Archiv der Kategorie: Apple

Keine Angst vor dem Staatstrojaner – die Maizière geht weiter

Web GaunerEs ist schon beängstigend wie wenig unsere Bundestagsabgeordneten von IT verstehen. Offensichtlich meinen Sie, daß die Kenntnis von organisatorischen Tricks in der Gesetzgebung für die Bekämpfung von Straftaten ausreicht.

Ein Trojaner kann nur dann wirken, wenn er unbekannt ist. Verkündet man dagegen per Gesetz einen Bundestrojaner einzusetzen, wird dieser in maximal zwei Wochen von „Kennern“ entdeckt. Viel Ruhm und Ehre winken dem Spezialisten, der den Staatstrojaner als erstes entdeckt und Tipps für die Beseitigung gibt. Mangels Spezialisten beim deutschen BSI wird man den Trojaner wohl in Israel oder Russland einkaufen müssen.

Unsere Bundestagsabgeordneten haben offensichtlich noch nie mit einem Profigauner gesprochen und haben offensichtlich auch keine IT Profigauner in ihren Reihen.  Nur Kleinkriminelle verwenden ihr eigenes Smartphone für Straftaten. Der Profigauner kauft sich mehrere Geräte auf dem Flohmarkt (möglichst mit Restguthaben) und verwendet das Gerät nur einmal. Gerne leiht man sich auch ein Gerät von Bekannten für ein „wichtiges“ Gespräch aus oder führt ein Gespräch in einer Fremdsprache, wofür die Polizei keinen Übersetzer hat. Vor der Einreise nach Deutschland kauft man sich z.B. in Österreich eine Prepaid Karte. Nur die Karte kann man überwachen. Mit dieser Information kann man keinen Trojaner auf das Gerät aufspielen – dafür braucht man Informationen vom Gerätehersteller oder  OS Lieferanten. Bei Apple ist das noch relativ einfach, bei Android gibt es aber viele verschiedene Betriebssysteme.

Der Bundestrojaner soll auch „unverschlüsselte“ Dokumente auf dem Smartphone oder PC auslesen können. Sind die Dokumente aber verschlüsselt hat auch der Trojaner keine Chance. Wichtige Dokumente, die mit anderen geteilt werden sollen, lege ich ähnlich wie Banker z.B. auf meinem privaten Portal Server, der in der Schweiz steht, ab. Ver- und Entschlüsselung der Dokumente erfolgt auf einem älteren PC, der nie ans Internet angeschlossen wird. Die geheimen Schlüssel werden natürlich nicht über WhatsApp verteilt.

Das größte Problem bei der Überwachung vieler Personen ist aber, daß die Polizei nicht genügend Personen mit dem notwendigen Knowhow hat, um die gesammelten Informationen auszuwerten. Nun versprechen KI Firmen, daß sie Programme liefern können mit denen man BIG DATA filtern und bewerten kann. Leider kommt es dabei beim Sammeln der Daten zu massiven Falschmeldungen. Je nach Verfahren bekommt man 1% bis 10% Fehlmeldungen. Überwacht man z.B. einen Bahnhof mit Video muss man bei 1000 Besuchern am Tag mit 10 bis 100 Falschmeldungen rechnen. Wo soll das Personal herkommen, das die Fehlermeldungen sortiert und analysiert?

Der Innenminister und der Bundestag schießen sich wohl mit dem Gesetz selbst ins Bein. Die Bevölkerung wird vorgegaukelt, daß sich mit den Maßnahmen die Sicherheit wesentlich erhöht. Da mit den avisierten Maßnahmen, die Sicherheit und auch die Quoten für die Aufklärung nicht wesentlich erhöhen lassen, kann es bei den Wählern zum „Theresa May Effekt“ kommen.

Wesentlich einfacher wäre es für die deutsche Polizei z.B. bei Google für einige  Millionen € die kompletten Bewegungsdaten der deutschen Bevölkerung zu kaufen. Die sind auf etwa 30 m genau. Die polizeiliche Grundsatzfrage „Wer mit wem“ ließe sich damit schnell und effizient klären. Schließlich telefoniert nicht jeder Drogendealer mit seinem Kunden und erklärt ihm wo er die Ware abholen kann.

Phishing mit Twitter, Facebook,WhatsApp und Co

Phishing über Email ist zu einer Plage geworden. Täglich gehen auf meinem allgemeinen Email Konto etwa fünf Phishing Versuche ein. Viele Phishing Anfänger versuchen, mit verfügbaren Phishing Tools und seit Jahren bekannten Tricks Benutzer zu einem Klick auf einen Link zu bewegen. Neu ist z.B. der Trick bei dem mit einem Klick auf OK zur  Cookie Nutzung (wird von EU verlangt) zu einer  Phishing Seite weitergeleitet wird.

Nachdem aber selbst unbedarfte Webnutzer den Trick mit der Email kennen geht man jetzt zu Phishing Links z.B. mit WhatsApp, Facebook,,Twitter  (Twitter Phishing NYT) , MMS oder anderen Messaging Services über.

Hier sorgen dann die einfältigen Benutzer für die Verteilung der Phishing Nachrichten. Es wird empfohlen auf automatisch generierte Nachrichten bei Social Media überhaupt nicht oder nur mit äusserster Vorsicht zu reagieren.

Es ist nicht verständlich, dass selbst Email Plattformen wie Googlemail altbekannte Phishing Schemes nicht erkennen und martieren. Ein Virus auf dem PC oder Handy ist für die Benutzer wesentlich schädlicher als ein sogenannter „Hasskommentar“. Hier könnte der Gesetzgeber etwas sinnvolles für die Bürger tun und von den Plattformbetreibern wirksame Phishing Filter verlangen.

Häufig werden Phishing Links auch in Kommentaren platziert. Deshalb gebe ich Kommentare nur nach Prüfung frei. Achtung: man kann aber nicht verhindern daß Links später geändert werden oder ine Weiterleitung zu einer Phishing Seite eingerichtet wird. Die Prüfung eines Links oder einer Webseite sollte immer unabhängig vom Absender erfolgen. Der größte Teil der Webnutzer hat nicht die für eine Prüfung notwendigen Kenntnisse – Experten haben meist keine Zeit zur Prüfung. Deshalb sollte man auch Nachrichten von alten Webhasen nicht trauen.

Am 31.Mai ist World Backup Day

Moses BackUp

Als ich neulich meinen Laptop mit Windows 10 eingeschaltet habe, kam anstatt des Windows Start Bildschirms ein schöner blauer Bildschirm (Bluescreen). Nur unten links war ein Fehlercode aus Ziffern und Buchstaben zu sehen. Bei einem automatischen Software Backup hatte mein Laptop abgeschaltet um elektrische Energie zu sparen. Auf Human Energie nimmt man da keine Rücksicht. Alle üblichen Tricks Windows 10 zu starten, funktionierten nicht.

Zum Glück hat man heute ein Smartphone mit dem man nach dem PC Fehler suchen kann. Einige Experten rieten wie üblich zum kompletten Reset des PC. Einige Optimisten rieten zum Backup über den Windows Backup Service. Da ich meinen monatlichen Backup erst vor einer Woche gemacht hatte, startete ich den Windows 10 BackUp.

Ein Wunder! Nach mehreren Stunden ging mein PC wieder in Betrieb. Zwar gab es einige Fehler, die man mit Tricks beheben konnte – aber der PC lief wieder.

Nach einem solchen Erlebnis macht man den Backup gerne wieder sorgfältig auch ohne den World Backup Day. In der NY Times gibt es eine kurze Anleitung, wie man einen Backup seiner Daten bei Facebook, Instagram & Co machen kann NYT Backup Anleitung . Man kann mit den Cloud Services der Anbieter von Cloud Backup allenfalls seine Smartphones für kurze Zeit sichern. Als Benutzer sollte man aber nicht annehmen, dass man diese Dienstleistungen über Jahrzehnte zuverlässig und kostenlos nutzen kann.

Strukturierte Daten wie bei Facebook & Co kann man ohne die zugehörigen Programme kaum sinnvoll nutzen. Langfristig sollte man Daten nur in standardisierten PDF Formaten speichern, die auch von den grossen öffentlichen Büchereien verwendet werden (Tipps). Will man ganz sicher gehen und die Daten über Jahrhunderte sichern muss man die Daten auf Papier ausdrucken.

Ihre Erben werden diese Papiere dann in einem Container final entsorgen. Es sei denn, sie werden ein bischen wichtig oder gar berühmt. Dann kann man die Papiere einem Landesarchiv übergeben, das die Papiere dann über Jahrhunderte aufbewahrt. Die Dokumente einer Kleinstadt aus fünf Jahrhunderten, säuberlich in Ordnern (Folder) abgelegt können da schnell 20 Meter Regal belegen.

Findet man solche Papiere von Privatpersonen bei der Ahnen- oder Geschichtsforschung sind sie Gold wert – speziell für die „Geschichte des kleinen Mannes“. Die vielen digitalen Daten aus unserer Zeit werden bis dahin schon gelöscht oder unbrauchbar sein.

PS Ich verwende u.a. WordPress für meine Blogs, eine sehr gute Export Funktion für Blogbeiträge hat.

 

 

 

iCloud Hack – why you should own a Private Portal

Hacker

Hackers and government agents

Most people understand the difference between a private safe at home and a rented safe controlled by a bank. Your private safe is endangered by family members and burglars. Your bank safe is protected against burglars but is  endangered by banking and government rules as well as fraud by bank employees.

People have a rough understanding of the pros and cons of the physical safe security solutions. However, users have no chance to assess the quality of online IT services.

They hope their data are adequately secured and backed up. Hopefully, the apps they are using and the companies running it will be operational forever. Passwords and accessed are handled according highest security standards. Users hope  that large organisations like Facebook, Yahoo or Apple take better care of their data than small companies. This is certainly not true. The large organisations may have very good mechanisms to protect their data. However, criminals prefer large targets because the return on investment is much larger. Large companies are subject to all kinds of government regulations e.g. banks may not allowed to hand out the money you have in your saving accounts (just figures in a data base).

Many people think that their smart phone is data safe and store huge amounts of  sensitive data – very often data which are owned by other people (e.g. email), employers or companies. Today you may be forced to give immigration officers your passwords to social networks and private accounts.

My solution to this problem is rather simple. I use a private Sharepoint Server Private Portal for me, my family clan, my professional project partners but also my guitar club. The Private Portal is hosted by a small hosting provider in Switzerland. The cost is about 120$/year for > 100 users. Microsoft is also offering  Sharepoint Online for $5/user. The Microsoft Sharepoint software is used by a lot of large companies. Therefore it will be  maintained at least for the next 20 years. Microsoft has a good track record on providing long-term support for their business software. The staff of the Swiss hoster is very experienced and provides services also to Swiss banks. Swiss government tries to establish a trusted IT infrastructure in Switzerland and knows how important security and privacy is for this business – I do not trust the legislation and government agencies of Trump, Merkel or Putin.

I personally control the high level access to my private portal and can create subportals for groups and invite other users.  Users can manage the access to their data. Sharepoint provides multi language support – a very important figure for my WW family.  It also provides private communication much like Facebook. You must not use eMail services to communicate. I don’t store a lot of data on my smart phone. Sensitive data is stored at the portal and can be accessed anytime with a browser or special Sharepoint apps. I personally prefer a browser which works on any device.

Certainly the private portal  server can be attacked by hackers much like any other Sharepoint server. However, the ROI will be very small and not very interesting to NSA and other government agencies. The private portal has also the advantage that I can get a copy of all my data to my PC whenever I want and can move to another service provider. I am using standard systems like Facebook, XING , Google etc for first contacts, chats  and „throw away“  data. The nice things about my Private Portal – no advertizing and no nasty messaging during work. It’s certainly worth 10$ per month.

Attention: Big Companies like Microsoft, Apple, Google etc want to drive the small hosters out of business  and move users to their closed platforms. An Open Source Collaboration Portal offering for private and small business is needed.

