Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 18 2014

October 19 2013

Verschlüsselung: Forscher wollen Truecrypt unter die Lupe nehmen

Verschlüsselungsprogramme wie Truecrypt sind spätestens seit den Überwachungsenthüllungen um NSA & Co. für breitere Kreise interessant geworden – etwa, um sensible Daten bei Cloudspeicherdiensten zu schützen. Open-Source-Programme gelten dabei zugleich als letzte Hoffnung, denn nur hier kann überprüft werden, welche Verfahren dahinterstehen und ob der Programmcode manipuliert wurde. Wie die Snowden-Enthüllungen gezeigt haben, ist gerade die konkrete Umsetzung der Verschlüsselung entscheidend.

Allerdings: Jemand muss die Programme dann auch tatsächlich überprüfen. Matthew Green, Informatikprofessor an der Johns-Hopkins-Universität und sein Forscherkollege Kenneth White rufen daher zu einem Audit für Truecrypt auf und sammeln derzeit Geld über Crowdfunding. Auf IsTrueCryptAuditedYet.com fassen sie ihr Vorhaben zusammen.

Rechtliche und technische Prüfung

Mit dem geplanten Audit verbinden sie vier Ziele: Erstens soll die von Truecrypt verwendete Lizenz daraufhin geprüft werden, ob sie mit den bei freier Software gebräuchlichen Lizenzen wie der GPL kompatibel ist. Dann könnte das Programm etwa bei Linux-Systemen gleich mitgeliefert werden. Zweitens soll der Prozess verbessert werden, in dem aus dem Programmcode das ausführbare Programm erstellt wird. Das „Ubuntu Privacy Remix Team” hatte hier bereits auf mögliche Risiken hingewiesen.

Neben weiteren Fehlerbehebungen soll dann viertens die gesamte Codebasis einer Kryptoanalyse unterzogen werden, Green und White wollen Sicherheitsfirmen dafür gewinnen. Tatsächlich sind die eigentlichen Urheber von Truecrypt unbekannt, wie Green in einem Blogpost schreibt. Zugleich legt er Wert darauf, dass er lediglich mögliche Probleme aufzähle, die auch jedes andere Programm betreffen könnten:

Let me be clear: I am not implying anything like this. Not even a little. The ‘problem’ with Truecrypt is the same problem we have with any popular security software in the post-September–5 era: we don’t know what to trust anymore.

Wieviel von den Plänen letztlich umgesetzt wird, steht noch nicht fest; ein festes Crowdfunding-Ziel haben die Forscher nicht festgelegt. Aktuell haben sie bereits gut 41.000 Dollar gesammelt. Die Wahl sei auf Truecrypt gefallen, weil das Programm weit verbreitet sei und zu den wenigen Lösungen gehöre, die auch von durchschnittlichen Anwendern leicht bedient werden können.

October 11 2013

Safe-Harbour-Verstöße, Tracking bei Mailprovidern, Cloudspeicher im Selbstbau

Datenschutzverstöße bei „Safe Harbour“, Tracking bei Mailprovidern, Streaming aus Musikerperspektive, Gauck zum Datenschutz, Datenleck bei Adobe und Cloudspeicher im Selbstbau. Die Cloud-Links der Woche:

Safe Harbour: Viele Verstöße gegen Datenschutz-Selbstregulierung

Viele US-Unternehmen verstoßen gegen die selbstauferlegten Verpflichtungen der Safe-Harbour-Vereinbarung, die den Export von Nutzerdaten aus Europa in die USA regelt. Das ist das Fazit eines Berichts (PDF) von Christopher Connoly, Chef der Datenschutzberatung Galexia, im Rahmen einer Anhörung im Innenausschuss des EU-Parlaments. So nennt der Bericht unter anderem 427 Verstöße im laufenden Jahr bei den US-Unternehmen, ein knappes Drittel mehr als 2010. Gänzlich neu ist der Befund Connolys nicht, die Safe-Harbour-Vereinbarung geriet zuletzt jedoch verstärkt in die Kritik. Worum es bei „Safe Harbour” geht, erläutert Jan Schallaböck bei iRights hier genauer.

Deutsche Mail-Provider lassen Tracking zu

Das Magazin c’t hat untersucht, bei welchen Mailprovidern Nutzer vom Absender beim Lesen beobachtet werden können. Technisch gesprochen: welche Anbieter Trackingpixel zulassen. Mit den vor allem von gewerblichen Absendern eingesetzten kleinen Bilddateien können diese nachprüfen, wann, womit und wo eine Mail gelesen wird. Demnach ist die Option bei T-Online, GMX, Web.de, Freenet und 1und1 standardmäßig aktiviert, zumindest beim Webmailer von 1und1 lässt sie sich aber abstellen. Positiv kommen in diesem Fall Yahoo und Google weg, bei denen die Option als Standard abgeschaltet ist. Ebenfalls untersucht wurden gängige Mailprogramme. Heise Security fasst die Ergebnisse zusammen.

