Veröffentlicht am

WordPress – Safety first!

WordPressWordPress wird als Content Management System (CMS) immer beliebter. Es kann ohne weitreichende technische Kenntnisse aufgesetzt und betrieben werden.

Das sollte auch so sein, denn warum sollte sich ein Autor mit der Technik herumschlagen?

Es gibt aber in der Planungs- und Installationsphase einige Dinge zu beachten, damit das neu aufgesetzte Blog nicht binnen kürzester Zeit zur „Malware-Schleuder“ wird.

Fangen wir da an, wo es eigentlich schon zu spät ist.

Eigentlich sollte die Installation damit starten, dass man sich Gedanken um die Sicherheit des Blogs macht. Das bedeutet aber den direkten Einstieg in die Themen „Dateirechte“, „Datenbankverwaltung“ und „Fehlerlog“. Ein erster Beitrag dazu findet sich an anderer Stelle hier im Blog.

Die meisten Blogbetreiber machen sich nach dem Aufsetzen des Blogs aber erfahrungsgemäß erst einmal Gedanken um das Design der Website. Das verwundert nicht, denn es wird ja um Inhalte und deren Wahrnehmung gehen.

Ich setze daher erst einmal an diesem Punkt an. Denn auch an dieser Stelle gibt es einige Möglichkeiten ein Mehr an Sicherheit zu bekommen.

Daher stelle ich hier ein paar Plugins vor, die hierbei einen guten Dienst verrichten und sofort nach der Grundinstallation hinzugefügt werden sollten.

 

Simple Login Lockdown

Dieses Plugin sorgt dafür, dass nach einer zu definierenden Anzahl fehlgeschlagener Login-Versuche der Zugang zur Administrationsoberfläche für die betreffende IP gesperrt wird. Keine Angst, nicht für immer, sondern nur für eine bestimmte Zeit. Angreifer warten nicht, ob nicht sie in einer Stunde erneut versuchen können, sondern ziehen weiter. Zeit ist Geld.

Antispam Bee

Die fleißige Biene gegen SPAM. Seit es Email und Blog-Kommentare gibt, gibt es auch SPAM. Also unerwünschte Zusendungen oder Einträge unter Blogbeiträgen. Zumindest im Bereich der WordPress Installationen gibt es dieses Plugin, das eine Menge SPAM abfängt, ohne das man sich als Autor damit herum plagen muss.
Passend dazu gibt es noch einen „Blacklist Updater“, mit dem eine automatische Liste von Spammern für Antispam Bee abonniert werden kann.

Stop Spammers Registration

Eine schöne Ergänzung zur kleinen Biene. Dieses Plugin verhindert, dass sich jedermann/jederfrau/jederbot als Benutzer an der Seite anmelden kann. In den Basiseinstellungen von WordPress kann man sich nach Eingabe seiner Mail nämlich ohne viel Aufwand registrieren lassen und kann dann nahezu automatisch Kommentare mit SPAM einstellen.

WP Author Slug

Eine oft gesehene Angriffsmethode sind „Brute-Force“ Angriffe, bei denen einfach willkürliche Loginname/Passwort Kombinationen benutzt werden. Da es bei WordPress in der Standardinstallation der Loginname dem Autorennamen entspricht, ersetzt dieses Plugin den sichtbaren Namen.

XM-Backup

Wie der Name schon sagt, macht dieses Plugin nichts anderes, als Backups. Und zwar von der Datenbank und den Inhalten. Wohin, kann man sich aussuchen. Für mich hat sich bewährt, die Daten auf dem lokalen Host in einem eigens dafür vorgesehenen Verzeichnis per ftp abzulegen. Dieses Verzeichnis wird dann nachts über eine VPN-Verbindung auf einen lokalen Server im Büro kopiert. Damit existiert neben dem lokalen Backup auf dem Webserver auch noch ein weiteres im direkten Zugriff. Sehr nützlich um eine saubere Neuinstallation vorzunehmen, falls der Server doch einmal kompromittiert ist.

 

Mit diesen fünf Plugins sind schon einmal ein paar Angriffsmöglichkeiten entschärft.

Das ist aber noch längst nicht alles, was getan werden sollte.

Ein wichtiger Punkt ist immer auch die technische Absicherung einer WordPress-Installation. Hierzu gehört zum Beispiel die Absicherung des Administrationsbereiches per .htaccess-Datei. Oder eben die Prüfung der Dateirechte im System. Sobald jeder von außen etwas hochladen kann, wird das ein echtes Risiko.

Ebenso sollte es heute selbstverständlich sein, den Zugang zum Adminstrationsbereich mit einem SSL-Zertifikat abzusichern, damit ein Lauscher an der Leitung keine Login-Daten abfangen kann.

Hier wird es dann aber sehr schnell technisch. Zu technisch für die meisten Betreiber.

Sprechen Sie mich an, ich prüfe ihr WordPress-System und gebe Tipps zur sinnvollen Absicherung.

 

Veröffentlicht am

WordPress und der Admin

20140729-_IMG0028Ich lese seit einer ganzen Weile bei Facebook in einer Gruppe mit, bei der es um WordPress und SEO geht. Bei der Lektüre erstaunt mich immer wieder, wie viele WordPress-Installationen im Internet aktiv sind, ohne dass deren Administratoren sich um grundlegende Dinge der IT-Sicherheit Gedanken machen.

Leider hat sich in der Szene nämlich ein Denken breit gemacht, das es zu hinterfragen gilt.

Sicherheitsfunktionen werden im WordPress Bereich oft über einfach zu installierende Plugins realisiert, die aus Sicht des (Unix-/Linux) Serveradmins eigentlich schon auf einer Ebene weit unter WordPress abzufangen wären. Und das vielfach auch noch ohne jedes Verständnis, was eigentlich dahinter steckt. Für mich ist das manchmal, als wenn jemand auf Basis seiner Erfahrung aus Lego-Technik-Bausätzen anfängt Sportwagen in Serie zu produzieren.

