Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

August 23 2013

Cloud-Links: Hellsichtige Paranoiker, Whistle.im, Ausfälle bei iCloud und Skydrive

Der Paranoiker als Hellseher, Whistle.im erscheint nach schweren Sicherheitslücken in neuer Version, die Zukunft der Cloud-Industrie und Ausfälle bei Apple und Microsoft. Cloud-Links der Woche:

„Paranoiker von gestern waren aus heutiger Sicht sehr hellsichtig”

Politik-Digital.de hat sich mit Gunnar Schwan von der Stiftung Warentest über Cloud-Speicherdienste und die Folgen der NSA- und Überwachungs-Enthüllungen für Nutzer unterhalten. Internetnutzer könnten sich nicht mehr sicher sein, was mit ihren Daten passiert und wer sie wann wie auswertet. Schwan meint zum Ansatz, möglichst viele Daten zu sammeln und später nach Mustern zu suchen: „Das ist vergleichbar mit einem längeren Blick in die Wolken. Irgendwann sieht man Figuren, die eigentlich gar nicht da sind.” Vor kurzem veröffentlichte die Stiftung Warentest eine Untersuchung zu Cloud-Speicherdiensten.

Whistle.im mit neuer Version nach kritischen Sicherheitslücken

Der Messaging-Dienst whistle.im verspricht verschlüsselte Kommunikation für Kurznachrichten, musste sich nach einer Analyse eines Mitglieds des Chaos Computer Clubs Hannover aber schwerwiegende Sicherheitslücken und Designfehler vorwerfen lassen, die die gesamte Verschlüsselung untergraben könnten. Mittlerweile haben die Entwickler eine neue Version veröffentlicht, die das behoben haben will. Dass der bislang kaum bekannte Dienst überhaupt in die Schlagzeilen gerät, hängt mit dem gesteigerten Interesse an sicherer Kommunikation zusammen. CCC-Mitglied „nexus” schreibt, viele Projekte spielten mittlerweile zu Marketingzwecken „mit dem gesteigerten Problembewusstsein der Bevölkerung, ohne dass sie einen wirklichen Schutz liefern.” Auch der unverschlüsselte Messaging-Marktführer Whatsapp gerät immer wieder in die Kritik.

„Die Zukunft der Cloud steht auf dem Spiel”

Venturebeat-Chefredakteur Dylan Tweney beschäftigt sich in einem Beitrag mit den hier und hier bereits erwähnten Prognosen zu den Auswirkungen der NSA-Enthüllungen auf die Cloud-Industrie. Auch wenn einzelne US-Bürger sich weniger um die NSA sorgten, würden zumindest die IT-Abteilungen von Unternehmen und Organisationen verstärkt von Cloud-Diensten abrücken, wenn die Regierung nicht gegensteuere. Tweney meint: „The future of the cloud — and a generation of new businesses — is at stake.” Zeit Online und tagesschau.de haben das Thema mittlerweile ebenfalls aufgegriffen.

Störungen bei iCloud, Microsoft Skydrive und Outlook.com

Sowohl Apples iCloud als auch Microsofts Cloudspeicher Skydrive und Outlook.com hatten zuletzt mit Ausfällen bei Erreichbarkeit und Funktionalität der Dienste zu kämpfen. Ein Fehler beim Zwischenspeichern war bei Microsoft die Ursache, wie das Unternehmen am Samstag bekannt gab. Für Ausfälle beim iCloud-Dienst seit Donnerstag gibt es bislang keine offizielle Mitteilung. Betroffen sein sollen nach Apple-Angaben drei Millionen Nutzer. Mittlerweile sind die Dienste offenbar wieder online.

August 19 2013

Whatsapp: Wie riskant ist der Messagingdienst?

Beim Messagingdienst Whatsapp traten Datenschutzrisiken und Sicherheitsprobleme in der Vergangenheit gleich gehäuft auf. Dennoch legt der Dienst beständig an Nutzern zu. Trotz Nachbesserungen im Detail bleiben viele Fragen zum Dienst jedoch ungeklärt.

