Passwort Verlust und wie man sich davor schützen kann

Und wieder schafft es ein Sicherheitsvorfall in die Presse (u.a. Hier oder Hier): In den sogenannten Collection #1 bis #5 haben Cyber-Kriminelle insgesamt 2.2 Milliarden E-Mail-Adressen und Kennwörter, teilweise mit weiteren Daten wie Kreditkartennummer, Vorname, Nachname und Geburtstag zusammengetragen.

Dann hört man „Die Internetseiten sind doch eh per https verschlüsselt“ oder „aber das betrifft uns in der Firma doch nicht. Wir haben für den Zugang von zu Hause oder unterwegs unsere zwei-Faktor-Authentifikation mit RSA … ” oder ähnliches.Das ist nur zum Teil korrekt. Richtig ist, dass sich niemand nur mit einem Kennwort von Außen in ein entsprechend abgesichertes Firmennetzwerk einloggen kann.Allerdings verwendet man an vielen Stellen eine Anmeldung mit Benutzername und Passwort – und insbesondere im privaten Umfeld ist diese Art der Anmeldung der Standard:

  • Firmenportale bei VMWare, Cisco, Checkpoint, etc.
  • Social Network Facebook, etc.
  • Amazon & Co.
  • privates E-Mail Konto bei GMX, web.de, google, etc.
  • Cloudspeicher Dropbox, etc.

Ob die eigene Identität von dem Leck betroffen ist, kann man mit dem “Identity Leak Checker” des Hasso-Plattner-Institus unter https://sec.hpi.de/ilc/search prüfen. Dort einfach dienstlichen und/oder private E-Mail-Adresse eingeben und prüfen lassen. Der Checker durchsucht darauf seine Datenbank und sendet an die angegebene E-Mail-Adresse einen Report über die gefundenen Daten (natürlich ohne Passwörter).

Und wenn diesen Beitrag so weit gelesen hat, möchte ich euch noch zwei Tipps mit auf den Weg geben:
1. In den (fast) unendlichen Weiten des Internets gibt es sicherlich auch “Identity Leak Checker”, die neben der E-Mail-Adresse auch die Eingabe des Passworts verlangen. Deren Nutzung ist natürlich keine gute Idee!

2.Man kann es den Bösen Buben deutlich schwerer machen, wenn man für jedes Konto bei einem Anbieter ein anderes Kennwort vergebt. Da man sich dutzende von Passwörtern nicht merken kann, empfiehlt sich die Nutzung eines Passwort-Managers, wie er z.B. im Firefox oder in Chrome eingebaut ist. Aber bitte unbedingt den Passwort-Manager mit einem guten Passwort schützen!

3. Zusätzlich hierzu kann man auch privat mit Zweifaktor Authentifizierung arbeiten wie z.B. mit der App basierten Lösung Authy oder einem Hardwarebasierten Yubikey.

Wer darüberhinaus noch wissen möchte wie man unseriöse Websites erkennt kann meinen anderen Beitrag zu dem Thema (nochmal) durchlesen.

Rezension Heimautomation mit KNX, Dali, 1-Wire und Co.

