Blog

  • re:publica 2014

    veröffentlicht von Martin Kohlhaas am 09.05.2014 in Feldforschung, Sicherheit

    Eine Nachlese die nicht funktionieren kann

    re:publica 2014 | Namensschilder, Bild: Foto: Martin Kohlhaas
    re:publica 2014 | Namensschilder, Bild: Foto: Martin Kohlhaas

    Ich glaube es gibt so Sachen, die kann man schlecht jemandem vermitteln, der sie nicht selbst erlebt hat. Letztes Jahr habe ich die re:publica online verfolgt - via twitter, die Live-Streams und die täglich erscheinenden eBooks. Das war spannend aber irgendwie nicht besonders spektakulär. Seit dieser Woche weiß ich nun, wie es sich anfühlt, vor Ort gewesen zu sein.
    Die Anzahl der tweets, oder die Menge der Videos geben kein Bild von der Stimmung.

    Weiter ins Detail will ich da gar nicht gehen. Auch Zusammenfassungen von Einzelvorträgen lasse ich an dieser Stelle weg. Ich kann nur empfehlen, sich so viele der Vorträge wie möglich online noch anzuschauen (Danke für die viele Arbeit und die Veröffentlichung!). Ein wichtiger Tipp: ignoriert die Titel - die sind meist doof. Hinter den beklopptesten Titeln verbergen sich oft die spannendsten Vorträge. Einfach reinklicken. Zum Einstieg nachfolgend ein paar Empfehlungen:

    Diese Liste macht einen sehr einseitigen Eindruck – dieser täuscht. Die re:publica ist unglaublich vielfältig. Von einem Vortrag zum nächsten kann man eine wahnsinnige Themenvielfalt erleben. Von Elternblogs über Bildungsthemen, Hardware-Workshops, Netzkultur, Video, usw. – es ist in der Menge nicht zu überblicken. Die obige Liste ist deshalb so einseitig, weil bei der Beschäftigung mit dem Leitthema Snowden/Überwachung/digitale Freiheit klar wird, dass wir über Elternblogs und Katzenbilder gar nicht reden brauchen, wenn die Grundlage schon nicht stimmt oder wie es Sascha Lobo sagt, wenn das Internet kaputt ist.
     

  • 1Password ist sicher

    veröffentlicht von Martin Kohlhaas am 09.09.2013 in Recherche, Sicherheit

    darauf legen jedenfalls die Macher von AgileBits Wert, wie sie in einem aktuellen Blogbeitrag vom 6. September veröffentlichten.

    Darin (1Password and The Crypto Wars) gingen Sie auf die aktuellen NSA-Überwachungsdiskussionen ein und erklärten, warum sie keinen Zugriff auf unsere Passwortdaten haben und diese dementsprechend auch nicht weitergeben können.

    Das ist doch mal eine beruhigende Meldung zum Wochenstart mit einer deutlichen Empfehlung für diese essentielle Software.

  • Wie kommen Zugangsdaten sicher und effizient zum Kunden?

    veröffentlicht von Marko Meister am 11.07.2013 in Lab, Sicherheit, Technisches, Tool-Tipps · 3 Kommentare

    Wer mit Support zu tun hat kennt das Problem: der Kunde braucht ganz schnell sensible Zugangsdaten und hat sie nicht, weil die Kollegin, die diese Daten normalerweise verwaltet krank ist oder Urlaub hat oder er findet die Zugangsdaten einfach nicht mehr. Oder es wurde eine neue Mailbox eingerichtet und nun muss das Passwort irgendwie – am besten abhörsicher – zum Kunden. Wie gehen wir da vor? Klartext-Email oder im Skype macht Bauchschmerzen. Also?

    Variante 1: Anrufen, durchsagen.

    Das ist schonmal ganz gut und sicher, aber leider hat diese Variante einige Nachteile. Zum Einen geht das nicht immer, weil der Kunde z.B. gerade nicht telefonisch erreichbar ist. Daneben kann ein solches Telefonat auch anstrengend sein, wenn es um sichere Passworte geht (z.B: IuuhGZTgff567&%rrtfg), dann dauert die Transkription vom Geschriebenen ins Gesagte, ins Gehörte und zurück ins Geschrieben eine Weile und ist Fehleranfällig.

    Fazit: Relativ sicher ist das, aber Effizient geht anders.

    Variante 2: verschlüsselte Datei versenden. 

    Diese Variante geht eigentlich nur bei Kunden oder Partnern, mit denen man sich vorher auf ein Generalpasswort zur Verschlüsselung dieser solcher Dateien geeinigt hat. Und die Gegenseite muss dieses Passwort auch noch erinnern. Daneben wird eine Software gebraucht, die auf beiden Seiten vorhanden ist und dort im günstigsten Fall auch bereits anderweitig eingesetzt wird, damit der Umgang damit klappt.

    Fazit: Fällt also eigentlich auch aus.

    Variante 3 PGP verschlüsselte Emails

    Im Prinzip zählt hierzu auch S/MIME, wobei dafür Zertifikate benötigt werden, die das Setup noch komplizierter machen. Um PGP einzusetzen muss man auch ein bisschen Zeit mitbringen: ich habe gestern ungefähr 10 Minuten gebraucht, bis ich mir selbst die erste verschlüsselte Email geschickt hatte. Wen es interessiert, ich habe mich im Wesentlichen hier orientiert: enigmail.net 

    Fazit: kompliziertes Setup, geht nicht für schnelle Kommunikation mit neuem Kunde, weil der Sender zunächst einmal den öffentlichen Schlüssel des Empfängers benötigt. Ansonsten aber prima in die normalen Arbeitsabläufe integrierbar.

    Variante 4 NoteShred

    Gottseidank gibts ja Google, und es hätte mich gewundert, wenn nicht irgendjemand schonmal eine Applikation gebastelt hätte, die genau diesen Zweck erfüllt. Noteshred ist ein Dienst, der Notizen (z.B. Passwörter) verschlüsselt ablegt und nach Abruf zerstört. Zusammen mit der SSL-Verbindung zum Server ist das eigentlcih eine runde Sache - probierts mal aus https://www.noteshred.com/.

    Der Wermutstropfen ist ist natürlich, das dieser Service von irgendwem in Kalifornien betrieben wird. Gut - er versichert zwar, das das alles so gemacht wird, wie beschrieben, aber ein bisschen Bauchschmerzen habe ich da trotzdem.

    Natürlich habe ich dann auch eine Open-Source Implementation dafür gefunden (passtunnel.com / guithub/passtunnel). Leider ist die entsprechende Website grad nicht erreichbar.

    Fazit: Das wäre was, wenn wir das selber betreiben würden.

    Variante 5 Akira

    Ja. So kompliziert ist das ja nicht, also könnten wir das auch mal selber mit Akira implementieren.

    Aber vielleicht gibt es ja noch die andere ultimative Lösung. Gibts Ideen/ Vorschläge?