Social Engineering – da hilft nur Verhaltenstraining

Schon Kevin Mitnick hat es ausführlich betont und F-Secure hat es in ihrem aktuellen Incident Response Report bestätigt:
Social Engineering ist der erfolgreichste Angriffsvektor auf die digitalen Güter eines Unternehmens.
Und gegen Social Engineering hilft keine Technik – dagegen helfen nur Awareness-Schulungen und eine Sensibilisierung der Mitarbeiter.
Albert Einstein wird zugeschrieben …

Schon Kevin Mitnick hat es ausführlich betont und F-Secure hat es in ihrem aktuellen Incident Response Report bestätigt:
Social Engineering ist der erfolgreichste Angriffsvektor auf die digitalen Güter eines Unternehmens.
Und gegen Social Engineering hilft keine Technik – dagegen helfen nur Awareness-Schulungen und eine Sensibilisierung der Mitarbeiter.
Albert Einstein wird zugeschrieben es so formuliert zu haben:

„Probleme kann man niemals mit derselben Denkweise lösen, durch die sie entstanden sind.“

Du kommst hier nicht raus…

UstDeleteMe – eine schöne Übersicht über die (Un-)Möglichkeit, einen Online-Account zu löschen!
Ganz besonders gut gefallen mir die schwarz unterlegten Angebote: Impossible.
Erinnert mich sehr an meinen längeren Artikel und meine persönlichen Erfahrungen zu diesem Thema.
An dieser Stelle ein großes Danke! an Mike Kuketz in dessen Microblog ich das …

UstDeleteMe – eine schöne Übersicht über die (Un-)Möglichkeit, einen Online-Account zu löschen!
Ganz besonders gut gefallen mir die schwarz unterlegten Angebote: Impossible.
Erinnert mich sehr an meinen längeren Artikel und meine persönlichen Erfahrungen zu diesem Thema.
An dieser Stelle ein großes Danke! an Mike Kuketz in dessen Microblog ich das heute gelesen habe.

Facebooks erzwungener Schlangenöleinsatz

Nun, das ist wieder einmal ein epischer Griff ins Klo der unsozialen Plattformen.
Facebook erzwingt den Download und Einsatz eines Malware-Scanners, sollte bei einem Facebook-Nutzer der Verdacht auf eine Infektion durch Malware vorhanden sein.
Wired hat sich diesem unsäglichen Thema angenommen und einen schönen Artikel darüber geschrieben.
Louise Matsakis beleuchtet …

Nun, das ist wieder einmal ein epischer Griff ins Klo der unsozialen Plattformen.
Facebook erzwingt den Download und Einsatz eines Malware-Scanners, sollte bei einem Facebook-Nutzer der Verdacht auf eine Infektion durch Malware vorhanden sein.
Wired hat sich diesem unsäglichen Thema angenommen und einen schönen Artikel darüber geschrieben.
Louise Matsakis beleuchtet darin das Problem von erzwungenem Malware-Scanner-Download und -Einsatz von vielen wichtigen Seiten und stellt das unverantwortliche Vorgehen von Facebook sehr klar dar.

Sprengstoff Passwort

Da haben die Kollegen von individualsphäre.de wieder einen schönen Beitrag zur Sensibilisierung im Bereich Passwörter abgeliefert:
Autorisierung: Alpha Alpha 3-0-5
Lesenswert, um immer schön auf der Hut zu bleiben, was man so mit seinen Passwörtern anstellt.

Da haben die Kollegen von individualsphäre.de wieder einen schönen Beitrag zur Sensibilisierung im Bereich Passwörter abgeliefert:
Autorisierung: Alpha Alpha 3-0-5
Lesenswert, um immer schön auf der Hut zu bleiben, was man so mit seinen Passwörtern anstellt.

Ein guter Grund für Signal

Die Zukunft des Instant Messengers Signal scheint für die nächste Zeit gesichert zu sein.
Brian Acton, einer der Gründer von WhatsApp, investiert in Signal 50 Millionen US Dollar.
Mit diesem Invest wird die Signal Stiftung finanziert, deren Geschäftsführer soll Moxie Marlinspike, der Gründer von Open Whisper Systems, werden.
Ich halte …

Die Zukunft des Instant Messengers Signal scheint für die nächste Zeit gesichert zu sein.
Brian Acton, einer der Gründer von WhatsApp, investiert in Signal 50 Millionen US Dollar.
Mit diesem Invest wird die Signal Stiftung finanziert, deren Geschäftsführer soll Moxie Marlinspike, der Gründer von Open Whisper Systems, werden.
Ich halte es für ein gutes Zeichen, dass Signal nun im Rahmen einer gemeinnützigen Stiftung (501 c3 nonprofit organization) weiterentwickelt.
Damit dürfte sichergestellt sein, dass keine wirtschaftlichen Interessen hinter Signal stehen.
Das sollte wir doch als Signal für einen Wechsel weg von WhatsApp zu Signal nutzen!

Warum-die-Bindung-eines-Sicherheitsmerkmals-an-eine-Telefonnummer-eine-schlechte-Idee-ist

Zwei-Faktor-Authentifizierung (2FA) ist eine gute Idee.
Diesen zusätzlichen Schutz aber an eine Telefonnummer zu binden, ist eine schlechte Idee.
Zum einen hat der zu schützende Dienst ein weiteres Datum (eine Telefonnummer).
Zum anderen kann diese Telefonnummer auch dafür genutzt, um noch ganz andere Informationen als ein Einmalpasswort an diese Nummer …

Zwei-Faktor-Authentifizierung (2FA) ist eine gute Idee.
Diesen zusätzlichen Schutz aber an eine Telefonnummer zu binden, ist eine schlechte Idee.
Zum einen hat der zu schützende Dienst ein weiteres Datum (eine Telefonnummer).
Zum anderen kann diese Telefonnummer auch dafür genutzt, um noch ganz andere Informationen als ein Einmalpasswort an diese Nummer zu schicken.
So wie Facebook dies jüngst getan hat.
Bekamen die Nutzer bei Facebook doch zeitweilig Nachrichten zu Aktivitäten aus ihrem Profil per SMS an diese – eigentlich – vertrauliche Nummer zum Empfang von Einmalpasswörtern geschickt.
War natürlich nur ein Versehen, so Facebook.
Nun ja, zum Glück bin ich ein Schelm und darf somit Böses denken.

Facebook und die Klarnamenpflicht – ein Verstoß gegen das TMG

Ha!
Es gibt sie noch – die guten Dinge im Internet.
Hat das LG Berlin am vergangenen Montag geurteilt, dass die Klarnamen-~~Pflicht~~ von Facebook gegen das Telemediengesetz verstößt.
Das kommt mir jetzt gerade so ein bisschen told-you-so vor.
Ich kann mir mein breites Grinsen gerade auch nicht verkneifen – warum auch …

Ha!
Es gibt sie noch – die guten Dinge im Internet.
Hat das LG Berlin am vergangenen Montag geurteilt, dass die Klarnamen-~~Pflicht~~ von Facebook gegen das Telemediengesetz verstößt.
Das kommt mir jetzt gerade so ein bisschen told-you-so vor.
Ich kann mir mein breites Grinsen gerade auch nicht verkneifen – warum auch?

Facebook – jetzt mit Rundum-Überwachung

Facebook Protect.
Klingt toll, ist nur purer Hohn.
Oder die Umkehrung der Erwartung:
Nicht die Kunden werden geschützt – sondern der Internetkonzern.
Ja, aber worum geht es denn?
Facebook hat mit Onavo einen VPN-Hersteller gekauft.
Klingt zunächst gut und nach Schutz – denn ein VPN dient ja dazu, den Daten-Traffic geschützt zu …

Facebook Protect.
Klingt toll, ist nur purer Hohn.
Oder die Umkehrung der Erwartung:
Nicht die Kunden werden geschützt – sondern der Internetkonzern.
Ja, aber worum geht es denn?
Facebook hat mit Onavo einen VPN-Hersteller gekauft.
Klingt zunächst gut und nach Schutz – denn ein VPN dient ja dazu, den Daten-Traffic geschützt zu übertragen.
Stellt sich jetzt in diesem Fall jetzt aber als eine allesüberwachende Schnüffelmaschine heraus:

„Instead, Onavo’s VPN allow Facebook to monitor user activity across apps, giving Facebook a big advantage in terms of spotting new trends across the larger mobile ecosystem.“
Denn nun läuft der gesamte Traffic über die Facebook-Server und Facebook bekommt jetzt Einblick in alles, was wir so online unternehmen.
Na herzlichen Glückwunsch – Privatsphärenschutz sieht jedenfalls anders aus.

Einfallstor Outlook

Am heutigen Microsoft-Patchday hat Microsoft 54 Sicherheitslücken geschlossen.
Gut so.
Besonders kritisch sind dabei zwei Lücken in Outlook, die es einem Angreifer allein durch den Versand (und Empfang durch Outlook) einer präparierten Mail erlauben, Schadcode auf den angegriffenen Rechner zu übertragen und dadurch die Kontrolle über diesen zu erlangen.
Also …

Am heutigen Microsoft-Patchday hat Microsoft 54 Sicherheitslücken geschlossen.
Gut so.
Besonders kritisch sind dabei zwei Lücken in Outlook, die es einem Angreifer allein durch den Versand (und Empfang durch Outlook) einer präparierten Mail erlauben, Schadcode auf den angegriffenen Rechner zu übertragen und dadurch die Kontrolle über diesen zu erlangen.
Also: Dringend patchen!
Oder noch besser wechseln.
Entweder direkt das Betriebssystem oder zumindest den Mail-Client.
Mozilla Thunderbird ist wirklich eine gute Alternative.

Daten-Bullshit-Bingo

Wenn ich lese was Nadine Schön, die stellvertretende Fraktionsvorsitzende der CDU/CSU-Fraktion, zum Europäischen Datenschutztag am 28. Januar 2018 beizutragen hat, packt mich das kalte Grausen:

„Damit Innovation durch Daten Erfolg haben kann, setzen wir uns für eine neue Datenkultur ein: Weg vom Grundsatz der Datensparsamkeit hin zu einem kreativen …

Wenn ich lese was Nadine Schön, die stellvertretende Fraktionsvorsitzende der CDU/CSU-Fraktion, zum Europäischen Datenschutztag am 28. Januar 2018 beizutragen hat, packt mich das kalte Grausen:

„Damit Innovation durch Daten Erfolg haben kann, setzen wir uns für eine neue Datenkultur ein: Weg vom Grundsatz der Datensparsamkeit hin zu einem kreativen, sicheren Datenreichtum.“
Wenn dies der Weg ist, den unsere Regierung gehen wird, sehe ich schwarz (ha, ha) für unsere Privatsphäre, unsere Freiheit, unsere Zukunft.
Tut was: