Zertifikate sind wichtig und bei mir auf der Arbeit gab es zum Einarbeiten die Aufgabe eine eigene Certificate Authority (CA) aufzustellen und mit dieser gültige Zertifikate zu erstellen.
Da das Thema eher ungerne behandelt wird, möchte ich zeigen wie einfach es sein kann: mit easy-rsa.

Ebenfalls soll dies eine Art Dokumentation zum Nachlesen für alle werden.

Der Grund für Easy-RSA statt OpenSSL

Falls dir OpenSSL nichts sagt, es handelt sich um eine Anwendung mit der man Zertifikate signieren kann.
Besser gesagt kann man auch mit dem Packet OpenSSL seine eigene Certificate authority (CA) aufbauen.
Für mich funktioniert OpenSSL bisher nur um selbst signierte Zertifikate erstellen, daher habe ich nach Alternativen gesucht.
Hier die Anmerkung: Falls jemand mir zeigen kann, wie es am praktischen Beispiel funktioniert, gerne Bescheid geben.

Jedenfalls ist mir bei der Recherche Easy-RSA aufgefallen.
Es sah für mich persönlich etwas einfacher aus, als OpenSSL und daher habe ich dem einen Versuch gegeben.
Und siehe da: es funktioniert. Das habe ich bereits vor einigen Jahren festgestellt, jedoch habe ich selten den Bedarf nach einer eigenen CA, weshalb ich dies bisher nicht niedergeschrieben habe.
Dies ändert sich mit diesem Beitrag.
Kleine Anmerkung statt Certificate authority (CA) kann auch Public Key Infrastructure (PKI) als Begriff verwendet werden.
Da in unserem Fall beides dasselbe ist.

Kleine Auffrischung zu Certificate Authority (CA) und RSA

RSA (Rivest–Shamir–Adleman) ist ein Verfahren der Asynchronen Verschlüsslung.
Hier wird pro Seite ein public und private Key erstellt.
Der private Key ist, wie der Name es schon verrät, privat und ist nur dir selbst bekannt.
Mit diesem kannst du eine digitale Signatur erstellen, welchen durch deinen public Key verifiziert werden kann.

Und Zertifikate bauen genau darauf auf.
Denn das Zertifikat, dass du einsehen kannst, enthält den public Key, welchen du an die ausstellenden Certificate authority senden kannst, mit der Frage ob das Certificate wirklich von ihr ausgestellt wurde.
Die CA kann dann für sich mit ihrem private Key prüfen ob dieses Zertifikat tatsächlich von Ihr signiert wurde, wenn nein, wird das Zertifikat als falsch/nicht sicher eingestuft.

Einrichtung von Easy-RSA

Du benötigst eine Linux Maschine, dabei werde ich auf eine Debian 12 Maschine zurückgreifen, es sollte jedoch grundsätzlich auch mit anderen Distributionen funktionieren.
Ebenfalls solltest du auch Sicherheitsgründen mit einem non-root User arbeiten der sudo-Rechte besitzt.

Installation von Easy-RSA

Es wird mittels SSH oder direkt auf dem Server in der Konsole als non-root angemeldet.
Um sicher zu gehen, dass der Zugriff besteht und die Paketquellen up-to-date sind, verwenden wir den Command:

sudo apt update && upgrade -y

Durch das -y bestätigen wir direkt die Nachfrage ob wir die Paketquellen und installierten Paketen aktualisieren/ersetzen wollen.

Wenn dies erfolgreich verlaufen ist, geht es bereits an die Installation der Software.
Hierfür benötigen wir das easy-rsa Paket, welches wir mit diesem Command laden können:

sudo apt install easy-rsa -y

Auch hier ist -y, dazu gedacht uns eine Abfrage zu ersparen, da wir bewusst easy-rsa installieren wollen.
Solltest du easy-rsa auf eine Maschine installieren die bereits einige Pakete verwendet, prüfe die Abhängikeiten und ob diese miteiandner kolledieren.

Die Software ist nun installiert, jedoch haben wir davon noch keine PKI.
Wir müssen also noch einige Arbeiten erledigen.

Struktur unser Certificate Authority (CA) / Public key infrastructure (PKI)

Wir legen einen Ordner an namens easy-rsa, welchen wir mit einem symbolischen Link versehen werden.
Hierdurch können wir auf die PKI im root Verzeichnis zugreifen ohne root zu sein.
Dennoch gibt es hierdurch Einschränkungen, die jedoch für die Sicherheit der Certificate authority gewollt sind.
Die Commands hierfür lauten:

mkdir ~/easy-rsa
ln -s /usr/share/easy-rsa/* ~/easy-rsa/

Nun könnte jedoch in der Theorie erstmal jeder User auf diesen Link zugreifen, hierzu müssen wir die Berechtigungen ändern.
Diese werden auf Owner Only gesetzt.
Hierzu müssen wir chmod verwenden, tausche User gegen deinen User aus:

chmod 700 /home/User/easy-rsa

Ist dies geschehen, kann in das ~/easy-rsa Verzeichnis mittels des Commands gewechselt werden:

cd ~/easy-rsa

Certificate Authority (CA) / Public key infrastructure PKI initialisieren

Nun kann die PKI „errichtet“ bzw. initialisiert werden.
Hier starten wir das easy-rsa Setup mit dem Parameter init-pki:

./easyrsa init-pki

Ist bis hierhin alles richtig verlaufen, so erhalten wir eine Meldung die uns dies bestätigt mit dem Hinweis was als nächstes zutun ist:

Diese Meldung besagt bei „Notice“, dass wir eine vars Datei anlegen müssen, in der wir die Daten unserer Certificate authority (CA) hinterlegen sollen.
Hierzu kann mit Texteditor nach Wahl gearbeitet werden.
In diesem Beispiel wird „nano“ verwendet.
Hierzu im easy-rsa Verzeichnis lediglich den Command deines Texteditors eingeben mit dem Zusatz des Dateinamens also vars.

nano vars

In der nun geöffneten Datei müssen einige Variablen gesetzt werden.
Dabei beschränken wir uns auf die nötigsten Angaben.
Diese lauten:

set_var EASYRSA_REQ_COUNTRY „Land in der deine Instanz von Easy-RSA betrieben wird“
set_var EASYRSA_REQ_PROVINCE „Die Provinz bzw. das Bundesland in dem diese Betrieben werden“ set_var EASYRSA_REQ_CITY „Die Stadt in der dies Betrieben wird“
set_var EASYRSA_REQ_ORG „Name der Organisation“ set_var EASYRSA_REQ_EMAIL „Mailadresse“ set_var EASYRSA_REQ_OU „Organizationseinheit“ set_var EASYRSA_DIGEST „Hash Methode“

Dabei musst du die Eingaben zwischen den Anführungszeichen auf dich selbst anpassen!
Hier ein Beispiel wie dies aussehen kann:

set_var EASYRSA_REQ_COUNTRY „DE“
set_var EASYRSA_REQ_PROVINCE „Niedersachsen“
set_var EASYRSA_REQ_CITY „Göttingen“
set_var EASYRSA_REQ_ORG „Der Gerät“
set_var EASYRSA_REQ_EMAIL „admin@deineDomain.tld“
set_var EASYRSA_REQ_OU „Marketing“
set_var EASYRSA_DIGEST „sha256“

Wichtig das ist nur ein Beispiel!
In nano kann mit STRG + O und anschließend Enter die Datei gespeichert werden.
Mit STRG + X und anschließend Enter wird die Datei verlassen.

Nun muss die vars Datei noch in das richtige Verzeichnis.
Dieses lautet, ausgehend vom easy-rsa Verzeichgnis /pki.

sudo mv vars /pki

Ist dies ebenfalls erfolgreich verlaufen so kann nun im easy-rsa Verzeichnis die Public Key Infrastructure fertig gestellt werden.
Dies erfolgt mit diesem Command:

./easyrsa build-ca

Nun erscheinen einige Prompts wie „Enter New CA Key Passphrase“ & „Enter PEM pass phrase“ diese sind für die Public Key Infrastructure (PKI) wichtig, da hierdurch unteranderem der private Key erzeugt bzw. abgesichert werden!
Daher sind diese Kennwörter SICHER zu wählen und möglichst SICHER zu verfahren!

Hiernach wird nach dem „Common Name“ gefragt, anders gesagt der FQDN (Fully Qualified Domain Name) deiner Certificate Authority (CA).
Ist dies abgeschlossen liegt dein CA Certifcate in folgenden Pfad bereit:

 /home/deinUser/easy-rsa/pki/ca.crt 

Zertifikate signieren

Um ein Zertifakte zu signieren, muss ein Request File erzeugt werden. Die gängiste Fomat ist CSR (Certificate Signing Request) dieses kann in eine Reqeust Datei umbenannt werden.
Hierzu die CSR Datei am ende in „.req“ umbennen.
Also wird aus:
„deineSignRequest.csr“ –> „deinSignRequest.req“

Ist dies geschehen kann die „.req“ Datei in das „/req“ Verzeichnis von easy-rsa abgelegt werden.
Hierzu diese also in folgende pfad ablegen:
easy-rsa/pki/req

Ist dies gescehen kann im easy-rsa Verzeichnis folgender Command abgegeben werden um das Zertifikat zu signieren.

./easyrsa sign-req server „deinreqfile ohne .req“

Dabei ist es wichtig das du beim ausführen des Commandes „.req“ weglässt, da das Kommando eine .req Datei erwartet.
Sonst würde daraus eine „.req.req“ werden, was in einen Fehler führt.
Ist alles erfolgreich wird dies bestätigt und im pfad „/issued“ befindet sich das nun signierte Zertifikat das du für deine Server verwenden kannst.

Nett to know:
Das „server“ in „./easyrsa sign-req server“ sagt aus welche Art von Zertifikat vergeben soll.
In diesem Fall wird ein Zertifikat für Server Authentifizierung ausgestellt.

Feedback

So kann man unteranderem Zertifikate in der eigenen Umgebung erzeugen mittels easy-rsa.
Falls dir dieser beitrag geholfen hat oder du Verbesserungsvorschläge hast, lass es mich gerne wissen!
Auch ein „Gastbeitrag“ wenn du es anders machst würde mich interesiseren.

The post Einfache Zertifikatserstellung mit Easy-RSA: Ein Guide mit eigener Certificate Authority (CA) first appeared on Dominik's Blog.

Sie sind überall, Webseiten-Zertifikate. Dabei reden wir jedoch nicht von Zertifizierungen, sondern den Zertifikaten die dafür verantwortlich sind, dass in deinem Browser ein „https://“ möglich ist.

Dabei sprechen wir darüber warum es diese Zertifikate gibt, wie diese funktionieren und was man dafür braucht.
Doch Zertifikate sind nicht nur für das Internet wichtig, sondern können dir und deinem Home-Lab eine Stütze sein.

Denn: Zertifikate bringen Sicherheitsgewinne mit sich.

Der Grund für Zertifikate

Der Grund für diese Zertifikate (Certificates) ist, um mehr Sicherheit für alle zu gewährleisten. Das gilt sowohl für die eigenen internen Netzwerke, als auch oder sogar besonders für das Internet.

Denn woher weißt du, ob die Webseite die du da besuchst auch wirklich die Richtige ist?
Genau, du weißt es nicht, da sich jeder als jeder ausgeben könnte.

Hier kommen Zertifikate ins Spiel, welche die Identität eines Dienstes oder Webseite bestätigt.
Es geht also bei Certificates darum eine Möglichkeit zu schaffen, dass man verifizieren kann, damit z.B. die Webseite, die wie deine Bank aussieht, auch wirklich deine Bank ist.

