Audit zeigt: Truecrypt 7.1a enthält keine Hintertüren

Truecrypt Audit

In Truecrypt 7.1a wurden keine Hintertüren gefunden, aber eine Handvoll kleinerer Fehler.

Truecrypt war für viele Jahre DAS Verschlüsselungsprogramm. Man konnte mit Truecrypt bis Version 7.1a Container und auch komplette Partitionen verschlüsseln und alle Inhalte so vor fremden Augen schützen. Vor fast einem Jahr, im Mai 2014, wurde das Projekt jedoch plötzlich eingestellt.

Die bis heute unbekannten Entwickler löschten die alte Truecrypt-Webseite und leiten seitdem auf eine neue Seite mit einer Warnung vor ihrem eigenen Programm um. Die auf der Warnseite angebotene Truecrypt-Version 7.2 kann Container nur noch entschlüsseln, aber keine neuen mehr anlegen.

Die Frage war nun, ob Truecrypt wirklich so unsicher ist, wie die Entwickler sagen, oder ob sie zu dieser Stellungnahme gezwungen wurden? Read More …

Fünf geforderte Mindeststandards für Cyber-Sicherheit in Unternehmen

Christophe Birkeland und Michael Hartmann von Blue Coat haben „fünf Mindeststandards“ für die Cyber-Sicherheit in Unternehmen verfasst. Die Thesen sind ganz interessant und sicher eine Überlegung wert.

These 1: Höhere Transparenz

Birkeland und Hartmann sind der Meinung, dass Unternehmen dem was innerhalb des Netzwerks geschieht „viel zu wenig Bedeutung beimessen“. Stattdessen sei die Aufmerksamkeit zu sehr nach außen ausgerichtet. Ein Großteil der eingesetzten Sicherheitslösungen würde zwar Informationen über Kommunikationen anzeigen, den dazugehörigen Kontext aber nicht mit einbeziehen. Unternehmen benötigen ihrer Ansicht nach einen „größeren Einblick in den Traffic des ganzen Netzwerks“. Read More …

Router-Grundlagen: Die SSID ändern und ein sicheres WLAN-Passwort erstellen

SSID ändern: So geht's

Wählen Sie eine SSID aus, die keine Rückschlüsse zu Ihrer Person oder Ihrem Router zulässt.

Jedes Funknetz trägt zwangsläufig einen eigenen Namen, der SSID genannt wird. Die Abkürzung steht für Service Set Identification. Unter diesem Namen lässt sich Ihr Funknetz in der näheren Umgebung auffinden. Das hat Vor- und Nachteile.

In der Regel sollten Sie die voreingestellte SSID Ihres WLAN-Routers ändern. Häufig vergeben die Anbieter Namen wie „default“ oder die genaue Bezeichnung Ihres Routers, zum Beispiel „Fritz!Box 7490“.

Letztere Bezeichnung identifiziert eindeutig das von Ihnen verwendete Gerät zu und hilft einem Angreifer dadurch beim Aufspüren von möglichen Sicherheitslücken. Read More …

Es tut sich etwas bei De-Mail

De-Mail und PGP

De-Mail-Logo. Bild: BMI

Wie die FAZ in ihrer Ausgabe vom 9.3.2015 berichtet, soll das bislang wenig beliebte De-Mail eine Ende-zu-Ende-Verschlüsselung bekommen. De-Mail ist ein kostenpflichtiges Messaging-System, dass jedem Bürger eine eindeutige Mail-Adresse verschaffen und eine sichere Kommunikation mit Behörden und Unternehmen ermöglichen soll.

Bislang krankte De-Mail an mehreren Punkten:

  • anders als herkömmliche E-Mails kostet das Versenden von De-Mails Geld (bis zu 30 Cent pro De-Mail laut FAZ)
  • die Anmeldung ist umständlich und erfordert eine Identifizierung mit Personalausweis vor Ort
  • die Verschlüsselung war bislang nicht durchgängig, verschlüsselte Mails wurden „aus Sicherheitsgründen“ unterwegs beim Provider geöffnet

De-Mail und PGP

In Zukunft soll PGP zum Einsatz kommen und verhindern, dass die Mail von wem auch immer unterwegs gelesen werden kann. Dazu soll ab April dieses Jahres die Browser-Erweiterung Mailvelope verwendet werden. Das Problem ist, dass die Verschlüsselung mit PGP optional und nicht verbindlich sein soll.

Darüber hinaus soll laut FAZ auch das Anmeldeverfahren erleichtert werden. In Zukunft soll ein Bankkonto genügen, um sich registrieren.

Bye bye unverschlüsselte WLANs

Ich würde den Betrieb eines unverschlüsselten Funknetzes eh niemandem guten Gewissens empfehlen. Nun gibt es einen neuen Referentenentwurf zur Änderung des Telemediengesetzes. In ihm wird das sogenannte Haftungsprivileg aufgehoben, das bislang für private Anbieter galt.

Wie Rechtsanwalt Matthias Bergt auf CRonline schreibt, sollen „nichtkommerzielle Anbieter möglicherweise gar verpflichtet werden, die Namen ihrer Nutzer zu protokollieren, wenn sie nicht als Störer haften wollen“.

Bergt formuliert weiter:

Der Gesetzentwurf will ausdrücklich die Anforderungen, die die Rechtsprechung für die private Nutzung von WLANs – die bewusst nicht Dritten zur Verfügung gestellt werden sollten – auf jede Art von WLAN-Angeboten ausdehnen, auch wenn diese gerade auf die Nutzung durch Dritte ausgerichtet sind.

Es sei davon auszugehen, dass „private WLAN-Anbieter angesichts des unklaren Gesetzeswortlauts ihre private Vorratsdatenspeicherung beginnen“. Als Konsequenz befürchtet Bergt, dass viele private WLAN-Anbieter ihr Angebot einstellen werden: „Wenn ich als WLAN-Betreiber nicht mehr haften will, muss ich zunächst mein bisher offenes WLAN schließen und darf es nur noch einer geschlossenen Gruppe an Nutzern zur Verfügung stellen.“ Dann ist es aber auch kein freies WLAN mehr.

Hält ein WLAN-Betreiber die Anforderungen nicht ein, ist er automatisch als Störer haftbar – die Kollegen, die ihr Geld mit Massenabmahnungen verdienen, wird es freuen.

Wer also auch in Zukunft sein privates WLAN freigeben will, sollte sich das nun gründlich überlegen.

Grundlagen: WLAN richtig verschlüsseln

Funknetze sind ja unheimlich praktisch, haben aber auch einen großen Nachteil: Die damit übertragenen Daten erreichen nicht nur deine und meine Endgeräte, sondern auch alle anderen WLAN-fähigen Geräte in Reichweite.

Sechs Sekunden hat es gedauert, einen WEP-Schlüssel zu knacken.

Sechs Sekunden hat es gedauert, einen WEP-Schlüssel zu knacken.

Aus diesem Grund sollten WLANs immer verschlüsselt werden. Moderne Router unterstützen mehrere Verschlüsselungstechniken: Wired Equivalent Privacy (WEP), Wifi Protected Access (WPA) sowie die Weiterentwicklung WPA2. Die ersten beiden Standards, WEP und WPA, gelten als nicht mehr sicher und sollten deshalb nicht mehr verwendet werden. Bei Tests, die ich vor ein paar Jahren mit Backtrack durchgeführt habe, konnte ich WEP-Passwörter in nur wenigen Sekunden knacken.

WPA2 basiert dagegen auf dem Standard Advanced Encryption Standard (AES), der als unknackbar gilt. Read More …