Virenscanner ESET NOD32 Antivirus als Einfallstor

Wieder einmal zeigt sich die Ambivalenz bei der Nutzung von Anti-Viren-Software. Das Project Zero Team von Google hat eine Sicherheitslücke im Programm ESET NOD 32 entdeckt, die durch ein Update mittlerweile behoben ist. Über alle Betriebssysteme hinweg war es möglich ein Endgerät zu übernehmen. Erst vor wenigen Tagen war bekannt geworden, dass Geheimdienste Virenscanner als Einfallstor nutzen. Die IT-Nachrichtenseite Golem formuliert trefflich:

Der Nutzen von Anti-Viren-Software ist in jüngster Zeit ohnehin stark umstritten. Während die Programme zum einen vielfach nicht in der Lage sind, einen Angriff zu erkennen, stellen sie nach Ansicht des Sicherheitsforschers Joxean Koret zum Teil selbst ein Sicherheitsrisiko dar. Auch Ormandy fragt sich angesichts seiner Funde, ob die Risiken beim Einsatz von Anti-Viren-Programmen nicht größer seien als der Nutzen.

Die Unsicherheit biometrischer Authentifizierungssysteme

Den Fingerabdruck oder die Iris als Sicherung etwa für das Smartphone oder den Computer zu nutzen ist offenbar eine eher schlechte Idee.

Beim ChaosCommunicationCongress Ende Dezember 2014 sprach starbug vom CCC über biometrische Authentifizierungssysteme und wie leicht diese, insbesondere mit Hilfe von Kameras zu überwinden sind. Der Hacker hatte bereits 2008 mit dem Hack des Fingerabdrucks von Bundesminister Wolfgang Schäuble für einen kritischen Umgang mit solchen Systemen geworben.

Besonders nützlich seien dabei die Kameras vieler Mobiltelefone, deren Qualität mittlerweile vielfältige Szenarien ermöglichen. So lassen sich beispielsweise über die Reflexion im Auge oder in einer Brille PINs oder Passwörter in Erfahrung bringen. Den Zugriff auf die Handykamera gestatten viele Nutzer bereits wenn sie zum Beispiel eine Taschenlampen-App installieren.

Auch Iriserkennungssysteme, wie sie etwa in Banken eingesetzt werden, lassen sich durch Ausdrucke auf handelsüblichen Druckern überwinden. Dabei ist nicht unbedingt ein Zugriff auf ein Smartphone nötig. Selbst mit Fotoaufnahmen aus mehreren Metern Entfernung oder abfotografierten Wahlplaketen sind die Forscher erfolgreich. Gleichsam lassen sich Fingerabdruck-Erkennungssysteme austricksen. Ein damals neues System dieser Art auf dem iphone 5S wurde von den CCC-Hackern bereits im September 2013 innerhalb von zwei Tagen geknackt.

Prominente Beispiele im Vortrag sind übrigens die Iris von Bundeskanzlerin Angela Merkel und der Fingerabdruck von Bundeministerin Ursula von der Leyen. Der Vortrag mit dem Titel „Ich sehe, also bin ich … Du“ ist als Aufzeichnung verfügbar.

KeePass-Integration: Thunderbird und KeeFox arbeiten zusammen

Seit einiger Zeit ist es möglich die Erweiterung KeeFox, die die Software zur Passwortverwaltung KeePass mit dem Browser Firefox verbindet, auch im E-Mail-Client Thunderbird einzusetzen. Dies ist noch nicht so komfortabel möglich wie im Mozilla Firefox, aber mit wenigen Schritten sind die Passwörter zum E-Mail-Konto sicherer abgelegt. Sollten die eigenen Passwörter nicht im Kopf oder anderweitig verfügbar sein, sollten diese zuvor notiert werden. Sie können über Einstellungen > Sicherheit > Gespeicherte Passwörter > Passwörter sichtbar gemacht werden.