Ebenfalls sind Zertifikate für Webdienste (Internetseiten) erforderlich, damit du eine verschlüsselte Verbindung zu diesen Webseiten aufbauen kannst.

So funktionieren Zertifikate

Das ganze Thema mit Certificates funktioniert vereinfacht gesagt wie folgt:
Jemand betreibt einen Dienst wie z.B. eine Webseite und möchte nun bestätigten lassen, dass der Dienst unter „deinerDomain.de“ erreichbar und vertrauenswürdig ist.

Hierzu muss der Betreiber des Dienstes ein Zertifikat erwerben, hierzu später mehr, welches von einem Dritten vergeben wird.
Dieser Dritte wiederum vergibt das Certificate nur, wenn der Nachweis erbracht wurde, dass einem dieser Dienst gehört.

Hierzu können verschiedene Methoden zum Einsatz kommen.
Doch viel wichtiger, DEINE Geräte vertrauen allen diesen Dritten.
Denn diese nennt man „Certificate authorities“ kurz CA.
Und hier gibt es noch sogenannte „Root Certificate authorities“, welche die „Stammstruktur“ bieten.

Diese Authorities werden nicht nur regelmäßig geprüft (auditiert), sondern haben auch einige Auflagen, die diese erfüllen müssen.
Der Grund ist, dass wenn ein dieser CA’s komprimentiert aká gehackt wird, entsteht ein massiver Schaden für alle.
Denn das Prinzip des Vertrauens wäre dadurch aufgebrochen.

Beispiel diese Webseite

Ein Beispiel hier ist meine eigene Webseite.
Wenn du dir das Zertifikat ansehen willst musst du lediglich auf das Schloss-Icon neben dem „https://“ klicken und dann erneut auf das Schloss-Icon drauf klicken. Dann erhältst du die Option das Zertifikat dir anzusehen. Anbei ein Screenshot wie dieser Weg aussehen kann:

Je nach Browser kann die Ansicht variieren, daher werde ich noch eine vereinfachte Ansicht beifügen:

Du siehst im Zertifizierungspfad, dass meine Webseite: dominikkleidt.de ganz unten ist.
Das liegt daran, dass ich die Echtheit der Seite verifizieren musste.
Hierzu habe ich mich der kostenlosen CA Let’s Encrypt bedient, welche Zweistufig aufgebaut ist.
Du siehst, dass über meinem Certificate ein R3 steht, das ist die R3 Certificate authority von Let’s Encrypt.
Diese nimmt meine Anfrage an und signiert mir meine Anfrage, sofern ich denn die Voraussetzungen erfülle.

Doch an sich vertrauen wir der R3 gar nicht, wir vertrauen der Certificate authority über der R3, nähmlich der ISRG Root X1, welche ebenfalls von Let’s Encrypt ist.
Bedeutet, wir vertrauen der ISRG Root X1, welche die R3 bereits als vertrauenswürdig eingestuft hat.
Das kann man sich vorstellen wie: du kennst die Person nicht, doch dein Freund kennt diese Person und „bürgt“ für diese.

Diese Darstellung ist natürlich vereinfacht betrachtet!

Du kannst Zertifikate selbst erzeugen

Ja, du kannst selbst Zertifikate erzeugen. Dabei kommt es darauf an, für welchen Verwendungszweck du diese verwenden möchtest.

Du kannst zum einen sogenannte „selbst signierte“ (engl- self-signed) Zertifikate erstellen, das kann für Testszenarien sehr bequem sein und erfordert wenig Aufwand.
Der Nachteil ist natürlich, dass du selbst eine Art Ausweis ausgestellt hast, ohne das z.B. das Bürgeramt die Echtheit bestätigt hat.
Bedeutet, du musst auf jedem Gerät dieses Zertifikat manuell auf „vertrauenswürdig“ (engl. trusted) setzen.
Wie gesagt in eigenen Umgebungen und vor allem zum testen reicht das aus!

Ebenfalls für den internen Einsatz kannst du eine eigene Certificate authority (CA) aufbauen.
Hierzu musst du einen Server betreiben (kann auch mini PC sein 😉 ), der die nötigen Tools und Rollen hat, um solche Zertifikate zu erstellen bzw. zu signieren.
Der Vorteil ist, dass du nur einem Zertifikat trauen musst, nämlich dem deiner eigenen CA.
Jedoch kann dies beim Einsatz mit extern zu Problemen führen, da nicht jeder eine „unbekannte externe“ Certificate authority auf vertrauenswürdig stellen möchte.
Das kann beim Thema Mail Verschlüsslung schonmal ärgerlich sein.

Nicht direkt selbst erzeugt jedoch kostenlos und für jeden mit eigener Domain nutzbar ist Let’s Encrypt.
Hier werden einem sogar einige Tools wie der certbot an die Hand gegeben um den Prozess so einfach und angenehm wie möglich zu machen.
Und das Beste, man kann seine Zertifikate automatisch verlängern lassen.

The post Alles, was du über Webseiten-Zertifikate und Online-Sicherheit wissen musst first appeared on Dominik's Blog.

Die E-Mail ist nicht mehr weg zu denken und das ist auch gut so, doch deine Mail-Adresse ist viel mehr als nur ein Postfach.
Mit deiner Adresse meldest du dich an diversen Diensten im Internet an oder füllst ein Kontaktformular aus.

Denn dein Postfach ist DER zentrale Hub, wenn es um deine Internetidentität geht.
Was ist alles mit deinem Mail Konto verknüpft?
Dein Instagram? Twitch? Online Banking? Ebay? Amazon?
Die Liste kann unendlich fortgesetzt werden.

Es geht somit um den Schutz eines Bestandteils deiner digitalen Identität.
Denn diese ist Ziel von diversen Angriffsszenarien.

Deshalb musst du Aliase verwenden

Auch wenn du deine E-Mail nicht „einfach so“ rausgibst, hast du ein Problem.

Denn dein Mailanbieter kann ein sogenanntes „Datenleck“ haben, wodurch meistens die Mail-Adressen von Millionen von Leuten abgezogen werden.

Bedeutet also, du könntest, ohne es zu wissen, bereits Ziel von solchen Angriffen sein.

Denn wenn jemand deine Mail-Adresse hat, kann er auch, ohne sich als du einzuloggen, deine Adresse überall bei Diensten anmelden und dich in Maillisten eintragen.

Was auch häufig passiert, meist werden solche Daten im Internet schlicht verkauft.

Bedeutet deine Mail-Adresse ist ein ideales Ziel für Hacking und Phishing Angriffen.

Damit ist gemeint, das jemand Zugang zu deinem Mail Konto erhalten könnte und alle deine Zugänge dadurch erfährt.

Auch kann dieser so deine Kennwörter zurücksetzen und dir Schaden.

Du siehst die Möglichkeiten sind also nahezu unendlich.

Ob du von einem Datenleck betroffen bist kannst du unteranderem über

https://haveibeenpwned.com/ ‚;–have i been pwned? feststellen,

So funktioniert der Alias

Alias kommt aus dem Lateinischen und wurde von seiner ursprünglichen Verwendung auf Namen umgemünzt kann man sagen.
In der heutigen Zeit heißt Alias soviel wie „oft auch…genannt“ was beim Thema Mail-Aliase sehr treffend ist.
Hier werden „weitere“ E-Mail Adressen erstellt, welche Mails genauso annehmen können wie deine „normale“ Mail-Adresse.
Dabei ist jedoch wichtig, dass diese E-Mail Aliase kein Postfach haben, sondern lediglich eine andere Adresse sind, über die man dich erreichen kann.

Stell es dir vor wie eine zweite Handynummer in deinem Dual SIM Handy.
Alternativ wie einen Nicknamen.
Du bist zwar erreichbar, doch die zweite Nummer ist nicht die Nummer für deine Notfälle.

Bedeutet mit einem Mail Alias kannst du dich weiterhin eintragen für deine Plattformen, Maillisten, Gewinnspiele etc. doch jetzt kommt der Cloue.
Wenn du keine Mails mehr von einem Anbieter haben möchtest oder das Gefühl hast das dein Mail Alias von einem Hack betroffen war, kannst du einfach den Alias abschalten oder sogar löschen.
Dich erreichen dann über diese Adresse keine Mails mehr.
Einfach so mit einem Klick erledigt-

Falls du mehrere Dienste über einen Alias laufen hast, kannst du dir einen neuen erstellen und diesen bei deinen Wunschdiensten eintragen.

Bedeutet du musst dann nicht deine E-Mailadresse ändern, sondern brauchst nur den Alias ändern.
Es ist vereinfacht gesagt ein „Dummy“ denn du rausgeben, und wenn der nicht mehr gut ist, einfach ersetzen kannst.

Aliase vs Wegwerfmailadressen

Ich höre schon die Stimmen:
Was ist mit Wegwerfmailanbietern.

Versteh mich nicht falsch, ich habe solche Dienste auch verwendet, doch man kommt relativ schnell vor einer Blockade.
Denn die öffentlichen Anbieter kommen mit der Zeit auf Blocklisten wodurch diese Anbieter nicht zu verlässlich funktionieren, wofür diese auch nichts können.
Hinzu kommt auch, dass du KEINE Kontrolle hast, da diese Adressen nur zeitlich begrenzt sind und danach gelöscht werden.
Auch sind das eigene Postfächer, welche NICHT an dein echtes Postfach weiterleiten können.

Je nachdem welchen Anbieter du wählst, kannst du von weiteren Features profitieren.
Ein davon sind „Reverse-Aliase“, dass bedeutet wenn du einen Alias verwendest um eine Mail zu erhalten kannst du genau mit diesem Alias auch auf Mails antworten.
Das geht mit „Wegwermailadressen“ nicht.

Anbieter

Fazit

Ich empfehle dir unbedingt E-Mail Aliase zu verwenden um deine digitale Identität zu schützen.
Dabei kannst du sowohl einen der oben genannten Anbieter verwenden oder Aliase auch auf deinem eigenen Mail Server definieren.

The Choise is yours

The post Digital Identity Protection: Email Security, Alias Strategies & More first appeared on Dominik's Blog.

Das Internet ist groß und entwickelt sich immer mehr zum „nächsten“ Fernsehen.
Denn früher gab es wenig bis gar keine Werbung im Internet.
Dies hat sich jedoch gewandelt und es sind über die Zeit Interessenskonflikte entstanden.

In diesem Beitrag schauen wir uns an wie sich kostenlose Dienste finanzieren, wieso die „lukrativste“ Maßnahme nicht so gut ankommt und was man tun kann um für alle das Beste herauszuholen

Wie finanzieren sich „kostenlose“ Dienste?

Mal schnell „googlen“ oder was auf YouTube ansehen oder lieber die kostenlose Version Spotify nutzen um Geld zu sparen.

Wir kennen das alle, doch wenn es kostenlose Versionen gibt, wieso dann bezahlen?
Es liegt auf der Hand, es werden Features eingeschränkt oder gar nicht erst angeboten.

Doch das Wichtigste überhaupt, wenn es kostenlos ist, wird Werbung (engl. Ad) geschaltet.

Das Prinzip ist nicht neu, ich erinnere an die Unterschiede zwischen dem öffentlichen rechtlichen Sendern (z.B. ARD und ZDF) und den privaten Senden(z.B. RTL und Sat.1).

Beim öffentlich Rechtlichen läuft entweder gar keine Werbung oder nur zwischen verschiedenen Sendungen ganz kurz. Dabei wird jedoch das eigene Programm beworben!

Bei privaten Senden wird mitten in der Sendung eine Werbeunterbrechung eingeblendet, da die Shows/Sender ihr Geld durch Werbungseinnahmen (engl. Ad revenue) erhalten.

Jetzt ist es so, dass dies auch schon länger im Internet Einzug genommen hat.

Sei es die Einblendung vor oder während einem YouTube Video, eines Livestreams oder auch mit Werbebannern.

Es gibt verschiedenste Möglichkeiten für Werbung.

Und das macht ja auch Sinn, denn jeder Dienst oder auch Content Creator kann nicht von Luft, Liebe und Spaß leben, sondern braucht in unserer Welt Kapital und das muss irgendwoher kommen.

Das Problem mit Werbung im Internet

Ja klar Werbung ist nervig und dennoch ein Übel das notwendig ist, um diese Strukturen überhaupt möglich zu machen.

Doch Ad’s haben grade im digitalen Zeitalter viel mehr Möglichkeiten.

Denn diese können dich tracken und ein sogenanntes Profil von dir erstellen.

Auch ist es nicht hilfreich, dass es verschiedene Phasen gab, in denen einem entweder Schadsoftware (Malware, Spyware etc.) untergejubelt wurde oder irgendwelche Betrüger (engl. Scammer) Werbung geschaltet haben, damit du in Ihre Gruppe kommst oder ihr Coaching kaufst.

Natürlich sind die 80.000 Toolbars die im Internet Browser installiert waren auch nur reiner Zufall *hust*

Was auch auffällig ist, ist, dass immer mehr Werbung im Internet auftaucht und somit die positive Erfahrung sinkt.

Denn wenn mehr Werbung als Inhalt vorhanden ist, wird es schwierig den eigentlichen Sinn einer Seite noch zu nutzen.

Doch es ist nicht nur die Anzahl der Werbung die angezeigt wird, die einen einschränkt.

Es gibt Seiten/Dienste die dich zwingen Werbung anzusehen bevor du dich wieder dem Inhalt widmen kannst.

Das Ganze kennt man besonders gut aus dem Mobile Gaming Markt, bei den meisten „Free to Play“ Spielen wird einem regelmäßig Werbung eingeblendet und du musst diese mindestens ein paar Sekunden schauen oder sogar komplett.

Wichtig: Ich will hiermit das Konzept der Werbefinanzierung nicht schlecht reden und es gibt auch positive Beispiele, doch die Negativen sind leider häufiger anzutreffen.

Das Hauptproblem mit Ad’s ist, das diese einen in der heutigen Zeit so gut wie immer tracken.

Der Grund ist klar, je genauer die Plattformen oder Werbetreiber wissen was dich interessiert, desto besser können diese die Werbung auf dich zuschneiden damit du kaufst.

Frei nach dem Motto: Know your costumer

Ein Beispiel zum Tracking im Internet

Du kennst es, du hast entweder im realen Leben oder auf Social Media irgendwas über das Thema verreisen besprochen.

In wenigen Minuten wird dir überall im Internet Werbung zum verreisen angezeigt.

Und das ist nur ein kleines Beispiel.

Home Assistenten sind genauso, wenn du z.B. eine Alexa hast, hört diese immer den Raum ab.

Auch wenn du diese grade nicht mit einem Signalwort nutzt.

Bedeutet, dass über dich Daten gesammelt werden und ein identifizierbares Profil angelegt wird.

Daher sind diese Assistenten auch so verhältnismäßig günstig.

Adblocker/Scriptblocker

Solche Beispiele sind mit der ursprüngliche Grund für Adblocker und Scriptblocker.

Die beiden Begriffe sind durchaus ähnlich und unterschiedlich zu gleich.

Ein Adblocker blockiert hauptsächlich Werbung.

Das kann unterschiedlich funktionieren, die meisten arbeiten mit so genannten Listen von „Ad-Domains“.

Scriptblocker wiederrum können zwar auch Werbung blockieren, sind jedoch generell auf das Thema Scripte aus.

Denn wenn du eine Webseite aufrufst, kann es sein, dass im Hintergrund weitere Seiten geladen werden.

Das kann für Funktionalitäten sein, Werbung, Metricen (Insights), CDN und vieles mehr.

Das Wichtigste ist, dass beide die Webseite, die du lädst, verändern.

Werbung wird raus gefiltert und gar nicht an dich weiter geleitet.

Der Vorteil hier:
Genuss von werbefreien Inhalten und ohne Werbung auch kein Tracking.

Bedeutet du bist geschützter vor Tracking, Maleware und auch Scams.(Betrug)

Für den Verbraucher also perfekt!

Die Gründe können dabei verschiedenst sein, warum ein Blocker eingesetzt wird.

Der Eine macht es um keine Werbung zu sehen.

Andere um weniger getrackt werden zu können.

Der Nächste damit weniger Betrugsmaschen angezeigt werden.

Oder auch, weil ZUVIEL Werbung auf einer Webseite geschaltet ist.

Denn Adblocker blockieren teilweise auch Popups, dass sind diese tollen Fenster die einem direkt beim Laden der Seite auf den Bildschirm angezeigt werden.

Adblocker meiner Wahl: uBlock Origin

Scriptblocker meiner Wahl: NoScript

Folgen von Adblocking

Wie bereits erwähnt, finanzieren sich kostenlose Dienste/Webseiten im Internet über Werbung.

Durch Adblocker bleiben diese Einnahmen aus.

Denn entweder wird pro Click bezahlt oder pro Impression.

Und dass die Werbung nicht geladen wurde, können Werbetreibende feststellen.

Das liegt unter anderem daran, dass alleine damit dein Webbrowser mit den Diensten kommunizieren kann, Informationen mitteilen muss.

Bedeutet, dass Webseiten-Betreiber mehr Werbung schalten um die Verluste auszugleichen oder auch Anti-Adblocker Mechanismen einsetzen.

Dabei ist es eine Art Wettrüsten zwischen Adbblockern und Anti-Adblockern.

Und klar Anti-Adblocker müssen deinen Browser untersuchen, was im ersten Schritt nach einen Verstoß gegen den Datenschutz aussieht.

Leider ist dem nicht so.

Denn es wird faktisch nicht dein Browser untersucht, sondern es wird überprüft ob die Webseite, die dir angezeigt wird, „korrekt“ ausgeliefert wurde.

In diesem Fall würde „korrekt“ auch mit Werbung heißen.

Die Folge ist also, dass du ausgesperrt werden kannst, sofern die Adblocker-Erkennungsmechanismen gut genug sind.

Was auch rechtlich OK ist, denn keiner muss seine Dienste kostenlos anbieten.

Bedeutet also, das Plattformen teilweise ums überleben kämpfen, da die meisten Adblocker erstmal alles blockieren.

Zwar ist Whitelisting möglich, doch die meisten User machen das nicht.

Daher bleiben den Meisten dann nur noch die Aussperrung von Usern oder andere Finanzierungsmodelle.

Finanzierung über Premium

Wenn es mit Werbefinanzierung nicht geht, ist schnell an eine „Premium“ bzw. bezahlte Varriante gedacht.

Der Vorteil liegt auf der Hand.

Die Betreiber des Dienstes rechnen anhand von Metricen/Zahlen aus wieviel ein User zahlen müsste, damit man sich eine Werbefreie Version der Seite leisten könnte.

Dieser Beitrag kann natürlich variieren.

Ein bekanntes Beispiel sind YouTube und Spotify.

Beide bieten ihren Dienst kostenfrei an, jedoch mit Werbung.

Ebenfalls gibt es entweder einen oder mehrere mögliche Premium-Tarife, welche einen werbefreien Genuss versprechen.

Hinzukommen dann weitere Features, die mit einem „kostenlosen“ Konto nicht möglich sind.

Bei der „kostenfreien“ Variante finanziert man also den Dienst und z.B. die Content Creator dadurch, dass Werbung betrachtet wird.

Wenn die „Premium“ Variante genutzt wird, finanziert man durch seinen monatlichen oder jährlichen Beitrag.

Also ein Win-Win für alle?
Nicht wirklich, denn in den heutigen Zeiten gibt es fast ausschließlich Abo-Modelle.

Klar solche Modelle sind beim Thema werbefrei attraktiv und auch sinnvoll!

Doch ich erinnere mich noch an Zeiten, da hat man einmalig Betrag X ausgegeben und hatte seine Ruhe.

Beispiel hier Adobe Creative Cloud.

Früher konnte man die Produkte kaufen, es war teuer jedoch ohne monatliche Kosten.

Inzwischen nur noch Abo.

Dann kommen andere Dienste hinzu, wie Prime, Netflix, Fitness Studio etc.

Da kommt eine Summe zusammen.

Bedeutet, bei einer „Premium“ Finanzierung muss man für sich selbst abwägen ob man sich das leisten möchte und kann.

Persönliche Meinung

Aus meiner Sicht kann man alle Beteiligten verstehen.

Sei es Content Creator, Plattform Betreiber und auch den Verbraucher.

Was wir für eine tatsächliche Lösung brauchen ist, dass sich die „Lager“ zusammensetzen und einigen.

Wieso?

Weil Werbung weiterhin wichtig ist und nicht ersetzbar für das Internet.

Die Finanzierung ohne Werbeeinnahmen ist für viele schlicht nicht möglich.

Doch damit mehr Leute Werbung schauen wollen, müssen 3 Dinge passieren.

1) Keine Profilbildung, Tracking etc. durch Werbung mehr (mehr Datenschutz)

2) Weniger Werbung z.B. YouTube ist bei einigen Creatorn mit Werbung ungenießbar

3) Adblocker sollten es auch technisch weniger versierten Leuten, mittels Pop-up ermöglichen Werbungen zuzulassen. Gerne mit Grundangabe.

Auch die Premium Mitgliedschaften sind eine Option, meist jedoch für eher etablierte Plattformen.

Das Internet gehört uns allen und daher sollten wir auch alle gemeinsam etwas daran tun, damit es für alle besser wird.

Dabei sind sowohl Plattformbetreiber, Adblockentwickler als auch Verbraucher gefragt.

Was ist deine Meinung hierzu?

Zum Thema Tracking sehe auch meinen Beitrag zum Browsern

The post Balancing Ads: Free Services, Tracking und Ad Blockers first appeared on Dominik's Blog.

Hierbei handelt es sich um ein sogenanntes „Virtual Private Network“ kurz VPN.

Diese Netzwerkdienste bieten einem die Möglichkeit, sich zu anderen Netzwerken zu verbinden.

Damit ist gemeint, dass du z.B. von zu Hause aus, wie im Unternehmen arbeiten kannst.

Mit einem VPN wird also die Verbindung zu einem anderen Netzwerk hergestellt, zu dem man sonst keinen Zugriff hätte.

Das liegt daran, dass es in der Netzwerklogik eine Trennung zwischen einem privatem und öffentlichen Bereich gibt.

Exkurs privater und öffentlicher Bereich

Als Exkurs bzw. Auffrischung hier mal eine Kurzerklärung was damit gemeint ist.

Kommunikation im Netzwerk wird auf IP und DNS Basis vorgenommen.

Das ist natürlich eine starke Vereinfachung!

Bei Interesse gerne melden, dann wird ein Beitrag zum OSI Schichten Modell erstellt. 🙂

Jedenfalls wurde in der Vergangenheit von der IANA (Internet Assigned Numbers Authority) festgelegt, dass bestimmte IP Bereiche nicht öffentlich geroutet werden.

Somit sind diese IP Bereiche IMMER nur intern verfügbar.

Die Bereiche sind wie folgt:

• A : 10.0.0.0 bis 10.255.255.255
• B : 172.16.0.0 bis 172.31.255.255
• C : 192.168.0.0 bis 192.168.255.255

Mit diesen IP Bereichen arbeiten wir in unserem privaten Netzen genauso wie auch Unternehmen.

Der Nutzen von VPN

Wie bereits erwähnt sind VPN’s dazu da um dich mit entlegenen Netzwerken zu verbinden.

Das kann für das Home Office dein VPN zum Unternehmen sein.

Man kann jedoch VPN’s auch dazu nutzen um GEO Blocking, also die Blockade von Inhalten für die eigene Region, zu umgehen.

Dies wird gerne mit Streaming Anbietern wie Netflix gemacht, um Inhalte früher nutzen zu können oder auch die zu sehen, die gar nicht in die eigene Region kommen.

Auch ein beliebtes Beispiel ist das nutzen von VPN’s um den Sperren von Regierungen zu entgehen, sei es für Journalisten als auch für die Bevölkerung selbst. (siehe China)

Doch grade hier muss man aufpassen, denn viele VPN Anbieter pflegen zu sagen, dass man dadurch wieder mehr Anonymität im Internet gewinnt, was nur bedingt korrekt ist.

Ein VPN Dienst funktioniert prinzipiell so, dass alles an Netzwerk Verkehr über den VPN geschoben wird.

Somit werden z.B. deine Aufrufe nicht über deine IP und auch nicht über die Server deines Internet Anbieters abgefragt, sondern über die Server deines VPN Anbieters.

Klingt im ersten Schritt ja ganz gut und schön, doch wo ist nun das Problem?

Wem vertraue ich mehr?

Hier muss einem klar werden, dass alles technische geloggt werden kann und in den meisten Fällen auch wird. Bedeutet, beim Nutzen eines VPN Anbieters vertraue ich dem Anbieter, dass dieser meine Identität schützt.

Das bedeutet auch, dass dieser in der Theorie alles lesen und sehen kann, was ich im Internet mache.

Genauso wie dein Internet Anbieter.

Natürlich wird geworben das es Datenschutzrechte gibt, da man in der IT immer in der Rolle ist, dass man viel tun kann, jedoch nicht darf.

Auch „Zero Log Policy“ fällt hier oft als Buzzword, doch was steckt dahinter?

Hiermit wird ausgedrückt, dass man beim Nutzen des Dienstes absolut keine Logs anfertigt.

Klingt ja erst mal ganz nett, doch was ist, wenn Regierungen ins Spiel kommen?

Der Grund ist recht einfach, sobald man von eine Strafverfolgungsbehörde verfolgt wird, werden alle Accounts die relevant sein könnten als Teil der Ermittlung gesehen.

Dabei werden zwar richterliche Beschlüsse benötigt, doch es ist machbar.

Auch international ist dies möglich, da ist jedoch der Aufwand größer da z.B. erst in Deutschland ein „öffentliches Interesse“ vorhanden sein und dann mit der Regierung des jeweiligen VPN Anbieters verhandelt werden muss.

Bedeutet, dein Anbieter kann verpflichtet werden, dediziert zu dir und deiner Person Logs anfertigen zu müssen.

Und für VPN Anbieter bist du meist identifizierbar, da du dich mit deinen Daten registrieren musst.

Bedeutet deinen Namen, Anschrift und Zahlungsmittel.

Daher ist die Frage wem Vertraue ich mehr? Meinem Internet Anbieter? Einem Anbieter für VPN?
Oder befasse ich mich mehr mit dem Thema Privatsphäre im Internet?

Wieso gibt es dann so viele Anbieter?

Ein großer Punkt ist das übergreifende Marketing, dass von vielen VPN Anbietern betrieben wird.
Die Meisten nutzen die gleichen Schlagwörter wie „No-Log Policy“ und erklären wie die Verbindung funktioniert.

Natürlich stimmt es, dass Andere, auch Betreiber eines öffentlichen WLAN’s, deinen Traffic nicht einsehen können, solltest du einen VPN Dienst verwenden.

Daher bietet ein VPN Anbieter schon einen zusätzlichen Layer (Schicht) an Sicherheit, doch was „anonymisiert“ und „Privatsphäre“ angeht, müssen die meisten streng genommen ihre Marketing Maßnahmen ändern.

Gleichzeitig liegt es daran, dass viele Menschen lieber etwas Geld für einen Dienst zahlen und denken, dass man nun anonym wäre.
Dabei kommt es auf viel mehr an!
Wenn man schon sowas wie Netzwerke verwenden für mehr Anonymität und Privacy will, dann sollte man auf Netzwerke wie TOR (The Onion Routing) vertrauen, da diese vom Design mehr liefern können als andere Netzwerke.
Wichtig, durch das Nutzen von TOR bist du dennoch nicht automatisch anonym, hierfür musst du dich Privacy oder Anonymität -bewusst verhalten.

Um die Frage zu beantworten, es liegt daran, dass nicht jeder bereit ist, sich ausreichend technisch damit auseinander zusetzen, was auch dazu führt, dass einige Blogs und Influencer auf Youtube Werbung für VPN’s machen, was meiner Meinung kritisiert werden muss, wenn die typischen Floskeln fallen.

Vertauenswürdige Anbieter (meine Meinung)

Hier ist ganz wichtig, nur weil ich diese als vertrauenswürdig Einstufe, heißt das nicht, dass du hierdurch anonym bist!
Es bedeutet lediglich, dass diese Anbieter sich aus meiner Sicht vorbildlich verhalten.

Die Gründe werden zum jeweiligen Anbieter genannt.

Wichtig hierbei, ich bin weder gesponsert, noch sind dies Affiliate Links.

Mullvad VPN

Mullvad VPN ist ein Anbieter, welcher vor kurzem in aller Munde war.

Denn hier wurde versucht mittels Durchsuchungsbefehl, Server zu beschlagnahmen und diese nach Daten der User zu durchsuchen.

Der Clou, man konnte nichts finden, weil Mullvad den Regierungsbeamten beweisen konnte, dass es keine Logs gibt und daher auch nichts beschlagnahmt werden kann.

Dass ist äußerst interessant, denn wie ich vorher erwähnt habe, VPN-Anbieter normalerweise immer im Hintergrund irgendetwas loggen.

Dies scheint aktuell bei Mullvad anders zu sein, bedeutet, man hält sich an seinen eigenen Vorgaben.

Keine Logs über die User unter keinen Umständen.

Account erstellung in anonym?

Hinzukommt das Mullvad auch eine Anoynme Zahlung und Accouterstellung ermöglicht.

Der Account wird wie folgt erstellt:
Generiere eine Account Nummer auf der Mullvad Seite, notiere diese.

Lade deinen Account mit Zeit für Mullvad auf (hierzu gleich mehr).

Lade die App für deine Wunschplattform und installiere diese.

Gebe die Daten zu deinem Account an.

Fertig.

Hierzu gibt dir Mullvad auch Guides.

Der Vorteil hierbei ist, dass du keine Daten zu deiner Person angeben musst, du bist also alleine vom Account Setup Mullvad nur als eine Nummer bekannt.

Bei den Zahlungen werden einige Zahlungsmethoden angeboten.

Manche sind gängig und andere eher weniger, dafür anonym und zu diesen rät Mullvad einen auch.

Gängige Zahlungsdienste:

Kreditkarte

Paypal

Banküberweisung

Anoyme Zahlungsmöglichkeiten

Bitcoin

Bitcoin Cash

Monero (Privatspähre Krypto)

und Barzahlungen

Bei der Barzahlung wird zu deinem generierten Zahlencode ein Zahlungstoken erstellt.

An diesen schickst du dein Bargeld per Post an Mullvad.

Alle Daten die auf dem Umschlag sind werden nach Verarbeitung der Zahlungs- nicht weiter verwendet.

Mullvad schreibt das Thema Privatsphäre nicht nur sehr groß, sondern konnte mehrmals schon beweisen, dass hier der Kunde im Vordergrund steht.

Auch die Durchsuchung durch die Exekutive der Regierungen hat sich bestätigt.

Anbei ein Beitrag eines weiteren Blogs der dies genauer unter die Lupe genommen hat mit der Durchsuchung von Mullvad

Proton VPN

ProtonVPN ist ein VPN Dienst vom Privacy Suite Anbieter Proton.
Der Grund weshalb ich Proton empfehlen kann liegt an zwei großen Punkten.

Der eine Punkt ist, dass Proton selbst den Hauptsitz in der Schweiz hat, bedeutet, dass auch der Dienst unter Schweizer Datenschutz fällt, dieser ist meist sogar schärfer als der bei uns in Deutschland.

Das ist ein großer Pluspunkt aus meiner Sicht.

Die Schweiz ist auch nicht Teil der EU, daher ist hier der Aufwand der auf juristischer Ebene durchlaufen werden muss, größer.

Dennoch kommt es vor, dass einzelne User bei Proton durch die Schweizer Regierung gezwungen wurden zu loggen.

Dabei wird von Proton betont, dass es „nur“ Proton Mail betroffen hat und Proton VPN an sich davon nicht betroffen sei, dass kann ich jedoch nicht verifizieren.

Doch das „Gute“ ist, das Proton hier transparent mit der Community umgeht und es hierzu regelmäßige Reports gibt.

Ebenfalls wurde aufgezeigt, dass ohne einen Beschluss aus der Schweiz das Logging durch die starke Verschlüsslung von Proton nicht möglich war.

Ebenfalls wird nochmals betont, dass es um den Mail Service ging und nicht den VPN Dienst.

Für mich persönlich kommt die Empfehlung zustande da Proton äußerst transparent damit umgeht und weil es Teil einer Privatsphäre Suite ist, welche von vielen Privatsphären bewusst empfohlen wird.

Schlusswort

Zum Schluss meine persönliche Meinung zum Thema.

Aus meiner Sicht können VPN-Dienste genutzt werden, um mehr Sicherheit im Netz zu haben, jedoch nicht für mehr Privatsphäre, denn man vertraut dem jeweiligen Anbieter dann einfach mehr als einem Anderen. Das ist ein Spiel mit dem Feuer aus meiner Sicht.

Hinzu kommt, dass die Menschen durch das ganze Marketing aufhören selbst nachzudenken und daher glauben, bloß weil ein VPN genutzt wird, sei man sicher.

Dabei werden Angriffe wie Phishing weiterhin funktionieren, auch mit einem VPN.

Unter dem Aspekt muss ich sagen, wünsche ich mir mehr Awareness, die den Usern von VPN-Diensten mitgeben wird.

Denn ersten Schritt in die richtige Richtung macht hier Mullvad mit ihrem Guide.

Nutzt du VPN? Und wenn ja, wofür?

The post Wieso VPN’s deine Anonymität nicht schützen first appeared on Dominik's Blog.

Das Ziel dieses Beitrages ist es zu verdeutlichen, wieso jeder einen Password Manager braucht.

Dabei sprechen wir darüber, was ein Password Manager ist und wieso sowohl Cloud als auch Lokale Password Manager geeignet sind.

Am Ende werde ich auch meine persönliche Meinung hierzu abgeben.

Was ist ein Password Manager?

Ein Password Manager ist, wie es der Name erahnen lässt, eine Software die für dich deine Passwörter speichert.

Denn wie alle wissen und auch hoffentlich tun, soll man das gleiche Passwort nicht auf mehreren Plattformen gleichzeitig verwenden.

Der Grund ist klar, mit einem einzigen Passwort kann man dann auf X Plattformen zugreifen und dir schaden.

Ein Password Manager fungiert wie folgt:

In diesem legst du Einträge ab, teilweise automatisiert oder auch manuell.

Diese Einträge beinhalten deinen Benutzernamen und das Passwort zu diesem Benutzer.

Damit jetzt nicht jeder auf diese Datenbank Zugriff hat, wird diese mit einem möglichst komplexen und langen Passwort abgesichert.

Somit hast du einen großen Vorteil, du brauchst dir nur ein einziges Passwort merken und kannst dir für jede andere Plattform ein eigenes Passwort ausdenken oder auch generieren lassen.

Die meisten Password Manager kommen nämlich mit einem Password Generator daher, wodurch du dir auch kein Passwort mehr ausdenken musst.

Ebenfalls lassen sich die Password Manager mit einem MFA (Mehrfaktor) zusätzlich absichern, das ist ratsam da grade durch die Empfindlichkeit der Daten, diese besonders schützenswert sind.

Cloud vs lokal

Es gibt grundsätzlich zwei Varrianten von Password Manager.

Einmal die, welche in der Cloud gehostet werden und die welche man lokal betreiben kann.

Es gibt auch Mischmodelle, welche dir beides ermöglichen.

Cloud

Password Manager aus der Cloud sind äußerst bekannt und sind sowohl Fluch als auch Segen.

Denn wenn diese in der Cloud sind, stehen diese auch im Internet, zwar abgesichert durch deinen Benutzernamen, Kennwort und hoffentlich einen zweiten Faktor, dennoch sind diese erstmal immer angreifbar.

Gleichzeitig ist man davon abhängig, dass der Anbieter seine Infrastruktur im Griff hat, dass bedeutet, dass diese gesichert ist, man also Maßnahmen ergriffen hat, die es einem Hacker nicht ermöglichen, Zugriff zu erlangen, sollte ein Mitarbeiter des Unternehmens gehackt werden.

Prägnantes Beispiel hier Lastpass (Link zum Beitrag).

Dennoch muss man sagen, die ständige Verfügbarkeit hat auch Vorteile, denn wir benötigen meistens unsere Passwörter auch on the go bedeutet nicht nur zu Hause, am PC sondern auch unterwegs am Laptop oder Smartphone.

Hinzu kommt, dass viele Benutzter zwar einen Passwort Manager verwenden sollten, jedoch mit der Verantwortung und Pflege überfordert sind.

Daher sind Cloud Anbieter ein guter Weg als Einstieg oder als Möglichkeit mit wenig Aufwand viel Wirkung zu erzielen.

Lokal aka OnPremise

Lokale Passwort Manager muss man nochmal in zwei eigene Kategorien aufteilen, des gibt lokale Password Manager, die mit einem Server Client Prinzip arbeiten und die, welche lediglich eine verschlüsselte Datei ablegen.

Doch wir bleiben bei der vereinfachten Ansicht, um den Beitrag kompakt und informativ zu halten.

Diese Variante birgt unter anderem den Vorteil, dass diese entweder gar nicht aus dem Internet erreichbar, oder nur durch von einem selbst auferlegten Sicherheitsmaßnahmen erreichbar ist.

Ein Beispiel wäre nur erreichbar per VPN Zugriff.

Allerdings, wie man auch bereits rausließt, hat man mehr Verantwortung und Aufwände mit einem solchen Passwort Manager da diese von einem selbst verwaltet und abgesichert werden müssen.

Somit kann ein Passwort Manager eine kritische Sicherheitslücke haben und weil man nicht daran denkt, wird diese weiterhin offen sein, weil man das System nicht updatet.

Meine persönliche Empfehlungen

Cloud

Proton Pass

ProtonPass ist von Proton, und daher Teil der Proton Privacy Suite.

ProtonPass überzeugt nicht nur, weil es ein guter Passwort Manager ist, sondern weil ProtonPass mit der Community weiterentwickelt wird.

Dabei nimmt Proton das Feedback der Community ernst und hat bereits eine Feature Roadmap veröffentlicht.

Proton Pass Roadmap

Hinzu kommt das Proton Pass eine kostenlose Version anbietet, welche im Gegensatz zu manch anderen Anbietern, unimlited Devices erlaubt.

Bedeutet, du kannst mit deinem Account so viele Geräte verbinden wie du magst, ohne dass du den Sync deiner Passwörter von einem Device entfernst.

Manche Passoword Manager wollen für dieses Feautre Geld sehen.

Daher Daumen hoch von mir.

Hinzu kommt, dass ProtonPass nicht nur Passwörter speichern kann, sondern Mail Aliase dabei sind.
Sogar in der kostenlose Fassung 10 Stück.
Mail Aliase erlauben die eine Mailadresse zu erstellen, die Mails an deine Mailadresse weiterleitet.

Der Vorteil ist also, dass du nicht immer jedem deine Mail Adresse geben musst.

Falls du den Alias nicht mehr brauchst, weil du registriert bist, kannst du den Alias deaktivieren oder löschen und erhältst keinen Spam.

Du kannst also mit ProtonPass deine Mailadressen schützen.

Falls Mail Aliase dich interessieren, sag gerne Bescheid dann machen wir hierzu einen eigenen Beitrag.

Auch ist ein 2FA Authenticator in Proton Pass in der bezahlten Version bereits integriert, bedeutet, ProtonPass übernimmt den 2ten Faktor für dich, sofern du diesen nutzt.

ProtonPass will ein Identiry Manager sein, der deine Identität schützt.

Bitwarden

Dieser Passwort Manager ist wohl den meisten bekannt und ebenfalls kostenlos verfügbar.

Bitwarden bietet ähnlich wie Proton Pass einen Password Manager mit unlimited Geräten an, und das bereits in der kostenlose Variante.

In der bezahlten Version kommen Sicherheitsfeatures und ein Authenticator (MFA) dazu.

Auch ein Emergency Zugriff kann in der bezahlten Version erstellt werden, für den Fall, dass du dich aussperrst, dafür definitiv Daumen hoch.

Bitwarden hat auch dieses Jahr (2023) ein Rechenzentrum in der EU aufgebaut, damit Unternehmen DSGVO-Konform Bitwarden nutzen können.

Dabei liefert Proton den Enterprise Kunden (kann auch privat gebucht werden) die Option Bitwarden selbst zu hosten.

Bitwarden kommt zwar nicht mit Mail Aliasen daher, möchte jedoch ebenfalls ein umfassender Idenity Manager sein, da nicht nur ein Passwort Generator on Board ist, sondern auch ein Benutzernamen Generator integriert ist.

Die Security Reports liefern Einblicke ob der eigene Account in einem Datenleak betroffen ist oder nicht.

Daher bietet Bitwarden ebenfalls viele Funktionen, die man jedem empfehlen kann.

Lokal

Vaultwarden

Vaultwarden ist ein sogenannter „Fork“ von Bitwarden.

Dieses Projekt ist unabhängig von Bitwarden, daher ist hier der Support über das Vaultwarden Github zu konsultieren.

Ein Vorteil ist, dass Vaultwarden mit den Clients und Addons von Bitwarden kompatibel ist
Das wird dadurch erreicht, das Bitwarden Open-Source ist und die Macher von Vaultwarden diesen Code genommen und ihre eigenen Änderungen vorgenommen haben.

Dabei wird Vaultwarden, ähnlich wie die Enterprise Version von Bitwarden mittels Docker Containern realisiert. Der Vorteil ist, dass die Container die Anwendungen so bereitstellen wie die Entwickler diese auch getestet haben. Wenn ein Dienst als ausfällt, kann dediziert auf den jeweiligen Container geschaut werden.

Passbolt

Passbolt ist ein Passwort Manager der eine kostenlose Variante zum selbst hosten anbietet.

Dabei wird ebenfalls Docker genutzt um die Installation so einfach wie möglich zu gestalten.

Interessant ist hier, dass Passbolt ein etablierter Hersteller ist, der ein gutes Produkt anbietet welches man verwenden kann.

Zusätzliche Sicherheitsmaßnahmen

Double Blind Verfahren

Das zu deutsch „Doppelt Blind Verfahren“ ist ein Vorgehen bei dem man dafür sorgt, dass man selbst und der Passwort Manager jeweils nicht das vollständige Passwort kennt.

Denn die Frage die sich stellt ist ja, wenn der Passwort Manager gehackt wird, was mache ich dann?
Muss ich dann alle Passwörter ändern?

Kurz gesagt, ja, das musst du!

Auch die Frage ob es ein ziemlicher Angriffssektor ist, einen Passwort Manager zu verwenden der „nur“ mit einem langen und komplexen mit Passwort gesichert ist, muss ich mit JA beantworten.

Daher verwende ich in meinem persönlichen Passwort Manager das Double Blind Verfahren.

Das bedeutet wie schon erwähnt, dass weder ich noch mein Passwort Manager das volle Passwort kennen. Sondern jeder nur einen Teil davon.

Damit funktioniert die Autofill und Enter Funktion nicht mehr.

Doch erstmal vorab die Erklärung.

Bei Double Blind nutzt du ein Passwort, dass am besten von deinem Passwort Manager zufallsgeneriert wurde und speicherst dieses ab.

Doch das ist nicht dein endgültiges Passwort, stattdessen fügst du an einer Stelle in deinem Passwort einen sogenannten „Unique Key“ ein.

Dieser Unique Key ist eine Zeichenfolge die DU dir ausdenkst.

Dabei kannst du die Stelle, wo du diesen Key in dem Passwort einfügst, frei bestimmen.

Wichtig ist nur, dass du hier nicht zu viel variierst, dass hierdurch zusätzliche Komplexität entsteht.

Ein Beispiel könnte folgendes sein:

X= Passwortzeichen

Unique Key = Dein ausgedachter Key

XXXXUnique KeyXXXXXXX

Und das kannst du dann bei jedem Passwort so machen.

Du kannst deinen Unique Key auch Vorne oder immer zum Schluss an das Passwort setzen.

Wichtig ist nur, dass du dir das merken kannst.

Hinzu kommt, dass dies meist dazu führt das du an das Zeichenlimit der meisten Webseiten gerätst.

Nutze MFA

Ich kann dies nicht genug betonen, bei einem Passwort Manager solltest du IMMER eine MFA Authentifizierung verwenden! Im besten Fall einen Hardware Key wie einen Yubikey alternativ einen OTP.

Der MFA schützt deinen Passwort Manager zusätzlich ab, da neben deinem Master Kennwort immer der MFA noch mit angegeben werden muss.

Speichere dein MFA nicht in deinem Password Manager

Zumindestens den MFA für den Password Manager musst du sowieso außerhalb von diesem aufbewahren, da du dich sonst ausperren würdest.

Doch ich rate dringenst dazu deinen MFA in keinen Passwort Manager einzufügen.

Da durch das Komplimentieren einen Passwort Managers sonst auch deine MFA’s gefährdet sind.

Meine persönliche Meinung

Hier muss ich wie immer sagen es kommt darauf an, ob du die Verantwortung für das selber hosten haben möchtest und auch gerecht wirst.

Einem privat Anwender rate ich zu einem Password Manager wie ProtonPass oder Bitwarden, da diese zum einen, einen kostenlosen Tarif anbieten und sehr einfach zu benutzen sind.

Denn beim selbst hosten, muss du dir immer Gedanken machen, wie ist das System von außen erreichbar?

Wie synchronisiere ich es, wenn ich nicht zu Hause bin?

Das fällt bei „Cloud“ Anbietern weg. Daher behaupte ich, das Privatpersonen generell besser einen Cloudanbieter nutzen sollten um auch keine zu großen Barrieren vor sich haben.

Technisch versierte wollen gerne selbst hosten und können das auch machen, doch möchte ich hier erwähnen, dass es auch keine Schande ist etwas Fertiges zu nutzen.

Frei nach der Frage „Make or Buy?“

Daher kurz um meine Empfehlung:
Für Privatpersonen defintiv einen Anbieter aus der „Cloud“ wie ProtonPass oder Bitwarden.

In Unternehmen ist das selbst hosten sehr wichtig, hier sind Bitwarden, Passbolt und Netwirx Password Secure äußerst interessant.

Alles dazwischen ist es eine Präferenz Frage.

Welche Variante nutzt du?

The post Jeder braucht einen Password Manager first appeared on Dominik's Blog.

Das Wichtigste vorab, wenn ich hier deinen Browser nicht erwähne, heißt es nicht das dein Browser oder die Erweiterungen die du nutzt, schlecht sind.

Es kann sein, dass mir dieser Browser gar nicht bekannt ist, oder für mich die Ähnlichkeit zu den genannten Browsern groß genug ist, das ich diese nicht erwähne.

Jeder Browser kann durch „Browser Hardening“ sowohl mehr Security als auch Privacy liefern.

In diesem Beitrag wird also kein „Deep Dive“ gemacht, das wird in einem zukünftigen Beitrag nachgeholt. Hier geht es jetzt tatsächlich um kleine Änderungen die auf Dauer einen großen Unterschied machen können.

Ebenso soll hier eine Basis geschaffen werden, mehr geht also immer und ich bitte dies bei konstruktiver Kritik zu berücksichtigen.

Eckdaten/Bereiche

• Die Anfang (Basis)
• Internet Browser←Hier befinden wir uns in diesem Beitrag
• Suchmaschinen
• Alternative Frontends für deine Lieblingsplattformen
• Android Betriebssysteme
• Linux Betriebssysteme
• Windows Einstellungen für mehr Privatsphäre
• Aussicht auf weitere Themen

Internet Browser

Der Internet Browser ist sehr entscheidend, da diese für alle unsere Webseitenbesuche genutzt wird.

Daher sind die richtigen Einstellungen wichtig um eben mehr Privatsphäre zu erhalten.
Doch wir reden von kleinen und einfachen Änderungen, daher werden wir jetzt nicht jeden vorgeschlagenen Browser in kleinste Detail einstellen, sondern es wird besprochen auf welche Einstellungen du achten musst und mit welchen Erweiterungen/Addons du deinen Browser sogar mit einem einzigen Klick verbessern kannst.

Mythen

Bevor wir loslegen muss ich dir sagen, das Private/Inkognito Fenster kann zwar hilfreich für spezielle Zwecke sein, doch dieses Fenster macht dich nicht anonym.

Du startest an sich bei einem Privaten/Inkognito Fenster lediglich mit einer neuen Web Sitzung als hättest du den Webbrowser das erste mal gestartet, das heißt es sind keine „alten“ Cookies gespeichert.

Dennoch kannst du durch dieses Fenster identifiziert werden, anhand deines Verhaltens, IP-Adresse etc.

Ebenso wirst du hiervon nicht vor Malware oder ähnlichem geschützt.

Basis Einstellungen

Die meisten Einstellungen findest bei den Browsern unter Einstellungen → Datenschutz und Sicherheit (oder einer ähnlichen Benennung).

Cookies und Webseiten Daten

Hier kannst du viele Basis Einstellungen vornehmen und hast vorab schon mal viel gewonnen, wenn du bei „Cookies und andere Webseiten Daten“ prinzipiell Drittanbieter Cookies blockierst.

Anbei ein Screenshot wie das in einem Chrome Basierten Browser aussehen kann:

Hier kannst du einstellen wie Cookies gehandelt werden, dabei ist das Blockieren von Drittanbieter Cookies zu empfehlen, du kannst jederzeit in deinem Browser Drittanbieter Cookies manuell als Ausnahme definieren so dass diese zugelassen werden, das kann z.B. bei Meeting Software wie Microsoft Teams aus dem Webbrowser nötig sein.

In diesem Fenster kannst auch definiert werden ob Cookies und Webseiten Daten gelöscht werden sollen, wenn alle Fenster vom Browser geschlossen sind.

Dies ist ratsam, da dadurch du auch im normalen Browser nach dem Schließen mit einer „frischen“ Sitzung anfängst die keine Daten von alten Sitzung mitbringt.
Schließlich muss nicht jeder wissen wo wir gestern waren oder? 😉

ACHTUNG

Durch die Löschung von allen Cookies beim Schließen des Fensters muss die Anmeldung auf jeder Seite manuell wieder durchgeführt werden. Sollte man dies also tun, so ist es ratsam einen Password Manager zu verwenden der diesen Schritt vereinfacht. (Zu Password Manager kommt ein eigener Beitrag) Der Vorteil ist, dass du hierdurch auch einen Sicherheitsgewinn erhältst, denn für den Fall das jemand gehackt wird, wo Session Cookies von Logins liegen, obwohl man grade gar nicht selber am Rechner ist, kann dieser Cookie geklaut und von böswilligen Menschen missbraucht werden. Dies nennt sich Session Cookie Haijacking und kann sogar die Multifaktor Authentifizierung umgehen. Falls das Löschen aller Cookies zu viel ist, kann auch jederzeit über die allgemeine Einstellung „Browserdaten löschen“ Einstellungen granularer vorgenommen werden. Hier können auch alle Cookies gelöscht werden und zwar auch automatisch, wenn der Browser geschlossen ist, allerdings können die „Passwörter und andere Anmeldedaten“ Cookies beibehalten werden.

Eine weitere Abstufung zum Löschen der Cookies wäre es, „nur“ Webseiten übergreifende Cookies zu löschen. Diese Funktion befindet sich meist unter „Schutz“ oder „Protection“

Eine Weitere Einstellung ist, dass du deinen Browser NICHT mit einem Account verbindest um diesen über einen z.B. Google oder Microsoft Account zu synchronisieren, da hierdurch ebenfalls Daten auf dich zurückgeführt werden können.

Wenn Einstellungen oder Lesezeichen benötigt werden, können diese angenehm exportiert werden und auf einem anderen Browser oder einer anderen Maschine eingespielt werden.

Geräte Berechtigung

Es gibt Webseiten die benötigen Zugriffsrechte, die du teilweise freigeben kannst.

Eins dieser Beispiele ist, wenn du bei einem Video Call, sei es per Microsoft Teams, Jitsi Meet, GoToWeb oder anderen Video Calls Beitritts im Browser.

Je nachdem ob ein Zugriff nötig ist, wird ein Pop-up gezeigt, dass die nötigen Rechte anfragt, hier stellen die Meisten eine dauerhafte Erlaubnis ein. Das sollte allerdings nicht der Fall sein, sofern es kein Mittel deiner täglichen Arbeit ist.
Sollte es ein Mittel deiner täglichen Arbeit sein, kann überlegt werden, die Vollanwendung zu installieren und zu nutzen.

Um generelle Einstellungen vornehmen zu können, müssen wir erneut in „Datenschutz und Sicherheit“ unseres Browsers und dort die Website- und Schutzeinstellungen öffnen.

Dabei werden die Einstellungen hier als „Standard“ definiert, sofern es pro Webseite keine Ausnahmen gibt.

Anbei ein Screenshot wie das im Brave Browser aussehen kann

Für Firefox basierte Browser geht man in die Einstellungen in „Datenschutz und Sicherheit“ und scrollt zum Punkt „Berechtigungen“ :

Um sich dies pro Seite anzusehen, ist es ratsam über folgenden Weg zu gehen:

Bei Chrome basierten Browsern geht das mittels Klick auf das Schloss in der Adresszeile und dann auf Webseiteneinstellungen:

Danach geht unter „Datenschutz und Sicherheit“ ein Fenster auf und zeigt die Berechtigungen für die jeweilige Seite an, in diesem Beispiel obsproject.com

Bei Firefox basierten Browsern muss auch auf das Schloss geklickt werden, danach auf mehr Information und dann auf Berechtigung.

Meine Empfehlung ist, bei Kamera und Mikrofon auf „immer nachfragen“ zu stellen, JavaScript sollte erlaubt bleiben, da die meisten Webseiten ohne JavaScript nicht funktionieren.
Hierzu kommt im Abschnitt Erweiterungen ein kleiner Zusatz.

Die anderen Einstellungen können entweder auf „immer nachfragen“ oder Block gestellt werden, hier ist deine persönliche Präferenz gefragt.

Sei bei „Erlauben“ bzw. dauerhaft erlauben vorsichtig. Wenn auf „immer nachfragen“ gestellt ist, kann man die Berechtigung auch nur temporär z.B. für 24 Stunden oder bis man die Webseite schließt vergeben.

Das soll es mit generellen Einstellungen für den Browser gewesen sein, es geht natürlich noch mehr doch das sind wirklich minimale Änderungen die dir einen großen Gewinn bringen können.

Browserwahl

Wichtig ist hier vorab, dass ich hier Browser nenne, die von Haus aus mehr für deine Privatsphäre tun als andere Browser, somit können bestimmte Einstellungen wegfallen, da diese schon im Browser integriert sind.

Es gibt auch andere Möglichkeiten, hier geht es wirklich um ein Balancing von Privacy, Security und Benutzbarkeit.

Auch möchte ich mich auf zwei Browser beschränken die ich für den Einstieg empfehle da, es natürlich noch mehr Browser gibt wie z.B. den Mullvad Browser.

Dabei werden die Browser vorgestellt und aufgezeigt, was diese anders machen als die meisten anderen Browser.

Brave

Der Brave Browser ist wohl der bekannteste Vertreter in dieser Runde.

Dieser Browser basiert auf Chromium genauso wie der Google Chrome.

Den Chromium ist Open Source und somit kann jeder seine eigene „Version“ eines Chromeartigen Browsers entwickeln.

Es gibt zwischen Chromium und Google Chrome noch Unterschiede die nicht Teil dieses Beitrages sind.

Bei Interesse gerne Bescheid geben.

Grade dadurch das Brave auf Chromium basiert, wird der Einstieg auf diesem Browser den meisten einfacher fallen, sofern vorher Chrome verwendet wurde.

Der Vorteil ist hier auch, dass alle „Erweiterungen“ für den Chrome Browser mit Brave Kompatibel sind.

Was macht nun Brave für deine Privatspähere?

Dieser Browser bringt einige Funktionalitäten mit sich, hier sind die Wichtigsten aufgezählt:

• Prävention durch Fingerabdruck [Link auf Beitrag davor]
• Cookie-Kontrolle
• Werbung blockieren
• Scripts blockieren (optional)
• Tracker blockieren
• automatisches Upgrade auf HTTPS

Es gibt natürlich noch mehr Funktionen und diese können einen eigenen Beitrag füllen.

Und das sind „nur“ die Out-of-the-Box Funktionen von Brave.

Brave kann natürlich noch mehr, wie z.B. direkt ein eigenes Fenster öffnen das eine Verbindung zum Tor-Netzwerk aufbaut.

Alleine die Werbung und Tracker die sofort blockiert werden, helfen schon für mehr Performance, schnelles Laden von Webseiten und noch viel wichtiger: helfen deiner Privatsphäre.

Skripte blockieren, ist auch direkt an Board und im Default ausgeschaltet, kann jedoch eingeschaltet und konfiguriert werden.

Wenn von Scripteblockern gesprochen wird, geht es um JavaScript, welches übrigens nicht auf Java basiert sondern den Namen lediglich erhalten hat, da Java sehr beliebt war. Ein Marketingmittel kann man sagen.

Dabei muss ich direkt eine Lanze brechen für JavaScript, denn auch wenn JavaScript für Tracking und Sicherheitslücken verwendet werden kann, ist es elementar wichtig für die Funktionalität der meisten Webseiten.

Daher ist ein generelles Blockieren von JavaScript nicht zu empfehlen.

Hier müssen einzelne Webseiten im Blocker konfiguriert werden, sodass Java Script erlaubt ist.

Die Cookie Kontrolle ist in Brave sehr entgegenkommend, denn jedes mal, wenn eine Webseite unbekannt ist und spezielle Cookies benötigt, z.B. für Kamera und Mikrofon, zeigt Brave einem die Aufforderung hierzu.
Die Oberfläche ist übersichtlich gestaltet und es werden direkt Optionen wie „Gewähren bis ich den Tab schließe“ oder „für 24 Stunden erlauben“ angeboten.
Natürlich kann auch eine dauerhafte Freigabe erteilt werden.

LibreWolf

Wer keinen Chromium basierten Browser haben möchte, wird auf einen Firefox basierenden Browser ausweichen müssen.

Hier kommt LibreWolf ins Spiel.

Dieser Browser basiert auf Firefox, welcher Open-Source ist.

Dieser Browser schreibt Datenschutz und Privatsphäre nicht groß…es ist die Essenz dieses Browsers.

Denn LibreWolf geht einige Schritte in der Out of the Box Konfiguration weiter.

So gut die Basis auch ist, ist beim Standard Firefox z.B. ein Telemetrie Dienst dabei, der es der Mozilla erlaubt, eindeutige „Tokens“ und „ID’s“ zu erstellen.
Es gibt auch noch weitere Features und Bedenken, da einer der großen Geldgeber für Mozilla Google ist.

Ja richtig gehört Google, ob das Auswirkungen hat kann keiner konkret bewerten.

Dennoch ist das Ganze verdächtig.

LibreWolf kommt zusätzlich mit weiteren Features. Hier mal aus meiner Sicht die Wichtigsten:

• Cookies werden beim Beenden des Browsers gelöscht
• uBlockOrigin ist vorinstalliert
• Neben Telemetrie sind auch Digital Rights Management (DRM) Dienste entfernt
• First-Party Isolation (FPI) & dynamic First-Party Isolation (dFPI) ist unterstützt und im Standard wird dFPI verwendet
  • Dies sind Techniken um die Verwendung von Cookies zu isolieren
• WebGL ist im Standard abgeschaltet, da es ein beliebter Vektor für „Fingerprinting“ ist
• Startet im Standard auf englisch und spielt den Webseiten vor, dass man Amerikaner sei
• Canvas Zugriff wird im Standard blockiert

Es gibt natürlich weitere Features, anbei ein Link zu den weiteren Features

Auch wenn der Browser im Einsatz ist, gibt es noch weitere Einstellungen die getroffen werden können, die direkt von der LibreWolf Community auch aufgezeigt werden.

Dieser Browser kann grade mit WebCall über Microsoft Teams, GoTo Meeting und ähnlichen zu Problemen führen, da diese meist ein WebRTC Schnittstelle Canvas Zugriff nutzen.

Doch wie so oft ist hier das persönliche Anpassen am Wichtigsten.

Browsererweiterungen

Browsererweiterungen oder auch Addons genannt, können dir helfen mehr aus deinem Browser zu machen. Dabei gibt es natürlich auch Erweiterungen die dich mehr ausspionieren.

Hier möchte ich dir mal Erweiterungen vorstellen die dich zum einen nicht ausspionieren und direkt mehr Privatsphäre mitbringen.

uBlock Origin

Diese Erweiterungen wurde bereits weiter oben genannt und stellt eine Erweiterung dar, die jeder nutzen sollte.

Wieso?
UblockOrigin ist kein einfacher Adblocker sonder bietet weitere Funktionalitäten.

Neben einem Script Blocker sind auch Cookie Banner Blocker mit dabei.

Es gibt Einiges was hier mit angeboten wird, der Entwickler bezeichnet uBlockOrigin als:

„Weit-Spektrum-Blocker“

NoScript

NoScript ist eine Erweiterung welche Scirptblocking als Fokus hat.

Dabei werden vorerst präventiv alle Scripte von allen Seiten erstmal blockiert.

Dies kann zu Funktionseinschränken führen, das Interessante und einfache an NoScript ist allerdings, dass jede Webseite die Scripte lädt, einzeln erlaubt werden können.

Dies kann auch nur temproär geschehen.

Somit kann spielerisch herausgefunden werden welche Webseiten im Hintergrund zusätzlich geladen werden.

Auch wird einem dann auffallen, wie oft die gleichen Webseiten auftauchen.

Also kann hierdruch mehr Awarness geschaffen werden und gleichzeitig mehr Privatspähre da nicht alle Seiten laden konnten.

Schlusswort

Wie schon anfänglich erwähnt, geht es in diesem Beitrag darum, jedem mit kleinen Änderungen viel Wert zukommen zu lassen.

Das Thema Privatsphäre ist unendlich, da es immer darauf ankommt wie weit man selbst bereit ist, zu gehen.

Wie schon im aller ersten Blogbeitrag erwähnt, gibt es auch einen Unterschied zwischen Privacy (Privatsphäre) & Anonymity (Anonymität) im Internet.

Wer mehr tun möchte, kann mehr tun und ich hoffe das der kleine Einstieg für Internet Browser geholfen hat.

Lass es mich gerne wissen in den Kommentaren oder per Kontaktformular.

The post Pflege deinen Internet Browser, wie du dein Auto pflegst first appeared on Dominik's Blog.

Wie so oft „it depends“ und zwar, in welchem Kontext diese Frage gestellt wird.
Bei IT-Security für Unternehmen ist diese Frage sehr viel detaillierter zu beantworten, als wenn es um Privatpersonen geht.

Der Grund ist, dass Unternehmen, Behörden und ähnliche Organisationen auf viel mehr achten müssen, da hier die Struktur komplexer und somit miteinander verbunden ist.

Das bedeutet jedoch nicht, dass Privatpersonen dieses Thema nichts angeht, im Gegenteil:

Jeden geht IT-Security was an!

Denn gerade, weil wir das Internet jeden Tag nutzen und immer mehr Berufe IT-gestützt werden, muss sich jeder damit beschäftigen.
Der Vorteil hier: Jeder gewinnt…außer die Hacker 😉
Wieso ich das erwähne? Nun weil jeden Tag Menschen wie du und ich Opfer von solchen Angriffen werden und auch Unternehmen oder Social Media Stars dem Ganzen schon zum Opfer fallen.

Denn für Organisationen ist es von Vorteil, wenn die Mitarbeiter ein Verständnis oder Affinität für das Thema haben, während man sich als Privatperson auch im eigenen Umfeld vor Schäden schützen kann, wenn man die richtigen Maßnahmen ergreift.

Scope/Bereich

Bevor wir weitermachen, möchten ich dir mitteilen, um was es in diesem Beitrag gehen soll, damit keine falschen Erwartungen aufkommen.

Dieser Beitrag soll ein Einstieg für alle sein, das bedeutet, dass die Privatperson/en hier im Fokus stehen.

Dieser Blog hat die Intention sowohl IT-fachliche Themen zu beleuchten, Anregungen zu schaffen und gleichzeitig möchte ich auch die Menschen mitnehmen, die keine IT-ler sind, daher sind grade die ersten Beiträge auf diesem Blog nicht so tief im Detail um eine Grundlage für alle Leser zu schaffen.

Das bedeutet für diesen Beitrag, es werden die ersten Basics erläutert und auch die ersten Werkzeuge an die Hand gegeben, um hier besser aufgestellt zu sein.

Dieser Beitrag ist der Erste zum Thema „IT-Security für jeden“, da dies der Einsteigs Part sein soll und sich grade in diesem Feld regelmäßig etwas tut.

Eine Vertiefung der Thematik ist für zukünftige Beiträge geplant!

Wieso werden heute immer noch Menschen gehackt?

Definition des Begriffs Hacken

Um diese Frage zu klären, muss erstmal klar sein was Hacken überhaupt bedeutet.

Damit meine ich nicht die Übersetzung von Englisch ins Deutsche, sondern was mit diesem Begriff zusammen hängt?
Denn Hacken ist nicht nur in der EDV/IT relevant, im Gegenteil.
Um Wau Holland, einen Gründer des Chaos Computer Clubs zu zitieren:
„Ein Hacker ist jemand, der versucht einen Weg zu finden, wie man mit einer Kaffeemaschine Toast zubereiten kann.“

Das bedeutet, wenn man versucht es in einfachen Worten zu formulieren, dass Hacken bedeutet eine Sache in Ihrer Funktion so zu verändern, dass diese zweckentfremdend andere/neue Funktionen übernehmen kann.

Somit ist es richtig, dass Hacken bzw. Hacking nicht nur mit Computertechnik zu tun hat, denn ursprünglich bedeutete der Begriff Hacker lediglich, einen Menschen der gerne an Objekten bastelte und dabei eigene kreative Wege findet.

Im Falle von IT-Sicherheit spricht man von der Manipulation von Menschen oder Computersystemen um unautorisierten Zugriff zu erhalten.

Die Absichten von Hackern

Hacker im EDV/IT Sinne wollen unterschiedliches erreichen, dabei kommt es immer darauf an, an wen man gerät.
Wichtig vorab zu wissen: Hacker können einzeln als Person agieren, können jedoch auch organisiert als Gruppe oder Vereinigung handeln.

Die Absicht der meisten Hacker

Es gibt Menschen da draußen, die sich an der Unwissenheit anderer Menschen bereichern wollen.
Solche Menschen verfolgen meist monitäre Ziele, bedeutet sie wollen Geld erbeuten.

Dabei ist es egal ob sie sich als „verschollener Enkel“ ausgeben müssen oder andere Mittel nutzen müssen, ihnen ist jedes Mittel recht.

Das ist wohl das, woran die Meisten denken, wenn es um Hacker geht.
Diese Art wird entweder einzeln oder in einer organisierten Gruppe agieren.

Spionage Hacker

Allerdings können Hacker auch andere Ziele verfolgen, wie die Spionage einer Person oder eines Unternehmens.

Dabei ist das Ziel, so viele Daten wie möglich über das „Opfer“ zu sammeln.

Das kann verschiedene Gründe haben wie z.B. Profiling oder um das „Opfer“ überzeugender manipulieren zu können.

Hierbei werden meist verstecktere Ansätze genutzt wie Social Engineering oder, dass einem eine Software aufgespielt wird, mit der eine nahtlose und unsichtbare Spionage möglich ist.

Es gibt natürlich noch mehr Methoden hierfür.

Diese Art trifft man eher im professionellen Umfeld an und bei Regierungen, wenn ein Straftäter von den Behörden verfolgt wird.

Beispiel eines Hacks (Phishing)

Das Beste Beispiel ist ein Phishing Angriff. Hier ist bewusst das Wort Angriff in Verwendung, den Phishing (Übersetzung Fischen wie ein Fischer) ist vom Konzept einfach erklärt und kann sowohl digital als auch physisch durchgeführt werden.