Immer wieder ist der populäre Mitteilungsdienst Whatsapp in den Schlagzeilen. Zuletzt führten massive Server-Ausfälle zu Verzögerungen beim Weitertransport von Nachrichten und Bildern. Ernster sind andere Meldungen: Ende Juli wurde bekannt, dass ein Angreifer über eine Sicherheitslücke auf Konten bei Paypal oder Google Wallet zugreifen können soll, weil Whatsapp die Daten nur teilweise verschlüsselt transportiere.

Nur wenige Tage davor sorgte eine Schadsoftware mit dem Namen „Piryanka“ für Ärger. Der Virus bahnt sich, getarnt als Kontaktaufnahme bei Whatsapp, den Weg auf Android-Geräte, wo er sich im Adressbuch einnistet und dort verbreitet. Die Nutzer hatten das vorher per scheinbar harmloser Bestätigung in Whatsapp zugelassen.

Schon im Frühjahr wiesen niederländische und kanadische Datenschützer auf eklatante Sicherheitslücken beim Anmeldeprozess hin: Diese Lücken machen es möglich, dass Dritte eine Whatsapp-Identität stehlen und missbrauchen können. Die Whatsapp-Macher reagierten weder darauf noch stellten sie ein Sicherheitsupdate zur Verfügung. Das befremdete viele Nutzer noch mehr. Einige Nutzer wanderten ab, Entwickler begannen, an Alternativdiensten zu arbeiten.

Whatsapp: Der Dienst im Überblick 

Mit Whatsapp können registrierte Nutzer über das Smartphone Nachrichten untereinander versenden. Dafür müssen sie nur den Nutzernamen oder die Telefonnummer des jeweils anderen Nutzers kennen. Das bedeutet: Man kann auch Unbekannten Whatsapp-Mitteilungen senden, denn ein Nutzer muss den Kontakt nicht bestätigen.

Die Whatsapp-Programme kommunizieren ausschließlich über eigene Server, in die sich das jeweilige Gerät per Mobilfunk- oder WLAN-Verbindung einwählt. Gruppennachrichten und Dateianhänge für Fotos oder Videos sowie Sprachnachrichten sind ebenfalls möglich. Die Gebühren für die Nutzung sind von Gerät und Betriebssystem abhängig. Android-Nutzer zahlen zwischen 67 und 90 Cent jährlich, iPhone-Nutzer 89 Cent für ein Jahr.

Zur großen Verbreitung dürfte beigetragen haben, dass der Dienst auf fast allen gängigen Systemen –  ob Smartphone oder Desktop-Rechner – erhältlich ist und nur wenige Schritte und Angaben beim Registrieren erfordert. Nach Angaben von Whatsapp haben sich weltweit mehr als 300 Millionen Nutzer registriert, in Deutschland sollen es etwa 20 Millionen sein. Einer Studie der Jugendmesse You zufolge sollen 36 Prozent der deutschen Jugendlichen den Dienst benutzen. Demnach hat der Dienst für Jugendliche zudem größere Bedeutung für den Nachrichtenaustausch als Facebook oder SMS.

Wie hält es Whatsapp mit Datenschutz und Datensicherheit?

Als Problem betrachten Kritiker, dass der Dienst regelmäßig alle Adressbuchdaten an die Whatsapp-Server in den USA übermittelt – zumindest, wenn Nutzer das nicht per Voreinstellung blockieren, was aber nur bei einigen Versionen möglich ist. Trotz der Kritik rückte Whatsapp von dieser Praxis bisher nicht ab.

Probleme mit der Datensicherheit sind beim Anmeldeprozess bekannt. Um zu überprüfen, ob sich wirklich der registrierte Nutzer und nicht ein Dritter einwählt, verknüpfte der Dienst in einer früheren Version die Logindaten lediglich mit der Gerätenummer des Telefons, wie im Frühjahr kanadische und niederländische Datenschutzbehörden herausfanden. Diese Nummer wird beispielsweise verwendet, wenn sich ein Gerät in einem WLAN-Netzwerk anmeldet. Der Administrator eines WLAN-Routers kann diese Nummer sehen. Auf diesem Weg sei es ein leichtes, eine Whatsapp-Identität anzunehmen, um beispielsweise Spam- oder Phishing-Mitteilungen zu versenden oder Passwörter einzusammeln. Dieses Problem hatte offenbar kaum Konsequenzen.

Was sagen die Nutzungsbestimmungen?

Zunächst fällt auf, dass die Nutzungsbestimmungen (Terms of Service) ebenso wie die Datenschutz-Erklärung (Privacy Notice) nur auf Englisch vorliegen. Zwar hat das Unternehmen keine Niederlassung in Deutschland und seinen einzigen Sitz in Kalifornien. Das Unternehmen spricht seine Kunden im deutschsprachigen Raum allerdings auf Deutsch an. Liegen AGB aber nur auf Englisch vor, könnten sie unwirksam sein. Das könnte für Whatsapp noch zu einem Problem werden. Ob man sich als Nutzer im Zweifel auf diese Sichtweise berufen kann, ist aber nicht sicher.

Die Bestimmungen erläutern auch, dass der Dienst auf das Adressbuch des Nutzers zugreift. Doch sie versichern, dass auf den Whatsapp-Servern nur die Telefonnummern und Nutzernamen gespeichert würden, nicht aber die tatsächlichen Namen, E-Mail-Adressen oder andere Kontaktinformationen. Um einen Kontakt anzuzeigen, werde dessen Nutzername aus der Kontaktliste auf dem Gerät des Nutzers ausgelesen. Das wäre kein Grund zur Beunruhigung, sondern üblich für derartige Apps.

Desweiteren heißt es in den Bestimmungen, dass der Dienst werbefrei sei. Das Unternehmen Whatsapp selbst nimmt für sich in Anspruch, alle persönlich identifizierbaren Informationen zur „Analyse, Weiterentwicklung und Eigenwerbung“ zu verwenden. Das Recht dafür sollen die Nutzer dem Dienstebetreiber in dem Moment einräumen, in dem sie den Dienst nutzen, um Nachrichten zu versenden. Nutzer unterwerfen sich den Gesetzgebungen des USA-Bundesstaates Kalifornien, heißt es in den Bedingungen weiter. Die Textbotschaften der Nutzer werden nach eigenen Angaben von den Servern des Unternehmens gelöscht, sobald sie zugestellt wurden. Andernfalls würden sie maximal 30 Tage gespeichert, Anhänge etwas länger.

Außerdem fällt auf: Auf Änderungen in den Datenschutzerklärungen werden die Nutzer nicht explizit hingewiesen. Sie müssen also von sich aus etwaige Neuerungen erkunden. Das wirft ein schlechtes Licht auf das Unternehmen. Die letzten Änderungen der Nutzungsbedingungen gab es im Juli 2012. Auch das verwundert: Angesichts der zahlreichen Kritikpunkte, die seitdem öffentlich wurden, könnte man als Nutzer eigentlich Nachbesserungen erwarten.

Whatsapp hat nachgebessert, aber nur teilweise

Gleichwohl tat sich etwas bei Whatsapp: Seit Frühjahr 2013 gab es eine Reihe von Updates, die den Verifizierungs-Prozess sowie Preise und Vertragslaufzeiten änderten. Die Version für Apples iOS verschwand für einige Tage aus dem Appstore und tauchte kommentarlos etwas später wieder auf, kurz nachdem die Lücke über die Gerätenummer bekannt wurde. Das sahen viele als Indiz für dezente Änderungen im Hintergrund.

Seit der Version 2.8.3 wird die Datenübermittlung via WLAN nun verschlüsselt, was das bis dahin mögliche Mitlesen unterbinden soll. Beim Registrieren versendet der Dienst nun eine SMS mit einem Bestätigungscode, den der Nutzer eingeben muss. Ein Angreifer müsste dann Zugriff auf das Mobilgerät des Opfers haben, um dessen Whatsapp-Identität zu entführen. Auch die zuvor stets aktivierte Übermittlung von Meldungen über den Online-Status und dessen Dauer lassen sich bei manchen Versionen nun von Hand einstellen oder blockieren.

Der Wurm „Piryanka“ und der mögliche Zugriff auf Paypal-Konten sind allerdings erst kürzlich aufgedeckt worden, stellen also auch bei den neuen Versionen eine Gefahr dar. Der Zugriff auf das Telefonbuch des Nutzers ist nach wie vor fest eingebaut und lässt sich zumindest bei Android-Geräten nicht unterbinden. Immerhin können das die Nutzer der iOS-Version über eine systemseitige Einstellung beeinflussen. Für Nutzer, die Wert auf Schutz ihrer persönlichen Daten legen, scheint der Dienst weiterhin nicht vertrauenswürdig genug, auch wenn sich manches mittlerweile durch individuelle Einstellungen regeln lässt.

Bewegung bei Messaging-Diensten

Wer Whatsapp benutzt, dem sollte klar sein, dass dieser Dienst einen vergleichsweise freizügigen Umgang mit den Daten seiner Nutzer pflegt. Das wird etwa an der Freigabe des Adressbuchs deutlich. Wem das nicht behagt, wird sich wohl nach Alternativen umsehen. Bei Messaging-Diensten bewegt sich in letzter Zeit ohnehin einiges. Dienste wie etwa Threema versprechen verschlüsselte Kommunikation auch für Kurznachrichten, viele weitere Projekte sind in Entwicklung: Der Dienst Hemlis des Flattr-Gründers Peter Sunde etwa oder auch whistle.im versprechen ebenfalls, es mit Datenschutz und Datensicherheit ernster zu nehmen. Abzuwarten bleibt aber, ob das auch eingelöst wird.

July 10 2013

Flattr-Gründer will sicheres Messaging-Programm entwickeln

Peter Sunde, Mitgründer von Flattr und ehemals auch der Piratebay, will ein neues, sicheres Pendant zu Messaging-Diensten wie Whatsapp & Co. entwickeln. Das Vorhaben hört auf den Namen „Hemlis” (Schwedisch: „Geheimnis”), Details über Ansatz und Aufbau des geplanten Dienstes sind aber noch nicht bekannt. Per Crowdfunding hat er im Moment 1.043 Unterstützer gefunden und 24.160 Dollar gesammelt, ein Viertel des selbstgesetzen Ziels.

In einem Werbevideo beschreibt Sunde das Vorhaben so:

Die Erkenntnisse über Überwachungsprogramme wie Prism, Tempora & Co. haben die Aufmerksamkeit erneut auf Verschlüsselung und sichere Kommunikation gelenkt. Im Licht – beziehungsweise unter dem Schatten – der jüngsten Enthüllungen über staatliche Datenschnüffler wird es für das Team um Sunde wahrscheinlich nicht schwierig sein, die benötigte Summe einzusammeln.

Alleine steht es mit dem Vorhaben nicht. Programme wie Threema oder Cryptocat versprechen ebenfalls, die Bedienbarkeits-Hürden für sichere Kommunikation abzusenken und verschlüsselte Kurznachrichten und Chats nutzerfreundlich zu machen. Die Cryptocat-Entwickler mussten allerdings gerade eine kritische Sicherheitslücke eingestehen. Ob und welche Metadaten auch bei „Hemlis” einsehbar sein werden und ob „Hemlis” auf offene Standards setzt, dürften einige der Fragen sein, die sich dem Projekt demnächst stellen.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl