Warum ich (nicht) mit Airbnb auf die CeBIT fahre

Airbnb ist ja an sich eine feine Sache. Privatleute können ihren Wohnraum für einen günstigen Preis an Interessenten aus der ganzen Welt vermieten. Dieses Jahr wollte ich den Online-Dienst deswegen auch nutzen, um ein Appartement für meinen CeBIT-Aufenthalt zu mieten. Morgen muss ich dort sein.

Es hat aber nicht geklappt. Warum?

Airbnb Probleme

Auch ohne Airbnb lassen sich schöne Unterkünfte finden. Bild: engindeniz, Freeimages.com

Der Ärger fing schon kurz nach der Registrierung an. Die Vermieterin des ersten Appartements, das ich mir ausgesucht hatte, hatte nur eine Antwortquote von 67 Prozent. Leider hat sie auch auf meine Anfrage nicht reagiert.

Eine zweite Vermieterin war selbst neu bei Airbnb und hatte bislang nur ein Foto online gestellt – mit Blick aus dem Fenster. Meine Bitte nach weiteren Fotos von den Innenräumen erfüllte sie prompt und erhöhte auch gleich noch den Preis um ein Drittel nach oben. Außerdem reservierte sie eine Buchung für mich. Die unerwartete Preiserhöhung wollte ich aber nicht akzeptieren und buchte deswegen nicht. Read More …

Fünf geforderte Mindeststandards für Cyber-Sicherheit in Unternehmen

Christophe Birkeland und Michael Hartmann von Blue Coat haben „fünf Mindeststandards“ für die Cyber-Sicherheit in Unternehmen verfasst. Die Thesen sind ganz interessant und sicher eine Überlegung wert.

These 1: Höhere Transparenz

Birkeland und Hartmann sind der Meinung, dass Unternehmen dem was innerhalb des Netzwerks geschieht „viel zu wenig Bedeutung beimessen“. Stattdessen sei die Aufmerksamkeit zu sehr nach außen ausgerichtet. Ein Großteil der eingesetzten Sicherheitslösungen würde zwar Informationen über Kommunikationen anzeigen, den dazugehörigen Kontext aber nicht mit einbeziehen. Unternehmen benötigen ihrer Ansicht nach einen „größeren Einblick in den Traffic des ganzen Netzwerks“. Read More …

Grundlagen: Muss ich das Router-Passwort ändern?

Router-Passwort ändern oder nicht

Das Router-Passwort schützt die Verwaltungsoberfläche das Geräts.

Viele Anwender stellen sich die Frage, ob sie das Router-Passwort, also das Passwort mit dem die Admin-Oberfläche geschützt ist, ändern sollten oder nicht?

Zunächst ist natürlich die Frage zu stellen, ob überhaupt bereits ein Passwort gesetzt wurde? Früher war das eher selten üblich, heutzutage sind zumindest die von den Providern gelieferten Router in der Regel durch ein Passwort geschützt, das auf der Rückseite des Geräts steht. Deswegen heißt es oft auch Gerätepasswort.

So ein Passwort, das auf der Rückseite des Geräts notiert ist, müssen Sie in der Regel nicht ändern. Außer es ist sehr kurz und leicht zu erraten. Ein WLAN-Hacker auf der Straße vor dem Haus hat außerdem auch keine Möglichkeit, den Router umzudrehen und das Passwort abzulesen. Anders sieht es aus, wenn das Gerät in einem öffentlich zugänglichen Raum, wie etwa einem Café, steht. Dann sollte das Router-Passwort natürlich geändert werden. Read More …

Es tut sich etwas bei De-Mail

De-Mail und PGP

De-Mail-Logo. Bild: BMI

Wie die FAZ in ihrer Ausgabe vom 9.3.2015 berichtet, soll das bislang wenig beliebte De-Mail eine Ende-zu-Ende-Verschlüsselung bekommen. De-Mail ist ein kostenpflichtiges Messaging-System, dass jedem Bürger eine eindeutige Mail-Adresse verschaffen und eine sichere Kommunikation mit Behörden und Unternehmen ermöglichen soll.

Bislang krankte De-Mail an mehreren Punkten:

  • anders als herkömmliche E-Mails kostet das Versenden von De-Mails Geld (bis zu 30 Cent pro De-Mail laut FAZ)
  • die Anmeldung ist umständlich und erfordert eine Identifizierung mit Personalausweis vor Ort
  • die Verschlüsselung war bislang nicht durchgängig, verschlüsselte Mails wurden „aus Sicherheitsgründen“ unterwegs beim Provider geöffnet

De-Mail und PGP

In Zukunft soll PGP zum Einsatz kommen und verhindern, dass die Mail von wem auch immer unterwegs gelesen werden kann. Dazu soll ab April dieses Jahres die Browser-Erweiterung Mailvelope verwendet werden. Das Problem ist, dass die Verschlüsselung mit PGP optional und nicht verbindlich sein soll.

Darüber hinaus soll laut FAZ auch das Anmeldeverfahren erleichtert werden. In Zukunft soll ein Bankkonto genügen, um sich registrieren.

Drei Viertel der WordPress-Nutzer verwenden keine Backup-Plug-ins

BackWPup ist ein kostenloses Backup-Plug-in für WordPress.

BackWPup ist ein kostenloses Backup-Plug-in für WordPress.

Wie haltet ihr es mit Backups? Ich weiss, dass sie ein leidiges Thema sind und habe selbst erst vor kurzem ein bis zwei Hundert Fotos verloren, die auf der SD-Karte in meinem Smartphone gespeichert waren. Als das Handy zu zicken begonnen hat, habe ich die Zeichen falsch gedeutet und nicht schnellstens alle Daten gesichert. Irgendwann war die Karte komplett kaputt und alle darauf gespeicherten Daten futsch. Lektion gelernt? Hoffentlich.

Bei WordPress bin ich da konsequenter. Regelmäßig exportiere ich alle Posts und Kommentare über die „Werkzeuge“-Funktion. Wer will, kann diesen Prozess aber auch automatisieren und ein passendes Plug-in wie das kostenlose BackWPup oder das kostenpflichtige BackupBuddy installieren. Read More …

Drive-by-Angriffe auf Router

In D-Link-Routern wurde eine gefährliche Sicherheitslücke entdeckt.

In D-Link-Routern wurde eine gefährliche Sicherheitslücke entdeckt.

Wie Heise Security vor kurzem gemeldet hat, sind Sicherheitslücken in mehreren Router der Hersteller D-Link und Trendnet gefunden wurden. Dabei soll es möglich sein, dass ein Angreifer aus der Ferne die Kontrolle über einen Router erlangt und zum Beispiel Einstellungen ändert.

Beim Lesen des von D-Link vor kurzem veröffentlichten Advisorys ist mir ein Detail aufgefallen.

3) Remote network; ‚drive-by‘ via CSRF.

 

Read More …

Router-Grundlagen: TR-069 abschalten oder nicht?

Technical Report 69, oder abgekürzt TR-069, ist ein Standard des Broadband Forums, um Endgeräte aus der Ferne zu konfigurieren und um sie automatisch zu aktualisieren.

TR-069 ist ein Standard zur Fernsteuerung des Routers. Bei gekauften Speedport-Routern kann er deaktiviert werden.

TR-069 ist ein Standard zur Fernsteuerung des Routers. Bei gekauften Speedport-Routern kann er deaktiviert werden.

TR-069 hat Vor- und Nachteile: So profitiert beispielsweise ein DSL-Kunde von einer vereinfachten Einrichtung seines Routers, weil das Gerät alle benötigten Konfigurationsdaten selbstständig herunterlädt. Außerdem bleibt das Gerät immer auf dem aktuellsten Stand, ohne dass sich der Kunde darum kümmern muss.

Auf der anderen Seite verliert er aber auch die Kontrolle über seinen Router. Der Provider kann Funktionen hinzufügen oder abschalten – ohne erst die Zustimmung des Kunden einzuholen. Er kann sogar die Passwörter aus der Ferne ändern oder zurücksetzen. Eine Verschlüsselung der Verbindung zwischen Router und Provider per SSL/TLS ist dabei nicht einmal vorgeschrieben, sondern nur „empfohlen“. Read More …

Grundlagen: Wie sicher ist WPS?

Wifi Protected Setup (WPS) ist eine Technik, die sich in vielen aktuellen Routern findet und die das Hinzufügen von Geräten zu einem WLAN erleichtern soll. WPS-Endgeräte können entweder durch das Drücken einer Taste oder durch die Eingabe einer PIN in das Funknetz eingebunden werden.

Dieser Speedport-Router der Telekom bietet die Tastendruck- als auch die PIN-Methode, um Endgeräte per WPS zum WLAN hinzuzufügen.

Dieser Speedport-Router der Telekom bietet die Tastendruck- als auch die PIN-Methode, um Endgeräte per WPS zum WLAN hinzuzufügen.

Bei der Tastendruck-Methode muss WPS zunächst am Router aktiviert werden. Das geht entweder über die Benutzeroberfläche des Geräts oder über eine Taste. Wenn WPS aktiviert ist, dann hat der Nutzer zwei Minuten Zeit, um ein neues Endgerät am Router anzumelden. Dazu ist die WPS-Taste am Endgerät zu drücken. Sind die zwei Minuten vorüber, dann akzeptiert der Router keine WPS-Endgeräte mehr.

Alternativ lässt sich in den Einstellungen des Routers eine PIN festlegen, die dann auf dem WPS-fähigen Endgerät eingegeben werden muss, um dieses zum WLAN hinzuzufügen. Beide Methoden sollen dem Anwender das Eintippen eines möglicherweise langen und komplizierten WPA2-Schlüssels ersparen. Read More …

Bye bye unverschlüsselte WLANs

Ich würde den Betrieb eines unverschlüsselten Funknetzes eh niemandem guten Gewissens empfehlen. Nun gibt es einen neuen Referentenentwurf zur Änderung des Telemediengesetzes. In ihm wird das sogenannte Haftungsprivileg aufgehoben, das bislang für private Anbieter galt.

Wie Rechtsanwalt Matthias Bergt auf CRonline schreibt, sollen „nichtkommerzielle Anbieter möglicherweise gar verpflichtet werden, die Namen ihrer Nutzer zu protokollieren, wenn sie nicht als Störer haften wollen“.

Bergt formuliert weiter:

Der Gesetzentwurf will ausdrücklich die Anforderungen, die die Rechtsprechung für die private Nutzung von WLANs – die bewusst nicht Dritten zur Verfügung gestellt werden sollten – auf jede Art von WLAN-Angeboten ausdehnen, auch wenn diese gerade auf die Nutzung durch Dritte ausgerichtet sind.

Es sei davon auszugehen, dass „private WLAN-Anbieter angesichts des unklaren Gesetzeswortlauts ihre private Vorratsdatenspeicherung beginnen“. Als Konsequenz befürchtet Bergt, dass viele private WLAN-Anbieter ihr Angebot einstellen werden: „Wenn ich als WLAN-Betreiber nicht mehr haften will, muss ich zunächst mein bisher offenes WLAN schließen und darf es nur noch einer geschlossenen Gruppe an Nutzern zur Verfügung stellen.“ Dann ist es aber auch kein freies WLAN mehr.

Hält ein WLAN-Betreiber die Anforderungen nicht ein, ist er automatisch als Störer haftbar – die Kollegen, die ihr Geld mit Massenabmahnungen verdienen, wird es freuen.

Wer also auch in Zukunft sein privates WLAN freigeben will, sollte sich das nun gründlich überlegen.