Apr 262015
 

Die Telekom hat angekündigt, bis 2018 alle ISDN-Anschlüsse abzuschalten und durch VoIP-Anschlüsse zu ersetzen. Was bedeutet dies für Telekom Kunden?
Momentan ist es so, dass die Anschlüsse privater Kunden umgeschaltet werden. Wir haben die Erfahrung gemacht, dass die Telekom bei diesen Anschlüssen die laufenden Verträge kündigt und den ISDN-Anschluss durch einen VoIP-Anschluss ersetzt. Der Kunde bekommt einen neuen Router, der einen VoIP-2-ISDN-Wandler beinhaltet und vom Kunden in Betrieb genommen werden muss. Sein ISDN- oder analoges Telefon kann der Kunde dann an die entsprechenden Ports des Routers anschließen und alles funktioniert wie bisher.

Aber funktioniert wirklich alles wie bisher – NEIN!

DSL-Anschlüsse sind „alte analoge Technik“ und haben eine Verfügbarkeit von 96% auf das Jahr gesehen. Dies bedeutet, dass ein DSL-Anschluss im Jahr zu 4% dem Kunden nicht zur Verfügung steht. Das hört sich wenig an – sind aber 14,6 Tage im Jahr, an denen der Anschluss nicht funktioniert. Durch die Umstellung auf VoIP wird auch der „ISDN-Anschluss“, der ja jetzt eigentlich ein VoIP-Anschluss ist und auf der DSL-Verbindung basiert, 14,6 Tage im Jahr auch nicht zur Verfügung stehen.
Dies ist für Unternehmen, die mittels funktionierenden Telefonverbindungen Geld verdienen, untragbar.

Wie können Unternehmen reagieren?

Unternehmen sollten der Telekom (und auch anderen ISDN-Providern wie z.B. Vodafone und Versatel) zuvorkommen und ihre ISDN-Anschlüsse aktiv kündigen. Für die Grundgebühr der ISDN-Anschlüsse sollten sich Unternehmen zwei Internet-Verbindungen besorgen, die über verschiedene Einführungen ins lokale Netzwerk gelangen. Dies könnte z.B. eine DSL-Verbindung (ADSL-, VDSL- oder SDSL-Verbindung) über Kupferdoppeladern und zusätzlich eine Internet-Verbindung über Glasfaser, Koaxialkabel (Kabelnetz) oder Funk (WLL oder Satellit) eines anderen Providers sein. Die digitalen Internet-Verbindungen haben eine durchschnittliche Verfügbarkeit von 99,0 bis 99,9 % – gepaart mit der DSL-Verbindung und einem Router, der automatisch Leitungsausfälle erkennt und auf die „Reserveleitung umschaltet, ist die Verfügbarkeit nahezu 100%.

Die Telefonie wird dann sofort über VoIP geschaltet und schon hat man ungefähr die gleiche Verfügbarkeit der Telefonie und eine wesentlich höhere Verfügbarkeit der Internet-Verbindung. Durch die Kündigung der „teuren“ ISDN-Anschlüsse werden die Kosten eher sinken als steigen.

Detaillierte Infos stelle ich gerne zur Verfügung. Anfragen bitte an info [ät] msdnet.de.

Aug 282014
 

Viele Unternehmen mit verteilten Standorten setzen beim Aufbau ihrer IT-Infrastruktur auf MPLS-VPN, da es von den Internet-Providern als „sicheres Netzwerk“ angepriesen wird.

Dem ist nicht so.

MPLS (Multi Protocol Label Switching) wurde entwickelt, um die genutzten Bandbreiten in den Übertragungswegen der Provider besser zu bestimmen und es so dem Provider zu ermöglichen, seinen MPLS-Kunden Bandbreiten und Paketlaufzeiten zu garantieren.

Ein MPLS-VPN, wie es bei den Unternehmen mit verteilten Standorten eingesetzt wird, ermöglicht es dem Kunden, private (und im Internet nicht zu routenden) Adressen für die IP-Kommunikation zu verwenden (VPN (virtuelles privates Netzwerk)). Da die Daten in einem MPLS-VPN jedoch in seiner „normalen“ Ausführung nicht verschlüsselt werden (die Verschlüsselung muss explizit und kostenpflichtig hinzugebucht werden) sind die Daten, die das MPLS-VPN passieren, für potentielle Angreifer an jedem Netzknoten des Providers und an den Übertragungsstrecken abhörbar. Das „Privat“ im Begriff VPN bezieht sich hier nicht auf Verschlüsselung und Geheimhaltung sondern auf die verwendeten IP-Adressen.

Selbst wenn bei einem MPLS-VPN die Verschlüsselung hinzugebucht wurde, ist die Geheimhaltung nicht gewährleistet, da die Schlüssel mit auf den Übergangsroutern vom Kunden-LAN ins Provider-WAN liegen. Diese Router sind angreifbar, auf jeden Fall dann, wenn auch der normale Internet-Traffic über den Router abgewickelt wird.

Möchte ein Unternehmen eine sichere „interne“ Kommunikation zwischen Standorten verwirklichen, muss die Verschlüsselung zum einen in der Hand des Unternehmens und nicht beim Provider liegen, die IPSec-Router (für die Ver- und Entschlüsselung) müssen in einer vom Kunden gemanagten demilitarisierten Zone zwischen zwei Firewalls stehen und außerdem gegen physikalischen Zugriff geschützt werden. Auf welchen Übertragungswegen (MPLS oder Internet) die Pakete dann zum anderen Standort gelangen, ist zweitrangig.

Alles Andere ist unsicher.

Aug 282014
 

Haben Sie auch schon eine Mail „von sich selbst“ oder von einer Absenderadresse bekommen, die angeblich aus Ihrem Unternehmen stammt, wobei die angegebene Absenderadresse sicher nicht existiert oder die/der Kollege/in Ihnen sicher keine solche Mail geschickt hat?

Die „Erfinder“ des Internet-Mailsystems waren ehrliche Leute und haben an die Ehrlichkeit ihrer Mitmenschen geglaubt. Deshalb haben Sie im Ursprung keine Möglichkeiten in das System implementiert, eine Absenderadresse zu verifizieren. Hierdurch ist es mit einfachsten Mitteln möglich, eMail-Adressen zu fälschen und Nachrichten mit diesen gefälschten Mailadressen zu versenden.

Glauben Sie also nicht bedingungslos was Sie lesen, wenn Sie eine eMail öffnen.

Selbstverständlich ist das Problem in der Internet-Community mittlerweile mehr als bekannt und es wird seit einiger Zeit an Systemen gearbeitet, solche Nachrichten mit gefälschten Absenderadressen zu erkennen und automatisch und sicher zu verwerfen. Diese Systeme müssen in die Mailserver der „empfangenden“ Mailserver implementiert (SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mails)) werden und arbeiten mittlerweile zuverlässig.

Ich werde beide Verfahren mit Vor- und Nachteilen in gesonderten Beiträgen hier in technischen Artikeln beschreiben. Implementieren können wir eins der Verfahren oder Beide in Ihrem Mailsystem jederzeit.

Apr 132014
 

Was ist so gefährlich an Heartbleed? Eine Attacke auf die fehlerbehaftete Verschlüsselungssoftware SSL, die zur Verschlüsselung der Kommunikationen zwischen Clients und Servern verwendet wird, zielt darauf, den geheimen Schlüssel im Server auszulesen. Bei einem öffentlichen Community-Test am vergangenen Wochenende ist das mehrfach gelungen.
Dabei ist die Sicherheitslücke selbst nicht gefährlicher als alle anderen Sicherheitslücken von Software. Das besondere an Heartbleed ist nur, dass die Anzahl der betroffenen Benutzer besonders hoch ist. Warum?
SSL wird unter anderem zur Verschlüsselung der Kommunikation zwischen Webservern und Browsern verwendet. Jeder kennt dieses „https“, wie es z.B. beim Online-Banking zwingend verwendet wird. Das „s“ hinter dem „http“ steht für „secure“, also sicher.
Die Kommunikation zwischen dem Browser eines Benutzers und dem Webserver wird mit Hilfe von SSL (Secure Sockets Layer) verschlüsselt und ist „normalerweise“ durch fremde „Dritte“ nicht lesbar. Wie ich schon hier ausgeführt habe, ist eine Verschlüsselung dann sicher, wenn die Schlüssellänge lang genug ist und wenn der geheime Schlüssel auch geheim bleibt.
Durch Heartbleed kann nun der geheime Schlüssel (der auf dem Webserver liegt) durch Fremde ausgelesen werden und ist deshalb nicht mehr geheim. Also ist die Kommunikation zwischen Browser und Server auch nicht mehr sicher, denn mit Hilfe des Schlüssels kann sie entziffert werden. Also können können auch Passwörter, PIN-Nummern, Bank- und Kreditkartendaten, etc. von Fremden gelesen und genutzt werden, die „normalerweise“ sicher übertragen werden.
Dieses Problem betrifft Millionen, wenn nicht Milliarden Menschen. Das ist macht Heartbleed so gefährlich…

Sep 062013
 

Heute ist den Medien zu entnehmen, dass die amerikanische NSA in der Lage sei, auch verschlüsselte Mails deutscher Bürger mitzuschreiben, aufzuzeichnen und zu lesen. Dies ist vollkommener Quatsch und kann so nicht stehen gelassen werden. Sind Nachrichten Ende-zu-Ende verschlüsselt, können selbst Geheimdienste diese Mails nicht in großem Stil lesen. Um verschlüsselte Mails, die mit einem Public-Key-Verfahren verschlüsselt sind, zu lesen, muss entweder der private Schlüssel des Empfängers bekannt sein oder dieser Schlüssel muss vom „Hacker“ generiert werden. Aus dem öffentlichen Schlüssel eines Empfängers lässt sich der private Schlüssel nicht generieren: Die gängigen Verfahren sind sicher; darin sind sich die Mathematiker einig.

Zum Verfahren:
Die Ende-zu-Ende-Verschlüsselung von Nachrichten basiert auf einem sogenannten Public-Key-Verfahren. Mit einem sicheren mathematischen Verfahren werden zwei Schlüssel generiert, die einmalig zueinander passen. Die beiden Schlüssel nennt man Public-Key (öffentlicher Schlüssel) und Secret-Key (geheimer Schlüssel). Eine Nachricht, die mit dem Public-Key verschlüsselt wurde, lässt sich nur noch mit dem zugehörigen Secret-Key entschlüsseln. Es gibt keinen zweiten Secret-Key aus einem anderen Schlüsselpaar, dass diese Nachricht entschlüsseln könnte.
Möchte man eine Nachricht an einen Empfänger verschlüsseln, benötigt man also dessen öffentlichen Schlüssel. Der Empfänger kann den Public-Key jedem mitteilen, der ihm eine verschlüsselte Nachricht senden möchte. Niemand ist in der Lage, mit dem Public-Key eine Nachricht zu entschlüsseln. Der Public-Key dient nur der Verschlüsselung. Der Absender wird seine Nachricht nun mit dem öffentlichen Schlüssel des Empfängers verschlüsseln und ihm diese Nachricht (z.B. per eMail) senden. Die verschlüsselte Nachricht könnte man in eine Tageszeitung drucken – sie kann nicht gelesen werden. Der Empfänger der Nachricht kann die Nachricht nun mit der Hilfe seines geheimen Schlüssels entschlüsseln und hat die Nachricht dadurch wieder im Original vorliegen – genau so, wie sie vor der Verschlüsselung ausgesehen hat.

Das Verfahren ist sicher – wo ist der Haken?
Das eventuelle Problem beim Public-Key-Verfahren liegt nicht im Verfahren selbst – es liegt beim Benutzer, speziell beim Empfänger der Nachricht. Absender und Empfänger von verschlüsselten Nachrichten mit dem Public-Key-Verfahren können sich nur dann sicher sein, dass kein Dritter die Nachricht lesen kann wenn:

  • 1. Der geheime Schlüssel wirklich geheim und niemandem Dritten bekannt ist und
  • 2. Die Schlüssellänge groß genug ist

Um eine Nachricht zu entschlüsseln, muss der geheime Schlüssel bekannt sein. Kenn man den geheimen Schlüssel nicht, so kann man verschiedene Schlüssel ausprobieren. Erwischt man dabei zufällig den geheimen Schlüssel, so kann man die Nachricht entschlüsseln. Das Verfahren des „Ausprobierens“ nennt man Brute-Force-Attacke. Dabei füttert man einen Computer mit der verschlüsselten Nachricht und lässt den Computer versuchen, die Nachricht zu entschlüsseln. Dabei wendet der so programmierte Computer nacheinander alle möglichen Kombinationen von Zeichen als Secret-Key an und testet nach jedem Entschlüsselungsversuch den Erfolg. Lässt man den Computer lange genug probieren, wird er irgendwann den geheimen Schlüssel erwischen und kann die Nachricht entschlüsseln. Die Zeit, die er benötigt hängt maßgeblich von der der Geschwindigkeit des Computers (der Anzahl der Versuche pro Zeiteinheit) und der verwendeten Schlüssellänge ab. Verwendet man einen Schlüssel mit zwei Bit (was unsinnig ist und nur als Beispiel dient) gibt es genau vier (2²) mögliche Kombinationen. Nach spätestens vier Versuchen hätte unser „Hacker-Computer“ die Nachricht also entschlüsselt. Ist die Schlüssellänge drei Bit würde er maximal 8 (2³) Versuche benötigen. In der Regel verwendet man beim Public-Key-Verfahren eine Schlüssellänge von 2048 Bit. Dies bedeutet, dass der „Hacker-Computer“ bis zu 2 hoch 2048 Kombinationen (das ist ungefähr eine 3 mit 616 Nullen) ausprobieren muss – dafür benötigen auch die Supercomputer der Geheimdienste Jahre bis Jahrzehnte. Selbstverständlich ist es möglich, die Schlüssellänge auf 4096 oder 8192 oder beliebig viele Bits zu erhöhen Die Zeit, die dann die „Hacker-Computer“ benötigen würden, wachsen exponentiell mit der Schlüssellänge.

Natürlich wissen das auch die Geheimdienste und werden nicht erst versuchen, jede verschlüsselte Nachricht zu entschlüsseln. Es wäre chancenlos bei der Menge der Mails, die durch das Internet sausen.

Das andere Problem bei dem Verfahren ist, wie schon oben angemerkt, den geheimen Schlüssel wirklich geheim zu halten. Bei der Ende-zu-Ende-Verschlüsselung ist das noch relativ leicht möglich. Man kopiert sich den Schlüssel auf einen USB-Stick, sichert ihn auf einen Zweiten, den man in einen Safe legt, und verwendet den Stick nur dann, wenn man gerade Nachrichten entschlüsseln möchte. Achtet man gut auf seine Schlüssel,, sind die Nachrichten auch gut vor den Geheimdiensten geschützt.

Anders ist das bei den großen eMail-Providern. Diese werben mit Verschlüsselung von eMail, können aber keine Ende-zu-Ende-Verschlüsselung anbieten. Die Verschlüsselung dieser Provider greift nur zwischen den Servern der Provider und die Schlüssel müssen zwingend mit auf den Servern liegen, da diese ja die verschlüsselten Mail automatisch wieder entschlüsseln müssen, um sie den Benutzern zu präsentieren. Selbstredend ist dies unsicher und hat den Namen „Verschlüsselte Nachrichten“ nicht verdient.

Aug 092013
 

Nach der Aufdeckung der Abhöraktivitäten der NSA in Deutschland wollen web.de, t-online.de und yahoo.de automatisch verschlüsselte eMails anbieten. Als Marketing-Aufreißer für die Unternehmen nützlich, für die Sicherheit der Nachrichten der Nutzer ist eine automatische Verschlüsselung völlig ungeeignet.
Warum:
Um eine elektronische Nachricht sicher zu verschlüsseln, bedarf es eines sogenannten „Public Key“-Verfahrens. Das Public Key-Verfahren basiert auf drei Regeln (und zwei Schlüsseln):

  • 1. Einem privaten (geheimen) Schlüssel.
  • 2. Dem öffentlichen Schlüssel, den der Eigentümer des Schlüssels jedem Absender einer Nachricht „öffentlich“ zur Verfügung stellt. Dieser Schlüssel ist nicht geheim.
  • 3. Der private und der öffentliche Schlüssel sind einmalig und passen dementsprechend einmalig zueinander.

Der Absender einer geheimen Nachricht wird diese nun vor dem Absenden mit dem öffentlichen Schlüssel des Empfängers verschlüsseln. Nach dem Verschlüsseln kann die Nachricht nur noch mit dem privaten (geheimen) Schlüssel des Empfängers entschlüsselt werden. Eine andere Möglichkeit des Entschlüsselns der Nachricht gibt es nicht!
Dies bedeutet, dass selbst der Absender der Nachricht nicht mehr in der Lage ist, seine eigene Nachricht an den Empfänger zu entschlüsseln um sich z.B. die gesendetete Nachricht später nochmals anzuschauen (Gesendete Objekte). Nur der (rechtmäßige) Empfänger der Nachricht, der über den passenden geheimen Schlüssel verfügt, kann die Nachricht entschlüsseln und demnach „im Klartext“ anschauen.

Sicher verschlüsselte Nachrichten kann man nur an Empfänger versenden, dessen öffentlichen Schlüssel man beszitzt!

Über die öffentlichen Schlüssel Ihrer Kunden und Benutzer verfügen die genannten Provider nicht – die wenigsten Empfänger einer Nachricht haben überhaupt ein Schlüsselpaar. Dementsprechend hat der Versender nicht die Möglichkeit, einem solchen Empfänger eine verschlüsselte Nachticht zu senden.

Deshalb ist es den angesprochenen Providern nicht möglich, eine wirkliche Sicherheit von Nachrichten zu gewährleisten. Sie bieten werbewirksam die Leistung an, dass Mails innerhalb Ihrer Unternehemen (also zwischen den Servern innerhalb der Unternehmen) verschlüsselt durch das Internet übertragen werden. Dies sollte aber schon seit mindestens 10 Jahren zum Standard im Internet gehören.

Jun 282013
 
Die richtige eMail-Adresse ist wichtig.

Die eMail-Kommunikation über das Internet ist für viele Unternehmer ein Segen. eMails sind schnell getippt, zugestellt und der Empfänger kann, im Gegensatz zum Telefonat selbst entscheiden, wann er die Bearbeitung startet.
Mit einer eMail-Adresse wirbt man für sein Unternehmen – ist die Domäne (der Teil nach dem „@“-Zeichen) gut gewählt, können sich Interessenten die Adresse gut merken und später Kontakt aufnehmen. Ausserdem haben Empfänger die Möglichkeit, ein www. vor der Domäne einzufügen, ins Adressfeld ihres Browers einzutragen und so auf die Website des Unternehmens zu gelangen.
Diesen Vorteil sollte man nicht leichtsinnig verspielen, indem man es sich einfach macht und Adressen von t-online, Aol, web.de, Gmx, Google oder anderen großen Mailprovidern verwendet.

  • Potentielle Kunden bewerten ein Unternehmen unterbewusst nach dem ersten Eindruck. Hat ein Unternehmen eine eigene, aussagekräftige Domäne, assoziiert der Kunde damit ein Unternehmen, dass modern und innovativ ist und sich „Mühe gibt“.
  • Die großen Provider haben Millionen von Kunden mit dementsprechend vielen eMail-Adressen. Man kann also davon ausgehen, dass die einfachen und einprägsamen eMail-Adressen vergeben sind. (Versuchen Sie doch mal info@t-online.de, service@web.de oder sale@aol.de zu registrieren).
  • Hat ein Kunde schlechte Erfahrung mit der Telekom gemacht oder sich gerade über Arcor geärgert, ist er Ihnen mit einer @t-online.de oder @arcor.de-Adresse zu diesem Zeitpunkt unterbewusst sicher nicht wohlgesonnen.

Dabei ist es so einfach und günstig, sich eine eigene Domäne registrieren zu lassen. Einen entsprechenden (virtuellen) Mailserver, mit dem Sie auch Termine und Kontakte im Team verwalten und mit dem Smartphone synchronisieren können, können Sie bei uns kostengünstig ab 10,00 EUR monatlich mieten.

Kleine Investition – Große Wirkung

Jun 272013
 

Wenn man in den verschieden Windows-Betriebssystemen eine Datei löscht, wandert sie meist erst einmal in den Papierkorb. Klickt man nun auf „Papierkorb löschen“ hört sich das so an, als wären die Dateien unwiederbringlich gelöscht.
Dem ist nicht so!
Manchmal ist das gut – hat man versehentlich eine Datei gelöscht, kann man sie durch diese Funktion eine Zeit lang wiederherstellen.
Oft jedoch möchte man eine Datei löschen, damit sie nicht mehr lesbar ist. Dann ist die Löschfunktion fast aller Betriebssystemen unzureichend: Die Datei wird nur als gelöscht markiert und dem Benutzer nicht mehr angezeigt. In Wirklichkeit ist sie noch unverändert auf der Festplatte vorhanden.
Möchte man also eine Datei sicher löschen, sollte man sich das nachfolgende Hilfsprogramm herunterladen und anwenden.
Es überschreibt die alten Daten nach verschiedenen Verfahren mit Zufallswerten und macht sie damit endgültig unlesbar.

Download der kostenlosen Software

Mai 012012
 

Microsoft hat noch keine Details genannt, welche zusätzlichen Funktionen „Windows 8 Enterprise“ im Vergleich zu „Windows 8 Pro“ bieten soll. Dies wurde jetzt von einem Mitarbeiter im Blog nachgeholt:

Das Installieren von Windows 8 Enterprise auf einem bootfähigen USB-Stick ist mit Windows To Go möglich. Bei Firmen, die einen Software-Assurance-Vertrag abgeschlossen haben, können die Mitarbeiter so Ihren dienstlichen Desktop auch zu Hause an Ihrem privaten Rechner nutzen.
Auch einige der bereits von Windows 7 bekannten Funktionen, wie etwa „Direct Access“, bleiben dem Nutzer der Enterprise-Version vorbehalten. Auch Microsofts Nachfolger der Software Restriction Policies (SRP), AppLocker, mit denen Administratoren den Start oder die Installation ungewollter Software durch den Anwender verhindern können, sind nur in Windows 8 Enterprise enthalten.

Der integrierte „Branch Cache“ lädt Dokumente unter Windows 8 nicht zwingend vom langsam angebundenen Server in der weit entfernten Hauptstelle, sondern überprüft vorab, ob eine Kopie auf einem viel schneller angebundenen PC in der eigenen Filiale zu finden ist. Im Zusammenspiel mit dem nächsten Server von Microsoft, der „Windows Server 2012“ heißen wird, soll diese Funktion wesentlich besser funktionieren als bislang.

Apr 282012
 

Apple hat es noch nicht aufgegeben, gegen das Galaxy Tab 10.1N von Samsung vorzugehen. Apple ist, nach der Niederlage vor dem Düsseldorfer Landgericht im Februar, die Berufung gegangen. Das teilte ein Sprecher des Düsseldorfer Oberlandesgerichts mit, das am 5. Juni über den Fall verhandeln will.

Zunächst hatte Apple es in Düsseldorf geschafft, das Vorgängermodell von Samsung, das Galaxy Tab 10.1, wegen zu großer Nähe zum iPad-Design vom deutschen Markt zu verbannen. Daraufhin brachte Samsung das leicht abgewandelte Modell 10.1N heraus.

Apple erneut vor das Düsseldorfer Landgericht. Diesmal meinten die Richter am 9. Februar im Eilverfahren, dass das abgeänderte Design sich ausreichend von Apples iPad unterscheide. Durch die Änderungen bestehe keine Verwechslungsgefahr mehr.