Springe zum Hauptinhalt

1. Platz bei Google - ganz ohne SEO :-)

Für mich be­ginnt das neue Jahr mit ei­ner net­ten Über­ra­schung

/images/2014/1-platz-bei-google-ganz-ohne-seo.png

Heu­te hat mir je­mand ei­ne Mail ge­schick­t, nach­dem er mich über die Goo­gle­-­Su­che nach "IT­-­Se­cu­ri­ty Ex­per­te" an ers­ter Stel­le ge­fun­den hat (sie­he Screen­shot). Wow, das haut mich um und muss es gleich los wer­den :-) Da­bei ma­che ich noch nicht ein­mal SEO. (Mein Trick ist al­ler­dings, in vie­len Mai­ling­lis­ten zu schrei­ben und in der Si­gna­tur auf mei­ne Blog­posts zu ver­lin­ken­.)

Kritik an change.org: Datensammler

Die Pe­ti­ti­ons­platt­form change.org nimmt es mit dem Da­ten­schutz nicht so ge­nau.

Ei­ne Platt­for­m, um Pe­ti­ti­o­nen zu er­stel­len, ist was Tol­les – soll­te man mei­nen. Ir­gend­wie ver­bin­de ich da­mit "Bür­ger­rech­te", und da­mit auch In­for­ma­ti­o­nel­les Selbst­be­stim­mungs­recht, kei­ne Da­ten­samm­lung, et­c.

Bei change.org war mir schon auf­ge­sto­ßen, da die goo­gle­-­ana­ly­tics ver­wen­den. Sie lie­fern ih­re Be­su­cher als der Pro­fil­-­Sam­mel­-­Kra­ke Goo­gle aus – ob­wohl es mit pi­wik ei­ne gu­te Al­ter­na­ti­ve gib­t.

Nun hat sich Mi­cha­el Ebe­ling mal die Da­ten­schutz­be­din­gun­gen an­ge­schaut: htt­p://ww­w.­de­vi­a­n­zen.­de/2013/08/30/war­um­-­ich­-­chan­ge­-­or­g­-­nicht­-­mag/. Mein Re­sü­mee dar­aus: Fin­ger weg, Da­ten­samm­ler!

Passwort-Richtlinien bei DHL vergrätzen User

Ein rich­tig schlech­tes Bei­spiel für Pass­wor­t­-­Richt­li­ni­en für End­kun­den gibt es bei den Pack­sta­ti­o­nen. Und die deu­ten auf Si­cher­heits­pro­ble­me im Hin­ter­grund hin und be­hin­dern Si­cher­heits­be­wuss­te.

/images/2013/paket-passwort.png

Ja, Pass­wor­t­-­Richt­li­ni­en sol­le da­für sor­gen, dass die Pass­wör­ter si­cher sin­d. Und ja, es ist gut, wenn ein Un­ter­neh­men nur "si­che­re" Pass­wör­ter zu­läss­t.

Ein Bei­spiel, wie man es nicht ma­chen soll, lie­fert da­ge­gen die Deut­sche Post mit ih­rer Mar­ke DHL und der Pack­sta­ti­o­n. Wer sich un­ter pa­ket.­de an­mel­den will, wird mit fol­gen­der Pass­wor­t­-­Richt­li­nie drang­sa­liert (sie­he Bild):

  • Min­­des­tens 8 Zei­chen

  • Ma­­xi­­mal 13 Zei­chen

  • Gül­ti­­ge Zei­chen (Buch­­sta­­ben, Zah­len, !§&/()=?*+­­-­­_)

  • Min­­des­tens einen Groß und Klein­­buch­­sta­­ben

  • Min­­des­tens ei­­ne Zahl (nicht am An­fang)

Das klingt erst ein­mal gut, treibt aber die­je­ni­gen in den Wahn­sinn, die einen Pass­wor­t­-­Ma­na­ger ver­wen­den und sich da­mit Pass­wör­ter er­zeu­gen las­sen:

  • Wes­halb ma­­xi­­mal 13 Zei­chen? Län­­ge­­re Pass­wör­ter sind be­­kann­ter­­ma­­ßen si­che­­rer. Und wenn das Pass­wort als Hash ge­s­pei­chert wird – wie es Stand der Tech­­nik ist –, dann ist die Ein­­ga­­be­län­­ge ziem­­lich ega­l. Bei mir ent­­steht so der Ein­­druck, dass das Pass­wort wo­mög­­lich nicht als Hash ge­s­pei­chert wird, son­­dern nur ver­­schlei­ert oder gar im Kla­r­tex­t. das wä­­re pein­­lich!

  • Wes­halb sind so we­­ni­­ge Son­­der­­zei­chen zu­läs­­sig? Wenn nur Um­­lau­te ver­­­bo­ten wäh­ren, könn­ten ich das noch ei­­ni­­ger­­ma­­ßen ver­­s­te­hen (a­­ber auch nicht wirk­­lich), denn da­­mit könn­te es En­­co­­ding­­-­­Pro­ble­­me ge­­ben. Aber dass noch nicht ein­­mal der Zei­chen­vor­­rat von AS­­CII er­laubt ist, ist ei­­ne un­­nö­ti­­ge Ein­schrän­­kung. Hier ha­­be ich den Ein­­druck, dass die Ent­wick­­ler ih­­rer Soft­­wa­re nicht trau­en.

  • Wes­halb darf die Zahl nicht an An­fang ste­hen? Das ver­­hin­­dert zwar sim­ple Pass­wör­ter wie "7Z­wer­­ge", aber nicht das eben­­so sim­ple "Z­wer­­ge7". Mei­­ne Ein­schät­­zung da­­zu: ziem­­lich un­­­sin­­nig.

Fa­zit: Si­cher­heits­vor­ga­ben sind sinn­voll, kei­ne Fra­ge. Al­ler­dings dür­fen sie den Be­nut­zern nicht über Ge­bühr im We­ge ste­hen. Wenn man sich – wie bei die­ser DHL­-­Sei­te – we­gen der schrä­gen Pass­wort­vor­ga­ben zig­-­mal ein neu­es Pass­wort über­le­gen muss, bis es end­lich ak­zep­tiert wird, ver­lie­ren Vie­le die Lust und wäh­len dann halt ei­ne simp­le­re und un­si­che­re­re Va­ri­a­n­te. "Zwer­ge7x" wä­re ei­ne.

P.S.: kee­pass kommt bei die­ser Pass­wor­t­-­Re­gel auf ge­ra­de mal 81 Bit Entro­pie.

PGP für Mails nutzen

Nach­dem ich nun schon ein paar mal ge­fragt wur­de, wie man denn einen PG­P-­Key er­zeugt und wie man das für Out­look bzw. Thun­der­bird in­stal­lier­t, hier der Ver­such ei­ner Ant­wor­t.

Thun­der­bird un­ter Li­nux:

  1. Über die Pa­ket­­ver­­wa­l­tung der Dis­tri­­bu­ti­on das Pa­ket "thun­­der­­bird­­-­e­­nig­­mail" in­­­sta­l­­lie­ren (der Na­­me ist ev­t­l. ein an­­de­­rer, wich­tig ist "e­­nig­­mail"). Die be­nö­tig­te Soft­­wa­re (ins­b. gnup­g) wird au­to­­ma­tisch mit in­­­sta­l­­lier­t.

  2. Thun­­der­­bird sta­r­ten und nach die­­ser An­lei­tung ein Schlüs­­sel­­paar er­­zeu­­gen, in­­­ner­halb Thun­­der­­bird.. Wer GUI­­-­­Tools au­­ße­r­halb Thun­­der­­bird nut­­zen will: Ich ken­­ne kg­pg und kle­o­pa­tra.

  3. Schlüs­­sel auf ei­­nem Key­­-­­­Ser­­ver ver­­öf­­fent­­li­chen: Per Rechtsklick auf den Schlüs­­sel und dann "Auf Schlüs­­sel­­ser­­ver hoch­­la­­den ..."

  4. Wei­ter Tipps un­­ter ht­t­p://w­w­w.thun­­der­­bird­­-­­­mail.­­de/wi­ki/E­­nig­­mail_O­­pen­PGP


Thunderbird unter Windows:
  1. ht­t­p://w­w­w.g­p­g4win.or­g/ ma­­nu­ell in­­­sta­l­­lie­ren. Wer ei­­ne schlan­ke In­­­sta­l­la­ti­on möch­te: es wird nur die Haup­t­­kom­­po­­nen­te be­nö­tig­t.

  2. Enig­­mail in Thun­­der­­bird über den Ad­d­­-­­­ons­­-­­­Ma­na­­ger in­­­sta­l­­lie­ren.

  3. Nach die­­ser An­lei­tung ein Schlüs­­sel­­paar er­­zeu­­gen, in­­­ner­halb Thun­­der­­bird.

  4. Schlüs­­sel auf ei­­nem Key­­-­­­Ser­­ver ver­­öf­­fent­­li­chen: Per Rechtsklick auf den Schlüs­­sel und dann "Auf Schlüs­­sel­­ser­­ver hoch­­la­­den ..."

  5. Wei­ter Tipps un­­ter ht­t­ps://w­w­w.e­­nig­­mail.­­net/­­do­­cu­­men­ta­ti­o­n/­­quick­­sta­r­t­­-­­ch1.­­ph­p#i­d2532629 und ht­t­p://w­w­w.thun­­der­­bird­­-­­­mail.­­de/wi­ki/E­­nig­­mail_O­­pen­PGP


Outlook unter Windows
  1. ht­t­p://w­w­w.g­p­g4win.or­g/ ma­­nu­ell in­­­sta­l­­lie­ren. Das Out­loo­k­­-­­Plu­g­in GpgOL muss mit in­­­sta­l­­liert wer­­den.

  2. Nach die­­ser An­lei­tung ein Schlüs­­sel­­paar er­­zeu­­gen, mit dem Tool "Kle­o­pa­tra".

  3. Schlüs­­sel auf ei­­nem Key­­-­­­Ser­­ver ver­­öf­­fent­­li­chen: ht­t­p://g­p­g4win.­­de/han­d­­bue­cher/ein­s­tei­­ger_9.html

  4. "Das mit­­­ge­­lie­­fer­te Out­loo­k­­-­­Plu­g­in GpgOL er­mög­­licht E-­­­Mails di­rekt in Mi­­cro­­soft Out­look zu si­gnie­ren und zu ver­­sch­lüs­­seln." Wie ge­nau mö­­ge bit­te je­­mand an­­de­res er­­gän­­zen.

Wem die­se Stich­punk­te nicht ge­nü­gen, dem hilft viel­leicht htt­p://­di­gi­tal­cou­ra­ge.­de/­sup­por­t/­di­gi­ta­le­-­selbst­ver­tei­di­gung wei­ter.

Unternehmer gegen Vorratsdatenspeicherung

CDU/C­SU und SPD ver­han­deln über ei­ne Gro­ße Ko­a­li­ti­o­n. Da muss­te ich als Un­ter­neh­mer Stel­lung be­zie­hen – vor Or­t, mit den Freun­den von di­gi­tal­cou­ra­ge.

CDU/C­SU und SPD ver­han­deln über ei­ne Gro­ße Ko­a­li­ti­o­n. Da muss­te ich als Un­ter­neh­mer Stel­lung be­zie­hen – vor Or­t, mit den Freun­den von di­gi­tal­cou­ra­ge.

UR­L: htt­p://­di­gi­tal­cou­ra­ge.­de/blo­g/­gros­se­-­ko­a­li­ti­o­n­-­hat­-­aus­-­da­ten­-­fu­ku­shi­ma­-­nichts­-­ge­lernt

Quelltext für Tolino Shine

Bei­na­he hät­te ich ei­ne Kam­pa­gne ge­gen den deut­schen Buch­han­del los­t­re­ten müs­sen. Aber nach zwei Mo­na­ten ha­be ich den Ker­nel für den e-­Boo­k­-­Rea­der "to­li­no shi­ne" doch noch of­fi­zi­ell be­kom­men.

Den Slo­gan hat­te ich mir schon aus­ge­dacht: "Deut­scher Buch­han­del miss­ach­tet Ur­he­ber­recht".

Nun brau­che ich den doch nicht, denn der Sour­ce wur­de in­zwi­schen ver­öf­fent­licht – al­ler­dings gut ver­steckt un­ter "Tech­ni­sche Da­ten".

Wir lassen uns nicht länger bespitzeln!

Ed­ward Snow­den hat ent­hüll­t, in welch gi­gan­ti­schem Aus­maß deut­sche und US­-­Ge­heim­diens­te uns be­spit­zeln. Doch Bun­des­kanz­le­rin An­ge­la Mer­kel ver­sucht seit Wo­chen, den Skan­dal aus­zu­sit­zen und wei­gert sich, Kon­se­quen­zen zu zie­hen.

/images/2013/uberwachungsstaat-wird-installiert.jpg

Ich ha­be ge­ra­de einen Ap­pell für ei­ne wirk­sa­me Kon­trol­le der Ge­heim­diens­te un­ter­schrie­ben. Un­ter­zeich­ne auch Du den Ap­pell von Cam­pac­t!

Die Kam­pa­gne von  Cam­pact. wird un­ter an­de­rem un­ter­stützt von FIfF, di­gi­tal­cou­ra­ge e.V. und DVD - Deut­sche Ver­ei­ni­gung für Da­ten­schutz e.V. Bit­te un­ter­stüt­zen Sie den Ap­pell - für um­fas­sen­de Auf­klä­rung über die welt­wei­te Da­te­n­aus­spä­hung und kla­re Kon­se­quen­zen dar­aus!

Wei­te­re Hin­ter­grün­de im 5-­Mi­nu­ten­-­In­fo...

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de