Streamingdienste und die Künstler: Anbieter bleiben auf Daten sitzen

Der Musikwirtschaftsforscher Peter Tschmuck hat Streamingdienste wie Spotify, Amazon Cloud Drive oder Rhapsody als Einnahmequelle für Künstler untersucht und Statistiken ausgewertet. Sein Fazit: „Realistischerweise können Musikschaffende Streaming nicht als relevante Einkommensquelle ansehen. Nichtsdestotrotz sollten diese Plattformen als wichtiges Promotionstool für die Verbreitung der eigenen Werke angesehen werden.” Perspektivisch würden aber vor allem die von Streamingdiensten gesammelten Daten für Musikschaffende wichtig. Diese behalten jedoch in aller Regel die Plattformen.

Bundespräsident Gauck: Datenschutz so wichtig wie Umweltschutz

In einer Rede zum Tag der deutschen Einheit hat Bundespräsident Joachim Gauck auch das Thema Datenschutz behandelt. „So sollte der Datenschutz für den Erhalt der Privatsphäre so wichtig werden wie der Umweltschutz für den Erhalt der Lebensgrundlagen”, sagte Gauck. Dabei bezog sich der ehemalige Beauftragte für die Stasi-Unterlagen auch auf die Überwachungs- und Spionageaffäre und forderte „Gesetze, Konventionen und gesellschaftliche Verabredungen”, die dem digitalen Wandel Rechnung tragen.

Adobe: Datenleck bei Kundendaten und Sourcecode

Wie zuerst vom Sicherheitsforscher Brian Krebs berichtet, haben sich Angreifer bei einem Einbruch in das Unternehmensnetzwerk von Adobe Nutzerdaten wie Login-Information, Kreditkartendaten, verschlüsselte Passwörter und Programmcode beschafft. Betroffen sind offenbar Nutzer des Programms Coldfusion sowie Konten für Revel und Creative Cloud. Adobe erklärte, für Nutzer bestehe kein erhöhtes Risiko, betroffene Anwender würden benachrichtigt.

Podcast: Wozu Cloud im Selbstbau?

Marcus Richter hat sich mit dem Mikrorechner Raspberry Pi und der Owncloud-Software einen Cloudspeicher im Selbstbau-Modus zugelegt und eine Anleitung kompiliert. Mit erdgeist vom Chaos Computer Club unterhält er sich gut eine Stunde im Monoxyd-Podcast über die Gründe und Erfahrungen dabei. Hintergründe zum Cloud-im-Selbstbau-Trend auch hier bei iRights.

October 09 2013

Christoph Kappes über Sobooks: „Eine bessere Tiefe der Interaktion – direkt im Buch“

Heute geht Sobooks an den Start: ein neues Online-Portal für elektronische Bücher. Es will gleichzeitig Vertriebs- und Leseplattform sein, „Social Reading“ ist direkt in die Bücher integriert. Hinter Sobooks stehen die Internet-Berater und Blogger Sascha Lobo und Christoph Kappes. Kurz vor der Premiere sprachen wir mit Christoph Kappes.

iRights.info: Ist Sobooks ein Online-Buchladen oder ein E-Book-Verlag?

Christoph Kappes: Sobooks ist eine Plattform, die dem Buchvertrieb dient. Wir richten uns alle, die Inhalte anbieten. Hier unterscheiden wir erstmal nicht zwischen Autoren, kleinen oder großen Verlagen. Wir haben aber einen relativ hohen Anspruch, wollen auch schnell Umsätze erzielen und eine hohe Relevanz  im Markt erreichen. Daher sind uns die großen Verlage wichtig. Wir setzen auf bekannte Medien-Partner und prominente Figuren sowie auf populäre Inhalte, die für möglichst viele Endkunden interessant sind.

iRights.info: Dennoch sprechen Sie auch Kleinverlage oder Autoren an, die eine verlegerische Plattform suchen. Damit wäre Sobooks auch Wettbewerber der Verlage.

Christoph Kappes: Wir positionieren uns nicht gegen Verlage. Der eigene Direktverlag ist unser Spielbein, mit dem wir Innovationen voranbringen wollen, wie neue Formate und die Autoren-Leser-Kommunikation. Die „Cobooks“ sind ja so entstanden; die haben wir uns selbst ausgedacht und sind sehr gespannt, ob Autoren diese Idee aufgreifen, eine quasi „mitkaufbare“ Rezension zu schreiben. Dort legen wir dann aber auch eigene, hohe Qualitätsmaßstäbe an. Wir sind aber nicht reine Content-„Aggregatoren“ und -Distributoren, wie es sie im E-Book-Segment für Autoren mittlerweile in großer Anzahl gibt. Sowohl beim Buchvertrieb als auch in verlegerischer Hinsicht wählen wir nach Qualität und Relevanz aus.

iRights.info: Also nicht so eine Art „Soundcloud“ für Amateur-Schreiber und semi-professionelle Autoren?

Christoph Kappes: Nein, unsere Plattform ist nicht der „Literatur“-Renderer für jedermann. Das Internet ist voll von schlechtem Zeug, nur Selektion schafft da Mehrwert. Zudem ist uns das „social reading“ besonders wichtig. Zwar bietet Soundcloud auch die Interaktion direkt in jedem Song, doch die Optionen sind dort gering, so bleibt es bei einer Mikro-Interaktion. Bei uns ist das Kommentieren und Diskutieren ein zentrales Element, und wir verknüpfen es mit den sozialen Netzwerken. Damit wollen wir eine bessere Tiefe der Interaktion ermöglichen. Man stelle sich vor: Schirrmacher kommentiert David Graebers „Schulden“; und dann wird diskutiert. Da wollen wir hin

iRights.info: Websites, um online über Bücher zu diskutieren oder um Textstellen direkt zu kommentieren, sind aber nicht neu.

Christoph Kappes: Das stimmt, Social Book Reading Plattformen gibt es schon. Einzelne Bestandteile unserer Lösung finden sich woanders auch, nur in der Summe der Funktionen und Möglichkeiten hat es so noch keiner gemacht. Wir sind sozusagen Dekonstrukteure. Technologisch setzen wir konsequent auf modernstes HTML5, auf neueste Browser. Somit sind unsere Dienste auf allen entsprechenden Endgeräten verfügbar, sehen überall gleich aus und sind zudem synchronisiert. Für das Lesen eines Buches mit dem HTML-Reader heißt das beispielsweise, dass die jeweilige Leseposition erhalten bleibt. Dazu kommt die erwähnte Zuschaltung von so genanten Social Layern direkt ins Buch und Weiteres. Man wird in den nächsten Monaten sehen, wie wir auch das Konzept „Buch“ weitertreiben.

iRights.info: Man liest also die gekauften Bücher online, etwa wie einen Musik- oder Video-Stream?

Christoph Kappes: Sobooks basiert auf „Access“, also Zugang zum Netz; man benötigt einen Account und Online-Anschluss, ja. Die Bücher sind Online-Bücher, die Diskussionen finden direkt im Buch, in der Cloud statt. Das ist alles ohne Medienbrüche in einer Anwendung zu bedienen. Das heißt unter anderem, dass mir der Shop sofort anzeigt , dass ich ein Buch erworben habe und ich kann es eben überall lesen und weiterlesen und teilen; die Cloud denkt sozusagen mit. Doch für den Clou müssen Sie anders herum denken: Wenn ich als Leser eine Textstelle per Link auf Facebook oder Twitter mitteile, dann landen alle, die diesen Link anklicken, genau an dieser Stelle des Buches und können diese Passage sofort lesen. Diese Dynamik bei Leseproben ist wirklich neu, denn bisher sind Leseproben bei Amazon oder im Web meist von den Verlagen oder Portalen vorgegeben und starr.

iRights.info: Diese dynamische Leseprobe können dann alle lesen, auch Nicht-Käufer?

Christoph Kappes: Ja, es ist lediglich ein kostenfreier Sobooks-Account nötig, der via Facebook-Anmeldung einzurichten ist. Ein eigener Login kommt natürlich noch, da bleibt es nicht bei Facebook. Der Umfang beziehungsweise die Dauer des Probelesens können dann je nach Buch und Verlag variieren, aber im Durchschnitt stehen 10 Prozent frei zur Verfügung, danach bekommt man die Aufforderung zum Erwerb dieses Werks, der unter anderem unbegrenzte Lesezeit in diesem Werk bringt.

iRights.info: Man kann aber nicht einzelnen Passagen oder gar Seiten erwerben?

Christoph Kappes: Nein, es gibt kein seitenweises Kaufen, das halten wir für zu technisch gedacht. Bei Sachbüchern mag das auf Kapitel bezogen einen Sinn haben. Wir wollen aber eine Portionierung oder auch Serialisierung der Bücher ermöglichen. Etwa die Aufteilung in Episoden, die einzeln fakturierbar sind, oder auch die kontinuierliche Verlängerung eines Werkes durch Aktualisierungen oder Nachfolge-Werke.

iRights.info: Können die Käufer dann ihre Bücher auch Offline lesen?

Christoph Kappes: Man kann sich die Titel als E-Book im Epub.-Format herunterladen, ohne hartes DRM, also Kopierschutz. Wir glauben nicht an DRM, das wollen die Verbraucher nicht. Die von uns ausgelieferten E-Books können wir  personalisieren mit einer Absenderkennung, eine Art Wasserzeichen; damit ist ihre Nutzung generell nachverfolgbar. Pro erworbenem Buch dürfen drei andere Accounts auf das Werk zugreifen. Meine Vorstellung ist, dass im Laufe der Jahre immer weniger darauf Wert legen, Bücher en gros offline zu lesen. Den meisten wird der Zugang zu Online-Inhalten genügen, wie bei Musik und Filmen. Die Speicherung und der Abgleich mit weiteren oder neuen Geräten wird vielen zunehmend lästig werden, die soziale Akzeptanz von Access und Clouds wird zunehmen.

iRights.info: Was sagen die Verlage dazu?

