Veröffentlicht am Schreib einen Kommentar

Zugriff auf Handy-Kontaktliste

Das ist eine Komfort-Funktion, die aber weitreichende Probleme mit sich bringt. Der Nutzer kann der App erlauben, auf die Kontaktliste des Handys zu zugreifen um zu erkennen ob ein Kontakt in der Kontaktliste den selben Messenger nutzt und dies dem Nutzer melden.

Im Fall von WhatsApp wird die komplette Kontaktliste heruntergeladen und auch für Kontakte, die WhatsApp nicht nutzen sogenannte Schattenkonten angelegt. Damit kann WhatsApp zusätzlich Rückschlüsse ziehen wer wen kennt. Und das auch für Personen, die eigentlich mit WhatsApp nichts zu tun haben und teilweise bewusst auch nicht wollen. Noch problematischer ist dieser Umstand, weil WahtsApp zu Facebook gehört und Facebook diese Daten auch nutzen will und aktuell nur durch eine durch den Datenschutzbeauftragten von Hamburg erwirkte einstweilige Verfügung davon abgehalten wird.

Damit ist es ein DSGVO Problem, weil der Nutzer die Zustimmung auf seine Kontaktliste zuzugreifen erst dann erteilen darf, wenn ihm das Einverständnis aller seiner Kontakte vorliegt. Dies dürfte aber nur in Ausnahmefällen der Fall sein und bei jedem neuen Kontakt wieder erhebliche Mehraufwände verursachen.

Dieses Problem sollten Privatpersonen nicht unterschätzen. Wer hat in seiner Kontaktliste nicht den ein oder anderen prominenteren Kontakt, Rechtsanwalt oder Richter von dem er nicht genau weiß, ob dieser auch WhatsApp nutzt und der mit Sicherheit sehr verärgert wäre, wenn die private Mobilnummer irgend wann bei Facebook auftaucht. Unwahrscheinlich das nicht doch der eine oder andere dann auch rechtlich vorgeht. Unwissenheit schützt vor Strafe nicht.

Es gibt aber auch Messenger, die die Daten der Kontaktliste nur anonymisiert auf den Server übertragen und abgleichen, so dass hier kein Problem entsteht.

Veröffentlicht am Schreib einen Kommentar

Closed Source

Die meisten namhaften Softwarehersteller produzieren heutzutage immer noch Closed Source. D.h. Die Programme liegen nur in einer kompilierten Version vor. Man kann hier den Quellcode nicht einsehen und muss sich auf die Angaben des Herstellers verlassen.

Es gibt zwar Methoden des Reverse Engineering um den Maschinencode zu de-kompilieren und wieder lesbar zu machen. Aber diese Methoden sind sehr aufwendig und das Ergebnis immer noch schlecht lesbar. Nichtsdestotrotz verwenden häufig Hacker diese Methoden um Sicherheitsmängel zu finden. Die gefundenen Schwachstellen werden nur teilweise veröffentlicht und so bleibt eine hohe Dunkelziffer, welche Lücken unwissentlich ausgenutzt werden. Dadurch macht die Software oft den Eindruck, dass sie sicherer als Open Source Lösungen wären, weil nicht so häufig über Angriffspunkte berichtet wird. Es ist aber trügerisch, weil sich nur schlecht nachvollziehen lässt in welchem Umfang Angriffe erfolgreich sind.

Veröffentlicht am Schreib einen Kommentar

Open Source

Als Open Source werden Programme bezeichnet deren Quellcode einsehbar ist. Der Quellcode kann also von unabhängiger Seite überprüft werden. Dabei können Fehler oder Sicherheitslücken erkannt und die Angaben des Herstellers verifiziert werden.

Open Source impliziert nicht immer kostenlos oder frei verfügbar. Lizenzbedingungen regeln hier was man mit dem Programmcode machen darf.

Das Gegenteil von Open Source ist Closed Source.

Veröffentlicht am Schreib einen Kommentar

DSGVO

Fälschlicherweise wird häufig argumentiert, dass die DSGVO nicht für Privatpersonen gilt, weil nur Unternehmen sanktioniert werden können. Die Datenschutzgrundverordnung gibt aber gerade Privatpersonen Rechte, über die eigenen persönlichen Daten zu bestimmen. Jede Privatperson kann von einem Anbieter die Herausgabe aller seiner Daten verlangen. Er kann verlangen, das seine Daten wie gewünscht geändert bzw. aktualisiert werden und er kann verlangen, dass der Anbieter all seine Daten löscht. Zusätzlich wird geregelt, dass der Anbieter sich das Einverständnis des Nutzers holen muss bevor persönliche Daten verarbeitet werden und es werden Regeln aufgestellt, welches Mindestmaß an Schutzvorkehrungen der Anbieter zu treffen hat, um diese Daten vor unautorisiertem Zugriff und Verlust zu schützen. Damit sollte gerade dieses Kriterium insbesondere für Privatpersonen interessant sein.

Verpflichtend interessant wird es aber, wenn beruflich kommuniziert wird. Dann kann man nämlich auch noch für die Nutzung bestraft werden.

WhatsApp ist nicht DSGVO-konform und entzieht sich den Regelungen indem in den AGB‘s von einer gewerbsmäßigen Nutzung abgeraten wird.

Veröffentlicht am Schreib einen Kommentar

Ende-zu-Ende-Verschlüsselung

Wenn die Verschlüsselung vom Sender bis zum Empfänger reicht spricht man von einer Ende-zu-Ende-Verschlüsselung. Nur derjenige, der die Nachricht versendet und derjenige, der sie empfängt, können die Nachricht lesen.

Teilweise zeichnen die Hersteller ihre Messenger aber auch mit Ende-zu-Ende-Verschlüsselung aus, obwohl die Verschlüsselung nur vom Endgerät zum Server und dann vom Server zum Endgerät des Empfängers reicht. Damit schützt die Verschlüsselung zwar auf dem Weg zum und vom Server aber nicht davor, dass neben dem Anbieter auch Sicherheitsbehörden oder Angreifer auf dem Server mitlesen könnten. In der Vergleichstabelle unten ist das jeweils separat ausgewiesen.

Diese Ende-zu-Ende-Verschlüsselung wird insbesondere in Gruppen-Chats aufwendig, weil jeder Teilnehmer entweder den öffentlichen Schlüssel des Senders haben muss um die Nachricht zu entschlüsseln, was wiederum Sicherheitsprobleme mit sich bringt oder der Sender mit jedem einzelnen Empfänger, für den Gruppenchat einen separaten Schlüssel austauschen und die Nachricht für jeden Teilnehmer separat verschlüsseln und verschicken muss.

Eine besondere Form stellt der separat zu aktivierende Secure Chat von Telegram da. In diesem Chat wird eine direkte Verbindung zwischen zwei mobilen Geräten aufgebaut. Die Kommunikation erfolgt also direkt und verschlüsselt und nicht über den Server. Leider ist solch ein Verbindung wirklich nur mit mobilen Geräten und nicht mit Web-Clients per Browser möglich. Diese Methode stellt aktuell aber eine der sichersten Kommunikationsformen da.

Veröffentlicht am Schreib einen Kommentar

Verschlüsselte Kommunikation

Bei der verschlüsselten Kommunikation werden Textnachrichten, Sprachnachrichten, Bilder, Dateien, VoIP (Voice over IP) und alles was sonst noch so versendet wird mit speziellen Verfahren derartig verfremdet, dass ein Mitlesen dieser Daten sinnlos ist, da Inhalt, Aussehen und Sinn der Nachricht nicht ermittelt werden können. Erst im Ziel werden die Daten wieder entschlüsselt und so lesbar.

Messenger mit verschlüsselter Kommunikation unterscheiden sich einerseits durch die zur Verschlüsselung eingesetzten Verfahren, teilweise aber auch dahingehend, dass nicht alle Datentypen verschlüsselt werden können. z.B. können einige Messenger die bei Telefonaten (VoIP) anfallenden Audio-Streams nicht verschlüsseln. Andere verschlüsseln gesendete Dateien nicht.

Bei einem asymmetrischen Verschlüsselungsverfahren, Oberbegriff für Public-Key-Verschlüsselungsverfahren, die am häufigsten eingesetzte Form, verschlüsselt der Sender seine Nachrichten mit seinem privaten Schlüssel. Der Empfänger kann die Nachricht mit dem dazu passenden öffentlichen Schlüssel entschlüsseln. Dazu tauschen Sender und Empfänger vorher die Schlüssel aus.

Veröffentlicht am Schreib einen Kommentar

orcas auf dem 3. Tag des Mittelstandes

Tag des Mittelstandes

Der 3. Tag des Mittelstandes findet am 08.09.2018 auf dem Alten Markt in Stralsund in der Zeit von 11:00 – 17:00 Uhr statt. Eine Veranstaltung der Stralsunder Mittelstandsvereinigung e. V.. Wir zeigen dort der Öffentlichkeit unser Leistungsspektrum und beantworten Fragen zum Datenschutz, Suchmaschinenoptimierung, Social Media und allgemein zu Web-Seiten Erstellung bzw. Web-Entwicklung. Wir teilen uns den Stand mit der IT-Lagune, die Fragen zum Verein selbst, zu den BitKoeppen, zum geplanten IT-Center und allen anderen IT-Lagune Projekten beantwortet. Als Highlight zeigen wir 3D-Druck in Aktion und sinnvolle Beispiele der Anwendung. Kommt vorbei und schaut es Euch an.