Wie der Titel des Buches Heimautomation mit KNX, Dali, 1-Wire und Co.“ aus dem Rheinwerkverlag schon vermuten lässt geht es um das Thema Smarthome im Zusammenhang mit strukturierter Gebäudeverkabelung. Dabei legt der Autor Stefan Heinle hier wert auf die Punkte Grundlagen, Planung und die technische Umsetzung. Hiernach ist es dann möglich in seiner Wohnung oder Haus die entsprechende Beleuchtung, Beschattung, Heizung, Multimedia und Sicherheitseinrichtungen intelligent automatisiert zu regeln und kontrollieren. Hierzu stellt der Autor in seinem sehr umfangreichen über 1300 Seiten starken Wälzer alles zur Verfügung was man wissen muß. Es werden die Themen rund um die Elektrik, Gebäudeverkabelung, Verkabelungstechniken Dali, 1-Wire, DMX, Ethernet, Schaltschranktechnik, etc. ebenso detailiert und sehr ausführlich beschrieben wie die entsprechende Softwareseite mit der Installation des entsprechenden Servers auf Linuxbasis. Auch wenn man kein Technikexperte ist wird man hier an das Thema sehr genau herangeführt. An vielen Stellen wirkt dies etwas arg trocken technisch und man fragt sich vielleicht warum das alles notwendig ist, aber am Ende wird dann alles wieder zusammengeführt. Spätestens mit der Einrichtung der entsprechenden Sensoren und Aktoren zur Temperatursteuerung, Rollosteuerung, Multimediaverteilung, Energiemanagemet, etc. wird hieraus eine runde Sache.
Wie bereits erwähnt liest sich das Buch an vielen Stellen eher etwas trocken und es ist von Vorteil wenn man ein grundlegendes Verständnis von Elektrotechnik und Netzwerktechnik sowie Linux als Betriebssystem mitbringt. Der Autor hat meiner Meinung nach einen sehr guten Job gemacht hier alles Wissen was es hierzu gibt zusammen zu tragen. Das umfassende Handbuch ist hier allerdings durchaus angebracht da hier wirklich ALLES enthalten ist. An der ein oder anderen Stelle hätte es sicher geholfen einfach reale Beispiele zu verwenden um z.B. einmal eine Wohnung mit Licht und Rollo und einmal ein komplettes Haus samt Heizugssteuerung und Überwachungs- und Sicherheitstechnik durchzuspielen samt Apps fürs Handy, Automatisierungen, etc. Auch wenn man vielleicht nur einige Kapitel benötigt und man hieraus sicher 2-3 einzelne Bücher hätte machen können ist dieses Buch im gesammten hevorragend für dieses Thema geeignet und wer hier wirklich in die Materie von vorne bis hinten einsteigen will ist da genau richtig.

Buchrezension Light, Style, Shoot mit DIY Equipment

Das Buch von Christina Key „Light, Style Shoot mit DIY Equipment“ ist stark für die eher jüngere und experimentierfreudigere Generation geschrieben und weniger für etwas ambitioniertere Fotografen.
Es werden auf knapp über 300 Seiten viele Ideen gegeben wie z.B. das Spiel mit Schattengebenden Rollos und Spiegelkugeln, aber es fehlen Klassiker wie z.B. die Noppenmatte aus dem Baumarkt die man zu einer Röhre drehen kann und das Model dann daraus herausschaut. Bei den Aufnamedaten wird durch kleine Symbole gekennzeichnet zusätzlich noch Aufwand, Wow-Faktor, Dauer, Zubehör und Kosten aufgeführt. Auch die Qualität des DIY-Equipments schwankt im gesammten ziemlich stark. Oft ist es eher nur ein Experiment und an anderer Stelle kommen dabei richtig gute Fotos heraus. Das hat mir ebenso gefallen wie die teilweise recht guten Fotos die zu eigener Initiative anregen.
Bei einigen DIY Projekten wie z.B. beim Beautydisch aus einem Pappteller und einer Plastiksuppenschüssel hat mir auch die Ausführung nicht so ganz gefallen, da hier z.B. die Suppenschüssel ja im gesammten als Diffusor gilt und der eigentliche Effekt einer Beautydisch nur halb rüberkommt. Es fehlen also an einigen Stellen auch Einschränkungen des so gebauten Equipments. Auch gibt es wenn man im Internet etwas recherchiert bessere Ausführungen.

Mein Fazit ist, das man sich hier sicherlich gute Anregungen holen kann. Für den Einsteiger oder jemand, der Inspiration zum experimentieren sucht oder weiß wie man anfangen soll ist das sicher ein guter Ansatz. Wer allerdings produktiver oder umfangreicheres DIY-Equipment erwartet ist hier fehl am Platz. Viele Ideen wie Licht-Schatteneffekte mit allen möglichen Gegenständen (Gardine, Jalousie, Sieb, etc.) werden auf über 20 Seiten ausführlichst aufgefürt aber der Umgang mit dem Klassiker Baustrahler findet dann auf gerade mal 4 Seiten statt und Optionen wie Klappen oder Tubes werden garnicht weiter angesprochen. Als Einstieg und durch die gute Qualität der Bilder als Inspirationsbuch aber sehr gut geeignet.

Buchreview Influencer Marketing

Der Begriff Influencer-Marketing ist in aller Munde. Insofern hat mich das Thema aus Sicht Des Unternehmers interessiert und wie man eben mit Influencern seine Kunden besser erreichen kann.
Das rund 300 Seiten starke Buch von Sven-Oliver Funke „Influencer-Marketing“ aus dem Rheinwerk Verlag ist hier eines der ersten welches sich mit dem Thema beschäftigt.
In den 11 Kapiteln geht es neben der Einführung, Arten der Zusammenarbeit, Auswahl eines geeigneten Influencers, Erstkontakt und Zusammenarbeit organisieren, Briefing, Kooperation auswerten, Beispiele, was tun wenn es schief geht und Rechtliches. Auch wenn das Buch eher für Unternehmen geschrieben ist lohnt es sich sicherlich auch aus Influencersicht das ganze durchzulesen. Das Buch ist reich in Farbe bebildert und bei Videolinks ist jeweils ein QR Code mit dabei das man sich das Video schnell auf sem Smartphone nebenbei anschauen kann. Ebenso sind viele Checklisten und allgemeine Marketing Hinweise vorhanden welches einen besseren und tieferen Einblick in das Thema ansich gibt.
Der Leser sollte ggf. schon ein wenig Ahnung im Bereich Marketing haben obwohl viele Begriffe auch im Buch nochmal erklärt werden. Das Buch gibt zwar keine reinen HowTo Vorschläge oder Beispiele zun nacharbeiten allerdings viele Anregungen, Checklisten und Vorgehensweisen an die Hand um entsprechende Influencer-Marketing Kampagnen durchzuführen.
Als Fazit kann ich nur sagen, das dieses Buch wohl eines der ersten Bücher speziell für das Thema Influencer-Marketing aus Industriesicht ist und man hier sehr viele Aha-Effekte hat.

Unseriöse Websites erkennen – Das Tutorial

Immer wieder wird man gefragt „Hey, kennst Du schon diese Website. Die find ich super“ Das MUSS nicht IMMER die alt bekannte Phishing Anmache sein bei der man relativ plump nach irgendwelchen Accountdaten gefragt wird das kann auch in Zeiten des Doxings eine vermeintlich gut aussehende Seite oder auch Smartphone App zum sammeln von persönlichen Daten sein.

Ich bin kein Rechtlich arg bewanderter Mensch, aber mir kommen immer wieder Bekannte mit eben diesen und ähnlichen Fragen. Deshalb hier einfach mal einige Tipps wie man sich besser schützen kann.

Grundsätzlich gilt für ALLE Internetangebote auf denen man Daten angeben soll / will, das diese

  • ein Impressum haben sollten in dem verifizierbare Kontaktdaten des Webseitenbetreibers stehen. Umsatzsteuer IDs kann man ebenso wie Firmenadressen per einfacher Suche zumindest auf Plausibilität prüfen
  • Bei Seiten auf denen man was kaufen oder bestellen kann sollte eine AGB vorhanden sein auf die man sich berufen kann.
  • Anmelde sowie Bestellseiten sind zwingend mit https verschlüsselt (gerade bei Seiten im Ausland nicht immer Standard)
  • Als Bezahlmethode sollte nicht nur Kreditkarte oder so dastehen sondern am besten mehrere zu Auswahl sein. Paypal und Überweisung sind schonmal ein guter Anhaltspunkt.
  • Man kann nach „Erfahrungsbericht“ und dann den Namen suchen. Wenn es eine Verkaufsplattform oder Hersteller oder so ist wird es sicher Einträge auf entsprechenden Bewertungsportalen geben (auch die sind natürlich mit Vorsicht zu genießen, aber wenn zumindest keine zig Einträge mit „Vorsicht vor dem! “ kommt ist das schonmal ein gutes Zeichen.

Grundsätzlich gilt ebenso, das wenn man ein ungutes Gefühl hat dann sollte man eh die Finger davon lassen.

Beispiel1: jemand präsentiert eine Seite mit hochwertigen Damenhandtaschen, Uhren oder Sneaker. Eine nagelneue Uhr beim Hersteller kostet z.B. 1200,- und auf dieser Website steht dann ein Preis um die 600,- oder 800,- oder so also auf jeden Fall WEIT unter den üblichen Straßenpreisen.

Nach erster Durchsicht gibt es oft eine AGB (die bei genaueren Hinsehen oft z.B. arge Fehler enthält oder gar irgendwoanders her kopiert wurde und vielleicht sogar im Text noch den Firmennamen der Originalseite enthält) und ein Impressum. Wenn jetzt die Website Den Eindruck macht, das es sich um Schuhgeschäft handelt man per google Maps aber dann irgendein Hochhaus in London als Firmensitz findet passt das nicht wirklich zusammen.

Es wird auf solchen Seiten oft auch bei den Bezahlmethoden mit kleinen Icons geworben, das es SICHER ist hier zu bezahlen, aber beim Einkaufsprozess findet alles OHNE Sicherheitszertifikat (kein HTTPS in der URL) oder es werden Bezahlmethoden angegeben, die dann garnicht zur Auswahl stehen.

Beispiel2: Eine Webseite wirkt auf den ersten Blick sehr aufgeräumt, seriös und hat zuersteinmal alle Merkmale wie die Angabe eines Impressums, AGB, etc. Allerdings kann man Inhalte erst sehen wenn man sich registriert bzw. angemeldet hat.

Dies ist meiner Meinung nach ein Absolutes NoGo und Warnhinweis. Hier sollen auf jeden Fall persönliche Daten zur Weitergabe gesammelt werden. Oftmals wird das abgreifen der Daten zusätzlich durch eine entsprechende Smartphone App unterstützt.

Bekannt sind hier in Abwandlung des Beispiels2 z.B. die Seiten die mit „In 10 Tagen zum Internet Millionär“ oder „Ich habe es geschafft. Auch DU kannst das“ oder „Ich verrate den Trick wie man ohne Eigenkapital in 30 Tagen reich werden kann. Den Trick, den sonst keiner verrät“ oder ähnliches werben. Auch hier wird man mit Lockangeboten dazu gebracht Daten von sich an zu geben, irgendwelche eBooks, Gesundheitstipps zum Abnehmen, etc. abzuschliessen. Oft bekommt man dann entweder beim Eintrag in einen Newsletter der „die Geheimnisse des persönlichen Erfolges“ oder ähnliches verspricht mehr oder weniger oberflächliche Tipps, die aus einer Datenbank automatisiert versendet werden und ggf. ein eBook (aus ca. 5-10 Seiten … also eher ein Faltblättchen) ohne wirklichen Mehrwert. DENN danach kommts erst und man wird nachdem man angefixt wurde weiter mit Newslettern und „kostenlosen Videos die Dir zeigen wie es geht“ bombardiert. Das soll dann dazu führen, das man sich entweder DAS Buch was einem WIRKLICH Zeigt wie es geht, das einem nicht nur die Tipps gibt sondern für einen noch die Arbeit macht oder das Nahrungsergänzungsprodukt was einem WIRKLICH die Pfunde purzeln lässt oder DAS Coaching Paket was einem die Selbstständigkeit ermöglicht … Egal ob es jetzt eine Website oder ein youtube Video ist welches einem das blaue vom Himmel betet sollte man sich fragen wenn das so einfach ist warum machen es dann nicht noch zig andere? Weil letztendlich nur der Newsletter Versender oder der der diese Angebotsseite einmal gebastelt hat etwas davon hat, denn man selbst geht Ihm auf den Leim.

Beim obigen Beispielscreenshot einer Website die arg an eine der bekannten SocialNetwork Seiten angelehnt ist sollte man sich auch hier fragen warum man auf eine Alternative Seite wechseln sollte, welchen Mehrwert diese hätte und auch Alleinstellungsmerkmal. Nur weil es nachgemacht ist, ist es ja nicht „besser“. Auch die nachgemachte Seite erhofft sich ja etwas von den „Usern“. Irgendwie finanzieren die sich ja auch und und und. Genauso wie man auf seine Ernährung, Qualität der Kleidung, Auswahl des Autos, Smartphones, etc. achtet sollte man eben auch hier auf einen entsprechenden Qualitätsanspruch achten. Wie wichtig die Eigenen Daten sind sollte mittlerweile klar sein.

Augen auf beim Websiteaufruf!

  • Für die Anmeldung auf einer Website ist ausser dem Namen und der Mailadresse NICHTS weiter notwendig. Auch zur „Verifizierung“ sollte immer  eine Alternative zur SMS angeboten werden damit man seine Handynummer die ansonsten mit Werbung überhäuft werden könnte eben lahmgelet ist.
  • Persönliche Daten sollten IMMER nur freiwillig (optional) sein. Sich immer selbst fragen ist die Angabe nun wirklich zur Erbringung der Leistung notwendig?
  • Wer etwas kostenlos verspricht sollte es auch ohne Gegenleistung direkt zur Verfügung stellen. Wenn es ein Abo ist sollte das eben gleich am Anfang klar sein und nicht erst später.
  • Seiten die vom Design her schon an andere bekannte Seiten erinnern führen oft nichts gutes im Schilde, denn diese haben von sich aus kein Alleinstellungsmerkmal und zielen auf die Ähnlichkeit ab
  • Wenn etwas ZU schön klingt immer sich selbst und auch die Produkt/Seitendetails hinterfragen was WIRKLICH angeboten wird.

Hier noch ein paar Allgemeingültige Tipps:

  • Am besten natürlich KEINE persönlichen Daten angeben.
  • Wo immer möglich Zweifaktor Authentifizierung (2FA) verwenden. Auch hier gibt eine entsprechend seriöse Webseite über diese Möglichkeiten bereitwillig Auskunft.
  • Anmeldedaten regelmässig prüfen und ändern.
  • keine Accountdaten / Mailadressen gleichzeitig ÜBERALL und womöglich mit dem gleichen Passwort verwenden!
  • Möglichst nicht aus Bequemlichkeit „mit Facebook / Twitter… anmelden“ verwenden. Auch hier kann wenn jemand ein Passwort raus hat auf ALLE Accounts zugegriffen werden…
  • Einen guten sicheren Passwortmanager verwenden wenn man sic nicht alle unterschiedlichen Accounts merken kann

Ehrliche Werbung und ehrliches Marketing präsentiert einem eben was es auf einer Webseite oder App oder so wirklich gibt und führt einen DIREKT zum Abo oder Kauf Button ohne Umwege.

Dies sind wie gesagt nur meine persönlichen Erfahrungen über die Jahre, aber ich hoffe dem ein oder anderen Hilft es.

Cloudspeicher mit Cloudevo zusammefassen

ich hatte mich ja bereits in meinem Beitrag zum virtuellen NAS etwas näher mit Cloudspeicher beschäftigt. Anscheinend gibt es jetzt ein noch nützliches alternatives Tool namens Cloudevo mit dem man noch einfacher verschiedene (kostenlose) Cloudspeicher von google, 4shared, Dropbox, Onedrive und noch einigen andere mehr zu einem großen Cloudspeicher zusammenfassen und als ein Laufwerk nutzen kann. Hier sind natürlich auch WebDav, SFTP, Cifs/Samba und andere eigene mehr oder weniger generischen Lösungen möglich.

Der Vorteil ist, das man hier GLEICHZEITIG mehrere Cloudspeicher eines Anbieters nutzen kann und nicht jeweils nur ein Speicher verwenden kann und mehrere mischen muß. Wie hier zu sehen habe ich innerhalb weniger Minuten einige neue Accounts angelegt und hatte dann rund 100GB Cloudspeicher for free. Gerade wenn man mal größere Dateien relativ Zeitnah von A nach B transportieren möchte kann das ganz praktisch sein.

Die einfach zu installierende kostenlose App kann u.a. verschlüsselte Container erstellen und die Daten auch im RAID Verbund ablegen. Sicherheit wird hier also groß geschrieben. Verwenden kann man das ganze natürlich auch unter iOS, Android, Linux und als Webapplikation. Man kann auch angeben wieviel lokaler Speicher als Zwischenspeicher genutzt werden soll. Das kann bei der Smartphone Installation wo ggf. der lokale Speicher recht knapp ist interessant sein.

Auch das Anlegen von weiteren Freigaben und benutzern ist hier kein Problem. In der kostenlosen version können bis zu 3 Geräte synchronisiert werden was für viele Anwendungsfälle bereits ausreicht.

Den Synchronisationsfortschritt sieht man in einer kleinen tastleisten App ganz gut. Ich habe hier eigentlich eine ganz gute Direktanbindung über eine synchrone Anbindung mit 155MBit aber die Übertragung hat sich bei ca. 500Kb/s eingependelt. Somit dauert die Synchronisation etwas aber alles in allem recht Zuverlässig. Wer sich nicht erst einen Nextcloud oder Opnecloud Server aufsetzen und ein eigenes NAS betreiben möchte um von überall auf größere Datenmengen zuzugreifen ist hier vielleicht ganz gut bedient.