Beiträge

Veröffentlicht am

Angepasste Preise 2025

„Alles wird teurer.“ Das gilt leider auch für IT-Dienstleistungen. Um meine Preise den marktüblichen Preisen anzupassen, muss ich meinen Stundenlohn von 80 EUR pro Stunde auf 100 EUR pro Stunde erhöhen. Damit liege ich weiterhin deutlich unter dem Durchschnitt für IT-Dienstleistungen im Sicherheitsbereich. Dies gilt insbesondere für meine akademische Qualifikation als M.Sc. Digital Forensics.

Zwar bestreite ich nicht meinen Lebensunterhalt mit meiner nebenberuflichen Tätigkeit, allerdings dient diese Anpassung unter anderem auch dazu, dem Finanzamt gegenüber eine Gewinnabsicht nachzuweisen.

Selbstverständlich bleiben die Preise für alle im Voraus bezahlten Leistungen, wie z.B. die Fernwartung von Firewalls, unverändert. Aber auch diese Preise werden ab dem nächsten Bezahlzeitraum entsprechend angepasst.

Gemäß § 19 UStG erhebe ich keine Umsatzsteuer und weise diese folglich auch nicht aus. Angegebene Preise auf Rechnungen sowie Kostenvoranschlägen sind immer Endpreise zzgl. eventueller Versandkosten.

Veröffentlicht am

Ändere-Dein-Passwort-Tag

Am 01. Februar ist Ändere-Dein-Passwort-Tag. Ich nehme das heute zum Anlass auf ein paar DOs und DON’Ts im Umgang mit Passwörtern hinzuweisen:

DON’Ts:

  • Kurze Passwörter
    Die Zeit, die ein Bruce-Force-Angriff auf ein Passwort im Durchschnitt benötigt, steigt expotential mit der Länge des Passwortes. Daher sollte nach aktuellem Stand der Technik ein Passwort auf keinen Fall kürzer als 8 Zeichen lang sein.
  • Beliebte Passwörter
    Brute-Force-Angriffe auf Passwörter basieren auf Passwortlisten, die alle häufig verwendeten Passwörter enthalten. Passwörter wie „Geheim“, „Passwort“, „QWERTZ“, „123456“, etc. stehen ganz oben in dieser Liste.
  • Passwörter aus dem Wörterbuch
    Führen die Listen mit beliebten Passwörtern nicht zum Ziel, werden zufällige Kombinationen aus Wörterbüchern aller Sprachen, der Bibel, Liedtexte, Zitate, etc. durchprobiert.
  • Gleiches Passwort für mehrere Dienste
    Verwende ich das gleiche Passwort für mehrere Dienste erhöht sich deutliche das Risiko, dass mein Passwort kompromittiert wird. Wird ein nicht ausreichend geschütztes System erfolgreich angegriffen, kann mein Passwort dabei kompromittiert werden. Dadurch bestimmt nicht nur das schwächste System die Sicherheit meines wiederverwendeten Passwortes, sondern auch der mögliche Schaden erhöht sich deutlich, da ein kompromittiertes Passwort ganz sicher auch bei allen anderen von mir verwendeten Diensten ausprobiert wird.

DOs:

  • Passwortlose Zugangsverfahren
    Das Verwenden von passwortlosen Zugangsverfahren wie „Passkeys“ oder „FIDO2“ schützen mich effektiv vor Phishing, dem Abgreifen von Zugangsdaten; z.B. durch bösartige Emails oder gefälschte Webportale. Mobile Geräte des Herstellers Apple, haben nativ den Passwort-Safe „Passwörter“ im Betriebsystem enthalten. Darin ist auch die Passkeys-Funktion enthalten.
  • 2FA
    Zwei-Faktor-Authenzifierung, bei der ich neben Nutzername und Passwort, noch einen zweiten Faktor, wie ein Einmal-Passwort (OTP), das jeweils nur für eine Minute gültig ist, schützt mich vor Phishing und Man-in-the-Middle-Angriffe.
  • Passwort-Safe
    Niemand kann sich dutzende sichere Passwörter merken. Abhilfe schafft ein Passwort-Safe. Eine Software, die verschlüsselt alle meine Passwörter speichert. So muss ich mir nur ein Passwort wirklich merken. Der Passwort-Safe kann auch direkt meinen Nutzernamen und mein Passwort z.B. auf einer Webseite ausfüllen, ohne sie jemandem zu zeigen, der mir beim Anmelden über die Schulter schaut. Mit Hilfe eines Passwort-Safes fällt es mir leicht, für jeden Dienst ein anderes Passwort zu vergeben. Es bleibt, ich muss mir nur das EINE Master-Passwort wirklich merken. Die verschlüsselte Datei des Passwort-Safes, sollte über Cloud-Dienste auf allen meinen Geräten verfügbar sein.
  • Sichere Passwörter
    Auch mit Passwort-Safe, 2FA oder passwortlose Zugänge komme ich nicht ganz darum mir das eine oder andere Passwort zu merken. Mein Tip: Einen ganzen Satz, eine Zeile aus einem Lied oder einem Gedicht merken. Das eigentliche Passwort sind nur die Anfangsbuchstaben des Satzes, mit Groß- und Kleinschreibung und allen Satzzeichen. Z.B. wird so auf dem Satz „Der Mensch denkt, aber Gott ist es, der lenkt.“ das Passwort „Dmd,aGie,dl.“. Ein sicheres Passwort, das ich mir dennoch merken kann.
Veröffentlicht am

Verdächtige Email erhalten?

Wer verdächtige E-Mails erhält, kann diese mit der Weiterleitungsfunktion des Mailclients an trojaner@polizeilabor.de senden. Die Seite wird vom Landeskriminalamt Niedersachsen betrieben und stellt einen automatisierten Dienst zur Analyse von E-Mails zur Verfügung.

Schon wenige Minuten später (je nach aktueller Auslastung) kommt eine Antwort von dem System mit einer Einschätzung der Gefährdung, die von dieser Mail ausgeht. Die Prüfung beinhaltet nicht nur einen Virencheck der in Ihrer Mail enthaltene Links und Anhänge gegen eine Reihe von Virenscannern, sondern darüber hinaus wird geprüft, ob die von Ihnen eingesandte Mail bereits b bekannt ist. Ist das der Fall, wird dieser Hinweis ebenfalls in Ihre Antwort-Mail eingefügt.

Mehr Infos unter: https://www.polizeilabor.de

Veröffentlicht am

Verbindliche IT-Sicherheitsrichtlinien für kassenärztliche Leistungserbringer

Absicherung nach § 75b Absatz 5 SGB V
Die Kassenärztliche Bundesvereinigung hat im fünften Sozialgesetzbuch § 75b Absatz 5 verbindliche Richtlinien zur IT-Sicherheit für vertragsärztliche Arzt-, Zahnarzt und Psychotherapie-Praxen erlassen. Die meisten Richtlinien sind bereits ab dem 1.4.2021 verbindlich von den Inhabern der Praxen umzusetzen. Der Umfang der Richtlinien richtet sich nach der Größe der Praxis. Die Prüfnummer meiner KBV-Zertifizierung lautet ISAP/20210824/36/03182021 und ist bis zum 23.08.2024 gültig.

Veröffentlicht am

Stellungnahme zur Corona-Warn-App

Ich werde aktuell häufig gefragt, welche Meinung ich denn zur Corona-Warn-App habe. Die von der Bundesregierung in Auftrag gegebene App wurde bereits seit Monaten kontrovers diskutiert. Nicht wenige der anfangs diskutierten Vorstellungen waren, gelinde gesagt, besorgniserregend. Dennoch, oder gerade deswegen, ist das Ergebnis umso erfreulicher. Die Prinzipien der jetzt veröffentlichten App sind vorbildlich: Dezentrale Sammlung und Auswertung der Daten, OpenSource, Datenminimierung, Freiwilligkeit. Fast alle Bedenken, die unter anderem auch der Chaos Computer Club eingebracht hat, wurden bedacht.

Zwei problematische Punkte sind geblieben:

  1. Es könnte passieren, dass durch noch nicht detailliert angepasste Parameter, aber auch durch bewußte Falschmeldungen über eine angebliche eigene Infizierung, ein Fehlalarm ausgelöst wird. Da mich ein Alarm allerdings zu einem, von der Krankenkasse auch ohne sich zeigende Symptome finanzierten, Test berechtigt, halte ich das persönliche Risiko eines Fehlalarms für nicht relevant.
  2. Die App könnte von irgendwelchen Stellen als Eintrittskontrolle verwendet werden. Vielleicht lässt mich der Supermarkt um die Ecke nicht mehr einkaufen, wenn ich nicht die App mit grüner Risikobewertung vorzeige. Das widerspricht der Freiwilligkeit, da ich indirekt doch zur Nutzung der App verpflichtet würde. Hier hätte ich mir gleich von Anfang an, eine entsprechende Norm vom Gesetzgeber gewünscht, der dieses Vorgehen gesetzlich verhindert. Auf der anderen Seite, ist es nicht zu spät, so etwas nachzureichen, sollte sich diese Befürchtung später bewahrheiten.

Abschließend möchte ich keinen konkreten Rat geben, ob sich nun jemand die App installieren solle oder nicht, denn dies hängt von der persönlichen Situation ab. Wie immer ist es das Beste, sich über die verwendete Technik zu erkundigen und somit zu verstehen, was es tut und wie sie funktioniert. Danach mündig für sich selbst entscheiden.

Zu der Technik hinter der App und zu Fragen und Antworten, füge ich hier einige Links ein:

Veröffentlicht am

Öffentliche Anhörung im Ausschuss „Digitale Agenda“ zum Thema „IT-Sicherheit von Hard- und Software“

Zu der Frage wie Deutschland digitale Souveränität erlangen und behalten kann, gaben geladene Sachverständige bei einer öffentlichen Anhörung des Ausschusses Digitale Agenda zum Thema „IT-Sicherheit von Hard- und Software“, eine Stellungnahme ab. Mit dabei auch Frank Rieger als Vertreter des Chaos Computer Clubs e.V..

Liste der geladenen Sachverständigen

  • Arne Schönbohm, Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Prof. Dr. Michael Waidner, Fraunhofer-Institut für Sichere Informationstechnologie SIT
  • Isabel Skierka, European School of Management and Technology GmbH ESMT
  • Oliver Harzheim, Vodafone GmbH
  • Klaus Landefeld, Eco-Verband der Internetwirtschaft
  • Ninja Marnau, CISPA Helmholtz Center for Information Security
  • Frank Rieger, Chaos Computer Club e.V.

https://www.bundestag.de/dokumente/textarchiv/2019/kw50-pa-digitale-agenda-669288

Veröffentlicht am

Bei WhatsApp TouchID/FaceID umgehen

Auf iOS-Geräten kann die Nutzung des WhatsApp-Messengers mittels der biometrischen Sperre (TouchID oder FaceID) gesichert werden. Wird hierbei ein anderer Zeitraum als „sofort“ ausgewählt, lässt sich aktuell die Sperre allerdings durch Aufrufen von WhatsApp über das systemweite Sharing-Menü aus einer anderen App (z.B. Fotos) heraus umgehen. WhatsApp kann über das Sharing-Menü aufgerufen werden, die aufrufende App wird geschlossen und WhatsApp kann nun ohne biometrische Sperre genutzt werden. Bis die Sicherheitslücke von WhatsApp geschlossen wird, ist also dringend anzuraten die biometrische Sperre auf „sofort“ einzustellen. Eigentlich spricht allgemein nichts dagegen.

Veröffentlicht am

Heim-Hotspots

Heute entscheidet der BGH darüber, ob die von Unitymedia über die WLAN-Router der Kunden angebotenen WiFi-Hotspots gegen das Wettbewerbsgesetz verstoßen und der Tatbestand eines unlauteren Wettbewerbs erfüllt sei . Die entscheidenen Frage wird sein, ob die Abwägung eines Widerspruches für die Kunden eine „unzumutbare Belästigung“ darstellt.

Worum geht es bei den WiFi-Heim-Hotspots? Einige Internetanbieter spannen in Kooperation mit den Herstellern von Heimroutern wie z.B. AVM, dem Hersteller der Fritzbox, in den Häusern und Wohnungen ihrer Kunden ein zweites separates WLAN-Netzwerk auf. Es handelt sich um ein unverschlüsseltes WLAN-Netzwerk mit immer gleich lautendem WLAN-Netzwerknamen (SSID). Kunden, die diesem Heim-Hotspot nicht widersprechen, können dieses separate WLAN-Netzwerk aller anderen teilnehmenden Kunden nutzen, und somit mobilen Daten reduzieren.

Das laufende Gerichtsverfahren beschäftigt sich nicht mit der Sicherheit dieser Heim-Hotspots, sondern klärt in letzter Instanz, ob der Umstand, dass sich Internet-Kunden mit dieser Technik beschäftigen müssen, um entscheiden zu können, ob sie damit einverstanden sind, eine unzumutbare Belästigung darstelle oder nicht.

Für mich ist es Anlass, um über die Sicherheit dieser Heim-Hotspots nachzudenken. Es handelt sich um ein von dem Heimnetz getrennten Netzwerk. Die Nutzer eines Hotspots können daher nicht mit Geräten aus dem Heimnetz (LAN) kommunizieren. Vertraut man dem Hersteller des Heimrouters, dass diese Trennung der Netzwerke fehlerfrei und ohne Sicherheitslücken implementiert ist und vertraut man zusätzlich auch dem Internetanbieter, der diesen Heimrouter aus der Ferne konfiguriert, dann besteht eigentlich kein Anlass für Sicherheitsbedenken für den Betreiber des Heimrouters. Auf der anderen Seite kann der Heimrouter durchaus mit einer „digitalen Haustür“ zum Eigenheim verglichen werden. Bei einem Hausbau würde ich als Eigentümer die Haustür lieber besitzen wollen und keinen externen Dienst in Anspruch nehmen, der mir die Haustür nur zur Verfügung stellt und für mich samt Schloß und Schlüssel verwaltet. Kann ich mir das nicht aussuchen, würde ich eine zweite eigene Tür hinter der fremdverwalteten Tür einbauen. In der digitalen Welt entspricht diese zweite eigene Tür einer Hardware-Firewall oder einem Security-Gateway. Alle Daten in das eigene Netzwerk hinein und aus dem eigenen Netzwerk heraus müssen dann durch dieses zusätzliche Gerät. Es gehört alleine mir und wird von niemand anderem als mir selbst verwaltet. In diesem Fall, ergeben sich keine Sicherheitsbedenken, wenn mein Heimrouter ein zweites öffentlichen WLAN-Netzwerk anbietet. Das geschieht schließlich alles hinter meiner sicheren Tür.

Anders sieht es mit der Sicherheit der Nutzer solcher öffentlichen Hotspots aus. Es handelt sich um ein unverschlüsseltes WLAN. Selbst wenn es sich tatsächlich um einen über einen anderen Kunden meines Internetanbieters angebotenen öffentlichen Hotspots handeln sollte, kann ein Angreifer in Funkreichweite zumindest die Anmeldeprozedur abhören und wenn sich der Nutzer nicht im weiteren Verlauf durch ein VPN schützt, auch den gesamten unverschlüsselten Datenverkehr mithören. Dem Nutzer eines freien WiFi-Zugangs im Café oder am Flughafen, ist das Risiko wahrscheinlich noch eher bewußt, als einem Nutzer eines WLAN-Zugangs, der von seinem eigenen Internetanbieter angeboten wird. Aus Bequemlichkeit und Kostengründen werden viele Geräte so eingerichtet sein, dass sie sich automatisch mit dem WLAN-Netzwerk verbinden und die Daten bevorzugt darüber beziehen. Die meisten Apps auf mobilen Geräten übertragen die Daten verschlüsselt über HTTPS. Das klingt zunächst sicher. Allerdings ist es leicht möglich mobile Geräte, die für die Nutzung eines Heim-Hotspots eingerichtet sind, auf einen WLAN Access Point zu locken, der nur vermeidlich vom Internetanbieter stammt. Dazu muss ein Angreifer nur den Netzwerknamen des Heim-Hotspots aussenden und schon verbinden sich alle damit konfigurierten Geräte in Reichweite. Dieser Angriff wird als Evil Twin (bösartiger Zwilling) bezeichnet. Der Angreifer hat die volle Kontrolle über das WLAN und das dahinter befindliche Netzwerk. So können nicht nur die Zugangsdaten abgefangen werden, sondern über einen Man-in-the-Middle-Angriff auch verschlüsselt übertragene Daten. Das geschieht technisch indem sich der Angreifer zwischen Nutzer und Dienstanbieter setzt und die Daten jeweils an die andere Seite weiterleitet. Die Daten werden zwar jeweils verschlüsselt übertragen, gehen aber unverschlüsselt durch das Gerät des Angreifers.