PS Sending Sharepoint Messages to users, which are not registered. (German)

iCloud Hackers Threat well known

iCloud Hack: How to Unlock  iCloud & Disable Apple ID without password

 

Achtung Umleitung – Internet Schwachstelle Domain Name Server (DNS)

Router

Router

Über Hacks auf die Internet Infrastruktur wird selten gesprochen. Die Denial of Service Attacke, bei der die Server von Twitter, Ebay u.a. durch eine Flut von Anfragen lahm gelegt wurden, wurde in der Presse umfassend diskutiert. In Zukunft können es sich die Hacker aber einfacher machen und einfach die Netzinfrastruktur angreifen.

Die Internet Infrastruktur (Leitungen, Schalter, Router und Stromversorgung) wird zunehmend über Kontrollnetze (Software-defined Networking) gesteuert. Beliebt ist bei Geheimdiensten z.B. die Umleitung über ein befreundetes Land. Darf der US Geheimdienst Bürger der USA per Gesetz nicht abhören wird die Datenstrom z.B. über Deutschland geleitet. Da darf man Ausländer natürlich abhören. Zusätzlich werden Abhörsoftware und Filter gleich mitgeliefert. Die Software ist ja kompatibel, da Deutschland keine Abhörsoftware mit dem letzten Stand der Technik hat.  Umgekehrt schicken die Deutschen ihre Daten nach USA wo sie umfassend ausgewertet werden. Der Tipp, der zur Enttarnung des IS Anhängers beim BND führte, kam z.B.  aus USA (da wird der BND gut überwacht). Schaltet man den Strom von Netzwerken über das Kontrollnetz ab, kann man das gesamte Netzwerk (auch Strom, Wasser, Verkehr) manipulieren oder abschalten. Nur notorische Optimisten (Digital Naive) glauben, daß sie das Eindringen von Hackern in diese Netzwerke verhindern können. Auf alle Fälle horte ich für den Fall des Falles einen Notvorrat an Brauch- und Trinkwasser sowie genügend Holz für den Kamin.

Web BordersJEin Gesetz „Wer Internet Datenströme umleitet oder bewußt unterbricht, wird mit Gefängnis bis zu 5 Jahren bestraft“ gibt es ja nicht. Im Kleinen erlebt man solche Angriffe bereits jetzt. Dabei werden die Name Server Einträge (die sagen wo die Daten hingehen) auf dem PC, dem Server oder im Router gefälscht. Relativ harmlos ist das, wenn einige Junior Hacker wie z.B. bei Lenovo ( Lenovo website DNS record hijacked ) auf eine Ulk Seite umleiten. Profis gehen da subtiler vor und können mit etwas Geschick den gesamten Datenverkehr manipulieren ohne dass die Benutzer etwas merken. Vielleicht brauchen sie demnächst ihr Elektroaut0 nicht mehr starten – Hacker übernehmen das wie bei TESLA sicher gegen Gebühr. In den Chefetagen der deutschen Automobilindustrie wird gerne über Updates der Software im Automobil ( „Over the air provisioning“) und vielfältige Internet Services schwadroniert ohne daß die Führungskräfte auch nur eine Ahnung von der Komplexität der Systeme und der Sicherheit haben.

Wenn immer man als privater Nutzer auf Webseiten landet, die man gar nicht besuchen wollte, wenn ungewohnte neue aggressive Werbung in bekannten Webseiten auftaucht oder wenn die Antwortzeiten sich verlängern, sollte man die DNS Einträge im PC, im Router und Smartphones prüfen z.B. iPhone. Vorteilhaft ist, wenn man sich die Werte gleich bei der Installation des Gerätes aufschreibt. Bevor man bei einer vermuteten Störung den DNS Eintrag ändert, sollte man im Internet mit der IP Adresse nach Hacker Hinweisen suchen. Nicht immer kehren neue Besen gut. Zusätzlich sollte man die IP Adresse des Zielservers prüfen.

PS Persönlich war ich einmal von einem DNS Hijacking betroffen. Es war zeimlich mühselig das Problem zu beseitigen.

Cloud Sklave werden – bei Apple, Google oder Microsoft

Blue Cloud SkyZurück zur Steinzeit der IT ist der neueste Trend bei den großen Anbietern. Anstatt Anwendungen auf dem lokalen Gerät auszuführen, sollen jetzt Daten und Anwendungen auf zentralen Servern im Web laufen. Ältere IT Hasen erinnern sich noch an die Zeiten als sie ihre Programme in Form von Lochkarten zum Zentralrechner bringen mussten (noch heute bringt man z.B. große Mengen von Daten per Festplatte zum Hochleistungsrechenzentrum in Stuttgart). Einen wesentlichen Fortschritt brachten dann in den 70er Jahren die IBM /370 Systeme, die mit standardisierten Terminals und einem Browser (3270 Architektur) über Coax- und Telefonleitungen bedient werden konnten.

Die Benutzer waren die Sklaven des Rechenzentrums – was die RZ Leitung als Programm nicht anbieten wollte, gab es einfach nicht. Die Programmierer erfanden deshalb die Virtuelle Maschinen, die man auf den Maschinen des Rechenzentrums installieren konnte. Dort konnte man eigene Programme installieren und über die Netzwerke Freunden in der ganzen Welt zur Nutzung zur Verfügung stellen. Diese Technologie war sehr teuer – ein Programmierarbeitsplatz kostete damals etwa 100 k$ (gute alte!). Das gemeine Volk konnte sich das natürlich nicht leisten. Oft fand man in den Büros noch Terminals für zwei Mitarbeiter die man drehen konnte und um die man kämpfen musste. Der Vorteil dieser Systeme war die große Stabilität. An den Terminals konnte man nichts verändern vor allem keine Programme laden.

Mit der Einführung des IBM Personal Cumputers in den 80er Jahren kam die große Freiheit für die IT Nutzer. Jeder konnte nun Programme seiner Wahl installieren, standardisierte I/O Geräte anschließen und den PC auch zum Kunden oder nach Hause mitnehmen. Am Anfang waren das noch Ziehkoffer (Schlepptop), die dann zu Laptops und Smartphones mutierten. Die Programmentwickler hatten eine einheitliche Plattform und Zugriff auf eine Vielzahl externer Geräte mit standardisierten Schnittstellen und schufen zahllose Programme für die Anwender. Die große Freiheit führte auch ins Chaos. Programme und Daten waren zunehmend nicht kompatibel und auch nicht austauschbar. Mit der Einführung des Internets und des Webbrowsers in den 90er Jahren sollte wieder Ordnung geschaffen und wieder eine ähnliche Infrastruktur wie zu /370 Zeiten hergestellt werden. Auf Millionen von Servern wurde über mehr oder weniger einheitliche Browser zugegriffen.