Christoph Kappes: Erstmal sind die durchweg wohlwollend, weil wir ein Hoffnungsträger gegen das Quasi-Monopol von Amazon und Apple sind. Die Inhalteanbieter bekommen als Mehrwert die Optionen zur unmittelbaren Aktualisierung, die Diskussionen und Kommentare, die Updates und Resonanzen, dazu Auswertungen. Die derzeitigen E-Books sind kommunikativ tot, daher wollen wir sie auf vielen Ebenen auch für die Anbieter attraktiver machen und in „ lebende Bücher“ verwandeln.

iRights.info: Wieso starten Sie „hinter dem Vorhang“, mit einer sogenannten „Closed Beta“-Version?

Christoph Kappes: Wir brauchen diese geschlossene Betatestphase als „Trockenschwimmbecken“. Es gilt für uns herauszufinden, wie das Social Reading angenommen wird, übrigens auch auf Seiten der Autoren. Was passiert mit einem Essay, wenn er online steht und unmittelbar kommentiert wird, wie Zeitungsartikel oder Blog-Beiträge? Hierfür haben wir ein „Sobooks-Lab“ für Autoren und Verlage;sie sollen experimentieren und an der Entwicklung teilhaben. Geplant sind auch Autorenabonnements, so dass Autoren über die Community ihrer Abonnenten neue Ideen entwickeln oder gar unterstützen lassen können.

iRights.info: Die Autoren, die Urheber, sind Ihnen also wichtige Ansprechpartner?

Christoph Kappes: Ja, wir erwarten unter anderem durch unsere Social Reading-Optionen eine Art Aufbruchsstimmung unter Autoren, und die würden wir gerne mitnehmen. Es darf auch gerne zu den ganz großen Diskussionen kommen, etwa bei provozierenden oder überraschenden Bestsellern. Was passiert damit im Social Web, wenn es eine vergleichsweise gigantische Online-Resonanz gibt? 10.000 Leser eines Blogs, von denen ein Teil auch mal heftig debattiert, ist das eine. Aber was ist, wenn es mehrere 100.000 sind – mitten im Buch? Müssen wir dann neue Mechanismen, neue Aufteilungen, Moderationen, geschlossene Gruppen einführen? So etwas ist schwer zu simulieren, das müssen wir schrittweise entwickeln.

iRights.info: Sobooks stellt sich einem vollen, gut besetzten und hart umkämpften Markt. Wie viel Marketing ist von Ihnen zu erwarten?

Christoph Kappes: Schwierige Frage: Wir haben einen langfristigen Ansatz und wollen unsere Ressourcen in den nächsten Monaten primär für die Verbesserung des Produkts verwenden. Es muss sich zeigen, ob es schon rund ist, wie gut das Social Reading funktioniert, ob die Leseproben-Idee so richtig ist. Zudem haben wir schon jetzt hohe Aufmerksamkeit und hohen Erwartungsdruck. Mit aufwändigem Marketing würden wir diesen Druck nur noch erhöhen. Uns ist daran gelegen, Bestseller von großen Verlagen zu und das bessere Leseprodukt zu haben, das wäre die optimale Melange – und das wäre gutes Marketing in sich. Eine Marke entsteht nicht künstlich, sondern hängt in aller Regel mit der Qualität des Produkts zusammen, und das wollen wir organisch entwickeln. Vermutlich stehen uns noch zwei Jahre Optimierung bevor.

September 27 2013

Bowden-Bericht, Dropbox-Anfragen, Datenstreuung

Der Innenausschuss des EU-Parlaments veröffentlicht einen Bericht zur NSA-Affäre, auch Dropbox will Geheimdienst-Anfragen offenlegen dürfen, internationale Bürgerrechtler stellen Grundsätze zur Kommunika­tions­überwachung vor, Forscher wollen Daten streuen: Cloud-News der Woche.

Caspar Bowden legt Prism-Bericht für EU-Parlament vor

Im Innenausschuss des EU-Parlaments hat der unabhängige Datenschützer Caspar Bowden einen Bericht zur NSA-Affäre (PDF) vorgelegt. Der Bericht arbeitet Hintergründe und Geschichte der Überwachungs-Enthüllungen auf und stellt Empfehlungen für das Europäische Parlament vor. Dazu zählt Bowden etwa die Förderung „eigenständiger europäischer Cloud-Kapazitäten auf Basis freier Software”, neue Regelungen zum internationalen Datentransfer und institutionelle Reformen beim Datenschutz. Die gegenwärtige Krise sei auf die Dominanz ‚kostenloser’, überwiegend US-basierter Dienste nach dem Cloud-Modell zurückzuführen, heißt es in dem Bericht.

Dropbox will Geheimdienst-Anfragen offenlegen dürfen

Der Speicherdienst Dropbox möchte Nutzer über Anfragen von Geheimdiensten nach dem US-amerikanischen FISA-Gesetz genauer informieren dürfen. In einem Schreiben (PDF) an das zuständige US-Gericht bittet das Unternehmen, die genaue Zahl solcher Anfragen anstatt nur eine Größenordnung wie „1 bis 1000” angeben zu dürfen. Das sei auch durch die geltende Rechtslage gedeckt. Auch Google, Microsoft, Facebook, Yahoo und Linkedin fordern, genauere Zahlen veröffentlichen zu dürfen.

Bürgerrechtler präsentieren 13 Grundsätze zum Schutz der Privatsphäre bei Kommunikationsüberwachung

Internationale Bürger- und Menschenrechtsorganisationen haben im Gefolge der Überwachungs- und Spionageaffäre eine Erklärung mit 13 Grundsätzen zum Schutz der Privatsphäre bei der Kommunikationsüberwachung vorgestellt. In der von 260 Organisationen unterzeichneten Erklärung fordern diese unter anderem, neben Kommunikationsinhalten auch Verbindungsdaten, die bei digitalen Diensten anfallen, gesetzlich zu schützen. Es habe sich gezeigt, dass „andere Informationen aus der Kommunikation – Metadaten und andere Formen der nicht-inhaltlichen Daten – vielleicht sogar mehr über eine Einzelperson enthüllen können, als der Inhalt selbst”, heißt es in der Erklärung.

HPI-Forscher wollen Cloud-Daten streuen

Forscher des Hasso-Plattner-Instituts in Potsdam haben ein Verfahren vorgestellt, mit dem Daten bei verschiedenen öffentlichen Cloud-Anbietern gestreut werden sollen. Durch das „Cloud-RAID” getaufte Verfahren sollen die Daten in Blöcke aufgeteilt, verschlüsselt und mehrfach bei unterschiedlichen Diensten gespeichert werden und damit nicht allein der Hoheit eines einzigen Anbieters unterliegen. Zugleich werde damit die Verfügbarkeit und Zuverlässigkeit der Daten erhöht, erklärt das Institut in einer Mitteilung anlässlich des Symposiums „Operating the Cloud”.

September 05 2013

Speicherdienste in der Cloud: Flyer mit Tipps und Hinweisen jetzt bestellbar

Muss ich mich bei Diensten mit echten Angaben registrieren? Wann sollte man Daten verschlüsseln? Wann ist das Hochladen von Dateien urheberrechtlich problematisch? Tipps und Hinweise zur Nutzung von Cloud-Speicherdiensten hat iRights Cloud in einem Faltblatt zusammengefasst.

Die Cloud ist auf den ersten Blick eine schöne Metapher. Sie bringt eine Entwicklung auf den Punkt, an deren Ende Dienste über’s Internet einmal so selbstverständlich werden könnten wie Strom aus der Steckdose. Anwendungen und Dienste, die bislang auf dem heimischen Rechner liefen, wandern ins Netz:

Dahinter stecken wichtige Fragen, die klare Antworten brauchen: Wo werden die Daten eigentlich gespeichert, wo sitzen die Anbieter? Welche Regeln gelten dafür? Wie kann man seine Daten schützen, was gibt es bei der Nutzung von Diensten zu beachten? Seit fast einem Jahr geht es bei iRights Cloud um diese und weitere Fragen.

Speicherdienste in der Cloud wie Dropbox, iCloud, Skydrive, Wuala & Co. gehören zu den Angeboten, die mittlerweile für viele Nutzerinnen und Nutzer Alltag sind – auch deshalb, weil Geräte oder Programme zunehmend darauf voreingestellt sind. Die wichtigsten Tipps zum Thema hat iRights Cloud jetzt in einem Faltblatt (PDF) zusammengefasst.

Das Faltblatt kann kostenlos auch in größeren Mengen bestellt werden – einfach per Mail an <redaktion@irights.info>.

„Digital Natives” dürften wohl viele der Hinweise kennen; wir denken aber, dass es gerade für Otto und Erika Normalnutzer hilfreich ist, diese noch einmal kurz und bündig zusammenzufassen. Anmerkungen dazu gerne in den Kommentaren. Ausführlichere Informationen finden sich in der Rubrik „Speichern in der Cloud”.

August 30 2013

Cloud-Links: Blick in die Dropbox, Speicherdienste in Firmen, Big Data

Mehrere Sicherheitslücken bei Dropbox und Co. offenbart, „Big Data” stößt in Deutschland auf Skepsis, Musikdienst Grooveshark mit Lizenz: Cloud-Links der Woche.

Sicherheitsexperten blicken in Dropbox

Den Sicherheitsforschern Dhiru Kholia und Przemysław Węgrzyn ist es gelungen, den bislang nicht öffentlich bekannten Code der Software von Dropbox zu entschlüsseln. Damit soll es möglich sein, das Programm zu übernehmen und Accounts des weit verbreiteten Cloud-Speicherdiensts zu kapern. Die Forscher wenden sich gegen das Konzept der „security through obscurity“, auf das sich Nutzer nicht verlassen könnten. Zeit Online fasst die Hintergründe zusammen, der Vortrag der Forscher auf der „Woot”-Konferenz steht als Video online. Auf Anfrage von golem.de teilte das Unternehmen mit, „relevante Sicherheitslücken” seien nicht offenbart worden, man bedanke sich jedoch für den Beitrag der Forscher.

Dropbox, Skydrive & Co. können Schadsoftware einschleusen

Über ein weiteres Sicherheitsproblem, das die Verwendung von Dropbox, aber auch weiterer Cloud-Speicherdienste wie Google Drive, Microsoft Skydrive, Sugarsync und Amazon Clouddrive betrifft, berichtet die Technology Review. Über die Sychronisierungsfunktion könnten Firewalls in Firmen umgangen und damit Schadsoftware in Firmennetzwerke eingeführt werden, führte der Digitalforensiker Jacob Williams auf der Blackhat-Konferenz aus (PDF). Dropbox hat zu dazu noch keine Stellung genommen.

Big Data stößt auf Skepsis, Datenschützer beraten

Nach einer von der Telekom-Tochter T-Systems in Auftrag gegebenen repräsentativen Befragung (PDF) sieht die Mehrheit der Bürger in Deutschland „Big Data”-Analysen kritisch. Auf die Frage „Finden Sie es in Ordnung, wenn Unternehmen in größerem Umfang Daten über ihre Kunden sammeln und auswerten, oder finden Sie das nicht in Ordnung?” antworteten 71 Prozent, sie fänden es nicht in Ordnung, 11 Prozent sehen kein Problem. Der NSA-Überwachungsskandal habe diese Haltung verstärkt, so die Studie. Datenschützer haben sich dem Thema „Big Data“ diese Woche auf einer Tagung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein gewidmet. Dabei habe „Ratlosigkeit auf hohem Niveau” geherrrscht, meint Detlef Borchers bei Heise Online.

Musikdienst Grooveshark jetzt mit Sony-Lizenz

Der Online-Musikdienst Grooveshark hat mit Sony/ATV, einem der drei großen Majorlabels, einen Lizenzvertrag geschlossen, wie das Unternehmen aus Florida am Dienstag mitgeteilt hat. Der Dienst, über den Nutzer ihre Musik ins Netz laden und von dort wieder streamen können, ist bis jetzt mehrfach in Urheberrechtsstreitigkeiten mit der Musikindustrie verwickelt gewesen. Vor einem US-Berufungsgericht verlor der Dienst im April einen Streit mit Universal Music. In Deutschland wird der Dienst seit 2012 nicht mehr angeboten.

July 26 2013

Stiftung Warentest: Überwiegend mäßige Noten für Cloud-Speicherdienste

Unter gängigen Cloud-Speicherdiensten hat bei einer Untersuchung der Stiftung Warentest kein Anbieter gute oder sehr gute Ergebnisse erzielt. Die Mehrzahl der Dienste erhielt lediglich die Note „befriedigend“.

Die Stiftung Warentest hat Cloud-Speicherdienste von 13 Anbietern mit Sitz in den USA, Deutschland, Irland und der Schweiz untersucht. Darunter sind etwa Dropbox, Apples iCloud, Google Drive, das Mediencenter der Deutschen Telekom, Microsofts Skydrive und weitere Dienste. Dem Nutzer bleibt dem Test nach nur die Wahl zwischen „befriedigend” und „ausreichend” bewerteten Diensten.

Die Untersuchung nahm die Dienste unter den Gesichtspunkten Benutzung, Sicherheit und Datenschutz sowie Funktionsumfang des Angebots in den Blick. Auf Anfragen bei Anbietern basieren dabei unter anderem die Angaben zum Standort der eingesetzten Server und damit auch zum jeweils geltenden Datenschutz-Niveau. Hier halten sich einige Dienste nach wie vor bedeckt – vier Anbieter gaben dazu gar keine Antwort, wie der Untersuchung zu entnehmen ist.

Bei sieben Anbietern stehen Server im Europäischen Wirtschaftsraum, bei zweien außerhalb. Insgesamt seien aber auch europäische Dienste „nicht viel besser” als US-Anbieter, so die Tester – etwa im Hinblick auf die jeweils geltenden Datenschutzerklärungen des Anbieters. „Einen Dienst mit gutem Datenschutz fanden die Tester nicht”, hält die Untersuchung fest, die hier etwa den eingesetzten Verschlüsselungs-Algorithmus, Schutzmaßnahmen bei mobilen Apps und das Datenschutz-Management des Unternehmens beinhaltet.

Im Zweifel selbst verschlüsseln

Auch die Stiftung Warentest rät Nutzern daher, sensible Daten selbst zu verschlüsseln – oder nur solche Daten hochzuladen, die im Zweifel auch jeder einsehen kann. Zwar verschlüsselten alle Dienste die Datenverbindung; nur bei einem der Anbieter aber lagerten die Daten auch auf den Servern so, dass der Anbieter selbst – und damit auch ungewollte Mitleser von Behörden, NSA und Co. – sie nicht wieder aufschließen und einsehen können.

In einer begleitenden, nicht repräsentativen Onlineumfrage wollten die Tester darüber hinaus wissen, wieviele Nutzer Clouddienste nutzen und kennen. Während fast jeder Nutzer (98 Prozent) einen E-Mail-Dienst verwendet, sagten innerhalb dieser Gruppe nur 62 Prozent, dass sie „die Cloud” nutzen. Ähnlich sieht es demnach bei Foto-Apps oder Smartphone-Adressbüchern und -Kalendern aus: Viele Anwender nutzen längst entsprechende Dienste – sie sind bereits „in der Cloud”, ohne es genau zu wissen, etwa durch Voreinstellungen bei Geräten und Software.

Die Untersuchung ist in Heft 8/2013 der Zeitschrift „test” oder einzeln als PDF (EUR 2,50) bei der Stiftung Warentest erschienen.

Disclosure: Ich war an der Diskussion des vorläufigen Untersuchungsprogramms im Fachbeirat des Projekts „Online-Speicherdienste” der Stiftung Warentest beteiligt.

July 08 2013

Strafverfolgung in der Cloud – und was das mit PRISM zu tun hat

In meiner (ungefähr) monatlichen Medienkolumne bei DRadio Wissen war heute “Strafverfolgung in der Cloud” das  Thema – und was das mit PRISM zu tun hat. Leider vermittelt der Teaser einen doch sehr anderen Eindruck als das, was ich gesagt habe, daher habe ich das Gespräch hier verlinkt, um nicht gleich auf den Original-Eintrag verweisen zu müssen. Denn dass die Rechtsunsicherheit in erster Linie ein Problem der Ermittler ist, zum anderen PRISM hätte verhindert werden können, wenn es bessere Gesetze gäbe, habe ich so nicht gesagt. Also: einfach anhören.

Und wen das Thema näher interessiert, der lese sich den hervorragenden Text – mit dem nahe liegenden Titel - Wie funktioniert Strafverfolgung in der Cloud? meines iRights.info-Kollegen David Pachali durch, auf dem auch meine Einschätzungen hauptsächlich beruhen.

Reposted bykrekkdarksideofthemoonTokei-Ihto

March 18 2013

Owncloud bringt Virenscanner und Volltextsuche für die eigene Datenwolke

Die Open-Source-Software Owncloud wird um neue Funktionen erweitert. Das Projekt soll eine Alternative zu den großen Cloud-Anbietern liefern. Der Nutzer organisiert und verwaltet den Speicherplatz selbst.

Die Owncloud-Software zum Betrieb einer privaten Cloud entwickelt sich. In der vergangene Woche vorgestellten Version 5 kommen eine Reihe von Funktionen hinzu. So kann der Nutzer seine Inhalte mit einer Volltext-Suche durchforsten und versehentlich gelöschte Dateien wieder herstellen. Die Benutzeroberfläche soll nun einfacher und schneller zu bedienen sein. Ein Virenscanner überprüft automatisch alle hoch geladenen Dateien.

Hinter Owncloud steht der Gedanke, dass der Nutzer  bei Cloud-Anwendungen auf eigenen Speicherplatz zurückgreift – etwa auf selbst gemietete Serverkapazitäten oder die Festplatte auf dem Heimrechner, der permanent online ist. Damit soll der Nutzer die volle Kontrolle über seine Dateien behalten, zum Beispiel über Texte, Musik, Fotos, Filme, Kalender und Adressbücher. Auch über mobile Endgeräte wie Smartphones lässt sich auf die Verzeichnisse in der eigenen Datenwolke zugreifen. Eine Weboberfläche ermöglicht das direkte  Abspielen und Darstellen von Medieninhalten. Owncloud funktioniert unabhängig vom genutzten Betriebssystem.

Die  sogenannte Community-Version der Software ist für den privaten Endanwender gratis. Ging es den Machern zunächst darum, eine freie Alternative zu kommerziellen Angeboten zu schaffen, arbeitet Owncloud inzwischen auch an Bezahl-Versionen, die sich an Unternehmen richten.

Branche arbeitet an der Datensicherheit

Indem Owncloud auf die Datenspeicher der Anwender setzt, begegnet das Unternehmen zentralen Bedenken gegen das Cloud-Computing. Die selbstgebaute Cloud soll zum Beispiel verhindern, in eine allzu große Abhängigkeit großer Anbieter zu geraten (Lock-in-Effekt).Viele Privatnutzer und Unternehmen sorgen sich zudem um die Sicherheit ihrer sensiblen Daten, wenn sie auf fremden Servern lagern. So könnten die Daten zum einen in fremde Hände geraten, zum anderen vorübergehend oder dauerhaft verloren gehen, etwa wenn Rechenzentren ausfallen.

Eine Studie des Fraunhofer-Instituts für sichere Informationstechnologie vom Mai 2012 attestierte allen geprüften Cloud-Speicherdiensten Mängel bei der Datensicherheit. Der eigene Speicherplatz ist hier nur ein Ansatz. Zahlreiche Unternehmen und Projekte arbeiten an Cloud-Lösungen, die das Vertrauen der Nutzer erhöhen sollen, darunter die staatlich geförderten Programme  „Trusted Cloud” und „Trustworthy Clouds”.

 

March 04 2013

Cloud-Dienst „Evernote“ meldet Hacker-Angriff

Unbekannte haben sich  Zugriff auf Benutzerinformationen wie E-Mail Adressen der „Evernote”-Kunden verschafft. Die Angriffe auf Internet-Dienste häufen sich. Über eine gesetzliche Meldepflicht wird noch debattiert.

Der Cloud-Anbieter Evernote hat „verdächtige Aktivitäten” festgestellt und geblockt. Diese glichen einem „koordinierten Versuch”, sich Zugriff auf den gesicherten Bereich des Dienstes zu verschaffen. Das teilte das US-Unternehmen am Samstag mit. Der Cloud-Dienst bietet rund 50 Millionen Kunden die Möglichkeit, Texte und Fotos auf einem Online-Speicher zu sammeln und zu verwalten.

Den Angreifern sei es möglich gewesen, Zugriff auf Benutzernamen, E-Mail Adressen und verschlüsselte Passwörter zu erlangen. Zugleich beschwichtigt Evernote: „Unsere Sicherheitsüberprüfungen haben nicht ergeben, dass auf Ihre Daten zugegriffen, diese geändert oder gelöscht wurden.” Zahlungsinformationen der Premium-Kunden hätten die Angreifer nicht eingesehen. Täter und Motive sind unbekannt.

Nutzer sollten mehrere Passwörter verwenden

Evernote hat alle Kunden-Kennwörter zurückgesetzt. Die Nutzer müssen nun ein neues Passwort anlegen. Allerdings hätten die Angreifer die erbeuteten Passwörter erst noch entschlüsseln müssen, um sie zu nutzen. Das Unternehmen spricht von einer Einweg-Verschlüsselung, technisch auch „Hashed und Salted” genannt, mit der sie automatisch auf den Unternehmens-Servern gesichert werden.

Evernote reiht sich in eine Liste von Internet-Anbietern ein, die in letzter Zeit Ziel von Angriffen wurden. So meldeten auch Twitter, Facebook, Apple und Microsoft Versuche von außen, im großen Stil auf Kunden-Accounts zuzugreifen. Der Nutzer bleibt zunächst machtlos, wenn Unternehmen seine Daten verlieren. Als allgemeine Vorsorgetipps gelten: Keine einfachen Passwörter aus gebräuchlichen Wörtern bilden, sondern auf willkürliche Buchstaben- bzw. Zahlenkombinationen setzen. Das erschwert Angreifern die Entschlüsselung. Ebenso sinnvoll ist es, bei verschiedenen Diensten nicht dasselbe Passwort zu verwenden und Passwörter mehrmals im Jahr zu ändern. Andernfalls können Angreifer mit dem einmal erbeuteten Passwort auf zahlreiche Accounts zugreifen, vom Profil im sozialen Netzwerk bis zum E-Mail-Konto. Das erleichtert zum Beispiel den Identitätsdiebstahl im Internet, bei dem Angreifer zum Beispiel Freunde und Bekannte des Betroffenen um Geld bitten.

Diskussion um Meldepflicht

Vorfälle wie bei Evernote untergraben das Vertrauen der Nutzer in „die Cloud”. Die Bedenken in Punkto Datensicherheit sind groß, wie Umfragen regelmäßig zeigen. Die EU-Kommission will auch deshalb durchsetzen, dass Unternehmen und Verwaltungen „große Sicherheitsvorfälle” – darunter auch Hackerangriffe – den Behörden melden müssen. Sie hat im Februar einen entsprechenden Regelungsentwurf vorgelegt (Richtlinie zur Informations- und Netzsicherheit). Ein großangelegter Datenklau könne Millionen Euro kosten, so Digital-Kommissarin Neelie Kroes. Wenn die Behörden über alle relevanten Vorkommnisse Bescheid wissen, könnten sie besser dagegen vorgehen.

Allerdings ist die Meldepflicht umstritten. Der deutsche Branchenverband Bitkom fürchtet zu viel Bürokratie für kleine Unternehmen und fordert, dass Meldungen größtenteils freiwillig bleiben. Gesetzliche Meldepflichten für IT-Sicherheitsvorfälle sollten sich auf die Betreiber kritischer Infrastrukturen beschränken – etwa von Flughäfen und Kraftwerken. Zugleich berichtet auch Bitkom von zahlreichen Attacken. 40 Prozent der Unternehmen in Deutschland verreichneten bereits Angriffe auf ihre IT-Systeme oder andere IT-Sicherheitsvorfälle, so das Ergebnis einer Umfrage des Verbandes.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl