Kurznachrichten

RSS-Feed

Hörtipp: Chinas Weg in die IT-Diktatur

China perfektioniert den Überwachungsstaat. Sind sie Vorreiter für ein System, das uns bald allen droht?

"Chinas Weg in die IT-Diktatur" China möchte bis 2020 ein System aufbauen, das das Verhalten seiner Bürger bewertet. Es soll möglichst alles erfassen: Zahlungsmoral, Strafregister, Einkaufsgewohnheiten und soziales Verhalten. Chinas Kommunistische Partei möchte damit den moralisch einwandfreien und ehrlichen Bürger schaffen.
Direktlink zur MP3

In eigener Sache: Artikel-Updates zu Firefox, uBlock und Conversations

Wir haben unseren Artikel zu den Firefox-Forks und die Anleitungen zu uBlock Origin und Conversations aktualisiert. Die Änderungen im Überblick: Firefox: Original vs. Forks:

  • Etwas mehr als zwei Monate ist unsere Einschätzung zur Aktualität und Sicherheit der Firefox-Forks her. Seither hat sich wieder viel getan. Es ist also Zeit, einen weiteren Blick zu riskieren.
uBlock Origin – Die Pflicht-Erweiterung:
  • Unsere ersten "Benutzerdefinierte Filterregeln" sollen den Zugriff von Dritten per JavaScript auf euer lokales Netzwerk stoppen. Das entspricht einer der fünf vordefinierten ABE-Regeln von NoScript. Wenn wir noch weitere Möglichkeiten finden, die Zusatzfunktionen von NoScript in uBlock abzubilden, werden wir euch informieren.
WhatsApp ➤ Conversations: OMEMO für Android:
  • Ihr findet jetzt unter "Verbindung über Tor" eine Anleitung, wie ihr euch durch das Anonymisierungsnetzwerk Tor mit eurem XMPP-Server verbindet und somit eure wahre IP-Adresse verschleiert.
  • Der Punkt “Conversations sichern/wiederherstellen” soll euch dabei helfen, Backups herzustellen. So müsst ihr nicht jedes Mal neue OMEMO-Schlüssel anlegen, wenn ihr das Handy wechselt.

Hörtipp: Zum Safer Internet Day 2018

Der Aktionstag Safer Internet Day soll Lehrer, Eltern und Kinder für die Gefahren im Internet sensibilisieren und Medienkompetenz schaffen. Dazu finden bundesweit jährlich am zweiten Tag der zweiten Woche des zweiten Monats zahlreiche Aktionen statt, so auch dieses Jahr am 6. Februar. Der Schwerpunkt "Ein besseres Internet fängt bei uns selbst an!" geht aber nicht nur die eben genannte Zielgruppe, sondern uns alle an. Deswegen haben wir für euch die folgenden Beiträge aus dem Deutschlandfunk als Hörtipp.

"Manchmal gab es schon so grenzwertige Sachen" Falschnachrichten, Datensicherheit und Cyber-Mobbing - Der "Safer Internet-Day" soll die Aufmerksamkeit auf Probleme richten, die im Netz entstehen können. Medienpädagogen, Politiker und You-Tube-Stars haben dazu in Berlin mit Schülern diskutiert. Direktlink zur mp3-Version
 
"Man kommt nicht drum herum sich selbst aufzuklären" Welche Folgen hat es für uns, wenn unsere Daten permanent abgegriffen werden? Darüber muss sich jeder Gedanken machen, findet die Medienethikerin Petra Grimm. Man müsse reflektieren und sich dann bewusst für oder gegen Angebote wie Facebook oder Whatsapp entscheiden, sagte Grimm im Dlf. Direktlink zur mp3-Version
 

Hörtipp: Die Enthüllungsplattform Wikileaks

Der Deutschlandfunk wirft einen aktuellen Blick auf den Aufstieg und Fall der Enthüllungsplattform Wikileaks. Direktlink zur mp3-Version

Keybase: OMEMO-Schlüssel einfach und sicher verifizieren

Der Administrator vom XMPP-Server Magic Broccoli hat eine Anleitung veröffentlicht, wie ihr mit keybase.io eure OMEMO-Fingerabdrücke verteilen und euch so einfach und sicher verifizieren könnt. Das Dilemma, in dem ihr sonst steckt, wird mitgelöst. Diese Vorgehensweise ist besonders empfehlenswert, weil die mit Keybase geteilten Dateien signiert sind und sich mittels der Software einfach aktuell halten lassen. Unsere Kollegen bei secitem.eu haben Keybase genauer erklärt, schaut am besten auch dort vorbei. Das Dilemma: Wir erwähnen immer wieder, wie wichtig das gegenseitige Verifizieren bei einer Ende-zu-Ende-verschlüsselten Unterhaltung ist. Vertrauliche Kommunikation ist ohne diese Maßnahme kaum möglich. Aber ganz so einfach ist das nicht, deswegen wird es zu oft vernachlässigt. Ihr müsst eure Fingerabdrücke über einen Kanal weitergeben, der möglichst manipulationssicher ist und darüber hinaus solltet ihr sie stets aktuell halten. Die Veröffentlichung über die eigene Website oder das Social-Media-Profil erfüllt zwar den Anspruch der Leichtigkeit, ist aber nicht ausreichend vor Manipulation geschützt.

In eigener Sache: Preview-Artikel per RSS geleakt

Lieber Leserinnen und Leser, um euch qualitativ hochwertige Informationen zu liefern, arbeiten wir gelegentlich mit externen Experten und Autoren zusammen. Im Rahmen unseres neuesten Artikels haben wir dabei eine neue Herangehensweise getestet, die euch eventuell tiefe Einblicke in unseren redaktionellen Prozess gegeben hat: Am 26. Januar haben wir "OMEMO: XMPP im Direktvergleich mit WhatsApp" auf unserer Site ungelistet veröffentlicht, um so effizienter gemeinsam daran arbeiten zu können. Wir haben dabei aber leider vergessen, die RSS-Benachrichtigung zu deaktivieren. Der Artikel war -- und ist aktuell -- also nicht sichtbar, aber RSS-Abonnenten haben den Link dazu trotzdem erhalten und konnten so schon frühe Arbeitsversionen davon einsehen. Natürlich freut es uns, darüber direkt zu sehen, wie viel Traffic tatsächlich über den RSS-Feed auf unsere Seite kommt, aber leider ist der Text noch immer nicht ganz fertig. Was ihr gelesen habt, entspricht nicht unserem Qualitätsanspruch. Wir bitten um Entschuldigung, falls ihr diese unfertige Version gelesen habt. In den nächsten Tagen erscheint der fertige, redaktionell sauber überarbeitete Text. Habt also bitte noch Geduld und schaut vielleicht auch noch mal in die andere Version rein.   Wir möchte diese Gelegenheit außerdem nutzen, um unseren Unterstützern zu danken. Wichtiger Input ist von unseren Freunden von secitem.eu und der XMPP-Community gekommen. Vielen Dank dafür!

Hörtipp: Niemand hat nichts zu verbergen

In einem "Essay über Geheimnisse" stellt der Deutschlandfunk fest: Niemand hat nichts zu verbergen! Der etwa halbstündige Beitrag erklärt, warum es OK ist, Geheimnisse zu haben, und gibt einen Ausblick darauf, welchen Preis wir bezahlen, wenn wir die Datenschluderei nicht endlich abstellen.

Conversations für kurze Zeit kostenlos

Conversations, der XMPP-Client für Android, ist bis zum Ende des Jahres im Google Play Store kostenlos erhältlich. Ein schönes Weihnachtsgeschenk von Entwickler Daniel Gultsch an alle XMPP-Fans. Nutzt doch einfach die Gelegenheit, um den Messenger mit euren Freunden und Verwandten zu testen. Mit unserer Anleitung wird die Ersteinrichtung zum Kinderspiel.

Lesetipp: Das Ende eines Facebook-Accounts

Der TAZ-Autor Ulf Schleth hat seinen Facebook-Freunden einen Abschiedsbrief geschrieben, den auch ihr unbedingt lesen solltet. Wir gratulieren ihm zu seiner Entscheidung, Facebook zu verlassen, und wünschen ihm viel Spaß auf Diaspora.

Thunderbird: Aktuelle Sicherheitswarnung

Ein kürzlich durchgeführter Sicherheitsaudit hat Schwachstellen im E-Mail Programm Thunderbird und der Erweiterung zur E-Mail-Verschlüsselung Enigmail offen gelegt. Einer der Kritikpunkte ist -- wie zuvor schon bei Firefox und dem Mailvelope Add-on -- die Architektur des Add-on-Systems. Während Mozilla in Firefox durch die Umstellung auf WebExtensions für mehr Sicherheit gesorgt hat, kommt in Thunderbird noch der alte Erweiterungstyp XUL zum Einsatz. Erweiterungen dieses Typs haben so weitreichende Befugnisse, dass ein Angreifer mit einem kompromittierten Add-on beispielsweise euren privaten Schlüssel zum Öffnen eurer verschlüsselten E-Mails und andere sensible Daten stehlen könnte. Die Schwachstelle wird allerdings nicht so schnell geschlossen werden, denn wie bereits bei Firefox bedeutet das einen größeren Umbau der Codebasis. Deswegen solltet ihr nicht benötigte Erweiterungen deinstallieren. Thunderbird ist im Grunde ein Schweizer Taschenmesser, denn es ist neben der Funktion als E-Mail Client noch Feedreader, Newsreader, XMPP-, IRC- und Twitter-Client. Laut Posteo liegen schwerwiegende Sicherheitsprobleme bei der Verwendung mit RSS-Feeds vor, die sogar die Vertraulichkeit eurer verschlüsselten E-Mail-Kommunikation gefährden. Wir empfehlen euch Thunderbird nur als Mail-Client zu verwenden und für die restlichen Anwendungsfälle eigens dafür vorgesehene Programme zu verwenden. Auch in Enigmail wurden Fehler gefunden, die allerdings mittlerweile geschlossen wurden. Normalerweise updatet Thunderbird seine Add-ons automatisch. Ihr könnt allerdings auch selbst die neueste Version einspielen.

Firefox Quantum: schön, schlank, schnell

Firefox Quantum ist im Gegensatz zu seinen Vorgängern schlanker, schneller, hübscher und steht seit kurzem zum Download bereit. Einen Wermutstropfen gibt es allerdings, denn einige wichtige Add-ons stehen noch nicht als WebExtensions-Version bereit. Über diesen neuen Add-on-Typ haben wir bereits berichtet.

Firefox aufgemotzt

Nach eigenen Angaben hat Mozilla 75% der Codebasis überarbeitet. Firefox profitiert jetzt besonders von neuer Hardware mit mehreren Prozessorkernen und benötigt weniger Arbeitsspeicher. Mit dem Benchmark Tool von Mozilla hat heise online die verschiedene Browser überprüft. Das Ergebnis: Im Vergleich zu Firefox 52, auf dem die aktuelle Extended-Support-Release-Version basiert, ist Firefox 57 doppelt so schnell. Auch gegenüber Firefox 55 konnte Quantum an Geschwindigkeit zulegen. Der Benchmark zeigt auch, wie sich Quantum gegenüber der Konkurrenz schlägt. Chrome ist nach wie vor der schnellste Webbrowser, aber mit Edge liegt Firefox 57 gleichauf. Das Ziel, schneller als Chrome zu sein, bleibt also unerreicht, wir können aber davon ausgehen, dass Mozilla den Browser weiter optimieren wird. Seit Version 55 belegt Firefox außerdem wesentlich weniger Arbeitsspeicher. Ein Entwickler hat das getestet, indem er fast 1.700 Tabs öffnete. Statt wie vorher 2 GB, hat Firefox damit nur noch 0,5 GB RAM belegt.

Add-ons: Fehlt hier etwas?

Einige Add-on-Entwickler sind verärgert. Einer der Vorwürfe: Die passenden Schnittstellen zur Anwendungsprogrammierung seien nicht rechtzeitig zur Verfügung gestellt worden. Deswegen hätten die Entwicker ihre Plugins nicht rechtzeitig zur Veröffentlichung von Quantum fertigstellen können. Selbst wenn jetzt nach und nach weitere Plugins portiert werden, solltet ihr damit rechnen, dass nicht alles gleich wie gewohnt funktioniert. uBlock Origin und HTTPS Everywhere sind bereits als WebExt-Version verfügbar. Allerdings fehlen noch nützliche Plugins wie NoScript oder Self-Destructing Cookies. Um zu sehen welche Plugins betroffen sind, solltet ihr nach dem Update als erstes einen Blick in eure Add-on-Verwaltung werfen. Fehlt etwas, kann Firefox euch einen Ersatz vorschlagen -- das hat aber nicht immer Erfolg. Zum Löschen von Cookies schlägt Mozilla Cookie AutoDelete vor. Das Plugin funktioniert bei unserem Test allerdings nicht, obwohl im automatischen Modus Meldungen über gelöschte Cookies eingeblendet werden. Über Einstellungen > Datenschutz & Sicherheit > Chronik > Cookies anzeigen konnten wir feststellen, dass die Cookies eben nicht gelöscht wurden. Der Entwickler von NoScript peilt eine stabile WebExt-Version bis zum Ende der Woche an. Bis dahin könnt ihr Scripte per uBlock Origin blocken. Wie das geht könnt ihr in unserem ausführlichen Artikel dazu lesen. Nachtrag: Cookie AutoDelete funktionierte bei uns wegen einer benutzerdefinierten Einstellung (about:config) nicht. Laut Entwickler handelt es sich um einen Bug in der Firefox Cookie-API. Seit wir die Einstellung zurückgesetzt haben, funktioniert das Add-on problemlos. Dank geht an den Leser, der uns darauf aufmerksam gemacht hat. - Eure Datenschutzhelden   Update, 28.11.2017: Wir haben einen Nachtrag zu unserem Problem mit Cookie AutoDelete eingefügt.

Datenschutzhelden ist nun noch schneller - gtmetrix.com Rating

Wie euch vielleicht schon aufgefallen ist, kommen in den letzten paar Wochen weniger oft neue Artikel heraus. Das liegt daran, dass wir dabei sind, unsere alten Artikel zu überarbeiten und Datenschutzhelden.org insgesamt neu aufzustellen. So auch technisch: Wir optimieren unseren Server weiter, um euch einen schnelleren und noch sicheren Zugriff zu ermöglichen. Dank Geschwindigkeitsoptimierungen haben wir nun seit gestern ein Doppel-A-Rating bei gtmetrix.com, einem Analysetool  für Website Performance. gt-metrix Datenschutzhelden hat A/A Wir planen derzeit noch weitere Schritte, um Datenschutzhelden zusammen mit euch umzustrukturieren. - Eure Datenschutzhelden

In eigener Sache: Alte Artikel mit neuem Gesicht

In den bald zwei Jahren, die es die Datenschutzhelden schon gibt, hat sich unser Team verändert, unser Stil entwickelt und unsere redaktionelle Kompetenz verbessert. Und auch die Datenschutzwelt ist nicht mehr die gleiche wie damals. Entsprechend gefallen uns einige alte Anleitungen und Artikel nicht mehr so recht -- sprachlich, aber auch inhaltlich. Es fehlen beispielsweise Tipps, die auf neuen Erkenntnissen beruhen, oder Anleitungen sind fehlerhaft, weil sich die Software geändert hat. Deswegen wollen wir unsere alten Artikel stilistisch überarbeiten, Fehler ausbügeln und -- besonders unsere Anleitungen --  auf den neusten Stand bringen. Damit ihr gleich seht, ob es etwas Neues gibt, findet ihr am Anfang der betroffenen Artikel das Datum der letzten Aktualisierung und am Ende eine Notiz mit den jeweiligen Änderungen. Den Anfang macht der Artikel "DNS-Server: zensurfrei, datenschutzfreundlich, sicher", den ihr bisher unter dem Namen "Sichere, zensurfreie DNS-Server einstellen" gefunden habt.

Krypto-Miner auf dem Weg zur Intransparenz

Fefes Blog berichtet über einen Entwickler, dem anscheinend angeboten wurde, einen Krypto-Miner in seine mobile App zu integrieren, um darüber Einnahmen zu generieren. Der im Beitrag anonymisierte Anbieter scheint damit direkt Android- und Apple-App-Entwickler anzusprechen und eine einfache und zugleich profitable Lösung zu versprechen. Gegen Beteiligung stellt er den Backend-Server bereit und regelt die Mining-Operationen. Der Entwickler soll seinerseits über ein einfaches Bedienfeld Einstellungen vornehmen können, etwa:

  • Mining nur durchführen, solange der Batteriestand einen vom App-Entwickler festgelegten Wert nicht unterschreitet.
  • Mining nur bei Quad-Core- oder besseren Prozessoren zulassen.
  • Nur einen Kern verwenden, um die restliche Rechenleistung dem Nutzer zu überlassen.
  • Mining nur, wenn das Gerät tatsächlich verwendet wird.

"100% legal and legitimate" -- Intransparenz-Risiko bei Krypto-Minern

Bei solchen Implementationen ist fraglich, ob die Nutzer ausreichend über den Einsatz des Miners informiert werden. Der Anbieter spricht offenbar gezielt Entwickler an, die bereits Apps mit einer gewissen Benutzerbasis haben. Er erklärt in seiner Mail, dass das Erwähnen in der Endbenutzer-Lizenzvereinbarung für einen legalen Betrieb bereits ausreichen würde. Dann wäre das Update "100% legal and legitimate". Allerdings wird die Lizenzvereinbarung von Nutzern meist nicht gelesen, sondern nur schnell abgenickt. Wenn App-Entwickler nicht auch anders über die Miner-Implementierung informieren -- etwa mit einem Pop-Up, das diese essenzielle Änderung hervorhebt --, wäre das praktisch ein heimliches Update. Entwickler können sich das also als offiziell legal schön reden, während sie es eventuell bewusst vor ihren Nutzern verstecken, die ihre CPU vielleicht nicht mit Krypto-Minern belasten wollen.

Krypto-Miner als nächste Nutzer-Gängelung

So wie beim JavaScript-Miner von Coinhive wird auch hier die Kryptowährung Monero geschürft. Auch dort haben wir die fehlende Transparenz bemängelt. Der bei Fefe zitierte Fall ist aktuell zwar noch einer von wenigen, dass es sich dabei um ein einzelnes Angebot dieser Art handelt, ist aber unwahrscheinlich. Genauso, dass alle Entwickler diese Angebote ausschlagen. Sollten Miner jetzt also vermehrt in Apps eingesetzt werden, werden wir -- wie befürchtet -- eine neue Stufe der Nutzer-Gängelung erreichen. Anders als bei Minern im Browser wird es schwieriger, sich davor zu schützen. Android-Nutzer, die sich bereits jetzt vor bösen Überraschungen schützen möchte, verwendet am besten nur Apps aus F-Droid, dem Open-Source-App-Store für Android.

Cryptomator: Android-App verlässt Beta-Phase

Cryptomator, eine Verschlüsselungslösung für Cloud-Speicher, ist seit kurzem auch für Android erhältlich (4,99€ im Google Play Store). Bisher gab es die Software nur für Desktops (kostenloser Download für Windows, Linux, MacOS) und das mobile Betriebssystem iOS (5,49€). Während die Desktop-Version völlig quelloffen ist, setzt Cryptomator bei den mobilen Versionen auf das Open-Core-Konzept, bei dem der Verschlüsselungsteil offen ist, aber die Benutzerschnittstelle proprietär. Mit Cryptomator könnt ihr Dateien lokal verschlüsseln und in eure bevorzugte Cloud (Dropbox, Google Drive, Microsoft OneDrive, NextCloud, ...) hochladen. Genauso könnt ihr natürlich auf die dort abgelegten verschlüsselten Dateien zugreifen. Das Versprechen der Entwickler: Der Cloud-Speicher wird wieder vertrauenswürdig mithilfe von Verschlüsselung. Die Dienstanbieter können nicht mehr an eure Daten ran und selbst im Falle eines erfolgreichen Hackerangriffs auf diese Cloud sind eure Daten sicher. Wir selbst haben das noch nicht überprüft, aber die c't berichtet beispielsweise von einer "bombensicheren Verschlüsselung". Über Cryptomator allgemein und die knapp einjährige Beta-Phase der Android-App speziell haben wir bereits berichtet. Wir wollten die App gerne genauer testen, aber leider kann man sie momentan nur über Google Play beziehen. Da wir googlefreie Telefone verwenden, kommt das für uns nicht in Frage. Die Möglichkeit, die App direkt über die Website zu erwerben, soll bald folgen, dann werden wir das nachholen. In der Zwischenzeit haben wir die letzte Beta-Version von der Cryptomator-Homepage ausprobiert. Uns ist aufgefallen, dass die App "nach Hause telefoniert" und die Domain dahinter ein ungültiges (selbstsigniertes) Zertifikat verwendet. Möglicherweise handelt es sich dabei nur um eine integrierte Updatefunktion, allerdings können wir das nur vermuten. Uns würde darüber hinaus interessieren, ob dieses Antifeature auch in der aktuellen Version vorhanden ist. Auf unsere Nachfrage haben wir bisher keine Antwort erhalten. Infos dazu reichen wir nach, sobald wir sie erhalten. Während Cryptomator eine durchaus sinnvolle Selbstschutzmaßnahme ist, mit der bestehende Cloud-Lösungen sicherer werden, finden wir es am besten, auf Alternativen aufmerksam zu machen, die eure Privatsphäre von vornherein achten. Im Fall von Cloud-Speicher ist das allerdings schwierig, denn Cloud ist nur ein anderer Begriff für "fremder Rechner". Am sichersten ist es aber, nur der eigene Hardware zu vertrauen. Die optimale Lösung: Ein NAS mit NextCloud-Instanz, das bei euch zu Hause im Netzwerk eingebunden ist. Damit könnt ihr euch von unterwegs per VPN verbinden wie mit jeder anderen Cloud, aber die Daten liegen allein bei euch. Wenn euch das zu kompliziert ist und ihr partout nicht auf den zusätzlichen Speicher unterwegs verzichten könnt, kommt ihr -- um sicher und einfach eure Daten abzulegen -- wahrscheinlich nicht um Cryptomator herum. - Eure Datenschutzhelden   Korrektur, 20.10.2017: Im ursprünglichen Text haben wir fälschlicherweise behauptet, die App wäre Open-Source. Tatsächlich ist sie Open-Core, das heißt sie beinhaltet offenen und proprietären Quelltext.

iOS 11: Permanente Funkverbindung gefährdet Datenschutz

Beim neuen iPhone-Betriebssystem iOS 11 können Bluetooth- und WLAN-Schnittstelle nicht mehr vollständig über die Schnelleinstellungen im Control Center abgeschaltet werden. Wie in der Vorgänger-Version iOS 10 färben die Schaltflächen sich zwar grau und die Verbindung zu WLAN-Netzen sowie einigen anderen Geräten wird getrennt, aber im Hintergrund bleiben die Funkschnittstellen für Apple-Dienste wie die Apple Watch und der Standortdienst weiterhin aktiv. Außerdem stellt iOS die Schnittstellen automatisch sowohl jeden morgen um 5.00 Uhr als auch jedes mal, wenn das Handy an einen anderen Ort bewegt wird, wieder an. Dieses Verhalten kann vom Nutzer nicht beeinflusst werden und weder das Betriebssystem, noch Apple selbst informieren über diese Ausnahmen. Der umständliche Weg über die Einstellungen oder das Aktivieren des Flugzeugmodus sind die einzigen Möglichkeiten, die Schnittstellen komplett zu deaktivieren. Wie wichtig das Abschalten der Funkverbindungen etwa beim Einkaufen ist, haben wir vor kurzem bereits angesprochen. Offene Funkverbindungen können zum Sicherheitsrisiko werden. Ganz zu schweigen vom Vertrauensverlust in das Betriebssystem, wenn das Verhalten nicht mehr vollständig beeinflusst und nachvollzogen werden kann.

Messenger: OMEMO-Implementierung für Zom abgeschlossen

Zom ist ein kostenloser, auf Benutzerfreundlichkeit getrimmter Messenger für iOS und Android. Laut Are we OMEMO yet? ist auch er nun OMEMO-fähig. Wir haben die aktuelle Android-Version aus Google Play getestet und können bestätigen, dass OMEMO-verschlüsselte Nachrichten, Bilder, Videos und Sprachnachrichten ausgetauscht werden können. Damit gesellt sich zu Conversations (Android) und ChatSecure (iOS) ein weiterer mobiler OMEMO-fähiger XMPP-Client. Ganz abgeschlossen ist die Entwicklung allerdings noch nicht. Die Umsetzung verschlüsselter Gruppenchats steht laut Github als nächstes an. Was uns an Zom gefällt: Es ist kinderleicht. Nach der Installation, könnt ihr ein Konto erstellen, indem ihr einfach nur euren gewünschten Nutzernamen eingebt. Die App legt dann im Hintergrund ein Konto auf dem Haus-eigenen XMPP-Server (zom.im) an und erstellt ein 12 Zeichen langes Passwort, bestehend aus Buchstaben (Groß- und Kleinschreibung). Es ist aber auch möglich ein bestehendes XMPP-Konto zu verwenden. Was uns nicht gefällt: Zom haben wir insgeheim als Messenger für die breite Masse angesehen, da vor allem Usability im Vordergrund steht. Das alleine reicht natürlich nicht. Neben der einfachen Einrichtung und Nutzung sollte der Spaß nicht zu kurz kommen. Emojis und bunte Sticker sind da nur einige Möglichkeiten Wechselunwillige zu überzeugen. Leider versagen hier praktisch alle XMPP-Clients -- auch Zom. Zom bringt zwar Sticker mit, aber leider vergleichsweise wenige und davon sind noch weniger tatsächlich ansprechend. Außerdem können die Sticker nur auf Clients angezeigt werden, die sie ebenfalls unterstützen. Emojis sind wie in Conversations keine enthalten. Der Workaround über die alternative Tastatur und das Installieren einer anderen Emoji-Palette klappt aber auch hier -- benutzerfreundlich ist das allerdings nicht.

Privatsphäre-GAU: Digitalisierung an Schulen

Pünktlich zum neuen Schuljahr bringt die Electronic Frontier Foundation (EFF) Privatsphäre-Tipps für Lehrer. Die sollen ihren Schülern grundlegendes Wissen über Privatsphäre und Sicherheit vermitteln -- das ist auch dringend notwendig. Mit dem breiten Einsatz von Bildungstechnologien wie dem Chromebook von Google in amerikanischen Schulen besteht die Gefahr, dass bereits Schulkinder gläsern werden. Lehrer sind keine IT-Spezialisten und sollten sich daher weiterbilden, um die Sensibilität des Themas zu begreifen und später Schüler sowie Eltern aufzuklären. Deren Einverständnis sollte nämlich eingeholt werden, bevor ihr Kind bei Diensten angemeldet wird. Auch in Deutschland besteht dringend Handlungsbedarf, denn selbst viele Erwachsene scheitern an grundlegenden Fragen, wie: Was ist Privatsphäre und warum ist sie auch online wichtig? Wie schütze ich meine Daten und Accounts? Wie erstellt ich ein sicheres Passwort? Es ist an der Zeit, dass der verantwortliche Umgang mit Informationstechnologien auf die Lehrpläne kommt, damit die nächste Generation diese Fragen sicher beantworten kann. Noch haben wir die Digitalisierung der Klassenzimmer verschlafen, aber das ist vielleicht auch eine Chance. Die USA machen uns vor, wie wir es nicht machen sollten. Sobald auch hierzulande ein Markt für Bildungstechnologie entsteht, werden wir vor der Frage stehen, ob wir unsere Kinder den Datenkraken überlassen wollen -- oder bereits eine bessere Alternative parat haben.

Android: Schadware aus dem Play Store baut Botnetz

Letzte Woche haben wir über die Sicherheitsfeatures von Android 8 berichtet und vor allem starke Zweifel gegenüber Googles Virenscanner geäußert, diese Woche können wir den Beweis liefern: Mehr als hunderttausend Android-Geräte aus über 100 Länder haben ein Botnetz gebildet. Einfallstor: Apps aus dem Google Play Store. Über 300 Apps haben ihren ordnungsgemäßen Dienst vorgetäuscht und nur bei Bedarf eine Verbindung zum Command-and-Control-Server aufgebaut. Somit konnte die Schadware unbemerkt bleiben. Erst als das Botnetz vermehrt Angriff ausführte, konnten mehrere Sicherheitsfirmen in gemeinsamer Anstrengung die Schädlinge entlarven. Google hat die betroffenen Apps mittlerweile aus dem Store und von den Geräten entfernt. Nachtrag zum Virenscanner: Nicht nur Geräte mit Android 8, sondern auch alle anderen sollen den Virenscanner erhalten. Bei c't uplink wurde die Vermutung geäußert, dass Google die Funktion bereits heimlich auf die Geräte ausgeliefert, aber nicht für den Nutzer zugänglich gemacht hat. Die Gerät sind also sicher -- oder eben nicht.

KeePassXC: KeePassX-Fork mit vielen Verbesserungen

Der Passwortmanager KeePassX wird von einem neuen Team unter dem Namen KeePassXC weitergeführt. Dieser Ableger, ein sogenannter Fork, möchte seinen Vorgänger nicht ablösen, sondern einfach eine modernere Variante des beliebten Passwort-Safes sein. Die Entwickler haben sich deswegen besonders auf die Umsetzung von neuen und Verbesserung bereits vorhandener Features konzentriert. Einige davon sind:

  • YubiKey-Unterstützung Neben Passwort und Schlüsseldatei könnt ihr Challenge-Response verwenden, um eure Datenbank zu öffnen.
  • KeePassHTTP-Unterstützung Fügt eure Login-Daten in Firefox, Chromium und Safari bequem über Browser-Plugins ein.
  • Auto-Type-Unterstützung Fügt eure Login-Daten in Windows, Linux oder macOS über eine Tastenkombination ein.
  • Zwei-Faktor-Authentifizierungsgenerator Die Generierung von Einmalpasswörtern über den TOPT-Standard könnt ihr jetzt für jeden eurer Eintrag einrichten.
  • Passphrasen-Generator Generiert neben Passwörtern auch Passphrasen auf Basis von Wörterlisten, wie die Diceware-Liste.
  • Entropie-Meter Zeigt euch die Stärke des generierten Passworts an.
  • weitere Verbesserungen und Bugfixes.
KeePassX hat dagegen seit Februar 2016 kein Update mehr bekommen und ist somit noch auf dem Stand von vor 18 Monaten. Das Wichtigste ist eine sicher verschlüsselte Datenbank und das leistet KeePassX. Wer allerdings nach modernen Features sucht, sollte zu KeePassXC greifen. Der Wechsel fällt übrigens besonders leicht, denn als Fork gelten auch in KeePassXC weiterhin unsere empfohlenen Einstellungen. - Eure Datenschutzhelden

RSS-Feed

– Eure Datenschutzhelden

CC-BY-NC-SA
Alle Texte auf Datenschutzhelden.org stehen, sofern nicht anders publiziert, unter Creative Commons Attribution 4.0 International License.