Der erste Dankanstoß: Warum soll sich ein http-Dienst um Dateirechte kümmern?

Das kann er auf einem vernünftig aufgesetzten System ja nicht einmal. Der httpd läuft aus Sicherheitsgründen gar nicht als root und hat im Normalfall nicht einmal das Recht, das eigene Installationsverzeichnis zu verlassen. Wer seine Installation per ftp-Client oder manuell rekursiv auf 777 (rwxrwxrwx) setzt, nur damit alles läuft, hat einfach den falschen Ansatz gewählt.

Eine .htaccess mit Zugriffssperren macht auch wenig Sinn, wenn diese die falschen Rechte hat. Gleiches gilt für die htpasswd. Also nach Möglichkeit die Zugangsbeschränkungen direkt in die Apache-Konfiguration. Da kommt so leicht niemand hin.

Der zweite Denkanstoß: Der eigentliche Server.

Die Krux: Ganz viele Betreiber entscheiden sich aus Kostengründen für einen vServer. Die kann man in der Regel mit so einem schönen grafischen Werkzeug konfigurieren. Außerdem maximiert diese Wahl ja den eigenen Rohgewinn.

Wie oft habe ich schon verzweifelte Hilferufe gelesen, wenn dann doch ein Server kompromittiert wurde. Konfigurationstools haben meist alle Rechte ins System. Und wie viele andere Installationen noch auf der gleichen Hardware laufen ist bei so einer Wahl meist auch nicht so ganz klar. Wenn bei einem was schief läuft, nimmt es oft andere Installationen mit.

Der eigentliche Denkanstoß muss also sein: Hört auf zu basteln und lasst Spezialisten ran!

Das gilt nicht nur für Hard- und Software! Mir ist bei alledem klar, dass nicht jeder WordPress-Admin auch ein Unix-Spezialist ist. Genau deswegen sollte zumindest jeder Webserverbetrieber einen echten Systemadmin kennen und den in die Installation einbinden und regelmäßig die Logs checken lassen.

Bleiben wir im Bild: Das Auto. Die Funktionen gibt der Hersteller (Systemadmin) vor, schon das Design wird zugekauft (Webdesigner). Auch die Sicherheitseinrichtungen wie Bremsen oder ABS werden in der Regel zugekauft so wie sie am besten passen. So etwas kommt nicht vom Hersteller selbst. Das wird exakt auf das jeweilige Modell abgestimmt oder nach Vorgabe passend gemacht (Systemadmin).

Der Designer wird in der Regel nicht wissen wissen wie die Bremse oder ABS und ESP funktioniert. Es gibt nämlich Spezialisten, die sich damit auskennen. Und die nimmt man mit in so ein Projekt.

Dieser Ansatz sollte sich beim Betrieb von Servern im Netz auch etwas mehr herumsprechen.
Ein Webdesigner ist ein Webdesigner ist ein Webdesigner. Und eben KEIN Server-Admin!

Veröffentlicht am

Nach dem Virus ist vor dem Virus

VirusentfernungVor Kurzem ging es wieder durch die Presse: „Wie reinige ich meinen Rechner von Viren?“

Das ist auch im Jahr 2014 noch immer eine berechtigte Frage.

Das kann auch dieser Beitrag nicht ad hoc ändern. Letztendlich muss jeder Anwender selbst entscheiden, inwieweit er nach einem Viren- oder Trojanerbefall seinem Rechner noch trauen will. Danach richtet sich nämlich der Reinigungsaufwand.

Fangen wir einmal mit dem Grundsätzlichen an

Grundlage eines sauberen Rechners ist ein Virenscanner. Punkt. Wer in der heutigen Zeit, die vom Datenaustausch lebt, einen Rechner ohne Virenschutz betreibt, handelt fahrlässig.

Das gilt heute leider auch für Anwender mit Betriebssystemen unter Linux, Android oder MacOS.

Diese sind vielleicht nicht unmittelbares Ziel einer Attacke, aber über diese Rechner können Viren verbreitet werden. Ich betrachte diese Rechner daher als eine Art „Zwischenwirt“. Denn auf diesen Rechnern finden Viren eine Ruhezone, in der sie eine unternehmensweite Reinigung überstehen können. Nämlich als Anhang in einer darauf abgelegten E-Mail. Wenn diese dann dem vom Virus betroffenen Kollegen freundlicherweise noch einmal zur Verfügung gestellt wird, schließt sich der Kreis.

Damit sind wir beim Punkt „Saubermachen“

Wichtigster Punkt nach einem Viren- oder Trojanerbefall: ALLE Geräte sollten zumindest als befallen betrachtet und nach möglichst objektiver Risikobewertung geprüft werden. Das gilt insbesondere, wenn der Befall durch eine Email ausgelöst wurde.

Und wie reinige ich richtig?

Der beste Weg bleibt eine Formatierung

Den Rechner komplett formatieren, alle Daten und Programme neu aufspielen. Das ist der Weg, der am meisten Arbeit kostet und gerade unter Windows eine endlose Installationskette nach sich zieht. Denn welche Applikation ist noch in dem Versionsstand, der auf der Installations-DVD vorliegt? Und überhaupt, wo ist die?

Oft fängt es schon mit den auf dem Rechner vorhandenen Werksimages an. Die sind nämlich in der Regel auf dem Auslieferungsstand. Hand auf’s Herz: Spielen Sie wirklich regelmäßig auch die Herstellerupdates für den Rechner ein? Lassen Sie da nicht meist genau dieses „Recovery“-Update weg, weil das ja über 1GB groß ist?

Die zu erwartende Größe der Downloads lässt viele an diesem Punkt grübeln.

Hier kürzen dann auch die meisten Betroffenen ab

Aufgrund des zu erwartenden Aufwands wird leider mehr oder weniger optimal abgekürzt. Oft wird nur auf einen vorhandenen Wiederherstellungszeitpunkt unter Windows zurückgegangen. Aber ob da der Virus oder Trojaner nicht schon leise im Hintergrund auf die Befehle seines Kontroll-Servers gewartet hat? Dann könnte er nämlich mit dem nächsten Kontaktversuch direkt wieder aktiv werden.

Auch hier kommen wieder Zweifel auf.

Die „Zwischenwirte“ sind im Vergleich einfach zu reinigen. Hier reicht es in der Regel aus, einen Virusscanner mit AKTUELLEN Virendefinitionen die GESAMTEN Laufwerke scannen zu lassen. Damit schließt man diese Geräte im ersten Schritt als Infektionsquelle für einen erneuten Befall aus und kann sich den anderen Geräten widmen.

Wie gehe ich am besten am befallenen Rechner vor?

Wenn es also ohne Formatierung gehen soll, bleiben nur wenige Wege. Einer wäre, den Rechner von einem USB-Stick oder einer CD mit einem Linux-System zu starten und die Festplatte zu scannen. Hierfür gibt es spezielle Distributionen, die man sich auch selbst zusammenstellen kann. Vorteil hierbei: die Netzwerkfunktionen sind aktiv, der Virenscanner kann also jederzeit problemlos aktuelle Definitionsdateien aus dem Internet nachladen.

Der zweite Weg: Festplatte ausbauen und an einem anderen Rechner als externes Laufwerk anschließen. Empfehlenswert hierbei ist ebenfalls ein Nicht-Windows Betriebssystem um Nebenwirkungen auszuschließen.

Diese Wege führen aber ganz oft auch nicht zum gewünschten Ergebnis. Viren und Trojaner ersetzen nämlich gerne auch einmal für das Betriebssystem notwendige Dateien oder modifizieren sie. Beim Scan am externen Rechner werden dies infizierten Dateien dann in der Regel gelöscht, weil die Modifikation nicht problemlos erfolgen kann. Im Endergebnis habe ich dann zwar einen vom Virus befreiten Rechner der nicht mehr startet.

Danach muss meist erst einmal eine Systemrettung laufen, die dann aber aufgrund der zwischenzeitlich installierten Systemupdates auch für einige Überraschungen und unkalkulierbaren Mehraufwand sorgt.

Meine Empfehlung daher: Vorbereiten auf den Moment der Formatierung

So leid es mit tut, aber ich halte nach wie vor die Formatierung des Rechners auch unter betriebswirtschaftlichen Aspekten für die beste Lösung. Kalkulieren Sie doch einmal eine unbedient ablaufende Datensicherung gegen manuelle Rettungsversuche durch einen Administrator, der an anderer Stelle fehlt.

Aufgrund der eingesparten Zeit rechnen sich Sicherungsfestplatten und -software sofort. Ganzheitliches Denken ist in der IT ein Kostensenker, der völlig falsch bewertet wird.

Mein Vorschlag: Nach Installation ein Festplattenimage des Rechners sichern

Für mich hat sich bewährt, nach einer Grundinstallation aller Programme und der Aktualisierung des Betriebssystems ein komplettes Festplattenimage auf eine externe USB-Platte zu sichern. Damit hat man die Sicherheit, relativ schnell zu einem funktionsfähigen Basisrechner zu kommen.

Diese Sicherung sollte man gut verwahren und nur noch bei einem absolut sauberen Rechner in regelmäßigen Abständen ersetzen! Sinnvollerweise nach einem zwei Generationen Prinzip. Damit erhält man nämlich ein zusätzliches Backup falls der Rechner aktuell doch nicht einwandfrei war.

Danach gehören diese Laufwerke an einem Platz in der dunkelsten Ecke des Betriebs verwahrt. Am besten sogar außer Haus, damit man nicht in Versuchung kommt, „mal eben“ ein paar Dateien zusätzlich darauf zu sichern.

Aktuelle Daten regelmäßig auf den Server oder einen USB-Stick sichern

Mit diesem Datenträgern kann man im Zweifel mit relativ wenig Aufwand wieder einen betriebsfähigen Zustand herstellen nachdem man den Rechner formatiert hat.

Problematisch ist an diesem Punkt immer wieder die Sicherung der Outlook-Dateien! Hierin findet sich nach Wiederherstellung nämlich meistens der ein oder andere Trojaner als Anhang.

Ebenfalls nicht gesichert gehören Ordner wie „Temporäre Internetdateien“ oder „Downloads“. Auch hier warten nach einer Recovery gerne Überraschungen.

Obacht auch bei serverbasierten Profilen

In vielen Unternehmen werden Benutzerprofile auf dem Server gespeichert. Hier sollte umgehend der Serveradministrator einen kompletten Scan des Benutzerprofils vornehmen. Hier kann der Trojaner durchaus auch noch „überwintern“ und dann nach Wiederherstellung des Profils wieder aktiv werden.

Und immer gilt: Don’t Panic

Das gilt nicht nur bei Reisen durch die Galaxis, sondern im Falle eines Virusbefalls.

Durch vorbeugende Sicherungsmaßnahmen kann man einen Rechner lächelnd durchformatieren.

Veröffentlicht am

2014 – Zeit für Veränderung

ÜberwachungSeit Mitte 2013 dürfte allen klar geworden sein, wie wenig vertraulich Kommunikation heute noch ist.

Noch immer gibt es jede Woche neue Nachrichten welche Daten und Dienste von den Geheimdiensten abgefangen und ausgewertet werden.

Langsam entwickelt sich auch eine breitere Diskussion rund um die Thematik. Offenbar ist die Phase überwunden, wo das Kaninchen in Schreckstarre vor der Schlange verharrt.

Private Nutzer reagieren eher mit anwachsender Skepsis auf diese Nachrichten. Viele „Soziale Netzwerke“ verzeichnen eine gewisse Müdigkeit bei den Nutzern. Ob sich diese Müdigkeit je wieder legen wird ist fraglich. Nicht ohne Grund kämpfen die großen der Branche in den USA um mehr Rechte Transparenz zu schaffen. Wenn die früher freiwillig in die Auslage springende „Ware“ nicht mehr am Netzwerk teilnimmt, bricht das Geschäftsmodell weg.

Professionelle Nutzer reagieren anders. Sie nutzen die Dienste resigniert weiter. Denn es gibt ja scheinbar keine Alternative zu den lieb gewonnen Tools Marketing und dezentrale Organisation. Es wurde ja gerade erst mit viel Geld und Aufwand dafür gesorgt, dass bislang interne Prozesse und Strukturen als Cloud-Service abgebildet wurden. Da kann man doch nicht einfach zurück.

Das Risiko einfach auszublenden ist eine Möglichkeit damit umzugehen. Aus Sicht des IT-Experten aber die Falsche. Die bessere Möglichkeit ist nachzufragen, ob es wirklich keine Alternativen gibt.


Wir als IT-Berater müssen uns der Diskussion stellen und Alternativen aufzeigen, die für mehr Vertraulichkeit in der Kommunikation in Unternehmen sorgen können.

Es muss in dieser Zeit klar darum gehen, Daten als ein wertvolles Gut zu betrachten mit dem man sorgfältig umgeht.

Aus aktueller Sicht rund um das Thema Überwachung gibt es kaum noch Argumente, die klar für Dienste in der Cloud sprechen. Mittlerweile scheint sich sogar zu bewahrheiten, dass ausgespähte Daten aus Cloud-Rechenzentren auch für einen wirtschaftlichen Zweck ausgewertet werden.

Was wirklich schade ist, denn einige Ansätze rund um die Cloud sind wirklich sinnvoll und gut.

Vielleicht ist es aber auch möglich, an bestimmten Punkten nicht auf die überall beworbenen Dienste von US-amerikanischen IT Multis zuzugreifen, sondern die Idee im kleinen für den eigenen Betrieb umzusetzen.

Konkrete Ansätze, die umgesetzt werden können:

  • Aufbau einer firmeneigenen Crypto-Key Infrastruktur
  • Absicherung von E-Mail durch komplett verschlüsselte Abwicklung
  • Kommunikation per VPN für Laptop und Smartphone
  • Zentraler Webproxy im Unternehmen
  • Firmeninternes Cloud-System zum Abgleich von Terminen, Kontakten und Dokumenten

In Zukunft finden Sie hier auf der Website in loser Folge neben der Reihe zum Aufbau einer eigenen Cloud auch Artikel, die sich mit Ideen und Lösungen beschäftigen, die weg von Mainstream gehen.

Es wird Zeit gegen den Strom zu schwimmen. Denn nur tote Fische schwimmen mit dem Strom.

Veröffentlicht am

Sicherheit geht vor

SSLSicherheit ist uns wichtig.

Um das Thema noch weiter voranzutreiben werden wir zum 1.2.2014 die Übermittlung beim Mailabruf von unseren Servern komplett auf „SSL Only“ umstellen.

Wir haben schon vor langer Zeit unsere Mailservices komplett auf den Zugang über SSL (Secure Socket Layer) bzw. TLS (Transport Layer Security) umgestellt. Sie als Kunde merken das in der Regel nicht, da eigentlich alle Mailprogramme den verschlüsselten Abruf bevorzugen und SSL daher schon benutzt wird.

Ab dem genannten Datum gehen wir einen Schritt weiter. Es ist dann kein Abruf in unverschlüsselter Form mehr möglich. Die entsprechenden Ports werden gesperrt.

Sollten Sie dann beim Mailabruf eine Fehlermeldung bekommen, setzen Sie sich bitte mit uns in Verbindung, die Änderungen können mit Anleitung auch am Telefon vorgenommen werden.

Wir werden nach und nach auch weitere Dienste auf SSL umstellen. Wir halten Sie auf dem Laufenden.

Hinweis: Sollten Sie beim Zugriff auf unseren Mailserver eine Zertifikatswarnung bekommen, kann dies wie in einem speziellen Bereich unserer Website beschrieben, abgestellt werden.

Veröffentlicht am

Die Cloud – Ein paar Denkanstöße

Cloud Services - DenkanstößeDas Thema Cloud Services ist nicht mehr wegzudenken.

Wohin man auch blickt, überall wird mit Cloud Diensten geworben. Sei es als gemeinsamer Datenspeicher a la DropBox oder als komplette Servervirtualisierung in der Elastic Cloud von Amazon.

Neben diesen beiden Speicher-, bzw. Rechnerlösungen gibt es noch viele Spezialanwendungen, die direkt in der Cloud realisiert werden. Hier merkt der Anwender nicht einmal, dass er in der Cloud arbeitet. Die Dienste arbeiten oftmals entweder im Internetbrowser oder als separate Applikation, die lokal auf dem Rechner installiert wird und ein sogenanntes Frontend bildet.


Wie kann Ihr Unternehmen von Cloud Diensten profitieren?

Wie und ob diese verschiedenen Ansätze in Ihrem Unternehmen eingesetzt werden können, ist oft fraglich. Die Beschreibungen der einzelnen Dienste sind oft eher für Techniker geschrieben als für Entscheider.

Mit diesen Informationen fällt es oft schwer zu entscheiden, ob und welche Dienste in einem Unternehmen wirklich eingesetzt werden können. Hinzu kommen relativ undurchschaubare Geschäftsbedingungen, die eine Kalkulation nicht einfach machen.

Genug Ansatzpunkte also das Thema in einer losen Beitragsreihe einmal aufzuarbeiten und ein paar Denkanstöße zu liefern.

Muss es immer eine externe Cloud sein?

Das ist oft ein erster Gedanke. Bedenken um die Themen Datenschutz und Ausfallsicherheit kommen in Gesprächen immer sehr schnell auf. Ein Aspekt dabei ist in der Tat das Thema Datenschutz. Die Entwicklung im Juni 2013 rund um die Tätigkeiten der U.S.-amerikanischen NSA lassen viele Vermutungen zur Gewissheit werden.

Auch Ausfallsicherheit, Datensicherung (Backup) und Zugriffsmöglichkeiten sind ein Thema, das in der Diskussion um die Frage einer externen Cloud-Lösung aufkommt.

Hier im Blog wird es in den nächsten Wochen ein paar Hinweise und Denkanstöße geben, die für Sie als Entscheider wichtig sein werden.

Es wird bewusst nicht das System A oder B konkret vorgestellt werden, sondern es wird eher um die grundsätzlichen Dinge in der Planung gehen. Die Themen werden sein:

  • Diensteauswahl
    • Speicherplatz
    • Rechenleistung
  • Zugang zu den Services
    • Eigener Internetzugang
    • Standort Dienstleister
  • Datensicherung
    • Absicherung und Fehlerquellen
    • Rücksicherung und Wiederinbetriebnahme
    • Organisatorischen Maßnahmen
  • Datenschutz
    • Auswahl des Providers aus juristischer Sicht
    • Auswahl der Service Level Agreements

Abonnieren Sie einfach den Newsfeed und bleiben Sie auf dem Laufenden.

Veröffentlicht am

Surfen im Web, Schadsoftware umschiffen

IGP0814_1000px-199x300Sie haben gerade Ihren Laptop bei mir abgeholt?

 

Und Ihnen ist aufgefallen, dass der Webbrowser ganz anders aussieht?

Da haben Sie recht. Ich habe da etwas ein kleines Stück sicherer gemacht. Einfach nur ein Schloss daran hängen bringt es nämlich nicht immer.


Aber keine Angst. Solche Änderungen mache ich nicht, ohne das abzusprechen. Aber manchmal würde ich das schon gerne. Denn gerade im Bereich der Windows-PCs lauern Risiken, die man schon mit kleinen Änderungen minimieren kann.

 

Also reden wir doch einmal darüber, was an einfachen Änderungen machbar ist, um das Risiko von Schadsoftware zu verringern.

Alles fängt mit der Wahl des Internetbrowsers an. Denn der ist mittlerweile die Hauptquelle für Schadsoftware auf dem Rechner. Also nehmen wir einen, der sich mit Anpassung auf ein sinnvolles Maß an Sicherheit nachrüsten lässt.

Am einfachsten aus Sicht der IT-Sicherheit lässt sich das mit Mozilla Firefox bewerkstelligen. Hier gibt es eine breite Auswahl an sogenannten AddOns, mit denen man sehr hübsche Sachen nachrüsten kann.

Im Grunde reichen dazu drei AddOns: AdBlock Plus, Ghostery und NoScript. All drei findet man problemlos über die im Firefox enthaltene AddOn-Funktion.

Diese drei kleinen Zusatzprogramme ergänzen sich gut auf verschiedenen Ebenen.

AdBlock Plus filtert unerwünschte Werbung heraus. Sie werden staunen, wie so manche Ihrer gewohnten Webseiten aussieht, nachdem das AddOn zuschlägt. Neben der Unterdrückung von Werbung hilft es auch, die meisten externen Skripte auf Seiten zu blocken.

 

NoScript ist auf dem Gebiet aber Experte. Denn genau diese Funktion hilft bei der Vermeidung der meisten Schadsoftware. Diese wird nämlich häufig über im Hintergrund einer Seite lauernde aktive Inhalte eingeblendet. Mal eben ein für den Nutzer unsichtbares iFrame eingebettet, das den entsprechenden Schadcode nachlädt. NoScript schiebt da einen ziemlich dicken Riegel vor.

(Wie bei manchen menschlichen Experten passiert auch hier manchmal doch zu viel des Guten. Viele Webseiten funktionieren mit NoScript nicht mehr wirklich toll. Also mit Augenmaß einsetzen…)

 

Ghostery macht unsichtbar. Also jedenfalls ein wenig. Ghostery ist spezialisiert, sogenannte WebBugs, also transparente Zählpixel, auszublenden und zu filtern.

Ab man nun alle drei einsetzt oder nur einzelne, muss jeder Nutzer auf Basis der eigenen Webseiten entscheiden.

Als sehr gut erwiesen hat sich die Kombination aus AdBlock und Ghostery. Diese beiden arbeiten ruhig im Hintergrund und fallen nur dadurch auf, dass ab und zu die Filterlisten aktualisiert werden. Wer es sicherer mag, sollte aber NoScript ruhig dazunehmen. Mit der Pflege von Ausnahmelisten kann man auch die eigenen und als sicher befundenen Webseiten dann freigeben. Aber klarer Tip: Ausprobieren und prüfen ob es zum eigenen Arbeitsablauf passt.

[UPDATE]

Nach einem Hinweis aus der Follower-Gemeinde, die auf eine negative Beurteilung von Ghostery hinwies, eine kurzes Ergänzung:

Ghostery ist in der Tat vor einiger Zeit von einem Werbedienstleister gekauft worden. Auch AdBlock hat im Hintergrund irgendwelche Vereinbarungen mit Werbedienstleistern und lässt daher „Weniger störende Werbung“ durch. Natürlich ist Werbung ein Geschäftsmodell. Darüber sollte man sich im klaren sein. Und es wird immer eine Gratwanderung sein.

[/UPDATE]

 

Wer sich nicht anpasst, geht unter!

Denn all diese Tools helfen nicht ohne Anpassungen im Firefox! Auch im Programm selber sind die vorhandenen Sicherheitsfunktionen nicht unbedingt perfekt voreingestellt. Nehmen wir beispielhaft doch einmal einige dieser Einstellungen unter die Lupe.

EinstellungenIn den Einstellungen der Reiterkarte „Datenschutz“ finden sich ein paar nette Häkchen, die man hinterfragen und eigentlich auch setzen sollte.

Die Verfolgung von Websites abzuschalten ist eigentlich Pflicht, basiert aber auf dem Goodwill des Seitenbetreibers. Aber es schadet nicht, die Funktion anzuschalten.

Die Option privater Modus sorgt dafür, dass kein Browserverlauf geschrieben wird und das keine Formulardaten gespeichert werden. Insbesondere dann interessant, wenn mehrere Personen einen Rechner nutzen.

Cookies sind an sich erst einmal nicht schädlich, sie lassen sich aber über die Drittanbieter-Erlaubnis missbrauchen. Also Drittanbieter aussperren!

Die Vorschläge in der Adressleiste sind zweischneidig. Natürlich ist es bequem, dass man dort nicht immer die ganze URL eintippen muss. Aber woher kommen die Vorschläge? Natürlich von draußen. Und wer sagt mir, dass diese Vorschläge nicht vorgefiltert sind oder zu „statistischen“ Zwecken gespeichert werden? Also abschalten und lieber tippen.

Mit diesen wenigen Handgriffen ist der Browser schon einmal nicht mehr ganz so auskunftsfreudig. Das Ergebnis sehen Sie nicht direkt. Aber es zahlt sich aus.

 

Vom Suchen und Finden

Auch ein Aspekt. Oben rechts neben der Eingabezeile für die URL gibt so ein praktisches Suchfeld. Bei den meisten sieht es so aus:

Google SucheIst doch so herrlich bequem. Wer ahnt denn schon, dass sich mit statistischen Methoden aus den an Google übermittelten Informationen mit recht hoher Genauigkeit eine Identifizierung eines Browsers machen lässt? Der Browser liefert dem Server (also Google) nämlich auf Anfrage eine Liste der PlugIns, der benutzten Rechnerplattform und anderen Informationen wie der Bildschirmeinstellung. Hieraus lässt sich schon ein recht genau zu identifizierender Fingerabdruck erstellen, der identifizierbar ist.

Warum das nicht ändern auf: ixquick

Das kostet eine letzte Suche bei Google mit dem Suchbegriff ixquick. Oder einen Klick hier. Und dann noch einen unter dem Suchfeld. „Zu Firefox hinzufügen“.

ixquick macht nichts anderes, als die Suchanfragen an andere Suchmaschinen weiterzuleiten. Allerdings vermischt mit anderen Anfragen. Man verschwindet also wieder ein wenig in der anonymen Masse. Also jedenfalls der von Google. Natürlich kann der Betreiber von ixquick auch Daten sammeln. Aber weit weniger sinnhaft.

 

WWW – Mach’s mit. Immer.

Ebenso unabdingbar ist ein gut funktionierender Viren- und Malwareschutz. Wenn nämlich doch einmal etwas durchrutscht, braucht es einfach noch eine Instanz, die das Einnisten von Schadcode wirkungsvoll unterbindet.

Und welchen man da nimmt? Das ist echt eine Glaubensfrage geworden. Natürlich könnten wir nach so vielen Jahren in der IT hier unsere Meinung kundtun, aber das macht man nicht. Jedenfalls nicht ohne Anwalt. Deshalb: Rufen Sie doch einfach mal an.

Veröffentlicht am

Passwort-Lecks und Trittbrettfahrer

Passwort in GefahrPasswort in Gefahr: Das soziale Netz „LinkedIn“ hat offenbar „ein paar Passworte“ in Form von Hashes „verloren“.

 

Es ist die Rede von 6,5 Millionen Passwort-Hashes, die im Netz frei abrufbar sind.

Da sollten wir jetzt einmal drüber reden.


 

Erst einmal:
Das sind „nur“ 6,5 von 160 Millionen. Und es sind nur die Passwort-Hashes. Das sind im Grunde Prüfsummen, die mit Hilfe eines Rechenverfahrens aus dem eigentlichen Passwort berechnet werden. Mittels Berechnung und Vergleich kann man sein eigenes Passwort in den Hash umrechnen lassen und dann in der Liste suchen.

Das ist Fakt, da die Passworte offenbar ohne zusätzliche Verschleierung durch das sogenannte „Salzen“ weiter abgesichert sind.

Was aber scheinbar nicht mit kopiert werden konnte, sind die zugehörigen E-Mail Adressen. Die Betonung liegt auf „scheinbar“.

Sicherheitshalber sollte man also das Passwort bei LinkedIn ändern. Und auch bei anderen Diensten, wo die gleiche Kombination benutzt wurde! Solange „LinkedIn“ nicht klar belegen kann, dass nur die Hashes entwendet wurden, ist aus Sicht der IT-Sicherheit davon auszugehen, dass die gesamte Account/Passwort kompromittiert wurde.
Und selbst wenn sich die erste Darstellung bestätigt, wäre ich vorsichtig!

 

Auf keinen Fall sollte man aber auf irgendwelchen Sites jetzt sein Passwort eintippen, dort den Hash berechnen lassen und gegen eine angebliche Liste prüfen lassen!
Man gibt sein Passwort nicht aus der Hand. Nie. Nicht. Niemals.

 

Und schon gar nicht auf einer Site, deren Betreiber man nicht kennt.

 

Also bitte ignorieren Sie alle Tips, das Passwort doch einmal prüfen zu lassen!

 

Das einzig sinnvolle Verhalten: Passwort ändern. Und zwar direkt über die Login-Seite des Dienstes und nicht über einen netterweise zur Verfügung gestellten Link.

Es ist nämlich oft wirklich ganz einfach, über diesen Weg an gültige Informationen zu gelangen: Im Hintergrund den Facebook Like-Button und ich habe die Verknüpfung zu Facebook und der dort hinterlegten Mail-Adresse. Und ich wage zu schätzen, dass ca. 20% aller Nutzer bei Facebook, LinkedIn, StudiVZ und anderen Netzwerken in allen Netzen die gleiche Kombination nutzen!

Also bitte erst nachdenken!

Sie dürfen auch gerne eine Mail mit Fragen an VICO schicken oder anrufen und darüber reden: 0208/74011908

Veröffentlicht am

Bring Your Own Device

byod - bring your own deviceNutzerverhalten ändert sich. Das ist normal wenn sich Möglichkeiten ändern. Das ist allerdings auch ein Risiko wenn Unternehmen sich darauf nicht vorbereiten.

Bring your Device (BYOD) wird heiß diskutiert und oft eher nur als Risiko gesehen. Es bringt aber auch klare Vorteile.

 

Warum also eigentlich nicht?

 

Immer mehr Nutzer haben Smartphones oder private Laptops, die momentan als Risiko für Unternehmensnetzwerke gesehen werden.

Natürlich geht von diesen Geräten ein bestimmtes Risiko aus. Aber sie bringen ganz sicher auch einen Nutzen. Der Versuch einer sachlichen Näherung.

Menschen sind vernetzt. Mit Menschen aus dem beruflichen Umfeld. Oder mit Menschen, die gemeinsame Interessen haben. Wie viele Maschinenbauer sind z.B. begeisterte Schrauber oder RC-Modellbauer und sind gewohnt in dem Bereich zu improvisieren und nach Lösungen zu suchen? Wie viele Elektrotechniker basteln privat an Mikrocontrollersteuerungen für die Hausautomation?

Warum nicht auch als Unternehmen von dieser Tatsache profitieren? Das ist doch auch gar nicht so ungewöhnlich in der analogen Welt. Man hört von Freunden und Bekannten von Seminaren oder Fortbildungen, erhält interessante Denkanstöße. Alles Gelernte wird auch im Beruf indirekt genutzt.

Und heute passiert diese Vernetzung eben über Smartphones, Tablets und soziale Medien.

Die Vernetzung ist schneller, breiter und oft auch inhaltlich tiefer als früher. Wir leben in einer Informationsgesellschaft.

Und Informationen laufen ganz oft auf diesen privaten Geräten zusammen. In einer der persönlichen Arbeitsweise des Mitarbeiters entsprechenden Form. Auf einem Betriebssystem, das der Anwender mag. Mit dem er sich auskennt und souverän umgeht.

Warum muss ein Mitarbeiter im Betrieb auf seine aus dem privaten Umfeld gewohnten Arbeitsumgebung verzichten? Nur weil es die interne Unternehmensrichtlinie vorsieht?

Nehmen wir den Arbeitsplatzrechner doch einmal unter dem Gesichtspunkt Mitarbeitermotivation unter die Lupe. Mit dem „Nebenaspekt“ Sicherheit.

Von IT-Verantwortliche hört man oft das Killerargument: „Das können wir nicht unterstützen.

Mag sein. Aber muss man das? Kann der User das oft nicht sogar besser selbst? Warum nicht ein wenig mehr dem Anwender vertrauen und Verantwortung an den User weitergeben? Man erhält im Gegenzug einen dem Equipment positiv gegenüberstehenden Mitarbeiter. Der sich mit Sicherheit um „sein Eigentum“ besser kümmert als wenn er das Gerät einfach in der IT pflegen lassen muss.

Auch das ist ein Argument: Der Mitarbeiter sorgt mit Sicherheit für besseren Datenschutz, wenn auch die eigenen Daten betroffen sind, wenn ein Virus zuschlägt.

Oder ein anderer Ansatz: Alarmketten in der IT. Welcher IT-Mitarbeiter kriegt wirklich immer alle aktuellen Sicherheitswarnungen mit? Hand auf’s Herz…. Mir geht durchaus auch mal was durch. Und dann bin ich dankbar für Informationen über Facebook, Twitter oder RSS-Streams.

Warum also nicht über den Twitter-Account eines Mitarbeiters von aktuell genutzten Sicherheitslücken erfahren? Ich fand sowohl die Warnung über offene WLAN-Router der Telekom, als auch die Warnung vor einer als Telekom-Rechnung getarnten PDF-Datei absolut hilfreich und wusste ganz sicher sehr früh davon. Und konnte das weitergeben.

Man kann als IT-Verantwortlich also durchaus auch von dieser Vernetzung profitieren!

Lieber vor einer pdf-Datei mit Schadcode warnen, als hinterher im ganzen Unternehmen einen Virenscan mit Beseitigung fahren zu müssen. Also kann man „Bring your own device“ auch für proaktives Handeln nutzen.

Was her muss, sind Regeln und Richtlinien, wie mit den Devices umzugehen ist.

Das fängt im Bereich Infrastruktur damit an, dass Port-Security als Thema aktiv angegangen wird. Jeder Mitarbeiter darf nur wirklich sein freigegebenes Gerät ins Netzwerk einbringen. Clientzertifikate, 802.1x als Thema. Aufklären, warum das so sein muss.

Oder für mobile Devices wie Smartphones einen eigenen WLAN-Bereich aufziehen? Der Mitarbeiter ist froh, wenn seine Datentarife nicht über die Drosselungsgrenze gehen.

Solange die Arbeit nicht darunter leidet, ist eigentlich kein Argument zu sehen was dagegen spricht. Im Gegenteil. Im Alltag gibt es immer wieder Lücken, wo einfach nichts zu tun ist. Warum also nicht dem Mitarbeiter zugestehen, dass er stattdessen seinen Twitter-Stream liest? In Zeiten wo viel Arbeit anfällt, hat man als Unternehmer dafür einen hoch motivierten, sich im Unternehmen wohlfühlenden Mitarbeiter.

Das nutzt der Unternehmenskultur ganz sicher.

Nachdenken lohnt sich also.

Veröffentlicht am

Grenzen der Bequemlichkeit

WLAN SicherheitEin WLAN abzusichern kann man jedem zumuten.

Kann man.
Sollte man aber nicht.

 

Sicherheit bleibt etwas Individuelles.

 


Aktuell in der Presse und sogar im Fernsehen: Massenhaft eingesetzte Endgeräte der Telekom haben eine „Sicherheitslücke“.

Was einem dabei zu denken geben sollte? Ganz einfach. Ob man Sicherheitsfeatures im IT-Bereich so umsetzen kann und muss, dass jeder, der einen Toaster bedienen kann sich zutraut das eigene IT-Equipment zu bedienen.

Das mag provokant klingen, aber machen wir uns die Situation einmal klar.

Die Rechtsprechung verlangt vom Betreiber eines Drahtlos-Netzwerks (WLAN), dass dies so konfiguriert sein muss, dass es dem Stand der Technik entspricht. Das bedeutet klar eine Absicherung gegen unbefugte Nutzung und leitet aus dem Nichtvorhandensein von Sicherungsmaßnahmen eine Haftung ab. Den Beteuerungen von Beklagten wurde zum Beispiel nie Glauben geschenkt, dass Netz nicht offen betrieben zu haben. Klare Beweislastumkehr, die im Zivilprozess so auch immer funktionierte, wenn es um Schadenersatzforderung der Film- oder Musikindustrie ging.

Mit dieser Argumentation war klar, dass ein WLAN mit der im Auslieferungszeitpunkt bestmöglichen Verschlüsselung abzusichern ist. Im Grunde kann man als Hersteller bei allen in Deutschland verkauften Geräten eigentlich die Modi „offenes WLAN“, „WEP“ und „WPA“ aus der Firmware heraus lassen. Also rückte „WPA2“ in den Fokus. Längere Passworte, andere Verschlüsselungverfahren und sogar Authentisierungen per Radius-Server…

Und damit wird es problematisch. Die Hersteller trauen oder muten den Anwendern ja nicht einmal zu, Passworte einer bestimmten Länge in all ihre WLAN-Geräte einzutippen. Statt als Hersteller aber hier klar zu empfehlen „Suchen Sie sich einen Experten“, versucht man diese Funktionen durch Automatismen mit Knöpfendrücken zu umschiffen.

Also statt den User für Sicherheit in der IT zu sensibilieren, macht man Sicherheit simpel.

Leider ist IT auch im Heimbereich schon lange nicht mehr simpel. Die kleinsten Router bringen schon Sicherheitsfeatures mit, bei denen der Normalanwender völlig überfordert ist. Wie viele Menschen können denn beurteilen, ob sie Prioritizing, Paketshaping, QoS oder LowLatency Ping brauchen? Oder welche Ports in der Firewall freizugeben sind und welche nicht? Richtig. Das wissen 5% der Anwender. Also von 100.000 Betroffenen im aktuellen Fall 5000. Bei den restlichen 95.000 Anwendern stehen die Geräte mit ziemlicher Sicherheit in den unveränderten Werksvoreinstellungen.

Ist ja auch alles ganz einfach. Gerät verkabeln, Strom drauf, läuft.

Damit man als Hersteller oder Provider auch noch Support leisten kann, falls der Anwender doch mal experimentiert und im Endergebniss nun wirklich alles zerschraubt hat, werden Hintertüren eingebaut. Für die Konfiguration des Router wurde z.B. TR-069 entwickelt. Ein Verfahren, bei dem sich der Router alle notwendigen Konfigurationsdaten selber holt. Und es sind noch weit mehr Dinge damit möglich. Der obige Wikipedia-Artikel sei dem interessierten Leser sehr empfohlen!

Nebenbei werden in die Geräte vermutlich auch feste Testkonfigurationen einprogrammiert, um das WLAN zu testen. Das wäre nämlich eine mögliche Erklärung für das aktuell gefundene Sicherheitsloch. Im Grunde sind beides aus Sicht der Hersteller und Provider völlig nachvollziehbare Funktionen.

Diese Fakten sollten aber vor dem Aspekt Sicherheit klar kommuniziert werden! Und diese Funktionen haben so umgesetzt zu werden, dass der Anwender diese abschalten kann. Zum Beispiel gelten für den Home-Office-Zugang die gleichen Sicherheitsrichtlinien wie im Betrieb. Und da hat niemand ohne explizite Zustimmung Funktionen zu aktivieren oder Logdateien auszuwerten. Auch Software-Updates sind ohne Freigabe durch den Eigentümer fast nach §202 und §303 StGB zu werten.

Vor dem rechtlichen Hintergrund ergibt sich eigentlich nur eine Konsequenz: Wenn ich keinen Einfluss auf die Sicherheit meines WLANs habe, lehne ich auch die Haftung dafür ab! Es ist doch wohl ein schlechter Witz, dass mein WLAN trotz Abschaltung der „Knöpfchen“-Lösung und sogar bei expliziter ABSCHALTUNG des WLAN einen Zugang mit fest einprogrammierten PIN bietet. Und dann auch noch „01234567“.

Die von Hersteller und Inverkehrbringer gezeigte Art mit IT-Sicherheit umzugehen, ist aus meiner Sicht mehr als grob fahrlässig.

Letztendlich liefen in Deutschland einige Prozesse, bei denen es den verklagten Anwendern unmöglich war, den Nachweis zu erbringen, dass das ausreichend abgesicherte WLAN unbefugt genutzt worden sein könnte. Richter haben stets argumentiert, dass die eingesetzten Verfahren zur Absicherung des WLAN sicher sein. Sind die Verfahren auch. Nur die Implementierung in der Hardware aber nicht. Was nun hinreichend bewiesen ist. Bereits gefällte Urteile sollten vor dem Hintergrund der jetzt verfügbaren Informationen noch einmal hinterfragt werden!

Man sollte dem Inverkehrbringer die Geräte auf den Hof kippen und sämtliche Prozesskosten seit der Inverkehrbringung weitergeben!