Sie sind überall, Webseiten-Zertifikate. Dabei reden wir jedoch nicht von Zertifizierungen, sondern den Zertifikaten die dafür verantwortlich sind, dass in deinem Browser ein „https://“ möglich ist.

Dabei sprechen wir darüber warum es diese Zertifikate gibt, wie diese funktionieren und was man dafür braucht.
Doch Zertifikate sind nicht nur für das Internet wichtig, sondern können dir und deinem Home-Lab eine Stütze sein.

Denn: Zertifikate bringen Sicherheitsgewinne mit sich.

Der Grund für Zertifikate

Der Grund für diese Zertifikate (Certificates) ist, um mehr Sicherheit für alle zu gewährleisten. Das gilt sowohl für die eigenen internen Netzwerke, als auch oder sogar besonders für das Internet.

Denn woher weißt du, ob die Webseite die du da besuchst auch wirklich die Richtige ist?
Genau, du weißt es nicht, da sich jeder als jeder ausgeben könnte.

Hier kommen Zertifikate ins Spiel, welche die Identität eines Dienstes oder Webseite bestätigt.
Es geht also bei Certificates darum eine Möglichkeit zu schaffen, dass man verifizieren kann, damit z.B. die Webseite, die wie deine Bank aussieht, auch wirklich deine Bank ist.

Ebenfalls sind Zertifikate für Webdienste (Internetseiten) erforderlich, damit du eine verschlüsselte Verbindung zu diesen Webseiten aufbauen kannst.

So funktionieren Zertifikate

Das ganze Thema mit Certificates funktioniert vereinfacht gesagt wie folgt:
Jemand betreibt einen Dienst wie z.B. eine Webseite und möchte nun bestätigten lassen, dass der Dienst unter „deinerDomain.de“ erreichbar und vertrauenswürdig ist.

Hierzu muss der Betreiber des Dienstes ein Zertifikat erwerben, hierzu später mehr, welches von einem Dritten vergeben wird.
Dieser Dritte wiederum vergibt das Certificate nur, wenn der Nachweis erbracht wurde, dass einem dieser Dienst gehört.

Hierzu können verschiedene Methoden zum Einsatz kommen.
Doch viel wichtiger, DEINE Geräte vertrauen allen diesen Dritten.
Denn diese nennt man „Certificate authorities“ kurz CA.
Und hier gibt es noch sogenannte „Root Certificate authorities“, welche die „Stammstruktur“ bieten.

Diese Authorities werden nicht nur regelmäßig geprüft (auditiert), sondern haben auch einige Auflagen, die diese erfüllen müssen.
Der Grund ist, dass wenn ein dieser CA’s komprimentiert aká gehackt wird, entsteht ein massiver Schaden für alle.
Denn das Prinzip des Vertrauens wäre dadurch aufgebrochen.

Beispiel diese Webseite

Ein Beispiel hier ist meine eigene Webseite.
Wenn du dir das Zertifikat ansehen willst musst du lediglich auf das Schloss-Icon neben dem „https://“ klicken und dann erneut auf das Schloss-Icon drauf klicken. Dann erhältst du die Option das Zertifikat dir anzusehen. Anbei ein Screenshot wie dieser Weg aussehen kann:

Je nach Browser kann die Ansicht variieren, daher werde ich noch eine vereinfachte Ansicht beifügen:

Du siehst im Zertifizierungspfad, dass meine Webseite: dominikkleidt.de ganz unten ist.
Das liegt daran, dass ich die Echtheit der Seite verifizieren musste.
Hierzu habe ich mich der kostenlosen CA Let’s Encrypt bedient, welche Zweistufig aufgebaut ist.
Du siehst, dass über meinem Certificate ein R3 steht, das ist die R3 Certificate authority von Let’s Encrypt.
Diese nimmt meine Anfrage an und signiert mir meine Anfrage, sofern ich denn die Voraussetzungen erfülle.

Doch an sich vertrauen wir der R3 gar nicht, wir vertrauen der Certificate authority über der R3, nähmlich der ISRG Root X1, welche ebenfalls von Let’s Encrypt ist.
Bedeutet, wir vertrauen der ISRG Root X1, welche die R3 bereits als vertrauenswürdig eingestuft hat.
Das kann man sich vorstellen wie: du kennst die Person nicht, doch dein Freund kennt diese Person und „bürgt“ für diese.

Diese Darstellung ist natürlich vereinfacht betrachtet!

Du kannst Zertifikate selbst erzeugen

Ja, du kannst selbst Zertifikate erzeugen. Dabei kommt es darauf an, für welchen Verwendungszweck du diese verwenden möchtest.

Du kannst zum einen sogenannte „selbst signierte“ (engl- self-signed) Zertifikate erstellen, das kann für Testszenarien sehr bequem sein und erfordert wenig Aufwand.
Der Nachteil ist natürlich, dass du selbst eine Art Ausweis ausgestellt hast, ohne das z.B. das Bürgeramt die Echtheit bestätigt hat.
Bedeutet, du musst auf jedem Gerät dieses Zertifikat manuell auf „vertrauenswürdig“ (engl. trusted) setzen.
Wie gesagt in eigenen Umgebungen und vor allem zum testen reicht das aus!

Ebenfalls für den internen Einsatz kannst du eine eigene Certificate authority (CA) aufbauen.
Hierzu musst du einen Server betreiben (kann auch mini PC sein 😉 ), der die nötigen Tools und Rollen hat, um solche Zertifikate zu erstellen bzw. zu signieren.
Der Vorteil ist, dass du nur einem Zertifikat trauen musst, nämlich dem deiner eigenen CA.
Jedoch kann dies beim Einsatz mit extern zu Problemen führen, da nicht jeder eine „unbekannte externe“ Certificate authority auf vertrauenswürdig stellen möchte.
Das kann beim Thema Mail Verschlüsslung schonmal ärgerlich sein.

Nicht direkt selbst erzeugt jedoch kostenlos und für jeden mit eigener Domain nutzbar ist Let’s Encrypt.
Hier werden einem sogar einige Tools wie der certbot an die Hand gegeben um den Prozess so einfach und angenehm wie möglich zu machen.
Und das Beste, man kann seine Zertifikate automatisch verlängern lassen.

The post Alles, was du über Webseiten-Zertifikate und Online-Sicherheit wissen musst first appeared on Dominik's Blog.

Das Internet ist groß und entwickelt sich immer mehr zum „nächsten“ Fernsehen.
Denn früher gab es wenig bis gar keine Werbung im Internet.
Dies hat sich jedoch gewandelt und es sind über die Zeit Interessenskonflikte entstanden.

In diesem Beitrag schauen wir uns an wie sich kostenlose Dienste finanzieren, wieso die „lukrativste“ Maßnahme nicht so gut ankommt und was man tun kann um für alle das Beste herauszuholen

Wie finanzieren sich „kostenlose“ Dienste?

Mal schnell „googlen“ oder was auf YouTube ansehen oder lieber die kostenlose Version Spotify nutzen um Geld zu sparen.

Wir kennen das alle, doch wenn es kostenlose Versionen gibt, wieso dann bezahlen?
Es liegt auf der Hand, es werden Features eingeschränkt oder gar nicht erst angeboten.

Doch das Wichtigste überhaupt, wenn es kostenlos ist, wird Werbung (engl. Ad) geschaltet.

Das Prinzip ist nicht neu, ich erinnere an die Unterschiede zwischen dem öffentlichen rechtlichen Sendern (z.B. ARD und ZDF) und den privaten Senden(z.B. RTL und Sat.1).

Beim öffentlich Rechtlichen läuft entweder gar keine Werbung oder nur zwischen verschiedenen Sendungen ganz kurz. Dabei wird jedoch das eigene Programm beworben!

Bei privaten Senden wird mitten in der Sendung eine Werbeunterbrechung eingeblendet, da die Shows/Sender ihr Geld durch Werbungseinnahmen (engl. Ad revenue) erhalten.

Jetzt ist es so, dass dies auch schon länger im Internet Einzug genommen hat.

Sei es die Einblendung vor oder während einem YouTube Video, eines Livestreams oder auch mit Werbebannern.

Es gibt verschiedenste Möglichkeiten für Werbung.

Und das macht ja auch Sinn, denn jeder Dienst oder auch Content Creator kann nicht von Luft, Liebe und Spaß leben, sondern braucht in unserer Welt Kapital und das muss irgendwoher kommen.

Das Problem mit Werbung im Internet

Ja klar Werbung ist nervig und dennoch ein Übel das notwendig ist, um diese Strukturen überhaupt möglich zu machen.

Doch Ad’s haben grade im digitalen Zeitalter viel mehr Möglichkeiten.

Denn diese können dich tracken und ein sogenanntes Profil von dir erstellen.

Auch ist es nicht hilfreich, dass es verschiedene Phasen gab, in denen einem entweder Schadsoftware (Malware, Spyware etc.) untergejubelt wurde oder irgendwelche Betrüger (engl. Scammer) Werbung geschaltet haben, damit du in Ihre Gruppe kommst oder ihr Coaching kaufst.

Natürlich sind die 80.000 Toolbars die im Internet Browser installiert waren auch nur reiner Zufall *hust*

Was auch auffällig ist, ist, dass immer mehr Werbung im Internet auftaucht und somit die positive Erfahrung sinkt.

Denn wenn mehr Werbung als Inhalt vorhanden ist, wird es schwierig den eigentlichen Sinn einer Seite noch zu nutzen.

Doch es ist nicht nur die Anzahl der Werbung die angezeigt wird, die einen einschränkt.

Es gibt Seiten/Dienste die dich zwingen Werbung anzusehen bevor du dich wieder dem Inhalt widmen kannst.

Das Ganze kennt man besonders gut aus dem Mobile Gaming Markt, bei den meisten „Free to Play“ Spielen wird einem regelmäßig Werbung eingeblendet und du musst diese mindestens ein paar Sekunden schauen oder sogar komplett.

Wichtig: Ich will hiermit das Konzept der Werbefinanzierung nicht schlecht reden und es gibt auch positive Beispiele, doch die Negativen sind leider häufiger anzutreffen.

Das Hauptproblem mit Ad’s ist, das diese einen in der heutigen Zeit so gut wie immer tracken.

Der Grund ist klar, je genauer die Plattformen oder Werbetreiber wissen was dich interessiert, desto besser können diese die Werbung auf dich zuschneiden damit du kaufst.

Frei nach dem Motto: Know your costumer

Ein Beispiel zum Tracking im Internet

Du kennst es, du hast entweder im realen Leben oder auf Social Media irgendwas über das Thema verreisen besprochen.

In wenigen Minuten wird dir überall im Internet Werbung zum verreisen angezeigt.

Und das ist nur ein kleines Beispiel.

Home Assistenten sind genauso, wenn du z.B. eine Alexa hast, hört diese immer den Raum ab.

Auch wenn du diese grade nicht mit einem Signalwort nutzt.

Bedeutet, dass über dich Daten gesammelt werden und ein identifizierbares Profil angelegt wird.

Daher sind diese Assistenten auch so verhältnismäßig günstig.

Adblocker/Scriptblocker

Solche Beispiele sind mit der ursprüngliche Grund für Adblocker und Scriptblocker.

Die beiden Begriffe sind durchaus ähnlich und unterschiedlich zu gleich.

Ein Adblocker blockiert hauptsächlich Werbung.

Das kann unterschiedlich funktionieren, die meisten arbeiten mit so genannten Listen von „Ad-Domains“.

Scriptblocker wiederrum können zwar auch Werbung blockieren, sind jedoch generell auf das Thema Scripte aus.

Denn wenn du eine Webseite aufrufst, kann es sein, dass im Hintergrund weitere Seiten geladen werden.

Das kann für Funktionalitäten sein, Werbung, Metricen (Insights), CDN und vieles mehr.

Das Wichtigste ist, dass beide die Webseite, die du lädst, verändern.

Werbung wird raus gefiltert und gar nicht an dich weiter geleitet.

Der Vorteil hier:
Genuss von werbefreien Inhalten und ohne Werbung auch kein Tracking.

Bedeutet du bist geschützter vor Tracking, Maleware und auch Scams.(Betrug)

Für den Verbraucher also perfekt!

Die Gründe können dabei verschiedenst sein, warum ein Blocker eingesetzt wird.

Der Eine macht es um keine Werbung zu sehen.

Andere um weniger getrackt werden zu können.

Der Nächste damit weniger Betrugsmaschen angezeigt werden.

Oder auch, weil ZUVIEL Werbung auf einer Webseite geschaltet ist.

Denn Adblocker blockieren teilweise auch Popups, dass sind diese tollen Fenster die einem direkt beim Laden der Seite auf den Bildschirm angezeigt werden.

Adblocker meiner Wahl: uBlock Origin

Scriptblocker meiner Wahl: NoScript

Folgen von Adblocking

Wie bereits erwähnt, finanzieren sich kostenlose Dienste/Webseiten im Internet über Werbung.

Durch Adblocker bleiben diese Einnahmen aus.

Denn entweder wird pro Click bezahlt oder pro Impression.

Und dass die Werbung nicht geladen wurde, können Werbetreibende feststellen.

Das liegt unter anderem daran, dass alleine damit dein Webbrowser mit den Diensten kommunizieren kann, Informationen mitteilen muss.

Bedeutet, dass Webseiten-Betreiber mehr Werbung schalten um die Verluste auszugleichen oder auch Anti-Adblocker Mechanismen einsetzen.

Dabei ist es eine Art Wettrüsten zwischen Adbblockern und Anti-Adblockern.

Und klar Anti-Adblocker müssen deinen Browser untersuchen, was im ersten Schritt nach einen Verstoß gegen den Datenschutz aussieht.

Leider ist dem nicht so.

Denn es wird faktisch nicht dein Browser untersucht, sondern es wird überprüft ob die Webseite, die dir angezeigt wird, „korrekt“ ausgeliefert wurde.

In diesem Fall würde „korrekt“ auch mit Werbung heißen.

Die Folge ist also, dass du ausgesperrt werden kannst, sofern die Adblocker-Erkennungsmechanismen gut genug sind.

Was auch rechtlich OK ist, denn keiner muss seine Dienste kostenlos anbieten.

Bedeutet also, das Plattformen teilweise ums überleben kämpfen, da die meisten Adblocker erstmal alles blockieren.

Zwar ist Whitelisting möglich, doch die meisten User machen das nicht.

Daher bleiben den Meisten dann nur noch die Aussperrung von Usern oder andere Finanzierungsmodelle.

Finanzierung über Premium

Wenn es mit Werbefinanzierung nicht geht, ist schnell an eine „Premium“ bzw. bezahlte Varriante gedacht.

Der Vorteil liegt auf der Hand.

Die Betreiber des Dienstes rechnen anhand von Metricen/Zahlen aus wieviel ein User zahlen müsste, damit man sich eine Werbefreie Version der Seite leisten könnte.

Dieser Beitrag kann natürlich variieren.

Ein bekanntes Beispiel sind YouTube und Spotify.

Beide bieten ihren Dienst kostenfrei an, jedoch mit Werbung.

Ebenfalls gibt es entweder einen oder mehrere mögliche Premium-Tarife, welche einen werbefreien Genuss versprechen.

Hinzukommen dann weitere Features, die mit einem „kostenlosen“ Konto nicht möglich sind.

Bei der „kostenfreien“ Variante finanziert man also den Dienst und z.B. die Content Creator dadurch, dass Werbung betrachtet wird.

Wenn die „Premium“ Variante genutzt wird, finanziert man durch seinen monatlichen oder jährlichen Beitrag.

Also ein Win-Win für alle?
Nicht wirklich, denn in den heutigen Zeiten gibt es fast ausschließlich Abo-Modelle.

Klar solche Modelle sind beim Thema werbefrei attraktiv und auch sinnvoll!

Doch ich erinnere mich noch an Zeiten, da hat man einmalig Betrag X ausgegeben und hatte seine Ruhe.

Beispiel hier Adobe Creative Cloud.

Früher konnte man die Produkte kaufen, es war teuer jedoch ohne monatliche Kosten.

Inzwischen nur noch Abo.

Dann kommen andere Dienste hinzu, wie Prime, Netflix, Fitness Studio etc.

Da kommt eine Summe zusammen.

Bedeutet, bei einer „Premium“ Finanzierung muss man für sich selbst abwägen ob man sich das leisten möchte und kann.

Persönliche Meinung

Aus meiner Sicht kann man alle Beteiligten verstehen.

Sei es Content Creator, Plattform Betreiber und auch den Verbraucher.

Was wir für eine tatsächliche Lösung brauchen ist, dass sich die „Lager“ zusammensetzen und einigen.

Wieso?

Weil Werbung weiterhin wichtig ist und nicht ersetzbar für das Internet.

Die Finanzierung ohne Werbeeinnahmen ist für viele schlicht nicht möglich.

Doch damit mehr Leute Werbung schauen wollen, müssen 3 Dinge passieren.

1) Keine Profilbildung, Tracking etc. durch Werbung mehr (mehr Datenschutz)

2) Weniger Werbung z.B. YouTube ist bei einigen Creatorn mit Werbung ungenießbar

3) Adblocker sollten es auch technisch weniger versierten Leuten, mittels Pop-up ermöglichen Werbungen zuzulassen. Gerne mit Grundangabe.

Auch die Premium Mitgliedschaften sind eine Option, meist jedoch für eher etablierte Plattformen.

Das Internet gehört uns allen und daher sollten wir auch alle gemeinsam etwas daran tun, damit es für alle besser wird.

Dabei sind sowohl Plattformbetreiber, Adblockentwickler als auch Verbraucher gefragt.

Was ist deine Meinung hierzu?

Zum Thema Tracking sehe auch meinen Beitrag zum Browsern

The post Balancing Ads: Free Services, Tracking und Ad Blockers first appeared on Dominik's Blog.

Dieser Beitrag soll sich mit dem grundlegenden Gedanken befassen, ob man gewisse Dienste selbst hosten, also betreiben soll, oder ob man hier besser hosten lassen sollte.

Dabei sprechen wir über Vor- und Nachteile beider Ansätze!
Wichtig: am Ende muss dies jeder für sich persönlich beurteilen.

Dieser Beitrag soll einem nur die Informationen vermitteln um eine fundierte Entscheidung zu treffen.

Was ist Hosting?

Beim Hosting allgemein geht es um das Betreiben und somit Bereitstellen von Diensten in einem Netzwerk oder im Internet.
Diese Dienste sind zahlreich und können nahezu alles sein.
Von einem eigenen DNS Server, zu einem eigenen VPN oder auch eigene Mailserver sind möglich.
Wie erwähnt sind die Optionen also nahezu unendlich.

Welche Optionen gibt es den?

Stark vereinfacht gesagt gibt es 3 bzw. 4 Grundoptionen.
Wir werden uns in diesem Beitrag konkret 3 Optionen ansehen, da auch der Privatsphäre Aspekt mit betrachtet werden soll. Bei Option 4 würde es sich um einen Managed Service handeln, bedeutet dein Service Anbieter übernimmt Wartung, Konfiguration und alles, daher betrachten wir diese Option nicht.

Die 3 Optionen, die wir betrachten lauten:

• Do it yourself – Home Lab Edition
• Configure it yourself– Hosted Edition
• Make it for me – Drittanbieter Edition

Do it yourself – Self Hosted aka Home Lab Edition

Bei dieser Option kümmerst du dich um alles!
Bedeutet, du besorgst die Hardware, die du auch bei dir zu Hause betreiben willst.
Auch für das Netzwerk und die Anbindung deines Dienstes im Internet bist du selbst verantwortlich.

Das heißt, du kannst jede Hardware hernehmen, wie einen PC den du über hast, alte Hardware oder auch einen Raspberry Pi, um deine Dienste zu betreiben.

Du hast die volle Flexibilität, doch z.B. wenn du deine Webseite auf deinen eigenen Servern betriebst, ist diese Webseite auch nicht erreichbar, wenn dein Internet ausfällt oder du einen Stromausfall hast.

Auch für Backup & Restore Prozesse bist du komplett eigenverantwortlich.

Ebenfalls benötigst du Platz um deine Server auch abzustellen und anzuschließen.

Bei Wartungen und Updates die schief gehen können stehst du auch alleine da.

Configure it yourself – Hosted Edition

Diese Variante wird auch gerne als Cloud bezeichnet, doch vergiss nicht es gibt keine Cloud.

Es ist nur der Rechner eines Anderen.

Hier lagern wir Teile unserer Verantwortung aus wie z.B. Strom, Netzwerkanbindung und auch die generellen Ressourcen wie CPU, RAM und Speicher.

Bei einem reinem Hosting ohne Managed Service ist der Vorteil, dass man die unangenehmen Teile der „Home Lab Edition“ an jemand anderen auslagert und trotzdem die volle Verantwortung und Kontrolle behält.

Ebenso können weitere Dienste optional dazu gebucht werden, wie z.B. Daily Backups.

Bei einer „Hosted, jedoch nicht Managend“- Variante hast du auch den Vorteil, dass du den Server so absichern und verschlüsseln kannst, dass dein Hosting Provider keinen Einblick auf deinen Server hat.

Make it for me – Drittanbieter Edition

Hierbei geht es konkret darum, sich für einen speziellen Anbieter zu entscheiden, der in dem Feld, das du suchst, seine Dienste anbietet.

Dabei geht es darum, dass man z.B. mehr Privacy beim Mailing haben möchte, jedoch die Aufwände für das Selbsthosten nicht betreiben möchte.

Auch kann diese Möglichkeit kosteneffizienter sein, je nachdem worum es geht.

Hinzu kommt, wenn man einen Dienstleister ins Boot nimmt, der dies täglich macht, muss man sein Wissen nicht up to date halten, da einen der Anbieter an die Hand nimmt und auch erklärt, wie man neue Best Practices umsetzen kann.

Natürlich stellt sich hier dann die Vertrauensfrage, ob man sich auf diese Anbieter verlassen kann.

Was ist denn besser?

„Was besser ist“, kann nicht genau fest gemacht werden. Hierzu kommt es darauf wie die persönlichen Fähigkeiten und Prioritäten sind.

Für jemanden, der in das Thema einsteigen möchte, kann es schon ausreichen einen Service zu nutzen, es kann jedoch auch sein, dass man lieber in die Tiefe gehen will.

Daher werden wir einmal Unterscheiden für Sicherheit und für Privatspähre.

Am Ende kommt meine persönliche Meinung.

Für Sicherheit

Als Erstes werden die Methoden aus der IT-Security-Sicht betrachtet.

Dabei wird die „beste“ Methode zu erst genannt und die „Aufwändigste“ als letztes.

Es geht also hier darum mit welche Methode am besten „maximale“ Sicherheit erreicht wird.

Platz 1. Make it for me – Drittanbieter Edition

Wenn man einen Drittanbieter Service nutzt, ist der Vorteil das Experten, die damit ihr täglich Brot verdienen, zu Seite stehen.
Wir gehen bei der Platzierung von bezahlten Drittanbietern aus, also nicht von „kostenlosen“ und „Free to use“ Anbieter.

Bedeutet, wenn etwas passiert, was man nicht versteht, kann man Hilfe/Support erhalten.
Dabei ist der Unterschied zum „Managed Service“, dass man im Managed Service selbst keine Hand mehr anlegt und auch technisch nicht so tief mitgenommen wird.

Bei einem Anbieter wie z.B. Proton wird man mitgenommen, sei es durch den Support, die Community als auch durch den Blog.

Man kann also mehr Wissen und somit Awarness aufbauen.

Hinzukommt das man sich bewusst auch gegen Features entscheiden kann, oder aktiv auch andere Features aktivieren kann.

Es ist ein guter Einstieg aus meiner Sicht

Platz 2. Configure it yourself – Hosted Edition

Bei der hast du den Vorteil, dass du wie bereits erwähnt, die volle Kontrolle behältst, jedoch die Infrastruktur nicht bereitstellen musst.

Bedeutet, du kannst für spezielle Sicherheit Features Hilfe von deinem Hoster beanspruchen und hast nicht das Problem, dass du dich mit Internet und Stromausfällen ärgern musst.

Ebenfalls, da du die volle Verantwortung trägst, baust du das Wissen und die Awarness für bestimmte Themen auf.

Durch die mehr Eigenverantwortung musst du dich allerdings um das Patchmanagment (Updatemanagment) kümmern.

Bedeutet wenn du einen Server hostest und diesen nicht pflegst, verlierst du irgendwann deinen Sicherheitsgewinn.

Ebenfalls ist dein Server immer von überall erreichbar, bedeutet du musst dich darum kümmern den Server abzusichern. Das ist zwar an sich nicht schwer, doch der Teufel steckt bekanntlich im Detail.

Platz 3. Do it yourself – Home Lab Edition

Die Home Lab Varriante ist auf den letzten Platz, dabei will ich nicht sagen das die Home Lab Edition nicht sicher sein kann.

Hierbei geht es eher um weitere Faktoren wie Infrastruktur.
Also wenn dein Internet ausfällt, der Strom ausfällt oder deine Hardware kaputt geht.

Denn hier gibt es keinen Retter, wenn du kein Backup hast.

Bedeutet frei nach dem Motto: „Kein Backup? Kein Mitleid! KEIN RESTORE!“

Auch kann man hier nicht auf die Erfahrung von „professionellen“ Anbietern zurückgreifen, sondern muss dieses Wissen selber haben, oder jemanden finden der einem Hilft. (Privatperson)

Hinzu kommen die Nachteile der Hosted Edition also Patchmanangment.

Für Privatsphäre

Als nächstes betrachten wir die Varianten aus der Privatspähre-Sicht.

Bedeutet hier kann Security vernachlässigt werden solange folgendes Motto erfüllt ist:
„Own your data!“

Platz 1. Do it yourself – Home Lab Edition

Für Privatsphäre kann nur eine Do it yourself Methode an der Spitze sein.
Dabei wird die Home Lab Edition die Beste sein, denn hier ist alles in Räumlichkeiten die dir gehören (gekauft oder gemietet).

Somit hat kein Dritter Zugriff auf deine Daten, sofern die notwendigen Sicherheitsvorkehrungen getroffen wurden.

Denn auch wenn du einen Hoster aus seinem angemieteten Server „aussperren“ kannst, theoretisch kann der Anbieter genötigt werden, ein Abbild deines Servers bereit zustellen.

Hierfür kann es sein, dass eine Art „Notfall“ Zugriff eingerichtet ist, denn du nicht abstellen kannst.

Auch wenn man bei diesem Gedanken schmunzeln muss, kann sowas der Fall sein, denn du hast ja nicht die Kontrolle über die Infrastruktur des Hosters.

Daher ist die Home Lab oder Hoste it yourself Methode die Beste für Privatsphäre, da du die volle und umfassende Kontrolle hast.

Platz 2. Configure it yourself – Hosted Edition

Hier hast du den Vorteil wie schon vorher erwähnt das du dich nicht um die komplette Infrastruktur kümmern musst. Bedeutet Strom, Internet Anbindung und weitere optionale Features können dir abgenommen werden.

Jedoch musst du dir auch Gedanken machen, inwiefern du deinem Hoster vertrauen willst.

Solltest du diesem nicht vertrauen oder nicht vertrauen wollen, musst du ebenfalls schauen, dass du deine Daten so verschlüsselst, dass niemand Einsicht hat, außer dir und die mit denen du die Daten teilen möchtest.

Auch hier kannst du Maßnahmen ergreifen, wichtig ist, dass du auch hier darauf achtest, dass du einen WHOIS-Schutz hast, bedeutet, dass keiner einfach per Reverse Suche herausfindet, dass der Server oder die Domäne dir gehört.

Platz 3. Make it for me – Drittanbieter Edition

Ja Drittanbieter, landen auf dem dritten Platz.

Das liegt daran, dass man bei diesen Diensten voll auf den Anbieter setzt und darauf vertrauen muss, dass die offiziellen „Features“ wie Ende-zu-Ende Verschlüsslung wahr sind.

Dass der Anbieter keine Hintertürchen eingebaut hat, um doch an Daten von dir zu kommen.

Das ist unter dem „Own your Data“ Gedanken natürlich nicht so schlau.

Meine persönliche Meinung

Nach meiner Meinung muss hier jeder für sich selbst wissen, welche Mischung man möchte.

Denn jeder hat andere Ansprüche und kann z.B. damit leben das man Mailing über einen Drittanbieter wie z.B. ProtonMail verwendet.

Dafür dann andere Dinge wie eine Nextcloud lieber zu Hause hostet.

Hier gibt es also kein konkretes richtig oder falsch, sondern eine persönliche Präferenz.

Unterm Strich geht NICHTS über den eigenen Server, was es Privatsphäre angeht.
Allerdings ist nicht jeder der Verantwortung gewachsen, einen oder mehrere Server selbst zu betreiben.

Oder man möchte sich lediglich nicht auch noch in seiner Freizeit damit befassen, wenn man selber beruflich damit zu tun hat.

Ich persönlich habe mich für eine Mischung entschieden, meine Webseite z.B. ist gehostet von Hostinger.

Daher überlege dir, ob du die Verantwortung selbst in die Hand nehmen möchtest, oder lieber an die Hand genommen werden willst.

Du kannst ja auch erst mit dem einen anfangen und wenn du merkst, dass es nichts für dich ist, dann später einfach auf eine andere Option umsteigen.

Wie ist deine Meinung?
Lass es mich wissen!

The post Ist Hosting die richtige Wahl für dich? first appeared on Dominik's Blog.

Das Ziel dieses Beitrages ist es zu verdeutlichen, wieso jeder einen Password Manager braucht.

Dabei sprechen wir darüber, was ein Password Manager ist und wieso sowohl Cloud als auch Lokale Password Manager geeignet sind.

Am Ende werde ich auch meine persönliche Meinung hierzu abgeben.

Was ist ein Password Manager?

Ein Password Manager ist, wie es der Name erahnen lässt, eine Software die für dich deine Passwörter speichert.

Denn wie alle wissen und auch hoffentlich tun, soll man das gleiche Passwort nicht auf mehreren Plattformen gleichzeitig verwenden.

Der Grund ist klar, mit einem einzigen Passwort kann man dann auf X Plattformen zugreifen und dir schaden.

Ein Password Manager fungiert wie folgt:

In diesem legst du Einträge ab, teilweise automatisiert oder auch manuell.

Diese Einträge beinhalten deinen Benutzernamen und das Passwort zu diesem Benutzer.

Damit jetzt nicht jeder auf diese Datenbank Zugriff hat, wird diese mit einem möglichst komplexen und langen Passwort abgesichert.

Somit hast du einen großen Vorteil, du brauchst dir nur ein einziges Passwort merken und kannst dir für jede andere Plattform ein eigenes Passwort ausdenken oder auch generieren lassen.

Die meisten Password Manager kommen nämlich mit einem Password Generator daher, wodurch du dir auch kein Passwort mehr ausdenken musst.

Ebenfalls lassen sich die Password Manager mit einem MFA (Mehrfaktor) zusätzlich absichern, das ist ratsam da grade durch die Empfindlichkeit der Daten, diese besonders schützenswert sind.

Cloud vs lokal

Es gibt grundsätzlich zwei Varrianten von Password Manager.

Einmal die, welche in der Cloud gehostet werden und die welche man lokal betreiben kann.

Es gibt auch Mischmodelle, welche dir beides ermöglichen.

Cloud

Password Manager aus der Cloud sind äußerst bekannt und sind sowohl Fluch als auch Segen.

Denn wenn diese in der Cloud sind, stehen diese auch im Internet, zwar abgesichert durch deinen Benutzernamen, Kennwort und hoffentlich einen zweiten Faktor, dennoch sind diese erstmal immer angreifbar.

Gleichzeitig ist man davon abhängig, dass der Anbieter seine Infrastruktur im Griff hat, dass bedeutet, dass diese gesichert ist, man also Maßnahmen ergriffen hat, die es einem Hacker nicht ermöglichen, Zugriff zu erlangen, sollte ein Mitarbeiter des Unternehmens gehackt werden.

Prägnantes Beispiel hier Lastpass (Link zum Beitrag).

Dennoch muss man sagen, die ständige Verfügbarkeit hat auch Vorteile, denn wir benötigen meistens unsere Passwörter auch on the go bedeutet nicht nur zu Hause, am PC sondern auch unterwegs am Laptop oder Smartphone.

Hinzu kommt, dass viele Benutzter zwar einen Passwort Manager verwenden sollten, jedoch mit der Verantwortung und Pflege überfordert sind.

Daher sind Cloud Anbieter ein guter Weg als Einstieg oder als Möglichkeit mit wenig Aufwand viel Wirkung zu erzielen.

Lokal aka OnPremise

Lokale Passwort Manager muss man nochmal in zwei eigene Kategorien aufteilen, des gibt lokale Password Manager, die mit einem Server Client Prinzip arbeiten und die, welche lediglich eine verschlüsselte Datei ablegen.

Doch wir bleiben bei der vereinfachten Ansicht, um den Beitrag kompakt und informativ zu halten.

Diese Variante birgt unter anderem den Vorteil, dass diese entweder gar nicht aus dem Internet erreichbar, oder nur durch von einem selbst auferlegten Sicherheitsmaßnahmen erreichbar ist.

Ein Beispiel wäre nur erreichbar per VPN Zugriff.

Allerdings, wie man auch bereits rausließt, hat man mehr Verantwortung und Aufwände mit einem solchen Passwort Manager da diese von einem selbst verwaltet und abgesichert werden müssen.

Somit kann ein Passwort Manager eine kritische Sicherheitslücke haben und weil man nicht daran denkt, wird diese weiterhin offen sein, weil man das System nicht updatet.

Meine persönliche Empfehlungen

Cloud

Proton Pass

ProtonPass ist von Proton, und daher Teil der Proton Privacy Suite.

ProtonPass überzeugt nicht nur, weil es ein guter Passwort Manager ist, sondern weil ProtonPass mit der Community weiterentwickelt wird.

Dabei nimmt Proton das Feedback der Community ernst und hat bereits eine Feature Roadmap veröffentlicht.

Proton Pass Roadmap

Hinzu kommt das Proton Pass eine kostenlose Version anbietet, welche im Gegensatz zu manch anderen Anbietern, unimlited Devices erlaubt.

Bedeutet, du kannst mit deinem Account so viele Geräte verbinden wie du magst, ohne dass du den Sync deiner Passwörter von einem Device entfernst.

Manche Passoword Manager wollen für dieses Feautre Geld sehen.

Daher Daumen hoch von mir.

Hinzu kommt, dass ProtonPass nicht nur Passwörter speichern kann, sondern Mail Aliase dabei sind.
Sogar in der kostenlose Fassung 10 Stück.
Mail Aliase erlauben die eine Mailadresse zu erstellen, die Mails an deine Mailadresse weiterleitet.

Der Vorteil ist also, dass du nicht immer jedem deine Mail Adresse geben musst.

Falls du den Alias nicht mehr brauchst, weil du registriert bist, kannst du den Alias deaktivieren oder löschen und erhältst keinen Spam.

Du kannst also mit ProtonPass deine Mailadressen schützen.

Falls Mail Aliase dich interessieren, sag gerne Bescheid dann machen wir hierzu einen eigenen Beitrag.

Auch ist ein 2FA Authenticator in Proton Pass in der bezahlten Version bereits integriert, bedeutet, ProtonPass übernimmt den 2ten Faktor für dich, sofern du diesen nutzt.

ProtonPass will ein Identiry Manager sein, der deine Identität schützt.

Bitwarden

Dieser Passwort Manager ist wohl den meisten bekannt und ebenfalls kostenlos verfügbar.

Bitwarden bietet ähnlich wie Proton Pass einen Password Manager mit unlimited Geräten an, und das bereits in der kostenlose Variante.

In der bezahlten Version kommen Sicherheitsfeatures und ein Authenticator (MFA) dazu.

Auch ein Emergency Zugriff kann in der bezahlten Version erstellt werden, für den Fall, dass du dich aussperrst, dafür definitiv Daumen hoch.

Bitwarden hat auch dieses Jahr (2023) ein Rechenzentrum in der EU aufgebaut, damit Unternehmen DSGVO-Konform Bitwarden nutzen können.

Dabei liefert Proton den Enterprise Kunden (kann auch privat gebucht werden) die Option Bitwarden selbst zu hosten.

Bitwarden kommt zwar nicht mit Mail Aliasen daher, möchte jedoch ebenfalls ein umfassender Idenity Manager sein, da nicht nur ein Passwort Generator on Board ist, sondern auch ein Benutzernamen Generator integriert ist.

Die Security Reports liefern Einblicke ob der eigene Account in einem Datenleak betroffen ist oder nicht.

Daher bietet Bitwarden ebenfalls viele Funktionen, die man jedem empfehlen kann.

Lokal

Vaultwarden

Vaultwarden ist ein sogenannter „Fork“ von Bitwarden.

Dieses Projekt ist unabhängig von Bitwarden, daher ist hier der Support über das Vaultwarden Github zu konsultieren.

Ein Vorteil ist, dass Vaultwarden mit den Clients und Addons von Bitwarden kompatibel ist
Das wird dadurch erreicht, das Bitwarden Open-Source ist und die Macher von Vaultwarden diesen Code genommen und ihre eigenen Änderungen vorgenommen haben.

Dabei wird Vaultwarden, ähnlich wie die Enterprise Version von Bitwarden mittels Docker Containern realisiert. Der Vorteil ist, dass die Container die Anwendungen so bereitstellen wie die Entwickler diese auch getestet haben. Wenn ein Dienst als ausfällt, kann dediziert auf den jeweiligen Container geschaut werden.

Passbolt

Passbolt ist ein Passwort Manager der eine kostenlose Variante zum selbst hosten anbietet.

Dabei wird ebenfalls Docker genutzt um die Installation so einfach wie möglich zu gestalten.

Interessant ist hier, dass Passbolt ein etablierter Hersteller ist, der ein gutes Produkt anbietet welches man verwenden kann.

Zusätzliche Sicherheitsmaßnahmen

Double Blind Verfahren

Das zu deutsch „Doppelt Blind Verfahren“ ist ein Vorgehen bei dem man dafür sorgt, dass man selbst und der Passwort Manager jeweils nicht das vollständige Passwort kennt.

Denn die Frage die sich stellt ist ja, wenn der Passwort Manager gehackt wird, was mache ich dann?
Muss ich dann alle Passwörter ändern?

Kurz gesagt, ja, das musst du!

Auch die Frage ob es ein ziemlicher Angriffssektor ist, einen Passwort Manager zu verwenden der „nur“ mit einem langen und komplexen mit Passwort gesichert ist, muss ich mit JA beantworten.

Daher verwende ich in meinem persönlichen Passwort Manager das Double Blind Verfahren.

Das bedeutet wie schon erwähnt, dass weder ich noch mein Passwort Manager das volle Passwort kennen. Sondern jeder nur einen Teil davon.

Damit funktioniert die Autofill und Enter Funktion nicht mehr.

Doch erstmal vorab die Erklärung.

Bei Double Blind nutzt du ein Passwort, dass am besten von deinem Passwort Manager zufallsgeneriert wurde und speicherst dieses ab.

Doch das ist nicht dein endgültiges Passwort, stattdessen fügst du an einer Stelle in deinem Passwort einen sogenannten „Unique Key“ ein.

Dieser Unique Key ist eine Zeichenfolge die DU dir ausdenkst.

Dabei kannst du die Stelle, wo du diesen Key in dem Passwort einfügst, frei bestimmen.

Wichtig ist nur, dass du hier nicht zu viel variierst, dass hierdurch zusätzliche Komplexität entsteht.

Ein Beispiel könnte folgendes sein:

X= Passwortzeichen

Unique Key = Dein ausgedachter Key

XXXXUnique KeyXXXXXXX

Und das kannst du dann bei jedem Passwort so machen.

Du kannst deinen Unique Key auch Vorne oder immer zum Schluss an das Passwort setzen.

Wichtig ist nur, dass du dir das merken kannst.

Hinzu kommt, dass dies meist dazu führt das du an das Zeichenlimit der meisten Webseiten gerätst.

Nutze MFA

Ich kann dies nicht genug betonen, bei einem Passwort Manager solltest du IMMER eine MFA Authentifizierung verwenden! Im besten Fall einen Hardware Key wie einen Yubikey alternativ einen OTP.

Der MFA schützt deinen Passwort Manager zusätzlich ab, da neben deinem Master Kennwort immer der MFA noch mit angegeben werden muss.

Speichere dein MFA nicht in deinem Password Manager

Zumindestens den MFA für den Password Manager musst du sowieso außerhalb von diesem aufbewahren, da du dich sonst ausperren würdest.

Doch ich rate dringenst dazu deinen MFA in keinen Passwort Manager einzufügen.

Da durch das Komplimentieren einen Passwort Managers sonst auch deine MFA’s gefährdet sind.

Meine persönliche Meinung

Hier muss ich wie immer sagen es kommt darauf an, ob du die Verantwortung für das selber hosten haben möchtest und auch gerecht wirst.

Einem privat Anwender rate ich zu einem Password Manager wie ProtonPass oder Bitwarden, da diese zum einen, einen kostenlosen Tarif anbieten und sehr einfach zu benutzen sind.

Denn beim selbst hosten, muss du dir immer Gedanken machen, wie ist das System von außen erreichbar?

Wie synchronisiere ich es, wenn ich nicht zu Hause bin?

Das fällt bei „Cloud“ Anbietern weg. Daher behaupte ich, das Privatpersonen generell besser einen Cloudanbieter nutzen sollten um auch keine zu großen Barrieren vor sich haben.

Technisch versierte wollen gerne selbst hosten und können das auch machen, doch möchte ich hier erwähnen, dass es auch keine Schande ist etwas Fertiges zu nutzen.

Frei nach der Frage „Make or Buy?“

Daher kurz um meine Empfehlung:
Für Privatpersonen defintiv einen Anbieter aus der „Cloud“ wie ProtonPass oder Bitwarden.

In Unternehmen ist das selbst hosten sehr wichtig, hier sind Bitwarden, Passbolt und Netwirx Password Secure äußerst interessant.

Alles dazwischen ist es eine Präferenz Frage.

Welche Variante nutzt du?

The post Jeder braucht einen Password Manager first appeared on Dominik's Blog.

Die Web Environment Integrity (WEI) ist eine Schnittstelle die von Google Mitarbeitern als Vorschlag entwickelt worden ist.

Dabei handelt es sich um eine Schnittstelle bei der Webentwickler und Webseitenbetreiber mit einer einfachen Zeile Code Google WEI benutzen.

const attestation = await navigator.getEnvironmentIntegrity(„…“);

WEI ist durch ein „eigenes Projekt“ von 4 Google Entwicklern erstanden.

Google erlaubt seinen Mitarbeitern nämlich einen bestimmten Anteil der Arbeitszeit an „eigenen/freien“ Projekten zu arbeiten.
Nett to know:
Gmail ist ebenfalls durch diese „Hobby Projekte“ entstanden und ist nun ein Bestandteil des Google Ökosystem

Die Grundidee

Wieso wurde Web Environment Integrity überhaupt entwickelt?

WEI soll für alle ein Gewinn sein, da hier Manipulationen festgestellt werden sollen, die für Betrugsmaschen und Fake-Engagment verwendet werden.

Das soll nicht nur vor Betrugsmaschen schützen, sondern auch einfacher machen, Bots zu erkennen.

Doch wie soll das genau passieren?
Um es möglichst verständlich zu halten kommt hier eine vereinfachte Zusammenfassung:

Beim Aufruf einer Seite mit WEI, erhalten wir eine URL mit einem sogenannten content binding zurück. Hier stehen Informationen, die lediglich für diesen Webaufruf gelten.
Welche Information dort eingebunden sind, entscheidet der Webseitenbetreiber.

(Beispiel Anfrage an Youtube.de von der UserID LetMeYouTube2023 an die Seite Login)

Dein Browser soll nun digital unterschreiben, dass er „unmanipuliert“ ist.

Damit man das jetzt jedoch nicht einfach jeder schreiben kann, wird eine Dritte Partei benötigt die bestätigt, dass euer Browser nicht manipuliert ist.

Erst wenn die Dritte Partei die „Behauptung“ des Browsers bestätigt, wird diese Signatur als gültig angesehen.

Was der Webserver Betreiber mit der Information machen möchte/kann obliegt diesem.

Die Sorgen, weshalb das WEB sich wehrt

Das „Problem“, wie es viele sehen, ist, dass hier die „Dritten Parteien“ sehr viel Macht erhalten und damit bestimmen können ob ein Browser vertrauenswürdig ist oder nicht.

Dadurch können z.B. Google, Microsoft, Meta und alle anderen Webseiten Betreiber einem vorschreiben, für welche Seiten für deinen Browser ok ist und wann nicht mehr.

Somit spricht man auch gerne von einem „Generalangriff auf das freie Internet“ oder auch dem „Browser-DRM.

DRM steht für Digital Rights Management und ist Teil unseres Alltags.
Der Sinn hiervon ist, festzustellen, dass nur berechtigte Personen in einem vorgesehen Rahmen Zugriff auf digitale Inhalte erhalten.

Dabei werden auch technische Schutzmaßnahmen ergriffen.

Als Beispiel Streaming über Netflix oder andere Dienste:
Technisch lädst du den Film/die Serie in deinen Arbeitsspeicher und könntest dir ohne DRM eine Kopie davon anfertigen.

Durch die Maßnahmen von DRM lädst du zwar weiterhin die Daten in den Arbeitsspeicher, du kannst jedoch nicht darauf zugreifen, da diese Inhalte durch DRM Maßnahmen geschützt sind.

Somit steht der Vorwurf im Raum, dass Google das freie Internet attackieren möchte, in dem es eben DRM für Browser einführt.

Somit könnten z.B. Google oder auch Microsoft einem vorschreiben welchen Browser man für die eigenen Dienste verwenden darf.

Wie bereits erwähnt, sind Bots ebenfalls betroffen.

Denn funktionale Bots/Crawler die benötigt werden, damit Suchmaschinen indexieren können, würden durch WEI ebenfalls Probleme bekommen.

Gleichzeitig könnten Erweiterungen oder auch auf Privacy ausgelegte Browser hierdurch ausgeschlossen werden, da diese Teile den Browser verändern um eben die eigene Privatsphäre zu schützen.

Die Frage ist also: „Wann gilt ein Browser als manipuliert?“ & „Wie frei kann die prüfende Dritte Partei diese Definition verändern?“

Meine Meinung hierzu

Das Thema ist noch sehr heiß und frisch kann man sagen.

Der Grundgedanke von WEI ist aus meiner Sicht kein schlechter und es kann sein, dass die berechtigten Vorwürfe(z.B: Browser DRM) von den Entwicklern bei der Entwicklung nicht bedacht wurden.

Das wissen wir jedoch nicht!

Wie immer wenn es neue Entwicklungen gibt, ist es neu und damit unbekannt und gefährlich, so jedenfalls die grundsätzliche Reaktion des Menschen.

Dennoch sehe ich mehr Gefahren als Lösungen durch WEI, so wie es aktuell als Vorschlag im Raum steht.

Die Tatsache, dass hierdurch auch neue Browser und „Abkömmlinge“ (Forks) benachteiligt werden können, bereitet mir Unbehagen.

Gleichzeitig können durch die Content Bindings einige Privacy Maßnahmen direkt wieder abgeschrieben werden, da man identifizierbar wird.

Zwar soll das nach aktuellen Entwurf nicht so sein, doch könnten die Webseiten Betreiber ja eben genau in dieses Content Binding Identifizierbare Daten beilegen.

Ein weiteres Problem für mich ist, das Regierungen die Prüfstellen dazu verpflichten kann, Browser nur dann als vertrauenswürdig zu signieren, wenn diese eine Backdoor haben.

Daher halte ich Web Environment Integrity (WEI) für den falschen Schritt um das World Wide Web „sicherer“ und „besser“ zu machen.

Wir brauchen viel mehr Awarness bei den Menschen.

Wie ist deine Meinung?
Schreib es mir gerne als Kommentar oder gebe deine Meinung über das Kontaktformular an mich weiter.

Interessante Beiträge hierzu:

Heise
Digitalecourage
Auch interessant ist dieser Beitrag über den Webtraffic im Netz
Brave, ein chrombasierender Browser ist gegen WEI

The post Wurde das Web durch Google WEI angegriffen? first appeared on Dominik's Blog.

Hierfür muss einem bewusst sein, wie bereitwillig Daten einfach herausgegeben werden.
Den Wenigsten ist dabei bewusst, dass diese Daten öffentlich zur Verfügung stehen.
Die Daten werden unter anderem durch das Teilen von Bildern oder Beiträgen weiter gegeben.

Sei es nun Social Media, E-Mailing, Plattform Registrierungen und viele weitere Plattformen.

Vorwort

Natürlich ist Privacy immer eine Sache des eigenen Ermessens, doch viele sind schockiert was Dritte über einen herausfinden können, nur dadurch, dass Accounts öffentlich existieren.

Beispiel mit dem Tool Sherlock auf Github

Doch das ist „nur“ die Spitze des Eisberges, daher befasst sich dieser Beitrag mit kleinen Änderungen die dich nicht einschränken werden und dir gleichzeitig mehr Privacy bringen können.

In diesem Beitrag wird also kein „Deep Dive“ gemacht, das holen wir in einem zukünftigen Beitrag nach, hier geht es um kleine Änderungen die auf Dauer einen großen Unterschied machen können.

Ebenso soll hier eine Basis geschaffen werden, mehr geht also immer und ich bitte dies bei konstruktiver Kritik zu berücksichtigen.

In diesem Teil der mehrteiligen Reihe „Mehr Privacy durch kleine Änderungen“ , soll eine Basis geschaffen werden.

Hierzu werden Begrifflichkeiten erklärt und auch Beispiele zu den Erklärungen mitgegeben um eine Sensibilisierung für das Thema zu schaffen.

Der Beitrag kann z.B. bei der Übersicht der Themenfelder dynamisch erweitert werden.

Jedoch werden „Deep Dive“ Themen in einer eigenen Reihe behandelt.

Eckdaten/Bereiche

Bevor wir ins Detail gehen, möchte ich dir eine Übersicht geben welche Themen/Bereiche wir hier beleuchten werden.
Dabei wird darauf eingegangen wieso die „normalen“ Varianten eher zu deinem Nachteil sind und weshalb diese kleine Änderung mit einer Alternative viel bringen kann.

• Der Anfang (Basis) ←Hier befinden wir uns in diesem Beitrag
• Internet Browser
• Suchmaschinen
• Alternative Frontends für deine Lieblingsplattformen
• Android Betriebssysteme
• Linux Betriebssysteme
• Windows Einstellungen für mehr Privatsphäre
• Aussicht auf weitere Themen

Grundgedanke

Bevor man sich über Tools unterhält, muss die Basis stimmen, daher möchte ich mit dir ein paar Grundlagen durchgehen.
Damit ist gemeint, dass du in der Lage bist, die richtigen Fragen zu stellen.
Solche Fragen können sein:

Wie benutze ich meine Handynummer?
Was und wie äußere ich mich in Social Media?
Wie vernetze ich meine Netzwerke untereinander?

Natürlich soll das jetzt nicht heißen, dass du gar nichts mehr posten sollst, oder kein Social Media mehr nutzen darfst.
Sondern mach dir bewusst was für Daten darüber gehen.

Nehmen wir doch das Beispiel einer Handynummer.
Damit ist gemeint: für was nutzt du diese? Als Mehrfaktor Option oder auch für eine Anmeldungen in Sozialen Medien kann diese Nummer mehr Informationen zum Vorschein bringen als anfänglich gedacht.

Erinnert sich noch jemand an das Meme, bei dem jemand den Anderen nach der Handynummer fragt und diese nicht bekommt, weil man ja nicht jedem die Handynummer geben sollte, weil das sehr Privat ist?
Allerdings bei der Frage nach WhatsApp, die Nummer doch herausgegeben wurde?

Beispiel Handynummer

Wenn deine Nummer für solche Zwecke verwendet wird, kann die jeweilige Plattform damit Daten über dich sammeln, weil die Nummer eindeutig ist und mit einem Account von dir verknüpft ist.

Das bedeutet, das z.B. bei WhatsApp der Mutterkonzern Meta deine Handynummer bereits in Ihrer Datenbank hat. ob du willst oder nicht.

Natürlich wird beteuert, dass man hier alle Datenschutzstandards einhalten würde, doch woher weißt du das?
Und viel wichtiger, willst du überhaupt das Meta (ehemals Facebook Inc.) deine Handynummer kennt?

Beispiel Beiträge Social Media (Posts, Bilder etc.)

Wenn du dich auf Social Media bewegst, egal welche Plattform, teilst du vermutlich Inhalte.

Dazu zählen Posts, Bilder, Videos und einiges mehr.

Neben Metadaten, hierzu nachher mehr, teilst du somit mit der Welt diesen „Moment“ doch die Frage ist: bist du sicher, dass du dir damit einen Gefallen tust?

Die Frage zielt darauf ab, was könnte das für einen Eindruck machen, wenn du dich z.B. bewirbst und der Personaler/Recruiter deine Social Media’s checkt.

Hierzu reicht ja meist die Suche mit deinem Namen, allerdings wie weiter oben beschrieben, gibt es auch technische und simple Möglichkeiten das herauszufinden.

Angenommen du bist jemand der gerne auf Partys geht und du postest regelmäßig Aufnahmen oder Posts davon, kann das für deine professionelle Persönlichkeit Schäden herbeiführen.

Anderes Beispiel:

Es ist aktuell auf der Arbeit anstrengend, warum auch immer und um die Nerven zu beruhigen oder um den innerlichen Druck loszulassen, wird über Social Media offen und transparent mitgeteilt was einem gerade nicht passt.

Man denkst sich nichts Böses und dann kommt die Abmahnung, weil man das Unternehmen in ein schlechtes Licht gerückt hat.

Selbst, wenn das was gepostet wurde, der Wahrheit entspricht, ist man hier rechtlich selbst der, der am kürzeren Hebel sitzt.

Eine Abmahnung, solange die Tat nachweisbar ist, ist somit rechtens und wird auch bei jedem Arbeitsgericht anerkannt.

Hat man das mit einem Post auf Social Media bewirken wollen? Sicherlich nicht!

Metadaten

Metadaten meinen nicht den Konzern, sondern in Mediendateien befinden sich Informationen, die „nützlich“ sein können, jedoch auch nicht nötig sind.

Metadaten sind in einem vereinfachten Sinn so etwas wie ein Briefumschlag.
Der Inhalt ist wird zwar nur für dich und den Teilnehmer des Briefverkehrs einsehbar sein, doch wer der Absender und Empfänger ist, ist für alle ersichtlich.

Auch sind Daten, wie die jeweiligen Anschriften, öffentlich über den Umschlag einsehbar.

Das Gleiche gibt es mit digitalen Dateien wie Bildern, Videos, Audio und auch für Dokumente wie Word und PDF.

Hierzu zählen Daten wie Copyright, Bild-ID, auf welcher Kamera das Bild geschossen wurde, mit welchen Einstellungen an der Kamera das Bild entstanden ist, wann das Bild erstellt worden ist und einiges mehr.

Jetzt kommt ja auch noch das beste, GPS/Ortsdaten werden ebenfalls im Bild hinterlegt.
Bedeutet sofern GPS eingeschaltet war, werden die exakten Daten, wann du wo gewesen bist, in der Datei gespeichert.

Das ist den Meisten nicht bewusst und natürlich ist es an sich alleine betrachtet nicht schlimm, dass diese Daten an deinem Bild, Video oder ähnlichen hängen.

Doch gleichzeitig verrät das natürlich mehr über einen, als einem lieb oder auch bewusst ist.

Tracking und Cookies

Ob durch Social Media oder auch andere Webseiten.

Tracking ist ein Problem im Internet, denn sofern nicht anders eingerichtet, wird man im Internet dauerhaft getrackt.

Dabei sind natürlich Versprechungen wie „User Experience“ und zugeschnittene/gezielte Inhalte, doch das Gleiche gilt auch für Werbung.

Bevor es hier weitergeht eine kompakte Definition von den beiden Begriffen.

Tracking

Tracking lässt sich in mehrere Unterkategorien aufteilen, daher wird diese kompakt Definition allgemein gehalten.

Es handelt sich um das Webseiten übergreifende Verfolgen von Nutzern im Internet.
Dabei werden Daten erhoben und verarbeitet, die zum Nutzen eine Webseite, also z.B. um diese zu besuchen, nicht erforderlich sind.

Dabei können Daten gesammelt werden wie z.B.

• Zuvor besuchte Webseiten inkl. Unterseiten und wie lange man sich dort befunden hat
• Welche Elemente angeklickt wurden (Produkte, Social Media Buttons etc.)
• Daten die heruntergeladen worden
• Von welchem Gerät und Browser man die Webseite besuchte

Das sind natürlich bei weitem nicht alle Punkte die getrackt werden können, es soll nur veranschaulichen was möglich ist.

Eine weitere beliebte Methode ist das Tracking über Cookies.

Cookies

Das Wichtigste vorab, Internet Cookies kann man leider nicht essen.
Spaß beiseite, doch Internet Cookies sind nichts Schlechtes.
Diese werden sogar für Funktionalitäten im Internet benötigt, daher spricht man oft von der Unterscheidung von „funktionalen Cookies“, „optionale Cookies“ und „berechtigtes Interesse Cookies“

Auch hier versuche ich eine annehmbare kompakte Definition bereitzustellen, gerne hier auch Anmerkungen in die Kommentare oder via Mail/Kontakt Formular.

Cookies sind kleine Dateien, die in deinem Internet Browser angelegt werden, um gewisse Daten zu übermitteln wie z.B. deine präferierte Sprache, ob du einen Dark Mode haben möchtest und vieles mehr. Diese Cookies nennen sich „Session Cookies“ und sind technisch erforderliche, da mit diesen auch dein Login auf einer Webseite ermöglicht wird. Denn ohne Session Cookie musst du dich einloggen, wenn dieser also nicht gesetzt wird, bist du nicht eingeloggt oder ein neuer Benutzer.

Ebenfalls sind diese Cookies auch dafür zuständig, dass du deinen Warenkorb bei Amazon, eBay und vielen weiteren Online Händler überhaupt nutzen kannst.

Alle Cookies die nicht technisch notwendig sind, können entweder Komfortfunktionen mit sich bringen oder eben Tracking.

Diese nicht notwendigen Cookies sind auch der Grund, wieso es diese „tollen“ Cookie Banner gibt, die einen fragen ob man zustimmen oder spezielle Cookies abwählen möchte.

Ein netter Gedanke der Politik, der jedoch in der Praxis nicht wirklich zielführend ist, da diese Banner nur minimale Voraussetzungen erfüllen müssen.

Schlusswort

Wie schon anfänglich erwähnt, geht es in diesem Beitrag darum, jedem mit kleinen Änderungen viel Wert zu kommen zu lassen.

Dabei geht es in diesem Beitrag darum die Aufmerksamkeit und Aufklärung für einige Grundbegriffe wie Tracking & Cookies.

Wie schon im allerersten Blogbeitrag erwähnt, gibt es auch einen Unterschied zwischen Privacy (Privatsphäre) & Anonymity (Anonymität) im Internet.
Somit kann das Thema unendlich weiter getrieben werden, je nachdem zu was man bereit ist.

Feedback, Anregungen oder einfach deine Meinung lese ich gerne in den Kommentaren oder per Kontaktformular.

The post Der Grund weshalb wir mehr Privacy Awarness benötigen first appeared on Dominik's Blog.

Wie so oft „it depends“ und zwar, in welchem Kontext diese Frage gestellt wird.
Bei IT-Security für Unternehmen ist diese Frage sehr viel detaillierter zu beantworten, als wenn es um Privatpersonen geht.

Der Grund ist, dass Unternehmen, Behörden und ähnliche Organisationen auf viel mehr achten müssen, da hier die Struktur komplexer und somit miteinander verbunden ist.

Das bedeutet jedoch nicht, dass Privatpersonen dieses Thema nichts angeht, im Gegenteil:

Jeden geht IT-Security was an!

Denn gerade, weil wir das Internet jeden Tag nutzen und immer mehr Berufe IT-gestützt werden, muss sich jeder damit beschäftigen.
Der Vorteil hier: Jeder gewinnt…außer die Hacker 😉
Wieso ich das erwähne? Nun weil jeden Tag Menschen wie du und ich Opfer von solchen Angriffen werden und auch Unternehmen oder Social Media Stars dem Ganzen schon zum Opfer fallen.

Denn für Organisationen ist es von Vorteil, wenn die Mitarbeiter ein Verständnis oder Affinität für das Thema haben, während man sich als Privatperson auch im eigenen Umfeld vor Schäden schützen kann, wenn man die richtigen Maßnahmen ergreift.

Scope/Bereich

Bevor wir weitermachen, möchten ich dir mitteilen, um was es in diesem Beitrag gehen soll, damit keine falschen Erwartungen aufkommen.

Dieser Beitrag soll ein Einstieg für alle sein, das bedeutet, dass die Privatperson/en hier im Fokus stehen.

Dieser Blog hat die Intention sowohl IT-fachliche Themen zu beleuchten, Anregungen zu schaffen und gleichzeitig möchte ich auch die Menschen mitnehmen, die keine IT-ler sind, daher sind grade die ersten Beiträge auf diesem Blog nicht so tief im Detail um eine Grundlage für alle Leser zu schaffen.

Das bedeutet für diesen Beitrag, es werden die ersten Basics erläutert und auch die ersten Werkzeuge an die Hand gegeben, um hier besser aufgestellt zu sein.

Dieser Beitrag ist der Erste zum Thema „IT-Security für jeden“, da dies der Einsteigs Part sein soll und sich grade in diesem Feld regelmäßig etwas tut.

Eine Vertiefung der Thematik ist für zukünftige Beiträge geplant!

Wieso werden heute immer noch Menschen gehackt?

Definition des Begriffs Hacken

Um diese Frage zu klären, muss erstmal klar sein was Hacken überhaupt bedeutet.

Damit meine ich nicht die Übersetzung von Englisch ins Deutsche, sondern was mit diesem Begriff zusammen hängt?
Denn Hacken ist nicht nur in der EDV/IT relevant, im Gegenteil.
Um Wau Holland, einen Gründer des Chaos Computer Clubs zu zitieren:
„Ein Hacker ist jemand, der versucht einen Weg zu finden, wie man mit einer Kaffeemaschine Toast zubereiten kann.“

Das bedeutet, wenn man versucht es in einfachen Worten zu formulieren, dass Hacken bedeutet eine Sache in Ihrer Funktion so zu verändern, dass diese zweckentfremdend andere/neue Funktionen übernehmen kann.

Somit ist es richtig, dass Hacken bzw. Hacking nicht nur mit Computertechnik zu tun hat, denn ursprünglich bedeutete der Begriff Hacker lediglich, einen Menschen der gerne an Objekten bastelte und dabei eigene kreative Wege findet.

Im Falle von IT-Sicherheit spricht man von der Manipulation von Menschen oder Computersystemen um unautorisierten Zugriff zu erhalten.

Die Absichten von Hackern

Hacker im EDV/IT Sinne wollen unterschiedliches erreichen, dabei kommt es immer darauf an, an wen man gerät.
Wichtig vorab zu wissen: Hacker können einzeln als Person agieren, können jedoch auch organisiert als Gruppe oder Vereinigung handeln.

Die Absicht der meisten Hacker

Es gibt Menschen da draußen, die sich an der Unwissenheit anderer Menschen bereichern wollen.
Solche Menschen verfolgen meist monitäre Ziele, bedeutet sie wollen Geld erbeuten.

Dabei ist es egal ob sie sich als „verschollener Enkel“ ausgeben müssen oder andere Mittel nutzen müssen, ihnen ist jedes Mittel recht.

Das ist wohl das, woran die Meisten denken, wenn es um Hacker geht.
Diese Art wird entweder einzeln oder in einer organisierten Gruppe agieren.

Spionage Hacker

Allerdings können Hacker auch andere Ziele verfolgen, wie die Spionage einer Person oder eines Unternehmens.

Dabei ist das Ziel, so viele Daten wie möglich über das „Opfer“ zu sammeln.

Das kann verschiedene Gründe haben wie z.B. Profiling oder um das „Opfer“ überzeugender manipulieren zu können.

Hierbei werden meist verstecktere Ansätze genutzt wie Social Engineering oder, dass einem eine Software aufgespielt wird, mit der eine nahtlose und unsichtbare Spionage möglich ist.

Es gibt natürlich noch mehr Methoden hierfür.

Diese Art trifft man eher im professionellen Umfeld an und bei Regierungen, wenn ein Straftäter von den Behörden verfolgt wird.

Beispiel eines Hacks (Phishing)

Das Beste Beispiel ist ein Phishing Angriff. Hier ist bewusst das Wort Angriff in Verwendung, den Phishing (Übersetzung Fischen wie ein Fischer) ist vom Konzept einfach erklärt und kann sowohl digital als auch physisch durchgeführt werden.

Beim Phsihing gibt sich jemand oder eine Gruppe als jemand anders aus und möchte die Zielperson zu einer unüberlegten Handlung bringen, meist durch ein emotionales Druckmittel, dass eine gewisse Dringlichkeit ausdrückt.
Dies kann via Telefon, direkt an der Tür oder auch per E–Mail sein.
Die „Phisher“ geben also einen Vorwand an und geben sich für jemand anderen aus z.B. die Personalabteilung oder deine Bank.
Um dich nun in eine unüberlegte Handlung zu bringen, könnte ein Betreff wie folgender gewählt werden:
„Sie haben zuviel Urlaub genommen! Dringender Handlungsbedarf“

Solchen Mails hängen dann noch Dateien oder Links an, die geöffnet werden sollen und sofern nötig, speziell eine Login Maske angeboten wird, in der man seine Daten eingeben soll.
Und da ist es schon passiert, du wurdest gehackt.
Natürlich varriert es als was sich ausgegeben wird und welchen „dringenden“ Grund man hat.

Wusstest du schon: So ein Phishing Angriff kann, sofern gut durchgeführt deine Sitzungscookies klauen, sofern du diese in deinem Internet Browser nicht löschst. Bedeutet auch, wenn du „nur“ auf den Link geklickt hast, könnten deine Login Daten zu anderen Webseiten geklaut worden sein.
Geschieht das, hilft nicht mal eine Multi-Faktor-Authentifizierung (MFA).
Daher mein Rat, lösche deine Cookies!
Hierzu kommt ein eigener Beitrag der hier verlinkt wird.

Welche Maßnahmen kann ich da ergreifen?

Das kommt ganz darauf an wie die Bereitschaft dazu ist, denn jeder Invest in mehr IT-Security bedeutet, dass in einem anderen Feld weniger Invest möglich ist.

Mit Invest meine ich, dass jede Investition in eine Richtung automatisch die Möglichkeit eines anderen Feldes einschränkt.
Wie weit man hier geht, muss im privaten Umfeld jeder für sich selbst entscheiden und im professionellen Umfeld gibt es zum einen „Standard“ die State of the Art sind (Stand der Technik).

Gleichzeitig geben im professionellen Umfeld die IT-Abteilungen und Geschäftsführung vor was gemacht werden muss und was optional ist.

Da wir uns hier um die IT-Security für den eigenen Gebrauch kümmern, gehen wir nun auf die Optionen ein die DU für dich und deine Liebsten vornehmen kannst.

Lerne die Warnzeichen kennen

Weder Maßnahmen noch irgendwelche Tools können so wirksam sein wie:Wissen!

Damit ist gemeint, dass ein Jeder interessiert sein muss, seine Kenntnisse auf den Prüfstand zu stellen und bei Bedarf zu erweitern.

Doch bevor dies möglich ist, muss die Basis sein und diese kann durch verschiedene Wege geschaffen werden.

Allgemeines

Das Wichtigste ist, dass man sich nicht zu emotionalen Verhalten hinreißen lässt.

Damit ist gemeint, dass solche „Angriffe“ durch Hacker versuchen einen zu unüberlegten Handlungen zu bewegen.

Veranschaulicht wird das durch den „Enkeltrick“, indem eine fremde Personen eine andere überzeugt, der „Enkel“ bzw. ein „Familienmitglied“ zu sein, dass in Not geraten ist.

Für die Familie tut man doch alles und hat dann ein paar Euro über.

Auch Mails, die eine zeitliche Kritikalität {evtl anderes wort) aufzeigen, sind mit Vorsichtig zu genießen.

Hier ist es beliebt, dass die „Bank“ einem schreibt oder die „Personalabteilung“ und man dringendst auf den beigefügten Link klicken, oder die Datei ausführen soll, die im Anhang ist.

Dabei kennt man die Absender vielleicht gar nicht, oder es ist eine merkwürdig formulierte Mail.

Das Beste hier ist, wenn man sich nicht sicher ist ob die Mail echt ist, auf keinen Link drauf klicken geschweige denn, bei dem vermeintlichen Absender melden.

Nicht über die Kontaktdaten in der Mail, sondern suche die öffentlichen Kontaktdaten deiner z.B. Bank raus oder deines Unternehmens und rufe dort an.

Frage nach ob die Mail von ihnen ist oder nicht.

Eigen Recherche

Um dieses Basis zu schaffen kann es hilfreich sein, allgemein zu recherchieren, dafür kann die Suchmaschine des Vertrauens besucht werden. (DuckDuckGo, Brave Search, Startpage, QWANT oder der bekannteste Vertreter: Google)

Natürlich ist die eigen Recherche nicht das einzige Mittel, doch frei nach dem Motto „Selbst ist der Mann/die Frau!“. Denn am Besten lernt der Mensch durch eigenes tätig werden.

Dabei kann die Recherche auch ausgeweitet werden z.B. auf „Influencer“ die in der IT-Branche tätig sind.

Hierzu gibt auf dieser Seite unter „YouTuber“ mehrere die ich empfehlen kann.

Denn diese können dies nicht nur erklären, sondern zeigen auch praktische Beispiele, wie Hacking Angriffe funktionieren und welche Maßnahmen ergriffen werden können.

Schulungen und Awarness Trainings

Allerdings kannst du auch andere Angebote wahrnehmen wie z.B. Schulungen für die du dich interessierst oder noch besser….nimm an der „Informationssicherheit und Datenschutz“ Awarness Schulung in deinem Unternehmen teil.

Die Voraussetzung hier ist natürlich, dass in deinem Unternehmen eine solche Schulung Angeboten wird und meistens werden diese Awarness Trainings auch mit Simulationen bestückt.

Dass bedeutet, du wirst im Laufe deiner Betriebszugehörigkeit getestet, natürlich anonymisiert und bekommst dann auch das Feedback ob du den Test bestanden hast.

In kleineren Unternehmen ist so was untypisch, da hier Kosten und Nutzen zu weit auseinander gehen, doch Fragen schadet nicht!

Nutze eine Passwordmanager

Von diesem Tool hast du vermutlich schon gehört und wenn nicht, gibt es hier eine kurze Erklärung was das ist und wieso es wichtig für dich sein muss.

Ein Password Manager ist eine Software, in der du deine Passwörter & Login Daten speicherst.

Der Unterschied zum Postit Zettel ist, dass es zum einen digital passiert und diese Software deine Daten verschlüsselt ablegt.

Der Vorteil für dich: du benötigst „nur“ ein „Master-Passwort“ um an alle Passwörter zu kommen.

Hierdurch ist es dir also möglich, für jedes Login, dass du hast, ein eigenes und einzigartiges Passwort vergeben kannst, ohne dir Gedanken machen zu müssen es dir zu merken.

Denn wie wir alle wissen, ist die Empfehlung immer verschiedene Passwörter zu verwenden.

Die meisten Passwort Manager kommen im Übrigen auch mit einem Passwort Generator, bedeutet dein Tool erstellt die Passwörter für dich.

Schütze deine digitale Identität also mit einer sicheren Passwort Verwaltung.

Passwort Manager die du dir hierzu ansehen kannst sind:

Eine Vertiefung zu diesem Thema kommt in einem eigenen Beitrag und wird hier an dieser Stelle verlinkt, sobald dieser Online geht.
Dabei werden sowohl Self Hosting Optionen als auch das „Double Blind“ Verfahren besprochen.

Richte Multi-Faktor-Authentifizierung ein wo möglich

Die Multi-Faktor-Authentifizierung (kurz MFA) ist, wie es der Name schon vermuten mag eine Authentifizierung mit mehr als einem Faktor.

Dabei betrachtet man meistens den Benutzernamen+Kennwort als einen Faktor gemeinsam, da der Benutzername meist leicht herauszufinden ist.

Der Sinn des MFA ist es also, deine Accounts mit mehr als nur einem Passwort abzusichern.

Dabei gibt es verschiedene Möglichkeiten, die auch technisch verschieden sicher ist.

Jetzt ist wichtig zu erwähnen, dass du streng genommen Multi-Faktor-Authentifizierung bereits kennst, sofern du Online Banking verwendest.

Hier ist das Prinzip, dass du dein Login zwar mit einer Kennung aus Benutzername und Kennwort vornehmen kannst, jedoch musst du dein Login regelmäßig durch eine SMS-TAN oder Push-TAN bestätigen.

Selbst wenn du das getan hast, musst du bei Überweisungen immer eine neu generierte TAN zur Bestätigung eingeben.

Es gibt mehre Arten von MFA, doch die Gängigsten sind:

• OTP (One Time Pass)
• Telefon Anruf mit Bestätigungscode
• SMS Code
• Security Key

Es gibt natürlich noch mehr, doch die genannten 4 sind am weitesten verbreitet.

Die einfachste Art wird der Telefonanruf oder SMS Code sein.

Alleine damit kannst du dich absichern und gewinnst mehr Sicherheit.

Bei den meisten Diensten im Internet kannst du auch, nachdem du dich mittels Multi-Faktor-Authentifizierung einloggen konntest, bestätigen, dass an dem Gerät für x Tage, meist 30 Tage, nicht mehr nachgefragt wird.

Welche Unterschiede die verschiedenen Optionen haben, wird auch hier in einem eigenen Beitrag erläutert, dieser wird an dieser Stelle verlinkt, sobald er fertig gestellt ist.

Qullennachweis/Glosar:

Inhaltlich:

https://de.wikipedia.org/wiki/Hacker

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/Passwort-Manager/passwort-manager_node.html
https://www.heise.de/download/specials/Passwort-Manager-Tipps-Tools-fuer-die-Passwort-Verwaltung-6033009
https://www.security-insider.de/was-ist-ein-passwort-manager-a-582834/
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Zwei-Faktor-Authentisierung/zwei-faktor-authentisierung_node.html
https://www.heise.de/hintergrund/Multi-Faktor-Authentifizierung-Methoden-und-Dienstleister-4402436.htm
lhttps://www.security-insider.de/was-ist-multi-faktor-authentifizierung-mfa-a-631486/

Bilder:

https://www.pexels.com/photo/crop-cyber-spy-hacking-system-while-typing-on-laptop-5935794/
https://www.pngegg.com/en/png-ndpwt
https://www.cleanpng.com/png-mazda-ispy-customer-3287190/
https://www.pngegg.com/en/png-wezve
https://www.cleanpng.com/png-identity-theft-phishing-internet-clip-art-identity-2684015/
https://imgflip.com/i/7ulc62
https://www.cleanpng.com/png-duckduckgo-web-search-engine-google-search-web-bro-2216112/
https://www.cleanpng.com/png-web-development-web-design-logo-website-707817/
https://www.cleanpng.com/png-united-states-youtube-logo-youtube-play-button-tra-616912/
https://commons.wikimedia.org/wiki/File:Startpage.com_logo.svg
https://de.wikipedia.org/wiki/Datei:Qwant_new_logo_2018.svg
https://www.deutschland-startet.de/wp-content/themes/freestyle/AIT/Framework/Libs/timthumb/timthumb.php?src=https://www.deutschland-startet.de/wp-content/uploads/2022/12/training-3185170_1920-2-1-1.jpg&w=612&h=330
https://www.pngegg.com/en/png-dilim
https://en.wikipedia.org/wiki/File:Bitwarden_logo.svg
https://proton.me/pass
https://www.pngegg.com/en/png-ccbfv
https://www.pngegg.com/en/png-nmvtl
https://www.pngegg.com/en/png-patsr
https://www.pngegg.com/en/png-dhrlo
https://www.cleanpng.com/png-threat-computer-security-internet-security-securit-361766
https://hund-client-logos.s3.amazonaws.com/uploads/5e81e1e910bdfb739a1300da-eb01b2b1-46ee-4117-8692-dbc79bbc809f.png

The post Think before you Click! So greifen dich Hacker an! first appeared on Dominik's Blog.

Diese 3 Themen können miteinander Hand in Hand gehen, doch diese können auch auseinander gehen.

Das liegt daran, dass diese Themen zwar Überschneidungen haben, jedoch vom Kern her nicht unterschiedlicher sein könnten.

Vorwort

Vorher noch, wieso ist mir das Thema wichtig? Und wieso muss es DIR auch wichtig sein?

Zum einen nutzen wir das Internet (auch World Wide Web genannt) jeden Tag und es werden Schlagworte (engl. Buzzwords) verwendet ohne wirklich die Bedeutung zu kennen.

Damit jeder besser weiß, was diese Begriffe bedeuten, möchte ich hier näher bringen was diese Begriffe bedeuten im Zusammenhang mit der Internet verhalten.

Das kann wichtig sein, um zu verstehen, dass alles multiplex (zu deutsch vielseitig) ist.

In diesem Beitrag soll es also um die Richtigstellung dieses Themas gehen, da den meisten die Unterschiede nicht bekannt sind.

Dies geschieht im Übrigen teilweise sogar bei Fachpersonal (z.B. IT-lern).

Die Erklärungen sind allgemein gehalten und vereinfacht dargestellt.

Ich bitte jeden Leser um Verständnis, dass in diesem Beitrag der Fokus auf Verständlichkeit für alle ausgelegt ist, damit alle etwas hiervon haben.
Dabei werden im Anschluss zwei Beispiele zur Veranschaulichung genannt.

Für einen „Deep Dive“ bereite ich mal einen anderen Beitrag vor, mit mehr Details.

🛡️ Sicherheit (Security) 🛡️

Die Frage der Sicherheit stellt sich oft. Doch was bedeutet das für einen, „Sicherheit im Internet“?

Frage dich mal, was bedeutet Sicherheit im Internet für dich?

Hier wird jeder andere Antworten haben, doch grundsätzlich geht es um folgende Punkte:

• Lade Daten aus dem Internet aus vertrauenswürdigen Quellen herunter.
• Gebe deine Daten, besonders deine real Daten wie Vorname, Nachname etc. nur dort an wo du weißt, dass die Seite vertrauenswürdig ist oder „legit“ wie man heute sagt.
  • Wenn du nicht sicher bist ob die Seite/Quelle vertrauenswürdig ist, stelle Nachforschungen an und Frage gerne jemanden nach seiner Meinung.
• Nutze für deine Software und Treiber Updates nur offizielle Quellen und keine 3rd Party Tools
  • Bedeutet keine unbekannte Repositories nutzen, wenn möglich immer direkt beim Hersteller deine Updates herunterladen.
  • Wenn deine Anti-Malware (Anti Virus/Endpoint Protection) Alarm schlägt, sei vorerst misstrauisch und prüfe ob deine Software wirklich echt ist.
    Verlasse dich dabei nicht nur auf Signings (Signierungen) siehe hierzu:
    https://winfuture.de/news,123738.html
• Sichere deine Accounts, besonders deine Online Accounts, nicht nur mit einem starken Passwort, sondern auch mit einem zweiten oder dritten Faktor ab (MFA)
• Bewege dich nicht auf Seiten die keine HTTPS Verschlüsslung anbieten.
  • Das Hypertext Transfer Protocol Secure kurz HTTPS steht hierbei für eine verschlüsselte, also abgesicherte Kommunikation zwischen dir und der Webseite/dem Webdienst. Bedeutet dritte können entweder gar nicht oder nur unter widrigen Umständen deine Kommunikation mitlesen
  • Bei Hypertext Transfer Protocol (HTTP) ist dies nicht der Fall, hier kann theoretisch jeder die Kommunikation mitschneiden und sehen was übertragen wird.
    • Kleiner Zusatz, nur weil es eine Sicherheitswarnung bei einem Webseiten Aufruf gibt, heißt das nicht, dass du kein HTTPS verwendest.
      Eine Warnmeldung trotz HTTPS sagt lediglich dass das Zertifikat abgelaufen ist.
      Was Zertifikate sind werde ich dir gerne in einem anderen Blog Eintrag erklären und später hier verlinken.

Es gibt hier noch weitere Punkte, doch dies sollte ein gutes Roundup sein für das Thema Sicherheit im Internet für jedermann.

🔒 Privatspähre (Privacy) 🔒

Bei Privatspähre (Privacy) befasst man sich mit einer anderen Frage.
Die Frage:
Wie gehe ich mit meinen Daten im Internet möglichst sorgsam um und hinterlasse nicht zu viele „Spuren“/Daten?

Es geht also mehr um die Kontrolle: wo gebe ich meine Daten hin und wofür.

Dabei wird jedes mal abgewägt, will ich meine Daten jetzt mehr schützen oder ist mir Funktion XY wichtiger.

Auch die Frage wenn man sich z.B. für einen Mail Anbieter entscheidet, welchen Anbieter man da nimmt ist hier umfassender.

Denn einige Mail Anbieter, bieten dir zwar ein „kostenloses“ Mailpostfach an, doch zu welchem Preis?
Den nichts ist in unserer Welt wirklich umsonst, daher werden meist bei „kostenlosen“ Diensten z.B: Werbungen geschaltet oder Tracking verwendet um mehr Daten von dir zu sammeln.

Durch diese Daten können personalisierte Profile erstellt werden, welche dir dann „eine gezielte“ Erfahrung geben sollen.

Das kann jedoch auch bedeuten wenn du Privatsphäre bewusst handelst, das du einige Qualitätsfunktionen nicht oder nur eingeschränkt nutzen kannst.

Wenn man mehr Privatspähre wahren will stellt sich oft die Frage wann geht es zu weit und wann ist es zu wenig.

Das ist allerdings eine sehr subjektive Wahrnehmung, wodurch die Grenzen zu den Anderen vorgehen für einen selbst nicht klar zu ziehen ist.

👺Anonymität (Anonymous) 👺

Anonymität befasst sich damit, wie man möglichst nicht identifizierbar bleibt.
Also wie man nicht nur „Spuren“ verwischt, sondern auch komplett untertauchen will/kann/muss.
Dabei kann es darum gehen, dass du soweit wie möglich aus allen Systemen entfernt werden und danach gar nicht mehr auftauchen willst.

Hierdurch schrenken sich deine Aktivitäten nicht automatisch ein, jedoch wird alles „anstrengender“, für dich und die in deiner Umgebung.

Denn wer Anonymität will, muss nicht einfach überlegen wem oder was er die Daten gibt, sondern ob sich das wirklich lohnt.

Meistens arbeiten Menschen die Anonymität haben wollen mit verschiedenen Mitteln die einem teilweise extrem oder „lächerlich“ vorkommen.

Doch wie macht man das? Es gibt einige Möglichkeiten hierzu und es kommt drauf an in welchen Aspekten man eine Anonymität herbeiführen will.

Hinzu kommt, dass hier nochmals unterschieden werden muss in „teilweise“ & „vollständige“ Anonymität, der Grund? Gesetze!

Der Grund ist, dass „vollständige“ Anonymität in Deutschland nicht mehr möglich ist, da nahezu alle Optionen hierfür inzwischen nicht mehr nutzbar sind oder gegen Gesetze „verstoßen“.

Man kennt es aus Filmen: am Besten ein Handy nehmen mit Prepaid SIM und schon hat man den ersten Schritt getan, doch so geht das bei uns nicht mehr.

In Deutschland muss jede SIM Karte einer Person zuweisbar sein, was eine Authentifizierung mittels z.B. eines Ausweisdokuments voraussetzt.

Daher kann man meistens davon ausgehen, wenn man in Deutschland lebt, dass eine „vollständige“ Anonymität nicht umsetzbar ist.

Anonymität kann natürlich noch weiter gehen.

Beispiel Edward Snowden hat jedes seiner Handy geöffnet und alles ausgebaut an Hardware was er nicht benötigt hat oder nicht sicher war, was es tut.

Das hat auch das Mikrofon getroffen, weil er sagt:
Man kann nicht sicher sein ob nicht jemand das Mikrofon grade nutzt um einen abzuhören.

Er verwendet also immer externe Mikrofone z.B. Headsets wenn er telefonieren muss.

Zusammenfassung

Anonymität ist die vollständige Vermeidung von Weitergabe von Daten. Dabei ist jedes Mittel recht um die Daten noch weniger werden zu lassen, egal wie umständlich das ist.
Das kann auch soweit gehen, dass man die eigene Hardware modifiziert und auf einige „gängige“ Annehmlichkeiten verzichtet um dies zu erreichen.

Privatsphäre ist der bewusste Umgang mit der Kernfrage „Wem geben ich meine Daten und für was?“, dass heißt, hier wird für einen selbst immer abgewägt ob es einem Wert ist, seine Daten herzugeben oder ob man auf Alternativen zurückgreift.

Sicherheit will maximalen Schutz der digitalen Identität schaffen, das kann teilweise zur Datenaminierung führen, doch wichtiger ist, dass man abgesichert ist. Bedeutet, dass auch Tracking in Kauf genommen werden kann, da durch ein erfasstest Profil Anomalien durch Dritte festgestellt werden können und „schlimmeres“ abwendet werden kann.

Auch geht es bei Sicherheit im Internet darum zu wissen, von wo beziehe ich meine Daten und ist die Quelle vertraulich.

Beispiel Appstores

Ein für mich sehr beliebtes Beispiel bei dieser Frage sind Appstores von z.B. Android.

Mal die bekanntesten Android Stores aufgelistet:

• Google Play Store (Google eigener Store) https://play.google.com/store/games?device=windows

• F-Droid (Community Store für Open Source) https://f-droid.org/

• Aurora Store (dieser Store bietet die Möglichkeit Google Play Apps runter zu laden ohne Google Account) https://aurorastore.org/

Playstore

Der Google Play Store ist ganz klar im Sicherheitssektor einzuordnen.
Denn hier hast du einen zentralen Hub über den du deine Apps für dein Gerät beziehen kannst und durch Mechanismen wie Google Play Protect und einen Audit Prozess sind die meisten, nicht alle, Apps aus dem Store sicher.

Leider birgt dies Risiken für deine Daten, denn du benötigst bei Apps aus diesem Store zum einen, einen Google Account und zwingend auch die Google Play Dienste welchen wiederum oft für Tracking verwendet werden.
Ebenfalls fordern die meisten Apps aus diesem Store mehr Berechtigungen an als benötigt, diese können zwar entzogen werden, jedoch für einen normalen oder unerfahrenen Nutzer ist das schlecht.
Hier werden also Daten über einen gesammelt.

Ebenfalls kann durch das Altersrating von gewissen Apps wie z.B: Discord (ab 18 Jahren) eine Altersverifikation gefordert werden.
Hierdurch wird natürlich auch nochmal ein genaueres Profil über einen angelegt.

F-Droid

Der F-Droid Store muss über einen Browser runtergeladen werden und manuell installiert werden, daher hat diesen Store nicht jeder.
Der Store bietet Open-Source Apps an, welche komplett ohne Google Dienste lauffähig sind.

Die Apps kommen meist von Open-Source und Hobby Entwicklern und werden auch geprüft, dabei muss man sagen das F-Droid ein: Zitat: „non-profit volunteer project“ ist.

Bedeutet auch, dass hier die Ressourcen nicht vergleichbar sind.

Der Vorteil hier ist ganz klar, dass keine Tracker und Daten an Google übersendet werden.
Auch können hier schöne Open-Source Alternativen gefunden werden, sofern diese vorhanden sind.

Leider sind hier viele Apps nicht verfügbar, da nicht alle Apps Open-Source sind oder eine Open-Source Varriante haben.

Deshalb Daumen hoch für Privacy und Anonymität.

Der Security Aspekt bekommt ein OK, da alles gut aussieht, ich das persönlich jedoch nicht vollständig bewerten kann.

Aurora Store

Der Aurora Store ist äußerst beliebt da dieser die Option bietet, Google Play Apps ohne Google Account und ohne Google Play Dienste zu installieren.

Leider können Apps die Google Play Dienste nötig haben, hierdurch fehlerhaft oder erst gar nicht laufen. Dann müssen diese Dienste nachinstalliert werden. (Wie und wo kommt in einem eigenen Beitrag)

Dieser Store bietet an, dass man „Anonym (Secure und insecure)“ bei Google Play melden kann.
Die Unterschiede zwischen Secure und insecure sind vermutlich mit und ohne Verschlüsslung.

Jedenfalls können alle Apps auch ohne Altersverifikation geladen und genutzt werden.

Wird eine kostenpflichtige App benötigt kann auch ein Google Account verwendet werden um die App herunterzuladen. Bedeutet, man kann optional einen Google Account verwenden.

Es kann hier jedoch sein, dass einige Apps Probleme machen, weshalb dann die Google Dienste nochmal installiert werden müssen, sollte man ein DeGoogled Smartphone nutzen wie z.B. GrapheneOS.

Bei „normalen“ Smartphones sind die Google Play Dienste immer vorinstalliert.

Die Anoyme Anmeldung wird durch vom Entwickler bereitgestellte Accounts abgewickelt, hierdurch können Usabillty Probleme aufkommen, wenn z.B. Google die Accounts des Entwicklers sperrt oder auch kann nicht immer die Suche des Stores verwendet werden, weil man „Rate limited“ ist.

Hier gibt es bekannte Workarounds!

Für Anonymität und Privatspähre ist dieser Store ein Traum, da hier ein Community Projekt offen ist, dass einem wirklich hilft aus den Fängen von Google zu entkommen.

Dafür also absolutes Daumen hoch.

Wo es ein „it depends“ also „es kommt drauf an“ bekommt, ist bei Sicherheit.
Zwar kann man hier Apps aus dem offiziellen Play Store laden, es ändert den Fakt jedoch nicht, dass der Aurora Store eine zusätzliche „Station“ ist, somit geben wir unser Vertrauen einem Team von Entwicklern die wir selber gar nicht kennen.

Der Store ist Open-Source wodurch man den Code jederzeit reviewen und für sich selbst bewerten kann, ob es passt oder nicht.

Bezahlmethoden

Das Einfachste nicht technische Beispiel ist hier die Beizahlmethode.

Hier haben wir zum einen Bargeld,Zahlungsabwicklung über die Bank direkt (Lastschrift, Überweisung) und Kreditkarte+Paypal

Bargeld

Dabei stellt das Bargeld die anoymste Varriante für Zahlung dar, denn hier kann nicht verfolgt werden für was das Geld ausgegeben wird.
Daher ist Bargeld auch meist für Behörden (ab Landesebene) ein Hindernis, da so z.B. nicht klar ist wo das Geld herkommt oder hinfließt.

Es kann nicht festgestellt werden, wer mit wem im Kontakt stand.

Ein Nachteil bei Barzahlung kann sein, dass hierdurch jedoch keine Sicherheiten vorhanden sind, nachdem was oder bei wem erworben wird.

Also ein hohes Maß an Anonymität. Dadurch ist Privacy „überflüssig“

Dafür nicht unbedingt ein genauso hohes Maß an Sicherheit

Zahlungsabwicklung durch Bank

Bei Zahlungen über die Bank wie z.B. per Lastschrift, Überweisung oder auch durch EC-Karten ist es möglich, eine Zahlung so abzuwickeln, dass diese nachweisbar/nachvollziehbar ist.
Dabei kommt es natürlich auch darauf an, welche Zahlungsweise genutzt wird, z.B. ist bei einer Lastschrift ein Lastschrift Mandat nötig, während man bei einer Überweisung selbst tätig werden muss.
Bei einer Überweisung z.B. wird zwar getrackt ob eine Zahlung unter genannten Zahlungsbetreff eingeht, jedoch darf die Gegenseite deine Bankdaten nicht abspeichern.

Bei der Lastschrift werden die Bankdaten vollständig im System des Anderen gespeichert, da das Konto ja belastet werden muss.

Durch die Trackbarkeit und somit Nachweisbarkeit verliert man den Anoymitätsaspekt komplett, dafür hat man einen hohen Anteil Privacy, der hier betrieben werden kann.
Security/Sicherheit hat man hierdurch mehr als beim Bargeld.
Das bedeutet, deine Zahlungen sind immer entweder durch dein Banking (Analog und Online) oder deine Lastschriftmandate gesichert. Ebenfalls hast du bei Zahlungen durch die Banksystem eine gewisse Sicherheit durch die Absicherung, denn was viele nicht wissen, die Bank kann dein Geld zurückholen oder im Falle eines „Diebstahls“ bist du durch die Bank versichert, sofern du nicht grob fahrlässig handelst.

Online Zahlungen (z.B. Paypal oder Kreditkarte)

Die wohl bekanntesten Zahlungsmittel in der heutigen Zeit.

Diese Zahlungsarten unterscheiden sich zwar im Detail, fungieren jedoch sehr ähnlich.

Hier gibst du einem Dritten deine Daten, dafür geht dieser her und fungiert als eine Art „Man in the Middle“ also geht beim Thema Zahlung als Verwalter zwischen dir und deinen Käufer/Verkäufer.

Hier muss auch erwähnt werden, dass diese Methoden Gebühren von mindestens einer der beiden Seiten, meistens des Verkäufers, erheben.
Ebenfalls sei zu erwähnen, dass es verschiedene Arten von Kreditkarten gibt.

Bei dem Zahlungsvorgang sind beide Seiten geschützt, das der „Verwalter“ den Überblick hat ob jemand zahlt und ob eine Ware/Dienstleistung übergeben wurde. Der Nachweis kann natürlich bei Dienstleistungen recht schwierig sein, dennoch machbar.

Dadurch, dass einer alles verwaltet, muss keiner der beiden Seiten sich große Gedanken zur Zahlungsabwicklung machen.
Ein weiterer Vorteil für dich, andere Dritte erhalten keine Daten zu deinem Konto etc.
Diese liegen lediglich deinem „Zahlungsverwalter“ vor.

Was man hier erwähnen muss, ist natürlich, dass du durch den „Man in the Middle“, diesem auch deine Daten anvertraust, was bei z.B. Klarna oder PayPal sehr umstritten ist, wenn es Privatspähre (Privacy) angeht.

Kreditkarten sind hier je nach Ausführung und Anbieter besser, hier kommt es tatsächlich darauf an, bei wem du diese Karte(n) hast.

Meine Empfehlung ist, nutze sofern möglich mindestens zwei Kreditkarten, eine für deine Zahlungen unterwegs und dann noch eine „virtuelle“ die du „nur“ für Online Zahlungen verwendest.

Die meisten Banken bieten dir solch ein Modell an und deine Bank hat bereits viele deiner Daten, daher hast du aus Privacysicht deine Daten die im Umlauf sind minimiert.

Zumindestens wie es in Deutschland am besten umsetzbar ist.

Disclaimer

Dies ist keine feste Definition wie es ist, sondern mein Versuch es für alle verständlich zu machen, wo die Unterschiede in den drei Feldern liegen.

Gerne können wir uns in den Kommentaren oder via Mail weiter austauschen.

Quellen Angaben

Das Verwendete Bildmaterial Stammt aus folgenden Quellen:

https://www.pngegg.com/2ac49a5c-b8ba-4d08-acce-d05cec810c4a

https://www.pngegg.com/a78497f4-f54a-4ccc-a9ad-c0e815748a7d

https://www.pngegg.com/1555119d-834d-44d8-8f83-6edf4b8b86fb

https://www.pngegg.com/cd036692-5867-4034-9702-1c74b418080c

https://www.pngegg.com/3476925e-5335-410d-bdae-94812745f190

https://www.pngegg.com/de9efec0-6ba3-489e-a6ff-fed997489b8a

https://auroraoss.com/img/ic_launcher.png

https://www.pngegg.com/fea0d7e1-df2c-4167-9647-0d341e25e7ab

:https://www.pngegg.com/23bf93b3-cef0-4970-9859-204246a27947

Inhaltliche Quellen sind folgende:

Persönliche Erfahrung

https://f-droid.org/en/about/

https://gitlab.com/AuroraOSS/AuroraStore/-/wikis/home

https://gitlab.com/AuroraOSS/AuroraStore/activity

The post Diese 3 Begriffe werden verwechselt, ein Aufklärungsversuch first appeared on Dominik's Blog.