Beim Phsihing gibt sich jemand oder eine Gruppe als jemand anders aus und möchte die Zielperson zu einer unüberlegten Handlung bringen, meist durch ein emotionales Druckmittel, dass eine gewisse Dringlichkeit ausdrückt.
Dies kann via Telefon, direkt an der Tür oder auch per E–Mail sein.
Die „Phisher“ geben also einen Vorwand an und geben sich für jemand anderen aus z.B. die Personalabteilung oder deine Bank.
Um dich nun in eine unüberlegte Handlung zu bringen, könnte ein Betreff wie folgender gewählt werden:
„Sie haben zuviel Urlaub genommen! Dringender Handlungsbedarf“

Solchen Mails hängen dann noch Dateien oder Links an, die geöffnet werden sollen und sofern nötig, speziell eine Login Maske angeboten wird, in der man seine Daten eingeben soll.
Und da ist es schon passiert, du wurdest gehackt.
Natürlich varriert es als was sich ausgegeben wird und welchen „dringenden“ Grund man hat.

Wusstest du schon: So ein Phishing Angriff kann, sofern gut durchgeführt deine Sitzungscookies klauen, sofern du diese in deinem Internet Browser nicht löschst. Bedeutet auch, wenn du „nur“ auf den Link geklickt hast, könnten deine Login Daten zu anderen Webseiten geklaut worden sein.
Geschieht das, hilft nicht mal eine Multi-Faktor-Authentifizierung (MFA).
Daher mein Rat, lösche deine Cookies!
Hierzu kommt ein eigener Beitrag der hier verlinkt wird.

Welche Maßnahmen kann ich da ergreifen?

Das kommt ganz darauf an wie die Bereitschaft dazu ist, denn jeder Invest in mehr IT-Security bedeutet, dass in einem anderen Feld weniger Invest möglich ist.

Mit Invest meine ich, dass jede Investition in eine Richtung automatisch die Möglichkeit eines anderen Feldes einschränkt.
Wie weit man hier geht, muss im privaten Umfeld jeder für sich selbst entscheiden und im professionellen Umfeld gibt es zum einen „Standard“ die State of the Art sind (Stand der Technik).

Gleichzeitig geben im professionellen Umfeld die IT-Abteilungen und Geschäftsführung vor was gemacht werden muss und was optional ist.

Da wir uns hier um die IT-Security für den eigenen Gebrauch kümmern, gehen wir nun auf die Optionen ein die DU für dich und deine Liebsten vornehmen kannst.

Lerne die Warnzeichen kennen

Weder Maßnahmen noch irgendwelche Tools können so wirksam sein wie:Wissen!

Damit ist gemeint, dass ein Jeder interessiert sein muss, seine Kenntnisse auf den Prüfstand zu stellen und bei Bedarf zu erweitern.

Doch bevor dies möglich ist, muss die Basis sein und diese kann durch verschiedene Wege geschaffen werden.

Allgemeines

Das Wichtigste ist, dass man sich nicht zu emotionalen Verhalten hinreißen lässt.

Damit ist gemeint, dass solche „Angriffe“ durch Hacker versuchen einen zu unüberlegten Handlungen zu bewegen.

Veranschaulicht wird das durch den „Enkeltrick“, indem eine fremde Personen eine andere überzeugt, der „Enkel“ bzw. ein „Familienmitglied“ zu sein, dass in Not geraten ist.

Für die Familie tut man doch alles und hat dann ein paar Euro über.

Auch Mails, die eine zeitliche Kritikalität {evtl anderes wort) aufzeigen, sind mit Vorsichtig zu genießen.

Hier ist es beliebt, dass die „Bank“ einem schreibt oder die „Personalabteilung“ und man dringendst auf den beigefügten Link klicken, oder die Datei ausführen soll, die im Anhang ist.

Dabei kennt man die Absender vielleicht gar nicht, oder es ist eine merkwürdig formulierte Mail.

Das Beste hier ist, wenn man sich nicht sicher ist ob die Mail echt ist, auf keinen Link drauf klicken geschweige denn, bei dem vermeintlichen Absender melden.

Nicht über die Kontaktdaten in der Mail, sondern suche die öffentlichen Kontaktdaten deiner z.B. Bank raus oder deines Unternehmens und rufe dort an.

Frage nach ob die Mail von ihnen ist oder nicht.

Eigen Recherche

Um dieses Basis zu schaffen kann es hilfreich sein, allgemein zu recherchieren, dafür kann die Suchmaschine des Vertrauens besucht werden. (DuckDuckGo, Brave Search, Startpage, QWANT oder der bekannteste Vertreter: Google)

Natürlich ist die eigen Recherche nicht das einzige Mittel, doch frei nach dem Motto „Selbst ist der Mann/die Frau!“. Denn am Besten lernt der Mensch durch eigenes tätig werden.

Dabei kann die Recherche auch ausgeweitet werden z.B. auf „Influencer“ die in der IT-Branche tätig sind.

Hierzu gibt auf dieser Seite unter „YouTuber“ mehrere die ich empfehlen kann.

Denn diese können dies nicht nur erklären, sondern zeigen auch praktische Beispiele, wie Hacking Angriffe funktionieren und welche Maßnahmen ergriffen werden können.

Schulungen und Awarness Trainings

Allerdings kannst du auch andere Angebote wahrnehmen wie z.B. Schulungen für die du dich interessierst oder noch besser….nimm an der „Informationssicherheit und Datenschutz“ Awarness Schulung in deinem Unternehmen teil.

Die Voraussetzung hier ist natürlich, dass in deinem Unternehmen eine solche Schulung Angeboten wird und meistens werden diese Awarness Trainings auch mit Simulationen bestückt.

Dass bedeutet, du wirst im Laufe deiner Betriebszugehörigkeit getestet, natürlich anonymisiert und bekommst dann auch das Feedback ob du den Test bestanden hast.

In kleineren Unternehmen ist so was untypisch, da hier Kosten und Nutzen zu weit auseinander gehen, doch Fragen schadet nicht!

Nutze eine Passwordmanager

Von diesem Tool hast du vermutlich schon gehört und wenn nicht, gibt es hier eine kurze Erklärung was das ist und wieso es wichtig für dich sein muss.

Ein Password Manager ist eine Software, in der du deine Passwörter & Login Daten speicherst.

Der Unterschied zum Postit Zettel ist, dass es zum einen digital passiert und diese Software deine Daten verschlüsselt ablegt.

Der Vorteil für dich: du benötigst „nur“ ein „Master-Passwort“ um an alle Passwörter zu kommen.

Hierdurch ist es dir also möglich, für jedes Login, dass du hast, ein eigenes und einzigartiges Passwort vergeben kannst, ohne dir Gedanken machen zu müssen es dir zu merken.

Denn wie wir alle wissen, ist die Empfehlung immer verschiedene Passwörter zu verwenden.

Die meisten Passwort Manager kommen im Übrigen auch mit einem Passwort Generator, bedeutet dein Tool erstellt die Passwörter für dich.

Schütze deine digitale Identität also mit einer sicheren Passwort Verwaltung.

Passwort Manager die du dir hierzu ansehen kannst sind:

Eine Vertiefung zu diesem Thema kommt in einem eigenen Beitrag und wird hier an dieser Stelle verlinkt, sobald dieser Online geht.
Dabei werden sowohl Self Hosting Optionen als auch das „Double Blind“ Verfahren besprochen.

Richte Multi-Faktor-Authentifizierung ein wo möglich

Die Multi-Faktor-Authentifizierung (kurz MFA) ist, wie es der Name schon vermuten mag eine Authentifizierung mit mehr als einem Faktor.

Dabei betrachtet man meistens den Benutzernamen+Kennwort als einen Faktor gemeinsam, da der Benutzername meist leicht herauszufinden ist.

Der Sinn des MFA ist es also, deine Accounts mit mehr als nur einem Passwort abzusichern.

Dabei gibt es verschiedene Möglichkeiten, die auch technisch verschieden sicher ist.

Jetzt ist wichtig zu erwähnen, dass du streng genommen Multi-Faktor-Authentifizierung bereits kennst, sofern du Online Banking verwendest.

Hier ist das Prinzip, dass du dein Login zwar mit einer Kennung aus Benutzername und Kennwort vornehmen kannst, jedoch musst du dein Login regelmäßig durch eine SMS-TAN oder Push-TAN bestätigen.

Selbst wenn du das getan hast, musst du bei Überweisungen immer eine neu generierte TAN zur Bestätigung eingeben.

Es gibt mehre Arten von MFA, doch die Gängigsten sind:

• OTP (One Time Pass)
• Telefon Anruf mit Bestätigungscode
• SMS Code
• Security Key

Es gibt natürlich noch mehr, doch die genannten 4 sind am weitesten verbreitet.

Die einfachste Art wird der Telefonanruf oder SMS Code sein.

Alleine damit kannst du dich absichern und gewinnst mehr Sicherheit.

Bei den meisten Diensten im Internet kannst du auch, nachdem du dich mittels Multi-Faktor-Authentifizierung einloggen konntest, bestätigen, dass an dem Gerät für x Tage, meist 30 Tage, nicht mehr nachgefragt wird.

Welche Unterschiede die verschiedenen Optionen haben, wird auch hier in einem eigenen Beitrag erläutert, dieser wird an dieser Stelle verlinkt, sobald er fertig gestellt ist.

Qullennachweis/Glosar:

Inhaltlich:

https://de.wikipedia.org/wiki/Hacker

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/Passwort-Manager/passwort-manager_node.html
https://www.heise.de/download/specials/Passwort-Manager-Tipps-Tools-fuer-die-Passwort-Verwaltung-6033009
https://www.security-insider.de/was-ist-ein-passwort-manager-a-582834/
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Zwei-Faktor-Authentisierung/zwei-faktor-authentisierung_node.html
https://www.heise.de/hintergrund/Multi-Faktor-Authentifizierung-Methoden-und-Dienstleister-4402436.htm
lhttps://www.security-insider.de/was-ist-multi-faktor-authentifizierung-mfa-a-631486/

Bilder:

https://www.pexels.com/photo/crop-cyber-spy-hacking-system-while-typing-on-laptop-5935794/
https://www.pngegg.com/en/png-ndpwt
https://www.cleanpng.com/png-mazda-ispy-customer-3287190/
https://www.pngegg.com/en/png-wezve
https://www.cleanpng.com/png-identity-theft-phishing-internet-clip-art-identity-2684015/
https://imgflip.com/i/7ulc62
https://www.cleanpng.com/png-duckduckgo-web-search-engine-google-search-web-bro-2216112/
https://www.cleanpng.com/png-web-development-web-design-logo-website-707817/
https://www.cleanpng.com/png-united-states-youtube-logo-youtube-play-button-tra-616912/
https://commons.wikimedia.org/wiki/File:Startpage.com_logo.svg
https://de.wikipedia.org/wiki/Datei:Qwant_new_logo_2018.svg
https://www.deutschland-startet.de/wp-content/themes/freestyle/AIT/Framework/Libs/timthumb/timthumb.php?src=https://www.deutschland-startet.de/wp-content/uploads/2022/12/training-3185170_1920-2-1-1.jpg&w=612&h=330
https://www.pngegg.com/en/png-dilim
https://en.wikipedia.org/wiki/File:Bitwarden_logo.svg
https://proton.me/pass
https://www.pngegg.com/en/png-ccbfv
https://www.pngegg.com/en/png-nmvtl
https://www.pngegg.com/en/png-patsr
https://www.pngegg.com/en/png-dhrlo
https://www.cleanpng.com/png-threat-computer-security-internet-security-securit-361766
https://hund-client-logos.s3.amazonaws.com/uploads/5e81e1e910bdfb739a1300da-eb01b2b1-46ee-4117-8692-dbc79bbc809f.png

The post Think before you Click! So greifen dich Hacker an! first appeared on Dominik's Blog.