passwort zu ändern. Außerdem sollen wir unsere Kontoumsätze genau im Auge haben.

Dieser Vorfall lässt sich nicht damit abtun, nach dem Motto: Das kann ja mal passieren. Ich bin mir sicher, der Vorfall wird für Sony Folgen haben. Ich persönlich werde nach dem Wiederherstellen des PlayStation Networks meinen Account löschen und erst mal ohne die Sony Cloud spielen. Für mich ist klar: Sony, da habt ihr echt Mist gebaut.

Hacker-Sturm gegen Sony.

Hacker-Sturm gegen Sony.

Wer hinter dem Angriff steckt ist noch unklar. Die einschlägen Hackersides haben zwar zum Sturm auf die Sony Server aufgerufen, weisen aber in diesem Fall alle Schuld von sich. Hintergrund ist eine Klage von Sony gegen einen Hacker, der im Netz Hintergründe veröffentlicht hat, wie Spiele gehackt werden können.

Hacker: Wir sind es nicht gewesen!

Hacker: Wir sind es nicht gewesen!

Medienkompetenz: sicher online bezahlen

10. Januar 2011
Schlechte Phishingmail

Schlechte Phishingmail

Bei einem Seminar zum Thema Verbraucherschutz stellte ich vor kurzem fest, wie wenig Medienkompetenz in Sachen Geldgeschäfte im Internet vorhanden ist. Ich wundere mich immer wieder über schlechte Phishing-Mails und dennoch fallen immer wieder Leute darauf rein. Da darf man sich nicht darüber lustig machen, sondern muss Medienkompetenz ins Land bringen.

Um die Seminarteilnehmer zu schulen, greife ich auf zahlreiches Material zurück. Darunter auch eine Veröffentlichung des Bundesverbandes Digitale Wirtschaft (BVDW) e.V.: 10 Tipps um sicher online zu bezahlen. „Vorsicht ist bei vermeintlichen Online-Schnäppchen geboten, die nur per Vorauszahlung erhältlich sind. Auch wenn es nicht die Regel ist: Im schlimmsten Fall landet das Geld zwar auf dem Konto des Shop-Betreibers, allerdings ohne das die Bestellung jemals versendet wird. Generell ist es daher empfehlenswert, wie auch im stationären Handel, ohne direkten Gegenwert keine Vorauskasse zu leisten“, sagt Achim Himmelreich, Vorsitzender der Fachgruppe E-Commerce im BVDW.

 

Hier die 10 Tipps zum sicheren Bezahlen beim Online-Shopping

1. Bezahlen Sie mit Ihnen bereits bekannten Bezahlverfahren

Verwenden Sie bekannte Zahlverfahren, die Sie bei vorherigen Käufen verwendet haben und mit denen Sie bereits positive Erfahrungen hatten. Gerade die etablierten Anbieter verfügen über alle erforderlichen Sicherheitszertifikate und sind auf Internetshops häufig vertreten. So können Sie Ihren Einkauf schnell und sicher erledigen.

 

2. Verwenden Sie nur kundenfreundliche Bezahlverfahren

Nutzen Sie kundenfreundliche Zahlverfahren. Sie haben oft die Möglichkeit Transaktionen wieder rückgängig zu machen. So sind Sie vor Fehlkäufen geschützt. Achten Sie auch auf die AGB der Anbieter – der Käuferschutz ist an strenge Richtlinien gebunden. Ein Online-Shop, der nur wenige und für den Käufer unsichere Bezahlverfahren anbietet, sollte gemieden werden.

 

3. Achten Sie auf eventuelle Zusatzkosten bei speziellen Bezahlverfahren

Seriöse Anbieter lassen Ihnen die Wahl, mit welchen Bezahlverfahren Sie den Kauf durchführen und bieten Ihnen das Produkt über alle Bezahlverfahren zum gleichen Preis an. Achten Sie daher auf versteckte Zusatzkosten und Servicegebühren bei der Verwendung von Bezahlverfahren.

 

4. Teilen Sie dem Internetshop nur notwendige Daten mit

Sie sollten selbst dafür Sorge tragen, dass Ihre privaten Daten geschützt und privat bleiben. Der beste Schutz ist, nur so viele Daten anzugeben wie nötig. Vermeiden Sie daher nach Möglichkeit die Angabe von Daten, die nur dem Nutzungsinteresse des Anbieters dienen, nicht aber für die Bestellung erforderlich sind.

 

5. Geld-zurück-Garantie schützt vor bösen Überraschungen

Achten Sie auf die Bedingungen zum Rückgaberecht für online erworbene Produkte. Neben der gesetzlichen Pflichtinformation zum Widerrufsrecht informieren seriöse Anbieter ausführlich über das Rückgabeprozedere und wann Sie nach der Zurückgabe der bestellten Ware Ihr Geld erhalten. Seriöse Anbieter und Qualitätshersteller gewähren ihren Kunden auch oft nach dem Ablauf der gesetzlichen Widerrufsfrist eine Geld-zurück-Garantie – fragen Sie im Zweifel einfach nach.

 

6. Auslandstransaktionen

Im Internet gibt es keine klassischen Landesgrenzen, das heißt man kann durchaus Ware auch aus dem Ausland beziehen. Doch hierbei ist Vorsicht geboten, denn der zunächst günstigere Preis im Vergleich zum „inländischen“ Produkt kann sich schnell durch zusätzliche Gebühren wie Umrechnungsgebühren, Auslandstransaktionskosten etc. erhöhen.

 

7. Achten Sie auf eine gesicherte Internetverbindung

Die Datensicherheit spielt beim Bezahlen im Internet eine wichtige Rolle. So sollte der gesamte Bestellprozess verschlüsselt ablaufen, was zum einen an einem Vorhängeschloss-Symbol im Browser und am Kürzel „https“ am Anfang der URL zu erkennen ist. Damit stellen Sie sicher, dass Ihre Bezahl- und Kontendaten nur beim Anbieter ankommen.

 

8. Datenspeicherung

Genauso wichtig wie der verschlüsselte Kaufprozess ist auch die Art und Weise, wie der Onlineshop-Betreiber mit Ihren Daten umgeht. Seriöse Anbieter fragen vorher, ob Sie beispielsweise die Kreditkartendaten für einen Folgekauf speichern dürfen.

 

9. Passwort Sicherheit

Beim Online Shopping setzen sich mehr und mehr so genannte E-Mail Verfahren durch. Hierbei muss man sich einmalig beim entsprechenden Anbieter registrieren und kann dort seine Zahlungsinformationen (Bankdaten, Kreditkartendaten und Ähnliches) hinterlegen. Achten Sie bei der Registrierung auf ein sicheres Passwort, das von Zeit zu Zeit auch geändert werden sollte. Dasselbe Passwort sollten zudem nie bei mehreren Anbietern verwendet werden.

 

10. Phishing von Zahlungsdaten

Über so genannte Phishing-Mails versuchen Betrüger über darin enthalten Links an vertrauliche Daten, wie beispielsweise Benutzernamen, Passwörter, Zahlungsdaten etc. zu gelangen. Dabei wird die Original-Internetseite des Anbieters detailgetreu nachgebaut. Schützen Sie sich davor mit einer einfachen Regel: Kein seriöser Zahlungsanbieter wird Sie über E-Mail informieren, dass Sie vertrauliche Daten ändern sollen!