  1. In Mozilla Thunderbird unter Einstellungen > Sicherheit > Gespeicherte Passwörter alle gespeicherten Passwörter löschen.
  2. Im Thunderbird unter Add-ons die Erweiterung KeeFox installieren. Den Thunderbird schließen.
  3. KeePass (und die eigene KeePass-Datenbank) öffnen und manuell die Zugangsdaten zu den einzelnen E-Mail-Konten eintragen. Jeweils einen neuen Eintrag erstellen und Benutzername und Passwort eingeben und unter URL eine beliebige Adresse (z. B. Ort der Webmail-Anwendung, sofern vorhanden) angeben. Unter dem Reiter KeeFox > URLs alle Serveradressen (z. B. pop.domain.tld, smtp.domain.tld) angeben.
  4. Die KeePass-Datenbank speichern.
  5. Thunderbird starten und einmalig den KeeFox-Code bestätigen, der angefordert wird. Dieser wird von KeeFox automatisch angezeigt.

Da die Passwörter zu den E-Mail-Konten Thunderbird nicht mehr vorliegen fragt das Programm diese nun bei jedem Start ab. KeeFox füllt – wenn alles glatt ging – die Abfrage automatisch aus und es muss lediglich mit Ok bestätigt werden. Diese Anleitung basiert auf einer Anleitung des KeeFox-Entwicklers.

E-Mail-Anbieter mit Fokus auf Datenschutz in Deutschland/Schweiz

Wer keinen eigenen Server bzw. Webspace betreiben kann oder möchte, greift oft auf Freemail-Anbieter zurück. Bezahlt wird hier in der Regel mit den eigenen Daten, die für Werbezwecke ausgewertet werden.

Doch es gibt Alternativen: In den letzten Jahren kommen E-Mail-Anbieter auf, die meistens für eine geringe monatliche Gebühr und mit dem Fokus auf Datenschutz und sichere Kommunikation ihre Dienste anbieten.

In der Tabelle wird auch die Möglichkeit eines Cloudspeichers für das Hochladen und Teilen von Dateien aufgeführt. Außerdem ob eine Synchronisation von Terminen (CalDAV) und des eigenen Adressbuchs (CardDAV) mit beispielsweise dem Smartphone möglich ist.

AnbieterAdresseCloudspeicherCalDAVCardDAVServerAnbieterKosten pro MonatKündigung
mailbox.orgname@mailbox.org100 MB (weitere Tarife mit bis zu 500GB)jajaDEDE1,00 € für 2GB (weitere Tarife)monatlich
JPBerlinname@jpberlin.de
name@wunschdomain.de (ab 8,50 €/Monat)
neinneinneinDEDE1,00 € für 1GBhalbjährlich
Posteoname@posteo.de (+ zwei Aliase mit div. Länderkennungen)neinjajaDEDE1,00 € für 2GB (erweiterbar für 0,25€/GB)täglich
MyKolab.comname@mykolab.com oder div. andere Domains
name@wunschdomain.de (ab 0,84 €/Monat
ab 2GBjajaCHCH3,73 € für 2GBmonatlich
mail.dename@mail.de + 10 Aliasadressen2,5 GB (gemeinsamer Speicher mit Mailbox, weitere Tarife mit mehr Speicher)jajaDEDE1,99 € für 2,5GB (weitere Pakete)jährlich
ProtonMailname@protonmail.com
name@wunschdomain.de (ab 4 Euro / Monat)
neinneinneinCHCHkostenlos 500 MB / ab 4,00 € für 5GB (weitere Pakete)monatlich
Tutanotaname@tutanota.com und vier Varianten; name@wunschdomain.de möglichneinneinneinDEDE0 € für 1 GB, ab 1 € für erweiterten Funktionsumfangmonatlich

Die Tabelle wird sukzessive erweitert. Hinweise werden gerne in den Kommentaren entgegengenommen.