Okt 09

DE Mail für sichere und rechtsverbindliche Kommunikation

Allgemein, Datensicherheit, De-Mail, Deutsche Post Mail No Comments »

DE Mail verspricht, dass zukünftig vertrauliche Daten via E-Mail ebenso sicher wie Briefe versendet werden können. Dazu wurde nun ein Pilotprojekt in Friedrichshafen am Bodensee gestartet.
Neben den Lobeshymnen macht sich aber auch Kritik breit. Denn Fakt ist, dass das Projekt vom Bun­des­in­nen­mi­nis­te­rium geför­dert wird und bereits mit der Vorratsdatenspeicherung auf heftige Kritik aus der Netz- und Datenschützer-Szene gestoßen ist. Diese werfen dem Bundesinnenministerium vor, in Richtung Überwachungsstaat zu arbeiten.

Wer über DE Mail kommunizieren möchte, muss sich mit seinem Ausweis identifizieren. Die Verbindung von E-Mail Client und Mailserver sind stets verschlüsselt und der Absender wird durch die digitale Signatur eindeutig identifiziert. Dadurch soll eine Kommunikation gewährleistet werden, die Sicherheit und juristische Beweiskraft vorweist. Die Gesetzesgrundlage hierzu fehlt allerdings noch. Dafür müsste das Bürgerportal-Gesetz erst noch verabschiedet werden. Daher soll DE Mail erst 2010 bundesweit eingeführt werden.

Die komplette Infrastruktur liegt bei den privaten E-Mail Providern, die sich eigens für DE Mail zertifizieren lassen müssen. Die Anforderungen an eine Zertifizierung, die regelmäßig erneuert werden muss, ergeben sich ebenfalls aus dem Bürgerportal-Gesetz. Ähnlich wie beim Online Banking erfolgt die Kommunikation zwischen den Nutzern und deren jeweiligen DE Mail Providern zum Beispiel über SSL Verfahren. Um die Rechtsverbindlichkeit der Kommunikation zu gewährleisten, können Versand- und Zustellnachweise angefordert werden.

Die Deutsche Post arbeitet an einem System, welches ähnliche Sicherheitsmerkmale vorweisen soll. Dieses soll ebenfalls 2010 zur Verfügung stehen.

Ähnliche Beiträge:

Ähnliche Beiträge:

Tagged with:
Okt 06

10.000 Hotmail E-Mail Konten gehackt-So schützt man sich vor Phishing

Allgemein, Datensicherheit No Comments »

Phishing Betrüger werden immer trickreicher. Phishing bezeichnet dabei Versuche mittels gefälschten Webseiten, das Vertrauen der Nutzer zu gewinnen, um an sensible Daten zu gelangen.

Über 10.000 Hotmail E-Mail Konten wurden so gehackt. Aber nicht nur Hotmail Nutzer sollten schnellstens ihr Passwort ändern, auch Yahoo und Googlemail Nutzer müssen fürchten, dass ihre E-Mail Konten ausgespäht wurden. Nach Berichten des BBC wurden 20 000 E-Mail Konten von Googlemail, Yahoo Mail, Aol, Comcast und EarthLink mittels Phishing gehackt. Das beduetet: Bitte das Passwort ändern und für die Zukunft folgende 10 Gebote zum Schutz vor Phishing beachten. Diese wurden von der Arbeitsgruppe Identitätsschutz im Internet erarbeitet.

  1. Seien Sie immer auf dem neuesten Stand bezüglich Sicherheitsupdates des Browsers
  2. Kontrollieren Sie stets die Sicherheitszertifikate der besuchten Webseiten
  3. Achten Sie darauf, dass Sie sensible Daten über gesicherte Verbindungen schicken (https anstatt http in der URL)
  4. Öffnen Sie niemals E-Mails mit unbekannten Absender. Falls Sie es doch tun sollten, vermeiden Sie es, den Links in der E-Mail zu folgen. Oft leiten derartige Links von Phishing Betrügern auf Webseiten, die dazu animieren sollen Zugangsdaten einzugeben oder zu bestätigen.
  5. Bedenken Sie, dass zum Beispiel Ihre Bank nie via E-Mail nach Ihren Zugangsdaten fragen wird. Werden Sie skeptisch bei derartigen E-Mails und halten Sie kurze telefonische Rücksprache mit den jeweiligen Instituten zur Verifizierung.
  6. Deaktiverung von JavaScript. Dies sollte man aber wirklich nur gezielt einsetzen, da die meisten Webseiten ohne JavaScript nicht oder eingeschränkt funktionieren
  7. Wenn Sie es gewohnt sind, dass Ihnen bekannte Webseiten normalerweise eine Authentifizierung abverlangen und dann auf einmal ohne auskommen, sollte man den Browser schließen.
  8. Installation von Webfiltern, die stets aktualisiert werden mit gefährlichen Webseiten
  9. Bleiben Sie immer auf dem neuesten Stand bezüglich Virenschutz und Firewalls
  10. Geben Sie bei Webseiten, bei denen Sie wissen, dass Sie dort sensible Daten eingeben müssen, die URL manuell ein.

Hier noch ein Bericht des ZDFs zum Thema:

Tagged with:
Sep 15

Password-Sicherheit bei E-Mail Diensten – Ein Vergleich

Datenschutz, Datensicherheit, E-Mail, E-Mail Anbieter, E-Mail Test, E-Mail Vergleich, Email, email anbieter test, email anbieter vergleich, email provider vergleich, kostenlose email dienste im Vergleich, mail vergleich, Sicherheit im Netz 3 Comments »

Wie oft musste sich jeder in den letzten Jahren im Internet registrieren? Sehr oft! Aber wissen wir eigentlich was danach mit unseren Daten passiert? Ich bin fester Überzeugung, dass es manchmal besser ist, es nicht zu wissen. Viele verdrängen es auch und gehen einfach sehr unachtsam mit ihren sensibelsten Daten um in der Hoffnung, dass der Dienst 100% vor Hackern geschützt ist.
Das sind die meisten aber nicht. Mit ein paar kleinen Kniffen können versierte Hacker E-Mail Konten, Konten bei sozialen Netzwerken und ähnliches knacken.

Aber damit sollte jetzt Schluß sein. Wir User müssen ein bisschen achtsamer sein.
Computer Bild hat 35 der beliebtesten Internet Angebote auf Herz und Nieren geprüft.
Dreh- und Angelpunkt bleibt natürlich der E-Mail Dienst. Ist dieser einmal geknackt, stehen dem Hacker sämtliche weitere Konten wie PayPal, Xing, etc. offen. Der Super Gau!

Worauf sollte man also laut Computer Bild Ausgabe 20/2009 achten:

  • Sicherheitsfrage, wenn man sein Passwort vergessen hat: Man sollte darauf achten, dass man eine eigene Sicherheitsfrage erstellen kann. Denn Standard-Sicherheitsfragen sind über ein wenig Internet-Recherche leicht zu beantworten. Vergesst also den Mädchennamen eurer Mutter. Wird die Sicherheitsfrage von einem Hacker richtig beantwortet, kann dieser direkt ein neues Passwort anlegen und schon kommt man nicht mehr in seinen eigenen E-Mail Account. Bei einer Microsoft Studie zum Thema Online Sicherheit sollten die Probanden die Sicherheitsfrage eines fremden Users knacken. Das Ergebnis: 17% waren erfolgreich. Erschreckend!
  • Mehrfache Anmeldeversuche: Man sollte sich vergewissern, dass der Internet Dienst nach wenigen, erfolglosen Anmeldeversuchen den Account sperrt. So werden dem Hacker bereits ein wenig die Hände gebunden.
  • Intime Informationen: Natürlich macht es Spaß, in sozialen Netzwerken mit anderen zu kommunizieren und sich zu präsentieren. Aber man sollte darauf achten, dass man dort nicht dummerweise doch den „Mädchennamen der Mutter“ in irgendeiner Art und Weise erwähnt und gleichzeitig dem Hacker die Antwort zur Sicherheitsfrage für den E-Mail Dienst gibt.
  • Nutzung verschiedener Passwords: Für jeden Dienst sollte es ein anderes Password geben.

Wie lautet nun das Testurteil der Computer-Bild?
Hotmail, Yahoo! Mail, AOL Web Mail, T-Online und Freenet Mail sind sang- und klanglos durchgefallen. Bei all diesen Anbietern konnte man direkt nach erfolgreichem „Hacken“ der Sicherheitsfrage das Password direkt abändern und somit den eigentlichen Eigentümer vom Dienst ausschließen. Besser wäre gewesen, wenn das neue Passwort nach erfolgreich beantworteter Sicherheitsfrage an eine vom Eigentümer des Accounts angegebene Handynummer verschickt werden würde. Oder aber auch an eine alternative E-Mail Adresse.

Bei Web.de, GMX und Google Mail funktioniert dies nicht. Aber auch diese Anbieter konnten nur mit einem mittelmäßigen Testergebnis überzeugen.

Was die Anzahl der Anmeldeversuche angeht, werden diese nur bei Freenet Mail beschränkt. Bei dreimalig erfolglosen Login-Versuch wird der Account für 10 Minuten gesperrt.

Auch hier liebe E-Mail Anbieter bzw. E-Mail Dienste gibt es noch viel Optimierungsbedarf. Speziell bei so heiklen und wichtigen Themen.

Tagged with:
Sep 09

Vorratsdatenspeicherung gleich Überwachungsstaat? (Teil 2)

Allgemein, Datenschutz, Datensicherheit, Sicherheit im Netz, Vorratsdatenspeicherung No Comments »

In diesem Teil möchte ich beleuchten, was ein E-Mail Dienst technisch breitstellen muss, um den Anforderungen der Vorratsdatenspeicherung gerecht zu werden.

Ein Bestandteil ist dabei die SINA-Box. SINA steht für „Sichere Inter-Netzwerk-Architektur“.
Die SINA Box wurde vom Bundesamt für Sicherheit in der Informationstechnik in Zusammenarbeit mit der Secunet Security AG entwickelt, um den Transfer von sensibelsten Daten in unsicheren Netzen zu ermöglichen. Das heißt die SINA Box bietet einen Schutz vor unbefugten „Mithören“ bei der Übertragung von Daten.

Wenn man mit einem Dienstleister wie Utimaco Safeware AG zusammenarbeitet, könnte eine technische Lösung folgendermaßen aussehen:

Laut einem Whitpaper der Utimaco Safeware AG ist die Vorratsdatenspeicherung bei einem E-Mail Dienst das Zusammenspiel von Gesetzgebung, die die rechtliche Grundlage bietet, den Strafverfolgungsbehörden, die einen Datensatz anfordern, dem E-Mail Dienst, der die Daten zur Verfügung stellen muss und -bei Ausführung der Vorratsdatenspeicherung über einen Dienstleister- dem Dienstleister.
In der Abbildung sieht man eine Schnittstelle (Utimaco LIMS), die sowohl mit den Strafverfolgungsbehörden (Law Enforcement Agency) als auch mit den E-Mail Diensten (Service Provider Network) kommuniziert.

Weitere Details werden in den nächsten Beiträgen gepostet. Aktuell recherchiere ich nach einer Lösung, die ohne Dienstleister auskommt. Also quasi eine Eigenlösung.
Ob und wie das geht erfahrt hier im E-Mail Blog.

Tagged with:
Sep 08

Vorratsdatenspeicherung gleich Überwachungsstaat? (Teil 1)

Allgemein, Datenschutz, Datensicherheit, Sicherheit im Netz 1 Comment »

Vorratsdatenspeicherung, was ist das eigentlich?
So oft surft man durch das WWW und trifft immer häufiger auf dieses kleine, verharmlosende Wort „Vorratsdatenspeicherung“. Doch so klein und harmlos ist es ganz und garnicht. Schließlich sind diesbezüglich schon ganze politische Diskussionen entfacht. Und Verfassungsbeschwerden gab es auch schon.

Laut Wikipedia bezeichnet Vorratsdatenspeicherung „die Verpflichtung der Anbieter von Telekommunikationsdiensten zur Registrierung von elektronischen Kommunikationsvorgängen, ohne dass ein Anfangsverdacht oder konkrete Hinweise auf Gefahren bestehen“ (http://de.wikipedia.org/wiki/Vorratsdatenspeicherung).

Ohne ein Verdacht bedeutet natürlich auch, dass ich mich als User bis zu einem gewissen Grad überwachen lassen muss. Geht das nicht zu weit?
Zumindest-so sagt man-geht es nicht um die Inhalte der Kommunikation. Ein schwacher Trost.
Viel mehr geht es um die so genannten „Verkehrsdaten“, also wer mit wem, wie lange, wann, unter welchen IP-Adressen und von wo aus gemailt wurde.
Daraus lassen sich dann kinderleicht Persönlichkeitsprofile ableiten und man kennt sämtliche Vernetzungen eines Users. Auf Grund dessen trifft man diesbezüglich auf witzige Wortspielereien, die den Protest gegen u.a. die Vorratsdatenspeicherung deutlich machen soll (z.B. Stasi 2.0).

Was genau von einem Internet Service Provider erbracht werden muss und wie genau alles implementiert sein sollte, werde ich in den nächsten Beiträgen weiter erläutern.

Tagged with:
Next Entries
preload preload preload