TESSERAKT

About Photos Archive Map Legal FAQ Feeds Search RSS

  • Internet

    ,

    Digital

    ,

    Cyber Security

    E-Mail Spam vermeiden

    Wer regelmäßig Spam-Mails bekommt, ist wahrscheinlich von einem Datenleck betroffen gewesen. In meinem Fall waren vor allem Meta und Adobe die Verursacher. Ist die E-Mail einmal von einem Datenleck betroffen, kann man eigentlich kaum noch Spam-Mails vermeiden. Die einzige Möglichkeit bestünde darin, ein neues E-Mail-Postfach zu verwenden. Zukünftig kann man sich aber vor ungewollten Spam-E-Mails durch eine eigene E-Mail-Domain schützen:

    1. Eigene Domain registrieren
    2. Optional: Sub-Domain anlegen (etwa Newsletter.EigeneDomain.de oder service.EigeneDomain.de)
    3. E-Mail Postfach der Domain oder der Sub-Domain mit Catch-All-Funktion anlegen. Durch die Catch-All-Funktion werden alle E-Mails empfangen, die an die Domain oder Subdomain gerichtet sind und keine E-Mail oder Alias hierfür eingerichtet ist. Es ist quasi ein Auffang-Postfach.
    4. Bei Registrierung zukünftig pro Dienst, Händler oder Anbieter eine eigene E-Mail verwenden. Aufgrund der Catch-All-Funktion muss nicht jedesmal ein neuer Alias angelegt werden. Es genügt — wenn die Catch-All-Funktion aktiviert ist —, dass man beispielsweise die E-Mail Adobe@EigeneDomain.de bzw. Adobe@Sub.EigeneDomain.de bei der Registrierung/Anmeldung beim jeweiligen Dienst, Anbieter oder Händler verwendet. Anstatt „Adobe“ setzt man natürlich den Namen des konkreten Dienstes oder Anbieter ein: Adobe@…, Microsoft@…, Google@…, Meta@…, Spotify@… usw. Wichtig ist, dass jeder Dienst eine eigene E-Mail-Adresse erhält.
    5. Sollte irgendwann eine E-Mail von einem Datenleck betroffen sein, genügt es, nur die konkret betroffenen E-Mail zu ändern. Bei Adobe@… würde man dann auf der Webseite von Adobe nun „Adobe2@…“ als neue E-Mail-Adresse registrieren. In der Domain -Verwaltung legt man nun noch ein zweites/weiteres Postfach an. Dieses Postfach dient allein dem Zweck, Spam zu empfangen. Dort muss jetzt als echter Alias die vom Datenleck betroffene E-Mail hinterlegt werden. Das ist notwendig, damit das Catch-All-Postfach die an diese E-Mail-Adresse gerichteten Mails nicht mehr empfängt. Das Spam-Postfach kann dann so konfiguriert werden, dass es E-Mails generell ablehnt.

    Das Vorgehen ermöglicht nicht nur die Absicherung vor einem Datenleck. Es zeigt auch den Verursacher. Wird an die Adobe@…-Adresse Spam geschickt, dürfte der Verursacher des Datenlecks damit identifiziert sein.

    Tuesday February 20, 2024

  • Internet

    ,

    Digital

    Passwörter

    Die beliebtesten Passwörter der Deutschen sind nach einer Auswertung des Hasso-Plattner-Instituts (HPI) sehr einfach zu erraten:

    1. 123456789
    2. 12345678
    3. hallo
    4. 1234567890
    5. 1234567
    6. password
    7. password1
    8. target123
    9. iloveyou
    10. qwerty1231

    Meine Passwörter verwalte ich mit 1Password. Der Dienst kostet Geld — und das muss ein solcher Dienst auch. Ansonsten wüsste ich nicht, wie ein Unternehmen den Dienst und die Sicherheit der gespeicherten Passwörter sicherstellt. Selbstverständlich bietet auch Apple die Möglichkeit an, Passwörter zu speichern und auf den verschiedenen Apple-Geräten zu synchronisieren. Hier liegt aber auch das Problem mit Apples Angebot: es ist auf Apple Geräte beschränkt. Wer dazu auch noch Windows oder Linux benutzen möchte, muss auf einen anderen Anbieter zurückgreifen. Außerdem fehlt dem Apple-Dienst bisher die eigenständige App, die das Verwalten der Passwörter etwas einfacher machen würde. Passwortmanager bieten nicht nur das Erstellen, Verwalten und Ausfüllen von Passwörtern und Logins. Passwortmanager wie 1Password können daneben auch kleine Dateien speichern (etwa die Elster-Zertifikate), sichere Notizen anlegen, Lizenzschlüssel für Software speichern und erlauben das sichere Teilen von Passwörtern mit anderen. Selbstverständlich sollte ein Passwortmanager auch Passkeys unterstützen.

    Dennoch gibt es ab und an die Situation, in der man einen Passwortmanager nicht verwenden kann, zum Beispiel auf einem Arbeitsrechner oder auch auf dem Login-Bildschirm von Windows. Gerade hier (der Login des Arbeitsrechners) möchte ich aber auf sichere Passwörter nicht verzichten. Ich will mir aber auch nicht komplizierte Passwörter merken und diese verkrampft eintippen müssen. Wer kann schon 15Ahz-y%h-78:cvH fehlerfrei beim ersten Versuch eingeben? Beim Erstellen von Passwörtern werden häufig solche empfohlen, die sehr Computer-typisch sind: Kryptische Buchstaben, Sonderzeichen, Zahlen. Weder kann man sich solche Passwörter gut merken noch kann man sie gut eintippen. Passwörter werden aber nicht mehr von Menschen, sondern von Computern geknackt. Ein relativ kurzes Passwort, das viele Sonderzeichen enthält, kann ein Computer mittels Brute Force trotz kryptischer Zeichen herausfinden. Damit Passwörter gegen Brute Force sicher sind, müssen sie vor allem lang sein. Daher bestehen meine Passwörter aus Sätzen bzw. Teilen davon. Ich habe zum Beispiel den letzten Satz aus dem Vorwort eines Buches gewählt, das auf meinem Schreibtisch lag. Solche Sätze kann man sich relativ leicht merken (und notfalls im Buch nochmal nachschauen) und man kann sie sehr flüssig eintippen. Das Passwort VielSpaßbeimLesendesBuchs! ist 26 Zeichen lang und ist trotzdem schneller getippt als diese 10 kryptischen Zeichen xGU45:kO0@.

    1. Die Liste des HPI scheint nicht auf den deutschsprachigen Raum bezogen, sondern international zu sein. Beim HPI lautet das letzte Passwort gwerty — hier vermute ich, dass qwerty gemeint war. ↩︎

    Wednesday December 20, 2023

  • Tech

    ,

    News

    ,

    Digital

    Mein Justizpostfach startet

    Langsam — sehr langsam — wird Deutschland digitaler. Der Digitalisierung im behördlichen und gerichtlichem Bereich stehen Fragen der Sicherheit und Authentifizierung entgegen. Deutschland wollte hier nicht auf DE-Mail oder gar E-Mail setzen, akzeptierte aber kurioserweise sehr lange Fax-Nachrichten.

    Für Rechtsanwältinnen und Rechtsanwälte wurde 2018 das besondere Anwaltspostfach (beA) eingeführt, das eine1 Übermittlung von PDF-Dateien zum Gericht ermöglicht. Während für Anwälte die Nutzung mittlerweile verpflichtend ist,2 können oder „müssen“ normale Bürger weiterhin Papier benutzen, um mit Gerichten und Behörden zu kommunizieren. Digitale Postfächer waren für Bürger bislang nur sehr aufwendig einzurichten und auch mit Kosten verbunden.

    Nunmehr können aber Dokumente an Behörden und Gerichte über Mein Justizpostfach eingereicht werden. Der Dienst ist einfach gehalten, kostenlos und erfordert einen Log-In über die Bund-ID. Dafür benötigt man im besten Fall einen Computer und ein Smartphone, auf denen jeweils die Software „Ausweis App 2“ installiert und miteinander gekoppelt ist. Das Smartphone scannt mittels NFC den Ausweis und stellt dann den sicheren Zugang zum Postfach her — wenn die Apps auf Smartphone und Computer gekoppelt sind und sich im selben Wifi-Netzwerk befinden wird der Computer über das Smartphone eingeloggt. Dies funktioniert (erstaunlicherweise) sehr problemlos.

    Ob sich Mein Justizpostfach durchsetzt, bleibt abzuwarten. Es wird vermutlich den meisten unbekannt bleiben. Derzeit konnte ich in dem Dienst nur Gerichte finden, hatte aber Probleme, Behörden zu finden. Ich würde es begrüßen, wenn man generell eine Infrastruktur schafft, die eine sichere Kommunikation zwischen Personen ermöglicht — nicht nur zu Gerichten und Behörden, sondern auch zu Unternehmen und Personen.3 Auch wäre es sinnvoll, wenn der Personalausweis eine Signaturkarte wird, mit der man digitale Dokumente unterschreiben kann.4 Ich persönlich hätte für die sichere Kommunikation auf DE-Mail gesetzt und jedem Bürger eine solche DE-Mail-Adresse zusammen mit dem Personalausweis ausgehändigt. Hier wäre der Schritt von E-Mail zu DE-Mail vielleicht kleiner gewesen. Das Justizpostfach ist hingegen sehr unterschiedlich zur bekannten Kommunikation. Es ist nur ein Transport-Vehikel für PDF-Dateien und untscheidet sich damit im Wesentlichen von E-Mails, bei denen Inhalt und Transport gleichzeitig in einer E-Mail erfolgen. Im Gegensatz dazu kann man sich den Dienst Mein Justizpostfach als digitale Variante des Fax vorstellen: Anstatt ein Papier zu scannen und zu übermitteln, wird eine PDF digital verschickt. Die eigentliche Nachricht schreibt man hingegen davon losgelöst — etwa in Word und speichert das Dokument dann als PDF, die man wiederum dann über das Justizpostfach verschickt.

    Trotz der kleinen Hürden, die Anmeldung und Einarbeitung stellen, empfehle ich jedem, sich den Dienst anzuschauen und — falls noch nicht geschehen — eine Bund-ID und ein Postfach anzulegen. Denn in Zeiten, in denen die Post immer unzuverlässiger Briefe versendet, stellt der digitale Weg eine sichere, schnelle und kostenlose Alternative dar. Und wer dann mal eine Klagefrist wahren muss, muss dann nicht mehr die komplizierten Schritte zur Registrierung vornehmen.

    1. Sicher ist relativ, denn die BRAK hat den Generalschlüssel zu allen Nachrichten, was allerdings als akzeptables Risiko eingestuft wurde. ↩︎

    2. Die passive Nutzungspflicht der Anwälte und Anwältinnen richtet sich nach in § 31a Abs. 6 BRAO; die aktive Nutzungspflicht — nicht zwingend für beA, sondern im Allgemeinen für die Einreichung elektronischer Dokumente — sehen die meisten Gerichtsordnungen vor (§ 130d ZPO, § 14b FamFG, § 46g ArbGG, § 65d SGG, § 55d VwGO, § 52d FGO und § 32d StPO ggfs. i.V.m. mit § 110c OWiG). Nur beim höchsten deutschen Gericht, dem Bundesverfassungsgericht, konnte ich eine solche Nutzungspflicht nicht feststellen — dort ist Schriftform immer noch der Goldstandard. ↩︎

    3. Hilfreich wäre dies vor allem, um Kündigungen oder ähnliche Schreiben sicher und zuverlässig einer anderen Person zustellen zu können. ↩︎

    4. Bestimmte Erklärungen bedürfen in Deutschland der Schriftform (etwa die Kündigung eines Wohnraummietvertrages, § 568 BGB). Schriftform bedeutet vereinfacht ausgedrückt, dass ein echtes Papierdokument unterschrieben werden muss. Nicht ausreichend ist daher eine gescannte Unterschrift oder das Unterschreiben einer PDF mittels Apple Pencil. Solche digitalen „Unterschriften“ können die Schriftform nicht ersetzen und sollten nur verwendet werden, wenn die Erklärung keiner Schriftform bedarf. Der Schriftform ist bisher nur die qualifiziert elektronische Signatur in den meisten Fällen gleichgesetzt (§126a BGB). In der Regel benötigt man dafür eine Signaturkarte und einen Kartenleser. Faktisch sind solche Signaturkarten und die damit verbundenen Zertifizierungsdienste bisher nur im professionellen Bereich zu finden, wie etwa Notaren/Notarinnen oder Rechtsanwälten/-innen. ↩︎

    Monday December 18, 2023