Manche Passwörter kann man mit einer Brute-Force-Attacke knacken. Statt roher Gewalt hilft oft aber auch Schokolade.
Forscher der Universität Luxemburg gingen kürzlich folgender Frage nach: In welchem Ausmaß erhöht Schokolade die Bereitschaft von Passanten, ihr Passwort zu verraten? Insgesamt wurden 1208 zufällig ausgewählte Probanden befragt. Hier das Ergebnis: Weiterlesen
Es gilt als guter Stil, wenn man in der E-Mail-Kommunikation einige Regeln beachtet. Die wichtigste wird aber fast immer vergessen.
Stellen wir uns eine Webseite mit folgender Kontaktinformation vor:
Martin Fug
Anwaltskanzlei „Fug & Recht“
Goethestr. 24
10255 Berlin
Wichtiger Hinweis: Wir nehmen aus technischen Gründen nur Postkarten und unverschlossene Briefsendungen an. Bitte gehen Sie daher davon aus, dass Ihre Schreiben von Dritten mitgelesen werden. Vertrauliche Mitteilungen gehören nicht in die Post!
Bei einer Postanschrift käme uns dieser Hinweis nicht nur stillos, sondern geradezu grotesk vor. Wenn man anderen seine E-Mail-Adresse mitteilt, müsste man aber ehrlicherweise genau ihn jedes Mal hinzufügen. Das hat damit zu tun, dass E-Mails bei ihrer Reise von A nach B über viele Server laufen, die oft über die ganze Welt verteilt stehen. An jeder dieser Relaisstationen können sie kopiert und ausgewertet werden – von Geheimdiensten, Firmen oder Hackern. Wir wissen nicht erst seit gestern,
dass das kein paranoides Hirngespinst ist, sondern gängige und – zumindest was Geheimdienste und Firmen angeht – tolerierte Praxis (erfahre mehr). Weiterlesen
Nach einem katastrophalen Datenleck kursieren zur Zeit über 140 Millionen LinkedIn-Passwörter im Internet. Im Beitrag steht, wie man sich vor solchen Hacks schützen kann.
Bereits 2012 wurde bekannt, dass das soziale Netzwerk LinkedIn von Hackern angegriffen wurde. Damals wurden ca. 6 Millionen Nutzer informiert und ihre Passwörter zurückgesetzt. Inzwischen sieht es danach aus, dass bei jenem Angriff eine wesentlich größere Zahl an Zugangsdaten erbeutet wurde – aktuell geht man von ca. 140 Millionen aus.
Bei solchen Hacks werden in der Regel nicht die Passwörter selbst erbeutet. Diese werden von den Anbietern meist gar nicht gespeichert. Gespeichert wird nur der so genannte „Hash-Wert“ jedes Passworts. Gibt man als Nutzer beim Login sein Passwort ein, wird aus ihm jedes Mal neu der Hash-Wert errechnet und mit dem hinterlegten Hash-Wert verglichen. Nur wenn die beiden Werte übereinstimmen, wird der Zugang zum Account gewährt (erfahre mehr). Weiterlesen
Ende-zu-Ende-Verschlüsselung gilt als Goldstandard für sichere Kommunikation. Seit April 2016 erfüllt WhatsApp diesen hohen Anspruch.
Wer eine Nachricht verschickt, möchte in der Regel, dass nur der Empfänger sie lesen kann. Spätestens seit den Enthüllungen Edward Snowdens wissen wir aber, dass davon im digitalen Bereich keine Rede sein kann. Ganz im Gegenteil: Wenn wir SMS-, E-Mail- und Instant-Messaging-Dienste verwenden (z. B. Facebook-Messenger oder Skype), müssen wir davon ausgehen, dass alle unsere Nachrichten vollständig nach bestimmten Suchbegriffen durchsucht und langfristig gespeichert werden. Dies bedeutet zwar noch kein „Mitlesen“ in dem Sinne, dass sich ein Mensch dafür die Zeit
nehmen würde. Ermittler könnten sich aber zu einem späteren Zeitpunkt – vielleicht erst in Jahren oder Jahrzehnten – aus Gründen, die wir jetzt noch nicht einmal ahnen können, plötzlich für uns interessieren. Es wird ihnen bestimmt Freudentränen in die Augen treiben, wenn sie dann mühelos auf große Teile unserer vergangenen Kommunikation zugreifen können. Weiterlesen
In dieser 4-teiligen Serie geht es um das Signieren und Verschlüsseln von E-Mails nach dem S/MIME-Standard.
Teil 4: S/MIME und OpenPGP im Vergleich und Fazit
Spätestens seit den Enthüllungen Edward Snowdens ist allgemein bekannt, dass das Fernmeldegeheimnis in der E-Mail-Kommunikation aktuell so wasserdicht ist wie ein Salatsieb. Daran wird sich in absehbarer Zeit nichts ändern. Das können wir achselzuckend hinnehmen – wir müssen uns dann aber ehrlicherweise folgende Frage stellen: Würden wir es mit der selben Gleichgültigkeit akzeptieren, wenn andere Grund- und Menschenrechte über Bord gingen? (vgl. Grundgesetz Art. 10 und Allgemeine Erklärung der Menschenrechte Art. 12)
Ich bin überzeugt, dass wir das nicht tun würden. Wie lässt sich dann aber erklären, dass wir gerade bei E-Mails untätig zusehen, wie unsere Privatsphäre tagtäglich und in geradezu atemberaubendem Ausmaß verletzt wird? Und das, obwohl wir sie so einfach schützen könnten? Vielleicht liegt es daran, dass wir im digitalen Bereich die Tragweite unseres Verhaltens einfach noch nicht sehr gut einschätzen können. E-Mails sind in dieser Hinsicht besonders tückisch: Sie suggerieren eine dem Brief ähnliche Vertraulichkeit zwischen Sender und Empfänger, die sie nicht einmal annähernd bieten. Wenn wir plötzlich alle unsere Briefe in aufgerissenen Umschlägen zugestellt bekämen, gäbe es vermutlich schon morgen Massendemonstrationen. Die permanente Verletzung der digitalen Privatsphäre ist dagegen unsichtbar und lässt sich sehr leicht ignorieren. Der Verein digitalcourage formuliert dazu treffend: Weiterlesen
In dieser 4-teiligen Serie geht es um das Signieren und Verschlüsseln von E-Mails nach dem S/MIME-Standard.
Teil 3: Wie kann man einen Mail-Client für ein bestimmtes Zertifikat konfigurieren?
In Teil 2 der Serie ging es darum, wie man als Privatnutzer kostenlos an ein Zertifikat kommt. Jetzt ist nur noch ein Arbeitsschritt nötig, wenn man das Zertifikat für sichere E-Mail-Kommunikation nutzen möchte: Man muss das Zertifikat aus dem Speicher des Browsers exportieren, lokal speichern und anschließend in den Zertifikatsspeicher des E-Mail-Clients importieren. Das erledigt man mit wenigen Mausklicks. Die folgende Anleitung bezieht sich auf ein Class-1-Zertifikat von Comodo und auf aktuelle Versionen von Firefox
und Thunderbird. Für andere Browser bzw. Clients sind über eine Google-Suche leicht die passenden Schritt-für-Schritt-Anleitungen zu
finden. Weiterlesen
In dieser 4-teiligen Serie geht es um das Signieren und Verschlüsseln von E-Mails nach dem S/MIME-Standard.
Teil 2: Wie kommt man als Privatnutzer an ein Zertifikat?
Viele Firmen, Universitäten und andere Einrichtung stellen ihren Angehörigen digitale Zertifikate zur Verfügung, die für die Verschlüsselung von E-Mails nach dem S/MIME-Standard benutzt werden können (so genannte X.509-Zertifikate). Privatnutzer, die ihre E-Mails nach diesem Standard verschlüsseln wollen, stehen jedoch vor einem Problem. Zwar kann man sich mit OpenSSL auch selbst ein Zertifikat ausstellen. Ein solches Zertifikat wird aber kaum praxistauglich sein, weil es von keiner allgemein
anerkannten Zertifizierungsstelle ausgestellt wurde. Allgemein anerkannt bedeutet hier vor allem: gängige E-Mail-Programme stufen die Zertifizierungsstelle automatisch als vertrauenswürdig ein. Wenn man nun seine Mails mit einem Zertifikat signiert, das von einem selbst oder von einer kaum bekannten Zertifizierungsstelle ausgestellt wurde, werden die E-Mail-Clients der Empfänger diesem Zertifikat nicht vertrauen und aus diesem Grund immer wieder Alarm schlagen. Weiterlesen
In dieser 4-teiligen Serie geht es um das Signieren und Verschlüsseln von E-Mails nach dem S/MIME-Standard.
Teil 1: Grundlagen
Diese Serie handelt davon, wie man seine E-Mail-Kommunikation ganz ohne technische Spezialkenntnisse mit dem Verschlüsselungsstandard S/MIME vor fremden Blicken schützen kann. Dabei wird es nicht um die Frage gehen, ob E-Mails verschlüsselt werden sollten – diese Frage ist aus meiner Sicht in Zeiten groß angelegter Hackerangriffe (erfahre mehr) und umfassender staatlicher Überwachungsprogramme (erfahre mehr) schnell zu beantworten. Doch selbst wenn uns das alles herzlich egal sein sollte, weil wir glauben, dass wir „nichts zu verbergen“ haben: Wir sollten auch bedenken, dass wir nie nur für uns selbst eine Entscheidung treffen. Unsere „eigenen“ Kommunikationsdaten enthalten immer auch Informationen über unsere Kommunikationspartner. Falls uns der Schutz unserer (E-Mail-)Daten gleichgültig ist, sind davon somit nicht nur wir selbst, sondern immer auch andere betroffen (erfahre mehr). Weiterlesen
USB-Sticks, externe Festplatten und ganze Rechner können einem durchaus einmal abhanden kommen. Wie schützt man die auf ihnen gespeicherten Daten vor fremdem Zugriff?
Wohnungseinbruch, Autodiebstahl, Taschenraub oder einfach Schusseligkeit – Datenträger können aus vielen Gründen verloren gehen. Oft enthalten sie riesige Sammlungen von privaten und beruflichen Dokumenten, E-Mails, Fotos und Videos. Kaum jemand möchte, dass diese in fremde Hände fallen.
Davor kann man sich inzwischen sehr leicht schützen. Hierfür muss man einfach alle Datenträger verschlüsseln, auf denen persönliche Daten gespeichert sind – im Zweifelsfall: alle. So kann nur noch mit dem richtigen Passwort auf die gespeicherten Daten zugegriffen werden. In einem von Spiegel Online produzierten kurzen Video wird diese Grundidee sehr anschaulich erklärt (erfahre mehr).
Die Hinweise im Video gelten aber nicht für alle Betriebssysteme in gleichem Maße: Weiterlesen
Wie kann man verschlüsselte E-Mails auch auf einem Android-Smartphone oder -Tablet lesen und verschicken?
***Update 16.2.2020***
Ich empfehle inzwischen die quelloffene App FairEmail, die sowohl PGP als auch S/MIME unterstützt. Hier erfährst Du mehr.
******
Viele Wissensarbeiter würden ihre E-Mails gerne verschlüsseln. Dies können sie mit dem inzwischen sehr ausgereiften Standard PGP tun (Pretty good privacy – wörtlich übersetzt: ziemlich gute Privatsphäre). Die Verschlüsselung mit PGP ist in der Tat so stark, dass selbst Edward Snowden sie nutzte, als er mit dem Journalisten Glenn Greenwald sicher kommunizieren wollte.
Manche Nutzer befürchten aber, dass sie mit PGP verschlüsselte E-Mails mit ihrem Smartphone oder Tablet nicht mehr lesen oder verschicken können, oder dass das sehr umständlich wird. Diese Sorge war früher in der Tat nicht ganz unberechtigt. Man stand vor allem dann vor einem Problem, wenn man den neueren Verschlüsselungsstandard PGP/MIME benutzte. Dieser ist dem älteren Standard PGP/Inline seit langer Zeit unbedingt vorzuziehen, denn er kann unter anderem viel besser mit Mail-Anhängen umgehen.
Inzwischen gibt es aber drei leistungsfähige Apps für Android, die den PGP/MIME-Standard beherrschen. Auch sonst können diese Apps
alles, was ein mobiler E-Mail-Client können muss. Diese Apps heißen… Weiterlesen