Die Personal Computer der Benutzer wurden zu komplexen Rechenzentren mit vielen inkompatiblen Programmen, häufigen Updates, Angriffen mit Viren, Trojanern und Fehlern in  schlecht programmierten Anwendungen. Die Benutzer sind mit der Bedienung und Wartung ihrer Personal Computer überfordert und wollen nicht einen Großteil ihrer Zeit mit der Wartung ihrer Geräte verbringen. Da liegt es nahe zum bewährten /370 System Modell zurück zu gehen. Die Anwendungen laufen auf vielen virtuellen Maschinen in der CLOUD – man braucht eigentlich nur noch einen standardisierten Browser auf dem eigen PC, PAD oder Smartphone und natürlich schnelle Datenübertragung z.B. über Glasfaser Netze.

Hierfür braucht man aber wieder große Rechenzentren in denen die Anwendungen in Millionen von virtuellen Servern laufen. Dafür benötigt man viel Geld, spezielles Knowhow, globale Infrastrukturen und auch Einfluss auf die Politik und Behörden in vielen Ländern.

Im Moment gibt es eigentlich nur die drei Firmen Apple, Google und Microsoft, die auf diesem globalen Markt (ohne China) agieren können. Alle drei Firmen versuchen ihre proprietären Standards auf den Märkten durchzusetzen. Die Benutzer müssen sich jetzt entscheiden, wem sie sich anvertrauen und wem sie in Zukunft ihr Geld für die Cloud Services geben wollen. Die großen 3 ? haben alle das Ziel mehr Geld von den Kunden zu kassieren und den Cloud IT Markt zu dominieren. Dabei verfolgen sie unterschiedliche Strategien.

  • APPLE baut auf Innovation bei den Endgeräten, leichte Bedienbarkeit von Hardware und Software und ein Netz von unabhängigen Anwendungsentwicklern. Mit hohen Preisen für die Hardware versucht man das Geld für die Investitionen in die Cloud Infrastruktur zu verdienen. Bei Unternehmen tut sich Apple aber sehr schwer. Apple hat aber genug Geld in der Kriegskasse um die Cloud Investitionen zu stemmen. Es gibt allerdings einen ziemlichen Engpass bei internen und externen Entwicklern. Skill kann man nicht so einfach kaufen. Apple möchte Premium Cloud Anbieter werden, der hohe Preise für seine Produkte verlangen kann.
  • MICROSOFT hat zu lange auf traditionelle WINDOWS Software auf PCs und Servern gesetzt und versucht jetzt bei Cloud aufzuholen. Die Stärke von Microsoft ist die große installierte Windows Software Basis bei Endverbrauchern und Unternehmen. Microsoft kann wohl langfristig keine eigene mobile Hardware erfolgreich anbieten und ist ähnlich wie heute bei PCs und Servern auf externe Partner angewiesen. Da werden wohl ähnliche Probleme wie heute bei PCs auftreten. Microsoft hat aber genügend Verbraucher und Unternehmen auf den Microsoft Pfad verführt, die zumindest kurzfristig mit ihren Kernanwendern nicht zu anderen Cloud Anbietern wechseln können. Microsoft hat eine große Mannschaft von internen und externen Entwicklern und viel (auch leidvolle) Erfahrung im Management von großen Client/Server Netzen. Microsoft wird auf große Stückzahlen bei gehobenen Preisen für den Cloud Service setzen. Da Unternehmen ein wesentlicher Markt für Microsoft sind, wird wohl weiterhin Wert auf langfristige Stabilität und Kompatibilität gelegt.
  • GOOGLE hat eigentlich nur die Such- und Werbungstechnologie als eigene Technologie Basis. Ein wesentliches Asset ist aber das Android Betriebssystem für die Anbieter von billiger Hardware. Ähnlich wie die Google Anwendungen wurde Android aber schnell u.a. mit viel Open Source Code gestrickt. Das sorgfältige Management eines komplexen Systems mit vielen Hardware- und Softwarelieferanten ist sicher nicht eine Stärke von Google. Benutzer müssen damit rechnen, dass Google viele Anwendungen einführt aber bei Mißerfolg sofort einstellt. Google zielt mit seiner Cloud Strategie auf billige, kurzlebige Produkte, die in hoher Stückzahl verkauft werden.

Mit Einführung der Cloud Services ändert sich auch das Business Modell der Anbieter. Bisher konnte man durch Verkauf von Software mit relativ wenig Einsatz von Kapital hohe Gewinne einstreichen – Software Entwickler kosten ja nicht viel! Für den Aufbau der Cloud Infrastruktur braucht man aber viel Geld für Rechenzentren, Service und schnelle Netze. Ein Teil der Hardware, die bisher der Benutzer eingekauft hat, ist jetzt beim Cloud Service Provider.  Die Gewinnmargen werden also sinken und müssen durch größere Umsätze aus den Service-Einnahmen kompensiert werden. Bei einem solchen Umbau sind schon einige große IT Firmen gescheitert.

Private IT Benutzer werden sich je nach Anforderungsprofil einem der drei Cloud Anbieter anschließen müssen. Typische Benutzer werden wohl ausgehend von einem Windows PC mit I/O Geräten (in Zukunft werden es wohl mehr) verschiedene Cloud Dienste andocken. Schon in der Familie wird man mit verschiedenen Endgeräten arbeiten, weil die Familienmitgieder meist in unterschiedlichen Gruppen agieren. Für Benutzer mit wenigen Standardanwendungen kann es vorteilhaft sein, schnell in die Cloud zu migrieren.

Spätestens wenn Microsoft das Geld für das bisher verschenkte  WINDOWS 10 kassieren möchte, wird es Zeit zu handeln.

Meine persönliche Strategie ist es den Umzug meiner IT in die A-G-M Cloud hinauszuzögern. Für professionelle Zwecke verwende ich schon seit Jahren eine private Cloud (PrivatPortal – Micorsoft Sharepoint gehosted in der Schweiz). Für den Datenaustausch in der Familie wird ein lokaler Datenserver ( NAS – Network Attached Storage) verwendet, der mit dem FritzBox Router implementiert ist. Darauf können alle Familienmitglieder lokal mit einer APP von Apple und Android Geräten zugreifen. Für alte Anwendungen und Dokumente ist ein Offline Archiv Windows 7 Server installiert.  Mit dieser Strategie kann man sicher einige Jahre gut leben bis sich der Dampf über der Cloud Szene gelichtet hat.

EU Mogelpackung – Cookie Regeln

CookieDie EU macht sich gerne mit Verordnungen unbeliebt, die den Verbrauchern viel Ärger machen und die IT Industrie jeglicher Verantwortung entheben. Die EU Cookie Regelung gibt es schon seit 2010. Sie wurde aber in vielen EU Ländern nicht in ein Gesetz gegossen und ist damit z.B. in Deutschland nicht gültig. So ganz klar ist die Sachlage aber nicht z.B. wenn ein Österreicher – da gibt es ein Gesetz – auf eine deutsche Webseite schaut – da gibt es noch kein Cookie Gesetz. Hier tut sich ein weites Betätigungsfeld für die Juristen in der Abmahnindustrie auf.

Im Gegensatz zu vielen anderen Regelungen kann der EU Bürger den Unsinn täglich erleben. Da Cookies inzwischen ein Standard bei Web Anwendungen sind, sieht man bei  vielen Websites inzwischen eine Cookie Warnung oder sogar eine Aufforderung Cookies explizit zu akzeptieren.

Cookie France

Cookie France

Das ist besonders bei Smartphones ärgerlich, da die Cookie Warnung wertvollen Platz auf dem Display einnimmt. Das ist ziemlich sinnlos, da der Benutzer keine Wahl hat. Er kann die Website nur sofort verlassen, sollte er mit den AGBs nicht einverstanden sein . Dabei wurde sein Zugriff auf die Webseite  natürlich schon registriert. In manchen Ländern der EU muss der Websitebetreiber sogar explizit die Zustimmung per Klick einholen – eine hervorragende Gelegenheit für Hacker den Benutzer auf ihre Website zu leiten.

Wie immer bei der EU hatte man bei dieser Regelung eine gute Absicht – man wollte die EU Bürger vor der Datensammelwut von Google, Facebook und Co. schützen. Dabei haben die „EU Experten“ und die Cookie Kämpfer aber offensichtlich den Stand der Technik nicht richtig eingeschätzt. Es gibt viele Verfahren die Benutzer zu identifizieren (eine besonders perfide Methode, die alle Cookie Sperren im Browser umgeht, kann z.B. der Internet Provider anwenden  Verizon – Super Cookies vom Provider). Die meisten Smartphone Benutzer sind heute meist bei Apple, Facebook oder Google dauernd eingeloggt – da braucht es keine Cookies mehr.

BMW hat eine recht gute Beschreibung der Verwendung von Cookies auf seiner mobilen Webseite http://m.bmw.de/m/mobi/de/de/general/cookies/index.cml

BMW setzt z.B. ein First Party Cookie  um festzuhalten, dass der Benutzer die Cookie Regeln bereits akzeptiert hat. Drei weitere Third Party Cookies werden für Marketing Zwecke und zur Speicherung des Gerätetyps gesetzt. Damit werden Informationen über das Nutzerverhalten von BMW zur Firma Webtrends in USA gesendet. Weitere Third Party Cookies können von Websites genutzt werden, die auf der BMW Seite angezeigt werden.  Typische Beispiele sind dafür Facebook und Twitter. BMW sendet auch Daten an Facebook. Ist der Nutzer z.B. bei Facebook eingeloggt, kann man mit den Daten von BMW bei Facebook eine direkte Beziehung zum Facebook Konto des Besuchers der BMW Website herstellen ohne dass persönliche Daten von BMW zu Facebook gesendet werden!. (Empfehlung: Bei Facebook, Twitter, Google usw. sollte man sich ausloggen, wenn man den Dienst nicht verwendet.)

BMW Cookie TextBMW stellt vorbildlich einen Link für Benutzer zur Verfügung mit dem man das Setzen von Cookies sperren kann. Folgt man diesem Link, so stellt man mit Überraschung fest, dass die mobile Version der BMW Site ohne Cookies überhaupt nicht benutzt werden kann. Nur bei der PC Version und Browsern wie Firefox, Safari oder Internet Explorer kann man die Cookie Einstellungen vornehmen. Wahrscheinlich funktionieren viele Funktionen dann auch nicht mehr.

Fast alle professionellen Websites arbeiten heute ähnlich wie BMW. Viele Firmen, Behörden und private Websites verwenden die Analyse und Werbemöglichkeiten von Google, die noch mehr Informationen sammeln als die Partner von BMW. Google verlangt deshalb von allen Websites, die AdSense verwenden,  eine Cookie Erklärung, mit der die EU Auflagen erfüllt werden. Damit müssen Benutzer des Webs die Bedingungen von Google akzeptieren, wenn sie im Internet aktiv sein wollen gemäß der Device „Friß Vogel oder stirb“. Damit wird der unbegrenzte Austausch und Vermarktung der Benutzerdaten durch die Benutzer und den Gesetzgeber legalisiert. Die EU Gesetzgeber müssen dann nicht mehr gegen die hochspezialisierten Juristen der großen IT Firmen kämpfen und haben die Verantwortung elegant an die Verbraucher weitergegeben.

Keine Werbung TürEine wirksame Sperre gegen die hemmungslose Sammlung von persönlichen Daten wäre eine wirksame Regulierung gegen die Werbeflut z.B. mit Sperrlisten, in denen sich Benutzer ähnlich wie in USA eintragen können. Dabei sollte man nicht nur einzelne Websites, sondern z.B. auch Werbung, die z.B. auf AdSense beruht, sperren können. Der Kunde bezahlt ja schließlich seinen Internetanschluß und sollte selbst entscheiden können, wer diesen benutzen darf.

PS: Zum Glück hat die EU die Straßenverkehrsordnung als Betätigungsfeld noch nicht erobert. Man müsste sonst sicher vor jeder Fahrt den AGBs der jeweiligen Straßenverkehrsordnung, des Fahrzeugherstellers, der Betreiber von Straßen und Parkplätzen sowie der Polizei per Mausklick zustimmen. Bei Navigationsgeräten hat dieser Unsinn ja bereits Einzug gehalten.

Unsafe Internet Day mit Werbung

No Advertising

No Advertising

Empfehlung: Verwenden sie einen Browser ohne und einen Browser mit AdBlocker.

Werbung speziell auf Smartphones wird immer mehr zur Plage. Anders als bei gedruckter Werbung gibt es keine rechtlich verbindlichen Möglichkeiten sich gegen die Werbung zu wehren. Besonders störend sind Sites, die den Benutzer zwingen, sich erst ein Video anzusehen, bevor man überhaupt etwas lesen kann. Ohne dass der Benutzer es ahnt und will  werden mit Bildern und Videos große Datenmengen übertragen, die bei niedriger Datenrate alles verlangsamen. Die Übertragung der Daten kostet auch viel Geld  wenn man keine Flatrate für das Smartphone hat – speziell im Ausland. In Gegenden mit geringer mobiler Datenrate wird damit das Smartphone praktisch unbrauchbar. Da der Benutzer keinen Einfluss auf die Werbung hat werden Sperrer für Kinder oder Ausschluss von unerwünschter Werbung unterlaufen. Das kann beim Browsen im Betrieb z.B. sehr unerwünschte Werbung anzeigen, die im Betrieb eigentlich nicht erlaubt ist.

Das größte Problem aber ist, dass mit Werbung schädlicher Code speziell JavaScripts aber auch bereits HTML 5 in seriöse Sites eingeschleppt werden kann.

Ad Malicious AnonymBesonders gefährlich wird solche Störwerbung wenn sie gezielt zum Beispiel über die Google Methoden an bestimmte Personenkreise gesendet wird. Man kann die Werbung wie im Beispiel an Armeeangehörige in einer bestimmten Stadt schicken. Damit kann man Mitarbeiter von Behörden und Firmen gezielt angreifen. Dieser Angriff ist mit automatischen Verfahren kaum zu entdecken.

Es gibt also viele Gründe Werbung auf seinen Geräten zumindest zeitweise oder für bestimmte Sites zu blockieren. Ähnlich wie auf dem PC gibt es auch für Smartphones AdBlocker, die Werbung blockieren sollen. Die Adblocker gibt es als Erweiterung (Add On) zu den üblichen Browsern wie z.B. Adblock Plus für Chrome, Firefox, Opera Safari u.a. oder als Funktion in Browersn wie Mercury oder Dolphin.

Ähnlich wie bei gedruckten Medien ist Werbung an sich nichts negatives. Einnahmen von Werbung finanzieren die Redaktionen bei vielen Websites. Man sollte also vernünftige Werbung eigentlich akzeptieren wenn man die Dienste von Websites nutzt. Manche Websites wie z.B. bild.de machen sehr aggressive Werbung und sperren Benutzer wenn sie einen AdBlocker verwenden.

Adblock bild.deBei so aggressiver Werbung fällt die Entscheidung leicht – bild.de wird von Bloggern nicht beachtet – man kann ja nicht einmal einen Link auf die Nachrichten setzen. Damit geht bild.de ins Dark Net.

Sites wie z.B. www.heise.de akzeptieren AdBlocker. Man hat sich aber sofort etwas einfallen lassen wie man die Adblocker umgehen kann. Bei Heise gibt es Anzeigen erster und zweiter Klasse. Die zweite Klasse wird typisch von AdBlockern eliminiert während Anzeigen erster Klasse von AdBlockern nicht gesperrt werden.

AdBlock SchemeDie Anzeigen 2. Klasse (grün) werden von externen Servern in die HTML eingebettet und können leicht vom AdBlocker entfernt werden. Die Anzeigen 1. Klasse (rot), bei Heise die von Google doubleclick gelieferten gesteuerten Anzeigen, werden in den HTML Code der Heise Site eingebettet und können vom AdBlocker nicht entfernt werden. Diese sind damit besonders gefährlich. Das ist auch juristisch delikat. Heise kann damit Heise eventuell für gefährliche Inhalte verantwortlich gemacht werden. Unsere Datenschützer und Safer Internet Day Aktivisten haben diese Sicherheitslücke offensichtlich noch nicht entdeckt.

Meine pragmatische Löaung für Smartphone und PC:

  • Für allgemeines Browsen im Web verwende ich den Standard Safari Browser ohne AdBlocker und ohne Bildunterdrückung (Chrome mit Android)
  • Für seriöse persönlichen und geschäftlichen Gebrauch verwende ich den Firefox Browser  auf iPhone und PC mit AdBlocker.
  • Unterwegs ohne WLAN Anschluss verwende ich den Dolphin Browser mit AdBlocker und Bildunterdrückung. Beides kann man im Dolphin Browser über die Einstellungen schnell ein- und abschalten.

Bookmarks (Favoriten) synchronisiere ich automatisch nur auf den Firefox Browsern. Für systematische Verwaltung von Bookmarks sind die von den Browsern angebotenen Manager nicht geeignet. Ich lege Bookmarks im Zusammenhang mit Projekten (z.B. Kunde, Verein, Familie, Dokument) mit Tags auf meinem gesicherten PrivatPortal ab. Dort finde ich auch Kontakt Daten und OneClick Telefonnummern. Es ist keine gute Idee, diese wertvolle Information offen in seinen Smartphone Kontakten zu speichern. Darauf haben z.B. zu viele Apps Zugriff auch die Taschenlampen App!

Hinter einem Satz von thematisch relevanten Bookmarks steckt häufig viel Arbeit ähnlich wie die Referenzen bei einem Artikel. Diese Information möchte ich gerne selbst verwalten und archivieren.

Ein weiteres wichtiges Element zur Vermeidung von Werbung sind RSS Feeds. Anstatt zeitaufwändig über unzählige Seiten zu surfen habe ich mir im Privatportal RSS Informations Seiten ohne Werbung eingerichtet. Damit kann man sich in wenigen Minuten einen Überblick über die relevanten Quellen  machen und im Augenblick relevante Nachrichten anklicken.  Das erspart viel Zeit. Ähnlich kann man mit einer RSS Reader App arbeiten.

RSS News Feed

RSS News Summary

 

 

 

Auf Windows 10 umsteigen wegen Wartung

Bru_PeopleBeim Umsteigen auf neue Releases von Software empfiehlt sich Zurückhaltung. Man sollte immer eine gewisse Zeit abwarten und in Foren prüfen wieviele Probleme auftauchen. Allerdings werden meist auch Probleme berichtet – gute Nachrichten sind häufig nicht der Erwähnung wert.

Ein wichtiges Argument für den Umstieg ist die Wartung der älteren Systeme. Erfahrungsgemäß zieht das Management die Experten zur Entwicklung und zur Wartung der neuen Software ab. Schließlich wird da das Geld verdient. Die alte Software wird dann nur nocht repariert um den guten Ruf und eventuell die Kunden in der Industrie nicht zu verlieren. In meiner eigentlich nicht so komplizierten Windows 8.1 Installation traten in letzter Zeit vermehrt Probleme auf.  Treiber für Standard Geräte funktionierten z.B. nicht mehr richtig und immer wieder gab es Probleme mit C++ im Bereich der Sicherheit, für die es auch in den Foren keine guten Ratschläge gab. Offensichtlich sind in der Ecke besonders viele Mitarbeiter „geflohen“. Beim Upgrade auf Windows 10 kann es aber durchaus schwierige Probleme geben, wie man aus verschiedenen Foren entnehmen kann. Wohl dem der noch einen älteren Rechner mit Windows 7 hat. Dorthin sollte man die Arbeiten (und Daten)schieben, die in nächster Zeit unbedingt erledigt werden müssen.Selbstverständlich muss man einen einen BackUp vor der Migration machen.

Der Upgrade von Windows 8.1 auf Windows 10 benötigte auf meinem System zwar einige Stunde verlief aber problemlos. Auch Norton Security wurde reibungslos migriert. Besonders beeindruckt hat mich aber, dass ältere Programme z.B. ein Smartcard Security Programm von 1998 (Windows NT) auf Windows 10 ohne Probleme migriert werden.

Die „Verbesserungen“ in Windows 10 sind ganz nett aber zu sehr vom Marketing getrieben. Der typische Windows Benutzer wird wohl lieber bei seinen gewohnten Standard Programmen bleiben. Das Angebot von Windows 10 APPs ist mehr als bescheiden. Wie Apple und Google u.a. versucht Microsoft sich vor allem mobilen Sektor zu etablieren. Wie weit das aber gegen die Platzhirsche im Consumer Segment funktioniert wird man sehen. Im Moment findet man keine APPs, die wesentliche Vorteile gegenüber der Konkurrenz bieten.

Microsoft möchte wie alle Konkurrenten die Kunden in die Cloud treiben. Selbst mit schnellen VDSL/LTE Anschlüssen macht das für viele Anwendungen aber keinen Sinn. Im Moment gibt es zu viele verschiedene inkompatible Anwendungen und zu viele Änderungen am Markt. Die meisten Cloud Anbieter werden wohl in den nächsten Jahren aufgeben und die Daten und Anwendungen ihrer Kunden mit ins Grab nehmen. Deshalb sollte man seine „alten“ Windows Programme gut pflegen. Bei Windows 10 scheinen sie zumindest für die nächsten Jahre gut aufgehoben zu sein. Allerdings muss man mit älterer Hardware aufpassen – häufig gibt es für ältere Hardware keine Treiber für Windows 10 mehr. Das ist bitter wenn man spezielle Geräte mit „bewährten“ Schnittstellen verwendet.

Unternehmen sollten sich möglichst schnell mit dem Umstieg auf Windows 10 befassen – von Windows 7 ist es ein ziemlich langer Weg.

Smartphone gestohlen – Vorsorge und Nachsorge

Dieb Schicke Smartphones sind recht teuer und deshalb auch bei Dieben beliebt. In Deutschland werden etwa 200 000 Handy im Jahr gestohlen. Für die persönlichen Daten interessieren die Diebe sich selten. Kreditkarten Daten, Passwörter für Bezahlfunktionen und Zugangsdaten zu Bank- und Emailkonten sind aber für Verwerter der gestohlenen Geräte interessant. Die Verwerter kaufen gestohlene Smartphones auf und haben Zugriff auf Dienstleister, die Sperrcodes knacken, die Geräte auf die Fabrikeinstellung zurücksetzen und Zugangsdaten zu Diensten wie Facebook, Online Banking usw sammeln. Für anonyme Kommunikation sind gestohlene Smartphones bei Kriminellen und Terroristen ein wesentlicher Bestandteil ihrer Infrastruktur.

Die Daten auf dem Smartphone sollte man unbedingt mit dem Sperrcode des Gerätes sichern (iPhone -> Einstellungen -> Code). Das hilft bei Kindern im Haus gegen unkontrolliertes  Daddeln und macht das Leben von Dieben etwas schwieriger. Zwischen dem SIM Code zum Sperren eines Mobiltelefonanschlusses und dem Sperrcode/Paswort eines Smartpones gibt es einen wesentlichen Unterschied. Der SIM Code sichert die Daten auf dem SIM und die mobile Datenübertragung (Sprache, SMS, Daten). Der Smartphone Sperrcode sichert die lokalen Daten auf dem Smartphone und die WLAN Nutzung ab. Die Sicherung durch das Telefon SIM kann ganz einfach ausgeschaltet werden. Man entfernt einfach das SIM und kann dann das Smartphone Offline und am WLAN benutzen. Profis können allerdings auch den Smartphone Sperrcode relativ schnell knacken. In der Szene werden entsprechende Hardware Kits verkauft, die natürlich auch sehr nützlich sind wenn man seinen PIN vergessen hat.

Die gute Nachricht: die meisten „gestohlenen“ Smartphones gehen nur „verloren“. Meist genügt es das „verlorene“ Handy anzurufen um es in Haus oder Büro zu finden. Voraussetzung ist natürlich, dass das Smartphone eingeschaltet ist. Hat man das Smartphone unterwegs verloren kann man versuchen, es mit der Suchfunktionen z.B. von Google oder Apple zu lokalisieren und seinen Weg zu verfolgen. Liest man allerdings die für die Suchfunktion geltenden AGBs wird mancher Benutzer wohl diese Funktion nicht benutzen wollen! Für die Suchfunktion muss das Smartphone  zuvor eingerichtet werden. Man benötigt ein Konto bei Google oder Apple und das zugehörige Passwort. Viele Smartphone Benutzer haben dies sofort nach der Einrichtung und der Anmeldung bei Google oder Apple sofort vergessen oder „versteckt“ im Handy gespeichert – das Passwort ist bei Diebstahl dann mal eben weg! Es lohnt sich einen fundierten Artikel über den Diebstahl von Smartphones  zu lesen bevor man das Smartphone benutzt damit man die Abgründe, die sich da auftun, grob kennenlernt.

Auf alle Fälle sollte man das Smartphone mit einem Zugriffscode schützen. Zwischen dem SIM Code zum Sperren eines Mobiltelefons und dem Sperrcode/Passwort eines Smartpones gibt es einen wesentlichen Unterschied. Der SIM Code sichert die Daten auf dem SIM und die mobile Datenübertragung (Sprache, SMS, Daten). Der Smartphone Sperrcode sichert die Daten auf dem Smartphone und die WLAN Nutzung ab. Wer sein Smartphone vorwiegend am WLAN benutzt und im Ausland womöglich noch mit einem Welttarif ohne Limit unterwegs ist, sollte den SIM-PIN am Smartphone aktivieren ( iPhone -> Einstellungen -> Mobiles Netz -> SIM-PIN).  So stellt man sicher, dass die Kinder bei Daddeln im Urlaub keine Telefonkosten von mehreren hundert Euro auflaufen lassen (der jüngste mir bekannte Täter mit einer Rechnung von über 300 € war 5 Jahre alt!). Die Sicherung durch das Telefon SIM kann ganz einfach ausgeschaltet werden. Man entfernt einfach das SIM und kann dann das Smartphone Offline und am WLAN benutzen.

Ist das Smartphone tatsächlich gestohlen und auch über die Suchfunktion nicht ansprechbar, sollte man sofort alle Passwörter für Email, Arbeitgeberkonten und Domainkonten sowie kritische Anwendungen sowie Anwendungen mit Bezahl- oder Bestellfunktion ändern – dazu braucht man natürlich ein zweites Gerät z.B. einen PC, den man aber auf Reisen meist nicht dabei hat. Wohl dem der weiß was alles auf dem Smartphone war. Erst danach sollte man wie von den meisten Diebstahl Ratgebern  (WISO) empfohlen, beim Mobilfunkanbieter die SIM Karte sperren lassen und den Diebstahl bei der Polizei und eventuell dem Arbeitgeber melden. Wie bei deutschen Behörden üblich gibt es bei der Polizei keine einheitliche Nummer zur Meldung eines Handy Diebstahls. Man sollte die Emailadresse oder die Telefonnummer der lokalen Polizeidienststelle für die Anzeige benutzen. Dafür braucht man die 15 stellige IMEI Nummer. Die findet man gedruckt auf dem Handy und in der Betriebsanleitung (meist im Lieferkarton). Man kann die Nummer aber auch am Handy abfragen. Dieser schlaue Rat nutzt natürlich wenig, wenn das Handy unterwegs gestohlen wurde und man die IMEI Nummer im Handy gespeichert hatte. Man sollte die IMEI Nummer zusammen mit den wichtigen Nummern von Ausweis, Pass, Bankkarte und Kreditkarte aufschreiben und bei einer Person deponieren, die man im Falle eines Falles anrufen kann.

Auf alle Fälle sollte man alle Bankkonten,  Kreditkarten- und Telefonabrechnungen sorgfältig mindestens einige Monate lang kontrollieren.  Viel Arbeit mit dem Ändern der Passwörter hat man natürlich wenn man stolzer Besitzer mehrerer Geräte z.B. Smartphone, Tablet und PC ist. Wer diese Prozedur einmal durchgemacht ha, wird in Zukunft auf sein Smartphone besonders gut aufpassen.

Besonders gefährdet sind die Smartphones von Kindern und Damen, die ihre Smartphones aus den unergründlichen Tiefen ihrer Bags herausholen und dann irgenwo hinlegen. Herren mit modernen, engen Hosen und kleinen Taschen sind ebenfalls erheblich gefährdet.

Zusammenfassung Vorsorge

  • PIN für Smartphone aktivieren
  • SIM-PIN für Mobilfunkverträge ohne Limit aktivieren und nur dann eingeben wenn über Mobilfunk kommuniziert werden muss
  • IMEI Nummer des Smartphones aufschreiben und deponieren
  • Benutzername (eMail Adresse) und Password des Betriebssystemlieferanten (Apple ID, Google ID, Samsung ID, Microsoft … ) aufschreiben und sicher deponieren
  • User IDs von APPs für Email, Bezahl- und Bestellfunktionen (PayPal, Onlinebanking, eBay, Hotels, Fluggesellschaften aufschreiben und sicher deponieren. Zugriff auch aus dem Ausland organisieren
  • Adressen und Telefonnummer von Polizei, Mobilfunkanbieter, Bank usw notieren und Zugriff sichern
  • Informieren über Suchfunktionen und zugehörige APPs auf dem Smartphone z.B. des Partners oder von Familienangehörigen installieren. Diese können dann im Fall eines Falles die Suchfunktion ausführen. Eine gedruckte kurze Anleitung und etwas Training vorab kann nicht schaden.
  • BackUp der persönlichen Daten in der Cloud anlegen sofern Sicherheitsvorschriften z.B. des Arbeitgebers dies erlauben.

Wer weiß welche Arbeit der Verlust seines Smartphones macht, wird wohl in Zukunft darauf besser aufpassen.